Un QR Code decifrabile da chiunque, che dunque non tutelava l’accesso ai dati personali, e un sistema di prenotazione che non teneva conto della data protection perché, per esempio, conservava le informazioni troppo a lungo. Il Garante della privacy ha verificato che le app ZTL e Tupassi di Roma Capitale violavano il GDPR: all’ente municipale sono state comminate quindi due sanzioni per un totale di 850.000 euro.
Si tratta di un ulteriore esempio di violazione della privacy da parte di una pubblica amministrazione, dopo che in pochi mesi sono stati multati anche il MISE per 75.000 euro, l’INPS per 300.000 euro, Regione Lazio per 75.000 euro, una procura piemontese per 50.000 euro e molti altri enti.
Una situazione che ancora una volta pone i riflettori sulla diffusione della cultura della data protection nel settore pubblico.
Indice degli argomenti
Perché l’app ZTL viola il GDPR
I Pass cartacei della ZTL di Roma hanno sul frontespizio dei QR Code, affinché il personale incaricato dei controlli con una semplice scannerizzazione possa verificare in tempo reale la validità del contrassegno e a chi esso sia stato assegnato.
L’idea di per sé è interessante e degna di nota, la sua esecuzione decisamente pessima.
Il codice, infatti, poteva essere decifrato da qualsiasi applicazione per la lettura dei QR Code installate su moltissimi smartphone e/o facilmente scaricabili. Chiunque, quindi, poteva inquadrare una qualsiasi Pass ZTL all’interno di qualsiasi automobile nel centro di Roma, accedere al sito web, sapere il nominativo della persona a cui era intestato il Pass e quindi la proprietà dell’autovettura ivi parcheggiata, o per quale motivo beneficiasse del permesso alla ZTL.
Se la PA viola il GDPR: il caso delle sanzioni a Mise, Regione Lazio e Inps
Durante le verifiche ispettive inoltre gli ispettori del Garante hanno riscontrato un’ulteriore criticità. Chiunque, dopo essersi collegato, tramite il QR code, alla pagina web con i dati del permesso esaminato, modificando il valore del parametro denominato “PID” (semplicemente incrementando o diminuendo l’identificativo numerico del permesso) poteva visualizzare anche i dati personali relativi ad altri permessi ZTL, pur non avendo a disposizione il corrispondente QR code.
In sostanza, il QR Code per la verifica dei pass, così come la pagina web di verifica, erano liberamente accessibili a chiunque, non essendo protetti da alcuna procedura di autenticazione.
Inoltre, la società che offre hardware e “servizi di DB e connettività” sulla base di un “contratto di service” non era stata nominata Responsabile ex Art. 28.
L’indagine del Garante privacy
Ad allertare il Garante erano state diverse notizie a mezzo stampa pubblicate nel dicembre 2018. La sanzione per Roma Capitale comminata dal Garante è di 350.000 euro e l’importo è dato dall’elevato numero di persone interessate, dall’esteso lasso temporale della violazione, nonché delle precedenti violazioni in materia di privacy già commesse dall’ente locale.
Alla società per la mobilità, in considerazione delle prime misure tecniche e organizzative già adottate per limitare il problema, è stata invece irrogata una sanzione di 60.000 euro. Ad entrambi sono state inoltre imposte misure correttive per limitare la consultazione dei dati personali relativi ai permessi ZTL.
Il provvedimento annovera quali principali violazioni:
- Art. 5, par. 1, lett. a), c) e f) GDPR nei principi di “liceità, correttezza e trasparenza”, “minimizzazione dei dati” e di “integrità e riservatezza”;
- Art. 28 GDPR per la mancata regolazione del rapporto con il fornitore del servizio di hosting;
- Art. 2-ter, comma 4, lett. b) del Codice) relativamente alla diffusione di dati personali;
- Artt. 5, par. 1, lett. f), e 32 relativamente alla mancata sicurezza del trattamento.
I problemi privacy dell’app TuPassi
L’app “TuPassi” è un’applicazione per prenotare servizi di sportello e appuntamenti, anche nel settore sanitario.
L’accesso e la consultazione dell’app poteva avvenire con un’app mobile, da sito internet, o presso i totem posizionati presso le Pubbliche Amministrazioni capitoline e i professionisti eroganti le prestazioni.
