Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 15 000 euro mot Comune di Forli för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Forli kommun beslutat att införa en mobilapplikation. Applikationen gjordes tillgänglig i appbutiker mellan december 2020 och januari 2021 och gjorde det möjligt för medborgarna att skicka meddelanden till den lokala polisen om osäkra områden. Efter att ha fått meddelandet kunde polisen använda bevakningssystemet för att övervaka området. Programvaran samlade in telefonnumret till den rapporterande personen och platsdata. De förstnämnda lagrades sedan i sju dagar, vilket gjorde det möjligt för polisen att kontakta personen för att få mer information om händelsen. Efter sju dagar sparades endast lokaliseringsuppgifterna i anonymiserad form. Forli kommun beslutade att inte hantera denna app själv, utan att lägga ut utvecklingen och hanteringen av både appen och bevakningssystemet på ett företag som ägs av kommunen. Applikationen avaktiverades tillfälligt från april 2022 till juni 2022. Under juli 2022 avaktiverades applikationen permanent, efter att Garante inlett en utredning i ärendet.
Garante konstaterade flera brister i Forli kommuns hantering av applikationen. För det första påpekades att applikationen lanserades trots att den fortfarande var i betaversion och otillräckligt testad. Trots varningar från dataskyddsombudet om potentiella dataskyddsproblem fortsatte kommunen att använda applikationen, vilket ledde till en överträdelse av artiklarna 5.2 och 25 GDPR om ansvarsskyldighet och inbyggt dataskydd.
Vidare noterades att integritetspolicyn för applikationen publicerades först i april 2022, och att informationen som fanns tillgänglig innan dess var bristfällig och delvis felaktig. Detta stred mot artiklarna 5.1 (a), 12.1 och 13 GDPR, som kräver att registrerade informeras korrekt och i rätt tid om hur deras data behandlas. Dessutom hade Forli kommun inte upprättat något skriftligt bindande avtal med det företag som hanterade applikationen, trots att företaget utförde flera behandlingar för kommunens räkning. Detta utgjorde en överträdelse av artiklarna 28.3 och 28.9 GDPR, som kräver tydliga avtal med personuppgiftsbiträden.
Garante påpekade också att Forli kommun borde ha genomfört en konsekvensbedömning avseende dataskydd enligt artikel 35.1 GDPR, eftersom behandlingen medförde hög risk för individers rättigheter och friheter. Behandlingen involverade storskalig hantering av lokaliseringsdata och potentiellt uppgifter om brottmålsdomar.
Slutligen konstaterade Garante att den lokala polisen använt ett allmänt lösenord för att få tillgång till databasen, istället för individuella inloggningsuppgifter. Detta innebar att det var omöjligt att spåra vem som hade tillgång till uppgifterna och att åtkomsten inte kunde begränsas efter behov. Detta stred mot artiklarna 5.1 (f) och 32 GDPR, som kräver att personuppgifter skyddas mot obehörig åtkomst och säkerhetsrisker.
Sammanfattningsvis utfärdade Garante en sanktionsavgift på 15 000 euro mot Forli kommun för bristande efterlevnad av GDPR:s krav på dataskydd och säkerhet, vilket resulterat i allvarliga brister i hanteringen av personuppgifter.