ATAC S.p.A. – Azienda per la Mobilità, in qualità di titolare del trattamento, informa l’utente fruitore del Trasporto Pubblico Locale di Roma Capitale che utilizza i servizi digitali offerti da ATAC (di seguito, l’“Interessato”) tramite (i) il portale e-commerce “MyAtac” accessibile dal sito istituzionale di ATAC (di seguito, il “Portale MyAtac”) e l’applicazione mobile “App ATAC” (di seguito, l’“App”, e congiuntamente con il Portale MyAtac, “i canali MyAtac”) che i dati personali saranno trattati per le finalità e secondo le modalità di seguito descritte.
1. TITOLARE DEL TRATTAMENTO E RESPONSABILE DELLA PROTEZIONE DEI DATI (“RPD” o “DPO”)
Il titolare del trattamento è ATAC S.p.A. – Azienda per la Mobilità, con sede legale in Via Prenestina, 45 – 00176 Roma, C.F. e P. IVA 06341981006 (di seguito, “ATAC”, la “Società” o anche il “Titolare”) il quale può essere contattato tramite raccomandata A/R indirizzata alla predetta sede legale oppure al seguente indirizzo PEC: protocollo@cert2.atac.roma.it.
ATAC ha nominato il Responsabile per la protezione dei dati personali (“RPD”, anche noto come Data Protection Officer “DPO”) il quale può essere contattato scrivendo al seguente indirizzo di posta elettronica: responsabileprotezionedati@atac.roma.it.
2. FONTE DEI DATI
I dati personali, di seguito indicati, sono raccolti prevalentemente presso l’Interessato attraverso i canali MyAtac, mediante la compilazione di appositi form, l’inserimento delle informazioni di volta in volta necessarie per l’erogazione dei servizi fruiti e/o il caricamento di documentazione a supporto di specifiche istanze. Inoltre, sono trattati dati tecnici e di utilizzo necessari al funzionamento del Portale MyAtac e dell’App (ad es. indirizzo IP, identificativi di sessione, log di accesso e di sistema, dati relativi al dispositivo e alla versione dell’App/sistema operativo, informazioni tecniche sul browser/connessione); per maggiori dettagli sui trattamenti effettuati tramite cookie e altri strumenti di tracciamento (ove applicabili) si rinvia alle rispettive Cookie Policy del sito web ATAC e dell’App.
In alcuni casi, per dare corso alle richieste e alle funzionalità di MyAtac, ATAC può ottenere o ricavare dati anche:
a) dai sistemi ATAC pertinenti (ad es. sistemi di bigliettazione e componenti applicative dedicate) tramite integrazioni applicative e interrogazioni puntuali attivate in occasione dell’utilizzo di specifiche funzionalità;
b) da soggetti terzi coinvolti nell’esecuzione di specifiche funzionalità (ad es. provider di pagamento, servizi Tap&Go), nei limiti dei dati strettamente necessari (tipicamente, esiti e identificativi tecnici);
c) dal dispositivo dell’Interessato, nei limiti delle autorizzazioni concesse (ad es. geolocalizzazione, notifiche), ove l’Interessato le abiliti.
Nell’ambito di alcune funzionalità (ad es. richieste per titoli/benefici intestati a minori o a terzi), l’Interessato può inserire dati riferiti a soggetti terzi. In tali casi, sarà compito dell’Interessato comunicare i contenuti della presente informativa ai soggetti terzi.
- Minori
Il Portale MyAtac e l’App non sono destinati alla registrazione autonoma da parte di minori; la creazione dell’account è consentita esclusivamente a utenti maggiorenni. Eventuali richieste che possono riguardare un minore quale intestatario/beneficiario (ad es. titoli/abbonamenti nominativi e/o agevolati) devono essere presentate dal genitore o dal tutore legale, che opera nell’interesse del minore inserendo i soli dati strettamente necessari alla pratica. ATAC adotta controlli tecnici volti a inibire, per quanto possibile, la registrazione diretta da parte di soggetti minorenni e a indirizzare correttamente le richieste tramite chi esercita la responsabilità genitoriale o la tutela.
