[doc. web n. 1339531] [v. Provv. 28 dicembre 2006 e Provv. 6 settembre 2006] Trasporto pubblico e tessere elettroniche: Roma - 6 settembre 2006 IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella
riunione odierna, in presenza del prof. Francesco Pizzetti, presidente,
del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro
Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni
Buttarelli, segretario generale; Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196); Vista la documentazione in atti; Viste
le osservazioni dell'Ufficio formulate dal segretario generale ai sensi
dell'art. 15 del regolamento del Garante n. 1/2000; Relatore il prof. Francesco Pizzetti; PREMESSO 1. Abbonamento a servizi di trasporto pubblici e tessere elettroniche: la Metrebus Card 1.1.
È stato richiesto al Garante di verificare la liceità del trattamento
di dati personali effettuato da Atac S.p.A. (in seguito, la società) in
relazione all'emissione e all'impiego della tessera elettronica
nominativa, denominata Metrebus Card, con la quale è possibile abbonarsi ai servizi di trasporto pubblico di Roma. In particolare, sono state ipotizzate violazioni della disciplina di protezione dei dati personali con riferimento: alla
circostanza che, per poter usufruire degli abbonamenti con tessera
elettronica, devono essere conferite diverse informazioni di carattere
personale, tra le quali: dati anagrafici, recapiti telefonici, indirizzo
di posta elettronica e due fotografie (una delle quali apposta sulla Metrebus Card e, l'altra, conservata negli archivi della società); alla decisione della società di associare a ciascuna Metrebus Card un codice numerico, stampandolo sulla medesima; al
trattamento delle informazioni personali raccolte all'atto della
convalida della tessera per fruire del servizio di trasporto, qualora la
società sia in grado di tracciare gli spostamenti degli utenti con
conseguenti riflessi sulla loro libertà di circolazione.
Ulteriori
rilievi hanno riguardato l'informativa e la richiesta del consenso al
trattamento dei dati personali contenute nel formulario originariamente
predisposto dalla società e, specificamente, il fatto che il formulario
medesimo non contenesse la distinzione tra dati personali necessari per
abbonarsi e dati il cui rilascio era invece facoltativo, in quanto
invitava gli utenti a compilare il modulo in tutte le sue parti
indicando tutti i dati richiesti. 1.2.
Nel corso dell'attività istruttoria (svolta anche mediante acquisizione
in loco di informazioni e di documenti ai sensi dell'art. 157 del
Codice effettuata il 26 giugno 2006 presso diverse sedi della società, e
nel corso della quale sono stati raccolti ulteriori elementi, integrati
dal materiale inviato con comunicazione del 10 luglio 2006), è emerso
che il sistema di bigliettazione elettronica (Sbe) "è stato ideato
alla fine degli anni novanta ed utilizzato dall'inizio del 2000 per
offrire agli utenti una tessera idonea ad utilizzare i servizi offerti,
denominata Metrebus Card" (cfr. verbale 26 giugno 2006, in atti).
