La DPA italienne (Garante) a infligé une amende de 60 000 EUR à Roma Servizi per La Mobilita Srl pour ne pas avoir pris les mesures techniques et organisationnelles adéquates concernant les données des citoyens qui avaient obtenu des autorisations pour accéder aux zones à trafic limité. Le contrôleur agissait en tant que sous-traitant pour la ville de Rome. Dans le cadre de cette activité, il a traité les données des personnes détenant des permis pour les zones à circulation restreinte. Les permis ont été vérifiés en scannant les codes QR situés sur les badges apposés sur les pare-brise. Cela a permis au personnel municipal de vérifier en temps réel si le véhicule en question était autorisé à se trouver dans la zone et à qui le permis avait été délivré. Cependant, selon la DPA, non seulement le personnel de la ville, mais n'importe qui pouvait scanner les codes et accéder aux informations, car cela ne nécessitait qu'un scanner QR ordinaire. Les informations stockées dans le système comprennent, par exemple, le nom de l'utilisateur ou le numéro de plaque d'immatriculation du véhicule. La DPA note que le responsable du traitement n'a pas analysé le risque associé au traitement des données et, par conséquent, n'a pas mis en œuvre de mesures adéquates pour protéger le traitement.