ATAC S.p.A. – Azienda per la Mobilità, in qualità di titolare del trattamento, informa l’utente/passeggero (di seguito, l’“Utente” o anche l’“Interessato”) che utilizza il servizio di Trasporto Pubblico Locale di Roma Capitale a chiamata reso disponibile tramite l’app “ClicBus Atac” (di seguito, “ClicBus Atac” o anche solo l’“App”) e/o tramite il call center di ATAC (di seguito, il “Servizio a chiamata” o anche solo il “Servizio”) che i dati personali saranno trattati per le finalità e secondo le modalità di seguito descritte.
Il titolare del trattamento è ATAC S.p.A. – Azienda per la Mobilità, con sede legale in Via Prenestina, 45 – 00176 Roma, Codice Fiscale e Partita IVA 06341981006 (di seguito, “ATAC” o il “Titolare”), contattabile tramite raccomandata con avviso di ricevimento (A/R) presso la predetta sede ovvero all’indirizzo di posta elettronica certificata (PEC) protocollo@cert2.atac.roma.it.
ATAC ha nominato il Responsabile della protezione dei dati personali (“RPD” o “DPO”), contattabile all’indirizzo e-mail responsabileprotezionedati@atac.roma.it.
I dati personali, di seguito indicati, sono raccolti, a seconda dei casi, direttamente presso l’Interessato, sia tramite l’App, attraverso i form per la creazione dell’account e per la prenotazione, modifica o cancellazione della corsa, sia per il tramite degli operatori del call center ATAC, che inseriscono nel sistema i dati di prenotazione per conto dell’Utente.
I dati personali sono inoltre raccolti dal dispositivo dell’Interessato, nei limiti delle autorizzazioni eventualmente concesse, ad esempio per l’utilizzo della geolocalizzazione finalizzata a facilitare l’individuazione del punto di partenza, nonché generati dal funzionamento della piattaforma e dall’esecuzione del Servizio, con particolare riferimento allo stato della prenotazione, agli orari, a eventuali no-show o cancellazioni tardive e ai dati tecnici e di utilizzo strettamente connessi al Servizio a chiamata.
ClicBus Atac non è destinato a soggetti minori di 14 anni di età. Eventuali richieste di prenotazione o fruizione del Servizio a chiamata riferite a un minore devono essere effettuate dal genitore o dal tutore legale, che opera nell’interesse del minore e inserisce esclusivamente i dati strettamente necessari alla gestione del Servizio e all’erogazione della corsa richiesta.
A seconda delle finalità di trattamento indicate nel successivo paragrafo, ATAC può trattare le seguenti categorie di dati personali dell’Utente:
a) Dati identificativi e di contatto: nome, cognome, numero di telefono, indirizzo e-mail, nonché dati di autenticazione e verifica utilizzati per la creazione e gestione dell’account e per l’accesso al servizio, quali il codice One-Time Password (OTP).
b) Dati relativi alla prenotazione e alla gestione della corsa: punto di partenza e destinazione della corsa, indirizzi o punti di interesse selezionati, eventuali preferiti o pin inseriti sulla mappa dell’area di servizio, data e ora della corsa, tipologia della richiesta (ad esempio corsa immediata o prenotazione anticipata), stato della prenotazione, eventuali modifiche, cancellazioni, no-show, cancellazioni tardive, nonché dati relativi all’esecuzione della corsa, quali orario effettivo di partenza ed eventuali anomalie operative;
c) Dati tecnici e di utilizzo dell’App: informazioni generate dall'utilizzo dell'applicazione e funzionali al suo esercizio, al sistema operativo, alla versione dell’App.
d) Log di accesso e di sistema: le registrazioni tecniche degli accessi, degli eventi e delle operazioni rilevanti sull'App e sul sistema.
e) Dati relativi all’ubicazione/geolocalizzazione: dati di localizzazione del dispositivo dell’Utente, trattati solo ove l’Interessato abbia abilitato la relativa funzione sul proprio dispositivo e nei limiti di quanto necessario a facilitare l’individuazione del punto di partenza o a consentire le funzionalità basate sulla posizione rese disponibili dal servizio.