Il rilascio di quest'ultima, in vista della graduale sostituzione delle
tessere di abbonamento cartacee, è propedeutico all'acquisto di
abbonamenti nominativi (di durata mensile, annuale e, per una tipologia
di utenza, quinquennale) che vengono registrati sul chip incorporato nella tessera. Dal punto di vista quantitativo la società, "con
riguardo agli abbonamenti annuali, rilascia indicativamente nel 95%
[dei casi] tessere elettroniche; nei restanti casi viene rilasciato un
titolo di viaggio cartaceo. Con riguardo invece agli abbonamenti mensili
nel 30% dei casi si rilascia tessera elettronica; nei casi rimanenti si
rilascia titolo di viaggio cartaceo. Per i dipendenti viene distribuito
un particolare abbonamento di durata quinquennale" (cfr. verbale 26 giugno 2006). La progettazione, realizzazione, gestione e manutenzione della rete di vendita della Metrebus Card
si è articolata in due fasi. La società (in attuazione di provvedimenti
regionali e comunali e ricorrendo all'appalto di servizi) si è dapprima
avvalsa di una associazione temporanea di imprese, unitamente alla
collaborazione di alcuni rivenditori privati (tabaccai e giornalai con i
quali sono state stipulate apposite convenzioni). Attualmente, la
società, unico titolare del trattamento, non si avvale più di tale
associazione temporanea (cfr. verbale 26 giugno 2006) e i trattamenti di
dati personali necessari per emettere la Metrebus Card vengono
effettuati presso cinque biglietterie capogruppo della società,
definite "biglietterie gestioni", elencate nel documento allegato al
modulo generale di richiesta dell'abbonamento. Dalle
dichiarazioni rese per conto della società risulta che, allo stato,
solo parte dei dipendenti preposti in dette biglietterie alla raccolta e
all'inserimento nel database della società delle informazioni
personali degli abbonati sono stati formalmente designati quali
"incaricati del trattamento" (cfr. verbale 26 giugno 2006, nonché il
tabulato inviato come all. 2 alla predetta comunicazione del 10 luglio
2006). 1.3. I dati personali degli utenti necessari al rilascio della Metrebus Card
vengono raccolti a seguito della compilazione di un modulo di richiesta
comprensivo dell'informativa e (in taluni casi) della dichiarazione di
manifestazione del consenso. La
modulistica inizialmente utilizzata è stata rivista al fine di
distinguere i dati il cui conferimento è considerato "obbligatorio" per
il rilascio della tessera (dati anagrafici e fotografia, utili anche per
agevolare l'identificazione dell'abbonato in caso di verifica della
validità dell'abbonamento) da quelli il cui conferimento è reputato
"facoltativo". Sulla Metrebus Card è presente, altresì, un codice numerico identificativo della tessera. Alla
luce dei diversi profili tariffari, in presenza di particolari
contratti di abbonamento possono essere trattati anche dati sensibili
(si pensi, ad esempio, a quelli contenuti nel modello AG.0201, che
consente l'abbonamento a condizioni tariffarie di favore per talune
categorie di invalidi). 1.4.
Il trattamento delle informazioni personali riferibili agli abbonati
non si limita a quello relativo ai dati conferiti dall'interessato in
sede di rilascio dell'abbonamento, atteso che, anche a seguito
dell'effettivo utilizzo dei servizi di trasporto, vengono trattati anche
i seguenti dati: sul chip incorporato nella Metrebus Card viene registrata una pluralità di informazioni (cfr. all. 4 alla comunicazione del 10 luglio 2006, Metrebus Card-Data Definition),
tra le quali il codice della carta, la tipologia e la data di scadenza
del contratto di abbonamento di volta in volta registrato, nonché il suo
codice identificativo; il chip memorizza altresì, "all'atto
della convalida, l'ora, la data e il numero di apparecchio che ha
effettuato la lettura e il numero complessivo delle convalide effettuate
pari a circa le ultime trenta transazioni" (cfr. verbale 26 giugno 2006); sui singoli apparecchi di convalida
dislocati sulla rete e sui mezzi di trasporto, all'atto della convalida
del titolo di viaggio (allo stato, non ancora prescritta dalle
condizioni generali di trasporto) vengono memorizzati solo
temporaneamente dati contenuti nel chip di ogni tessera (in
particolare, il numero seriale della carta, il tipo di abbonamento, la
sua scadenza e il numero progressivo di transazioni effettuate). Oltre a
tali dati, vengono memorizzati l'ora ed il giorno della convalida,
nonché il codice dell'apparecchio che ha effettuato la lettura (cfr.
verbale 26 giugno 2006); a livello centralizzato, una sezione del database
della società contiene i dati personali registrati al momento
dell'attivazione della tessera unitamente al codice identificativo della
tessera. Vengono inoltre registrate ulteriori informazioni provenienti
dalle apparecchiature di convalida: si tratta della data e dell'orario
della convalida, del codice identificativo della tessera e del codice
dell'apparecchio di convalida (c.d. "dati di convalida"). Queste
informazioni, memorizzate solo temporaneamente sulle apparecchiature di
convalida, vengono trasmesse (di regola su base giornaliera) al server centrale e poi custodite in un unico database,
al cui accesso in forma integrale sono autorizzate solo le figure che
svolgono il ruolo di amministratore di sistema (allo stato, due
dipendenti). La società ha dichiarato che "non è ancora stato
determinato un limite temporale di conservazione, precisando che il
sistema è entrato in funzione dall'inizio del 2000" (cfr. verbale 26 giugno 2006).
