Errata qualificazione dei ruoli privacy: cosa impariamo dalla maxi-sanzione ad Autostrade per l’Italia
Condividi questo articolo
Il trattamento illecito dei dati personali nell’app Free to X per rimborso pedaggi è costato caro ad Autostrade per l’Italia: il Garante privacy ha sanzionato la Società per 1 milione di euro contestando una errata qualificazione dei ruoli privacy in quanto ASPI è titolare e non responsabile del trattamento. Ecco le violazioni privacy rilevate e le misure correttive
Pubblicato il 21 Lug 2023
Senior Analyst, Hermes Bay
Negli ultimi anni, l’uso sempre più diffuso delle applicazioni mobili per la gestione dei servizi ha portato alla crescita delle preoccupazioni riguardanti la sicurezza dei dati personali degli utenti: un caso di recente notorietà è quello relativo all’app per il rimborso dei pedaggi, denominata “Free to X,” sviluppata da Autostrade per l’Italia spa (ASPI) e gestita dalla società Free to X S.r.l.
La situazione ha attirato l’attenzione del Garante per la protezione dei dati personali, che ha emesso una sanzione di un milione di euro per il trattamento illecito dei dati di circa 100.000 utenti registrati all’app. Il numero di utenti registrati all’app “Free To X” è di circa 308.058, ma solo un terzo di essi utilizza effettivamente il servizio Cashback, che rappresenta solo una parte degli oltre 800.000.000 di transiti annui sulla rete autostradale ASPI.
Indice degli argomenti
- App per rimborso pedaggi: l’istruttoria del Garante privacy
- Cosa impariamo dalla sanzione ad Autostrade per l’Italia
App per rimborso pedaggi: l’istruttoria del Garante privacy
L’origine del servizio di rimborso, noto come Cashback, risale a un accordo transattivo tra ASPI e il Ministero delle Infrastrutture e dei Trasporti (MIT).
WHITEPAPER
Finanza Digitale: proteggiti dagli hacker (e dalle sanzioni) con il DORA
Contract Management
Privacy/Compliance
Inizio modulo
Leggi l'informativa sulla privacy
- Acconsento alla comunicazione dei dati a terzi appartenenti alle seguenti categorie merceologiche: energy, servizi - tra cui ICT e digitali -, consulenza, manifatturiero, commercio, Pubblica Amministrazione, per loro finalità di marketing tramite modalità automatizzate e tradizionali di contatto (il tutto come specificato nella informativa)
Fine modulo
ASPI ha ideato il meccanismo di rimborso per dare attuazione alle misure compensative previste nell’accordo, e successivamente ha incaricato Free To X S.r.l. di gestire il servizio attraverso l’app omonima.
Questo servizio consentiva agli utenti di richiedere il rimborso totale o parziale del pedaggio autostradale in caso di ritardi dovuti ai cantieri di lavoro sulle tratte autostradali gestite da ASPI.
L’attività istruttoria del Garante è stata avviata in seguito a segnalazioni di criticità presentate da Assoutenti riguardanti il trattamento dei dati personali degli utenti da parte di ASPI e Free to X S.r.l., attraverso l’app “Free to X” finalizzata al rimborso dei pedaggi autostradali in caso di ritardi dovuti a cantieri di lavoro.
Dai documenti presentati da entrambe le società durante l’attività istruttoria, emerge che ASPI ha ideato il meccanismo di rimborso, individuando il servizio Cashback quale forma di implementazione delle misure compensative contenute nell’accordo con il Ministero delle Infrastrutture e dei Trasporti (MIT). ASPI ha successivamente incaricato Free to X S.r.l. della gestione del servizio Cashback tramite l’app omonima.
Errata qualificazione dei ruoli privacy
Tuttavia, il Garante ha rilevato che la qualificazione dei ruoli di titolare e responsabile del trattamento è stata errata. ASPI avrebbe dovuto agire come titolare del trattamento poiché ha determinato le finalità e i mezzi dello stesso, ideando il servizio Cashback e stabilendo le modalità di adempimento delle misure compensative.
Di conseguenza, Free to X S.r.l. avrebbe dovuto essere designata responsabile del trattamento, agendo per conto di ASPI e seguendo le sue istruzioni.
Violati i principi di correttezza e trasparenza
Inoltre, è emerso che l’informativa fornita agli utenti dell’app “Free to X” è stata formulata in modo errato. L’informativa avrebbe dovuto indicare chiaramente che ASPI è il titolare del trattamento e Free to X S.r.l. agisce come responsabile, in conformità con il Regolamento per la protezione dei dati personali.
Tali violazioni hanno comportato la mancata adesione ai principi di correttezza e trasparenza sanciti dall’art. 5, par. 1, lett. a) del Regolamento, nonché la violazione dell’art. 13 del Regolamento relativo alle informazioni da fornire agli interessati.
L’informativa errata ha avuto un impatto diretto sulla tutela dei dati personali degli utenti, che non sono stati informati correttamente sulla gestione dei loro dati e sulla reale identità del titolare del trattamento.
Il Garante ha deciso di non applicare ulteriori misure correttive ad ASPI poiché la società si è conformata alla normativa sulla privacy nel corso del procedimento. Tuttavia, è fondamentale che entrambe le società adottino misure per adeguarsi ai principi del Regolamento e rispettare la privacy degli utenti.
Cosa impariamo dalla sanzione ad Autostrade per l’Italia
La sentenza del Garante per la protezione dei dati personali nei confronti di ASPI per la violazione della privacy nell’applicazione Free to X è una pietra miliare nel garantire la protezione dei dati personali degli utenti.
Fornire sempre informazioni trasparenti
È essenziale che le aziende e le organizzazioni trattino correttamente i dati personali dei propri utenti e forniscono informazioni trasparenti.
Questo caso offre un chiaro esempio delle gravi conseguenze che possono derivare da un trattamento inadeguato dei dati personali.
Le sanzioni comminate dimostrano che il Garante è determinato a far rispettare la legge sulla protezione dei dati e a tutelare la privacy degli utenti in Italia.
Garantire che i dati personali siano trattati correttamente
Le aziende e le organizzazioni devono prendere sul serio la sicurezza dei dati e garantire che i dati personali degli utenti siano trattati in modo corretto e conforme alle normative vigenti.
Solo in questo modo si può costruire la fiducia degli utenti e proteggere la loro privacy nell’era digitale.
Infine, è importante sottolineare l’importanza della collaborazione tra le diverse autorità e organizzazioni che vigilano sulla protezione dei dati personali. Le associazioni di consumatori hanno svolto un ruolo chiave nell’evidenziare le criticità del servizio Cashback e nel sollecitare l’intervento del Garante privacy.
Questa sinergia tra enti e organizzazioni è essenziale per garantire la protezione dei diritti degli utenti e il rispetto della privacy in un mondo sempre più digitale e interconnesso.
@RIPRODUZIONE RISERVATA
Valuta la qualità di questo articolo