Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Miropass S.r.l. - 17 dicembre 2020 [9525315]

 

VEDI ANCHE: Newsletter del 25 gennaio 2021

 

[doc. web n. 9525315]

Ordinanza ingiunzione nei confronti di Miropass S.r.l. - 17 dicembre 2020

Registro dei provvedimenti
n. 281 del 17 dicembre 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, "Regolamento generale sulla protezione dei dati" (di seguito, "Regolamento");

VISTO il d.lgs. 30 giugno 2003, n. 196 recante "Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito "Codice");

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell'8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito "Regolamento del Garante n. 1/2019");

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del Regolamento del Garante n. 1/2000 sull'organizzazione e il funzionamento dell'ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stazione;

PREMESSO

1. L'attività di verifica relativa all'offerta di servizi pubblici mediante "App".

Nel corso dell'attività di controllo svolta su iniziativa dell'Autorità, volta a verificare la conformità alla disciplina di protezione dei dati personali posti in essere dalle pubbliche amministrazioni nell'ambito dell'offerta di servizi pubblici mediante le c.d. App, è stato verificato il funzionamento del sistema denominato "Tupassi" fornito da Miropass s.r.l. (di seguito, la Società) a soggetti pubblici e privati (pubbliche amministrazioni, professionisti, etc.), e tra questi, anche strutture sanitarie, pubbliche e private, per la prenotazione di visite e accertamenti diagnostici.

2. L'attività istruttoria.

L'attività di verifica, ai sensi dell'art. 58 del Regolamento e 157 e 158 del Codice, ha interessato sia la Società (cfr. verbali accertamenti ispettivi XX e XX, in atti) sia il Comune di Roma Capitale che usufruisce del predetto applicativo per l'erogazione dei servizi allo sportello rispetto al quale il procedimento è stato definito con provvedimento del 7 marzo 2019, n. 81 (doc. web n. 9121890).

All'esito degli accertamenti è emerso che l'applicativo "Tupassi" è un sistema di prenotazione interattivo con funzionalità "elimina code" che consente agli utenti di prenotare servizi di sportello o fissare appuntamenti, presso soggetti pubblici e privati utilizzando diversi canali. La prenotazione può essere effettuata mediante l'uso dell'app mobile, del sito internet (www.Tupassi.it e www.Tupassi.com), direttamente presso il soggetto che eroga il servizio, mediante l'uso di totem posizionati presso le sedi dei soggetti che erogano le prestazioni, ovvero mediante soggetti che forniscono agli utenti la possibilità di effettuare una prenotazione tramite il sistema (cd. broker, per es. esercenti di valori bollati e tabacchi).

In tale quadro la Società effettua, tramite l'applicativo "Tupassi", la raccolta di dati personali degli utenti, sia in sede di registrazione dell'account (nome, cognome, codice fiscale, numero di cellulare e indirizzo e-mail e un secondo recapito telefonico facoltativo), sia al momento della prenotazione dell'appuntamento (struttura prescelta, data, ora, tipo di servizio).

Il sistema consente altresì di prenotare, modificare o annullare appuntamenti, non solo da parte dell'interessato per proprie esigenze, ma anche per conto di soggetti terzi, i cui dati sono inseriti nel sistema dall'intestatario dell'account che effettua la prenotazione (nome, cognome, codice fiscale, indirizzo e-mail e recapito telefonico del soggetto per il quale si prenota l'appuntamento). Un riepilogo della prenotazione, con l'indicazione di nome, cognome e codice fiscale del soggetto a cui si riferisce il servizio prenotato, è recapitata all'indirizzo di posta elettronica associato all'account dell'utente.

L'applicativo, inoltre, consente, agli enti pubblici e privati che lo utilizzano, di trattare anche dati riferiti al personale interno che gestisce le varie richieste dell'utenza (addetti allo sportello, e altri dipendenti con mansioni e profili di abilitazione differenti) e di estrarre una reportistica contenente dati relativi alla gestione dei diversi servizi erogati.