Qualora, in casi specifici connessi alla richiesta del Servizio, l’Utente comunichi ad ATAC dati personali riferiti a soggetti terzi, lo stesso si impegna a farlo nel rispetto della normativa applicabile e a informare tali soggetti del trattamento dei dati personali nei termini previsti dalla presente informativa.
Le categorie particolari di dati ai sensi dell’art. 9 del GDPR (di seguito, le “Categorie particolari di dati”) sono trattate esclusivamente, ove necessario, nell’ambito dell’erogazione del Servizio a chiamata, limitatamente alle informazioni comunicate dall’Interessato relative a esigenze di assistenza per persone a mobilità ridotta, nella misura in cui tali dati siano necessari a garantire il livello di assistenza richiesto.
(di seguito, i “Dati personali comuni”, congiuntamente con le “Categorie particolari di dati”, anche solo i “Dati”).
ATAC tratta i dati dell’Interessato per una o più delle seguenti finalità, secondo le corrispondenti basi giuridiche di seguito indicate.
ATAC tratta i Dati identificativi e di contatto e, nei limiti strettamente necessari, i Dati tecnici e di utilizzo dell’App e del Servizio al fine di consentire la registrazione a ClicBus Atac e per la gestione dell’account personale, per l’accesso all’area riservata, per l’autenticazione dell’Utente e per la fruizione continuativa delle funzionalità del Servizio, anche per il tramite del call center. ATAC tratta, inoltre, tali dati per l’invio di comunicazioni operative e ricorrenti strettamente connesse all’account e alla sua sicurezza, nonché di comunicazioni necessarie a completare l’accesso o a garantire la corretta fruizione delle funzionalità dell’App (ad es. codici One-Time Password (OTP), conferme tecniche, avvisi di sicurezza). Rientrano in tale finalità anche le attività strettamente necessarie alla gestione tecnica e amministrativa dell’account, ivi comprese le richieste di cancellazione dello stesso.
Ove l’Interessato inserisca, in fase di creazione dell’account, informazioni relative a esigenze di assistenza per persone a mobilità ridotta, ATAC tratterà altresì le Categorie particolari di dati al fine di registrare tale informazione per l’erogazione del Servizio con il livello di assistenza richiesto.
Base giuridica: per i Dati identificativi e di contatto e per i Dati tecnici e di utilizzo dell’App e del Servizio, esecuzione di un contratto o di misure precontrattuali adottate su richiesta dell’Interessato ex art. 6, par. 1, lett. b) del GDPR. Ove siano trattate Categorie particolari di dati relative a esigenze di assistenza per persone a mobilità ridotta, la base giuridica è l’esecuzione di un compito di interesse pubblico ai sensi dell’art. 6, par. 1, lett. e) del GDPR, in combinazione con l’art. 2-ter, comma 1-bis, del d.lgs. 30 giugno 2003, n. 196 e ss. mm. (“Codice Privacy”), nonché, per quanto concerne la Categoria particolare di dati, l’art. 9, par. 2, lett. g) del GDPR, in combinazione con l’art. 2-sexies, comma 1 e 2, lett. aa), del Codice Privacy, nel quadro degli obblighi di non discriminazione e assistenza previsti dagli artt. 9, 13 e 14 del Regolamento europeo (UE) n. 181/2011. Il conferimento dei dati è necessario per creare l’account ClicBus Atac e per la fruizione del Servizio; in mancanza, ATAC non potrà consentire la creazione dell’account né l’utilizzo del Servizio a chiamata. Il conferimento della Categoria particolare di dati, in fase di creazione dell’account, è facoltativo poiché, in difetto, l’Utente potrà conferire tale dato in occasione della singola prenotazione al fine di ottenere l’assistenza richiesta.