L’applicazione se pur meritevole era stata concepita senza le basilari nozioni della normativa privacy. I tempi di conservazione erano eccessivamente lunghi. Il sistema acquisiva e memorizzava sui server di Roma Capitale, per un lungo periodo di tempo, numerosi dati degli utenti relativi alle prenotazioni (tipo di prestazione, canale utilizzato, data e ora della prenotazione).
Inoltre, in una logica di monitoraggio delle performance, esercitava un indebito controllo dei lavoratori. Il sistema generava report giornalieri contenenti anche informazioni di dettaglio sull’attività lavorativa (data, tipo di servizio, nominativo dell’addetto allo sportello, tempo di chiamata e tempo di attesa), introdotti senza le necessarie garanzie previste dallo Statuto dei lavoratori sul controllo a distanza dei lavoratori.
Numerose altre violazioni si sono rese evidenti come ad esempio l’assenza di un’informativa completa, misure tecniche e organizzative inadeguate, l’assenza della nomina ex. Art. 28 per il fornitore dell’app. Altri 40.000 euro sono stati inflitti alla software house per avere svolto i trattamenti in qualità di autonomo titolare.
Il provvedimento annovera quali principali violazioni:
- Art. 5, par. 1, lett. a), GDPR nei principi di “liceità, correttezza e trasparenza”;
- Art. 13 e 14 GDPR per le mancate informative;
- Art. 28 GDPR per la mancata regolazione del rapporto con il fornitore per i trattamenti di dati personali affidati alla Società nell’ambito dei servizi di assistenza e manutenzione del sistema “TuPassi”;
- Artt. 5, par. 1, lett. f), e 32 relativamente all’obbligo di adottare misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio, tenendo conto, in particolare, della natura, dell’oggetto, del contesto, delle finalità e dei rischi inerenti al trattamento per i diritti e le libertà delle persone fisiche.
La destinazione delle sanzioni del Garante
Un’apposita pagina sul sito del Garante spiega che le somme derivanti dalle sanzioni comminate sono assegnate al bilancio dello Stato. L’art. 166, comma 7 del D.Lgs 196/2003 novellato recita: “I proventi delle sanzioni, nella misura del cinquanta per cento del totale annuo, sono riassegnati al fondo di cui all’articolo 156, comma 8, per essere destinati alle specifiche attività di sensibilizzazione e di ispezione nonchè di attuazione del Regolamento svolte dal Garante”
Riporto per completezza il testo dell’Art. 156, comma 8: “Le spese di funzionamento del Garante, in adempimento all’articolo 52, paragrafo 4, del Regolamento, ivi comprese quelle necessarie ad assicurare la sua partecipazione alle procedure di cooperazione e al meccanismo di coerenza introdotti dal Regolamento, nonché quelle connesse alle risorse umane, tecniche e finanziarie, ai locali e alle infrastrutture necessarie per l’effettivo adempimento dei suoi compiti e l’esercizio dei propri poteri, sono poste a carico di un fondo stanziato a tale scopo nel bilancio dello Stato e iscritto in apposita missione e programma di spesa del Ministero dell’economia e delle finanze. Il rendiconto della gestione finanziaria è soggetto al controllo della Corte dei conti. Il Garante puo’ esigere dal titolare del trattamento il versamento di diritti di segreteria in relazione a particolari procedimenti”.
Le disposizioni del Decreto Semplificazioni
L’Amministrazione pubblica potrebbe quindi chiedere un risarcimento danni al responsabile? La sanzione pecuniaria inferta a una qualsiasi amministrazione pubblica può ricadere secondo molti nella fattispecie di un danno emergente, e nello specifico della spesa sostenuta.
Il danno erariale diventa quindi uno dei presupposti per la sussistenza della responsabilità amministrativa-contabile, su cui giudica la Corte dei conti, e per cui ci si potrebbe rivalere nei confronti del dirigente e/o dipendente responsabile di tale danno/sanzione.
In tal senso il colpevole potrebbe essere chiamato a risarcire il danno. Il Decreto-Legge n. 76/2020, meglio noto come “Decreto Semplificazioni”, recante Misure urgenti per la semplificazione e l’innovazione digitale ha però apportato alcune modifiche in materia di danno erariale, che potrebbero far propendere verso l’impunità.