Il software gestionale di prenotazione viene fornito al cliente con licenza d'uso: la Società garantisce, di regola, anche il servizio di assistenza e manutenzione. In questo caso il software è installato sui server del cliente dedicati al servizio e ha un autonomo funzionamento. I dati personali raccolti nella fase di registrazione degli account vengono memorizzati su server della Società; gli stessi dati, unitamente ai dati relativi alla prestazione oggetto di prenotazione, sono memorizzati anche sui server del cliente (cfr. verbale XX).

In particolare:

- per usufruire del servizio, tramite app mobile o sito web, gli utenti devono registrarsi creando un account, che consente di prenotare appuntamenti presso tutti i soggetti che si avvalgono di "Tupassi" (verbale XX, cit.);

- in tali casi "i sistemi di Miropass S.r.l. interrogando i server dei clienti, sui quali deve essere previamente installato il predetto gestionale, forniscono all'utente l'elenco dei servizi disponibili, così come decisi dal cliente stesso [ovvero l'ente che utilizza il sistema di prenotazione]; l'utente, quindi, selezionando il servizio e la data dell'appuntamento, fa sì che il sistema [gestito da] Miropass trasmetta al server del cliente l'informazione e venga registrata nel gestionale di prenotazione "Tupassi" in uso al cliente stesso";

- tali flussi di dati avvengono tramite "protocollo HTTPS, mentre quelle in locale (totem-gestionale di prenotazione "Tupassi" e viceversa) possono, a scelta del cliente, avvenire o in https o in http, quest'ultima scelta in quanto la trasmissione dei dati avviene all'interno di una rete LAN";

- con riguardo "all'utilizzo del totem è il cliente [ovvero l'ente che utilizza il sistema di prenotazione], invece, che definisce se e quali informazioni acquisire dall'utente per la prenotazione; questi ultimi dati vengono registrati sui server del cliente e non comportano nessuna creazione dell'account Miropass S.r.l." (verbale XX, cit.);

- complessivamente il servizio offerto comprende la fornitura del "gestionale di prenotazione "Tupassi", […] al quale Miropass S.r.l. può aggiungere il servizio di assistenza e manutenzione";

- in concreto "l'intervento di assistenza/manutenzione può intervenire o tramite accesso diretto al server mediante credenziali di autenticazione, fornite dal cliente, oppure tramite interfaccia grafica" (cfr. verbale XX);

- l'accesso per l'assistenza/manutenzione sui server dei clienti avviene mediante collegamento VPN, su autorizzazione del cliente che fornisce, generalmente, username e password tramite due canali diversi ossia la prima tramite e-mail e la seconda tramite sms;

- per quanto riguarda invece le credenziali di accesso ai server dei clienti, la Società ha dichiarato di aver ricevuto delle credenziali personali;

- la Società ha inoltrato "a tutti i clienti una PEC con la quale sensibilizzava all'aggiornamento all'ultima versione del gestionale di prenotazione "Tupassi", in linea con il GDPR" (cfr. verbale XX);

- "nessuno dei clienti ha nominato [la Società] quale responsabile del trattamento per l'attività di assistenza e manutenzione" né quale "amministratore di sistema dei server dei clienti stessi, ai quali accede direttamente, da linea di comando, per l'attività di assistenza/manutenzione" (cfr. verbale XX);

- la Società rende disponibile sul proprio sito web "informativa sulla privacy e cookie policy", complete degli elementi richiesti dall'art. 13 del Regolamento;

- con riguardo all'osservanza degli obblighi previsti dalla disciplina di protezione dei dati personali, la Società ha dichiarato di aver provveduto a designare il Responsabile della protezione dei dati e di aver effettuato la valutazione d'impatto ai sensi dell'art. 35 del Regolamento e ha messo a disposizione dell'Autorità il Registro dei trattamenti, compilato ai sensi dell'art. 30 del Regolamento.

