Illecito trattamento di dati personali effettuato da “Roma Capitale”
Il Garante per la protezione dei dati personali ha inflitto una sanzione di € 500.000 all’ente territoriale “Roma Capitale” in relazione all’illecito trattamento di dati personali di utenti e dipendenti, effettuato attraverso il sistema informatico di prenotazione degli appuntamenti (“TuPassi”).
Nel corso di una complessa e lunga attività istruttoria, avviata nel marzo del 2019 (Cfr. GPDP, Provv. n. 81/2019), il Garante ha accertato diversi profili di difformità dei comportamenti di “Roma Capitale”, titolare del trattamento, rispetto al GDPR. In particolare, il trattamento è stato effettuato in violazione:
(i) degli artt. 13 e 14, GDPR, che stabiliscono l’obbligo, per il titolare del trattamento, di fornitura delle informazioni agli interessati (utenti e dipendenti);
(ii) dell’art. 5.1, GDPR (con particolare riguardo alle lettere lett. a), b), c) ed e) ), riguardante i princìpi generali applicabili al trattamento;
(iii) dell’art. 28, parr. 2 e 3, GDPR, concernenti l’obbligo di regolamentare, con un atto giuridico i trattamenti di dati personali affidati dal titolare alla Società fornitrice del sistema “TuPassi” nell’ambito dei servizi di assistenza e manutenzione;
iv) dell’art. 32, GDPR, che stabilisce l’obbligo di adottare misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio, tenendo conto, in particolare, della natura, dell’oggetto, del contesto, delle finalità e dei rischi associati al trattamento per i diritti e le libertà delle persone fisiche.
A cura di Giovanni Crea, direttore scientifico del CReFIS.