3. CATEGORIE DEI DATI TRATTATI
A seconda delle diverse finalità di trattamento, indicate nel successivo paragrafo, ATAC può trattare le seguenti categorie di dati:
- Dati personali comuni
a) Dati identificativi e anagrafici: (ad es. nome, cognome, e-mail; e, per servizi nominativi, codice fiscale o dati equivalenti per cittadini stranieri, come data di nascita e nazione), nonché le credenziali e dati di autenticazione (password e OTP di verifica dell’email);
b) Dati di contatto: indirizzo e-mail (necessario per creazione/attivazione dell’account) ed eventuale numero di telefono;
c) Dati di residenza/domicilio e ulteriori dati amministrativi: indirizzo, CAP e altri dati eventualmente richiesti in relazione a specifiche pratiche (ad es. verifiche, invio/gestione di supporti e comunicazioni connesse);
d) Dati relativi a titoli/operazioni e utilizzo dei servizi: (ad es. richieste di emissione/rinnovo/ricarica dei titoli di viaggio/abbonamenti, informazioni relative alla bigliettazione e validazione dei titoli di viaggio, esiti istruttori, voucher e borsellino elettronico, rendicontazioni), dati Tap&Go derivati (ad es. importo, esito, orari e token tecnico), storico operazioni e metadati necessari alla gestione della pratica e alla rendicontazione;
e) Documenti e immagini caricati a supporto delle pratiche: copia documento di identità, fototessera o immagine fotografica caricata sull’account, attestazioni/dichiarazioni, documentazione ISEE, denunce di furto/smarrimento e altra documentazione probatoria necessaria a supportare la richiesta;
f) Dati relativi all’ubicazione – dati di geolocalizzazione: se abilitati dall’Interessato sul proprio dispositivo e per (i) le funzionalità informative dell’App (ad es. ricerca di fermate vicine) e/o (ii) la gestione delle richieste di rimborso/ristoro in App;
g) Dati tecnici e log: (ad es. indirizzo IP, log di accesso e di sistema, informazioni tecniche su dispositivo, App/sistema operativo, browser/connessione), tali informazioni sono normalmente insite nell’uso di servizi/app e possono essere ridotte solo limitando l’uso dell’App o disinstallandola;
- Categorie particolari di dati (art. 9 del GDPR)
Le categorie particolari di dati ai sensi dell’art. 9 GDPR (di seguito le “Categorie particolari di dati”) sono trattate esclusivamente nell’ambito delle pratiche di agevolazione tariffaria e limitatamente ai dati/documenti necessari a dimostrare i requisiti previsti dalla disciplina applicabile (anche di fonte regolatoria/tariffaria dell’ente competente, come Roma Capitale e/o Regione Lazio, a seconda dei casi), e idonei a rivelare lo stato di salute/invalidità o altre informazioni rientranti nell’art. 9 del GDPR.
(di seguito, i “Dati personali comuni”, congiuntamente con le “Categorie particolari di dati”, anche solo i “Dati”).
4. FINALITA’ DEL TRATTAMENTO E BASE GIURIDICA
A seconda del servizio richiesto, ATAC tratta i Dati dell’Interessato per una o più delle seguenti finalità, secondo le corrispondenti basi giuridiche ivi indicate:
a) Registrazione, gestione account e accesso ai servizi digitali ATAC
ATAC raccoglie e tratta il nome, cognome e indirizzo email dell’Interessato per consentire la creazione e la gestione dell’account e delle credenziali di accesso all’area riservata dei canali MyAtac, nonché per la fruizione in modo continuativo delle funzionalità che richiedono identificazione dell’Interessato per garantire i servizi continuativi (ad es. gestione delle impostazioni dell’account, consultazione dello storico delle operazioni, gestione e monitoraggio delle richieste/pratiche e dei relativi esiti, nonché accesso alle funzionalità riservate collegate ai servizi digitali MyAtac). ATAC tratta, inoltre, tali dati per l’invio di comunicazioni operative e ricorrenti strettamente connesse all’account e alla sua sicurezza/operatività (ad es. OTP, conferme tecniche, avvisi di sicurezza, comunicazioni di servizio e messaggi necessari a completare l’accesso o a garantire la corretta fruizione delle funzioni riservate). Resta fermo che i soli servizi informativi e di pianificazione dei viaggi, disponibili in App, sono fruibili anche senza creazione di alcun account, in modalità “guest” (cfr. finalità e).
