Il Garante della Privacy, con il provvedimento n. 441 del 17 luglio 2024 (doc. web. 10063782), ha affrontato il reclamo presentato all’autorità di protezione dei dati personali norvegese e poi trasmessa al Garante italiano da due cittadini norvegesi che lamentavano di aver ricevuto, di ritorno da un viaggio tra Italia e Croazia, una multa per guida in aree non consentite da parte della “Italian police”, nonché una contestazione per mancato pagamento di pedaggio autostradale benché gli stessi non fossero stati in Italia nel periodo in cui gli illeciti stradali sarebbero stati commessi.

Lamentavano quindi una presunta violazione della disciplina in materia di protezione dei dati personali da parte della Avis Budget Italia, da cui i reclamanti avevano noleggiato un’autovettura presso l’aeroporto di Venezia: la società avrebbe associato erroneamente i dati personali relativi ai medesimi interessati ad un numero di targa non corrispondente all’autovettura dagli stessi noleggiata (come comprovato da documentazione prodotta); come conseguenza, i reclamanti avrebbero ricevuto la notifica di sanzioni amministrative da parte dei summenzionati soggetti terzi (“Italian police”), le cui pratiche sarebbero state poi archiviate, su richiesta di Avis stessa.

Nel reclamo, gli interessati sostenevano inoltre che Avis avrebbe loro “causato un processo lungo e difficile, […e] molto lavoro anche se non avevamo nulla a che fare con nessuna delle contestazioni [notificate]”.

La società Avis, dopo una verifica interna, accertava che “l'erronea comunicazione è da imputare ad un mero errore tecnico relativo all'associazione tra i dati identificativi dell'effettivo conducente e la targa del veicolo noleggiato nel periodo in cui si erano verificati, rispettivamente, la violazione delle norme [di] limitazione al traffico ed il mancato pagamento pedaggio autostradale”.

L’esame del Garante

L’autorità italiana, al termine dell’istruttoria, ha accertato che nell’ambito della comunicazione dei dati dei conducenti da parte di Avis ai soggetti esterni (Polizia Stradale e Concessionario per le riscossioni di Autostrade), attività in linea di principio lecita, in base al quadro normativo comunitario e nazionale (art. 6, par. 1, lett. c), f) e par. 3 RGPD), nel caso concreto, essendosi verificata una comunicazione di dati (comuni) non dovuta, non essendo i reclamanti gli effettivi contravventori, ciò ha comportato una violazione dei dati personali (data breach).

Tuttavia, dall’analisi della documentazione acquisita, è emerso che la causa di tale violazione sia da rintracciare in un errore umano, occasionale, occorso durante la fase di data entry, e non in un problema di natura informatica o di operatività del sistema adoperato da parte di Avis.

Il titolare ha provveduto alla tempestiva rettifica dei dati nei propri sistemi interni e a chiedere tale rettifica ai soggetti summenzionati, facendo archiviare le contravvenzioni per violazione del codice della strada, come confermato anche dagli interessati; inoltre, il titolare ha dichiarato di aver aggiornato nel corso del procedimento le misure tecniche e organizzative impiegate, in particolare circa la rilevazione e segnalazione di anomalie al fine di ridurre ulteriormente l’eventualità di simili errori.

L’Autorità Garante della Privacy, quindi, si è determinata nel non intraprendere alcuna azione correttiva ex art. 58, par. 2 RGPD, nei confronti del titolare, piuttosto di adottare una decisione ai sensi dell'art. 60, par. 7, al fine di chiudere il procedimento, pur invitando il titolare del trattamento ad una costante verifica dell’adeguatezza delle misure tecniche e amministrative relative alle operazioni di trattamento dei dati (inclusa adeguata formazione del personale) per evitare (o individuare tempestivamente) errori simili in futuro.

L’autorità è giunta a tale conclusione tenendo conto di tutte le circostanze del caso e, in particolare, che il disguido sembra essere dovuto ad un errore umano, di natura occasionale e che il titolare del trattamento (che, in linea di principio, è tenuto, in base alla legge italiana, a condividere i dati dei conducenti con gli enti richiedenti summenzionati) si è attivato proattivamente per ridurre o eliminare l’impatto di quanto accaduto sugli interessati.