La Data Protection fra le strade cittadine: le violazioni del GDPR relative alla “modernizzazione” dei parcometri per la gestione della sosta a pagamento

Massimazione e Commenti ai Provvedimenti del Garante a cura dell’Osservatorio Privacy  collegato con il Corso di Alta Formazione in Data Protection e Privacy Officer dell’Università di Bologna https://site.unibo.it/dpo

Massima (1) – In base alla disciplina in materia di protezione dei dati personali i soggetti pubblici possono trattare i dati solo se necessario «per adempiere un obbligo legale al quale è soggetto il titolare del trattamento» oppure «per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento» [art. 6, par. 1, lett. c) ed e), GDPR]. In tale quadro, la regolazione delle soste e dei parcheggi a pagamento rientra tra le attività istituzionali affidate agli enti locali.

Massima (2) – Pur in presenza di un presupposto giuridico, ad ogni modo, il titolare del trattamento è comunque tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quelli di «liceità, correttezza e trasparenza», «limitazione della conservazione» e «integrità e riservatezza» in base ai quali i dati sono «trattati in modo lecito, corretto e trasparente nei confronti dell’interessato», «conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati» e  «trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati» [art. 5, par. 1, lett. a), e) e f), GDPR]. Ove un ente locale tratti dati personali degli utenti con parchimetri modernizzati, che richiedano il necessario inserimento del numero di targa al fine di rendere non necessario l’esposizione del tagliando da parte degli interessati, occorre rendere loro un’adeguata e completa informativa (ai sensi dell’art. 13 GPR), definire i tempi di conservazione dei dati personali raccolti e dare in tal senso precise istruzioni alla società designata responsabile del trattamento. Ove non siano state adottate «misure adeguate a garantire che siano trattati solo i dati necessari, con particolare riferimento alla definizione dei tempi di conservazione dei dati personali», va considerato violato il principio di «limitazione della conservazione» e quello di «protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita» di cui agli artt. 5, par. 1, lett. e) e 25 GDPR.

Massima (3) – Ai fini del rispetto della normativa in materia di protezione dei dati personali, occorre identificare con precisione i soggetti che, a diverso titolo, possono trattare i dati personali e definire chiaramente le rispettive attribuzioni, in particolare quella di titolare e di responsabile del trattamento e dei soggetti che operano sotto la diretta responsabilità di questi (art. 4, par. 1, n. 7, GDPR). Sul titolare ricadono le decisioni circa le finalità e le modalità del trattamento dei dati personali degli interessati nonché una «responsabilità generale» sui trattamenti posti in essere (v. art. 5, par. 2 c.d. «accountability» e 24 GDPR), anche quando questi siano effettuati da altri soggetti “per suo conto” (cons. 81, artt. 4, n. 8) e 28 GDPR).

Massima (4) – Il rapporto tra titolare e responsabile deve essere regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, consente al titolare di impartire istruzioni al responsabile e prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare. Il Responsabile del trattamento è, pertanto, legittimato a trattare i dati degli interessati «soltanto su istruzione documentata del titolare» [art. 28, par. 3, lett. a), GDPR].

Provvedimento: GPDP, Docweb n. 9698724 del 22 luglio 2021 

Link: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9698724

Keywords: titolare, responsabile, sub-responsabile, principi di liceità, ente locale, trasparenza, informativa, limitazione della conservazione, base giuridica del trattamento, interesse pubblico, misure di sicurezza, responsabilizzazione

Riferimenti normativi: art. 4, par. 7, art. 5, art. 6, par. 1, artt 24, 28 e 32 GDPR.

