Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Trasporto pubblico e tessere elettroniche: Milano - 6 settembre 2006 [1339692]

[doc. web n. 1339692]

[v. anche Provv. 28 dicembre 2006
e Provv. 6 settembre 2006 ]

Trasporto pubblico e tessere elettroniche: Milano - 6 settembre 2006

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Francesco Pizzetti;

PREMESSO

1. Abbonamento a servizi di trasporto pubblici e tessere elettroniche presso l´Azienda trasporti milanesi S.p.A.

1.1. È stato richiesto al Garante di verificare la liceità del trattamento di dati personali effettuato dall´Azienda trasporti milanesi S.p.A. (in seguito, la società) in relazione all´emissione e all´impiego di tessere elettroniche nominative, nell´ambito del "sistema di bigliettazione magnetica ed elettronica " (Sbme), con le quali è possibile fruire dell´abbonamento ai servizi di trasporto pubblici di Milano.

In particolare, sono state ipotizzate violazioni della disciplina di protezione dei dati personali con riferimento al trattamento delle informazioni personali raccolte all´atto della convalida della tessera per fruire del servizio di trasporto, qualora la società sia in grado di tracciare gli spostamenti degli utenti, con conseguenti riflessi sulla loro libertà di circolazione.

1.2. Nel corso dell´attività istruttoria svolta anche mediante acquisizione presso la sede della società di informazioni e di documenti ai sensi dell´art. 157 del Codice, in data 23 giugno 2006, integrati dal materiale inviato con successiva comunicazione pervenuta il 10 luglio 2006, è emerso che il sistema di emissione di biglietti elettronici "è stato ideato a metà degli anni novanta come sistema integrato condiviso da Atm, Trenitalia e Ferrovie Nord Milano, per offrire agli utenti una tessera idonea ad utilizzare i diversi servizi offerti dalle predette aziende " (cfr. verbale 23 giugno 2006, in atti).

Il sistema di abbonamento elettronico, operativo in via sperimentale dal 2005 con una tessera elettronica che si avvale di tecnologie diverse (Mifare e Calypso ), determinerà la sostituzione di larga parte degli abbonamenti cartacei (cfr. verbale 23 giugno 2006).

La tessera elettronica –che potrà funzionare in futuro quale "borsellino elettronico", permettendo all´utente, oltre all´acquisto di "carnet di biglietti, [di] effettuare pagamenti di altri servizi legati alla mobilità, quali, ad esempio, l´utilizzo di aree di parcheggio" (cfr. verbale 23 giugno 2006, cit.)– consente, allo stato, l´acquisto di abbonamenti nominativi (di durata annuale, mensile o settimanale) che vengono registrati sul chip incorporato nella tessera.

La gestione del sistema di emissione dei biglietti elettronici si fonda su un database dei clienti della società, condiviso con Trenitalia e Ferrovie Nord Milano, strutturato in modo tale da consentire "ai sistemi di lettura delle tessere elettroniche di una azienda di "riconoscere" le tessere emesse dalle altre e i relativi profili associati. Esiste poi un data-base condiviso, utilizzato dalle aziende per le verifiche contabili e la ripartizione degli introiti derivanti dall´utilizzazione dei diversi servizi di trasporto nell´ambito del circuito urbano della città di Milano. Tale server è gestito da Atm e non consente tuttavia alle singole società di visualizzare i dati anagrafici degli abbonati delle altre " (cfr. verbale 23 giugno 2006).

Il titolare di un abbonamento elettronico, accedendo ai mezzi di superficie o alle linee metropolitane della società, è tenuto ad avvicinare la propria tessera al lettore presente sul mezzo o ai tornelli di accesso, al fine di effettuare la "convalida" del proprio titolo di viaggio. I dati di convalida vengono acquisiti dall´apparecchiatura di convalida locale e comunicati quindi al sistema (di regola con cadenza giornaliera).

