[doc. web n. 1413633] [v. anche Provv. 28 dicembre 2006] Provvedimento del 28 dicembre 2006 IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI NELLA
RIUNIONE ODIERNA, in presenza del prof. Francesco Pizzetti, presidente,
del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro
Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni
Buttarelli, segretario generale; VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196); VISTO il provvedimento del Garante del 6 settembre 2006 in
materia di trattamento di dati personali relativi ad abbonamenti a
servizi di trasporto pubblici e tessere elettroniche effettuati da
Azienda trasporti milanese S.p.A. (Atm); VISTO
il punto 1, lett. a) e b), del dispositivo del menzionato
provvedimento, relativo all'obbligo per Atm di dare conferma a questa
Autorità, entro il 31 dicembre 2006, dell'avvenuto adempimento con
riguardo ai profili connessi alla anonimizzazione dei c.d. dati di
convalida riferiti ai singoli abbonati entro 72 ore dalla trasmissione
dei dati al database della società; PRESO ATTO della dichiarazione di Atm di anonimizzare i dati relativi agli abbonati cancellando in modo irreversibile "da ogni record inserito nella tabella convalide del database SBME […] qualsiasi riferimento sia alle tessere elettroniche, sia ai contratti", sì da garantire "l'impossibilità
di ricostruire a posteriori, oltre i termini consentiti dal Garante,
qualsiasi relazione tra i viaggi effettuati sulla recedi trasporto ed il
singolo cliente che li ha effettuati" (cfr. comunicazione Atm, 4 dicembre 2006); CONSIDERATA
la contestuale richiesta formulata da Atm (nella menzionata
comunicazione del 4 dicembre 2006), volta a consentire una conservazione
dei dati di convalida degli abbonati, anteriormente alla loro
menzionata anonimizzazione irreversibile, fino ad un massimo di otto
giorni dalla data della loro acquisizione; CONSIDERATO
che tale richiesta trova fondamento in elementi nuovi rispetto alle
risultanze istruttorie e alle dichiarazioni rese in sede di accertamento
ispettivo, ed è formulata alla luce delle peculiarità e delle
articolate funzionalità del sistema di bigliettazione elettronica (Sbme)
–condiviso dal punto di vista gestionale con altri operatori del
trasporto pubblico (Trenitalia e Ferrovie nord Milano)– in ragione delle
quali un tempo più lungo di conservazione delle informazioni personali
(codice della tessera elettronica e codice del contratto di abbonamento)
sarebbe dovuto: oltre che alla necessità di dare regolare esecuzione al contratto di trasporto con gli utenti (ivi compresa la gestione della black list
delle tessere annullate), anche alla più complessa attività, dal punto
di vista informatico-gestionale, di ripartizione degli introiti tra le
società che assicurano il servizio del trasporto pubblico (allo stato,
Atm, Trenitalia e Fnm); alla
necessità di elaborare statistiche significative (dal punto di vista
qualitativo/quantitativo) dei flussi di traffico dell'utenza (tenendo
altresì conto del fatto che la "maggior parte dei documenti di viaggio che sono di tipo settimanale"),
funzionali a rendere più efficiente il sistema di trasporto pubblico
milanese; secondo quanto da ultimo prospettato dalla società, dette
statistiche non potrebbero essere più effettuate utilmente una volta
anonimizzati i dati personali secondo le modalità tecniche sopra
indicate; al
fatto che tecniche diverse di anonimizzazione (che assicurino in pari
tempo le finalità legittimamente perseguite dalla società)
garantirebbero, alla luce dell'architettura dei sistemi informativi allo
stato impiegati dalla società per il funzionamento del sistema di
bigliettazione elettronica, non l'anonimizzazione dei dati raccolti, ma
solo una loro pseudoanonimizzazione; alla
necessità di dare corretta esecuzione ad impegni contrattuali assunti
con terzi (in particolare, da Trenitalia e Fnm, pure partecipanti al
sistema di bigliettazione elettronica, con la Regione Lombardia per
quanto attiene al contratto di servizio relativo al Trenomilano);
CONSIDERATO,
altresì, l'elevato numero di tessere emesse (pari a circa 650.000) e la
complessità delle attività che la società dovrà porre in essere (che
interesserà sia le stazioni di convalida della metropolitana, sia quelle
dei mezzi di superficie) per dare esecuzione al provvedimento e, in
particolare, per: definire
le modalità tecniche di trattamento delle informazioni (per le diverse
legittime finalità sopra indicate) anteriormente all'anonimizzazione
delle stesse; eseguire
le necessarie attività di test sul sistema informativo –che presiede
all'intero sistema di bigliettazione elettronica e alla ripartizione dei
relativi introiti– come modificato, in modo da garantirne
l'affidabilità;
VISTI
gli atti d'ufficio, con particolare riferimento alla relazione del
Dipartimento risorse tecnologiche redatta sulla base della
documentazione pervenuta in data 18 dicembre u.s.; RITENUTA,
pertanto, la necessità di individuare nella data del 31 marzo 2007 il
termine per permettere ad Atm di adempiere all'obbligo contenuto ai
punti 1, lett. a) e b), del dispositivo del citato provvedimento; VISTE
le osservazioni dell'ufficio formulate dal segretario generale ai sensi
dell'art. 15 del regolamento del Garante n. 1/2000; RELATORE il prof. Francesco Pizzetti; TUTTO CIÒ PREMESSO ai sensi dell'art. 154, comma 1, lett. a), del Codice, a parziale modifica del provvedimento del 6 settembre 2006, il Garante: autorizza
Azienda trasporti milanese S.p.A. a conservare i dati di convalida
degli abbonati utilizzati nell'ambito del sistema di bigliettazione
elettronica fino ad un massimo di otto giorni dalla data della loro
acquisizione, sempreché i dati siano trattati e resi anonimi nei termini
di cui in motivazione; delibera
di fissare al 31 marzo 2007, anziché al 31 dicembre 2006, il termine
per permettere ad Azienda trasporti milanese S.p.A. di dare esecuzione
all'obbligo di cui al punto 1, lett. a) e b), del dispositivo del
provvedimento del 6 settembre 2006.
Resta
fermo, per quanto attiene ai dati personali registrati, il blocco
temporaneo e parziale del relativo trattamento per il tempo necessario
ad attuare, entro il termine sopra indicato, la prescrizione volta ad
anonimizzare i dati secondo le modalità sopra descritte, già disposto
con il predetto provvedimento.
Roma, 28 dicembre 2006 IL PRESIDENTE Pizzetti IL RELATORE Pizzetti IL SEGRETARIO GENERALE Buttarelli |