Base giuridica: esecuzione di un contratto di cui l’Interessato è parte o esecuzione di misure precontrattuali adottate su richiesta dello stesso ex art. 6, par. 1, lett. b) del GDPR. Il conferimento di tali dati è necessario per creare l’account MyAtac; in mancanza, l’Interessato non potrà registrarsi sui canali MyAtac e, conseguentemente, non potrà fruire dei servizi digitali che richiedono l’identificazione, restando ferma la possibilità di utilizzare esclusivamente le funzionalità disponibili in modalità “guest” tramite l’App (cfr. successiva finalità e).
b) Gestione titoli di viaggio (abbonamenti e biglietti) e finalità strettamente connesse
ATAC tratta i Dati identificativi e anagrafici (inclusi, ove richiesto, codice fiscale o dati equivalenti per cittadini stranieri) e i Dati relativi a titoli/operazioni e utilizzo dei servizi al fine di consentire all’Interessato di acquistare, emettere, rinnovare/ricaricare e gestire i titoli di viaggio e i servizi di bigliettazione digitale disponibili tramite i canali MyAtac. In particolare, tali trattamenti sono necessari per:
a) ricaricare e gestire l’abbonamento Metrebus nominativo, assicurando l’associazione univoca del titolo all’Interessato e la corretta registrazione delle operazioni effettuate;
b) richiedere il supporto fisico personalizzato (Metrebus Card) per ricaricare i titoli viaggio (biglietti e abbonamenti) e per gestire le attività amministrative e operative strettamente connesse alla produzione, consegna e abilitazione del supporto;
c) rinnovare gli abbonamenti nominativi ordinari;
d) fruire delle ulteriori funzionalità e-commerce connesse ai titoli di viaggio (con differenze tra Portale e App in base alle tipologie di titoli rese disponibili da ATAC, ad es. acquisto BIT singolo solo tramite App).
In funzione della specifica operazione richiesta e delle modalità di erogazione del servizio, ATAC può inoltre trattare, nei limiti di necessità: (i) i Dati di contatto, per comunicazioni operative strettamente connesse alla pratica (es. conferme, aggiornamenti, esiti); (ii) i Dati di residenza/domicilio e ulteriori dati amministrativi, ove richiesti (es. verifiche amministrative o gestione di supporti/recapiti); (iii) Documenti e immagini caricati, se necessari per l’identificazione, la titolarità del titolo o la verifica dei requisiti previsti dalla disciplina applicabile.
Base giuridica: per l’emissione, il rinnovo/ricarica e la gestione dei titoli di viaggio e degli abbonamenti nominativi richiesti dall’Interessato, nonché per le attività strettamente necessarie all’erogazione del servizio digitale e alla gestione amministrativa delle pratiche, la base giuridica è l’esecuzione di un contratto o di misure precontrattuali richieste dall’interessato ex art. 6, par. 1, lett. b) GDPR. Per gli adempimenti connessi agli obblighi fiscali/contabili e di rendicontazione, ove applicabili, inclusa la comunicazione all’Anagrafe tributaria delle spese per l’acquisto degli abbonamenti ai servizi di trasporto pubblico locale, regionale e interregionale ai sensi dell’art. 1 del D.M. MEF 29 marzo 2023 e relativi atti attuativi), la base giuridica è l’obbligo di legge a cui è soggetto il Titolare ex art. 6, par. 1, lett. c) del GDPR.
c) Abbonamenti agevolati nominativi
ATAC tratta i Dati identificativi e anagrafici (inclusi, ove richiesto, codice fiscale o dati equivalenti per cittadini stranieri), i Dati relativi a titoli/operazioni e utilizzo dei servizi e, se del caso, i Dati di contatto, i Dati di residenza/domicilio e ulteriori dati amministrativi, nonché Documenti e immagini caricati, al fine di istruire le richieste e gestire il rilascio/rinnovo degli abbonamenti agevolati nominativi, verificando la sussistenza dei requisiti previsti dalla disciplina applicabile (anche di fonte regolatoria/tariffaria dell’ente competente, come Roma Capitale e/o Regione Lazio, a seconda dei casi) e registrando l’esito dell’istruttoria. Il rinnovo degli abbonamenti agevolati nominativi è disponibile esclusivamente sul Portale MyAtac.
