Il Garante per la protezione dei dati personali ha comminato l’ennesima sanzione al comune di Roma Capitale. L’amministrazione capitolina e la società Roma Servizi per la Mobilità hanno ricevuto una multa complessiva di 410.000 euro per non aver correttamente protetto i dati dei cittadini che utilizzano il permesso di accesso alle zone a traffico limitato (ZTL). Questi dati possono essere letti con una semplice app per smartphone.
Permessi ZTL: dati esposti dal codice QR
L’istruttoria è stata avviata dal Garante a fine 2018, dopo aver ricevuto una segnalazione e aver appresso il problema da alcuni articoli di stampa. I permessi di accesso alle ZTL del comune di Roma riportano dati in chiaro, come la targa del veicolo, il tipo di autorizzazione e la data di scadenza. Altri dati sono invece codificati nel codice QR stampato sul contrassegno.
Il contenuto del codice doveva essere letto solo dagli addetti al controllo, ma il Garante ha accertato che tutti potevano decodificare il codice con una banale app per smartphone. Si scopriva così un link al sito di verifica dei permessi, in cui chiunque poteva trovare nome e cognome del titolare e dell’utilizzatore (o la ragione sociale in caso di aziende) e la categoria del richiedente, senza autenticazione. Era poi sufficiente cambiare il PID per accedere ai dati di altri assegnatari.
Al comune di Roma è stata quindi applicata una sanzione di 350.000 euro, calcolata tenendo conto dell’elevato numero di persone interessate, dell’esteso lasso temporale della violazione e delle precedenti violazioni in materia di privacy già commesse dall’ente locale.
La società Roma Servizi per la Mobilità, responsabile del trattamento dei dati, non ha invece valutato i rischi, progettando e realizzando un sistema informativo inadeguato che non limitava l’accesso alle sole persone autorizzate. Pertanto il Garante ha comminato una sanzione di 60.000 euro, tenendo conto delle misure tecniche già adottate per limitare il problema (username e password).