Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 1 000 000 euro mot Autostrade per l’Italia S.p.A. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Autostrade undertecknat ett förlikningsavtal med Ministero delle Infrastrutture e dei Trasporti (MIT) om genomförande av kompensationsåtgärder för motorvägsanvändare, inklusive rabatter/återbetalningar av vägtullar, mot bakgrund av de förseningar som orsakats av byggarbetsplatser på motorvägar som förvaltas av företaget.
Efter detta avtal anlitade Autostrade företaget Free to X, ett företag som ägs av Autostrade, utvecklingen och förvaltningen av en cashback-app som skulle göra det möjligt för användare att begära en fullständig eller partiell återbetalning av sina vägtullskostnader. Båda företagen kom överens om att Free to X skulle betraktas som personuppgiftsansvarig eftersom företaget skulle ha fullständiga och självständiga beslutsbefogenheter när det gäller ändamålen och medlen för behandlingen av personuppgifter.
Efter ett klagomål inledde Garante en utredning och begärde information från Autostrade. Inledningsvis konstaterade Garante att Austostrade gett Free to X i uppdrag att utveckla ett IT-verktyg i syfte att erbjuda en kostnadsfri, smart och användarvänlig lösning för att hantera ersättningar för betydande förseningar som orsakats av förekomsten av byggarbetsplatser på motorvägsavsnitten. Free to X agerade, till skillnad från vad Autostrade framfört under utredningarna, enligt Autostrades instruktioner. I detta avseende ansåg Garant att de roller som företagen tilldelats var irrelevanta, och att Austostrade var att betrakta som personuppgiftsansvarig och Free to X dess personuppgiftsbiträde.
Enligt Garante borde förhållandet mellan de två företagen reglerats i ett avtal, i enlighet med artikel 28 GDPR, och detta avtal borde angett Free to X som personuppgiftsbiträde till Autostrade. Då ett sådant avtal sakandes konstaterade Garante en överträdelse av artikel 28 GDPR.
Vidare konstaterade Garante att omkvalificeringen av bolagens roller också hade återverkningar på respektive ansvar, såsom tillhandahållandet av information, i enlighet med artikel 13 GDPR. Garante betonade att Autostrade felaktigt identifierat Free to X som personuppgiftsansvarig och därmed lämnat felaktig information till sina kunder. Enligt Garante tillhandahöll företaget inte heller ytterligare information såsom de specifika ändamålen med behandlingen, vilket inte uppfyllde principen om laglighet och öppenhet i artikel 5 GDPR. Garante konstaterade därför en överträdelse av artikel 5.1 (a) och artikel 13 GDPR.
Mot bakgrund av ovanstående, och med beaktande av det betydande antal användare som påverkades, har Garante utfärdat en sanktionsavgift på 1 000 000 euro mot Autostrade.