Con nota del XX (prot. n. XX), l'Ufficio, sulla base degli elementi acquisiti dalle verifiche compiute e dei fatti emersi a seguito dell'attività istruttoria, nonché delle successive valutazioni, ha notificato alla Società ai sensi dell'art. 166, comma 5, del Codice, l'avvio del procedimento per l'adozione dei provvedimenti di cui all'articolo 58, paragrafo 2, del Regolamento, invitando la Società a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall'Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

Con la nota sopra menzionata, l'Ufficio ha rilevato che la Società ha posto in essere un trattamento dei dati personali degli interessati, in assenza di:

- un idoneo presupposto di liceità del trattamento, sia con riguardo ai dati sulla salute degli interessati che effettuano le prenotazioni presso strutture sanitaria mediante app o siti web "Tupassi", sia con riguardo ai dati (riferiti a utenti e dipendenti degli enti che hanno adottato il sistema) trattati in occasione dello svolgimento delle attività di assistenza e manutenzione per conto dei titolari del trattamento, in violazione dell'art. 5, lett. a), 6 e 9 del Regolamento;

- individuazione del periodo di conservazione dei dati personali degli utenti registrati (o dei criteri per determinarlo), in violazione dell'art. 5, par. 1, lett. e) del Regolamento.

- adeguata regolamentazione del rapporto con i cc.dd. broker che effettuano i trattamenti in sede di prenotazione per conto della Società, in violazione dell'art. 28 del Regolamento;

In relazione alle predette contestazioni, con nota del XX la Società ha fatto pervenire le proprie memorie difensive, fornendo ulteriori elementi nel corso dell'audizione del XX nonché trasmettendo documentazione, con nota del XX prot. XX.

Per quanto riguarda la violazione dell'art. 9 del Regolamento, circa le prenotazioni effettuate presso strutture sanitarie, effettuate mediante app, sito web, o totem, la Società ha rappresentato che: "l'acquisizione del consenso dell'utente al trattamento di dati sulla salute, nel caso di prenotazione di prestazioni presso strutture sanitarie, viene richiesta all'utente anteriormente all'inserimento dei dati. Esclusivamente per i clienti che operano in ambito sanitario, è stata implementata, una funzione che, per chi prenota sul sito web, genera automaticamente un pop up che avverte l'utente che tale tipo di prenotazione comporta il trattamento di dati sulla salute e viene richiesto il consenso preventivo al trattamento. Per chi utilizza la App mobile, viene impedito all'utente di continuare con la prenotazione se non dopo conferma della lettura dell'informativa e prestazione del consenso specifico al trattamento di tale categoria di dati" (verbale audizione del XX).

Con riferimento alla contestazione di violazione degli artt. 5, lett. a), 6 e 9 del Regolamento, in relazione al trattamento di dati personali in assenza di un idoneo presupposto di liceità, in occasione dello svolgimento delle attività di assistenza e manutenzione per conto dei titolari del trattamento, la Società ha rappresentato di essere stata designata responsabile del trattamento dati per conto dell'amministrazione Roma Capitale il XX, precisando che le "attività di manutenzione e assistenza (sia del server che dell'applicativo Tu-Passi) non richiedono né necessitano dell'accesso ai dati personali dell'utente che ha prenotato ma solo ed esclusivamente in particolari ed occasionali richieste di verifica da parte del cliente". Con riguardo agli altri enti ai quali la società ha fornito l'applicazione, la Società ha rappresentato di aver inviato una comunicazione rappresentando che, per poter svolgere l'attività di assistenza e manutenzione che comporta da parte della Società un trattamento di dati personali, risulta necessario regolare il rapporto ai sensi dell'art. 28 del Regolamento, rendendosi disponibile, in alternativa, a svolgere l'attività di assistenza e manutenzione senza accedere direttamente ai dati, ma fornendo il necessario supporto "esclusivamente, per email e/o telefono, … su come effettuare, da parte vostra, la verifica" (memorie difensive del XX).

Con riferimento alla violazione dell'art. 5, par. 1, lett. e), in relazione alla mancata individuazione dei tempi di conservazione dei dati relativi agli utenti registrati sul sistema "Tupassi" (o dei criteri per determinarli), la Società ha precisato di "aver ridotto il periodo di operatività dell'utenza dai 5 anni precedenti a un anno, decorrente dall'ultimo utilizzo dell'account da parte dell'utente. Per quanto riguarda i dati relativi alle prenotazioni, vengono cancellati decorso un mese dalla data dell'appuntamento" (verbale audizione del XX).