1.3. I dati personali degli utenti necessari al rilascio della tessera elettronica vengono raccolti a seguito della compilazione di un modulo di richiesta, previa informativa e (in taluni casi) manifestazione del consenso. La modulistica inizialmente utilizzata è stata rivista allo scopo di distinguere i dati il cui conferimento è "obbligatorio" per il rilascio della tessera (dati anagrafici, codice fiscale e fotografia) da quelli il cui conferimento è reputato "facoltativo" (recapiti telefonici e di posta elettronica: cfr. comunicazione della società dell´11 ottobre 2005). Sulla tessera sono riportati i dati anagrafici e la fotografia dell´utente, per agevolarne l´identificazione in caso di richiesta di esibizione dell´abbonamento, oltre a un codice numerico identificativo della tessera.

1.4. Il trattamento delle informazioni personali riferibili agli abbonati non si limita a quello relativo ai dati conferiti dall´interessato in sede di rilascio dell´abbonamento, atteso che, anche a seguito dell´effettivo utilizzo dei servizi di trasporto, vengono trattati anche i seguenti dati:

  • sul chip incorporato nella tessera vengono registrati il codice dello stesso, "la tipologia del contratto di abbonamento (ad es., mensile), nonché un codice identificativo del singolo contratto di abbonamento e il profilo dell´utente (ad es. studente). Il chip memorizza al proprio interno, all´atto della convalida, l´ora, la data e il numero di apparecchio che ha effettuato la lettura (per un massimo di quattro convalide, dopodiché le successive letture sovrascrivono le più risalenti) e il numero complessivo delle convalide effettuate (contatore di viaggi), attualmente non utilizzato" (cfr. verbale 23 giugno 2006). La memorizzazione dei dati delle ultime quattro convalide effettuate è considerata "legata agli specifici obblighi contrattuali connessi al rilascio dell´abbonamento, in virtù dei quali ogni abbonato è tenuto sempre ad effettuare la convalida presso i lettori elettronici. La memorizzazione dei dati di convalida nel chip consente, in caso di eventuali controlli durante il viaggio, di verificare l´effettivo adempimento dell´abbonato al predetto obbligo, tramite lettori portatili in uso al personale di controlleria". Il c.d. "contatore di viaggi" inserito nel chip è strumentale alla possibilità "di attivare, in futuro, abbonamenti che prevedano l´effettuazione di un determinato numero di viaggi nel periodo di validità dell´abbonamento " (cfr. verbale 23 giugno 2006);
  • sui singoli apparecchi di convalida dislocati sulla rete e sui mezzi di trasporto, all´atto della convalida vengono memorizzati solo temporaneamente dati contenuti nel chip di ogni tessera (quali il numero seriale della carta, il tipo di abbonamento, la sua scadenza e il numero progressivo di transazioni effettuate); oltre a tali dati vengono memorizzati l´ora e il giorno della convalida, nonché il numero dell´apparecchio che ha effettuato la lettura (cfr. verbale 23 giugno 2006);
  • a livello centralizzato, il database contiene i dati personali registrati al momento dell´attivazione dell´abbonamento, unitamente al codice identificativo della tessera. Vengono inoltre registrate ulteriori informazioni provenienti dalle apparecchiature di convalida: si tratta della data e dell´orario della convalida, del codice identificativo della tessera, del codice dell´apparecchiatura di convalida. Queste informazioni, che (come detto) sono memorizzate temporaneamente sulle apparecchiature di convalida, vengono periodicamente trasmesse (di regola su base giornaliera) al server centrale. "Tali dati permangono nel sistema per un periodo di tre mesi, dopodiché vengono salvati su supporto rimovibile e quindi cancellati dal server"; "non è ancora stato determinato un limite temporale di conservazione dei dati salvati sui supporti rimovibili " (cfr. verbale 23 giugno 2006).

1.5. Secondo la società i trattamenti di dati personali sopra descritti sarebbero necessari per la "razionalizzazione dei servizi, [la] ripartizione degli introiti fra ATM, Trenitalia e Ferrovie Nord Milano e [il] contrasto di comportamenti fraudolenti " (cfr. verbale 23 giugno 2006).

