Den italienska dataskyddsmyndigheten, Garante per la protezione dei dati personali (“Garante”), har bötfällt Atac s.p.a. med 400 000 euro för brott mot artiklarna 5, 6, 30 och 32 i dataskyddsförordningen (“GDPR”).
Av beslutet framgår att Garante inlett en granskning efter ett klagomål från en person avseende de nya parkeringsmätarna som installerats i Rom 2018. Atac, som också kontrakterats av staden för att hantera parkeringsplatserna, hade inlett en teknisk uppgradering av parkeringsmätarna för att erbjuda nya tjänster som exempelvis betalning av böter, avgifter eller köp och förnyelse kollektivtrafikbiljetter. Atac spa skulle också införa nya betalningsmetoder som tar hänsyn till fordonens registreringsnummer. En del av utrustningen levererades av Flowbird Italia s.r.l. All parkeringsinformation hanterades därefter genom ett centraliserat system, som också kunde nås av de anställda som ansvarar för att kontrollera parkeringsavgifterna via en app.
Enligt Garante identifierades ett flertal överträdelser under utredningen. Garante konstaterade bland annat att Atac inte upprättat ett register över register över behandlingar enligt artikel 30 GDPR. Lagringsperioderna för de insamlade uppgifterna specificerades inte och lämpliga säkerhetsåtgärder vidtogs inte. Till exempel visade det sig vid tidpunkten för granskningen att vissa dataflöden gick till och från systemet genom osäkra kanaler. Därutöver hade medarbetare möjlighet att kontrollera registreringsskyltar utan någon form av åtkomstbegränsning, till exempel för att ta reda på en persons vanor och parkeringsplats. Detta innebär enligt Garante ett brott mot kravet på lämpliga säkerhetsåtgärder enligt artikel 32 GDPR. Vidare har Atac enligt Garante behandlat personuppgifter i strid med grundprinciperna i artikel 5 GDPR, och utan rättslig grund enligt artikel 6 GDPR. De olika bristerna gjorde att Garante bötfällde Atac med 400 000 euro.