Con riferimento alla violazione dell'art. 28 del Regolamento concernente la mancata designazione degli "Agenti di prenotazione Tu-Passi". (cc.dd. broker, per es. tabaccai), che effettuano prenotazioni di prestazioni degli utenti, mediante specifici account, la Società ha precisato che, sebbene "nell'arco temporale in cui tale servizio è stato attivo, non era stato regolato il rapporto con gli stessi ai sensi dell'art. 28 del GDPR", ad oggi "considerata l'esiguità delle prenotazioni effettuate attraverso tale canale, le utenze broker sono state tutte disabilitate" (verbale audizione del XX).

3. Esito istruttoria.

In base alla disciplina in materia di protezione dei dati personali, il titolare deve trattare i dati personali (art. 4, n. 1, del Regolamento) in modo lecito, corretto e trasparente (art. 5, par. 1, lett. a) del Regolamento) e nel rispetto dei presupposti di cui agli art. 6 e 9 del Regolamento.

Con riguardo alle categorie particolari di dati personali, inclusi quelli relativi alla salute, in merito ai quali è previsto un generale divieto di trattamento, lo stesso è consentito nei casi indicati all'art. 9, par. 2 del Regolamento (cfr. anche art. 9, par. 4 del Regolamento e art. 2-septies del Codice).

Anche in presenza di uno specifico presupposto di liceità del trattamento, il titolare del trattamento è comunque tenuto, in ogni caso, a rispettare i principi di "liceità, correttezza e trasparenza", "limitazione delle finalità", "minimizzazione", "limitazione della conservazione" nonché "integrità e riservatezza" dei dati e "responsabilizzazione" (art. 5 del Regolamento).

3.1. Trattamenti dei dati personali degli utenti tramite la piattaforma "Tupassi" ai fini della registrazione e della fruizione dei servizi.

Alla luce degli elementi acquisiti e delle dichiarazioni rese nel corso dell'istruttoria, il trattamento dei dati personali degli utenti, in occasione della registrazione (creazione dell'account), nonché a seguito della prenotazione effettuata, avviene nell'ambito dell'erogazione del servizio di prenotazione degli appuntamenti fornito dalla Società agli enti clienti (cfr. sul punto, informativa in atti) ed è necessario all'esecuzione di un contratto di cui l'interessato è parte (art. 6, par. lett. b) del Regolamento).

Con riguardo ai dati personali relativi alla prenotazione degli appuntamenti, il sistema memorizza - anche ai fini dell'invio all'interessato di un riepilogo della prenotazione sull'app o via e-mail (cfr. allegati al verbale del XX) - i dati relativi alla prenotazione associati all'account e in particolare: il nominativo, il codice fiscale dell'utente, la data, l'orario nonché la struttura/ente pubblico o soggetto privato presso la quale è fissato l'appuntamento. Nei casi in cui la prenotazione riguarda appuntamenti con soggetti, pubblici o privati, che erogano prestazioni sanitarie, le informazioni sulle prenotazioni sopra citate sono riconducibili anche alle categorie particolari di dati disciplinate dall'art. 9 del Regolamento, tra le quali rientrano quelli relativi alla "prestazione di servizi di assistenza sanitaria" (art. 4, par. 1, n. 15 del Regolamento). Peraltro, dalla documentazione acquisita nel corso degli accertamenti ispettivi, in alcuni casi, la prenotazione presso la struttura sanitaria selezionata specifica anche la tipologia di prestazione prescelta (es. prelievi, ritiro esami, fisioterapia, odontoiatria, etc.).

In base al quadro normativo vigente, il trattamento di tali categorie di dati può avvenire solo al ricorrere di uno dei casi di cui all'art. 9, paragrafo 2, del Regolamento che non sussistevano, all'atto dell'accertamento, nel caso in esame.

Preso atto delle misure adottate dalla Società nel corso dell'istruttoria al fine di acquisire il preventivo consenso dell'utente per il trattamento della predetta tipologia di dati, risulta, tuttavia, accertato che i trattamenti dei dati personali, associati alla prenotazione di appuntamenti per prestazioni sanitarie, effettuati precedentemente all'implementazione delle predette misure, sono stati effettuati in assenza di uno specifico consenso degli interessati, in violazione dell'art. 9, par. 2, lett. a) del Regolamento.

