Gdpr: manca nomina e registro. Tutti sanzionati!

Il provvedimento del Garante risale a luglio 2021 e riguarda tre soggetti: un importante Comune, una società di gestione dei parcheggi e la società che aveva fornito i parcometri di ultima generazione.

Un’ispezione ha evidenziato come svariati milioni di dati, appartenenti a utenti utilizzatori del servizio di parcheggio comunale, venissero memorizzati e trasferiti da un’entità all’altra, utilizzando canali ritenuti non sufficientemente sicuri.

I parcometri in questione sono in grado di gestire i pagamenti di parcheggi, di sanzioni, di mezzi pubblici, etc. e memorizzano anche le targhe degli automobilisti.

La sanzione verrà comminata per la mancata applicazione delle più efficaci misure tecniche di sicurezza e ripartita fra i tre soggetti in campo: il Comune, la società di gestione e la società fornitrice dei dispositivi.

La domanda potrebbe nascere spontanea: perché viene chiamato a rispondere anche chi non decide direttamente rispetto alle soluzioni tecnologiche adottate?

Nel caso specifico, la risposta sta nel mancato adempimento della formalizzazione della nomina di responsabilità esterna (art.28) che il Comune avrebbe dovuto sottoscrivere assieme alla società di gestione; così come non era stata formalizzata la nomina di responsabilità tra la società di gestione ed il fornitore dei parcometri. Quest’ultimo soggetto, responsabile nei confronti della società di gestione, diventa «sub responsabile» nei confronti del Comune.

La mancanza di un formale atto di nomina ha determinato un trattamento non lecito dei dati.

Inoltre, non è stato redatto il registro dei trattamenti (art.30), dal quale si sarebbe potuto riscontrare il ruolo specifico dei vari attori, rispetto al trattamento dei dati.

Il fatto ci sottolinea, non solamente, l’importanza dell’applicazione delle misure concrete di protezione dei dati, ma anche la necessità di adempiere ai doveri documentali.

 

Daniele Umberto Spano – Ceo Kruzer

 

Contattaci per sapere se hai compiuto tutti i passi necessari per essere conforme al GDPR, cliccando qui

Condividi