1.5. Secondo la società i trattamenti di dati personali sopra descritti sarebbero necessari per verificare la "regolare esecuzione del contratto". Inoltre, i c.d. "dati
di convalida […] sono utilizzati per finalità di contrasto a fenomeni
fraudolenti, a fronte di smarrimento o malfunzionamento della card". In particolare, "il
codice seriale identificativo della carta viene trattato per rilevare
eventuali usi anomali della medesima. Ad esempio, in caso di smarrimento
della carta, segnalato dall'utente, a quest'ultimo viene attribuita una
nuova carta e, in pari tempo [il predetto codice seriale della tessera]
viene segnalato, inserendolo nella cosiddetta black-list nel database
di Atac. In tal modo la carta smarrita viene disabilitata. Analogamente,
il seriale della carta può essere utilizzato per rilevare comportamenti
anomali o fraudolenti in sede di ricarica della carta, consentendo di
risalire al suo titolare e con il suo ausilio al punto di vendita" (cfr. verbale 26 giugno 2006). I dati di convalida sono altresì utilizzati a livello centralizzato "per analisi aggregate relative ai flussi di traffico della clientela" (cfr. verbale 26 giugno 2006). I
dati anagrafici e i recapiti degli abbonati vengono utilizzati dalla
società anche per svolgere attività a contenuto promozionale (allo stato
consistenti nell'invio del c.d. libretto dei vantaggi), limitatamente
ai soggetti che hanno consentito il perseguimento di tale ulteriore
finalità di trattamento.
2. Biglietti elettronici e trattamento di dati personali 2.1. L'evoluzione tecnologica nel settore delle c.d. smart card
e ragioni di efficienza nel settore dei servizi di trasporto pubblico
hanno contribuito, all'estero come pure nell'esperienza italiana,
all'introduzione di tecniche innovative di emissione dei biglietti,
ricorrendo a biglietti magnetici o elettronici (c.d. e-ticketing) contenenti, in taluni casi, dati personali riferiti agli utenti. Tali
tessere e, unitamente ad esse, il sistema informativo che ne consente
il funzionamento, offrono alcuni vantaggi, ma possono anche comportare
alcuni rischi per i diritti e le libertà individuali. Essi, infatti,
possono incidere sul diritto alla protezione dei dati personali e su
altri diritti, compreso quello alla libera circolazione delle persone,
protetto anch'esso costituzionalmente (art. 16 Cost.; v. già, per
analoghe preoccupazioni a proposito della videosorveglianza, Provv. del Garante 29 aprile 2004, in www.garanteprivacy.it doc. web n. 1003482; con riguardo alla tecnologia Rfid, Provv. 9 marzo 2005, doc. web n. 1109493; v. pure Provv. 26 luglio 2005, doc. web n. 1151997). Per tale ragione, i sistemi che si avvalgono di smart card hanno formato oggetto di particolare attenzione anche a livello internazionale (cfr. in generale i Guiding principles for the protection of personal data with regard to smart cards,
adottati dal Gruppo di esperti del Consiglio d'Europa Cdcj, 11-14
maggio 2004) e meritano di essere esaminati attentamente tenendo conto
delle peculiarità connesse ai diversi contesti applicativi nei quali
essi vengono impiegati. Le considerazioni che seguono si riferiscono alle particolari modalità di funzionamento della Metrebus Card correlate agli abbonamenti attualmente commercializzati. 2.2. Nel caso di specie relativo al trasporto pubblico, la Metrebus Card,
in ragione delle modalità di funzionamento descritte, comporta (in vari
momenti) il trattamento di diversi dati personali, direttamente
identificativi (in sede di rilascio) o comunque agevolmente associabili
all'interessato grazie al codice numerico della tessera attribuito ad
ogni abbonato (raccolto dagli apparecchi di convalida e quindi
registrato nel database della società). Tali trattamenti consentono tra l'altro la memorizzazione, sulla tessera e nel predetto database,
della data, dell'ora e del luogo in cui la medesima è stata utilizzata,
consentendo in taluni casi la ricostruzione degli spostamenti
individuali (riconoscibili alla società mediante le descritte modalità
di funzionamento del sistema).
