Dalla Newsletter del Garante del 17/7/2023

Errata qualificazione dei ruoli privacy

Una sanzione di un milione di euro è stata comminata dal Garante privacy ad Autostrade per l’Italia spa (ASPI) per avere trattato in modo illecito i dati di circa 100mila utenti registrati alla app per il rimborso del pedaggio, denominata Free to X.

Le criticità del servizio – che consente la restituzione, totale o parziale, del costo del biglietto autostradale per i ritardi dovuti ai cantieri di lavoro – erano state segnalate al Garante da una associazione di consumatori.

L’Autorità ha accertato che Autostrade riveste il ruolo di titolare del trattamento e non di responsabile, come invece indicato nella documentazione che regola i rapporti tra Aspi e la società Free to X che ha realizzato e gestisce la app, nonché nell’informativa resa al riguardo agli utenti.
È stata Aspi infatti, in qualità di concessionario della rete autostradale, ad aver individuato il meccanismo di rimborso, la natura delle misure compensative, le modalità di adempimento, la tipologia del ritardo correlato alla presenza dei cantieri, attribuendo a Free to X solamente compiti di attuazione del servizio. La errata qualificazione dei ruoli privacy rivestiti dalle due società – sottolinea il Garante – ha immediate ripercussioni sull’informativa resa agli utenti che pertanto non è stata correttamente formulata. L’informativa avrebbe dovuto infatti riportare l’effettiva identità del titolare, ossia Aspi, nonché tutte le ulteriori informazioni per assicurare un trattamento corretto e trasparente, come previsto dal Regolamento. Aspi è incorsa, inoltre, in una ulteriore violazione per non aver designato Free to X quale responsabile del trattamento.

Il Garante non ha indicato ad Aspi misure correttive poiché la società nel corso del procedimento si è conformata alla normativa privacy.