Permessi Ztl: dati accessibili a chiunque. Sanzione del Garante a Roma Capitale

Il Comune di Roma e la società dei servizi per la mobilità sono stati sanzionati dal Garante per la Privacy per non aver adeguatamente protetto i dati dei cittadini ai quali era stato assegnato il permesso di accesso alle zone a traffico limitato. Le sanzioni, per complessivi 410mila euro, sono arrivate all’esito dell’istruttoria avviata in seguito a una segnalazione e ad alcuni articoli della stampa sui problemi relativi al controllo dei pass ZTL.

Dai riscontri raccolti dall’Autorità, è emerso che i permessi di accesso esposti sulle vetture presentavano un codice a barre bidimensionale (QR code) che consentiva agli addetti di verificare in tempo reale la validità del contrassegno e a chi era stato assegnato. Tale codice, però, poteva essere letto con una semplice applicazione (app) installata nella maggior parte degli smartphone in commercio. Chiunque, quindi, poteva accedere al nominativo del titolare del permesso (ad esempio il nome dell’azienda, dell’istituzione, della scuola specifica, o della persona fisica), al nominativo del suo utilizzatore e alla categoria del richiedente, nonché alla targa del veicolo.

Durante le verifiche del Garante è stata riscontrata un’ulteriore criticità nella gestione dei dati: chiunque, dopo essersi collegato, tramite il QR code, alla pagina web con i dati del permesso esaminato, poteva accedere anche alle informazioni relative agli assegnatari di altri pass semplicemente modificando il numero identificativo del contrassegno (PID).

Differenti le responsabilità del Comune e della società per l’illecita diffusione dei dati personali dei possessori dei pass.

La società di servizi per la mobilità – designata responsabile del trattamento dei dati da Roma Capitale – non aveva valutato correttamente i rischi e aveva progettato e realizzato un sistema informativo inadeguato, che non limitava l’accesso ai dati alle sole persone autorizzate. Anche il Comune – titolare del trattamento dei dati relativi ai pass –non aveva adottato misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi del trattamento. Roma Capitale, tra l’altro, non aveva fornito alla società di servizi per la mobilità istruzioni specifiche per trattare correttamente i dati personali degli utenti del servizio (titolari dei permessi ZTL e utilizzatori), impedendo l’accesso da parte di terzi non autorizzati. Il Comune non aveva neppure proceduto a designare responsabile del trattamento un’ulteriore società che forniva il servizio di “hosting” dei sistemi informatici utilizzati per la gestione dei permessi.

Il Garante per la protezione dei dati personali ha dunque adottato due distinti provvedimenti correttivi e sanzionatori. A Roma Capitale ha applicato una sanzione di 350.000 euro, calcolata tenendo conto dell’elevato numero di persone interessate, dell’esteso lasso temporale della violazione, nonché delle precedenti violazioni in materia di privacy già commesse dall’ente locale. Alla società per la mobilità, in considerazione delle prime misure tecniche e organizzative già adottate per limitare il problema, è stata invece irrogata una sanzione di 60.000 euro. Ad entrambi sono state inoltre imposte misure correttive per limitare la consultazione dei dati personali relativi ai permessi ZTL.

 

Garante privacy a media: tutela effettiva per le persone riprese in manette  

Attenzione alla pubblicazione di immagini con dettagli non essenziali che ledono la dignità della persona. Non basta pixelare le manette ai polsi di un fermato se il soggetto ripreso risulta identificabile, la tutela della persona deve essere effettiva. L’ammonimento del Garante per la privacy giunge a conclusione dei procedimenti aperti nei confronti di alcune testate, anche on line, per aver pubblicato le immagini di alcune persone, fermate in relazione all’omicidio del giovane Luca Sacchi, riprese “in evidente stato di costrizione fisica”. L’Autorità ha inoltre ordinato ad un quotidiano nazionale il pagamento di una sanzione di 20mila euro per non aver rispettato, a differenza degli altri media interessati, un primo provvedimento di temporanea limitazione del trattamento, adottato, in via d’urgenza, nell’immediatezza della pubblicazione delle immagini. Il provvedimento era stato deciso tenendo conto, oltre a quanto previsto dal Codice privacy e dalle Regole deontologiche per l’attività giornalistica, dall’art. 114 del Codice di procedura penale che vieta “la pubblicazione dell’immagine di persona privata della libertà personale ripresa mentre la stessa si trova sottoposta all’uso di manette ai polsi ovvero ad altro mezzo di coercizione fisica, salvo che la persona vi consenta”.

Le testate raggiunte dai nuovi provvedimenti dovranno quindi adeguarsi integralmente alle disposizioni stabilite dal Garante. Le immagini pubblicate che ritraggono alcune persone in uno stato di costrizione, sono risultate infatti lesive della loro dignità e, non contenendo un’informazione essenziale, sono state pubblicate in violazione del Codice privacy e delle Regole deontologiche del giornalismo, oltre che del Codice di procedura penale, non risultando evidente nel caso concreto la presenza di eccezioni al principio generale, quale ad esempio la sussistenza del consenso delle persone riprese. La sola pixelatura delle manette e dei polsi delle persone fermate, raffigurate in un contesto che rende palese la sussistenza di uno stato di costrizione fisica delle medesime, non è evidentemente sufficiente a garantire il rispetto dei divieti posti alla pubblicazione.

