| Garante per la protezione dei dati personali
NELLARIUNIONE ODIERNA, in presenza del prof. Francesco Pizzetti, presidente, deldott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e deldott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli,segretario generale; VISTOil Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n.196); VISTOil provvedimento del Garante del 6 settembre 2006 in materia ditrattamento di dati personali relativi ad abbonamenti a servizi di trasportopubblici e tessere elettroniche effettuati da Atac S.p.A.; VISTOil punto 1, lett. a) e b), del dispositivo di tale provvedimento, relativiall'obbligo per Atac di dare conferma a questa Autorit, entro il 31 dicembre2006, dell'avvenuto adempimento con riguardo ai profili connessi alladistribuzione di tessere elettroniche che consentano la memorizzazione sul chipdei soli dati relativi a non pi di cinque convalide effettuate e alla tempestivaanonimizzazione dei c.d. dati di convalida riferiti ai singoli abbonati; CONSIDERATAla richiesta, formulata da Atac con la comunicazione del 17 ottobre 2006–contenente elementi nuovi rispetto alle risultanze istruttorie e alledichiarazioni rese in sede di accertamento ispettivo, e formulata in vistadella futura utilizzazione della tessera elettronica "Metrebus card"per la fruizione dei parcheggi di scambio–, peraltro destinate a rimanerenella esclusiva disponibilit dei singoli abbonati, in grado di memorizzarefino a un massimo di dieci operazioni di convalida; CONSIDERATAl'ulteriore documentazione pervenuta all'Autorit il 18 dicembre 2006attestante l'attivit svolta da Atac (con riferimento alla riformulazionedell'informativa e all'avvenuta designazione degli incaricati dellebiglietterie) e contenente altri chiarimenti relativi alle richieste formulatenella menzionata comunicazione del 17 ottobre u.s.; CONSIDERATA,altres, la complessit delle attivit che la societ deve porre in essere per dareesecuzione al provvedimento e, in particolare, per: * definire le modalit tecnichedi trattamento delle informazioni anteriormente alla loro anonimizzazione; * eseguire le necessarie attivitdi test sul sistema informativo come modificato, in modo da garantirnel'affidabilit; RITENUTA,pertanto, la necessit di individuare nella data del 30 aprile 2007 (anzich,come richiesto dalla societ, del 30 giugno 2007) il termine per permettere adAtac S.p.A. di adempiere all'obbligo contenuto al punto 1, lett. b), deldispositivo del citato provvedimento; VISTIgli atti d'ufficio con particolare riferimento alla relazione del Dipartimentorisorse tecnologiche, redatta sulla base della documentazione pervenuta in data18 dicembre u.s. e che evidenzia sia un quadro tecnologico ed operativoparzialmente differente per l'implementazione della carta, sia altri usiipotizzati dalla societ per la smart card stessa; RILEVATOaltres, dalla stessa relazione, che risulta giustificata e tecnicamentemotivata la richiesta della societ di contenere il numero limitato a convalideregistrate sulla tessera a dieci operazioni, anzich a cinque comeprecedentemente stabilito dal Garante in rapporto agli elementi risultanti inprecedenza; VISTEle osservazioni dell'ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000; RELATOREil prof. Francesco Pizzetti;
aisensi dell'art. 154, comma 1, lett. a) del Codice, a parziale modifica delprovvedimento del 6 settembre 2006 adottato nei confronti della societ, ilGarante: 1. dichiara proporzionata lamemorizzazione dei dati di convalida sulla tessera elettronica "MetrebusCard", entro il limite massimo di dieci operazioni, semprech i dati sianotrattati e resi anonimi nei termini di cui in motivazione; 2. delibera di fissare al 30 aprile2007, anzich al 31 dicembre 2006, il termine per permettere ad Atac S.p.A. didare esecuzione all'obbligo di cui al punto 1, lett. b), del dispositivo delmedesimo provvedimento del 6 settembre 2006. Restafermo, altres, per quanto attiene ai dati personali registrati, il bloccotemporaneo e parziale del relativo trattamento per il tempo necessario perattuare, entro il termine sopra indicato, la prescrizione volta ad anonimizzarei dati, gi disposto con il predetto provvedimento. Roma,28 dicembre 2006
IL SEGRETARIO GENERALE |