Provvedimento del Garante per la protezione dei dati personali 6 settembre 2006.
Garante Privacy: prescrizioni all'azienda romana di trasporto pubblico in materia di smart card.
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;
Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);
Vista la documentazione in atti;
Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il prof. Francesco Pizzetti;
PREMESSO
1. Abbonamento a servizi di trasporto pubblici e tessere elettroniche: la Metrebus Card
1.1. È stato richiesto al Garante di verificare la liceità del trattamento di dati personali effettuato da Atac S.p.A. (in seguito, la società) in relazione all'emissione e all'impiego della tessera elettronica nominativa, denominata Metrebus Card, con la quale è possibile abbonarsi ai servizi di trasporto pubblico di Roma.
In particolare, sono state ipotizzate violazioni della disciplina di protezione dei dati personali con riferimento:
alla circostanza che, per poter usufruire degli abbonamenti con tessera elettronica, devono essere conferite diverse informazioni di carattere personale, tra le quali: dati anagrafici, recapiti telefonici, indirizzo di posta elettronica e due fotografie (una delle quali apposta sulla Metrebus Card e, l'altra, conservata negli archivi della società);
alla decisione della società di associare a ciascuna Metrebus Card un codice numerico, stampandolo sulla medesima;
al trattamento delle informazioni personali raccolte all'atto della convalida della tessera per fruire del servizio di trasporto, qualora la società sia in grado di tracciare gli spostamenti degli utenti con conseguenti riflessi sulla loro libertà di circolazione.
Ulteriori rilievi hanno riguardato l'informativa e la richiesta del consenso al trattamento dei dati personali contenute nel formulario originariamente predisposto dalla società e, specificamente, il fatto che il formulario medesimo non contenesse la distinzione tra dati personali necessari per abbonarsi e dati il cui rilascio era invece facoltativo, in quanto invitava gli utenti a compilare il modulo in tutte le sue parti indicando tutti i dati richiesti.
1.2. Nel corso dell'attività istruttoria (svolta anche mediante acquisizione in loco di informazioni e di documenti ai sensi dell'art. 157 del Codice effettuata il 26 giugno 2006 presso diverse sedi della società, e nel corso della quale sono stati raccolti ulteriori elementi, integrati dal materiale inviato con comunicazione del 10 luglio 2006), è emerso che il sistema di bigliettazione elettronica (Sbe) «è stato ideato alla fine degli anni novanta ed utilizzato dall'inizio del 2000 per offrire agli utenti una tessera idonea ad utilizzare i servizi offerti, denominata Metrebus Card» (cfr. verbale 26 giugno 2006, in atti). Il rilascio di quest'ultima, in vista della graduale sostituzione delle tessere di abbonamento cartacee, è propedeutico all'acquisto di abbonamenti nominativi (di durata mensile, annuale e, per una tipologia di utenza, quinquennale) che vengono registrati sul chip incorporato nella tessera.
Dal punto di vista quantitativo la società, «con riguardo agli abbonamenti annuali, rilascia indicativamente nel 95% [dei casi] tessere elettroniche; nei restanti casi viene rilasciato un titolo di viaggio cartaceo. Con riguardo invece agli abbonamenti mensili nel 30% dei casi si rilascia tessera elettronica; nei casi rimanenti si rilascia titolo di viaggio cartaceo. Per i dipendenti viene distribuito un particolare abbonamento di durata quinquennale» (cfr. verbale 26 giugno 2006).
La progettazione, realizzazione, gestione e manutenzione della rete di vendita della Metrebus Card si è articolata in due fasi. La società (in attuazione di provvedimenti regionali e comunali e ricorrendo all'appalto di servizi) si è dapprima avvalsa di una associazione temporanea di imprese, unitamente alla collaborazione di alcuni rivenditori privati (tabaccai e giornalai con i quali sono state stipulate apposite convenzioni). Attualmente, la società, unico titolare del trattamento, non si avvale più di tale associazione temporanea (cfr. verbale 26 giugno 2006) e i trattamenti di dati personali necessari per emettere la Metrebus Card vengono effettuati presso cinque biglietterie capogruppo della società, definite «biglietterie gestioni», elencate nel documento allegato al modulo generale di richiesta dell'abbonamento.