3. Sistemi di bigliettazione elettronica e principi di protezione dei dati personali: finalità, pertinenza e non eccedenza 3.1.
Le operazioni di trattamento sono svolte dalla società in fasi
distinte, di seguito analizzate: a) in sede di rilascio della Metrebus Card;
b) in relazione al funzionamento della tessera, con riguardo ai dati in
essa memorizzati e soggetti a verifica da parte del personale addetto
al controllo; c) in riferimento al funzionamento della tessera, rispetto
ai dati trattati dalle apparecchiature per la convalida; d) in
relazione al funzionamento della tessera, relativamente ai dati trattati
dalla società a livello centralizzato per le finalità identificate al
punto 1.5. 3.2.
Allo stato degli atti non risultano violazioni dei principi di
finalità, pertinenza e non eccedenza nel trattamento dei dati personali
riferiti agli abbonati, con riguardo a quelli trattati in sede di
rilascio della Metrebus Card (e sopra identificati al punto 1.3.). Anche
il codice attribuito alla tessera (come detto, correlato all'abbonato)
risulta necessario al fine di assicurare la regolare esecuzione del
rapporto contrattuale, consentendo la sostituzione di tessere difettose,
smarrite o rubate con nuovi titoli di viaggio e la contestuale
disabilitazione delle tessere emesse (con le modalità descritte al punto
1.5.). Resta ferma la necessità che i dati personali conferiti in sede di rilascio della Metrebus Card
siano conservati, salva diversa previsione contenuta in puntuali
disposizioni normative (ad esempio, in materia di tenuta delle scritture
contabili), per il solo periodo necessario in rapporto alla validità
della tessera. 3.3.
Sulla base delle attuali risultanze deve giungersi a diversa
determinazione per ciò che riguarda la possibilità di memorizzare nel chip delle tessere le ultime trenta convalide. Gli abbonamenti attualmente commercializzati mediante la Metrebus Card
consentono, infatti, l'uso illimitato dei mezzi di trasporto nell'arco
temporale (mensile, annuale e quinquennale) coperto dall'abbonamento.
Risulta quindi priva di comprovata giustificazione la menzionata
memorizzazione nel chip degli accessi alla rete di trasporto
generata in sede di convalida. In relazione a tale tipologia di
abbonamenti risulta, infatti, sufficiente memorizzare nel chip i
dati necessari alla verifica della (attuale) validità dell'abbonamento
(e, quindi, il suo periodo di validità), nonché i dati
identificativi dell'abbonato. Tuttavia, risulta lecito che la società registri nel chip
un numero limitato di convalide al fine di verificare eventuali
malfunzionamenti della tessera e l'assolvimento dell'obbligo di
convalidare il titolo di viaggio. Tenendo anche conto delle soluzioni
adottate che risultano dagli atti praticate presso analoghi sistemi di
bigliettazione elettronica, risulta allo stato proporzionato che, per
tali fini, sia registrato un numero di convalide non superiore a cinque. In
relazione alla tipologia di abbonamenti sopra menzionati, va pertanto
prescritto alla società di distribuire o rinnovare tessere che, con
riguardo allo specifico profilo qui esaminato, consentano la
memorizzazione sul chip dei luoghi di convalida nei soli
termini appena descritti (tenendo così conto del principio di necessità,
contenuto nell'art. 3 del Codice). 3.4.
Non emergono, allo stato degli atti, profili di violazione dei principi
di finalità, pertinenza e non eccedenza nel trattamento dei dati
personali riferiti agli abbonati, con riguardo a quelli trattati in sede
di convalida dell'abbonamento presso le apparecchiature dislocate sulla
rete di trasporto della società. In particolare, non risulta
ingiustificata la memorizzazione temporanea su detti apparecchi del
codice numerico di ciascuna tessera, atteso che solo in tal modo la
società può –grazie al continuo aggiornamento della c.d. black list
e la sua memorizzazione sulle apparecchiature di convalida– prevenire
l'utilizzo di tessere annullate (e, nel caso della rete metropolitana,
anche l'accesso del detentore di una tessera annullata alla rete di
trasporto). 3.5.