Nell’ambito di tali pratiche, l’Interessato può dover fornire documentazione probatoria che, a seconda dei casi, può includere Categorie particolari di dati ex art. 9 GDPR (ad es. informazioni e documenti idonei a rivelare lo stato di salute/invalidità), trattate esclusivamente per la verifica dei requisiti di agevolazione e nei limiti di quanto necessario allo svolgimento dell’istruttoria.
Base giuridica: per la gestione della richiesta di agevolazione (presentazione, istruttoria, esito e attività amministrative strettamente connesse) la base giuridica per i Dati personali comuni è l’art. 6, par. 1, lett. b) del GDPR. Per gli adempimenti connessi agli obblighi fiscali/contabili e di rendicontazione, ove applicabili, inclusa la comunicazione all’Anagrafe tributaria delle spese per l’acquisto degli abbonamenti ai servizi di trasporto pubblico locale, regionale e interregionale ai sensi dell’art. 1 del D.M. MEF 29 marzo 2023 e relativi atti attuativi), la base giuridica è l’obbligo di legge a cui è soggetto il Titolare ex art. 6, par. 1, lett. c) del GDPR. Con riferimento alle Categorie particolari di dati trattate nelle agevolazioni, la condizione di liceità è il consenso esplicito dell’Interessato ex art. 9, par. 2, lett. a) del GDPR. Il conferimento (e il relativo consenso) delle Categorie particolari di dati è necessario per istruire la pratica di agevolazione; in mancanza, ATAC non potrà procedere alla verifica dei requisiti e quindi alla concessione dell’abbonamento agevolato, restando ferma la possibilità di richiedere l’abbonamento ordinario. Il consenso è revocabile in qualsiasi momento, senza pregiudicare la liceità del trattamento svolto prima della revoca.
d) Rilascio e gestione card nominative di libera circolazione
ATAC tratta i Dati identificativi e anagrafici, i Dati di contatto, nonché i Dati di residenza/domicilio e ulteriori dati (ad es. indicazione del comando/struttura di appartenenza e sede di lavoro), al fine di istruire e gestire le richieste di card nominative di libera circolazione (ad es. prima emissione o duplicati per deterioramento, furto/smarrimento o cambio/retro) presentate dall’Interessato avente titolo (ad es. forze dell’ordine, forze armate, ANAS) tramite il Portale MyAtac, nonché per svolgere le correlate attività amministrative e operative. ATAC può inoltre trattare Documenti e immagini caricati a supporto della richiesta, nei limiti di quanto necessario a comprovare l’identità e/o la sussistenza del titolo e dei requisiti previsti.
Base giuridica: il trattamento è necessario per dare corso all’istanza dell’Interessato e gestire le attività amministrative e operative strettamente connesse al rilascio/gestione della card (art. 6, par. 1, lett. b) GDPR). Ove, per la specifica tipologia di card, l’istruttoria, le verifiche e/o il rilascio discendano da disposizioni normative e/o da atti/regole di natura regolatoria, tariffaria o amministrativa applicabili (incluse, a titolo esemplificativo, previsioni dell’ente competente e/o atti e discipline organizzative vigenti), il trattamento è altresì effettuato per l’adempimento di un obbligo legale (art. 6, par. 1, lett. c) GDPR) e/o per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri (art. 6, par. 1, lett. e) GDPR). In tali casi, la base giuridica è individuata, ai sensi dell’art. 2-ter del D.lgs. 196/2003 e s.m.i. (“Codice Privacy”), nella normativa e/o negli atti regolatori/amministrativi di riferimento applicabili alla specifica card. Il conferimento di tali dati è necessario per gestire e dare seguito alla richiesta dell’Interessato; in mancanza, ATAC non potrà darvi corso.
