Titolare e responsabile del trattamento sanzione al comune di Roma

Rapporto fra titolare e responsabile del trattamento.
Il Garante Privacy sanziona il comune di Roma

Redazione MTS Consulenze

Il rapporto che intercorre tra il Titolare del trattamento ed i fornitori di beni e servizi che rivestono il ruolo di Responsabili del trattamento deve essere regolato tramite uno specifico contratto di affidamento ed istruzioni puntuali, ai sensi dell’art. 28 del GDPR.

E’ questo uno dei principali aspetti che emergono dai provvedimenti (292, 293 e 294 del 22 luglio 2021 recentemente segnalati con la newsletter n. 481 del 10 settembre 2021) con i quali il Garante per la protezione dei dati personali ha  sanzionato per oltre 1 milione di euro, complessivamente,  Roma Capitale, Atac Spa e un subfornitore, a seguito di verifiche su un sistema di gestione dei dati relativi ai parcheggi a pagamento.
I provvedimenti sono ricchi di elementi utili per tutte le imprese, organizzazioni, professionisti (di ogni dimensione) oltre che per il comparto della PA, in quanto contengono molte osservazioni applicabili per tutti i titolari e responsabili del trattamento.

Durante l’attività istruttoria, che si ricorda è stata avviata in seguito alla segnalazione di un utente che si lamentava dei nuovi parcometri installati nel territorio comunale nel 2018, è stato riscontrato che la società Atac Spa, incaricata dal Comune anche per la gestione dei parcheggi, aveva realizzato interventi di miglioramento tecnologico e di servizio oltre che per implementare nuove modalità di pagamento, inserendo anche il numero di targa del veicolo.
Parte della strumentazione necessaria per realizzare i citati miglioramenti era stata fornita da un’altra società specializzata, che ricopriva il ruolo di subfornitore. Le informazioni relative alla sosta erano gestite attraverso un sistema centralizzato al quale poteva accedere, tramite un’apposita app, anche il personale incaricato di controllare il pagamento dei parcheggi.
Nel corso dell’ispezione, condotta in collaborazione con il Nucleo speciale Privacy della Guardia di finanza, sono emerse diverse criticità.

Il Comune di Roma in quanto titolare del trattamento:

• non aveva fornito alcuna informativa sul trattamento dei dati degli automobilisti, violando, in tal modo, il principio della trasparenza (art. 5, lett. a) del Regolamento) e l’obbligo di informare preventivamente gli interessati dei trattamenti a cui saranno sottoposti (artt. 12 e 13 del Regolamento), e ciò indipendentemente dallo specifico fondamento giuridico del trattamento (ad esempio il consenso, obblighi contrattuali o precontrattuali, obbligo di legge. Per maggiori dettagli si rinvia agli Artt. 6 -9 del GDPR);
• non aveva provveduto a nominare con specifico atto, ai sensi dell’art. 28 del GDPR, Atac Spa quale Responsabile del trattamento, né aveva fornito le necessarie istruzioni su come trattare i dati raccolti. Le stesse carenze sono state evidenziate a carico della stessa Atac relativamente al rapporto con il sub responsabile, cioè la società subfornitore dei parcometri.

Le due società non avevano:

• predisposto il registro dei trattamenti dei dati;
• adottato idonee misure di sicurezza. (Ad esempio, è stato accertato che, all’epoca delle verifiche, alcuni flussi di dati da e verso il sistema implementato da Atac Spa viaggiavano in canali non sicuri. Il personale addetto, inoltre, avrebbe potuto controllare in maniera massiva e ripetuta nel tempo qualunque targa, con ovvi rischi per la libertà e dignità degli interessati – ad esempio riscostruire le abitudini di una persona e i luoghi di sosta – senza lasciare alcuna traccia nel sistema informativo).

Tali circostanze evidenziano la necessità di eseguire una valutazione preventiva dei fornitori e dei servizi/prodotti che erogano, considerando che i responsabili del trattamento devono essere attivamente coinvolti anche nella valutazione dei rischi e di impatto (cfr. Art.28 GDPR). E’ questo principio un elemento cardine per la gestione del rapporto con i responsabili del trattamento chiamati a trattare dati personali fornendo servizi anche in ambiti molto delicati (gestione di software e applicativi nel settore sanitario, applicativi in ambito HR, impianti di videosorveglianza, agenzie web che gestiscono cookies e trattamenti digitali, istituti di vigilanza che erogano servizi di controllo accessi, solo per citare alcuni esempi).

È necessaria, pertanto, una particolare attenzione nella gestione del rapporto che intercorre tra Titolari e Responsabili del trattamento, considerando, peraltro, che:

• il Garante privacy negli ultimi tempi ha più volte applicato sanzioni, anche di rilevante importo, per l’inadeguata gestione del rapporto tra titolari e responsabili (Ad Esempio con newsletter n. 480 del 2 agosto 2021 l’Autorità Garante è nuovamente intervenuta sul delicatissimo processo di gestione del whistleblowing pubblicando due provvedimenti sanzionatori comminati ad una società aereoportuale ed al suo fornitore di software)
• il 4 giugno 2021, la Commissione Europea ha pubblicato le clausole contrattuali standard ritenute adeguate a garantire la corretta gestione proprio del rapporto tra titolari e responsabili;
• nella stessa data la Commissione Europea, al fine di contribuire a risolvere le problematiche sorte dopo che la Corte di Giustizia Europea ha invalidato nel luglio 2020 l’accordo con gli Stati Uniti sul trasferimento dati, ha pubblicato anche un set di clausole standard finalizzate al raggiungimento delle adeguate garanzie per il trasferimento dei dati personali in paesi al di fuori dello spazio economico europeo.