Dalle dichiarazioni rese per conto della società risulta che, allo stato, solo parte dei dipendenti preposti in dette biglietterie alla raccolta e all'inserimento nel database della società delle informazioni personali degli abbonati sono stati formalmente designati quali «incaricati del trattamento» (cfr. verbale 26 giugno 2006, nonché il tabulato inviato come all. 2 alla predetta comunicazione del 10 luglio 2006).
1.3. I dati personali degli utenti necessari al rilascio della Metrebus Card vengono raccolti a seguito della compilazione di un modulo di richiesta comprensivo dell'informativa e (in taluni casi) della dichiarazione di manifestazione del consenso.
La modulistica inizialmente utilizzata è stata rivista al fine di distinguere i dati il cui conferimento è considerato «obbligatorio» per il rilascio della tessera (dati anagrafici e fotografia, utili anche per agevolare l'identificazione dell'abbonato in caso di verifica della validità dell'abbonamento) da quelli il cui conferimento è reputato «facoltativo». Sulla Metrebus Card è presente, altresì, un codice numerico identificativo della tessera.
Alla luce dei diversi profili tariffari, in presenza di particolari contratti di abbonamento possono essere trattati anche dati sensibili (si pensi, ad esempio, a quelli contenuti nel modello AG.0201, che consente l'abbonamento a condizioni tariffarie di favore per talune categorie di invalidi).
1.4. Il trattamento delle informazioni personali riferibili agli abbonati non si limita a quello relativo ai dati conferiti dall'interessato in sede di rilascio dell'abbonamento, atteso che, anche a seguito dell'effettivo utilizzo dei servizi di trasporto, vengono trattati anche i seguenti dati:
sul chip incorporato nella Metrebus Card viene registrata una pluralità di informazioni (cfr. all. 4 alla comunicazione del 10 luglio 2006, Metrebus Card-Data Definition), tra le quali il codice della carta, la tipologia e la data di scadenza del contratto di abbonamento di volta in volta registrato, nonché il suo codice identificativo; il chip memorizza altresì, «all'atto della convalida, l'ora, la data e il numero di apparecchio che ha effettuato la lettura e il numero complessivo delle convalide effettuate pari a circa le ultime trenta transazioni» (cfr. verbale 26 giugno 2006);
sui singoli apparecchi di convalida dislocati sulla rete e sui mezzi di trasporto, all'atto della convalida del titolo di viaggio (allo stato, non ancora prescritta dalle condizioni generali di trasporto) vengono memorizzati solo temporaneamente dati contenuti nel chip di ogni tessera (in particolare, il numero seriale della carta, il tipo di abbonamento, la sua scadenza e il numero progressivo di transazioni effettuate). Oltre a tali dati, vengono memorizzati l'ora ed il giorno della convalida, nonché il codice dell'apparecchio che ha effettuato la lettura (cfr. verbale 26 giugno 2006);
a livello centralizzato, una sezione del database della società contiene i dati personali registrati al momento dell'attivazione della tessera unitamente al codice identificativo della tessera. Vengono inoltre registrate ulteriori informazioni provenienti dalle apparecchiature di convalida: si tratta della data e dell'orario della convalida, del codice identificativo della tessera e del codice dell'apparecchio di convalida (c.d. «dati di convalida»). Queste informazioni, memorizzate solo temporaneamente sulle apparecchiature di convalida, vengono trasmesse (di regola su base giornaliera) al server centrale e poi custodite in un unico database, al cui accesso in forma integrale sono autorizzate solo le figure che svolgono il ruolo di amministratore di sistema (allo stato, due dipendenti). La società ha dichiarato che «non è ancora stato determinato un limite temporale di conservazione, precisando che il sistema è entrato in funzione dall'inizio del 2000» (cfr. verbale 26 giugno 2006).