Il nuovo Decreto Semplificazioni all’articolato in questione aggiunge: “la prova del dolo richiede la dimostrazione della volontà dell’evento dannoso”.
Per fare chiarezza si deve distinguere il dolo fra accezione penalistica e civilistica. Cercherò di semplificare al massimo il concetto, ben sapendo che la semplificazione comporta in sé una minor precisione, ma anche una miglior comprensione per chi è meno avvezzo al linguaggio legale.
L’accezione penalistica vuole la volontà dell’evento dannoso, la volontarietà della condotta illecita o illegittima. La vulgata direbbe: “Lo ha fatto apposta”. La giurisprudenza contabile ha preferito orientarsi piuttosto sull’accezione civilistica dove l’azione dolosa dei dipendenti pubblici, si ha quando questi tengano scientemente un comportamento che violi un loro obbligo, senza che sia necessaria la diretta e cosciente intenzione di nuocere, cioè di agire ingiustamente a danno delle pubbliche finanze. La vulgata in questo caso direbbe: “Se ne è fregato”.
Il DL Semplificazioni sembrerebbe dar forza all’accezione penale e quindi il ricorso contro il dirigente e/o dipendente inadempiente debba comprovare non solo la consapevolezza ma anche la volontà dell’azione o omissione contra legem.
Stante questa interpretazione non vi sarebbe la possibilità di ricorrere per danno erariale contro il dipendete pubblico ma per averne la certezza dovremo solo aspettare la giurisprudenza, che non credo tarderà ad arrivare visto l’attivismo sanzionatorio del Garante.
Lo scenario: meglio sanzionare o fare moral suasion
Personalmente sono dell’opinione che senza sanzione non vi sia adeguamento. Formazione e moral suasion hanno una fondamentale importanza ma più nell’accettazione della norma e della successiva sanzione, piuttosto che in una sua reale applicazione.
Talvolta mi capita di paragonare il percorso di rispetto del GDPR alla Legge Sirchia sul divieto di fumo nei luoghi chiusi. La moral suasion, le spiegazioni, i pacchetti di sigarette con messaggi e immagini francamente forti, ci hanno aperto gli occhi sui danni da fumo attivo e passivo, ma poco avevano sortito sul comportamento degli italiani.
Nei primi 6 mesi dall’introduzioni del divieto poco o nulla era cambiato. La svolta si ebbe quando i TG e le pagine dei quotidiani si riempirono dei racconti delle numerose sanzioni inflitte ai locali pubblici lungo l’intero stivale.
Ovunque, e spero me lo concederete, soprattutto in Italia, senza elemento coercitivo non vi è adeguamento alla norma. Il Garante a mio avviso ha svolto in questi 3 anni un ottimo lavoro di formazione e comunicazione, per accompagnare le organizzazioni italiane pubbliche e private verso la graduale accettazione della normativa privacy.
Gli interventi pubblici di membri del Garante sono quotidiani attraverso webinar e canali social. L’Autorità per la Protezione dei Dati Personali ha aperto proprie pagine social ufficiali su Instagram, LinkedIn, YouTube e Telegram, oltre ad aver allestito una propria newsletter mensile.
Le opinioni
Guido Scorza ha un suo podcast dal titolo “Cose da garante” dal quale settimanalmente approfondisce temi rilevanti. Il brand del Garante è stato ridisegnato per renderlo più accattivante e per la prima volta abbiamo avuto uno spot TV sulla privacy. Insomma, mi sembra che in chiave di presenza multimediatica e di comunicazione molto si sia fatto. Se poi a distanza di 3 anni le Pubbliche Amministrazione non hanno ancora nominato dei DPO/RPD, o qualora lo abbiano fatto, abbiano optato su risorse interne non formate o su consulenti esterni attraverso bandi dagli ammontare assolutamente insufficienti, allora forse è giusto passare alle maniere forti e sanzionare.
