La Autoridad sanciona el Municipio y Atac
La Autoridad de Protección de Datos de Italia ha sancionado con 1 millón de euros Roma Capitale, la sociedad de servicios Atac Spa y un sub proveedor, par ano haber protegido los datos de los conductores que aparcan en el territorio del municipio.
La decisión se ha tomado después de una investigación empezada después de una queja por parte de un usuario que se quejo de los nuevos pacómetros en el territorio del municipio en 2018. La sociedad Atac Spa, encargada desde el Municipio también por la gestión de los aparcamientos, había empezado una actualización tecnológica de los pacómetros para ofrecer nuevos servicios (como el pago de sanción o la compra/renovación de los títulos de transporte publico) y para introducir nuevas modalidades de pago, añadiendo también el número de matrícula del vehículo. Para de la instrumentación ha sido proporcionada desde otra sociedad, Flowbird Italia Srl (ex Parkeon Srl). Todas las informaciones sobre el aparcamiento se gestionaban mediante un sistema centralizado al cual tenia el acceso, mediante una aplicación específica, también el personal encargado de controlar el pago de los aparcamientos.
Durante la inspección, conducida en cooperación con el Núcleo Especial de la privacidad de la Guardia de Finanza italiana, han surgido diferentes irregularidades. En primer lugar, el Municipio de Roma, como responsable del tratamiento, no había designado la sociedad Atac Spa como encargado del tratamiento, ni tampoco le había proporcionado direcciones necesarias sobre como tratar los datos. Ni tampoco la sociedad sub proveedora ha sido encargada formalmente o educada a realizar el tratamiento de datos.
Ha surgido que las sociedades no habían realizado el registro de los tratamientos de datos y que el proyecto ha sido realizado sin respectar los principios de protección de datos desde la realización, y con configuración predefinida, como solicitado desde el Reglamento Europeo GDPR. No han definido los tiempos de conservación de los datos recogidos y ni tampoco han sido adoptadas las medidas de seguridad idóneas. Ha sido por ejemplo acertado que, durante las verificaciones, algunos flujos de datos desde y hacia el sistema implementado desde Atac Spa viajaban en canales no seguros. El personal encargado, además, habría podido controlar de manera masiva y continua cualquiera matricula, para conocer los hábitos de una persona y los lugares de aparcamiento, sin dejar algún rastreo en el sistema informativo.
A la luz de las violaciones constatadas y del tratamiento ilícito de los datos, el Garante para la privacidad ha impuesto una sanción de 800.000 a Roma Capital, de 400.000 a Atac Spa y de 30.000 a Flowbird Italia srl.
Al calcular la sanción por tratamiento ilegal de datos, la Autoridad tuvo en cuenta la gran cantidad de datos personales tratados (de junio de 2018 a noviembre de 2019 el sistema de Atac Spa ya había registrado los datos de 8.600.000 paradas y todavía hoy interesa potencialmente todos los temas que se benefician del servicio de parada a pago en el territorio municipal) y de las sanciones ya recibidas por la violación de la privacidad, pero también de la positiva colaboración ofrecida por Roma Capital y las empresas para resolver algunas violaciones observadas durante la inspección.
A pesar de las modificaciones introducidas en el sistema de gestión de aparcamientos, la Autoridad observó la persistencia de problemas relacionados con las medidas de seguridad, por lo que también exigió la adopción de medidas correctoras y de seguridad adecuadas para proteger la información recopilada.
FUENTE: AUTORITA’ GARANTE ITALIANA PER LA PROTEZIONE DEI DATI PERSONALI -GPDP