LabRoma

“TuPassi” ma io ti spio. E il Garante stoppa il sistema di gestione delle code

Risparmiare tempo non badando all’uso delle proprie informazioni: per il Garante privacy non è un buon compromesso, e per questo spicca una sanzione da 500 mila euro all’indirizzo del sistema elimina-code del Comune di Roma. Tra le violazioni accertate dal guardiano della privacy le numerose falle del sistema informatico, una miniera di dati senza protezione alcuna.

Dallo stop alle file al disco rosso all’intero sistema elimina-code. Succede anche questo a Roma dove, qualche giorno fa, il Garante privacy ha spiccato una sanzione di 500 mila europer illecito trattamento di dati personali di utenti e dipendenti, effettuato attraverso il sistema di prenotazione degli appuntamenti “TuPassi”.

TuPassi è un sistema di gestione delle code nei luoghi pubblici che, grazie alla prenotazione del proprio turno (tramite app mobile, sito internet oappositi totem posizionati presso gli edifici) consente di poter gestire con maggiore serenità e senza perdite di tempo gli appuntamenti agli sportelli, monitorando ogni momento l’avanzamento della coda.

Peccato che, nel caso capitolino, non tutto avveniva a regola d’arte: il sistema consentiva, infatti, di acquisire e memorizzare sui server di Roma Capitale, per un lungo periodo di tempo, numerosi dati degli utenti relativi alle prenotazioni effettuate (come ad esempio il tipo di prestazione richiesta, la data e l’ora della prenotazione ecc..) nonché le informazioni relative al personale impiegato nella gestione degli appuntamenti (quanti utenti venivano serviti, in che tempi ecc..).

In quest’ultimo caso, in particolare, il sistema registrava e generava report giornalieri contenenti anche informazioni di dettaglio sull’attività lavorativa (data, tipo di servizio, nominativo dell’addetto allo sportello, tempo di chiamata e tempo di attesa), tutti dati che, all’oscuro dei singoli protagonisti, erano in grado di rivelare molto sull’andamento dell’attività lavorativa.Manco a dirlo, tali operazioni erano effettuate senza che né gli utenti né i dipendenti avessero ricevuto, come richiesto dal Regolamento Ue, un’informativa completa sui trattamenti resi possibili dall’applicativo.

Il Garante ha accertato più di un profilo di difformità dei comportamenti di Roma Capitale rispetto al GDPR, oltre alla violazione degli obblighi di informazione che l’Ente avrebbe dovuto fornire a utenti e dipendenticon riguardoai trattamenti dei loro dati effettuatiattraverso il sistema TuPassi” ha commentato il Prof. Giovanni Crea, direttore della Rivista di ‘Diritto, Economia e Tecnologie della Privacy’ dell’Istituto Italiano per la Privacy, sentito per l’occasione da LabParlamento. “In particolare il Garante ha accertato anche l’inosservanza degli artt. 5 (princìpi generali), 28 (atto giuridico con cui regolamentare i trattamenti affidati alla societàMiropass, fornitrice del sistema)e 32 (l’obbligo di adottare misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio)”.

Anche la società gestore del servizio, infatti, è caduta sotto la scure del Garante, con una sanzione da 40 mila euro e un provvedimento di avvertimento nei confronti della medesima società fornitrice e di tutti i soggetti pubblici e privati che utilizzano il sistema “TuPassi” in ordine alla possibilità che il suo utilizzo, con le modalità già censurate dal Garante, possa violare il GDPR. Appare adesso imprescindibile, dunque, aggiornare le nuove regole, che dovranno essere tutte quante conformi con la disciplina in materia di protezione dati evidenziata dall’Autorità.Miropass, la società che ha sviluppato il sistema di prenotazione, si è però affrettata a rassicurare tutti gli utenti sul fatto che nessun dato sensibile sia stato diffuso.

Peraltro, come emerge dal Provvedimento n. 280/2020, il Garante sembra aver riscontrato difficoltà operative dal lato della figura del Responsabile della protezione dei dati con riguardo alla funzione di referente per l’amministrazione capitolina nonché di punto di contatto per il Garante per le questioni connesse al trattamento, per effetto delle scelte organizzative dell’Ente” ha concluso il Prof. Crea.“Tutti questi aspetti evidenziano la sostanziale assenza di un modello organizzativo privacy”.Insomma c’è il rischio, adesso, che il tempo risparmiato non facendo la filasi perderà tutto quanto in un’aula di tribunale.