Francesco Modafferi del “Dipartimento realtà pubbliche” del Garante in un recentissimo intervento pubblico ha dichiarato di avere pronto sul proprio tavolo un documento, che verrà presentato a breve, relativo alla figura del DPO nelle realtà pubbliche dove verranno trattate e definite criticità ben presenti all’ufficio del Garante in tema di scarse risorse assegnate per lo svolgimento della funzione (Es: Nel Mercato elettronico della pubblica amministrazione – MEPA è frequente imbattersi in bandi per l’assegnazione dell’incarico di DPO/RPD a cifre inferiori alle 1.000 euro annue), in tema di conflitto d’interesse per i DPO/RPD interni (Es: Capoluogo di Provincia lombardo dove il DPO/RPD è anche Responsabile dei Servizi Demografici), in tema di società esterne che collezionano nomine senza poi svolgere realmente il compito.
Un insegnamento per la PA italiana
Spero vivamente che le sanzioni a Comuni di primo piano come Roma Capitale così come le numerose sanzioni di minor entità inflitte a piccole realtà locali in tutta Italia accendano finalmente le coscienze di dirigenti, dipendenti e amministratori delle Pubbliche Amministrazioni italiane. I principi definiti dall’Art. 5 GDPR sono sovente ignorati e quindi disattesi.
Vi è grandissima confusione sulle basi giuridiche. La grandissima maggioranza dei Moduli per l’accesso ai servizi comunali si basa sul Consenso e non su altre basi giuridiche più consone quali l’interesse pubblico o il contratto. Spesso non è nemmeno chiara la distinzione fra dati personali comuni e particolari.
I settori solitamente più attenti sono quelli relativi ai servizi alla persona, dove già ai tempi del Codice Privacy si è fatto un grande lavoro di moral suasion sulla criticità dei così detti dati sensibilissimi.
L’obbligo di informazione e le caratteristiche delle Informative (Art 13 e 14 GDPR) sono state uno dei rilevamenti della prima sanzione inflitta a Roma Capitale. Nulla lascia presagire che nel resto d’Italia le cose vadano meglio.
Senza andare troppo oltre e senza dover passare in rassegna l’intero Regolamento UE 679/2016 in larga parte disatteso, stando alla mia personalissima e parziale esperienza sul campo, mi limito a citare altri 3 articoli che le organizzazioni pubbliche e private ignorano completamente.
L’art. 25 relativo alla privacy by design e by default è uno dei più disapplicati. Spero che mi concederete questa piccola licenza quando dico che l’Art. 25 vorrebbe la riprogettazione in ottica GDPR di tutti i trattamenti di dati personali, che le organizzazioni svolgono quotidianamente.
La mia personale esperienza racconta uno scenario opposto dove si continua a fare esattamente quello che si faceva prima dell’entrata in vigore del GDPR, mentre con sforzi creativi o lassismo si cerca di giustificare le vecchie abitudini agli occhi del regolamento UE 679/2016. L’art. 28 e le verifiche sull’intera filiera dei fornitori, cui affidiamo il trattamento dei dati, è un altro importante elemento critico.
Roma Capitale e la Regione Lazio sono state sanzionate per l’assenza della nomina a Responsabile. L’art. 32 sulle misure di sicurezza tecniche e organizzative è anch’esso largamente trascurato e potrei andare avanti ancora per molto.
Conclusione
Ogni qualvolta arriva una di queste sanzioni nessuno sembra essere contento e i commenti sui social media sembrano dividersi fra chi avrebbe voluto sanzioni ancor più esemplari e chi invece invoca ad un autolesionistico ed inutile travaso di risorse pubbliche.
Personalmente, plaudo all’attivismo del Garante e a queste sanzioni. Quotidianamente come DPO e Consulente GDPR mi scontro contro un muro di gomma di indifferenza a tutto ciò che è protezione dei dati. Senza elemento coercitivo non vi è adeguamento alla norma e quindi ben venga, a ormai tre anni di distanza dalla piena entrata in vigore del Regolamento UE 679/2016, una più decisa attività sanzionatoria, che sia di monito e di esempio a tutti coloro che fanno trattamento dati, siano essi pubblici o privati.
In conclusione spero che il mix di sanzioni e formazione/comunicazione possa gradualmente accrescere la cultura della data protection, affinchè ad ognuno di noi venga restituito il pieno controllo dei propri dati personali e dei diritti ad essi connessi.
