Il Garante Privacy ha sanzionato il Comune di Roma in relazione al sistema utilizzato per gestire i permessi di ingresso nelle ZTL. L’Ente aveva affidato il servizio ad una società, che a sua volta lo ha gestito attraverso dei QRcode, da esporre sul parabrezza. In questo modo, il Comune ha semplificato l’impiego del classico contrassegno autorizzativo necessario per accedere alle ZTL.
Peccato però che, come si è scoperto, il QRcode era leggibile da chiunque. Bastava cioè utilizzare una qualsiasi app installata sullo smartphone e inquadrare il codice per accedere al nominativi del soggetto titolare di un permesso. Non solo. L’istruttoria ha chiarito che questi QRcode generavano indirizzi URL formati da due parametri: uno, numerico, relativo all’identità del titolare del permesso; un altro inerente alla validità del permesso stesso. Ebbene, una volta ottenuto un indirizzo URL attraverso la lettura del codice, era sufficiente modificare il parametro numerico per accedere ai dati di un soggetto ulteriore, diverso dal titolare del permesso cui si riferiva l’URL originariamente generata. Praticamente, ciascun QRcode era un “cavallo di Troia” per accedere al database completo dei titolari di permessi di accesso.
Perfino superfluo aggiungere che queste circostanze rappresentano una macroscopica violazione delle norme a tutela dei dati personali. A coronamento dell’istruttoria, il Garante ha infine rilevato che il Municipio non aveva provveduto a incaricare, quale responsabile del trattamento, il soggetto che offriva servizio di hosting di questi dati.
Le sanzioni elevate sono piuttosto salate. 350.000 euro per il Comune, 60.000 per la società cui era stato affidato il servizio.
Avv. Andrea MARTINIS
diritto civile (responsabilità civile, assicurazioni, recupero crediti), privacy, diritto penale