Data del commento: 7 novembre 2022

Massime e Commento di Martina Voci

1. Il caso

Roma Capitale, in qualità di titolare del trattamento, aveva organizzato il servizio di sosta a pagamento nelle strade cittadine, mediante nuovi parchimetri con i quali venivano raccolti i seguenti dati personali degli utenti: l’ora, la data di inizio e fine sosta, l’importo pagato e la targa del veicolo. Le modalità di tale trattamento e la conformità alla disciplina in materia di protezione dei dati personali sono stati sottoposti all’attenzione del Garante, a seguito di segnalazione presentata dagli utenti in relazione al processo di “modernizzazione” dei parcometri utilizzati per il pagamento della sosta, in particolare per ciò che concerne, tra l’altro, il necessario inserimento della targa dell’autoveicolo al fine di prescindere dall’esposizione del tagliando di pagamento. L’inserimento della targa nei parcometri al momento del pagamento della sosta e le modalità del trattamento effettuato con il nuovo sistema di gestione della sosta, quindi, costituiscono l’oggetto dell’analisi svolta dal Garante con il provvedimento in esame, nel quale, accertata la non conformità al GDPR, veniva irrogata una sanzione pari ad euro 800.000,00 (ottocentomila) all’Ente titolare del trattamento.

2. Le questioni

Le questioni affrontate dall’Autorità riguardano la verifica dell’attività di trattamento attuata da Roma Capitale tramite i nuovi parcometri per la gestione della sosta a pagamento, richiedenti l’inserimento obbligatorio della stringa alfanumerica corrispondente alla targa del veicolo da parcheggiare. In particolare, la verifica ha riguardato: (i) la sussistenza delle condizioni di liceità del trattamento da parte degli Enti pubblici e il mancato rispetto dei principi di «liceità, trasparenza e correttezza», di «limitazione della conservazione», di «integrità e riservatezza»; (ii) la mancata stipulazione del contratto o di altro atto giuridico, ai sensi dell’art. 28 GDPR, tra titolare del trattamento e responsabile del trattamento e violazione del principio di accountability.

2.1. Condizioni di liceità del trattamento svolto da parte di un ente pubblico e violazione dei principi di cui all’art. 5 GDPR

L’attività di Roma Capitale che, in qualità di titolare del trattamento, deve definire le finalità e i mezzi del trattamento ai sensi dell’art. 4, par. 7, del GDPR, è stata esaminata dal Garante e quest’ultimo, dopo aver indagato la sussistenza delle condizioni di liceità del trattamento, ha rilevato una serie di violazioni del Regolamento, in grado di compromettere i dati personali degli interessati che abbiano effettuato un pagamento di una sosta nella Capitale tramite i parcometri “modernizzati”. 

In primo luogo, l’Autorità garante ha ribadito che, in base alla disciplina in materia di protezione dei dati personali, i soggetti pubblici possono trattare i dati solo se necessario «per adempiere un obbligo legale al quale è soggetto il titolare del trattamento» oppure «per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento» [art. 6, par. 1, lett. c) ed e), GDPR]. In tale quadro, la regolazione delle soste e dei parcheggi a pagamento, che costituisce oggetto della fattispecie in esame, rientra tra le attività istituzionali affidate agli enti locali e pertanto può ritenersi sorretta da adeguata condizione di liceità ai sensi degli artt. 6 ss. GDPR. L’indagine sul rispetto della disciplina in materia di protezione dei dati personali, tuttavia, non può prescindere dalla disamina in ordine al rispetto dei principi di cui all’art. 5 GDPR. Nel provvedimento che qui si commenta il Garante ha considerato violati i principi di «liceità, correttezza e trasparenza», nonché di limitazione della conservazione, secondo cui i dati devono essere «conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati» [art. 5, par. 1, lett. a) ed e), GDPR]. 

In particolare, si è verificato che, nella nuova gestione dei parcometri, «le informazioni sulla targa sono memorizzate in chiaro per circa 60 giorni», mentre «viene conservata l’impronta informatica ottenuta mediante l’applicazione dell’algoritmo MD5 sul valore della “targa”, prima della sua cancellazione» (così nel provvedimento in esame). Inoltre, è possibile visualizzare le targhe delle soste avvenute, che rimangono memorizzate nel sistema tramite la funzione “Dettaglio movimenti”. 