In particolare, il trattamento del codice numerico del chip associato al numero del contratto consentirebbe al sistema "di rilevare eventuali comportamenti fraudolenti" in caso di smarrimento, furto o duplicazione indebita delle tessere elettroniche: "la comparazione da parte del sistema del numero del contratto e di quello del chip acquisiti con la convalida, con quelli presenti nel sistema, consente di inserire le tessere elettroniche eventualmente falsificate ovvero smarrite o rubate in una black-list" (cfr. verbale 23 giugno 2006). L´inserimento di una tessera nella c.d. black-list (operazione che avviene, di regola, entro 24 ore dalla segnalazione da parte dell´abbonato dello smarrimento o dalla rilevazione di un´anomalia nel suo uso) determina la sua automatica disabilitazione, sì che al possessore verrebbe preclusa la possibilità di effettuare ulteriori convalide. Il dato relativo al numero identificativo del contratto di abbonamento sottoscritto, trattato anch´esso dalla società, risulta necessario anche "nei casi in cui operazioni di ricarica degli abbonamenti vengano effettuate irregolarmente (ad es. apparecchiature di ricarica trafugate dalla rete di vendita o codici di ricarica falsificati). In questo caso, la verifica da parte del sistema consente l´annullamento della ricarica e il contatto dell´abbonato da parte dell´azienda per l´acquisizione di elementi utili ad individuare gli autori delle illegittime operazioni di ricarica " (cfr. verbale 23 giugno 2006).

Allo stato, "i dati relativi all´ora e alla data della convalida e dell´apparecchio che ha effettuato la lettura sono raccolti al fine di effettuare rilevazioni in forma aggregata sull´utilizzo dei servizi in relazione alle zone e alle fasce orarie. Nell´ottica di estendere gli abbonamenti anche oltre il circuito urbano, la raccolta dei dati di convalida consentirà di verificare il corretto utilizzo dell´abbonamento nelle aree di pertinenza " (cfr. verbale 23 giugno 2006).

I dati anagrafici e i recapiti degli abbonati vengono altresì utilizzati per svolgere attività a contenuto promozionale nell´interesse della società, limitatamente ai soggetti che hanno consentito a tale ulteriore finalità di trattamento. In chiave prospettica, i trattamenti effettuati con i dati di convalida potrebbero consentire anche una "analisi individualizzate relative ai flussi di traffico della clientela " (cfr. verbale 23 giugno 2006).

2. Biglietti elettronici e trattamento di dati personali

2.1. L´evoluzione tecnologica nel settore delle c.d. smart card e ragioni di efficienza nel settore dei servizi di trasporto pubblico hanno contribuito, all´estero come pure nell´esperienza italiana, all´introduzione di tecniche innovative di emissione dei biglietti, ricorrendo a biglietti magnetici o elettronici (c.d. e-ticketing ) contenenti, in taluni casi, dati personali riferiti agli utenti.

Tali tessere e, unitamente ad esse, il sistema informativo che ne consente il funzionamento, offrono alcuni vantaggi, ma possono anche comportare alcuni rischi per i diritti e le libertà individuali. Essi, infatti, possono incidere sul diritto alla protezione dei dati personali e su altri diritti, compreso quello alla libera circolazione delle persone, protetto anch´esso costituzionalmente (art. 16 Cost.; v. già, per analoghe preoccupazioni a proposito della videosorveglianza, Provv. del Garante 29 aprile 2004, in doc. web n.  1003482; con riguardo alla tecnologia Rfid, Provv. 9 marzo 2005, doc. web n.  1109493; v. pure Provv. 26 luglio 2005, doc. web n.  1151997).

Per tale ragione, i sistemi che si avvalgono di smart card hanno formato oggetto di particolare attenzione anche a livello internazionale (cfr. in generale i Guiding principles for the protection of personal data with regard to smart cards, adottati dal Gruppo di esperti del Consiglio d´Europa Cdcj, 11-14 maggio 2004) e meritano di essere esaminati attentamente tenendo conto delle peculiarità connesse ai diversi contesti applicativi nei quali essi vengono impiegati.

Le considerazioni che seguono si riferiscono alle particolari modalità di funzionamento della tessera elettronica utilizzata dalla società e correlata agli abbonamenti attualmente commercializzati.

2.2. Nel caso di specie relativo al trasporto pubblico, la tessera elettronica, in ragione delle modalità di funzionamento descritte, comporta (in vari momenti) il trattamento di diversi dati personali, direttamente identificativi (in sede di rilascio) o comunque agevolmente associabili all´interessato grazie al codice numerico della tessera attribuito ad ogni abbonato (raccolto dagli apparecchi di convalida e quindi registrato nel database della società).