e) Servizi informativi e pianificazione spostamenti (App) e modalità “guest”
ATAC tratta esclusivamente i Dati tecnici e log necessari al funzionamento dell’App e alla fruizione dei servizi informativi e di pianificazione dello spostamento, che non richiedono la creazione di alcun account e sono utilizzabili dall’Interessato in modalità “guest” (ad es. consultazione di orari, previsioni di arrivo e stato del servizio, nonché pianificazione degli itinerari). Qualora l’Interessato abiliti la geolocalizzazione sul proprio dispositivo, ATAC può trattare i Dati relativi all’ubicazione esclusivamente nei limiti strettamente necessari a fornire la funzione richiesta (ad es. ricerca di fermate vicine, visualizzazione di servizi in prossimità, itinerari basati sulla posizione) e per il tempo strettamente necessario all’erogazione della specifica funzione; in assenza di autorizzazione, le funzionalità basate sulla posizione possono non essere disponibili o risultare limitate, restando fruibili le funzionalità informative e di pianificazione non basate sulla posizione.
Base giuridica: esecuzione di un contratto di cui l’Interessato è parte o esecuzione di misure precontrattuali adottate su richiesta dello stesso ex art. 6, par. 1, lett. b) del GDPR. I Dati tecnici e log sono necessari per l’uso dell’App e l’erogazione dei servizi “guest”; la geolocalizzazione è facoltativa, ma il mancato conferimento può impedire o limitare le funzionalità che richiedono l’uso dei Dati di ubicazione.
f) Tap&Go (reportistica e visualizzazione accessi/rendicontazioni)
ATAC tratta i Dati identificativi e anagrafici e i Dati relativi a titoli/operazioni e utilizzo dei servizi necessari per rendere disponibile sul Portale MyAtac la reportistica Tap&Go e la visualizzazione delle rendicontazioni, mediante integrazione con web service del partner di pagamento e l’utilizzo di meccanismi di tokenizzazione. Il trattamento dei dati di pagamento avviene nei sistemi del provider (ad es. Nexi), che opera quale titolare autonomo; ATAC riceve esclusivamente dati derivati e non finanziari (ad es. esito, importo, orari) e un identificativo sostitutivo (cd. token tecnico) necessario a collegare le rendicontazioni all’Interessato.
Base giuridica: esecuzione di un contratto di cui l’Interessato è parte o esecuzione di misure precontrattuali adottate su richiesta dello stesso ex art. 6, par. 1, lett. b) del GDPR. Il conferimento di tali dati è necessario per fruire della funzionalità Tap&Go; in mancanza, la funzionalità non potrà essere resa disponibile.
g) Rimborsi per ritardi e misure di ristoro tramite App (voucher e borsellino elettronico)
ATAC tratta i Dati identificativi e anagrafici, i Dati di contatto e i Dati relativi a titoli/operazioni e utilizzo dei servizi al fine di istruire e gestire, su richiesta dell’Interessato, le pratiche di rimborso per ritardi (superficie e metropolitana) e/o le misure di ristoro tramite App, con emissione e gestione di voucher digitali nel borsellino elettronico dell’Interessato. In funzione della casistica prevista dalla procedura: (i) ove la richiesta avvenga con salita a bordo e validazione, il sistema acquisisce i dati necessari tramite i sistemi di validazione e l’Interessato associa/indica il numero dell’abbonamento almeno alla prima richiesta; (ii) ove la richiesta avvenga senza salita a bordo, la geolocalizzazione deve essere attivata e ATAC tratta i Dati relativi all’ubicazione nei limiti strettamente necessari a comprovare la presenza presso la fermata e a istruire la richiesta; in difetto, la richiesta non è procedibile.
