Civile.it
/internet
Osservatorio sul diritto e telecomunicazioni informatiche, a cura del dott. V. Spataro dal 1999, documenti.

Il dizionario e' stato letto volte.



Segui via: Email - Telegram
  Dal 1999   spieghiamo il diritto di internet  Store  Podcast  Dizionario    
             

  


Garante 01.04.2021    Pdf    Appunta    Letti    Post successivo  

TuPassi non s'ha da fare: sanzionata l'azienda informatica e avvertimento a tutti i suoi clienti.

NEWSLETTER N. 472 del 25 gennaio 2021

Roma Capitale: sanzione del Garante privacy per "TuPassi"
Cittadini e dipendenti ignari su come venivano usati i loro dati



Garante Privacy

 

I

Il Garante per la protezione dei dati personali ha ordinato a Roma Capitale il pagamento di una sanzione di 500mila euro per illecito trattamento di dati personali di utenti e dipendenti, effettuato attraverso il sistema di prenotazione degli appuntamenti "TuPassi".

Il provvedimento di sanzione è stato adottato al termine di una complessa attività istruttoria avviata a seguito di controlli svolti dall’Autorità sulle app utilizzate dalla pubblica amministrazione per l’erogazione dei servizi, condotta anche in collaborazione con il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza. Attività che aveva già portato all’adozione di un provvedimento nel marzo 2019 con il quale il Garante aveva dichiarato illeciti i trattamenti effettuati da Roma Capitale tramite “TuPassi e prescritto talune misure correttive.

Numerose le criticità rilevate sul sistema che consente agli utenti di prenotare servizi di sportello e appuntamenti, anche nel settore sanitario, utilizzando diversi canali: app mobile, sito internet, totem posizionati presso le Pa e i professionisti che erogano le prestazioni.

I trattamenti hanno infatti interessato un’ingente mole di dati personali, anche molto delicati perché relativi a prenotazioni di vari servizi e di prestazioni sanitarie. Il sistema consentiva, infatti, di acquisire e memorizzare sui server di Roma Capitale, per un lungo periodo di tempo, numerosi dati degli utenti relativi alle prenotazioni (tipo di prestazione, canale utilizzato, data e ora della prenotazione) e del personale impiegato nella gestione degli appuntamenti. In quest’ultimo caso, in particolare, il sistema registrava e generava report giornalieri contenenti anche informazioni di dettaglio sull’attività lavorativa (data, tipo di servizio, nominativo dell’addetto allo sportello, tempo di chiamata e tempo di attesa). Tutte le operazioni erano effettuate senza che né gli utenti né i dipendenti avessero ricevuto, come richiesto dal Regolamento Ue, un’informativa completa sui trattamenti resi possibili dall’applicativo.

Il Garante ha ritenuto, inoltre, inadeguate le misure tecniche e organizzative implementate dall’Ente, il quale non aveva altresì disciplinato il rapporto con la società fornitrice del sistema di prenotazione. Bocciata anche la funzione che consente di produrre report sull’attività degli addetti allo sportello, introdotta senza le necessarie garanzie previste dallo Statuto dei lavoratori sul controllo a distanza.

L’Autorità ha comminato, inoltre, con separato provvedimento una sanzione di 40mila euro alla società fornitrice del sistema per i trattamenti effettuati in qualità di autonomo titolare, in particolare, con riguardo alla prenotazione di servizi sanitari da parte degli utenti e alla manutenzione del sistema per conto dei clienti, nei casi in cui tale attività comportasse il trattamento di dati personali di utenti e dipendenti.

È stato inoltre adottato un provvedimento di avvertimento nei confronti della medesima società fornitrice e di tutti i soggetti pubblici e privati che utilizzano il sistema "TuPassi" in ordine alla possibilità che il suo utilizzo, con le modalità già censurate dal Garante, possa violare il Regolamento, ingiungendo alla società di avviare con loro i necessari aggiornamenti per rendere il sistema conforme alla disciplina in materia di protezione dati, secondo le indicazioni del Garante.

Si conclude così un procedimento complesso, aggravato dalle difficoltà operative derivanti dalle scelte organizzative dell’Ente, anche sotto il profilo della corretta individuazione della figura del Responsabile della protezione dei dati, soggetta ad avvicendamenti nel corso dell’istruttoria, circostanza che ha reso meno efficace la cooperazione con il Garante.

01.04.2021 Garante Privacy
Garante Privacy


Piu' P.A. e piu' lotta alle immagini sessualmente esplicitie
Università sanzionata per come informa e verifica gli esami - testo integrale
La videosorveglianza a Udine trova persone sospette. Il Ministero dice che rispetta la privacy
Legal Design 5/5 - il decalogo del Garante: i passi successivi
Legal Design 4/5 - il decalogo del Garante in testo strutturato
Legal Design 3/5 - il decalogo del Garante riorganizzato in forma analitica
Legal Design 2/5 - il testo originale del decalogo del Garante
Legal Design 1/5 - il Decalogo del Garante sui dati dei vaccinati da parte di Enti Pubblici
Green pass, data di scadenza e Garante
Green Pass e documenti d'identità - le spiegazioni del Garante e del ministero - updated



Segui le novità in materia di Garante su Civile.it via Telegram
oppure via email: (gratis Info privacy)


Dossier:



dallo store:
visita lo store






Dal 1999 il diritto di internet. I testi sono degli autori e di IusOnDemand srl p.iva 04446030969 - diritti riservati - Privacy - Cookie - Condizioni d'uso - in 0.405