Il Garante ha appreso da fonti di stampa e da una segnalazione che l’amministrazione capitolina di Roma Capitale ha rilasciato permessi cartacei da esporre sui veicoli per l’accesso e la sosta nelle zone a traffico limitato (ZTL), che riportano sul frontespizio un QR code, che consente a chiunque, mediante l’utilizzo di una generica applicazione per dispositivi mobili di conoscere i dati personali relativi al titolare del permesso Z.T.L. o al suo utilizzatore.
Gli accertamenti del Garante hanno nel dettaglio che i QR code codificano indirizzi web in formato URL, che includono al loro interno due parametri: il primo (denominato “PID”), identificativo del singolo permesso, costituito da una sequenza numerica, il secondo (denominato “Source”), che indica l’eventuale validità temporanea del permesso.
In questo modo chiunque avrebbe potuto collegarsi all’indirizzo web del servizio di verifica dei permessi Z.T.L., accedendo così ai dati relativi al singolo permesso, tra cui: la denominazione sociale o istituzionale oppure il nome e il cognome del titolare del permesso, il nome e il cognome dell’utilizzatore del permesso, la categoria del richiedente, nonché la targa del veicolo autorizzato.
Il 20 maggio 2019 si è svolta l’audizione presso il Garante, ai sensi dell’art. 166, comma 6[1], richiesta da Roma Capitale, che ha rappresentato che “Roma Servizi per la Mobilità ha sempre ribadito […] la funzionalità dei contrassegni muniti di QR Code per il controllo da parte degli agenti accertatori e che le misure tecniche all’epoca adottate fossero rispondenti alla normativa vigente, [constatando] l’inidoneità delle stesse solamente a seguito di quanto è emerso al momento degli addebiti del Garante”, e da Atac, che ha chiarito che fornisce a Roma Servizi esclusivamente un servizio di hosting e di manutenzione di data base e connettività e che non ha accesso ai dati personali trattati nei server messi a disposizione.
L’autorità garante per la protezione dei dati personali ha considerato il comportamento non doloso e ha tenuto conto dell’atteggiamento riparatorio di Roma Capitale, che si è attivata al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi.
Si è tenuto inoltre conto però anche delle precedenti violazioni rilevate dall’Autorità nei confronti della stessa Roma Capitale nell’ambito di precedenti procedimenti.
Pertanto, nella valutazione complessiva degli elementi attenuanti e aggravanti del comportamento del Titolare del trattamento dei dati ha applicato la sanzione pecuniaria, nella misura di euro 350.000,00 (trecentocinquantamila) per la violazione degli artt. 5, 6, 28 e 32 del Regolamento.