Errata assegnazione dei ruoli privacy: il Garante sanziona Autostrade per 1 milione di euro per aver “invertito” i ruoli di titolare e responsabile del trattamento.
Il contesto
Nel 2021 Assoutenti ha inviato al Garante un reclamo per sollevare una serie di criticità rispetto al trattamento dei dati personali effettuato a Autostrade per l’Italia e Free to X s.r.l. Autostrade per l’Italia (ASPI) non ha bisogno di presentazioni mentre Free to X è l’azienda gestrice dell’omonima app che ASPI ha adottato per gestire i rimborsi del pedaggio autostradale in caso di cantieri per lavori (cashback).
ASPI ha quindi fornito riscontro alle richieste di informazioni del Garante, specificando che:
- ASPI ha ideato questo meccanismo di rimborso al fine di dare attuazione alle misure compensative previste a conclusione di un procedimento di “grave inadempimento” da parte del Ministero dei Trasporti verso ASPI;
- per questo meccanismo di rimborso ASPI ha incaricato l’azienda Free To X S.r.l. Il sistema si poggia sull’omonima app;
- in merito al trattamento dei dati personali operato nell’ambito di questo servizio, ASPI opererebbe in qualità di responsabile del trattamento;
- il numero di utenti iscritti all’app è pari a 308.058 utenti.
L’istruttoria
Il Garante, nel corso dell’istruttoria, ha acquisito informazioni anche da Free to X S.r.l, che ha specificato che:
- Free to X S.r.l ““è una società interamente posseduta da ASPI che fornisce e gestisce l’omonima App, attraverso la quale gli utenti possono accedere ai servizi di ‘Cashback’”;
- in merito al trattamento dei dati operato nell’ambito di questo servizio, Free To X agirebbe come titolare del trattamento dei dati;
- ASPI ha appaltato completamente la gestione del servizio a Free to X, con pieni e autonomi poteri decisionali. Alla luce di questo, Free to X ha ritenuto che questo pesasse ai fini dell’individuazione del titolare dei dati.
Alla luce delle informazioni raccolte il Garante ha deciso di avviare il procedimento per l’adozione di provvedimenti correttivi, ravvisando violazioni di una serie di previsioni del GDPR.
La decisione del Garante: errata assegnazione dei ruoli privacy
L’Autorità ha accertato che Autostrade riveste il ruolo di titolare del trattamento e non di responsabile, come invece indicato nella documentazione che regola i rapporti tra Aspi e la società Free to X che ha realizzato e gestisce la app, nonché nell’informativa resa al riguardo agli utenti.
si legge nel comunicato diffuso dal Garante. Di conseguenza tutte le informative rese agli utenti sono errate.
Infatti, spiega il Garante, è stata ASPI in qualità di concessionario della rete autostradale ad aver individuato le modalità di rimborso, le misure compensative, la tipologia del ritardo dovuto alla presenza di cantieri autostradali ecc… lasciando a Free to X “piena autonomia” nel mero ambito dell’attuazione del servizio.
Per approfondire > Articolo 28 GDPR: il responsabile e i sub responsabili del trattamento
L’informativa quindi avrebbe dovuto riportare ASPI come effettivo titolare del trattamento e non di responsabile, come invece indicato nella documentazione che regola i rapporti tra ASPI e Free to X. Non solo: oltre all’errata assegnazione dei ruoli privacy, ASPI è incorsa in un’ulteriore violazione, ovvero non aver designato Free to X quale responsabile del trattamento.
Il Garante ha quindi comminato ad ASPI una sanzione pari ad 1 milione di euro e non ha poi imposto ulteriori misure, anche correttive, perché ASPI in corso di procedimento si è conformata alla normativa.
Qui è disponibile il provvedimento completo