1.5. Secondo la società i trattamenti di dati personali sopra descritti sarebbero necessari per verificare la «regolare esecuzione del contratto». Inoltre, i c.d. «dati di convalida […] sono utilizzati per finalità di contrasto a fenomeni fraudolenti, a fronte di smarrimento o malfunzionamento della card». In particolare, «il codice seriale identificativo della carta viene trattato per rilevare eventuali usi anomali della medesima. Ad esempio, in caso di smarrimento della carta, segnalato dall'utente, a quest'ultimo viene attribuita una nuova carta e, in pari tempo [il predetto codice seriale della tessera] viene segnalato, inserendolo nella cosiddetta black-list nel database di Atac. In tal modo la carta smarrita viene disabilitata. Analogamente, il seriale della carta può essere utilizzato per rilevare comportamenti anomali o fraudolenti in sede di ricarica della carta, consentendo di risalire al suo titolare e con il suo ausilio al punto di vendita» (cfr. verbale 26 giugno 2006).
I dati di convalida sono altresì utilizzati a livello centralizzato «per analisi aggregate relative ai flussi di traffico della clientela» (cfr. verbale 26 giugno 2006).
I dati anagrafici e i recapiti degli abbonati vengono utilizzati dalla società anche per svolgere attività a contenuto promozionale (allo stato consistenti nell'invio del c.d. libretto dei vantaggi), limitatamente ai soggetti che hanno consentito il perseguimento di tale ulteriore finalità di trattamento.
2. Biglietti elettronici e trattamento di dati personali
2.1. L'evoluzione tecnologica nel settore delle c.d. smart card e ragioni di efficienza nel settore dei servizi di trasporto pubblico hanno contribuito, all'estero come pure nell'esperienza italiana, all'introduzione di tecniche innovative di emissione dei biglietti, ricorrendo a biglietti magnetici o elettronici (c.d. e-ticketing) contenenti, in taluni casi, dati personali riferiti agli utenti.
Tali tessere e, unitamente ad esse, il sistema informativo che ne consente il funzionamento, offrono alcuni vantaggi, ma possono anche comportare alcuni rischi per i diritti e le libertà individuali. Essi, infatti, possono incidere sul diritto alla protezione dei dati personali e su altri diritti, compreso quello alla libera circolazione delle persone, protetto anch'esso costituzionalmente (art. 16 Cost.; v. già, per analoghe preoccupazioni a proposito della videosorveglianza, Provv. del Garante 29 aprile 2004, in http://www.garanteprivacy.it doc. web n. 1003482; con riguardo alla tecnologia Rfid, Provv. 9 marzo 2005, doc. web n. 1109493; v. pure Provv. 26 luglio 2005, doc. web n. 1151997).
Per tale ragione, i sistemi che si avvalgono di smart card hanno formato oggetto di particolare attenzione anche a livello internazionale (cfr. in generale i Guiding principles for the protection of personal data with regard to smart cards, adottati dal Gruppo di esperti del Consiglio d'Europa Cdcj, 11-14 maggio 2004) e meritano di essere esaminati attentamente tenendo conto delle peculiarità connesse ai diversi contesti applicativi nei quali essi vengono impiegati.
Le considerazioni che seguono si riferiscono alle particolari modalità di funzionamento della Metrebus Card correlate agli abbonamenti attualmente commercializzati.
2.2. Nel caso di specie relativo al trasporto pubblico, la Metrebus Card, in ragione delle modalità di funzionamento descritte, comporta (in vari momenti) il trattamento di diversi dati personali, direttamente identificativi (in sede di rilascio) o comunque agevolmente associabili all'interessato grazie al codice numerico della tessera attribuito ad ogni abbonato (raccolto dagli apparecchi di convalida e quindi registrato nel database della società).
Tali trattamenti consentono tra l'altro la memorizzazione, sulla tessera e nel predetto database, della data, dell'ora e del luogo in cui la medesima è stata utilizzata, consentendo in taluni casi la ricostruzione degli spostamenti individuali (riconoscibili alla società mediante le descritte modalità di funzionamento del sistema).