Tali trattamenti consentono tra l´altro la memorizzazione, sulla tessera e nel predetto database, della data, dell´ora e del luogo in cui la medesima è stata utilizzata, consentendo in taluni casi la ricostruzione degli spostamenti individuali (riconoscibili alla società mediante le descritte modalità di funzionamento del sistema).

3. Sistemi di bigliettazione elettronica e principi di protezione dei dati personali: finalità, pertinenza e non eccedenza

3.1. Le operazioni di trattamento sono svolte dalla società in varie fasi, di seguito analizzate: a) in sede di rilascio della tessera; b) in relazione al funzionamento della tessera, con riguardo ai dati in essa memorizzati e soggetti a verifica da parte del personale addetto al controllo; c) in riferimento al funzionamento della tessera, rispetto ai dati trattati dalle apparecchiature per la convalida; d) in relazione al funzionamento della tessera, relativamente ai dati trattati dalla società a livello centralizzato per le finalità identificate al punto 1.5.

3.2. Allo stato degli atti non risultano violazioni dei principi di finalità, pertinenza e non eccedenza nel trattamento dei dati personali riferiti agli abbonati, con riguardo a quelli trattati in sede di rilascio della tessera (e sopra identificati al punto 1.3.).

Anche il codice attribuito alla tessera (come detto, correlato all´abbonato) risulta necessario al fine di assicurare la regolare esecuzione del rapporto contrattuale, consentendo la sostituzione di tessere difettose, smarrite o rubate con nuovi titoli di viaggio e la contestuale disabilitazione delle tessere emesse (con le modalità descritte al punto 1.5.).

Resta ferma la necessità che i dati personali conferiti in sede di rilascio della tessera siano conservati, salva diversa previsione contenuta in puntuali disposizioni normative (ad esempio, in materia di tenuta delle scritture contabili), per il solo periodo necessario in rapporto alla validità della tessera.

3.3. Sulla base delle attuali risultanze, ad analoga valutazione deve  pervenirsi per ciò che riguarda la possibilità di memorizzare nel chip delle tessere distribuite le ultime quattro convalide (anche al fine di verificare eventuali malfunzionamenti della tessera), oltre ai dati necessari alla verifica della (attuale) validità dell´abbonamento (e, dunque, il suo periodo di validità), nonché i dati relativi all´abbonato.

3.4. Non emergono, allo stato degli atti, profili di violazione dei principi di finalità, pertinenza e non eccedenza nel trattamento dei dati personali riferiti agli abbonati, con riguardo a quelli trattati in sede di convalida dell´abbonamento presso le apparecchiature dislocate sulla rete di trasporto della società. In particolare, non risulta ingiustificata la memorizzazione temporanea su detti apparecchi del codice numerico di ciascuna tessera, atteso che solo in tal modo la società può –grazie al continuo aggiornamento della c.d. black list e la sua memorizzazione sulle apparecchiature di convalida (con le modalità indicate al punto 1.5.)– prevenire l´utilizzo di tessere annullate (e, nel caso della rete metropolitana, anche l´accesso del detentore di una tessera annullata alla rete di trasporto).

3.5. Per ciò che attiene invece ai trattamenti effettuati a livello centralizzato, gli elementi acquisiti agli atti evidenziano che la società, tramite il codice della tessera, può associare i c.d. dati di convalida al nominativo dell´abbonato. Tali operazioni, se effettuate, consentirebbero alla società di individuare tutti i punti della rete di trasporto nei quali la tessera è stata convalidata (in ingresso e in uscita), con la contestuale indicazione del giorno e dell´ora in cui ciò è avvenuto (consentendo così di risalire agli spostamenti dell´abbonato).

Sebbene la società abbia dichiarato di non effettuare in concreto tale trattamento (non indicato neanche nell´informativa resa) e di limitarsi ad analizzare in modo aggregato le informazioni raccolte per ricostruire i flussi dei passeggeri per rendere più efficiente il servizio di trasporto, l´architettura dei sistemi informativi in uso consente comunque alla società di venire agevolmente a conoscenza dei dettagli relativi ai singoli "accessi" alla rete di trasporto in relazione a tutti gli abbonati, senza che ciò risulti necessario per dare regolare esecuzione al contratto. Tale possibilità riguarda, peraltro, un arco temporale esteso, posto anche che, come evidenziato al punto 1.4., tali informazioni sono attualmente conservate dalla società a far data dall´inizio del servizio (2005).

