g-docweb-display Portlet

  1. Home
  2. Provvedimento del 28 dicembre 2006 [1413380]

Provvedimento del 28 dicembre 2006 [1413380]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1413380]

[v. anche Provv. 6 settembre 2006]

Provvedimento del 28 dicembre 2006


IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA RIUNIONE ODIERNA, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

VISTO il provvedimento del Garante del 6 settembre 2006  in materia di trattamento di dati personali relativi ad abbonamenti a servizi di trasporto pubblici e tessere elettroniche effettuati da Atac S.p.A.;

VISTO il punto 1, lett. a) e b), del dispositivo di tale provvedimento, relativi all´obbligo per Atac di dare conferma a questa Autorità, entro il 31 dicembre 2006, dell´avvenuto adempimento con riguardo ai profili connessi alla distribuzione di tessere elettroniche che consentano la memorizzazione sul chip dei soli dati relativi a non più di cinque convalide effettuate e alla tempestiva anonimizzazione dei c.d. dati di convalida riferiti ai singoli abbonati;

CONSIDERATA la richiesta, formulata da Atac con la comunicazione del 17 ottobre 2006 –contenente elementi nuovi rispetto alle risultanze istruttorie e alle dichiarazioni rese in sede di accertamento ispettivo, e formulata in vista della futura utilizzazione della tessera elettronica "Metrebus card" per la fruizione dei parcheggi di scambio–, peraltro destinate a rimanere nella esclusiva disponibilità dei singoli abbonati, in grado di memorizzare fino a un massimo di dieci operazioni di convalida;

CONSIDERATA l´ulteriore documentazione pervenuta all´Autorità il 18 dicembre 2006 attestante l´attività svolta da Atac (con riferimento alla riformulazione dell´informativa e all´avvenuta designazione degli incaricati delle biglietterie) e contenente altri chiarimenti relativi alle richieste formulate nella menzionata comunicazione del 17 ottobre u.s.;

CONSIDERATA, altresì, la complessità delle attività che la società deve porre in essere per dare esecuzione al provvedimento e, in particolare, per:

  • definire le modalità tecniche di trattamento delle informazioni anteriormente alla loro anonimizzazione;
  • eseguire le necessarie attività di test sul sistema informativo come modificato, in modo da garantirne l´affidabilità;

RITENUTA, pertanto, la necessità di individuare nella data del 30 aprile 2007 (anziché, come richiesto dalla società, del 30 giugno 2007) il termine per permettere ad Atac S.p.A. di adempiere all´obbligo contenuto al punto 1, lett. b), del dispositivo del citato provvedimento;

VISTI gli atti d´ufficio con particolare riferimento alla relazione del Dipartimento risorse tecnologiche, redatta sulla base della documentazione pervenuta in data 18 dicembre u.s. e che evidenzia sia un quadro tecnologico ed operativo parzialmente differente per l´implementazione della carta, sia altri usi ipotizzati dalla società per la smart card stessa;

RILEVATO altresì, dalla stessa relazione, che risulta giustificata e tecnicamente motivata la richiesta della società di contenere il numero limitato a convalide registrate sulla tessera a dieci operazioni, anziché a cinque come precedentemente stabilito dal Garante in rapporto agli elementi risultanti in precedenza;

VISTE le osservazioni dell´ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Francesco Pizzetti;

TUTTO CIÒ PREMESSO

ai sensi dell´art. 154, comma 1, lett. a) del Codice, a parziale modifica del provvedimento del 6 settembre 2006 adottato nei confronti della società, il Garante:

  1. dichiara proporzionata la memorizzazione dei dati di convalida sulla tessera elettronica "Metrebus Card", entro il limite massimo di dieci operazioni, sempreché i dati siano trattati e resi anonimi nei termini di cui in motivazione;
  2. delibera di fissare al 30 aprile 2007, anziché al 31 dicembre 2006, il termine per permettere ad Atac S.p.A. di dare esecuzione all´obbligo di cui al punto 1, lett. b), del dispositivo del medesimo provvedimento del 6 settembre 2006.

Resta fermo, altresì, per quanto attiene ai dati personali registrati, il blocco temporaneo e parziale del relativo trattamento per il tempo necessario per attuare, entro il termine sopra indicato, la prescrizione volta ad anonimizzare i dati, già disposto con il predetto provvedimento.

Roma, 28 dicembre 2006

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
Buttarelli

Scheda

Doc-Web
1413380
Data
28/12/06

Documenti citati