ATAC tratta i Dati identificativi e di contatto e i Dati relativi alla prenotazione e alla gestione della corsa al fine di consentire la prenotazione della stessa, la successiva eventuale modifica o cancellazione, la gestione operativa della richiesta di trasporto, l’assegnazione del veicolo, l’esecuzione della corsa e, più in generale, l’erogazione del Servizio lungo l’intero ciclo di utilizzo. ATAC tratta, inoltre, tali dati per l’invio di comunicazioni strettamente connesse alla specifica corsa prenotata e alla sua esecuzione, quali, a titolo esemplificativo, notifiche e promemoria relativi alla corsa, avvisi su variazioni, ritardi, annullamenti, mancata erogazione del Servizio o altre anomalie operative. Ove l’Interessato abiliti la geolocalizzazione sul proprio dispositivo, ATAC tratterà altresì i Dati relativi all’ubicazione/geolocalizzazione esclusivamente nei limiti strettamente necessari a facilitare l’individuazione del punto di partenza o a consentire le funzionalità del Servizio basate sulla posizione richieste dall’Utente. Ove l’Interessato inserisca facoltativamente, in fase di prenotazione, informazioni relative a esigenze di assistenza per persone a mobilità ridotta, ATAC tratterà altresì le Categorie particolari di dati nella misura in cui ciò sia necessario a garantire l’erogazione del Servizio con il livello di assistenza richiesto.
Base giuridica: per i Dati identificativi e di contatto, i Dati relativi alla prenotazione e alla gestione della corsa e, ove abilitati dall’Utente, i Dati relativi all’ubicazione/geolocalizzazione, esecuzione di un contratto o di misure precontrattuali adottate su richiesta dell’Interessato ai sensi dell’art. 6, par. 1, lett. b) del GDPR, in quanto il trattamento è relativo alla fornitura del Servizio e delle specifiche funzioni richieste. Ove siano trattate Categorie particolari di dati relative a esigenze di assistenza per persone a mobilità ridotta, la base giuridica è l’esecuzione di un compito di interesse pubblico ai sensi dell’art. 6, par. 1, lett. e) del GDPR, in combinazione con l’art. 2-ter, comma 1-bis, del Codice Privacy, nonché, per quanto concerne le Categorie particolari di dati, l’art. 9, par. 2, lett. g) del GDPR, in combinazione con l’art. 2-sexies, comma 1 e 2, lett. aa), del Codice Privacy, nel quadro degli obblighi di non discriminazione e assistenza previsti dagli artt. 9, 13 e 14 del Regolamento europeo (UE) n. 181/2011. Il conferimento dei dati è necessario per consentire la prenotazione della corsa e la successiva eventuale modifica o cancellazione; in mancanza, ATAC non potrà consentire l’utilizzo del Servizio. Il conferimento delle Categorie particolari di dati, in fase di prenotazione, è facoltativo poiché, in difetto, l’Utente potrà comunque usufruire del Servizio, ma non potrà ricevere l’assistenza per persone a mobilità ridotta richiesta.
ATAC tratta i Dati identificativi e di contatto al fine di inviare all’Utente comunicazioni informative generali relative al Servizio e, più in generale, alla mobilità nelle aree servite, non strettamente connesse a una specifica corsa prenotata, quali, a titolo esemplificativo, informazioni su modifiche programmate del Servizio, sospensioni o limitazioni temporanee, variazioni delle modalità di prenotazione o fruizione, criticità della viabilità, deviazioni, aggiornamenti organizzativi o altre circostanze idonee a incidere sulla regolare operatività e sulla fruizione del Servizio.
