Autostrade per l’Italia (ASPI) ha ricevuto una multa di un milione di euro dal Garante per la protezione dei dati personali, in quanto ha trattato in modo illecito i dati di oltre 100.000 utenti che hanno usato l’app Free To X per chiedere il rimborso del pedaggio (cashback).
Errata indicazione dei ruoli
Il procedimento istruttorio è stato avviato in seguito alla segnalazione di Assoutenti. Il sistema di rimborso (cashback) del pedaggio in caso di ritardi dovuti ai lavori è stato introdotto a settembre 2021 tramite l’app Free To X, sviluppata dall’omonima società costituita il 20 gennaio 2021 e interamente controllata da ASPI.
Durante il procedimento, il Garante della privacy ha accertato l’errata indicazione dei ruoli in relazione al trattamento dei dati degli utenti. Contrariamente a quanto specificato dalle società nel corso dell’istruttoria, il titolare del trattamento è ASPI, mentre Free To X riveste il ruolo di responsabile del trattamento.
È stata ASPI infatti, in qualità di concessionario della rete autostradale, ad aver individuato il meccanismo di rimborso, la natura delle misure compensative, le modalità di adempimento, la tipologia del ritardo correlato alla presenza dei cantieri, attribuendo a Free To X solamente compiti di attuazione del servizio.
L’informativa sulla privacy non è stata quindi correttamente formulata, in quanto avrebbe dovuto indicare ASPI come titolare del trattamento. Ne consegue la violazione dell’art. 5 del GDPR (Regolamento generale sulla protezione dei dati). Inoltre, la mancata designazione di Free To X quale responsabile del trattamento determina la violazione, da parte di ASPI, dell’art. 28 del GDPR.
ASPI ha pertanto ricevuto una multa di un milione di euro. L’autorità non ha indicato misure correttive perché l’informativa sulla privacy è stata aggiornata per indicare correttamente i ruoli di titolare e responsabile.