3.2.  Trattamenti di dati personali nell'ambito dell'attività di manutenzione e assistenza tecnica.

La normativa in materia di protezione dei dati personali individua i soggetti -titolare e responsabile- che, a diverso titolo, possono trattare i dati personali degli interessati, stabilendone anche le relative attribuzioni.

In particolare, il titolare è il soggetto sul quale ricadono le decisioni circa le finalità e le modalità del trattamento dei dati personali degli interessati nonché una "responsabilità generale" (accountability) sui trattamenti posti in essere dallo stesso titolare o da altri che effettuino tali trattamenti "per suo conto", ovvero i responsabili del trattamento (cons. 81, artt. 4, punto 8) e 28 del Regolamento).

Il rapporto tra titolare e responsabile è regolato da un contratto, o da altro atto giuridico stipulato per iscritto attraverso il quale il titolare impartisce istruzioni al responsabile e prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare. Il responsabile del trattamento è quindi tenuto a trattare i dati degli interessati "soltanto su istruzione documentata del titolare" (art. 28, par. 3, lett. a) del Regolamento).

Con riguardo ai trattamenti effettuati mediante la piattaforma "Tupassi", la Società tratta i dati personali dei singoli utenti registrati sulla piattaforma mediante creazione di un account (cfr., informativa in atti), nell'ambito dell'offerta del servizio di prenotazione mediante "app-mobile o sito internet", in qualità di titolare.

Diversamente, i trattamenti di dati personali relativi alle prenotazioni degli appuntamenti dei servizi erogati allo sportello effettuati dagli utenti dei singoli enti che utilizzano la piattaforma "Tupassi" rientrano nella titolarità dei singoli enti. Essi perseguono, infatti, finalità proprie, in termini di efficienza e produttività (siano essi soggetti pubblici o privati) per l'esecuzione di compiti di interesse pubblico o nell'ambito dell'esercizio dell'attività d'impresa.

Con riguardo all'attività di assistenza e manutenzione, svolta dalla Società sul gestionale di prenotazione installato sui sistemi dei clienti – attività che, quando non riguarda esclusivamente la componente hardware dei sistemi, ma include, come nel caso di specie, la possibilità che il personale autorizzato della Società acceda al gestionale dei clienti, comporta inevitabilmente anche il trattamento di dati personali degli utenti –, la mancata adozione di atti idonei ad individuare la stessa quale responsabile del trattamento (cfr. art. 28 del Regolamento) risulta non conforme alla disciplina di protezione dati. Diversamente, tale regolamentazione non è dovuta nei casi nei quali la società svolga l'assistenza tecnica esclusivamente mediante un mero supporto (telefonico o via email), senza accedere direttamente ai sistemi e ai dati personali in essi contenuti.

Tale circostanza, accertata nel corso delle verifiche compiute presso Roma Capitale (cfr. provvedimento 7 marzo 2019, n. 81, cfr. par.3.3.), è stata confermata dalla Società anche con riguardo agli altri enti che usufruiscono del servizio assistenza e manutenzione e ha comportato che, limitatamente alle operazioni di assistenza e manutenzione, la Società ha trattato dati personali, riferiti sia agli utenti sia ai dipendenti degli enti che hanno adottato la piattaforma "Tupassi", in assenza di un idoneo presupposto di liceità, in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento.

3.3. I trattamenti effettuati dagli Agenti di prenotazione.

In base all'istruttoria svolta, la prenotazione di appuntamenti con il sistema "Tupassi" poteva essere effettuata dagli utenti anche per il tramite di intermediari ("Agenti di prenotazione "Tupassi", cc.dd. broker).

Rispetto ai predetti soggetti intermediari, la Società ha dichiarato di non aver provveduto a regolamentare il relativo rapporto, in violazione di quanto previsto dall'art. 28 del Regolamento.

Tale canale di prenotazione, che aveva coinvolto un esiguo numero di intermediari con un limitato riscontro in termini di prenotazioni da parte degli utenti, è stato disattivato dalla Società nel 2019, nel corso dell'istruttoria.

