[doc. web n. 1339692] [v. anche Provv. 28 dicembre 2006 e Provv. 6 settembre 2006 ] Trasporto pubblico e tessere elettroniche: Milano - 6 settembre 2006 IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella
riunione odierna, in presenza del prof. Francesco Pizzetti, presidente,
del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro
Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni
Buttarelli, segretario generale; Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196); Vista la documentazione in atti; Viste
le osservazioni dell'Ufficio formulate dal segretario generale ai sensi
dell'art. 15 del regolamento del Garante n. 1/2000; Relatore il prof. Francesco Pizzetti; PREMESSO 1. Abbonamento a servizi di trasporto pubblici e tessere elettroniche presso l'Azienda trasporti milanesi S.p.A. 1.1. È
stato richiesto al Garante di verificare la liceità del trattamento di
dati personali effettuato dall'Azienda trasporti milanesi S.p.A. (in
seguito, la società) in relazione all'emissione e all'impiego di tessere
elettroniche nominative, nell'ambito del "sistema di bigliettazione magnetica ed elettronica " (Sbme), con le quali è possibile fruire dell'abbonamento ai servizi di trasporto pubblici di Milano. In
particolare, sono state ipotizzate violazioni della disciplina di
protezione dei dati personali con riferimento al trattamento delle
informazioni personali raccolte all'atto della convalida della tessera
per fruire del servizio di trasporto, qualora la società sia in grado di
tracciare gli spostamenti degli utenti, con conseguenti riflessi sulla
loro libertà di circolazione. 1.2.
Nel corso dell'attività istruttoria svolta anche mediante acquisizione
presso la sede della società di informazioni e di documenti ai sensi
dell'art. 157 del Codice, in data 23 giugno 2006, integrati dal
materiale inviato con successiva comunicazione pervenuta il 10 luglio
2006, è emerso che il sistema di emissione di biglietti elettronici "è
stato ideato a metà degli anni novanta come sistema integrato condiviso
da Atm, Trenitalia e Ferrovie Nord Milano, per offrire agli utenti una
tessera idonea ad utilizzare i diversi servizi offerti dalle predette
aziende " (cfr. verbale 23 giugno 2006, in atti). Il
sistema di abbonamento elettronico, operativo in via sperimentale dal
2005 con una tessera elettronica che si avvale di tecnologie diverse (Mifare e Calypso ), determinerà la sostituzione di larga parte degli abbonamenti cartacei (cfr. verbale 23 giugno 2006). La
tessera elettronica –che potrà funzionare in futuro quale "borsellino
elettronico", permettendo all'utente, oltre all'acquisto di "carnet di biglietti, [di] effettuare pagamenti di altri servizi legati alla mobilità, quali, ad esempio, l'utilizzo di aree di parcheggio"
(cfr. verbale 23 giugno 2006, cit.)– consente, allo stato, l'acquisto
di abbonamenti nominativi (di durata annuale, mensile o settimanale) che
vengono registrati sul chip incorporato nella tessera. La gestione del sistema di emissione dei biglietti elettronici si fonda su un database dei clienti della società, condiviso con Trenitalia e Ferrovie Nord Milano, strutturato in modo tale da consentire "ai
sistemi di lettura delle tessere elettroniche di una azienda di
"riconoscere" le tessere emesse dalle altre e i relativi profili
associati. Esiste poi un data-base condiviso, utilizzato dalle aziende
per le verifiche contabili e la ripartizione degli introiti derivanti
dall'utilizzazione dei diversi servizi di trasporto nell'ambito del
circuito urbano della città di Milano. Tale server è gestito da Atm e
non consente tuttavia alle singole società di visualizzare i dati
anagrafici degli abbonati delle altre " (cfr. verbale 23 giugno 2006). Il
titolare di un abbonamento elettronico, accedendo ai mezzi di
superficie o alle linee metropolitane della società, è tenuto ad
avvicinare la propria tessera al lettore presente sul mezzo o ai
tornelli di accesso, al fine di effettuare la "convalida" del proprio
titolo di viaggio. I dati di convalida vengono acquisiti
dall'apparecchiatura di convalida locale e comunicati quindi al sistema
(di regola con cadenza giornaliera). 1.3.
