Garante per la protezione
    dei dati personali


PROVVEDIMENTO del 28 dicembre 2006

 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

 

NELLARIUNIONE ODIERNA, in presenza del prof. Francesco Pizzetti, presidente, deldott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e deldott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli,segretario generale;

VISTOil Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n.196);

VISTOil provvedimento del Garante del 6 settembre 2006  in materia ditrattamento di dati personali relativi ad abbonamenti a servizi di trasportopubblici e tessere elettroniche effettuati da Atac S.p.A.;

VISTOil punto 1, lett. a) e b), del dispositivo di tale provvedimento, relativiall'obbligo per Atac di dare conferma a questa Autoritł, entro il 31 dicembre2006, dell'avvenuto adempimento con riguardo ai profili connessi alladistribuzione di tessere elettroniche che consentano la memorizzazione sul chipdei soli dati relativi a non piŁ di cinque convalide effettuate e alla tempestivaanonimizzazione dei c.d. dati di convalida riferiti ai singoli abbonati;

CONSIDERATAla richiesta, formulata da Atac con la comunicazione del 17 ottobre 2006–contenente elementi nuovi rispetto alle risultanze istruttorie e alledichiarazioni rese in sede di accertamento ispettivo, e formulata in vistadella futura utilizzazione della tessera elettronica "Metrebus card"per la fruizione dei parcheggi di scambio–, peraltro destinate a rimanerenella esclusiva disponibilitł dei singoli abbonati, in grado di memorizzarefino a un massimo di dieci operazioni di convalida;

CONSIDERATAl'ulteriore documentazione pervenuta all'Autoritł il 18 dicembre 2006attestante l'attivitł svolta da Atac (con riferimento alla riformulazionedell'informativa e all'avvenuta designazione degli incaricati dellebiglietterie) e contenente altri chiarimenti relativi alle richieste formulatenella menzionata comunicazione del 17 ottobre u.s.;

CONSIDERATA,altresô, la complessitł delle attivitł che la societł deve porre in essere per dareesecuzione al provvedimento e, in particolare, per:

*  definire le modalitł tecnichedi trattamento delle informazioni anteriormente alla loro anonimizzazione;

*  eseguire le necessarie attivitłdi test sul sistema informativo come modificato, in modo da garantirnel'affidabilitł;

RITENUTA,pertanto, la necessitł di individuare nella data del 30 aprile 2007 (anzichÄ,come richiesto dalla societł, del 30 giugno 2007) il termine per permettere adAtac S.p.A. di adempiere all'obbligo contenuto al punto 1, lett. b), deldispositivo del citato provvedimento;

VISTIgli atti d'ufficio con particolare riferimento alla relazione del Dipartimentorisorse tecnologiche, redatta sulla base della documentazione pervenuta in data18 dicembre u.s. e che evidenzia sia un quadro tecnologico ed operativoparzialmente differente per l'implementazione della carta, sia altri usiipotizzati dalla societł per la smart card stessa;

RILEVATOaltresô, dalla stessa relazione, che risulta giustificata e tecnicamentemotivata la richiesta della societł di contenere il numero limitato a convalideregistrate sulla tessera a dieci operazioni, anzichÄ a cinque comeprecedentemente stabilito dal Garante in rapporto agli elementi risultanti inprecedenza;

VISTEle osservazioni dell'ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

RELATOREil prof. Francesco Pizzetti;

TUTTO CI˝Ň PREMESSO

 

aisensi dell'art. 154, comma 1, lett. a) del Codice, a parziale modifica delprovvedimento del 6 settembre 2006 adottato nei confronti della societł, ilGarante:

1. dichiara proporzionata lamemorizzazione dei dati di convalida sulla tessera elettronica "MetrebusCard", entro il limite massimo di dieci operazioni, semprechÄ i dati sianotrattati e resi anonimi nei termini di cui in motivazione;

2. delibera di fissare al 30 aprile2007, anzichÄ al 31 dicembre 2006, il termine per permettere ad Atac S.p.A. didare esecuzione all'obbligo di cui al punto 1, lett. b), del dispositivo delmedesimo provvedimento del 6 settembre 2006.

Restafermo, altresô, per quanto attiene ai dati personali registrati, il bloccotemporaneo e parziale del relativo trattamento per il tempo necessario perattuare, entro il termine sopra indicato, la prescrizione volta ad anonimizzarei dati, gił disposto con il predetto provvedimento.

Roma,28 dicembre 2006

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
Buttarelli