3. Sistemi di bigliettazione elettronica e principi di protezione dei dati personali: finalità, pertinenza e non eccedenza
3.1. Le operazioni di trattamento sono svolte dalla società in fasi distinte, di seguito analizzate: a) in sede di rilascio della Metrebus Card; b) in relazione al funzionamento della tessera, con riguardo ai dati in essa memorizzati e soggetti a verifica da parte del personale addetto al controllo; c) in riferimento al funzionamento della tessera, rispetto ai dati trattati dalle apparecchiature per la convalida; d) in relazione al funzionamento della tessera, relativamente ai dati trattati dalla società a livello centralizzato per le finalità identificate al punto 1.5.
3.2. Allo stato degli atti non risultano violazioni dei principi di finalità, pertinenza e non eccedenza nel trattamento dei dati personali riferiti agli abbonati, con riguardo a quelli trattati in sede di rilascio della Metrebus Card (e sopra identificati al punto 1.3.).
Anche il codice attribuito alla tessera (come detto, correlato all'abbonato) risulta necessario al fine di assicurare la regolare esecuzione del rapporto contrattuale, consentendo la sostituzione di tessere difettose, smarrite o rubate con nuovi titoli di viaggio e la contestuale disabilitazione delle tessere emesse (con le modalità descritte al punto 1.5.).
Resta ferma la necessità che i dati personali conferiti in sede di rilascio della Metrebus Card siano conservati, salva diversa previsione contenuta in puntuali disposizioni normative (ad esempio, in materia di tenuta delle scritture contabili), per il solo periodo necessario in rapporto alla validità della tessera.
3.3. Sulla base delle attuali risultanze deve giungersi a diversa determinazione per ciò che riguarda la possibilità di memorizzare nel chip delle tessere le ultime trenta convalide. Gli abbonamenti attualmente commercializzati mediante la Metrebus Card consentono, infatti, l'uso illimitato dei mezzi di trasporto nell'arco temporale (mensile, annuale e quinquennale) coperto dall'abbonamento. Risulta quindi priva di comprovata giustificazione la menzionata memorizzazione nel chip degli accessi alla rete di trasporto generata in sede di convalida. In relazione a tale tipologia di abbonamenti risulta, infatti, sufficiente memorizzare nel chip i dati necessari alla verifica della (attuale) validità dell'abbonamento (e, quindi, il suo periodo di validità), nonché i dati identificativi dell'abbonato.
Tuttavia, risulta lecito che la società registri nel chip un numero limitato di convalide al fine di verificare eventuali malfunzionamenti della tessera e l'assolvimento dell'obbligo di convalidare il titolo di viaggio. Tenendo anche conto delle soluzioni adottate che risultano dagli atti praticate presso analoghi sistemi di bigliettazione elettronica, risulta allo stato proporzionato che, per tali fini, sia registrato un numero di convalide non superiore a cinque.
In relazione alla tipologia di abbonamenti sopra menzionati, va pertanto prescritto alla società di distribuire o rinnovare tessere che, con riguardo allo specifico profilo qui esaminato, consentano la memorizzazione sul chip dei luoghi di convalida nei soli termini appena descritti (tenendo così conto del principio di necessità, contenuto nell'art. 3 del Codice).
3.4. Non emergono, allo stato degli atti, profili di violazione dei principi di finalità, pertinenza e non eccedenza nel trattamento dei dati personali riferiti agli abbonati, con riguardo a quelli trattati in sede di convalida dell'abbonamento presso le apparecchiature dislocate sulla rete di trasporto della società. In particolare, non risulta ingiustificata la memorizzazione temporanea su detti apparecchi del codice numerico di ciascuna tessera, atteso che solo in tal modo la società può –grazie al continuo aggiornamento della c.d. black list e la sua memorizzazione sulle apparecchiature di convalida– prevenire l'utilizzo di tessere annullate (e, nel caso della rete metropolitana, anche l'accesso del detentore di una tessera annullata alla rete di trasporto).
