Sulla carta, è un’applicazione molto utile. E di sicuro lo è stata per i tanti utenti romani che, utilizzandola, hanno saltato lunghe code e attese prenotando con un clic servizi di ogni genere e prenotando anche prestazioni sanitarie; tutto questo però, secondo quanto emerso dai controlli del Garante per la privacy, avrebbe creato una vera e propria falla nella privacy di questi stessi cittadini e anche di chi gestiva le loro richieste. Un esempio: se un cittadino prenotava una visita medica utilizzando la app, moltissimi dei suoi dati sensibili finivano nel data base, come quelli relativi a chi, dall’altro capo dell’applicazione, lavorava per lui. Un vulnus nella privacy che costerà al Comune di Roma il pagamento di una maxi sanzione da 500mila euro. Né gli utenti né i dipendenti, infatti, secondo il Garante erano adeguatamente informati, come richiesto dal Regolamento Ue, attraverso un’informativa completa sui trattamenti resi possibili dall’applicativo. A Roma la app viene usata nelle 15 municipalità e riguarda anagrafe, stato civile, servizi elettorali, licenze commerciali, tributi e rimborsi, edilizia privata.
«Il provvedimento di sanzione – si legge in una nota del Garante – è stato adottato al termine di una complessa attività istruttoria avviata a seguito di controlli svolti dall’Autorità sulle app utilizzate dalla pubblica amministrazione per l’erogazione dei servizi, condotta anche in collaborazione con il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza. Attività che aveva già portato all’adozione di un provvedimento nel marzo 2019 con il quale il Garante aveva dichiarato illeciti i trattamenti effettuati da Roma Capitale tramite “TuPassi e prescritto talune misure correttive».
Dai controlli sono quindi emerse delle criticità, anche per la prenotazione nel settore sanitario che può avvenire sia dal sito del Comune che dalla app e dai totem posizionati in città e negli studi dei professionisti.
«I trattamenti hanno infatti interessato un’ingente mole di dati personali – continua la nota – anche molto delicati perché relativi a prenotazioni di vari servizi e di prestazioni sanitarie. Il sistema consentiva, infatti, di acquisire e memorizzare sui server di Roma Capitale, per un lungo periodo di tempo, numerosi dati degli utenti relativi alle prenotazioni (tipo di prestazione, canale utilizzato, data e ora della prenotazione) e del personale impiegato nella gestione degli appuntamenti. In quest’ultimo caso, in particolare, il sistema registrava e generava report giornalieri contenenti anche informazioni di dettaglio sull’attività lavorativa (data, tipo di servizio, nominativo dell’addetto allo sportello, tempo di chiamata e tempo di attesa). Tutte le operazioni erano effettuate senza che né gli utenti né i dipendenti avessero ricevuto, come richiesto dal Regolamento Ue, un’informativa completa sui trattamenti resi possibili dall’applicativo».
Il Garante ha ritenuto, inoltre,« inadeguate le misure tecniche e organizzative implementate dall’Ente, il quale non aveva altresì disciplinato il rapporto con la società fornitrice del sistema di prenotazione. Bocciata anche la funzione che consente di produrre report sull’attività degli addetti allo sportello, introdotta senza le necessarie garanzie previste dallo Statuto dei lavoratori sul controllo a distanza».
L’Autorità ha comminato, inoltre, con separato provvedimento una sanzione di 40mila euro alla società fornitrice del sistema per i trattamenti effettuati in qualità di autonomo titolare, in particolare, con riguardo alla prenotazione di servizi sanitari da parte degli utenti e alla manutenzione del sistema per conto dei clienti, nei casi in cui tale attività comportasse il trattamento di dati personali di utenti e dipendenti.
È stato inoltre adottato un provvedimento di avvertimento nei confronti della medesima società fornitrice e di tutti i soggetti pubblici e privati che utilizzano il sistema “TuPassi” in ordine alla possibilità che il suo utilizzo, con le modalità già censurate dal Garante, possa violare il Regolamento, ingiungendo alla società di avviare con loro i necessari aggiornamenti per rendere il sistema conforme alla disciplina in materia di protezione dati, secondo le indicazioni del Garante.
Leggi anche:
– Anestetici letali a pazienti affetti da Coronavirus: arrestato primario del pronto soccorso di un ospedale del Bresciano
– Lombardia in zona rossa per errore, Fontana si arrampica sugli specchi ma una mail conferma: sbagliati i dati inviati
– Ercolano dice addio a don Raffaele, il parroco che guidò la riscossa civile contro i camorristi. Scrisse: «Mandate l’Esercito»
– Luca, morto come George Floyd in Uruguay. La famiglia cerca la verità: «Siamo stati abbandonati da Di Maio»
– Gratteri e la questione morale che agita la magistratura. L’intervista al Corsera (poi corretta) arriva davanti al Csm
– Crisi, Bonafede blindato dal M5s: Di Maio opziona le urne per salvare ministro e partito. Conte: dimissioni e nuovo Governo
lunedì, 25 Gennaio 2021 - 15:00
© RIPRODUZIONE RISERVATA
