Garante per la protezione
    dei dati personali


PROVVEDIMENTO del 28 dicembre 2006

 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

 

NELLARIUNIONE ODIERNA, in presenza del prof. Francesco Pizzetti, presidente, deldott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e deldott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli,segretario generale;

VISTOil Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n.196);

VISTOil provvedimento del Garante del 6 settembre 2006 in materia ditrattamento di dati personali relativi ad abbonamenti a servizi di trasportopubblici e tessere elettroniche effettuati da Azienda trasporti milanese S.p.A.(Atm);

VISTOil punto 1, lett. a) e b), del dispositivo del menzionato provvedimento,relativo all'obbligo per Atm di dare conferma a questa Autoritł, entro il 31dicembre 2006, dell'avvenuto adempimento con riguardo ai profili connessi allaanonimizzazione dei c.d. dati di convalida riferiti ai singoli abbonati entro72 ore dalla trasmissione dei dati al database della societł;

PRESOATTO della dichiarazione di Atm di anonimizzare i dati relativi agli abbonaticancellando in modo irreversibile "da ogni record inserito nella tabellaconvalide del database SBME [╔] qualsiasi riferimento sia alle tessereelettroniche, sia ai contratti", sô da garantire "l'impossibilitł diricostruire a posteriori, oltre i termini consentiti dal Garante, qualsiasirelazione tra i viaggi effettuati sulla recedi trasporto ed il singolo clienteche li ha effettuati" (cfr. comunicazione Atm, 4 dicembre 2006);

CONSIDERATAla contestuale richiesta formulata da Atm (nella menzionata comunicazione del 4dicembre 2006), volta a consentire una conservazione dei dati di convalidadegli abbonati, anteriormente alla loro menzionata anonimizzazione irreversibile,fino ad un massimo di otto giorni dalla data della loro acquisizione;

CONSIDERATOche tale richiesta trova fondamento in elementi nuovi rispetto alle risultanzeistruttorie e alle dichiarazioni rese in sede di accertamento ispettivo, ed Ćformulata alla luce delle peculiaritł e delle articolate funzionalitł delsistema di bigliettazione elettronica (Sbme) –condiviso dal punto divista gestionale con altri operatori del trasporto pubblico (Trenitalia eFerrovie nord Milano)– in ragione delle quali un tempo piŁ lungo diconservazione delle informazioni personali (codice della tessera elettronica ecodice del contratto di abbonamento) sarebbe dovuto:

*  oltre che alla necessitł didare regolare esecuzione al contratto di trasporto con gli utenti (ivi compresala gestione della black list delle tessere annullate), anche alla piŁ complessaattivitł, dal punto di vista informatico-gestionale, di ripartizione degliintroiti tra le societł che assicurano il servizio del trasporto pubblico (allostato, Atm, Trenitalia e Fnm);

*  alla necessitł di elaborarestatistiche significative (dal punto di vista qualitativo/quantitativo) deiflussi di traffico dell'utenza (tenendo altresô conto del fatto che la"maggior parte dei documenti di viaggio che sono di tipo settimanale"),funzionali a rendere piŁ efficiente il sistema di trasporto pubblico milanese;secondo quanto da ultimo prospettato dalla societł, dette statistiche nonpotrebbero essere piŁ effettuate utilmente una volta anonimizzati i datipersonali secondo le modalitł tecniche sopra indicate;

*  al fatto che tecniche diversedi anonimizzazione (che assicurino in pari tempo le finalitł legittimamenteperseguite dalla societł) garantirebbero, alla luce dell'architettura deisistemi informativi allo stato impiegati dalla societł per il funzionamento delsistema di bigliettazione elettronica, non l'anonimizzazione dei dati raccolti,ma solo una loro pseudoanonimizzazione;

*  alla necessitł di dare correttaesecuzione ad impegni contrattuali assunti con terzi (in particolare, daTrenitalia e Fnm, pure partecipanti al sistema di bigliettazione elettronica,con la Regione Lombardia per quanto attiene al contratto di servizio relativoal Trenomilano);

CONSIDERATO,altresô, l'elevato numero di tessere emesse (pari a circa 650.000) e lacomplessitł delle attivitł che la societł dovrł porre in essere (cheinteresserł sia le stazioni di convalida della metropolitana, sia quelle deimezzi di superficie) per dare esecuzione al provvedimento e, in particolare,per:

*  definire le modalitł tecnichedi trattamento delle informazioni (per le diverse legittime finalitł sopraindicate) anteriormente all'anonimizzazione delle stesse;

*  eseguire le necessarie attivitłdi test sul sistema informativo –che presiede all'intero sistema di bigliettazioneelettronica e alla ripartizione dei relativi introiti– come modificato,in modo da garantirne l'affidabilitł;

VISTIgli atti d'ufficio, con particolare riferimento alla relazione del Dipartimentorisorse tecnologiche redatta sulla base della documentazione pervenuta in data18 dicembre u.s.;

RITENUTA,pertanto, la necessitł di individuare nella data del 31 marzo 2007 il termineper permettere ad Atm di adempiere all'obbligo contenuto ai punti 1, lett. a) eb), del dispositivo del citato provvedimento;

VISTEle osservazioni dell'ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

RELATOREil prof. Francesco Pizzetti;

TUTTO CI˝Ň PREMESSO

 

aisensi dell'art. 154, comma 1, lett. a), del Codice, a parziale modifica delprovvedimento del 6 settembre 2006, il Garante:

1.      autorizzaAzienda trasporti milanese S.p.A. a conservare i dati di convalida degliabbonati utilizzati nell'ambito del sistema di bigliettazione elettronica finoad un massimo di otto giorni dalla data della loro acquisizione, semprechÄ idati siano trattati e resi anonimi nei termini di cui in motivazione;

2.      deliberadi fissare al 31 marzo 2007, anzichÄ al 31 dicembre 2006, il termine perpermettere ad Azienda trasporti milanese S.p.A. di dare esecuzione all'obbligodi cui al punto 1, lett. a) e b), del dispositivo del provvedimento del 6settembre 2006.

Restafermo, per quanto attiene ai dati personali registrati, il blocco temporaneo eparziale del relativo trattamento per il tempo necessario ad attuare, entro iltermine sopra indicato, la prescrizione volta ad anonimizzare i dati secondo lemodalitł sopra descritte, gił disposto con il predetto provvedimento.

Roma,28 dicembre 2006

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
Buttarelli