3.4. Definizione dei tempi di conservazione dei dati personali.

Alla luce degli accertamenti compiuti, è emerso che "[…] gli account si disattivano automaticamente dopo 60 mesi di inoperosità o per mano dell'operatore" e anche, nell'ipotesi in cui l'utente procede alla cancellazione del proprio account, "la cancellazione dell'account comporta la rimozione dal database del codice fiscale e dei recapiti telefonici nonché della lista di tutti i soggetti per i quali sono stati prenotati gli appuntamenti, lasciando traccia solo nella tabella "m_account_aud" del nome, cognome, indirizzo email e dei consensi privacy, unitamente a data e ora delle singole operazioni, per eventuali risposte a contestazioni future".

Sebbene nel corso dell'audizione presso il Garante la Società abbia precisato di "aver ridotto il periodo di operatività dell'utenza dai 5 anni precedenti a un anno, decorrente dall'ultimo utilizzo dell'account da parte dell'utente" e che le informazioni relative alle prenotazioni "vengono cancellate decorso un mese dalla data dell'appuntamento", risulta comunque accertato che precedentemente, sia nel caso in cui l'account veniva disattivato per inoperosità, sia nel caso in cui l'utente procedeva alla cancellazione del proprio account, i dati personali degli utenti venivano conservati per un tempo indefinito dalla Società, in violazione dell'art. 5, par. 1, lett. e) del Regolamento.

Peraltro, da verifiche compiute dall'Ufficio è emerso peraltro che il testo delle informative rese disponibili online agli utenti non è stato ancora aggiornato con riguardo ai tempi di conservazione rappresentati dalla Società nel corso dell'istruttoria.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento negli scritti difensivi e nel corso dell'audizione presso il Garante ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell'art. 168 del Codice ˗ seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall'Ufficio con l'atto di avvio del procedimento e risultano insufficienti a consentire l'archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall'art. 11 del Regolamento del Garante n. 1/2019.

Per la determinazione della norma applicabile, sotto il profilo temporale, deve essere richiamato in particolare il principio di legalità di cui all'art. 1, comma 2, della l. n. 689/1981 che prevede che «Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati». Ciò determina l'obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione, che nel caso in esame – data la natura permanente degli illeciti contestati – deve essere individuato all'atto di cessazione della condotta illecita, verificatasi successivamente alla data del 25/5/2018 in cui il Regolamento è divenuto applicabile.

Si confermano pertanto le valutazioni preliminari dell'Ufficio e si rileva l'illiceità del trattamento di dati personali effettuato dalla Società, in violazione dei principi di base del trattamento, in assenza di idonea base giuridica per il trattamento di dati personali di utenti e dipendenti degli enti a cui è stata fornita la piattaforma "Tupassi", e senza aver regolamentato il rapporto con i c.d. "Agenti di prenotazione", cc.dd. broker, in violazione degli artt. 5, par. 1, lett. a) ed e), 6, 9 e 28 del Regolamento.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall'art. 83, par. 5 del Regolamento, come richiamato anche dall'art. 166, comma 2, del Codice.

In tale quadro, considerando, che la condotta ha esaurito i suoi effetti, atteso che il rapporto con Roma Capitale è stato regolato ai sensi dell'art. 28 del Regolamento, che la Società ha apportato dei miglioramenti al sistema "Tupassi", prevedendo la necessità del consenso ai fini della prenotazione di prestazioni presso strutture sanitarie, definendo tempi di conservazione limitati per i dati degli utenti titolari di account, in relazione alla cessazione dell'utilizzo e disponendo la disattivazione del canale di prenotazione mediante Agenti di prenotazione, cd. broker, non ricorrono i presupposti per l'adozione di misure correttive di cui all'art. 58, par. 2, del Regolamento, in relazione alle criticità contestate.

Si rileva, tuttavia, che a seguito dell'individuazione di tempi di conservazione dei dati degli utenti titolari di account, il testo delle informative rese disponibili online necessita di essere aggiornato in relazione al predetto periodo temporale come definito dalla società nel corso dell'istruttoria.