Base giuridica: esecuzione di un contratto di cui l’Interessato è parte o esecuzione di misure precontrattuali adottate su richiesta dello stesso ex art. 6, par. 1, lett. b) del GDPR. Il conferimento di tali dati è necessario per dare corso alla richiesta dell’Interessato e per l’emissione/gestione del voucher; in assenza il Titolare non potrà dare seguito alla richiesta dell’Interessato.
h) Cashback “+Ricicli +Viaggi” (App)
ATAC tratta i Dati identificativi e anagrafici e i Dati relativi a titoli/operazioni e utilizzo dei servizi al fine di consentire all’Interessato di aderire al programma di cashback disponibile in App e di gestire le attività strettamente connesse (ad es. calcolo/attribuzione dei benefici, gestione dell’eventuale posizione/credito maturato e fruizione degli stessi).
Base giuridica: esecuzione di un contratto di cui l’Interessato è parte o esecuzione di misure precontrattuali adottate su richiesta dello stesso ex art. 6, par. 1, lett. b) del GDPR. Il conferimento di tali dati è necessario per dare corso alla richiesta dell’Interessato; in assenza il Titolare non potrà dare seguito alla richiesta dell’Interessato.
i) Newsletter di ATAC
Il Titolare tratta i Dati di contatto (in particolare, l’indirizzo e-mail associato all’account) al fine di inviare comunicazioni periodiche informative e/o promozionali sui servizi e sulle iniziative di ATAC. L’adesione avviene esclusivamente su iniziativa dell’Interessato mediante apposita funzionalità; la revoca è disponibile in qualsiasi momento tramite le modalità rese disponibili, senza pregiudicare la liceità dei trattamenti effettuati prima della revoca.
Base giuridica: consenso dell’Interessato ex art. 6, par. 1, lett. a) GDPR. Il conferimento dei Dati di contatto (così come il consenso) per questa finalità sono facoltativi. Il mancato conferimento non preclude né comporta conseguenze in merito alla registrazione a MyAtac né alla fruizione dei servizi ivi offerti, ma non permetterà all’Interessato di ricevere comunicazioni di natura commerciale e di marketing, nonché di essere informato sulle iniziative e servizi aggiuntivi di ATAC. La revoca del consenso, esercitabile in qualsiasi momento, non pregiudica la liceità dei trattamenti effettuati precedentemente.
l) Difesa dei diritti in sede giudiziaria, amministrativa o stragiudiziale Sicurezza, prevenzione abusi/frodi
ATAC tratterà, ove necessario, i Dati dell’Interessato al fine di garantire la sicurezza dei sistemi, prevenire e contrastare utilizzi impropri/abusivi o tentativi di frode, assicurare la continuità e l’integrità dei servizi, nonché accertare, esercitare o difendere un diritto di ATAC o di terzi in sede giudiziaria, amministrativa o stragiudiziale, oppure dare seguito a richieste dell’Autorità competente.
Base giuridica: il perseguimento del legittimo interesse di ATAC o di terzi ex art. 6, par. 1, lett. f) del GDPR, volto alla tutela dei propri diritti e alla difesa in giudizio. Non è richiesto uno specifico conferimento, poiché ATAC potrà trattare, nei limiti di necessità, dati già raccolti per le finalità di cui sopra anche per tali ulteriori finalità, in quanto connesse e compatibili con le finalità originarie. Qualora il trattamento sia necessario per adempiere a specifiche richieste/ordini dell’Autorità o a obblighi di legge, la base giuridica del trattamento è l’art. 6, par. 1, lett. c) GDPR (obbligo legale). Con riferimento alle Categorie particolari di dati eventualmente trattate in tale contesto, la condizione di liceità è l’art. 9, par. 2, lett. f) del GDPR.
5. MODALITA’ DI TRATTAMENTO E TRASFERIMENTO DEI DATI ALL’ESTERO
ATAC tratta i Dati principalmente con strumenti informatici e telematici, secondo logiche strettamente correlate alle finalità indicate nel precedente paragrafo 4 e nel rispetto dei principi di liceità, correttezza, trasparenza e minimizzazione previsti dal GDPR. Sono adottate misure tecniche e organizzative adeguate a garantire la sicurezza, l’integrità e la riservatezza dei Dati, anche al fine di prevenire accessi non autorizzati, perdite o usi illeciti. Con riferimento alle funzionalità fruibili in modalità “guest”, l’App consente l’utilizzo dei servizi informativi e di pianificazione senza creazione di un account e senza associazione dell’uso a Dati identificativi e anagrafici o Dati di contatto, salvo che l’Interessato scelga di registrarsi per accedere ad ulteriori funzionalità.
