di Francesca Lauri
I dati degli utenti relativi alle prenotazioni e del personale impiegato nella gestione degli appuntamenti gestiti con il sistema “Tupassi” restavano memorizzati, per lungo tempo, numerosi sui server del Campidoglio. Tutte le operazioni venivano effettuate dal Comune di Roma Capitale senza che né gli utenti né i dipendenti avessero ricevuto, come invece richiesto dal regolamento europeo, un’informativa completa sui trattamenti resi possibili dall’applicativo utilizzato.
Per questi motivi il Garante per la protezione dei dati personali ha ordinato a Roma Capitale il pagamento di una sanzione di 500 mila euro per “illecito trattamento di dati personali di utenti e dipendenti“, effettuato proprio attraverso il sistema telematico di prenotazione degli appuntamenti utilizzato dall’amministrazione comunale.
Nella newsletter del Garante si legge che il provvedimento, “è stato adottato al termine di una complessa attività istruttoria avviata a seguito di controlli svolti dall’Autorità sulle app utilizzate dalla pubblica amministrazione per l’erogazione dei servizi, condotta anche in collaborazione con il nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza“. Nel marzo del 2019 l’Authority aveva dichiarato illeciti i trattamenti effettuati tramite “TuPassi” e prescritto alcune misure correttive. Numerose le criticità rilevate sul sistema che consente agli utenti di prenotare servizi di sportello e appuntamenti, anche nel settore sanitario, utilizzando diversi canali: app mobile, sito internet, totem posizionati presso gli uffici (anche nei Municipi) e i professionisti che erogano le prestazioni. I trattamenti hanno infatti interessato un’ingente mole di dati personali, anche molto delicati perché relativi a prenotazioni di vari servizi e di prestazioni sanitarie.
Nel caso dei dipendenti comunali il sistema registrava e generava in particolare dei report giornalieri contenenti anche informazioni di dettaglio sull’attività lavorativa: data, tipo di servizio, nominativo dell’addetto allo sportello, tempo di chiamata e tempo di attesa.
L’Autorità ha comminato, inoltre, una sanzione di 40 mila euro alla società fornitrice del sistema per i trattamenti effettuati, in qualità di autonomo titolare. È stato infine adottato un provvedimento di avvertimento nei confronti della medesima società fornitrice e di tutti i soggetti pubblici e privati che utilizzano il sistema “TuPassi”, per la possibilità che il suo utilizzo, con le modalità già censurate dal Garante, possa violare le norme dell’Unione europea, ingiungendo alla società “di avviare con loro i necessari aggiornamenti per rendere il sistema conforme alla disciplina in materia di protezione dati, secondo le indicazioni del Garante“.
