g-docweb-display Portlet

13. Trasporti.Relazione 2006 - Parte II - L'attività svolta dal Garante - 12 luglio 2007 [1424993]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1424993]

Indice generale

Paragrafo precedente

Paragrafo successivo

 

 

Relazione 2006 - Parte II - L´attività svolta dal Garante - 12 luglio 2007

 

13. Trasporti

L´evoluzione tecnologica nel settore delle smart card e il perseguimento di una maggiore efficienza nel settore dei servizi di trasporto pubblico hanno contribuito, all´estero come nell´esperienza italiana, all´introduzione di tecniche innovative, in particolare prevedendo biglietti magnetici o elettronici (cd. "e-ticketing") contenenti dati personali riferiti agli utenti. Per tale ragione, i sistemi che si avvalgono di smart card hanno formato oggetto di particolare attenzione anche a livello internazionale (cfr., in generale, "Guiding principles for the protection of personal data with regard to smart cards", elaborati dal Gruppo di esperti del Consiglio d´Europa-Cdcj, 11-14 maggio 2004).


Trattamento
dei dati
nell´ambito
del trasporto pubblico

Nel 2006 il Garante ha verificato la liceità del trattamento di dati personali effettuato dalle aziende di trasporti pubblici milanese e romana in relazione all´emissione e all´impiego di tessere elettroniche nominative mediante le quali è possibile fruire dell´abbonamento a servizi di trasporto pubblico.

Dagli accertamenti svolti anche in loco è emerso che i sistemi informativi delle società di trasporto erano stati concepiti e realizzati senza tener conto del profilo della protezione dei dati personali degli abbonati e, più in generale, trascurando il contemperamento del diritto alla libera circolazione degli individui riconosciuto dall´art. 16 Cost. (che si pone in contrasto con la creazione di archivi nei quali siano registrati i punti di "ingresso" e di "uscita" dalla rete di trasporto degli stessi) con le esigenze di un trasporto pubblico efficiente (v. già, per analoghe preoccupazioni a proposito della videosorveglianza, Provv. 29 aprile 2004 [doc. web n. 1003482]).

Uno degli aspetti maggiormente problematici dell´analisi ha riguardato la conservazione dei cd. "dati di convalida", dai quali era possibile risalire agli spostamenti individuali effettuati dagli utenti attraverso la traccia del tempo e del luogo della convalida. L´utilizzo della tessera elettronica comportava infatti il trattamento di diversi dati personali direttamente identificativi (in sede di rilascio) o, comunque, agevolmente associabili all´interessato grazie al codice numerico della tessera attribuito a ciascun abbonato (raccolto dagli apparecchi di convalida e, quindi, registrato nel data-base della società). Anche nel chip incorporato nella carta –nel quale sono registrati il codice numerico, la tipologia, un codice identificativo e il profilo dell´utente– vengono memorizzati, all´atto della convalida, l´ora, la data e il numero di apparecchio che ha effettuato la lettura nonché il numero complessivo delle vidimazioni effettuate.

Tali trattamenti consentono quindi la memorizzazione (temporanea) sulla tessera e (prolungata) nel data-base centrale delle aziende di informazioni idonee a ricostruire, in taluni casi, gli spostamenti individuali.

Dagli accertamenti effettuati è emerso che le informazioni raccolte venivano utilizzate per diverse finalità; in particolare, per la fornitura del servizio di trasporto (anche in caso di smarrimento, furto o duplicazione indebita delle tessere elettroniche), per il perseguimento delle finalità di contrasto alla frode nel settore della cd. bigliettazione elettronica, per l´analisi (in forma aggregata) dei flussi di traffico tesa all´incremento dell´efficienza, nonché, nell´ipotesi milanese, per la ripartizione del corrispettivo tra i diversi gestori del servizio.

Fatto salvo il generale principio di finalità, nonché gli accorgimenti necessari a verificare la regolare esecuzione del rapporto contrattuale, il Garante ha prescritto ai titolari del trattamento, con due provvedimenti adottati il 6 settembre 2006 [doc. web n. 1339692 e n. 1339531], che i dati personali conferiti in sede di rilascio della tessera siano conservati, salva diversa previsione contenuta in puntuali disposizioni normative (ad es., per quanto attiene alla tenuta delle scritture contabili), per il solo periodo necessario in rapporto alla validità della tessera.

Con specifico riferimento ai trattamenti effettuati a livello centralizzato e alla possibilità di associare i cd. "dati di convalida" al nominativo dell´abbonato l´Autorità, pronunciandosi negativamente, ha ritenuto che tali operazioni consentirebbero alla società di individuare tutti i punti della rete di trasporto nei quali la tessera è stata convalidata (in ingresso e, ove previsto, in uscita), con la contestuale indicazione del giorno e dell´ora in cui ciò è avvenuto. Il Garante ha, altresì, fissato tempi massimi di conservazione dei dati di convalida a livello centralizzato al fine di contrastare fenomeni di abusivo utilizzo di tessere elettroniche atteso che, a fronte di un anomalo funzionamento della tessera, anche con la cooperazione dell´abbonato, sarebbe possibile risalire comunque alle ragioni della anomalia segnalata e porre in essere le misure opportune.

Peraltro, tali operazioni non richiedono tempi di conservazione prolungati potendo essere effettuate automaticamente in un arco di tempo circoscritto (non eccedente le settantadue ore) mentre, solo in relazione alle tessere per le quali sia rilevato in concreto un malfunzionamento (o un possibile uso abusivo), tali informazioni potranno essere conservate per l´ulteriore tempo necessario all´eventuale tutela dei diritti della società. A seguito di specifica istanza formulata dall´azienda milanese (e in ragione delle specificità del sistema di trasporto pubblico locale, che coinvolge tre distinti operatori, rendendo più complesse le operazioni di trattamento dei dati personali necessari alla ripartizione dei corrispettivi), con un provvedimento del 28 dicembre 2006 il Garante ha disposto che i dati personali possano essere conservati a livello centralizzato per un periodo massimo di otto giorni [doc. web n. 1413633].

Salva la facoltà per le due menzionate società di conservare i dati di convalida per esigenze di analisi statistica dei flussi di passeggeri, il Garante ha disposto, ai sensi dell´art. 154, comma 1, lett. c), del Codice, che tali informazioni dovranno essere trattate ricorrendo a opportune tecniche di anonimizzazione sì da risultare preclusa alle stesse società la possibilità di risalire a tempi e luoghi di convalida effettuati da singoli utenti, identificati o identificabili.

Per quanto attiene ai dati sino ad allora registrati e conservati, il Garante ha infine disposto, ai sensi dell´art. 154, comma 1, lett. d), del Codice, il blocco temporaneo e parziale del relativo trattamento, rimettendo alle aziende di trasporto la definizione delle tecniche più opportune di anonimizzazione, previa valutazione del Garante.

È stato altresì autorizzata la memorizzazione sul chip delle tessere elettroniche di un numero limitato di convalide (dieci), su richiesta dell´azienda romana, in ragione della possibilità di avvalersi dell´abbonamento anche per la fruizione dei parcheggi di scambio (Provv. 28 dicembre 2006 [doc. web n. 1413380].

Da ultimo, il Garante ha chiarito che i trattamenti di dati personali che si avvalgono di sistemi complessi, come nel caso di specie, devono essere chiaramente individuabili dagli interessati, i quali devono essere posti nella condizione di conoscere agevolmente tutte le specifiche finalità perseguite, quali informazioni personali a loro riferite sono raccolte e registrate e quale uso delle medesime viene effettuato.