3.5. Per ciò che attiene invece ai trattamenti effettuati a livello centralizzato, gli elementi acquisiti agli atti evidenziano che la società, tramite il codice della tessera, può associare i c.d. dati di convalida al nominativo dell'abbonato. Tali operazioni, se effettuate, consentirebbero alla società di individuare tutti i punti della rete di trasporto nei quali la tessera è stata convalidata, con la contestuale indicazione del giorno e dell'ora in cui ciò è avvenuto, consentendo così di risalire agli spostamenti dell'abbonato.
Sebbene la società abbia dichiarato di non effettuare in concreto tale trattamento (non indicato neanche nell'informativa resa), e di limitarsi ad analizzare in modo aggregato le informazioni raccolte al fine di ricostruire i flussi dei passeggeri per rendere più efficiente il servizio di trasporto, l'architettura dei sistemi informativi in uso consente comunque alla società di venire agevolmente a conoscenza dei dettagli relativi ai singoli «accessi» alla rete di trasporto in relazione a tutti gli abbonati, senza che ciò risulti necessario per dare regolare esecuzione al contratto. Tale possibilità riguarda, peraltro, un arco temporale assai esteso, posto anche che, come evidenziato al punto 1.4., tali informazioni sono attualmente conservate dalla società a far data dal 2000.
In relazione a tale trattamento centralizzato occorre pertanto individuare, in relazione alle diverse finalità perseguite, se siano rispettati i principi di protezione dei dati, con particolare riferimento a quelli di pertinenza e non eccedenza (anche dal punto di vista del tempo di conservazione delle informazioni). Da tale scrutinio:
a) risulta giustificato il trattamento dei dati di convalida a livello centralizzato, in particolare del codice apposto sulla tessera (e memorizzato nel chip), al fine di assicurare la regolare esecuzione del servizio di trasporto a vantaggio degli utenti. In caso di malfunzionamento, smarrimento o furto della Metrebus Card segnalato dall'abbonato (nell'arco di tempo delle successive ventiquattro ore), la società è posta in condizione di effettuare gli opportuni controlli e di annullare la tessera segnalata, consegnando all'abbonato un nuovo (valido) titolo di viaggio. Ciò, grazie all'inserimento del codice seriale della tessera in un apposito elenco (c.d. black list), successivamente memorizzato negli apparecchi di convalida, sì da vanificarne l'eventuale successivo utilizzo. Viene così precluso (in caso di accesso alla rete metropolitana, convalidata la tessera, i varchi restano chiusi) o scoraggiato (per i mezzi di superficie) l'utilizzo indebito della tessera inserita nella black list;
b) risulta necessaria anche una limitata conservazione nel tempo dei dati di convalida a livello centralizzato (associando il codice della tessera al contratto registrato sulla stessa), al fine di contrastare fenomeni di abusivo utilizzo di tessere elettroniche o altri comportamenti fraudolenti a danno della società. Rilevato un funzionamento anomalo della tessera, anche con la cooperazione dell'abbonato, è infatti possibile per la società risalire alle ragioni dell'anomalia segnalata e porre in essere le misure opportune.
Tuttavia, anche tali operazioni non richiedono tempi di conservazione prolungati, potendo essere effettuate automaticamente in un arco di tempo circoscritto, successivo alla registrazione dei dati di convalida a livello centralizzato, che risulta proporzionato qualora non ecceda le 72 ore.
Solo in relazione alle tessere per le quali sia stato in concreto rilevato un malfunzionamento (o un possibile uso abusivo), i dati di convalida e i dati personali connessi alla tessera sottoposta ad esame potranno essere conservati per l'ulteriore tempo necessario al fine di consentire i necessari accertamenti e l'eventuale tutela dei diritti della società;
c) resta salva la facoltà per la società di conservare i c.d. dati di convalida per esigenze di analisi statistica dei flussi di passeggeri (sopra descritte al punto 1.5.). A tal fine non è tuttavia necessario disporre di dati (direttamente o indirettamente) nominativi, specie se per tempi prolungati e, come nel caso di specie, sine die. La società potrà pertanto trattare le informazioni relative ai tragitti effettuati, ricorrendo ad opportune tecniche di anonimizzazione dei dati personali raccolti –da comunicare a questa Autorità–, sì da risultare preclusa alla medesima società la possibilità di risalire a tempi e luoghi di convalida effettuati da singoli utenti, identificati o identificabili.