Base giuridica: il legittimo interesse di ATAC ex art. 6, par. 1, lett. f) del GDPR, consistente nell’informare tempestivamente l’Utente fruitore del Servizio in merito a circostanze generali suscettibili di incidere su ClicBus Atac. L’Interessato ha il diritto di opporsi in qualsiasi momento a tale trattamento ai sensi dell’art. 21 del GDPR. Non è richiesto uno specifico conferimento, poiché ATAC tratterà, nei limiti di necessità, i dati già raccolti anche per tale ulteriore finalità, in quanto connessa e compatibile con le finalità originarie.
ATAC tratta i Dati identificativi e di contatto, i Dati relativi alla prenotazione e alla gestione della corsa e gli Ulteriori dati di profilo e preferenze, limitatamente ai dati di feedback o gradimento del Servizio, al fine di rilevare il livello di soddisfazione dell’Utente rispetto al Servizio fruito, anche mediante sondaggi, richieste di feedback, questionari o altri strumenti di customer satisfaction, nonché di utilizzare le informazioni raccolte per migliorare la qualità del Servizio.
Base giuridica: il legittimo interesse di ATAC ex art. 6, par. 1, lett. f) del GDPR, consistente nel verificare il grado di soddisfazione dell’Utente e per migliorare la qualità del Servizio. Il conferimento dei dati per tale finalità è facoltativo; il mancato conferimento non pregiudica la registrazione né la fruizione del Servizio. L’Interessato ha il diritto di opporsi in qualsiasi momento a tale trattamento ai sensi dell’art. 21 del GDPR.
ATAC tratta i Dati identificativi e di contatto, i Dati relativi alla prenotazione e alla gestione della corsa e i Dati tecnici e di utilizzo dell’App e del Servizio al fine di assicurare l’analisi dell’andamento del Servizio stesso, l’elaborazione di reportistica operativa e statistica, la verifica dei volumi, il supporto alle scelte organizzative e di pianificazione, nonché la gestione dei no-show, delle cancellazioni tardive e la prevenzione di utilizzi impropri o elusivi del Servizio. In tale ambito rientrano anche la consultazione, l’estrazione e l’analisi dei dati di servizio mediante gli strumenti messi a disposizione dalla piattaforma, nonché l’eventuale adozione di misure organizzative connesse a ripetuti episodi di mancata presentazione dell’Utente.
Base giuridica: il legittimo interesse di ATAC ex art. 6, par. 1, lett. f) del GDPR, consistente nel garantire il corretto funzionamento, l’affidabilità, l’efficienza, la sostenibilità organizzativa e il miglioramento del Servizio. Non è richiesto uno specifico conferimento, poiché ATAC tratterà, nei limiti di necessità, dati già raccolti anche per tale ulteriore finalità, in quanto connessa e compatibile con le finalità originarie. L’Interessato ha il diritto di opporsi in qualsiasi momento a tale trattamento ai sensi dell’art. 21 del GDPR.
Previo specifico consenso dell’Interessato, ATAC tratterà i Dati identificativi e di contatto e i Dati relativi alla prenotazione e alla gestione della corsa al fine di inviare newsletter e comunicazioni promozionali o commerciali relative a iniziative, servizi, agevolazioni, campagne o altre opportunità riferibili ad ATAC.
L’invio di tali comunicazioni potrà avvenire mediante modalità automatizzate di contatto (quali, a titolo esemplificativo, posta elettronica, Short Message Service (SMS), notifiche push, sistemi di instant messaging o altri strumenti di messaggistica massiva eventualmente utilizzati da ATAC) e, ove previste, mediante modalità tradizionali di contatto.
Base giuridica: consenso dell’Interessato ex art. 6, par. 1, lett. a) del GDPR. Il conferimento dei dati per tale finalità è facoltativo e il mancato rilascio del consenso non pregiudica la registrazione né la fruizione del Servizio. Il consenso può essere revocato in qualsiasi momento, senza pregiudicare la liceità del trattamento effettuato prima della revoca. L’Interessato potrà inoltre opporsi in ogni momento al ricevimento di comunicazioni promozionali attraverso tutte o solo alcune delle modalità di contatto sopra indicate.