Per ciò che attiene invece ai trattamenti effettuati a livello
centralizzato, gli elementi acquisiti agli atti evidenziano che la
società, tramite il codice della tessera, può associare i c.d. dati di
convalida al nominativo dell'abbonato. Tali operazioni, se effettuate,
consentirebbero alla società di individuare tutti i punti della rete di
trasporto nei quali la tessera è stata convalidata, con la contestuale
indicazione del giorno e dell'ora in cui ciò è avvenuto, consentendo
così di risalire agli spostamenti dell'abbonato. Sebbene
la società abbia dichiarato di non effettuare in concreto tale
trattamento (non indicato neanche nell'informativa resa), e di limitarsi
ad analizzare in modo aggregato le informazioni raccolte al fine di
ricostruire i flussi dei passeggeri per rendere più efficiente il
servizio di trasporto, l'architettura dei sistemi informativi in uso
consente comunque alla società di venire agevolmente a conoscenza dei
dettagli relativi ai singoli "accessi" alla rete di trasporto in
relazione a tutti gli abbonati, senza che ciò risulti necessario per
dare regolare esecuzione al contratto. Tale possibilità riguarda,
peraltro, un arco temporale assai esteso, posto anche che, come
evidenziato al punto 1.4., tali informazioni sono attualmente conservate
dalla società a far data dal 2000. In
relazione a tale trattamento centralizzato occorre pertanto
individuare, in relazione alle diverse finalità perseguite, se siano
rispettati i principi di protezione dei dati, con particolare
riferimento a quelli di pertinenza e non eccedenza (anche dal punto di
vista del tempo di conservazione delle informazioni). Da tale scrutinio: a) risulta
giustificato il trattamento dei dati di convalida a livello
centralizzato, in particolare del codice apposto sulla tessera (e
memorizzato nel chip), al fine di assicurare la regolare
esecuzione del servizio di trasporto a vantaggio degli utenti. In caso
di malfunzionamento, smarrimento o furto della Metrebus Card
segnalato dall'abbonato (nell'arco di tempo delle successive
ventiquattro ore), la società è posta in condizione di effettuare gli
opportuni controlli e di annullare la tessera segnalata, consegnando
all'abbonato un nuovo (valido) titolo di viaggio. Ciò, grazie
all'inserimento del codice seriale della tessera in un apposito elenco
(c.d. black list), successivamente memorizzato negli apparecchi
di convalida, sì da vanificarne l'eventuale successivo utilizzo. Viene
così precluso (in caso di accesso alla rete metropolitana, convalidata
la tessera, i varchi restano chiusi) o scoraggiato (per i mezzi di
superficie) l'utilizzo indebito della tessera inserita nella black list; b) risulta
necessaria anche una limitata conservazione nel tempo dei dati di
convalida a livello centralizzato (associando il codice della tessera al
contratto registrato sulla stessa), al fine di contrastare fenomeni di
abusivo utilizzo di tessere elettroniche o altri comportamenti
fraudolenti a danno della società. Rilevato un funzionamento anomalo
della tessera, anche con la cooperazione dell'abbonato, è infatti
possibile per la società risalire alle ragioni dell'anomalia segnalata e
porre in essere le misure opportune. Tuttavia,
anche tali operazioni non richiedono tempi di conservazione prolungati,
potendo essere effettuate automaticamente in un arco di tempo
circoscritto, successivo alla registrazione dei dati di convalida a
livello centralizzato, che risulta proporzionato qualora non ecceda le
72 ore. Solo
in relazione alle tessere per le quali sia stato in concreto rilevato
un malfunzionamento (o un possibile uso abusivo), i dati di convalida e i
dati personali connessi alla tessera sottoposta ad esame potranno
essere conservati per l'ulteriore tempo necessario al fine di consentire
i necessari accertamenti e l'eventuale tutela dei diritti della
società; c) resta
salva la facoltà per la società di conservare i c.d. dati di convalida
per esigenze di analisi statistica dei flussi di passeggeri (sopra
descritte al punto 1.5.). A tal fine non è tuttavia necessario disporre
di dati (direttamente o indirettamente) nominativi, specie se per tempi
prolungati e, come nel caso di specie, sine die. La società
potrà pertanto trattare le informazioni relative ai tragitti effettuati,
ricorrendo ad opportune tecniche di anonimizzazione dei dati personali
raccolti –da comunicare a questa Autorità–, sì da risultare preclusa
alla medesima società la possibilità di risalire a tempi e luoghi di
convalida effettuati da singoli utenti, identificati o identificabili.
