La DPA italienne (Garante) a infligé une amende de 800 000 euros à Roma Capitale. La Garante avait ouvert une enquête à la suite d'une plainte d'un particulier qui s'était plaint des nouveaux horodateurs installés dans la ville en 2018. En effet, la société Atac spa, qui était également mandatée par la ville pour gérer les parkings, avait initié une mise à niveau technique des parcmètres afin d'offrir de nouveaux services (par exemple, le paiement d'amendes/de frais ou l'achat/le renouvellement de titres de transport en commun) et d'introduire de nouveaux modes de paiement qui prennent également en compte le numéro d'immatriculation du véhicule. Une partie de l'équipement a été fournie par une autre société, Flowbird Italia srl. Toutes les informations de stationnement ont ensuite été gérées via un système centralisé, auquel les employés chargés de contrôler les frais de stationnement pouvaient également accéder via une application. Des irrégularités ont ensuite été relevées au cours de l'enquête. A savoir, la ville de Rome, en tant que responsable du traitement, n'avait pas fourni d'informations sur le traitement des données des conducteurs, n'avait pas désigné la société Atac comme sous-traitant, et ne lui avait pas fourni les instructions nécessaires pour traiter les données collectées. De plus, le sous-traitant n'a pas été formellement instruit ni instruit sur la manière de procéder au traitement des données. Il a également été constaté que les entreprises n'avaient pas établi de registre de traitement des données. De plus, les durées de conservation des données collectées n'étaient pas précisées et les mesures de sécurité appropriées n'étaient pas prises. Par exemple, il a été constaté qu'au moment de l'audit, certains flux de données vers et depuis le système mis en œuvre par Atac passaient par des canaux non sécurisés. De plus, les fonctionnaires auraient pu vérifier toute plaque d'immatriculation en masse et à plusieurs reprises au fil du temps, par exemple, pour connaître les habitudes d'une personne et l'emplacement de stationnement. Dans le calcul de l'amende pour le traitement illégal de données, la DPA a pris en compte de manière aggravante la grande quantité de données personnelles traitées (de juin 2018 à novembre 2019, le système mis en place par Atac avait déjà collecté les données de 8 600 000 arrêts et affecte potentiellement tous les utilisateurs de le service de stationnement payant dans la zone de la ville) et les sanctions déjà reçues pour les violations de la protection des données, mais aussi la coopération positive offerte par la ville et les entreprises pour remédier à certaines violations détectées lors de l'inspection.