I dati personali degli utenti necessari al rilascio della tessera
elettronica vengono raccolti a seguito della compilazione di un modulo
di richiesta, previa informativa e (in taluni casi) manifestazione del
consenso. La modulistica inizialmente utilizzata è stata rivista allo
scopo di distinguere i dati il cui conferimento è "obbligatorio" per il
rilascio della tessera (dati anagrafici, codice fiscale e fotografia) da
quelli il cui conferimento è reputato "facoltativo" (recapiti
telefonici e di posta elettronica: cfr. comunicazione della società
dell'11 ottobre 2005). Sulla tessera sono riportati i dati anagrafici e
la fotografia dell'utente, per agevolarne l'identificazione in caso di
richiesta di esibizione dell'abbonamento, oltre a un codice numerico
identificativo della tessera. 1.4.
Il trattamento delle informazioni personali riferibili agli abbonati
non si limita a quello relativo ai dati conferiti dall'interessato in
sede di rilascio dell'abbonamento, atteso che, anche a seguito
dell'effettivo utilizzo dei servizi di trasporto, vengono trattati anche
i seguenti dati: sul chip incorporato nella tessera vengono registrati il codice dello stesso, "la
tipologia del contratto di abbonamento (ad es., mensile), nonché un
codice identificativo del singolo contratto di abbonamento e il profilo
dell'utente (ad es. studente). Il chip memorizza al proprio interno,
all'atto della convalida, l'ora, la data e il numero di apparecchio che
ha effettuato la lettura (per un massimo di quattro convalide, dopodiché
le successive letture sovrascrivono le più risalenti) e il numero
complessivo delle convalide effettuate (contatore di viaggi),
attualmente non utilizzato" (cfr. verbale 23 giugno 2006). La memorizzazione dei dati delle ultime quattro convalide effettuate è considerata "legata
agli specifici obblighi contrattuali connessi al rilascio
dell'abbonamento, in virtù dei quali ogni abbonato è tenuto sempre ad
effettuare la convalida presso i lettori elettronici. La memorizzazione
dei dati di convalida nel chip consente, in caso di eventuali controlli
durante il viaggio, di verificare l'effettivo adempimento dell'abbonato
al predetto obbligo, tramite lettori portatili in uso al personale di
controlleria". Il c.d. "contatore di viaggi" inserito nel chip è strumentale alla possibilità "di
attivare, in futuro, abbonamenti che prevedano l'effettuazione di un
determinato numero di viaggi nel periodo di validità dell'abbonamento " (cfr. verbale 23 giugno 2006); sui singoli apparecchi di convalida
dislocati sulla rete e sui mezzi di trasporto, all'atto della convalida
vengono memorizzati solo temporaneamente dati contenuti nel chip
di ogni tessera (quali il numero seriale della carta, il tipo di
abbonamento, la sua scadenza e il numero progressivo di transazioni
effettuate); oltre a tali dati vengono memorizzati l'ora e il giorno
della convalida, nonché il numero dell'apparecchio che ha effettuato la
lettura (cfr. verbale 23 giugno 2006); a livello centralizzato, il database
contiene i dati personali registrati al momento dell'attivazione
dell'abbonamento, unitamente al codice identificativo della tessera.
Vengono inoltre registrate ulteriori informazioni provenienti dalle
apparecchiature di convalida: si tratta della data e dell'orario della
convalida, del codice identificativo della tessera, del codice
dell'apparecchiatura di convalida. Queste informazioni, che (come detto)
sono memorizzate temporaneamente sulle apparecchiature di convalida,
vengono periodicamente trasmesse (di regola su base giornaliera) al server centrale. "Tali
dati permangono nel sistema per un periodo di tre mesi, dopodiché
vengono salvati su supporto rimovibile e quindi cancellati dal server"; "non è ancora stato determinato un limite temporale di conservazione dei dati salvati sui supporti rimovibili " (cfr. verbale 23 giugno 2006).
1.5. Secondo la società i trattamenti di dati personali sopra descritti sarebbero necessari per la "razionalizzazione dei servizi, [la] ripartizione degli introiti fra ATM, Trenitalia e Ferrovie Nord Milano e [il] contrasto di comportamenti fraudolenti " (cfr. verbale 23 giugno 2006). In particolare, il trattamento del codice numerico del chip associato al numero del contratto consentirebbe al sistema "di rilevare eventuali comportamenti fraudolenti" in caso di smarrimento, furto o duplicazione indebita delle tessere elettroniche: "la
comparazione da parte del sistema del numero del contratto e di quello
del chip acquisiti con la convalida, con quelli presenti nel sistema,
consente di inserire le tessere elettroniche eventualmente falsificate
ovvero smarrite o rubate in una black-list" (cfr. verbale 23 giugno 2006). L'inserimento di una tessera nella c.d. black-list
(operazione che avviene, di regola, entro 24 ore dalla segnalazione da
parte dell'abbonato dello smarrimento o dalla rilevazione di un'anomalia
nel suo uso) determina la sua automatica disabilitazione, sì che al
possessore verrebbe preclusa la possibilità di effettuare ulteriori
convalide. Il dato relativo al numero identificativo del contratto di
abbonamento sottoscritto, trattato anch'esso dalla società, risulta
necessario anche "nei casi in cui operazioni di ricarica degli
abbonamenti vengano effettuate irregolarmente (ad es. apparecchiature di
ricarica trafugate dalla rete di vendita o codici di ricarica
falsificati). In questo caso, la verifica da parte del sistema consente
l'annullamento della ricarica e il contatto dell'abbonato da parte
dell'azienda per l'acquisizione di elementi utili ad individuare gli
autori delle illegittime operazioni di ricarica " (cfr. verbale 23 giugno 2006). Allo stato, "i
dati relativi all'ora e alla data della convalida e dell'apparecchio
che ha effettuato la lettura sono raccolti al fine di effettuare
rilevazioni in forma aggregata sull'utilizzo dei servizi in relazione
alle zone e alle fasce orarie. Nell'ottica di estendere gli abbonamenti
anche oltre il circuito urbano, la raccolta dei dati di convalida
consentirà di verificare il corretto utilizzo dell'abbonamento nelle
aree di pertinenza " (cfr. verbale 23 giugno 2006). I
dati anagrafici e i recapiti degli abbonati vengono altresì utilizzati
per svolgere attività a contenuto promozionale nell'interesse della
società, limitatamente ai soggetti che hanno consentito a tale ulteriore
finalità di trattamento. In chiave prospettica, i trattamenti
effettuati con i dati di convalida potrebbero consentire anche una "analisi individualizzate relative ai flussi di traffico della clientela " (cfr. verbale 23 giugno 2006).
2. Biglietti elettronici e trattamento di dati personali 2.1. L'evoluzione tecnologica nel settore delle c.d. smart card
e ragioni di efficienza nel settore dei servizi di trasporto pubblico
hanno contribuito, all'estero come pure nell'esperienza italiana,
all'introduzione di tecniche innovative di emissione dei biglietti,
ricorrendo a biglietti magnetici o elettronici (c.d. e-ticketing ) contenenti, in taluni casi, dati personali riferiti agli utenti. Tali
tessere e, unitamente ad esse, il sistema informativo che ne consente
il funzionamento, offrono alcuni vantaggi, ma possono anche comportare
alcuni rischi per i diritti e le libertà individuali. Essi, infatti,
possono incidere sul diritto alla protezione dei dati personali e su
altri diritti, compreso quello alla libera circolazione delle persone,
protetto anch'esso costituzionalmente (art. 16 Cost.; v. già, per
analoghe preoccupazioni a proposito della videosorveglianza, Provv. del Garante 29 aprile 2004, in http://www.garanteprivacy.it doc. web n. 1003482; con riguardo alla tecnologia Rfid, Provv. 9 marzo 2005, doc. web n. 1109493; v. pure Provv. 26 luglio 2005, doc. web n. 1151997). Per tale ragione, i sistemi che si avvalgono di smart card hanno formato oggetto di particolare attenzione anche a livello internazionale (cfr. in generale i Guiding principles for the protection of personal data with regard to smart cards,
adottati dal Gruppo di esperti del Consiglio d'Europa Cdcj, 11-14
maggio 2004) e meritano di essere esaminati attentamente tenendo conto
delle peculiarità connesse ai diversi contesti applicativi nei quali
essi vengono impiegati. Le
considerazioni che seguono si riferiscono alle particolari modalità di
funzionamento della tessera elettronica utilizzata dalla società e
correlata agli abbonamenti attualmente commercializzati. 2.2.
Nel caso di specie relativo al trasporto pubblico, la tessera
elettronica, in ragione delle modalità di funzionamento descritte,
comporta (in vari momenti) il trattamento di diversi dati personali,
direttamente identificativi (in sede di rilascio) o comunque agevolmente
associabili all'interessato grazie al codice numerico della tessera
attribuito ad ogni abbonato (raccolto dagli apparecchi di convalida e
quindi registrato nel database della società). Tali trattamenti consentono tra l'altro la memorizzazione, sulla tessera e nel predetto database,
della data, dell'ora e del luogo in cui la medesima è stata utilizzata,
consentendo in taluni casi la ricostruzione degli spostamenti
individuali (riconoscibili alla società mediante le descritte modalità
di funzionamento del sistema).
3. Sistemi di bigliettazione elettronica e principi di protezione dei dati personali: finalità, pertinenza e non eccedenza 3.1.
Le operazioni di trattamento sono svolte dalla società in varie fasi,
di seguito analizzate: a) in sede di rilascio della tessera; b) in
relazione al funzionamento della tessera, con riguardo ai dati in essa
memorizzati e soggetti a verifica da parte del personale addetto al
controllo; c) in riferimento al funzionamento della tessera, rispetto ai
dati trattati dalle apparecchiature per la convalida; d) in relazione
al funzionamento della tessera, relativamente ai dati trattati dalla
società a livello centralizzato per le finalità identificate al punto
1.5. 3.2.
Allo stato degli atti non risultano violazioni dei principi di
finalità, pertinenza e non eccedenza nel trattamento dei dati personali
riferiti agli abbonati, con riguardo a quelli trattati in sede di
rilascio della tessera (e sopra identificati al punto 1.3.). Anche
il codice attribuito alla tessera (come detto, correlato all'abbonato)
risulta necessario al fine di assicurare la regolare esecuzione del
rapporto contrattuale, consentendo la sostituzione di tessere difettose,
smarrite o rubate con nuovi titoli di viaggio e la contestuale
disabilitazione delle tessere emesse (con le modalità descritte al punto
1.5.). Resta
ferma la necessità che i dati personali conferiti in sede di rilascio
della tessera siano conservati, salva diversa previsione contenuta in
puntuali disposizioni normative (ad esempio, in materia di tenuta delle
scritture contabili), per il solo periodo necessario in rapporto alla
validità della tessera. 3.3.
Sulla base delle attuali risultanze, ad analoga valutazione deve
pervenirsi per ciò che riguarda la possibilità di memorizzare nel chip
delle tessere distribuite le ultime quattro convalide (anche al fine di
verificare eventuali malfunzionamenti della tessera), oltre ai dati
necessari alla verifica della (attuale) validità dell'abbonamento (e,
dunque, il suo periodo di validità), nonché i dati relativi
all'abbonato. 3.4.
Non emergono, allo stato degli atti, profili di violazione dei principi
di finalità, pertinenza e non eccedenza nel trattamento dei dati
personali riferiti agli abbonati, con riguardo a quelli trattati in sede
di convalida dell'abbonamento presso le apparecchiature dislocate sulla
rete di trasporto della società. In particolare, non risulta
ingiustificata la memorizzazione temporanea su detti apparecchi del
codice numerico di ciascuna tessera, atteso che solo in tal modo la
società può –grazie al continuo aggiornamento della c.d. black list
e la sua memorizzazione sulle apparecchiature di convalida (con le
modalità indicate al punto 1.5.)– prevenire l'utilizzo di tessere
annullate (e, nel caso della rete metropolitana, anche l'accesso del
detentore di una tessera annullata alla rete di trasporto). 3.5.
Per ciò che attiene invece ai trattamenti effettuati a livello
centralizzato, gli elementi acquisiti agli atti evidenziano che la
società, tramite il codice della tessera, può associare i c.d. dati di
convalida al nominativo dell'abbonato. Tali operazioni, se effettuate,
consentirebbero alla società di individuare tutti i punti della rete di
trasporto nei quali la tessera è stata convalidata (in ingresso e in
uscita), con la contestuale indicazione del giorno e dell'ora in cui ciò
è avvenuto (consentendo così di risalire agli spostamenti
dell'abbonato). Sebbene
la società abbia dichiarato di non effettuare in concreto tale
trattamento (non indicato neanche nell'informativa resa) e di limitarsi
ad analizzare in modo aggregato le informazioni raccolte per ricostruire
i flussi dei passeggeri per rendere più efficiente il servizio di
trasporto, l'architettura dei sistemi informativi in uso consente
comunque alla società di venire agevolmente a conoscenza dei dettagli
relativi ai singoli "accessi" alla rete di trasporto in relazione a
tutti gli abbonati, senza che ciò risulti necessario per dare regolare
esecuzione al contratto. Tale possibilità riguarda, peraltro, un arco
temporale esteso, posto anche che, come evidenziato al punto 1.4., tali
informazioni sono attualmente conservate dalla società a far data
dall'inizio del servizio (2005). In
relazione a tale trattamento centralizzato occorre pertanto
individuare, in relazione alle diverse finalità perseguite, se siano
rispettati i principi di protezione dei dati, con particolare
riferimento a quelli di pertinenza e non eccedenza (anche dal punto di
vista del tempo di conservazione delle informazioni). Da tale scrutinio: a) risulta
giustificato il trattamento dei dati di convalida a livello
centralizzato, in particolare del codice apposto sulla tessera (e
memorizzato nel chip), al fine di assicurare la regolare
esecuzione del servizio di trasporto a vantaggio degli utenti. In caso
di malfunzionamento, smarrimento o furto della tessera segnalato
dall'abbonato (nell'arco di tempo delle successive ventiquattro ore), la
società è posta in condizione di effettuare gli opportuni controlli e
di annullare la tessera segnalata, consegnando all'abbonato un nuovo
(valido) titolo di viaggio. Ciò, grazie all'inserimento del codice
seriale della tessera in un apposito elenco (c.d. black list),
successivamente memorizzato negli apparecchi di convalida, sì da
vanificarne l'eventuale successivo utilizzo. Viene così precluso (in
caso di accesso alla rete metropolitana, convalidata la tessera, i
varchi restano chiusi) o scoraggiato (per i mezzi di superficie)
l'utilizzo indebito della tessera inserita nella black list; b) risulta
necessaria anche una limitata conservazione nel tempo dei dati di
convalida a livello centralizzato (associando il codice della tessera al
contratto registrato sulla stessa), al fine di contrastare fenomeni di
abusivo utilizzo di tessere elettroniche o altri comportamenti
fraudolenti a danno della società. Rilevato un anomalo funzionamento
della tessera, anche con la cooperazione dell'abbonato, è infatti
possibile per la società risalire alle ragioni della anomalia segnalata e
porre in essere le misure opportune. Tuttavia,
anche tali operazioni non richiedono tempi di conservazione prolungati,
potendo essere effettuate automaticamente in un arco di tempo
circoscritto, successivo alla registrazione dei dati di convalida a
livello centralizzato, che risulta proporzionato qualora non ecceda le
72 ore. Solo
in relazione alle tessere per le quali sia stato in concreto rilevato
un malfunzionamento (o un possibile uso abusivo), i dati di convalida e i
dati personali connessi alla tessera sottoposta ad esame potranno
essere conservati per l'ulteriore tempo necessario al fine di consentire
i necessari accertamenti e l'eventuale tutela dei diritti della
società; c) resta
salva la facoltà per la società di conservare i c.d. dati di convalida
per esigenze di analisi statistica dei flussi di passeggeri (sopra
descritte al punto 1.5.) come pure al fine di ripartire gli introiti
derivanti dall'utilizzo della rete di trasporto integrata tra i diversi
soggetti alla medesima partecipanti. A tal fine non è tuttavia
necessario disporre di dati (direttamente o indirettamente) nominativi,
specie se per tempi prolungati e, come nel caso di specie, sine die.
La società potrà pertanto trattare le informazioni relative ai tragitti
effettuati, ricorrendo ad opportune tecniche di anonimizzazione dei
dati personali raccolti –da comunicare a questa Autorità–, sì da
risultare preclusa alla medesima società la possibilità di risalire a
tempi e luoghi di convalida effettuati da singoli utenti, identificati o
identificabili.
Per
quanto attiene ai dati sino ad oggi registrati, ed attualmente
conservati, deve disporsi il blocco temporaneo e parziale del relativo
trattamento, al fine di consentire alla società l'adozione delle sole
misure opportune volte ad anonimizzarli, entro e non oltre il 31
dicembre 2006, termine ritenuto congruo per la loro concreta adozione.
Di tali misure, volte a rendere il trattamento conforme ai principi di
protezione dei dati, la società dovrà rendere edotta questa Autorità
entro il medesimo termine del 31 dicembre 2006. Il Garante si riserva,
valutata la congruità delle misure che si intendono adottare, di
verificare ulteriormente la liceità delle operazioni di trattamento di
seguito effettuate. Del
pari, la società dovrà predisporre entro il predetto termine sistemi di
cancellazione o di anonimizzazione automatica dei dati di convalida,
dando contestuale comunicazione a questa Autorità delle misure
predisposte. 4. Informativa 4.1. Con riguardo alla diversa modulistica prodotta dalla società nel corso dell'accertamento in loco,
in larga parte aderente alle prescrizioni contenute nell'art. 13 del
Codice, va prescritta, come misura necessaria per rendere conforme alla
disciplina vigente il trattamento dei dati personali, l'integrazione
dell'attuale modello generale di informativa utilizzato dalla società.
Tale modello menziona la finalità di esecuzione degli obblighi
contrattuali ma non specifica, come necessario ai fini del predetto art.
13, la particolare finalità di contrasto di condotte fraudolente in
relazione al servizio di bigliettazione. La
società, pertanto, dovrà enunciare chiaramente nell'informativa, tra le
finalità perseguite, quella di contrasto alla frode nel sistema di
bigliettazione elettronica.
5. Sistemi di bigliettazione elettronica e correttezza nelle operazioni di trattamento dei dati personali Sul
piano della consapevolezza che gli interessati devono poter avere
rispetto al trattamento dei dati personali, vi è un ulteriore aspetto da
considerare, connesso all'osservanza del principio di correttezza (art.
11, comma 1, lett. a), del Codice). I
trattamenti di dati personali che si avvalgono di sistemi complessi,
come nel caso di specie, devono essere chiaramente riconoscibili agli
interessati, i quali devono essere posti nella condizione di
conoscere agevolmente tutte le specifiche finalità perseguite, quali
informazioni personali a loro riferite sono raccolte e registrate (nel
caso di specie, nel chip) e quale uso delle medesime viene effettuato (in tal senso v. già, con riferimento all'utilizzo della tecnologia Rfid, Provv. 9 marzo 2005, cit.). Tali
informazioni non sono state messe a disposizione dell'utenza da parte
della società la quale, per rendere i propri trattamenti conformi al
principio di correttezza, deve quindi rendere interamente "trasparenti"
tali trattamenti, enunciando chiaramente le modalità utilizzate per
perseguire le predette finalità antifrode. Ciò, specificandolo ai
singoli abbonati nel quadro dei rapporti contrattuali intrattenuti,
nonché attraverso il sito Internet della società. TUTTO CIÒ PREMESSO IL GARANTE 1) prescrive
all'Azienda trasporti milanese s.p.a., ai sensi dell'art. 154, comma 1,
lett. c), del Codice, di adottare le misure necessarie al fine di
conformare i trattamenti alle disposizioni vigenti nei termini di cui in
motivazione, provvedendo a: a) anonimizzare
i dati di convalida riferiti ai singoli abbonati trattati a livello
centralizzato una volta verificata l'assenza di anomalie nell'utilizzo
della tessera elettronica, e comunque entro 72 ore dalla trasmissione
dei dati al database della società (punto 3.5. in riferimento alla lett. b); b) trattare
le informazioni relative ai dati di convalida per l'analisi statistica
dei flussi di traffico ricorrendo a tecniche di anonimizzazione dei dati
personali raccolti, in modo che risulti preclusa la possibilità di
risalire a tempi e luoghi di convalida effettuati da singoli utenti,
identificati o identificabili (punto 3.5. in riferimento alla lett. c); c) riformulare
l'informativa resa enunciando chiaramente nell'informativa, tra le
finalità perseguite, quella di contrasto alla frode nel sistema di
bigliettazione elettronica (punto 4.1.); d) dare
conferma a questa Autorità dell'attuazione delle predette prescrizioni e
del blocco di cui al presente dispositivo, fornendo ogni informazione
utile al riguardo ed allegando la pertinente documentazione;
2) dispone,
ai sensi dell'art. 154, comma 1, lett. d), del Codice, per quanto
attiene ai dati sino ad oggi registrati, il blocco temporaneo e parziale
del relativo trattamento per il tempo necessario per attuare, entro il
termine previsto, la prescrizione volta ad anonimizzare i dati (punto
3.5., lett. b) e c).
Roma, 6 settembre 2006 IL PRESIDENTE Pizzetti IL RELATORE Pizzetti IL SEGRETARIO GENERALE Buttarelli |