Per quanto attiene ai dati sino ad oggi registrati, ed attualmente conservati, deve disporsi il blocco temporaneo e parziale del relativo trattamento, al fine di consentire alla società l'adozione delle sole misure opportune volte ad anonimizzarli, da introdurre entro e non oltre il 31 dicembre 2006, termine ritenuto congruo per la loro concreta adozione. Di tali misure, volte a rendere il trattamento conforme ai principi di protezione dei dati, la società dovrà rendere edotta questa Autorità entro il medesimo termine del 31 dicembre 2006. Il Garante si riserva, valutata la congruità delle misure che si intendono adottare, di verificare ulteriormente la liceità delle operazioni di trattamento di seguito effettuate.
Del pari, la società dovrà predisporre entro il predetto termine sistemi di cancellazione o di anonimizzazione automatica dei dati di convalida, dando contestuale comunicazione a questa Autorità delle misure predisposte.
4. Informativa
4.1. Nella diversa modulistica prodotta dalla società in allegato alla comunicazione del 10 luglio 2006, con riguardo ai profili connessi all'informativa, deve rilevarsi, anzitutto, la non conformità alla disciplina di protezione dei dati personali (art. 13 del Codice) di due specifici modelli utilizzati dalla società, per la richiesta di «abbonamento agevolato annuale al trasporto pubblico locale di Roma » per studenti, nonché per disoccupati e categorie a basso reddito (nei quali, peraltro, è ancora contenuto un riferimento alla legge n. 675/1996). In essi, l'informativa attualmente resa consiste nella seguente locuzione: «I dati sopra riportati sono prescritti dalle disposizioni vigenti ai fini del procedimento per il quale sono richiesti e verranno utilizzati esclusivamente per tale scopo».
Il testo appena riprodotto contiene, peraltro senza la dovuta chiarezza, l'illustrazione della sola finalità del trattamento; mancano i restanti elementi di cui all'art. 13 del Codice, con particolare riferimento all'indicazione del titolare del trattamento, alla natura obbligatoria o facoltativa del conferimento dei dati, alle modalità del trattamento e all'indicazione dei diritti di cui all'art. 7 del Codice.
Per tali ragioni, la predetta informativa è pertanto inidonea. Rispetto ad essa questa Autorità prescrive quindi la sua riformulazione (art. 154, comma 1, lett. c), del Codice) in conformità agli elementi elencati nell'art. 13 del Codice e si riserva di procedere, con separato provvedimento ai sensi dell'art. 161 del Codice, alla contestazione della correlativa violazione amministrativa.
4.2. Va altresì prescritta, come misura necessaria per rendere conforme alla disciplina vigente il trattamento dei dati personali, l'integrazione dell'attuale modello generale di informativa utilizzato dalla società. Tale modello, in larga parte aderente alle prescrizioni contenute nell'art. 13 del Codice, menziona una pluralità di finalità, compresa quella di esecuzione degli obblighi contrattuali, ma non esplicita, come necessario ai fini del predetto art. 13, la particolare finalità di contrasto di condotte fraudolente in relazione al servizio di bigliettazione.
La società dovrà pertanto enunciare chiaramente nell'informativa, tra le finalità perseguite, quella di contrasto alla frode nel sistema di bigliettazione elettronica.
5. Sistemi di bigliettazione elettronica e correttezza nelle operazioni di trattamento dei dati personali
Sul piano della consapevolezza che gli interessati devono poter avere rispetto al trattamento dei dati personali, vi è un ulteriore aspetto da considerare, connesso all'osservanza del principio di correttezza (art. 11, comma 1, lett. a), del Codice).