A valle delle operazioni che lo richiedono (ad es. acquisto, rinnovo o ricarica), i sistemi MyAtac si interfacciano con i sistemi ATAC pertinenti (ad es. sistemi di bigliettazione elettronica e/o componenti applicative dedicate) per la generazione, l’abilitazione e/o la messa a disposizione del titolo o dell’esito, secondo le modalità applicative previste. Con riferimento a Tap&Go, ATAC rende disponibile all’Interessato una reportistica basata su dati derivati/tecnici e su un token, senza ricevere né trattare i dati della carta di pagamento; il trattamento dei dati di pagamento resta nel perimetro del provider di pagamento (ad es. Nexi) quale titolare autonomo del trattamento, secondo la relativa informativa. ATAC riceve, di regola, i soli esiti e identificativi tecnici strettamente necessari a rendere disponibile la funzionalità.
Con riferimento a rimborsi/ristori, l’istruttoria delle richieste e la gestione dei voucher avvengono anche tramite una piattaforma applicativa integrata (Mendix), mediante scambi applicativi tra MyAtac/App e i servizi della piattaforma e, ove necessario, tramite collegamenti via API con i sistemi ATAC pertinenti per le verifiche e le operazioni funzionali. I fornitori che mettono a disposizione e gestiscono tali componenti operano, ove applicabile, quali responsabili/sub-responsabili del trattamento ai sensi dell’art. 28 GDPR, sulla base di istruzioni documentate e di idonei accordi contrattuali.
I trattamenti sono configurati per risultare necessari e proporzionati rispetto ai servizi digitali richiesti e connessi al TPL: i dati raccolti in fase di registrazione sono limitati a quelli essenziali; ulteriori dati e documenti sono richiesti solo in relazione a specifiche pratiche; i dati di pagamento non sono trattati da ATAC; ove prevista, la geolocalizzazione è attivata su iniziativa dell’Interessato e utilizzata nei limiti e per i tempi strettamente necessari alla specifica funzionalità.
ATAC non effettua processi decisionali interamente automatizzati che producano effetti giuridici sull’Interessato o incidano in modo analogo significativamente ai sensi dell’art. 22 del GDPR.
L’accesso ai Dati è consentito esclusivamente a personale ATAC espressamente autorizzato e istruito ai sensi dell’art. 29 GDPR. Per lo svolgimento di talune attività, ATAC può comunicare i Dati a soggetti esterni (ad es. consulenti, fornitori che supportano l’erogazione e la gestione dei servizi MyAtac, nonché soggetti, enti o autorità cui la comunicazione sia dovuta per legge o su richiesta/ordine dell’Autorità competente). Tali soggetti trattano i Dati, a seconda dei casi, in qualità di titolari autonomi del trattamento oppure di responsabili del trattamento nominati da ATAC ai sensi dell’art. 28 GDPR.
I Dati sono trattati principalmente all’interno dello Spazio Economico Europeo (SEE). Tuttavia, l’utilizzo di taluni strumenti e/o fornitori può comportare, in via residuale, trasferimenti di Dati verso Paesi non appartenenti all’UE/SEE. In tali casi, il trasferimento avviene nel rispetto del Capo V del GDPR, sulla base di una decisione di adeguatezza oppure mediante garanzie appropriate e, ove necessario, misure supplementari.
L’elenco aggiornato dei responsabili del trattamento può essere richiesto in qualsiasi momento al Titolare ai recapiti indicati nella presente informativa.
I Dati non saranno diffusi.
6. PERIODI DI CONSERVAZIONE DEI DATI
I Dati dell’Interessato registrato, la documentazione caricata nell’account e lo storico delle transazioni e delle operazioni effettuate tramite MyAtac sono conservati per un periodo pari a 10 anni dall’ultimo accesso o dalla data di disattivazione dell’account da parte dell’Interessato stesso; decorso tale termine, è prevista la cancellazione automatica dei Dati.