Per
quanto attiene ai dati sino ad oggi registrati, ed attualmente
conservati, deve disporsi il blocco temporaneo e parziale del relativo
trattamento, al fine di consentire alla società l'adozione delle sole
misure opportune volte ad anonimizzarli, da introdurre entro e non oltre
il 31 dicembre 2006, termine ritenuto congruo per la loro concreta
adozione. Di tali misure, volte a rendere il trattamento conforme ai
principi di protezione dei dati, la società dovrà rendere edotta questa
Autorità entro il medesimo termine del 31 dicembre 2006. Il Garante si
riserva, valutata la congruità delle misure che si intendono adottare,
di verificare ulteriormente la liceità delle operazioni di trattamento
di seguito effettuate. Del
pari, la società dovrà predisporre entro il predetto termine sistemi di
cancellazione o di anonimizzazione automatica dei dati di convalida,
dando contestuale comunicazione a questa Autorità delle misure
predisposte.
4. Informativa 4.1.
Nella diversa modulistica prodotta dalla società in allegato alla
comunicazione del 10 luglio 2006, con riguardo ai profili connessi
all'informativa, deve rilevarsi, anzitutto, la non conformità alla
disciplina di protezione dei dati personali (art. 13 del Codice) di due
specifici modelli utilizzati dalla società, per la richiesta di "abbonamento agevolato annuale al trasporto pubblico locale di Roma
" per studenti, nonché per disoccupati e categorie a basso reddito (nei
quali, peraltro, è ancora contenuto un riferimento alla legge
n. 675/1996). In essi, l'informativa attualmente resa consiste
nella seguente locuzione: "I dati sopra riportati sono prescritti
dalle disposizioni vigenti ai fini del procedimento per il quale sono
richiesti e verranno utilizzati esclusivamente per tale scopo".
Il
testo appena riprodotto contiene, peraltro senza la dovuta chiarezza,
l'illustrazione della sola finalità del trattamento; mancano i restanti
elementi di cui all'art. 13 del Codice, con particolare riferimento
all'indicazione del titolare del trattamento, alla natura obbligatoria o
facoltativa del conferimento dei dati, alle modalità del trattamento e
all'indicazione dei diritti di cui all'art. 7 del Codice. Per
tali ragioni, la predetta informativa è pertanto inidonea. Rispetto ad
essa questa Autorità prescrive quindi la sua riformulazione (art. 154,
comma 1, lett. c), del Codice) in conformità agli elementi elencati
nell'art. 13 del Codice e si riserva di procedere, con separato
provvedimento ai sensi dell'art. 161 del Codice, alla contestazione
della correlativa violazione amministrativa. 4.2.
Va altresì prescritta, come misura necessaria per rendere conforme alla
disciplina vigente il trattamento dei dati personali, l'integrazione
dell'attuale modello generale di informativa utilizzato dalla società.
Tale modello, in larga parte aderente alle prescrizioni contenute
nell'art. 13 del Codice, menziona una pluralità di finalità, compresa
quella di esecuzione degli obblighi contrattuali, ma non esplicita, come
necessario ai fini del predetto art. 13, la particolare finalità di
contrasto di condotte fraudolente in relazione al servizio di
bigliettazione. La
società dovrà pertanto enunciare chiaramente nell'informativa, tra le
finalità perseguite, quella di contrasto alla frode nel sistema di
bigliettazione elettronica.
5. Sistemi di bigliettazione elettronica e correttezza nelle operazioni di trattamento dei dati personali Sul
piano della consapevolezza che gli interessati devono poter avere
rispetto al trattamento dei dati personali, vi è un ulteriore aspetto da
considerare, connesso all'osservanza del principio di correttezza (art.
