[doc. web n. 1413380] [v. anche Provv. 6 settembre 2006] Provvedimento del 28 dicembre 2006 IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA
RIUNIONE ODIERNA, in presenza del prof. Francesco Pizzetti, presidente,
del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro
Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni
Buttarelli, segretario generale; VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196); VISTO il provvedimento del Garante del 6 settembre 2006
in materia di trattamento di dati personali relativi ad
abbonamenti a servizi di trasporto pubblici e tessere elettroniche
effettuati da Atac S.p.A.; VISTO
il punto 1, lett. a) e b), del dispositivo di tale provvedimento,
relativi all'obbligo per Atac di dare conferma a questa Autorità, entro
il 31 dicembre 2006, dell'avvenuto adempimento con riguardo ai profili
connessi alla distribuzione di tessere elettroniche che consentano la
memorizzazione sul chip dei soli dati relativi a non più di
cinque convalide effettuate e alla tempestiva anonimizzazione dei c.d.
dati di convalida riferiti ai singoli abbonati; CONSIDERATA
la richiesta, formulata da Atac con la comunicazione del 17 ottobre
2006 –contenente elementi nuovi rispetto alle risultanze istruttorie e
alle dichiarazioni rese in sede di accertamento ispettivo, e formulata
in vista della futura utilizzazione della tessera elettronica "Metrebus card"
per la fruizione dei parcheggi di scambio–, peraltro destinate a
rimanere nella esclusiva disponibilità dei singoli abbonati, in grado di
memorizzare fino a un massimo di dieci operazioni di convalida; CONSIDERATA
l'ulteriore documentazione pervenuta all'Autorità il 18 dicembre 2006
attestante l'attività svolta da Atac (con riferimento alla
riformulazione dell'informativa e all'avvenuta designazione degli
incaricati delle biglietterie) e contenente altri chiarimenti relativi
alle richieste formulate nella menzionata comunicazione del 17 ottobre
u.s.; CONSIDERATA,
altresì, la complessità delle attività che la società deve porre in
essere per dare esecuzione al provvedimento e, in particolare, per: definire le modalità tecniche di trattamento delle informazioni anteriormente alla loro anonimizzazione; eseguire le necessarie attività di test sul sistema informativo come modificato, in modo da garantirne l'affidabilità;
RITENUTA,
pertanto, la necessità di individuare nella data del 30 aprile 2007
(anziché, come richiesto dalla società, del 30 giugno 2007) il termine
per permettere ad Atac S.p.A. di adempiere all'obbligo contenuto al
punto 1, lett. b), del dispositivo del citato provvedimento; VISTI
gli atti d'ufficio con particolare riferimento alla relazione del
Dipartimento risorse tecnologiche, redatta sulla base della
documentazione pervenuta in data 18 dicembre u.s. e che evidenzia sia un
quadro tecnologico ed operativo parzialmente differente per
l'implementazione della carta, sia altri usi ipotizzati dalla società
per la smart card stessa; RILEVATO
altresì, dalla stessa relazione, che risulta giustificata e
tecnicamente motivata la richiesta della società di contenere il numero
limitato a convalide registrate sulla tessera a dieci operazioni,
anziché a cinque come precedentemente stabilito dal Garante in rapporto
agli elementi risultanti in precedenza; VISTE
le osservazioni dell'ufficio formulate dal segretario generale ai sensi
dell'art. 15 del regolamento del Garante n. 1/2000; RELATORE il prof. Francesco Pizzetti; TUTTO CIÒ PREMESSO ai sensi dell'art. 154, comma 1, lett. a) del Codice, a parziale modifica del provvedimento del 6 settembre 2006 adottato nei confronti della società, il Garante: dichiara
proporzionata la memorizzazione dei dati di convalida sulla tessera
elettronica "Metrebus Card", entro il limite massimo di dieci
operazioni, sempreché i dati siano trattati e resi anonimi nei termini
di cui in motivazione; delibera
di fissare al 30 aprile 2007, anziché al 31 dicembre 2006, il termine
per permettere ad Atac S.p.A. di dare esecuzione all'obbligo di cui al
punto 1, lett. b), del dispositivo del medesimo provvedimento del 6
settembre 2006.
Resta
fermo, altresì, per quanto attiene ai dati personali registrati, il
blocco temporaneo e parziale del relativo trattamento per il tempo
necessario per attuare, entro il termine sopra indicato, la prescrizione
volta ad anonimizzare i dati, già disposto con il predetto
provvedimento.
Roma, 28 dicembre 2006 IL PRESIDENTE Pizzetti IL RELATORE Pizzetti IL SEGRETARIO GENERALE Buttarelli |