| Garante per la protezione dei dati personali
NELLARIUNIONE ODIERNA, in presenza del prof. Francesco Pizzetti, presidente, deldott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e deldott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli,segretario generale; VISTOil Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n.196); VISTOil provvedimento del Garante del 6 settembre 2006 in materia ditrattamento di dati personali relativi ad abbonamenti a servizi di trasportopubblici e tessere elettroniche effettuati da Azienda trasporti milanese S.p.A.(Atm); VISTOil punto 1, lett. a) e b), del dispositivo del menzionato provvedimento,relativo all'obbligo per Atm di dare conferma a questa Autorit, entro il 31dicembre 2006, dell'avvenuto adempimento con riguardo ai profili connessi allaanonimizzazione dei c.d. dati di convalida riferiti ai singoli abbonati entro72 ore dalla trasmissione dei dati al database della societ; PRESOATTO della dichiarazione di Atm di anonimizzare i dati relativi agli abbonaticancellando in modo irreversibile "da ogni record inserito nella tabellaconvalide del database SBME [] qualsiasi riferimento sia alle tessereelettroniche, sia ai contratti", s da garantire "l'impossibilit diricostruire a posteriori, oltre i termini consentiti dal Garante, qualsiasirelazione tra i viaggi effettuati sulla recedi trasporto ed il singolo clienteche li ha effettuati" (cfr. comunicazione Atm, 4 dicembre 2006); CONSIDERATAla contestuale richiesta formulata da Atm (nella menzionata comunicazione del 4dicembre 2006), volta a consentire una conservazione dei dati di convalidadegli abbonati, anteriormente alla loro menzionata anonimizzazione irreversibile,fino ad un massimo di otto giorni dalla data della loro acquisizione; CONSIDERATOche tale richiesta trova fondamento in elementi nuovi rispetto alle risultanzeistruttorie e alle dichiarazioni rese in sede di accertamento ispettivo, ed formulata alla luce delle peculiarit e delle articolate funzionalit delsistema di bigliettazione elettronica (Sbme) –condiviso dal punto divista gestionale con altri operatori del trasporto pubblico (Trenitalia eFerrovie nord Milano)– in ragione delle quali un tempo pi lungo diconservazione delle informazioni personali (codice della tessera elettronica ecodice del contratto di abbonamento) sarebbe dovuto: * oltre che alla necessit didare regolare esecuzione al contratto di trasporto con gli utenti (ivi compresala gestione della black list delle tessere annullate), anche alla pi complessaattivit, dal punto di vista informatico-gestionale, di ripartizione degliintroiti tra le societ che assicurano il servizio del trasporto pubblico (allostato, Atm, Trenitalia e Fnm); * alla necessit di elaborarestatistiche significative (dal punto di vista qualitativo/quantitativo) deiflussi di traffico dell'utenza (tenendo altres conto del fatto che la"maggior parte dei documenti di viaggio che sono di tipo settimanale"),funzionali a rendere pi efficiente il sistema di trasporto pubblico milanese;secondo quanto da ultimo prospettato dalla societ, dette statistiche nonpotrebbero essere pi effettuate utilmente una volta anonimizzati i datipersonali secondo le modalit tecniche sopra indicate; * al fatto che tecniche diversedi anonimizzazione (che assicurino in pari tempo le finalit legittimamenteperseguite dalla societ) garantirebbero, alla luce dell'architettura deisistemi informativi allo stato impiegati dalla societ per il funzionamento delsistema di bigliettazione elettronica, non l'anonimizzazione dei dati raccolti,ma solo una loro pseudoanonimizzazione; * alla necessit di dare correttaesecuzione ad impegni contrattuali assunti con terzi (in particolare, daTrenitalia e Fnm, pure partecipanti al sistema di bigliettazione elettronica,con la Regione Lombardia per quanto attiene al contratto di servizio relativoal Trenomilano); CONSIDERATO,altres, l'elevato numero di tessere emesse (pari a circa 650.000) e lacomplessit delle attivit che la societ dovr porre in essere (cheinteresser sia le stazioni di convalida della metropolitana, sia quelle deimezzi di superficie) per dare esecuzione al provvedimento e, in particolare,per: * definire le modalit tecnichedi trattamento delle informazioni (per le diverse legittime finalit sopraindicate) anteriormente all'anonimizzazione delle stesse; * eseguire le necessarie attivitdi test sul sistema informativo –che presiede all'intero sistema di bigliettazioneelettronica e alla ripartizione dei relativi introiti– come modificato,in modo da garantirne l'affidabilit; VISTIgli atti d'ufficio, con particolare riferimento alla relazione del Dipartimentorisorse tecnologiche redatta sulla base della documentazione pervenuta in data18 dicembre u.s.; RITENUTA,pertanto, la necessit di individuare nella data del 31 marzo 2007 il termineper permettere ad Atm di adempiere all'obbligo contenuto ai punti 1, lett. a) eb), del dispositivo del citato provvedimento; VISTEle osservazioni dell'ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000; RELATOREil prof. Francesco Pizzetti;
aisensi dell'art. 154, comma 1, lett. a), del Codice, a parziale modifica delprovvedimento del 6 settembre 2006, il Garante: 1. autorizzaAzienda trasporti milanese S.p.A. a conservare i dati di convalida degliabbonati utilizzati nell'ambito del sistema di bigliettazione elettronica finoad un massimo di otto giorni dalla data della loro acquisizione, semprech idati siano trattati e resi anonimi nei termini di cui in motivazione; 2. deliberadi fissare al 31 marzo 2007, anzich al 31 dicembre 2006, il termine perpermettere ad Azienda trasporti milanese S.p.A. di dare esecuzione all'obbligodi cui al punto 1, lett. a) e b), del dispositivo del provvedimento del 6settembre 2006. Restafermo, per quanto attiene ai dati personali registrati, il blocco temporaneo eparziale del relativo trattamento per il tempo necessario ad attuare, entro iltermine sopra indicato, la prescrizione volta ad anonimizzare i dati secondo lemodalit sopra descritte, gi disposto con il predetto provvedimento. Roma,28 dicembre 2006
IL SEGRETARIO GENERALE |