TuPassi: Maximulta di 500mila euro per il Comune di Roma

Reading Time: 3 minutes
TuPassi

TuPassi. Un servizio messo a disposizione dal Comune di Roma Capitale, che consente agli utenti di prenotare servizi e appuntamenti, anche nel settore sanitario, utilizzando diversi canali.

App mobile, sito internet, totem posizionati presso le Pubbliche Amministrazioni o presso i professionisti che erogano le prestazione.

Un servizio che, al Garante della Protezione dei Dati Personali, è sembrato non proprio carente di criticità. E, proprio in virtù di tali sospetti, il Garante ha potuto verificare il trattamento illecito dei dati di utenti e dipendenti, che erano ignari di come i dati forniti venissero usati.

A darcene notizia è lo stesso Garante, con la Newsletter n° 472 del 25 gennaio 2021. Proviamo ad andare più a fondo alla questione.

TuPassi: Maximulta di 500mila euro

Il provvedimento di sanzione, dal valore di 500 mila euro, è stato adottato al termine di una complessa attività istruttoria, attività che aveva già portato all’adozione di un provvedimento nel marzo 2019 con il quale il Garante aveva dichiarato illeciti i trattamenti effettuati da Roma Capitale tramite TuPassi e prescritto talune misure correttive.

TuPassi: Le criticità del servizio

TuPassi, ad un’attenta analisi, è risultato un servizio ambiguo, facilmente utlizzabile per scopi “altri” rispetto a quelli proposti.

Le criticità rilevate sul sistema sono numerose: 

  • Consente, infatti, di acquisire e memorizzare sui server di Roma Capitale, per un lungo periodo di tempo, numerosi dati degli utenti relativi alle prenotazioni (tipo di prestazione, canale utilizzato, data e ora della prenotazione) e del personale impiegato nella gestione degli appuntamenti. 
  • Il sistema registra e genera report giornalieri contenenti anche informazioni di dettaglio sull’attività lavorativa (data, tipo di servizio, nominativo dell’addetto allo sportello, tempo di chiamata e tempo di attesa). Introdotta senza le necessarie garanzie previste dallo Statuto dei lavoratori sul controllo a distanza.
  • Tutte le operazioni sono effettuate senza che né gli utenti né i dipendenti avessero ricevuto, come richiesto dal Regolamento Ue, un’informativa completa sui trattamenti resi possibili dall’applicativo.
  • Inadeguate le misure tecniche e organizzative implementate dall’Ente, il quale non aveva altresì disciplinato il rapporto con la società fornitrice del sistema di prenotazione.

Insomma, un servizio a dir poco pericoloso che faceva somigliare, tristemente, il comune di Roma alla stessa Amazon dei bracciali elettronici al polso dei picker. Un bracciale che sarebbe dovuto servire a velocizzare l’attività dei dipendenti attraverso l’immediata triangolazione dei dati relativi al posizionamento del lavoratore e dei pacchi da ritirare.

Certo, Amazon non è nota per la sua politica worker-friendly. E il Comune di Roma?

TuPassi: I provvedimenti inflitti alla Società

Per quanto concerne la società fornitrice, l’Autorità ha comminato, inoltre, con separato provvedimento una sanzione di 40mila euro per i trattamenti effettuati in qualità di autonomo titolare.

È stato inoltre adottato un provvedimento di avvertimento nei confronti della medesima società fornitrice e di tutti i soggetti pubblici e privati che utilizzano il sistema TuPassi in ordine alla possibilità che il suo utilizzo, con le modalità già censurate dal Garante, possa violare il Regolamento, ingiungendo alla società di avviare con loro i necessari aggiornamenti per rendere il sistema conforme alla disciplina in materia di protezione dati, secondo le indicazioni del Garante.

A fronte di questi rilievi, il Garante ha ritenuto inadeguate le misure tecniche e organizzative implementate dall’amministrazione guidata da Virginia Raggi, che non risulta abbia disciplinato il rapporto con la società fornitrice del sistema di prenotazione. Nel mirino del garante è finita inoltre la funzione che consente di produrre report sull’attività degli addetti allo sportello, “introdotta – come ha spiegato il Garante – senza le necessarie garanzie previste dallo Statuto dei lavoratori sul controllo a distanza”.

TuPassi: Le dichiarazioni del Garante

Il Garante ha definito il procedimento “complesso” ma anche “aggravato dalle difficoltà operative derivanti dalle scelte organizzative dell’Ente”. A quanto si apprende, addirittura, è risultato difficile individuare correttamente la figura del Reponsabile della protezione dei dati, soggetta ad avvicendamenti nel corso dell’istruttoria. Una circostanza, questa, che ha reso sicuramente meno efficace la cooperazione con il Garante.

Cosa succederà adesso?

Probabilmente, siamo solo all’inizio. Però, l’arbitro ha sventolato il suo cartellino rosso. E a difesa della libertà dei dipendenti.