Al termine di un complesso procedimento durato quasi tre anni, il Garante per la protezione dei dati personali ha ordinato al comune di Roma Capitale il pagamento di una sanzione di 500.000 euro per l’illecito trattamento dei dati personali di utenti e dipendenti attraverso il servizio TuPassi. L’autorità ha multato anche la società che sviluppa il sistema per una somma di 40.000 euro.
Aggiornamento: TuPassi ci spiega con chiarezza quanto accaduto.
TuPassi: elimina code senza privacy
TuPassi è un servizio “elimina code” utilizzato in diversi comuni e inserito anche tra quelli dell’iniziativa Solidarietà Digitale. Permette di effettuare prenotazioni per appuntamento mediante computer, smartphone e totem. A seguito dei controlli effettuati dal Garante sull’uso del servizio da parte del comune di Roma Capitale sono state riscontrate diverse criticità in relazione al trattamento dei dati.
Un numero eccessivo di informazioni sensibili, molte delle quale riferite a prenotazioni per prestazioni sanitarie (tipo, data, ora), erano stati conservati sui server del comune per un lungo periodo di tempo. Il sistema generava inoltre report giornalieri sull’attività dei dipendenti (nome, data, tempo di attesa). Queste operazioni venivano effettuate senza fornire agli utenti e ai dipendenti un’informativa completa sul trattamento dei dati, come previsto dal GDPR (Regolamento generale sulla protezione dei dati).
Tra l’altro, il report sull’attività degli addetti allo sportello non rispettava le garanzie previste dallo statuto dei lavoratori sul controllo a distanza. La sanzione di 500.000 euro è stata inflitta anche perché il comune di Roma non ha implementato misure tecniche e organizzative adeguate.
Una sanzione di 40.000 euro è stata inoltre comminata alla società che sviluppa TuPassi, ovvero Miropass, in quanto non ha rispettato le norme attuali sulla raccolta, trattamento e cancellazione dei dati personali degli utenti. La stessa società ha infine ricevuto un’ingiunzione che prevede l’obbligo di apportare i necessari aggiornamenti al servizio, in modo da renderlo conforme alla disciplina sulla protezione dei dati.
Aggiornamento: il punto di vista di TuPassi
Grazie alla collaborazione di TuPassi, apprendiamo che il gruppo ha offerto massima collaborazione al Garante fin dalla fase istruttoria per approfondire al meglio i rilievi appurati dall’Authority. Nello specifico non sono emersi problemi in relazione all’infrastruttura informatica del servizio, ma soltanto questioni formali sottovalutate nella prima fase di sviluppo dell’app.
TuPassi è un sistema di gestione delle sale d’attesa in tempo reale, che supera il tradizionale “numeretto” coordinando diverse variabili che danno origine a slot temporali prenotabili su 3 canali sincronizzati (totem, portale Web e da App) e gestisce tutte le esigenze concrete (come ritardi dell’utente ma anche degli sportelli, come richiamata, necessità di ritornare in giornata per presentare documenti mancanti senza prenotare nuovamente, etc.): TuPassi offre un servizio unico ed innovativo; si è trovato posto in un’area difficile e di confine rispetto alla rigidità necessaria di una normativa ma abbiamo lavorato, fin dal 2018, per superare questa complessità ed offrire un servizio oltre che utile anche sicuro per i cittadini.
Fin dal 2019, in ogni caso, “il sistema conserva i dati personali dell’utente prenotato sul server della struttura che utilizza TuPassi per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati“. Inoltre “L’utente che accede al nostro sistema per la prima volta, dopo aver effettuato la registrazione e approvato la nostra informativa della privacy, per poter effettuare una prenotazione online su uno dei servizi delle Aziende presenti sul portale TuPassi, è necessario che dia il consenso, se rifiuta può recarsi all’ufficio di suo interesse prenotando dal totem ma solo per la stessa giornata a seconda delle disponibilità“.
La sicurezza è oggi garantita tanto dal punto di vista sostanziale, quanto dal punto di vista formale. Per fruire del servizio il link è questo.