11, comma 1, lett. a), del Codice). I
trattamenti di dati personali che si avvalgono di sistemi complessi,
come nel caso di specie, devono essere chiaramente riconoscibili agli
interessati, i quali devono essere posti nella condizione di
conoscere agevolmente tutte le specifiche finalità perseguite, quali
informazioni personali a loro riferite sono raccolte e registrate (nel
caso di specie, nel chip) e quale uso delle medesime viene effettuato (in tal senso v. già, con riferimento all'utilizzo della tecnologia Rfid, Provv. 9 marzo 2005, cit.). Tali
informazioni non sono state messe a disposizione dell'utenza da parte
della società la quale, per rendere i propri trattamenti conformi al
principio di correttezza, deve quindi rendere interamente "trasparenti"
tali trattamenti, enunciando chiaramente le modalità utilizzate per
perseguire le predette finalità antifrode. Ciò, specificandolo ai
singoli abbonati nel quadro dei rapporti contrattuali intrattenuti,
nonché attraverso il sito Internet della società. 6. Incaricati del trattamento e misure minime di sicurezza Risulta
in atti che la società è parzialmente inadempiente agli obblighi
prescritti in materia dalla vigente normativa, dal momento che ha
designato solo parte dei dipendenti operanti presso le "biglietterie
gestioni" per l'esecuzione delle operazioni di trattamento dei dati
riferiti agli abbonati. In
relazione all'obbligo di verificare la corretta attuazione delle
disposizioni del Codice in tema di individuazione degli incaricati del
trattamento e di designare il personale di biglietteria che effettua
operazioni di trattamento dati, va prescritto alla società di integrare,
entro il 30 settembre 2006, la designazione del predetto personale. TUTTO CIÒ PREMESSO IL GARANTE 1) prescrive
ad Atac S.p.a., ai sensi dell'art. 154, comma 1, lett. c), del Codice,
di adottare le misure necessarie al fine di conformare i trattamenti
alle disposizioni vigenti nei termini di cui in motivazione, provvedendo
a: a) distribuire o rinnovare tessere elettroniche che consentano la memorizzazione sul chip dei soli dati relativi a non più di cinque convalide effettuate (punto 3.3.); b) anonimizzare
i dati di convalida riferiti ai singoli abbonati trattati a livello
centralizzato una volta verificata l'assenza di anomalie nell'utilizzo
della tessera elettronica, e comunque entro 72 ore dalla trasmissione
dei dati al database della società (punto 3.5. in riferimento alla lett. b); c) trattare
le informazioni relative ai dati di convalida per l'analisi statistica
dei flussi di traffico ricorrendo a tecniche di anonimizzazione dei dati
personali raccolti, in modo che risulti preclusa la possibilità di
risalire a tempi e luoghi di convalida effettuati da singoli utenti,
identificati o identificabili (punto 3.5. in riferimento alla lett. c); d) riformulare
l'informativa resa in occasione della richiesta di "abbonamento
agevolato annuale al trasporto pubblico locale di Roma" per studenti,
nonché per disoccupati e categorie a basso reddito (punto 4.1.), e
integrare l'informativa resa nel modello generale di abbonamento
enunciando chiaramente, tra le finalità perseguite, quella di contrasto
alla frode nel sistema di bigliettazione elettronica (punto 4.2.); e) designare
in conformità al Codice quali incaricati del trattamento dei dipendenti
preposti al trattamento delle informazioni personali degli abbonati
presso le "biglietterie gestioni" (punto 5); f) dare
conferma a questa Autorità dell'attuazione delle predette prescrizioni e
del blocco di cui al presente dispositivo, fornendo ogni informazione
utile al riguardo ed allegando la pertinente documentazione;
2) dispone,
ai sensi dell'art. 154, comma 1, lett. d), del Codice, per quanto
attiene ai dati sino ad oggi registrati, il blocco temporaneo e parziale
del relativo trattamento per il tempo necessario per attuare, entro il
termine previsto, la prescrizione volta ad anonimizzare i dati (punto
3.5., lett. b) e c).
Roma, 6 settembre 2006 IL PRESIDENTE Pizzetti IL RELATORE Pizzetti IL SEGRETARIO GENERALE Buttarelli |