La municipalité de Rome et la société de services de mobilité ont été sanctionnés par l’Autorité de protection de la vie privée pour ne pas avoir protégé de manière adéquate les données des citoyens auxquels avait été accordé le permis d’accès aux zones à trafic limité. Les sanctions, d’un montant total de 410000 euros, sont arrivées au résultat de l’instruction entamée à la suite d’une signalisation et à des articles de presse sur les problèmes relatifs au contrôle des pass ZTL.

Les éléments de preuve recueillis par l’Autorité ont montré que les permis d’accès affichés sur les véhicules présentaient un code à barres bidimensionnel (QR code) qui permettait aux employés de vérifier en temps réel la validité de la marque et à qui elle était attribuée.

Cependant, ce code pouvait être lu avec une application simple (app) installée dans la plupart des smartphones du commerce. Ainsi, toute personne pouvait avoir accès au nom du titulaire du permis (par exemple, le nom de l’entreprise, de l’institution, de l’école spécifique ou de la personne physique), au nom de son utilisateur et à la catégorie du demandeur, ainsi qu’à la plaque d’immatriculation du véhicule.

Au cours des vérifications de l’Autorité, un problème supplémentaire a été relevé dans la gestion des données : quiconque, après s’être connecté, par l’intermédiaire du QR code, à la page web avec les données de l’autorisation examinée, pouvait également accéder aux informations relatives aux titulaires d’autres laissez-passer en modifiant simplement le numéro d’identification de la carte (PID).

La responsabilité de la ville et de la société pour la diffusion illicite des données personnelles des détenteurs des pass est différente.

La société de services de mobilité – désignée responsable du traitement des données par Roma Capitale – n’avait pas correctement évalué les risques et avait conçu et mis en place un système d’information inadéquat, qui ne limitait pas l’accès aux données aux seules personnes autorisées. La commune – responsable du traitement des données relatives aux pass -n’avait pas non plus adopté de mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques spécifiques du traitement.

Rome Capitale, entre autres, n’avait pas fourni à la société de services de mobilité des instructions spécifiques pour traiter correctement les données personnelles des utilisateurs du service (titulaires des autorisations ZTL et utilisateurs), empêchant l’accès par des tiers non autorisés. La commune n’avait pas non plus procédé à désigner comme responsable du traitement une autre société qui fournissait le service d' »hébergement » des systèmes informatiques utilisés pour la gestion des permis.

L’Autorité pour la Protection des Données Personnelles a donc adopté deux mesures correctives et sanctions distinctes. À Rome Capitale, il a appliqué une sanction de 350000 euros, calculée en tenant compte du grand nombre de personnes concernées, de la période prolongée de l’infraction, ainsi que des précédentes violations en matière de vie privée déjà commises par la collectivité locale.
La société de mobilité a été condamnée à une amende de 60000 euros en raison des premières mesures techniques et organisationnelles déjà prises pour limiter le problème. Des mesures correctives ont également été imposées aux deux parties pour limiter la consultation des données à caractère personnel relatives aux autorisations ZTL.

SOURCE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELL’ITALIA – GPDP