L’Autorità ha vietato ai media l’ulteriore trattamento delle immagini eccettuata la loro conservazione ai fini di un eventuale utilizzo in sede giudiziaria ed ha disposto l’invio dei provvedimenti adottati ai rispettivi Ordini dei giornalisti.

Il Garante coglie l’occasione per invitare ulteriormente tutte le testate che eventualmente continuino a divulgare simili immagini ad adeguarsi alle prescrizioni della normativa in materia di protezione dei dati personali.

 

Auto connesse e Assistenti vocali: le Linee guida dei Garanti privacy europei

Approvate definitivamente le regole sui veicoli intelligenti. In consultazione fino al 23 aprile quelle sugli assistenti vocali

Maggiori tutele per la privacy di conducenti e passeggeri delle auto connesse, trasparenza e sicurezza per i dati personali trattati dagli assistenti vocali sempre più usati da privati e imprese. Il Comitato europeo per la protezione dei dati (Edpb), ai cui lavori partecipa attivamente anche il Garante italiano, ha adottato specifiche linee guida per produttori e utilizzatori di tecnologie divenute ormai di uso quotidiano.

Le linee guida sulle auto connesse – praticamente tutti i veicoli di nuova generazione collegati in rete o tra di loro – sono state adottate definitivamente dopo un anno di lavoro, con il recepimento di alcune delle modifiche proposte nel corso della consultazione pubblica avviata a febbraio del 2020.

I Garanti europei chiedono all’industria automobilistica e a tutte le società coinvolte nella produzione e nello sviluppo di servizi per automobili intelligenti di procedere nel rispetto dei principi di privacy-by-design e di privacy-by-default, in modo che gli appartati raccolgano e trasmettano, per specifiche finalità, la minor quantità possibile di dati riferibili alle persone presenti sul veicolo. Le aziende per trattare i dati degli utenti dovranno operare su una base giuridica che, per le auto connesse, è di norma fondata sul consenso degli interessati (guidatori e passeggeri) e sul principio di necessità, ad esempio per l’assistenza alla guida e la sicurezza stradale, o per servizi assicurativi di tipo “pay-as-you-drive”. Inoltre, per questo tipo di assicurazioni, dovrà essere fornita agli automobilisti un’alternativa che non richieda l’installazione di “black box” e il tracciamento di mobilità.

Le persone sul veicolo dovranno essere informate in maniera chiara, nella loro lingua, sul trattamento dei dati effettuato e dovranno poter esercitare con facilità tutti i diritti garantiti dalla direttiva ePrivacy e dal Gdpr, anche attivando o disattivando autonomamente determinati servizi e trattamenti attraverso un’interfaccia di semplice utilizzo. Quando possibile, tutti i dati, in particolare quelli di geolocalizzazione, dovranno essere elaborati direttamente all’interno del veicolo e non trasmessi sul cloud. Tra le varie tutele indicate dai Garanti europei, vi sono anche quelle relative alla pseudonimizzazione o all’anonimizzazione dei dati, nonché quelle relative all’uso di tecniche crittografiche che ne garantiscano l’integrità e la protezione da accessi illeciti.

Nel corso dell’ultima riunione plenaria, l’Edpb ha approvato anche la prima versione delle linee guida relative agli assistenti vocali digitali (Vva – Virtual Voice Assistants), come quelli attivati negli smartphone o nei televisori intelligenti, negli stessi veicoli connessi o nei cosiddetti smart speaker presenti nelle case di molti italiani. Le linee guida sugli assistenti vocali digitali sono state poste in consultazione pubblica fino al 23 aprile 2021.

Una delle principali criticità individuate dai Garanti europei riguarda la molteplicità di tipologie dei dati trattati, delle persone coinvolti e di trattamenti eseguiti. Un assistente vocale può, infatti, eseguire, un ordine, rispondere a una domanda o a un comando di domotica, offrire un servizio di customer care per un’azienda, oppure rimanere semplicemente in ascolto in attesa di eventuali richieste. Il trattamento dei dati può riguardare un utente specifico, come quelli riconosciuti tramite tecniche di analisi biometrica della voce, oppure una pluralità indefinita di persone o di familiari.

Per offrire maggiori garanzie agli utenti e ridurre i rischi connessi, i Garanti europei hanno chiesto a produttori e sviluppatori di assistenti vocali che gli hardware e software usati siano progettati e impostati in automatico per garantire maggiore trasparenza e riservatezza nell’uso dei dati. L’utente deve esser emesso in grado di comprendere se il dispositivo è attivo oppure no, e in quale fase si trova: ad esempio, se è in ascolto o sta eseguendo un comando. È necessario che sia definita con chiarezza e trasparenza la titolarità del trattamento dei dati, anche nel caso di fornitori di servizi specifici, garantendo a tutti gli interessati la possibilità di esercitare in maniera semplice i propri diritti, come quello all’accesso, all’aggiornamento, alla cancellazione o alla portabilità dei dati. Dovranno inoltre essere ben distinte le finalità del trattamento dei dati, garantendo all’utente una libera espressione del consenso per specifici trattamenti, di dati come quello relativo al marketing, alla profilazione o al “machine learning” del servizio di intelligenza artificiale associato al dispositivo. Tra le misure a protezione dei dati sono indicate modalità sicure di autenticazione degli utenti, tecniche di pseudonimizzazione e specifiche tutele per i dati biometrici, facendo ad esempio in modo che il riconoscimento della voce dell’utente avvenga sul dispositivo e non da remoto.