Sul punto il Garante ha chiarito che «La conservazione per un tempo indefinito delle impronte informatiche dei valori delle targhe calcolate mediante l’applicazione della funzione di hash MD5, citata quale “criptazione monodirezionale” per l’“anonimizzazione” dei dati, risulta essere poco affidabile in quanto consente agevolmente l’individuazione e la correlabilità, che rappresentano due dei principali rischi che incombono su tali tecniche.

Più precisamente, partendo da una targa è possibile calcolarne l’hash e cercarne tutte le occorrenze nella base dati, consentendo, quindi, la ricostruzione storica di tutti i pagamenti effettuati, e conseguentemente di tutte le soste effettuate.

Per tali motivi, tenuto conto anche della dimensione dell’insieme delle possibili targhe (composte da due lettere, tre numeri e due lettere), della semplicità computazionale dell’algoritmo utilizzato e dell’esiguità delle risorse tecnologiche necessarie per risalire ai dati in chiaro, la tecnica utilizzata non risulta idonea» (GPDP, Provv. in esame).

Alla luce di tali rilievi il Garante, sul punto, ha ritenuto necessario, per il titolare del trattamento «implementare le misure di sicurezza tecniche – dando precise e dettagliate istruzioni in tal senso al responsabile del trattamento, Atac s.p.a. – che consentono la tracciabilità delle operazioni effettuate (log applicativi) dagli utenti sui dati personali al fine di verificare ex post l’operato dei propri addetti rispetto al trattamento informatizzato di un grande volume di dati relativi a un elevato numero di interessati dati che possono potenzialmente prestarsi a usi fraudolenti in loro danno, consentendo di rilevare lo stato di assenza da casa o la presenza in una determinata zona della città in un dato periodo di tempo. Si ritiene, altresì necessario definire i tempi di conservazione dei dati relativi alle targhe e le conseguenti eventuali misure tecniche a protezione dei dati conservati, tenendo presente che la robustezza delle misure è direttamente proporzionale all’ampiezza del periodo temporale di conservazione».

Quanto al principio di trasparenza, il Garante ha evidenziato che il trattamento da parte di Roma Capitale è avvenuto senza l’idonea informativa agli interessati, ovvero senza aver comunicato loro, nel momento in cui i dati sono stati ottenuti, l’esistenza e le caratteristiche  del trattamento dei loro dati, anche con riferimento, tra l’altro, all’identità del titolare, alla finalità e alla base giuridica del trattamento, al periodo di conservazione dei dati ed ai diritti loro riconosciuti (accesso, limitazione del trattamento dei dati, cancellazione, etc.).

Infine, per il trattamento di tali dati, Roma Capitale non ha previsto delle misure tecniche ed organizzative di sicurezza adeguate poiché non solo il sistema implementato da Atac s.p.a. (responsabile del trattamento) non si avvale di canali di comunicazioni sicuri, ma gli ausiliari del traffico che utilizzano il sistema per verificare i pagamenti delle soste, si autenticano con password poco sicure tanto dal punto di vista del formato che per ciò che concerne la loro memorizzazione nel database, che avviene in chiaro. Inoltre, non è stata prevista la possibilità di tracciamento degli accessi da parte degli operatori di back office e/o degli ausiliari del traffico, avendo questi la possibilità tecnica di autenticarsi più volte, accedere ai dati degli interessati e utilizzarli anche in loro danno, potendo venire a conoscenza dei loro movimenti e quindi del loro stato di assenza da casa o, comunque, della loro presenza in un determinato luogo della città. 

Pertanto, il Garante ha accertato la violazione di un’ulteriore disposizione del Regolamento, ovvero quella che impone l’adozione di adeguate misure di sicurezza a protezione dei dati ai sensi dell’art. 32 del GDPR, il che, nello specifico, comporta la violazione dei principi di riservatezza ed integrità di cui all’art. 5, par. 1, lett. f), GDPR.