I Dati tecnici e di utilizzo sono trattati per il tempo strettamente necessario al funzionamento dei canali MyAtac e all’erogazione delle singole funzionalità; i log di sistema e gli access log dell’Interessato sono conservati per 6 mesi, salvo la necessità di ulteriore conservazione in caso di eventi di sicurezza, contestazioni, contenziosi o richieste/ordini dell’Autorità competente.
I Dati trattati per la gestione dei rimborsi per ritardi e delle misure di ristoro sono conservati per il tempo necessario all’istruttoria (con termine massimo di 30 giorni dalla presentazione della richiesta per la comunicazione dell’esito), all’emissione e all’utilizzo dei voucher e alla gestione di eventuali contestazioni; in ogni caso, sono conservati per un termine di 5 anni dalla comunicazione dell’esito negativo di emissione del voucher all’Interessato o dalla scadenza/utilizzo del voucher, salvo contestazioni o contenziosi. I soli dati necessari per finalità contabili e fiscali sono conservati per i termini previsti dalla normativa applicabile ex art. 2220 codice civile.
I Dati personali comuni trattati per l’invio della newsletter sono conservati fino alla revoca del consenso o alla disscrizione, effettuabile in qualsiasi momento con le modalità rese disponibili; successivamente, ATAC può conservare evidenza minima dell’avvenuta revoca/opposizione (ad es. indirizzo e-mail e data della richiesta) al solo fine di garantire il rispetto delle scelte dell’Interessato e prevenire invii non desiderati.
In ogni caso, qualora sia necessario accertare, esercitare o difendere un diritto in sede giudiziaria, amministrativa o stragiudiziale, o dare seguito a richieste dell’Autorità, i Dati possono essere conservati per il periodo strettamente necessario a tali finalità, nei limiti consentiti dalla legge o comunque fino all’esaurimento dei termini di esperibilità delle azioni di proposizione e/o di impugnazione, ovvero per perseguire la tutela del proprio diritto.
7. DIRITTI DELL’INTERESSATO
L’Interessato può, in qualsiasi momento, esercitare i diritti previsti dagli artt. da 15 a 22 del GDPR, rivolgendosi al Titolare per chiedere:
a) l’accesso ai Dati, come previsto dall’art. 15 del GDPR;
b) la rettifica e l’integrazione dei Dati ritenuti inesatti, come previsto dall’art. 16 del GDPR,
c) la cancellazione dei Dati per il quale ATAC non ha più alcun presupposto giuridico per il trattamento, come previsto dall’art. 17 del GDPR;
d) la limitazione del modo in cui ATAC tratta i Dati dell’Interessato qualora ricorrano una delle ipotesi previsti dall’art. 18 del GDPR.
e) la copia dei Dati che l’Interessato ci ha fornito, in un formato strutturato, di uso comune e leggibile da dispositivo automatico per i trattamenti basati sul rapporto contrattuale (c.d. portabilità), come previsto dall’art. 20 del GDPR,
f) la revoca del consenso in qualsiasi momento, nel caso in cui il trattamento sia fondato sul consenso. Si precisa che l’eventuale revoca del consenso avrà effetto soltanto con riferimento ai successivi trattamenti, non pregiudicando la liceità del trattamento precedentemente svoltosi prima di tale revoca.
Diritto di opposizione: oltre ai diritti sopra elencati, l’Interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali per il perseguimento del legittimo interesse del Titolare.
L’Interessato potrà esercitare i predetti diritti compilando e inviando il modulo disponibile al seguente link, oppure scrivendo all’indirizzo PEC protocollo@cert2.atac.roma.it o, in alternativa, tramite raccomandata A/R all’indirizzo della sede legale di ATAC (si vedano i dati di contatto di cui al precedente paragrafo 1).
Nel caso ritenga che il trattamento dei dati personali avvenga in violazione di quanto previsto dal GDPR, l’Interessato ha il diritto di proporre reclamo al Garante per la protezione dei dati personali, utilizzando i riferimenti disponibili nel sito internet www.garanteprivacy.it, o di adire le opportune sedi giudiziarie.