In relazione a tale trattamento centralizzato occorre pertanto individuare, in relazione alle diverse finalità perseguite, se siano rispettati i principi di protezione dei dati, con particolare riferimento a quelli di pertinenza e non eccedenza (anche dal punto di vista del tempo di conservazione delle informazioni). Da tale scrutinio:

a) risulta giustificato il trattamento dei dati di convalida a livello centralizzato, in particolare del codice apposto sulla tessera (e memorizzato nel chip), al fine di assicurare la regolare esecuzione del servizio di trasporto a vantaggio degli utenti. In caso di malfunzionamento, smarrimento o furto della tessera segnalato dall´abbonato (nell´arco di tempo delle successive ventiquattro ore), la società è posta in condizione di effettuare gli opportuni controlli e di annullare la tessera segnalata, consegnando all´abbonato un nuovo (valido) titolo di viaggio. Ciò, grazie all´inserimento del codice seriale della tessera in un apposito elenco (c.d. black list), successivamente memorizzato negli apparecchi di convalida, sì da vanificarne l´eventuale successivo utilizzo. Viene così precluso (in caso di accesso alla rete metropolitana, convalidata la tessera, i varchi restano chiusi) o scoraggiato (per i mezzi di superficie) l´utilizzo indebito della tessera inserita nella black list;

b) risulta necessaria anche una limitata conservazione nel tempo dei dati di convalida a livello centralizzato (associando il codice della tessera al contratto registrato sulla stessa), al fine di contrastare fenomeni di abusivo utilizzo di tessere elettroniche o altri comportamenti fraudolenti a danno della società. Rilevato un anomalo funzionamento della tessera, anche con la cooperazione dell´abbonato, è infatti possibile per la società risalire alle ragioni della anomalia segnalata e porre in essere le misure opportune.

Tuttavia, anche tali operazioni non richiedono tempi di conservazione prolungati, potendo essere effettuate automaticamente in un arco di tempo circoscritto, successivo alla registrazione dei dati di convalida a livello centralizzato, che risulta proporzionato qualora non ecceda le 72 ore.

Solo in relazione alle tessere per le quali sia stato in concreto rilevato un malfunzionamento (o un possibile uso abusivo), i dati di convalida e i dati personali connessi alla tessera sottoposta ad esame potranno essere conservati per l´ulteriore tempo necessario al fine di consentire i necessari accertamenti e l´eventuale tutela dei diritti della società;

c) resta salva la facoltà per la società di conservare i c.d. dati di convalida per esigenze di analisi statistica dei flussi di passeggeri (sopra descritte al punto 1.5.) come pure al fine di ripartire gli introiti derivanti dall´utilizzo della rete di trasporto integrata tra i diversi soggetti alla medesima partecipanti. A tal fine non è tuttavia necessario disporre di dati (direttamente o indirettamente) nominativi, specie se per tempi prolungati e, come nel caso di specie, sine die. La società potrà pertanto trattare le informazioni relative ai tragitti effettuati, ricorrendo ad opportune tecniche di anonimizzazione dei dati personali raccolti –da comunicare a questa Autorità–, sì da risultare preclusa alla medesima società la possibilità di risalire a tempi e luoghi di convalida effettuati da singoli utenti, identificati o identificabili.

Per quanto attiene ai dati sino ad oggi registrati, ed attualmente conservati, deve disporsi il blocco temporaneo e parziale del relativo trattamento, al fine di consentire alla società l´adozione delle sole misure opportune volte ad anonimizzarli, entro e non oltre il 31 dicembre 2006, termine ritenuto congruo per la loro concreta adozione. Di tali misure, volte a rendere il trattamento conforme ai principi di protezione dei dati, la società dovrà rendere edotta questa Autorità entro il medesimo termine del 31 dicembre 2006. Il Garante si riserva, valutata la congruità delle misure che si intendono adottare, di verificare ulteriormente la liceità delle operazioni di trattamento di seguito effettuate.

