ATAC S.p.A. – Azienda per la Mobilità, in qualità di titolare del trattamento, La informa che potranno essere trattati i Suoi dati personali a seguito dell’attivazione dei dispositivi indossabili di registrazione video (di seguito, “Bodycam” o anche solo il/i “Dispositivo/i”) in dotazione al personale in servizio presso i mezzi di trasporto o le stazioni della rete metropolitana, per le finalità di cui al successivo paragrafo 3.
I Dispositivi, attivati manualmente dal personale incaricato esclusivamente in caso di necessità, in presenza di situazioni valutate come critiche o potenzialmente rischiose, sono dotate di una spia luminosa accesa, che segnala visivamente l’avvio della registrazione video dell’evento in corso. Le Bodycam non effettuano registrazioni in modo continuo o automatico, ma solo per la durata strettamente necessaria alla gestione dell’evento.
Il titolare del trattamento è ATAC S.p.A. – Azienda per la Mobilità, con sede legale in Via Prenestina, 45 – 00176 Roma, C.F. e P. IVA 06341981006 (di seguito, “ATAC”, la “Società” o anche il “Titolare”) il quale può essere contattato tramite raccomandata A/R indirizzata alla predetta sede legale oppure al seguente indirizzo PEC: protocollo@cert2.atac.roma.it.
ATAC ha nominato il Responsabile per la protezione dei dati personali (“RPD”, anche noto come Data Protection Officer “DPO”) il quale può essere contattato scrivendo al seguente indirizzo di posta elettronica: responsabileprotezionedati@atac.roma.it.
I dati personali sono raccolti direttamente da ATAC, attraverso la registrazione video effettuata mediante Bodycam. Nel corso della registrazione, il Dispositivo può raccogliere le seguenti categorie di dati personali: (i) la Sua immagine e quella delle altre persone riprese; (ii) i dati tecnici e i metadati associati alla registrazione (es., data e ora, posizione GPS, identificativo del dispositivo, parametri tecnici del file), che, pur non identificando di per sé l’interessato, possono essere ricondotti alla persona ripresa in combinazione con le immagini.
Non vengono trattati dati provenienti da altre fonti né effettuate analisi biometriche, riconoscimento facciale o forme di profilazione.
I Suoi dati personali saranno trattati per una o più delle seguenti finalità, secondo le corrispondenti basi giuridiche ivi indicate:
L’utilizzo delle Bodycam avviene nell’ambito di un progetto sperimentale volto a garantire la sicurezza del personale di ATAC e anche dei passeggeri e dei terzi, nonché per la tutela dei beni e delle infrastrutture aziendali e la possibilità di acquisire elementi di prova in caso di eventi che possano configurare responsabilità o danni a carico della Società o di terzi. Le registrazioni video effettuate tramite il Dispositivo possono comprendere l’immagine di passeggeri o di altri soggetti presenti nei luoghi in cui viene svolto il servizio.
La base giuridica del trattamento per questa finalità è costituita dal legittimo interesse di ATAC o di terzi ex art. 6, par. 1, lett. f) del GDPR, individuato nella necessità di garantire la sicurezza del personale incaricato, dei passeggeri, dei beni e delle infrastrutture aziendali e di assicurare il regolare svolgimento dei servizi di trasporto pubblico. I dati derivanti dalle registrazioni non sono raccolti su base volontaria né dipendono da un Suo conferimento diretto, poiché vengono acquisiti automaticamente dal Dispositivo nel corso dell’attività di servizio del personale di ATAC nei casi previsti dalle procedure operative.
ATAC tratterà, ove necessario, le registrazioni e gli altri dati raccolti per accertare, esercitare o difendere i propri diritti, o quelli di terzi, in sede giudiziaria, amministrativa o stragiudiziale, nonché per adempiere a specifiche richieste formulate dall’Autorità giudiziaria o da altre autorità competenti.
La base giuridica del trattamento per questa finalità è il perseguimento del legittimo interesse di ATAC o di terzi ex art. 6, par. 1, lett. f) del GDPR, volto alla tutela dei propri diritti e alla difesa in giudizio. Non Le è richiesto uno specifico conferimento, poiché la Società perseguirà la presente ulteriore finalità, ove necessario, trattando i Dati raccolti per la finalità di cui sopra, ritenuta compatibile con la presente.
Il trattamento dei Suoi dati personali sarà effettuato da ATAC nel rispetto dei principi di liceità, correttezza, trasparenza e minimizzazione previsti dal GDPR. Verranno adottate misure tecniche e organizzative adeguate a garantire la sicurezza, l’integrità e la disponibilità dei dati personali trattati, al fine di prevenire rischi di perdita, accesso non autorizzato, uso illecito o diffusione non consentita, nel rispetto dell’art. 32 del GDPR e di ogni altra normativa applicabile. Le misure saranno costantemente aggiornate in funzione dell’evoluzione tecnologica e delle migliori pratiche di sicurezza.
Le Bodycam vengono attivate manualmente dal personale di ATAC esclusivamente in presenza di situazioni valutate come critiche o potenzialmente rischiose. Una spia luminosa, visibile sul dispositivo, segnala chiaramente l’avvio della registrazione -video. Le Bodycam non effettuano registrazioni in modo continuativo o automatico, ma solo per la durata strettamente necessaria alla gestione dell’evento, includendo un limitato intervallo di pre- e post-registrazione (circa 60–120 secondi) utile a consentire la contestualizzazione dei fatti.
Le registrazioni sono salvate nella memoria interna cifrata della Bodycam e, al termine del turno di servizio, vengono trasferite automaticamente — tramite apposite docking station — su un server centrale sicuro di ATAC, gestito dalla struttura competente. Durante il trasferimento, i dati restano cifrati (standard AES-256) e vengono automaticamente cancellati dalla memoria locale del dispositivo al completamento del caricamento, evitando la conservazione di copie residue su supporti mobili.
Le registrazioni sono conservate in ambienti ad accesso controllato e protetti da credenziali individuali; tutte le operazioni di caricamento, accesso, consultazione e cancellazione sono tracciate e registrate nei log di sicurezza. Non è prevista la sincronizzazione con servizi cloud, né vengono effettuati trattamenti di profilazione o decisioni automatizzate.
Le registrazioni video vengono conservate per un periodo massimo di sette (7) giorni, decorrenti dal completamento del caricamento dalla Bodycam sul server centrale di ATAC. Trascorso tale termine, le registrazioni sono cancellate in modo automatico e non reversibile. Tali registrazioni verranno conservate per un tempo maggiore esclusivamente nei seguenti casi: (i) richieste o ordini dell’Autorità giudiziaria o di altre autorità competenti; (ii) avvio di accertamenti interni; (iii) eventi rilevanti ai fini della tutela dei diritti di ATAC o di terzi (civili, amministrativi o penali) o della ricostruzione dei fatti illeciti in occasione dell’attività di trasporto. In quest’ultimo caso, le sole registrazioni pertinenti all’evento saranno conservate fino a ventiquattro (24) mesi ai sensi dell’art. 2947, comma 2, c.c., fatte salve esigenze di conservazione ulteriori imposte dalla legge o da provvedimenti dell’Autorità giudiziaria.
I dati trattati per la finalità di difesa sub b) saranno conservati per il tempo strettamente necessario a dare corso al procedimento giudiziale, amministrativo o stragiudiziale, fino all’esaurimento dei termini di esperibilità delle azioni di proposizione e/o di impugnazione, ovvero per perseguire la tutela del proprio diritto.
L’accesso ai Suoi dati è consentito esclusivamente a personale ATAC espressamente autorizzato e istruito ex art. 29 del GDPR, mediante credenziali individuali e profili di autorizzazione coerenti con le mansioni. Gli operatori dotati di Bodycam non possono visionare le immagini registrate.
Per lo svolgimento di talune delle attività di trattamento, la Società potrà comunicare i dati a soggetti esterni, quali: a) autorità giudiziaria o altre autorità pubbliche competenti, nei limiti delle richieste o degli obblighi di legge; b) soggetti esterni che forniscono servizi tecnici e organizzativi connessi al funzionamento delle Bodycam o alla gestione delle infrastrutture (ad es. manutenzione, storage, cancellazione sicura); c) la compagnia assicuratrice eventualmente competente in caso di richieste risarcitorie, limitatamente alle registrazioni strettamente pertinenti all’evento e previo oscuramento dei soggetti terzi non coinvolti. I dati non sono diffusi. A seconda dei casi, tali soggetti esterni tratteranno i dati personali in qualità di titolari autonomi del trattamento oppure in qualità di responsabili del trattamento, debitamente nominati da ATAC ex art. 28 del GDPR.
I dati saranno trattati principalmente all’interno dello Spazio Economico Europeo (SEE). Tuttavia, l’utilizzo di taluni strumenti da parte di ATAC può comportare, ancorché in via residuale, un trasferimento degli stessi a soggetti stabiliti in paesi che non appartengono all’Unione Europea (UE) o allo SEE (di seguito i “Paesi Terzi”). Tale trasferimento, in ogni caso, è svolto in ottemperanza a quanto previsto dal Capo V del GDPR.
L’elenco aggiornato dei responsabili del trattamento e degli eventuali titolari autonomi potrà essere richiesto in qualsiasi momento al Titolare, che provvederà a renderlo disponibile.
I Suoi Dati non saranno diffusi.
Lei può, in qualsiasi momento, esercitare i diritti previsti dagli artt. da 15 a 22 del GDPR, rivolgendosi al Titolare o al Responsabile della protezione dei dati per chiedere:
Diritto di opposizione: oltre ai diritti sopra elencati, Lei ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla Sua situazione particolare, al trattamento dei dati personali che La riguardano da parte di ATAC per il perseguimento del proprio legittimo interesse.
Lei potrà esercitare i Suoi diritti compilando e inviando il modulo disponibile al seguente link, oppure scrivendo all’indirizzo e-mail protocollo@cert2.atac.roma.it o, in alternativa, tramite raccomandata A/R all’indirizzo della sede legale di ATAC (si vedano i dati di contatto di cui al precedente paragrafo 1).
Nel caso ritenga che il trattamento dei dati personali a Lei riferiti avvenga in violazione di quanto previsto dal GDPR ha il diritto di proporre reclamo al Garante per la protezione dei dati personali, utilizzando i riferimenti disponibili nel sito internet www.garanteprivacy.it