5. Adozione dell'ordinanza ingiunzione per l'applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell'art. 166 del Codice, ha il potere di "infliggere una sanzione amministrativa pecuniaria ai sensi dell'articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso" e, in tale quadro, "il Collegio [del Garante] adotta l'ordinanza ingiunzione, con la quale dispone altresì in ordine all'applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell'articolo 166, comma 7, del Codice" (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell'art. 83, par. 3, del Regolamento, nel caso di specie – considerando anche il richiamo contenuto nell'art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all'applicazione della stessa sanzione amministrativa pecuniaria prevista dall'art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell'ammontare tenendo in debito conto gli elementi previsti dall'art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi è stata considerata la particolare delicatezza dei dati degli utenti che si avvalgono del servizio di prenotazione di appuntamenti relative a prestazioni sanitarie (art. 4, par. 1, n. 15 del Regolamento) e l'ingente numero di interessati, tra i quali quelli relativi agli utenti e ai dipendenti degli enti a cui la Società ha fornito la piattaforma "Tupassi", trattati dalla Società nell'attività di assistenza e manutenzione sui sistemi.

Per altro verso si è preso favorevolmente atto che la Società si è attivata per conformare i trattamenti alla disciplina in materia di protezione dei dati personali (regolamentazione del rapporto ai sensi dell'art. 28 del Regolamento, acquisizione del consenso per il trattamento dei dati previsti dall'art. 9 del Regolamento, individuazione dei tempi di conservazione dei dati), ha collaborato con l'Autorità nel corso dell'istruttoria del presente procedimento. Non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all'art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l'ammontare della sanzione pecuniaria tenendo anche conto della fase di prima applicazione delle disposizioni sanzionatorie ai sensi dell'art. 22, comma 13, del d. lgs. 10/08/2018, n. 101, nella misura di euro 40.000,00 (quarantamila) per la violazione degli artt. 5, par. 1, lett. a) ed e) nonché artt. 6 e 9 e 28 del Regolamento.

Tenuto conto della particolare delicatezza e del numero dei dati trattati, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall'art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all'art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante.

6. Misure correttive.

Pur prendendo atto di quanto emerso dalle memorie difensive e pur tenendo conto delle misure già introdotte, delle quali si è dato atto al paragrafo 5, risulta necessario ingiungere alla Società, ai sensi dell'art. 58, par. 2, lett. d), entro e non oltre trenta giorni dalla data di ricezione presente provvedimento, di integrare e aggiornare il testo delle informative rese disponibili online con tutti gli elementi di cui agli artt. 13 e 14 del Regolamento con particolare riferimento ai tempi di conservazione come definiti dalla società nel corso dell'istruttoria.

TUTTO CIÒ PREMESSO IL GARANTE

rileva l'illiceità del trattamento effettuato da Miropass S.r.l., per violazione degli artt. degli artt. 5, par. 1, lett. a) ed e) nonché artt. 6 e 9, nonché 28 del Regolamento nei termini di cui in motivazione;

ORDINA

Alla Società Miropass S.r.l. in persona del legale rappresentante pro-tempore, con sede legale in Via Rivafredda, n. 3, Crema, P.I. 07826360963, di pagare la somma di euro 40.000,00 (quarantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell'art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

a) alla medesima Società di pagare la somma di euro 40.000,00 (quarantamila), in caso di mancata definizione della controversia ai sensi dell'art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l'adozione dei conseguenti atti esecutivi a norma dall'art. 27 della l. n. 689/1981;

b) ai sensi dell'art. 58, par. 1, lett. a), del Regolamento, e dell'art. 157 del Codice, alla società - titolare del trattamento - di comunicare, fornendo un riscontro adeguatamente documentato, entro e non oltre trenta giorni dalla data di ricezione presente provvedimento, le iniziative intraprese in relazione a quanto prescritto nel precedente punto 6). Il mancato riscontro a una richiesta ai sensi dell'art. 157 del Codice è punito con la sanzione amministrativa, ai sensi del combinato disposto di cui agli artt. 83, par. 5, del Regolamento e 166 del Codice.

DISPONE

ai sensi dell'art. 166, comma 7, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante, ritenendo che ricorrano i presupposti di cui all'art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell'art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all'autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all'estero.

Roma, 17 dicembre 2020

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei