[doc. web n. 1424993] Relazione 2006 - Parte II - L'attività svolta dal Garante - 12 luglio 2007 13. Trasporti L'evoluzione tecnologica nel settore delle smart card
e il perseguimento di una maggiore efficienza nel settore dei servizi
di trasporto pubblico hanno contribuito, all'estero come nell'esperienza
italiana, all'introduzione di tecniche innovative, in particolare
prevedendo biglietti magnetici o elettronici (cd. "e-ticketing") contenenti dati personali riferiti agli utenti. Per tale ragione, i sistemi che si avvalgono di smart card hanno formato oggetto di particolare attenzione anche a livello internazionale (cfr., in generale, "Guiding principles for the protection of personal data with regard to smart cards", elaborati dal Gruppo di esperti del Consiglio d'Europa-Cdcj, 11-14 maggio 2004). | | Trattamento dei dati nell'ambito del trasporto pubblico |
Nel
2006 il Garante ha verificato la liceità del trattamento di dati
personali effettuato dalle aziende di trasporti pubblici milanese e
romana in relazione all'emissione e all'impiego di tessere elettroniche
nominative mediante le quali è possibile fruire dell'abbonamento a
servizi di trasporto pubblico. Dagli accertamenti svolti anche in loco
è emerso che i sistemi informativi delle società di trasporto erano
stati concepiti e realizzati senza tener conto del profilo della
protezione dei dati personali degli abbonati e, più in generale,
trascurando il contemperamento del diritto alla libera circolazione
degli individui riconosciuto dall'art. 16 Cost. (che si pone in
contrasto con la creazione di archivi nei quali siano registrati i punti
di "ingresso" e di "uscita" dalla rete di trasporto degli stessi) con
le esigenze di un trasporto pubblico efficiente (v. già, per analoghe preoccupazioni a proposito della videosorveglianza, Provv. 29 aprile 2004 [doc. web n. 1003482]). Uno degli aspetti maggiormente problematici dell'analisi ha riguardato la conservazione dei cd.
"dati di convalida", dai quali era possibile risalire agli spostamenti
individuali effettuati dagli utenti attraverso la traccia del tempo e
del luogo della convalida. L'utilizzo della tessera elettronica
comportava infatti il trattamento di diversi dati personali direttamente
identificativi (in sede di rilascio) o, comunque, agevolmente
associabili all'interessato grazie al codice numerico della tessera
attribuito a ciascun abbonato (raccolto dagli apparecchi di convalida e,
quindi, registrato nel data-base della società). Anche nel chip
incorporato nella carta –nel quale sono registrati il codice numerico,
la tipologia, un codice identificativo e il profilo dell'utente– vengono
memorizzati, all'atto della convalida, l'ora, la data e il numero di
apparecchio che ha effettuato la lettura nonché il numero complessivo
delle vidimazioni effettuate. Tali trattamenti consentono quindi la memorizzazione (temporanea) sulla tessera e (prolungata) nel data-base centrale delle aziende di informazioni idonee a ricostruire, in taluni casi, gli spostamenti individuali. Dagli
accertamenti effettuati è emerso che le informazioni raccolte venivano
utilizzate per diverse finalità; in particolare, per la fornitura del
servizio di trasporto (anche in caso di smarrimento, furto o
duplicazione indebita delle tessere elettroniche), per il perseguimento
delle finalità di contrasto alla frode nel settore della cd.
bigliettazione elettronica, per l'analisi (in forma aggregata) dei
flussi di traffico tesa all'incremento dell'efficienza, nonché,
nell'ipotesi milanese, per la ripartizione del corrispettivo tra i
diversi gestori del servizio. Fatto
salvo il generale principio di finalità, nonché gli accorgimenti
necessari a verificare la regolare esecuzione del rapporto contrattuale,
il Garante ha prescritto ai titolari del trattamento, con due provvedimenti adottati il 6 settembre 2006 [doc. web n. 1339692 e n. 1339531],
che i dati personali conferiti in sede di rilascio della tessera siano
conservati, salva diversa previsione contenuta in puntuali disposizioni
normative (ad es., per quanto attiene alla tenuta delle scritture
contabili), per il solo periodo necessario in rapporto alla validità
della tessera. Con specifico riferimento ai trattamenti effettuati a livello centralizzato e alla possibilità di associare i cd.
"dati di convalida" al nominativo dell'abbonato l'Autorità,
pronunciandosi negativamente, ha ritenuto che tali operazioni
consentirebbero alla società di individuare tutti i punti della rete di
trasporto nei quali la tessera è stata convalidata (in ingresso e, ove
previsto, in uscita), con la contestuale indicazione del giorno e
dell'ora in cui ciò è avvenuto. Il Garante ha, altresì, fissato tempi
massimi di conservazione dei dati di convalida a livello centralizzato
al fine di contrastare fenomeni di abusivo utilizzo di tessere
elettroniche atteso che, a fronte di un anomalo funzionamento della
tessera, anche con la cooperazione dell'abbonato, sarebbe possibile
risalire comunque alle ragioni della anomalia segnalata e porre in
essere le misure opportune. Peraltro,
tali operazioni non richiedono tempi di conservazione prolungati
potendo essere effettuate automaticamente in un arco di tempo
circoscritto (non eccedente le settantadue ore) mentre, solo in
relazione alle tessere per le quali sia rilevato in concreto un
malfunzionamento (o un possibile uso abusivo), tali informazioni
potranno essere conservate per l'ulteriore tempo necessario
all'eventuale tutela dei diritti della società. A seguito di specifica
istanza formulata dall'azienda milanese (e in ragione delle specificità
del sistema di trasporto pubblico locale, che coinvolge tre distinti
operatori, rendendo più complesse le operazioni di trattamento dei dati
personali necessari alla ripartizione dei corrispettivi), con un provvedimento
del 28 dicembre 2006 il Garante ha disposto che i dati personali
possano essere conservati a livello centralizzato per un periodo massimo
di otto giorni [doc. web n. 1413633]. Salva
la facoltà per le due menzionate società di conservare i dati di
convalida per esigenze di analisi statistica dei flussi di passeggeri,
il Garante ha disposto, ai sensi dell'art. 154, comma 1, lett. c),
del Codice, che tali informazioni dovranno essere trattate ricorrendo a
opportune tecniche di anonimizzazione sì da risultare preclusa alle
stesse società la possibilità di risalire a tempi e luoghi di convalida
effettuati da singoli utenti, identificati o identificabili. Per
quanto attiene ai dati sino ad allora registrati e conservati, il
Garante ha infine disposto, ai sensi dell'art. 154, comma 1, lett. d),
del Codice, il blocco temporaneo e parziale del relativo trattamento,
rimettendo alle aziende di trasporto la definizione delle tecniche più
opportune di anonimizzazione, previa valutazione del Garante. È stato altresì autorizzata la memorizzazione sul chip
delle tessere elettroniche di un numero limitato di convalide (dieci),
su richiesta dell'azienda romana, in ragione della possibilità di
avvalersi dell'abbonamento anche per la fruizione dei parcheggi di
scambio (Provv. 28 dicembre 2006 [doc. web n. 1413380]. Da
ultimo, il Garante ha chiarito che i trattamenti di dati personali che
si avvalgono di sistemi complessi, come nel caso di specie, devono
essere chiaramente individuabili dagli interessati, i quali devono
essere posti nella condizione di conoscere agevolmente tutte le
specifiche finalità perseguite, quali informazioni personali a loro
riferite sono raccolte e registrate e quale uso delle medesime viene
effettuato. |