I trattamenti di dati personali che si avvalgono di sistemi complessi, come nel caso di specie, devono essere chiaramente riconoscibili agli interessati, i quali devono essere posti nella condizione di conoscere agevolmente tutte le specifiche finalità perseguite, quali informazioni personali a loro riferite sono raccolte e registrate (nel caso di specie, nel chip) e quale uso delle medesime viene effettuato (in tal senso v. già, con riferimento all'utilizzo della tecnologia Rfid, Provv. 9 marzo 2005, cit.).
Tali informazioni non sono state messe a disposizione dell'utenza da parte della società la quale, per rendere i propri trattamenti conformi al principio di correttezza, deve quindi rendere interamente «trasparenti» tali trattamenti, enunciando chiaramente le modalità utilizzate per perseguire le predette finalità antifrode. Ciò, specificandolo ai singoli abbonati nel quadro dei rapporti contrattuali intrattenuti, nonché attraverso il sito Internet della società.
6. Incaricati del trattamento e misure minime di sicurezza
Risulta in atti che la società è parzialmente inadempiente agli obblighi prescritti in materia dalla vigente normativa, dal momento che ha designato solo parte dei dipendenti operanti presso le «biglietterie gestioni» per l'esecuzione delle operazioni di trattamento dei dati riferiti agli abbonati.
In relazione all'obbligo di verificare la corretta attuazione delle disposizioni del Codice in tema di individuazione degli incaricati del trattamento e di designare il personale di biglietteria che effettua operazioni di trattamento dati, va prescritto alla società di integrare, entro il 30 settembre 2006, la designazione del predetto personale.
TUTTO CIÒ PREMESSO IL GARANTE
1) prescrive ad Atac S.p.a., ai sensi dell'art. 154, comma 1, lett. c), del Codice, di adottare le misure necessarie al fine di conformare i trattamenti alle disposizioni vigenti nei termini di cui in motivazione, provvedendo a:
a) distribuire o rinnovare tessere elettroniche che consentano la memorizzazione sul chip dei soli dati relativi a non più di cinque convalide effettuate (punto 3.3.);
b) anonimizzare i dati di convalida riferiti ai singoli abbonati trattati a livello centralizzato una volta verificata l'assenza di anomalie nell'utilizzo della tessera elettronica, e comunque entro 72 ore dalla trasmissione dei dati al database della società (punto 3.5. in riferimento alla lett. b);
c) trattare le informazioni relative ai dati di convalida per l'analisi statistica dei flussi di traffico ricorrendo a tecniche di anonimizzazione dei dati personali raccolti, in modo che risulti preclusa la possibilità di risalire a tempi e luoghi di convalida effettuati da singoli utenti, identificati o identificabili (punto 3.5. in riferimento alla lett. c);
d) riformulare l'informativa resa in occasione della richiesta di «abbonamento agevolato annuale al trasporto pubblico locale di Roma» per studenti, nonché per disoccupati e categorie a basso reddito (punto 4.1.), e integrare l'informativa resa nel modello generale di abbonamento enunciando chiaramente, tra le finalità perseguite, quella di contrasto alla frode nel sistema di bigliettazione elettronica (punto 4.2.);
e) designare in conformità al Codice quali incaricati del trattamento dei dipendenti preposti al trattamento delle informazioni personali degli abbonati presso le «biglietterie gestioni» (punto 5);
f) dare conferma a questa Autorità dell'attuazione delle predette prescrizioni e del blocco di cui al presente dispositivo, fornendo ogni informazione utile al riguardo ed allegando la pertinente documentazione;
2) dispone, ai sensi dell'art. 154, comma 1, lett. d), del Codice, per quanto attiene ai dati sino ad oggi registrati, il blocco temporaneo e parziale del relativo trattamento per il tempo necessario per attuare, entro il termine previsto, la prescrizione volta ad anonimizzare i dati (punto 3.5., lett. b) e c).
Roma, 6 settembre 2006
IL PRESIDENTE, Pizzetti
IL RELATORE, Pizzetti
IL SEGRETARIO GENERALE, Buttarelli