ATAC tratta i Dati dell’Interessato al fine di adempiere agli obblighi cui è tenuta in forza della normativa applicabile, ivi inclusi gli obblighi previsti da leggi, regolamenti, normativa europea e nazionale in materia di trasporto pubblico e diritti dei passeggeri, nonché per dare esecuzione a disposizioni, richieste, ordini o provvedimenti provenienti da Autorità pubbliche, organi di vigilanza e controllo o altri soggetti a ciò legittimati dalla legge.
Base giuridica: adempimento di un obbligo legale al quale è soggetta ATAC ex art. 6, par. 1, lett. c) del GDPR. Ove, in tale contesto e nei casi previsti dalla normativa applicabile, siano trattate Categorie particolari di dati, il trattamento avverrà ai sensi dell’art. 9, par. 2, lett. g) del GDPR, in combinazione con l’art. 2-sexies del Codice Privacy. Il conferimento dei dati è necessario nei limiti in cui il trattamento sia richiesto per l’adempimento del relativo obbligo legale; in mancanza, ATAC non sarà in grado di adempiere correttamente agli obblighi cui è soggetta.
ATAC tratta i Dati al fine di gestire reclami, contestazioni, segnalazioni, sinistri o altri eventi dannosi verificatisi nell’ambito dell’erogazione del Servizio, nonché per prevenire, individuare e contrastare eventuali condotte abusive, fraudolente o elusive nell’utilizzo di ClicBus Atac, dell’account Utente, del sistema di prenotazione e delle funzionalità connesse al Servizio, nonché per accertare, esercitare o difendere un proprio diritto o un diritto di terzi in sede giudiziaria, amministrativa, stragiudiziale o assicurativa.
Base giuridica: il legittimo interesse di ATAC ex art. 6, par. 1, lett. f) del GDPR, consistente nella gestione dei reclami, dei sinistri e del contenzioso, nella prevenzione e nel contrasto di utilizzi abusivi, fraudolenti o elusivi del Servizio, nonché nella difesa dei diritti di ATAC o di terzi. Ove, in tale contesto, siano trattate Categorie particolari di dati, il trattamento avviene, nei limiti di stretta necessità, ai sensi dell’art. 9, par. 2, lett. f) del GDPR. Non è richiesto uno specifico conferimento, poiché ATAC tratterà, nei limiti di necessità, i Dati già raccolti anche per tale ulteriore finalità, in quanto connessa alle finalità originarie o imposta dalla normativa applicabile.
ATAC tratta i Dati prevalentemente con strumenti informatici, telematici e, ove necessario, anche mediante modalità telefoniche, secondo logiche strettamente correlate alle finalità indicate nel precedente paragrafo 4 e nel rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione, esattezza, integrità e riservatezza previsti dal GDPR. Il trattamento è effettuato in modo da limitare l’utilizzo dei Dati a quanto strettamente necessario rispetto a ciascuna finalità perseguita.
I Dati possono essere trattati sia tramite l’App “ClicBus Atac” sia per il tramite del call center, nonché mediante la piattaforma applicativa e gli strumenti utilizzati per la gestione operativa del Servizio a chiamata. ATAC adotta misure tecniche e organizzative adeguate a garantire la sicurezza dei Dati e a prevenire accessi non autorizzati, perdita, distruzione, divulgazione indebita o usi illeciti degli stessi.
I Dati possono essere trattati, per conto di ATAC e nei limiti delle rispettive competenze, da personale interno espressamente autorizzato e istruito ai sensi dell’art. 29 del GDPR, ivi compresi, in particolare, gli operatori del call center e il personale incaricato delle attività di centrale operativa e di gestione del Servizio. Per il perseguimento delle finalità indicate nella presente informativa, i Dati possono inoltre essere comunicati, nei limiti di stretta necessità, alle seguenti categorie di soggetti: fornitori di servizi informatici, telematici, applicativi, di hosting, manutenzione, assistenza e supporto operativo al Servizio a chiamata; soggetti che supportano ATAC nelle attività di call center, customer satisfaction, invio di comunicazioni, sicurezza, reportistica e gestione delle piattaforme digitali; consulenti, legali, studi professionali, periti, broker, compagnie assicurative e altri soggetti coinvolti, a vario titolo, nella gestione di reclami, contestazioni, sinistri, attività antifrode, contenziosi o nella difesa dei diritti di ATAC o di terzi.