Del pari, la società dovrà predisporre entro il predetto termine sistemi di cancellazione o di anonimizzazione automatica dei dati di convalida, dando contestuale comunicazione a questa Autorità delle misure predisposte.

4. Informativa

4.1. Con riguardo alla diversa modulistica prodotta dalla società nel corso dell´accertamento in loco, in larga parte aderente alle prescrizioni contenute nell´art. 13 del Codice, va prescritta, come misura necessaria per rendere conforme alla disciplina vigente il trattamento dei dati personali, l´integrazione dell´attuale modello generale di informativa utilizzato dalla società. Tale modello menziona la finalità di esecuzione degli obblighi contrattuali ma non specifica, come necessario ai fini del predetto art. 13, la particolare finalità di contrasto di condotte fraudolente in relazione al servizio di bigliettazione.

La società, pertanto, dovrà enunciare chiaramente nell´informativa, tra le finalità perseguite, quella di contrasto alla frode nel sistema di bigliettazione elettronica.

5. Sistemi di bigliettazione elettronica e correttezza nelle operazioni di trattamento dei dati personali
Sul piano della consapevolezza che gli interessati devono poter avere rispetto al trattamento dei dati personali, vi è un ulteriore aspetto da considerare, connesso all´osservanza del principio di correttezza (art. 11, comma 1, lett. a), del Codice).

I trattamenti di dati personali che si avvalgono di sistemi complessi, come nel caso di specie, devono essere chiaramente riconoscibili agli interessati, i quali devono essere posti nella  condizione di conoscere agevolmente tutte le specifiche finalità perseguite, quali informazioni personali a loro riferite sono raccolte e registrate (nel caso di specie, nel chip) e quale uso delle medesime viene effettuato (in tal senso v. già, con riferimento all´utilizzo della tecnologia Rfid, Provv9 marzo 2005, cit.).

Tali informazioni non sono state messe a disposizione dell´utenza da parte della società la quale, per rendere i propri trattamenti conformi al principio di correttezza, deve quindi rendere interamente "trasparenti" tali trattamenti, enunciando chiaramente le modalità utilizzate per perseguire le predette finalità antifrode. Ciò, specificandolo ai singoli abbonati nel quadro dei rapporti contrattuali intrattenuti, nonché attraverso il sito Internet della società.

TUTTO CIÒ PREMESSO IL GARANTE

1) prescrive all´Azienda trasporti milanese s.p.a., ai sensi dell´art. 154, comma 1, lett. c), del Codice, di adottare le misure necessarie al fine di conformare i trattamenti alle disposizioni vigenti nei termini di cui in motivazione, provvedendo a:

a) anonimizzare i dati di convalida riferiti ai singoli abbonati trattati a livello centralizzato una volta verificata l´assenza di anomalie nell´utilizzo della tessera elettronica, e comunque entro 72 ore dalla trasmissione dei dati al database della società (punto 3.5. in riferimento alla lett. b);

b) trattare le informazioni relative ai dati di convalida per l´analisi statistica dei flussi di traffico ricorrendo a tecniche di anonimizzazione dei dati personali raccolti, in modo che risulti preclusa la possibilità di risalire a tempi e luoghi di convalida effettuati da singoli utenti, identificati o identificabili (punto 3.5. in riferimento alla lett. c);

c) riformulare l´informativa resa enunciando chiaramente nell´informativa, tra le finalità perseguite, quella di contrasto alla frode nel sistema di bigliettazione elettronica (punto 4.1.);

d) dare conferma a questa Autorità dell´attuazione delle predette prescrizioni e del blocco di cui al presente dispositivo, fornendo ogni informazione utile al riguardo ed allegando la pertinente documentazione;

2) dispone, ai sensi dell´art. 154, comma 1, lett. d), del Codice, per quanto attiene ai dati sino ad oggi registrati, il blocco temporaneo e parziale del relativo trattamento per il tempo necessario per attuare, entro il termine previsto, la prescrizione volta ad anonimizzare i dati (punto 3.5., lett. b) e c).

Roma, 6 settembre 2006

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
Buttarelli