2.2. Mancata stipulazione del contratto (o altro atto giuridico) tra titolare del trattamento e responsabile del trattamento ex art. 28 GDPR e violazione del principio di accountability

I parcometri oggetto di verifiche ispettive risultavano gestiti da Atac s.p.a in qualità di responsabile del trattamento e da Flowbird s.r.l. in qualità di sub-responsabile del trattamento.

L’istruttoria ha consentito di rilevare il coinvolgimento di entrambe le società nel trattamento dei dati registrati nel sistema (circa 8.600.000), benché le designazioni non fossero state formalizzate ai sensi dell’art. 28 GDPR. Nello specifico, a seguito degli accertamenti effettuati dal Garante,  Atac s.p.a. risultava operante come responsabile del trattamento, a cui l’Ente titolare del trattamento si era affidata per la realizzazione tecnica del sistema di gestione della sosta a pagamento, mentre Flowbird Italia s.r.l., che aveva in carico la gestione dei parcometri, risultava quale  sub-responsabile del trattamento, avente rapporti diretti con la società responsabile, ma non con l’Ente pubblico titolare del trattamento. 

L’omessa designazione mediante contratto o altro atto giuridico vincolante ai sensi dell’art. 28 GDPR, imputabile a Roma Capitale quale titolare del trattamento, comporta, secondo la ricostruzione effettuata dal Garante contenuta nel provvedimento che qui si commenta, l’omissione delle indispensabili attività necessarie ad indirizzare in maniera consona il responsabile del trattamento nell’implementare un sistema informatizzato che potesse garantire idonea sicurezza dei dati e, più in generale, la conformità del trattamento alla disciplina prevista nel GDPR a tutela degli interessati, considerando che , ai sensi del par. 3 dell’art. 28 GDPR, «I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento».

L’accordo tra titolare del trattamento e responsabile del trattamento deve essere approntato per definire come vengano nel concreto rispettati i principi e i requisiti richiesti dal GDPR, ponendo attenzione anche al livello di sicurezza richiesto dalla normativa in esame. Il mancato accordo tra Roma Capitale e Atac s.p.a. si pone, altresì, in violazione del principio di accountability, nella parte in cui il titolare del trattamento, oltre ad assicurare che siano rispettati i principi del regolamento europeo, deve essere in grado di dimostrare il loro rispetto. Tale dimostrazione richiede, appunto, anche la formalizzazione di un rapporto ben disciplinato con il responsabile del trattamento. In altre parole, senza un accordo tra le parti con il quale il titolare stabilisca le modalità con cui il responsabile del trattamento da lui designato debba eseguire il trattamento dei dati, diviene difficoltosa – se non impossibile – la dimostrazione di aver rispettato il regolamento e, conseguentemente, di aver adeguatamente assolto al principio di responsabilizzazione (accountability) di cui agli artt. 5, par. 2, e 24 GDPR.

3. Precedenti

Vi sono molti precedenti del Garante relativi alla mancata adozione del contratto o di altro atto giuridico vincolante, ai sensi dell’art. 28 GDPR, per la designazione del responsabile del trattamento da parte del titolare attraverso uno specifico accordo o atto giuridico. Tra questi può farsi riferimento, in particolare, al provvedimento n. 81 del 7 marzo 2019, Docweb n. 9121890, nel quale il Garante aveva contestato a Roma Capitale, in qualità di titolare del trattamento, la mancanza di un accordo per il conferimento del ruolo di responsabile del trattamento alla Società Miropass, che si occupava della manutenzione e dell’assistenza del sistema applicativo «TuPassi», utilizzato dai cittadini per la prenotazione di appuntamenti presso i municipi di Roma. Nella medesima fattispecie veniva contestata, similmente a quanto avvenuto nel caso affrontato dal Garante con il provvedimento che in questa sede si commenta, altre violazioni alla disciplina in materia di protezione dei dati personali, con particolare riferimento alla mancata comunicazione dell’informativa agli utenti in merito al trattamento dei dati personali. 

