Användare och anställda inom offentliga tjänster i Roma Capitale är inte tillräckligt skyddade: TuPassi-appen och servern uppfyller inte GDPR.
500 000 euro i böter mot Roms kommun. Enligt Garante för skydd av personuppgifter var behandlingen av användar- och arbetstagaruppgifter via "TuPassi", det system för bokning av möten som används av Roma Capitale, inte transparent och överensstämde inte med gällande bestämmelser.
Måttet kommer efter det att förundersökningen har avslutats, efter Garantes kontroller av de system som används av Roms kommun för att boka olika typer av tjänster. Operationen genomfördes av Guardia di Finanzas specialenhet för skydd av privatlivet och tekniska bedrägerier. Flera oegentligheter upptäcktes, trots att den tidigare åtgärden i samma fråga var från 2019. I mars för två år sedan uttryckte garanten ett negativt yttrande om den databehandling som Roma Capitale utförde via "TuPassi" och begärde vissa korrigerande åtgärder för att följa EU:s bestämmelser.
Garant för skydd av privatlivet mot Roms kommun, de konstaterade oegentligheterna
Som väntat var fokus för oegentligheterna behandlingen av personuppgifter - inklusive känsliga uppgifter - för användare som bokade tid för hälsovårdstjänster eller kassabesök via "TuPassi". Bland de tillgängliga kanalerna finns, förutom appen och den särskilda webbplatsen, även de totem som finns på den offentliga förvaltningens kontor och hos kretsens yrkesverksamma.
Som framgår av utredningen lagrade systemet under lång tid en stor mängd referenser till medborgare, inklusive personuppgifter, datum och tid för bokning och typ av tjänst, på Roma Capitales servrar. För de anställda visade situationen också på flera oklara punkter: dagliga rapporter registrerades och genererades med uppgifter om arbetsverksamheten (datum för begäran, bokad tjänst, namn på den anställde som ansvarade för att hantera begäran, samtals- och väntetid), utan de garantier som infördes genom arbetstagarstadgan om fjärrstyrning.
För att förvärra situationen fanns det ingen information om behandlingen av sådan information, varken för användare eller för anställda, vilket strider mot den gällande EU-förordningen. Myndighetens tekniska och organisatoriska åtgärder, som ansågs otillräckliga enligt tillsynsmyndigheten, var också under lupp. Myndigheten gjorde sig också skyldig till att inte ha förvaltat förbindelserna med leverantörsföretaget på ett korrekt sätt. För den senare ålade Garante, i en separat åtgärd, också böter på 40 000 euro i samband med dess roll som ägare av behandlingen av användarnas och de anställdas personuppgifter och verksamheten i samband med detta.
Garant för skydd av privatlivet mot Roms kommun, vad händer härnäst?
För att kunna återuppta användningen av bokningssystemet TuPassi har myndigheten begärt alla nödvändiga uppdateringar för att skydda integriteten för de berörda personernas uppgifter, dvs. användare och anställda på Roma Capitale. Garanten har också lämnat en rad anvisningar som ska följas för att tjänsten ska vara förenlig med gällande bestämmelser.