Il Garante privacy sanziona il Titolare del trattamento e la filiera fornitori e sub-fornitori
Il Garante della privacy, con ordinanza del 22 luglio 2021, ha sanzionato con una somma complessiva di oltre un milione di euro Roma Capitale, Atac Spa ed un sub-fornitore, per non aver predisposto le tutele richieste dal Regolamento UE 679/2016 (anche GDPR) nei confronti degli automobilisti del territorio del Comune di Roma.
Atac Spa, incaricata dal Comune di Roma (Titolare del trattamento) anche per la gestione dei parcheggi comunali, aveva avviato nel 2018 la sostituzione dei vecchi parcometri per offrire nuovi servizi (ad esempio il pagamento di sanzione/tributi) e per introdurre nuove modalità di pagamento, inserendo anche il numero di targa del veicolo. Parte della strumentazione era stata fornita da un sub-fornitore di Atac Spa. Tutte le informazioni venivano gestite attraverso un sistema centralizzato, a cui vi poteva accedere anche il personale incaricato di controllare il pagamento dei parcheggi.
Le indagini hanno fatto emergere numerose irregolarità, in particolare, il Comune di Roma non aveva fornito alcuna informativa in merito al trattamento dei dati; non aveva nominato Atac Spa responsabile del trattamento (ex art. 28 GDPR) e non aveva fornito istruzioni su come trattare i dati raccolti. Neppure la società sub-fornitrice era stata incaricata formalmente ed istruita su come procedere al trattamento dei dati.
Altre irregolarità riguardavano la mancanza del Registro dei trattamenti, la definizione dei tempi di conservazione dei dati, e l’individuazione delle misure di sicurezza.
Il Garante ha comminato quindi una sanzione di 800.000 euro a Roma Capitale, di 400.000 ad Atac Spa e di 30.000 al sub-fornitore. Nel definire tali somme l’Autorità ha tenuto conto della grande quantità di dati personali trattati (da giugno 2018 a novembre 2019 il sistema aveva già registrato oltre 8,5 milioni di soste e ancora oggi interessa potenzialmente tutti i soggetti che usufruiscono del servizio sul territorio comunale).
Questo caso è un esempio di come il principio di accountability risulta essere particolarmente importante non solo il Titolare del trattamento, ma anche per anche eventuali sub-responsabili, ricade quindi su tutta la c.d. privacy supply chain.