Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 10 000 euro mot Comune di Venezia för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Comune di Venezia infört en avgift för tillträde till vissa områden i Venedig under högsäsongen. Vissa kategorier av personer undantogs från denna avgift, till exempel invånare i Venedig och deras släktingar, pendlande arbetstagare, studenter vid universitetet i Venedig, personer med funktionsnedsättning och öppenvårdspatienter vid vårdgivare inom kommunen.
Garante inledde en tillsyn på eget initiativ om införandet av denna avgift och undersökte särskilt hur kommunen samlade in och behandlade uppgifter om medborgare som var undantagna från avgiften för att kontrollera deras undantag.
Garante konstaterade att kommunen tillämpade ett trestegssystem för att verifiera undantag:
- Steg 1: Den registrerade loggade in på stadens webbplats, angav sina personuppgifter, angav skälet till undantaget och laddade ner en QR-kod.
- Steg 2: Vid inträde i vissa delar av Venedig krävde offentliga tjänstemän att de registrerade skulle uppvisa sin QR-kod samt en egenförsäkran om skälet till undantaget.
- Steg 3: Stadens skattekontor kontrollerade senare riktigheten i den självdeklaration som lämnats in under steg 2.
Kommunen ställde kiosker till förfogande runt om i Venedig där enskilda personer kunde betala avgiften. Under utredningen upptäckte Garante av en slump att användarna av kioskerna kunde ändra webbläsarinställningarna och aktivera funktionen för automatisk ifyllning. Denna sårbarhet gjorde det möjligt för användarna att se personuppgifter som andra användare hade angett.
Garante konstaterade att första steget i verifieringsförfarandet var onödigt. QR-koden informerade i sig offentliga tjänstemän om att registrerade hade ansökt om undantag, men gav ingen information om orsaken till undantaget. I själva verket samlades orsaken till undantaget, som registrerade redan hade angett i första steget, in igen i andra steget via självdeklarationen. I praktiken var de enda personuppgifter från första steget som senare användes för verifiering kodinnehavarens personuppgifter.
Garante konstaterade också att första steget var det mest integritetskränkande eftersom det krävde insamling av personuppgifter från ett stort antal registrerade, varav de flesta aldrig skulle bli föremål för senare kontroller. Garante konstaterade därutöver att hela verifieringsprocessen var helt onödig när det gällde vissa kategorier av registrerade, till exempel kunde studenter vid universitetet i Venedig bevisa sin status genom att helt enkelt visa upp sitt studentkort.
På dessa grunder konstaterade Garante att verifieringssystemet behandlade personuppgifter på ett olagligt och överdrivet sätt och i strid med principen om inbyggt dataskydd och dataskydd som standard, vilket utgjorde överträdelser av artiklarna 5, 6 och 25 GDPR. Dessutom konstaterade Garante att kommunen hade brutit mot kravet på lämpliga säkerhetsåtgärder artikel 32 GDPR genom att konfigurera kioskerna på ett osäkert sätt.