Altro rilevante precedente è anche quello di cui al provvedimento del Garante n. 160 del 17 settembre 2020, Docweb n. 9461168, nel quale l’Autorità ha contestato la violazione degli obblighi posti in capo al titolare del trattamento (Azienda Ospedaliera di Napoli che ha indetto un concorso pubblico) relativi alla stipula di un accordo con il responsabile del trattamento, da individuarsi in una società fornitrice della piattaforma informatica per la gestione delle domande di partecipazione alla procedura concorsuale e della fase di preselezione del concorso. In tale caso il Garante ha riscontrato che tale società era venuta a conoscenza di tutti i dati personali dei candidati, ivi inclusi quelli relative a categorie particolari rivelativi lo stato di salute, svolgendo attività di trattamento senza tuttavia che il rapporto con essa fosse stato regolamentato in modo idoneo, anche al fine di garantire la corretta gestione del trattamento, secondo le indicazioni del titolare, anche con riguardo all’applicazione delle corrette misure tecniche e organizzative di sicurezza. I dati, a seguito di imperizia della Società, sono stati oggetto di una diffusione e quindi non gestiti in modo tale da garantirne la loro protezione. Pertanto, il Garante ha ravvisato una responsabilità generale del titolare del trattamento, per non aver messo in atto misure adeguate e non aver dimostrato, al contempo, la conformità del trattamento al Regolamento, violando così anche il principio di accountability.

4. Bibliografia

Sulla liceità del trattamento si vedano F. Bravo, Le condizioni di liceità del trattamento, in G. Finocchiaro (a cura di), La protezione dei dati personali in Italia. Regolamento UE n. 2016/679 e d.lgs. 10 agosto 2018, n. 101, Bologna, 2019, pp. 110 ss.;  G. Mulazzani, Il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, in G. Finocchiaro (a cura di), La protezione dei dati personali in Italia. Regolamento UE n. 2016/679 e d.lgs. 10 agosto 2018, n. 101, cit., pp. 194 ss.

Sui principi applicabili al trattamento dei dati personali, si vedano in particolare G. Malgeri, Comm. sub. art. 5 GDPR, in R. D’Orazio-G. Finocchiaro-O. Pollicino-G. Resta (a cura di), Codice della privacy e data protection, Milano, 2021, pp. 176 ss.

Sull’importanza del bilanciamento operato dal Garante nel valutare le sanzioni amministrative da applicare, si veda G. Finocchiaro, Introduzione al Regolamento Europeo sulla protezione dei dati, in Nuove leggi civ. comm., 2017, pp 17-18.

Riguardo all’art. 28 del GDPR, inerente alla figura del responsabile del trattamento, i suoi adempimenti e il rapporto con il titolare del trattamento da regolare attraverso la stipula di un contratto o altro atto giuridico, si vedano EDPB, Linee guida sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, 7 luglio 2021, e A. Chiappini, Riflessioni sul contratto tra titolare e responsabile del trattamento in Contratto e impresa, 2021, 1, p. 317-335.

Più specificatamente sul principio di accountability si veda Gruppo di lavoro articolo 29 per la protezione dei dati, Parere 3/2010 sul Principio di responsabilità, 13 luglio 2010.

Più diffusamente in merito alle misure di sicurezza adeguate al rischio, si vedano F. Bravo, L’ «architettura» del trattamento e la sicurezza dei dati e dei sistemi, in V. Cuffaro-R. D’Orazio-V. Ricciuto (a cura di), I dati personali nel diritto europeo, Torino, 2019, pp. 775-854; M.S. Esposito, Comm. art. 32 GDPR (Sicurezza del trattamento), in R. D’orazio-G.Finocchiaro-O. Pollicino-G. Resta (a cura di), Codice della privacy e data protection, cit., pp. 502 ss.


Massimazione e Commenti ai Provvedimenti del Garante a cura dell’Osservatorio Privacy  collegato con il Corso di Alta Formazione in Data Protection e Privacy Officer dell’Università di Bologna https://site.unibo.it/dpo

Previous Article
Next Article
Open Access