I Dati possono inoltre essere comunicati ad Autorità pubbliche, organi di vigilanza e controllo, enti pubblici, soggetti istituzionali o altri soggetti legittimati, nei casi previsti dalla legge, da regolamenti o da provvedimenti dell’Autorità competente, nonché quando la comunicazione sia necessaria per adempiere a obblighi legali o per dare seguito a richieste, ordini o prescrizioni legittimamente impartiti.
Tali soggetti trattano i Dati, a seconda dei casi, in qualità di responsabili del trattamento nominati ai sensi dell’art. 28 del GDPR oppure di autonomi titolari del trattamento. L’elenco aggiornato dei responsabili del trattamento può essere richiesto in qualsiasi momento al Titolare ai recapiti indicati nel paragrafo 1.
I Dati non sono diffusi.
I Dati sono trattati principalmente all’interno dello Spazio Economico Europeo (SEE). Tuttavia, l’utilizzo di taluni strumenti e/o fornitori può comportare, in via residuale, trasferimenti di Dati verso Paesi non appartenenti all’Unione europea o allo SEE. Tali Paesi comprendono, in particolare, Stati Uniti, Israele e Regno Unito. In tali casi, il trasferimento avviene nel rispetto del Capo V del GDPR, sulla base di una decisione di adeguatezza, ove esistente, oppure mediante l’adozione di garanzie appropriate, quali le Clausole Contrattuali Standard approvate dalla Commissione europea, integrate, ove necessario, da misure supplementari idonee a garantire un livello di protezione sostanzialmente equivalente a quello previsto nell’Unione europea.
ATAC conserva i Dati per un periodo di tempo non superiore a quello necessario al perseguimento delle finalità per le quali sono raccolti e trattati, nel rispetto del principio di limitazione della conservazione di cui all’art. 5, par. 1, lett. e) del GDPR. Decorso il periodo di conservazione applicabile, i Dati sono cancellati o anonimizzati in modo irreversibile, salvo che la loro ulteriore conservazione sia necessaria per adempiere a obblighi di legge, per dare esecuzione a richieste dell’Autorità competente o per accertare, esercitare o difendere un diritto in sede giudiziaria, amministrativa o stragiudiziale. In ogni caso, per ragioni tecniche, la cessazione del trattamento e la conseguente cancellazione definitiva o anonimizzazione irreversibile dei Dati Personali potrà essere completata entro 7 giorni dalla data di richiesta o nel maggior tempo tecnico eventualmente necessario.
Qui di seguito si riportano i tempi di conservazione in relazione alle differenti finalità sopra elencate:
L’Interessato può, in qualsiasi momento, esercitare i diritti previsti dagli artt. da 15 a 22 del GDPR, rivolgendosi ad ATAC per chiedere:
Diritto di opposizione: oltre ai diritti sopra elencati, l’Interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali per il perseguimento del legittimo interesse del Titolare e per il trattamento effettuato per finalità di marketing.
L’Interessato potrà esercitare i predetti diritti compilando e inviando il modulo disponibile al seguente link, oppure scrivendo all’indirizzo di posta elettronica certificata (PEC) protocollo@cert2.atac.roma.it o, in alternativa, tramite raccomandata con avviso di ricevimento (A/R) all’indirizzo della sede legale di ATAC (si vedano i dati di contatto di cui al precedente paragrafo 1).
Nel caso ritenga che il trattamento dei dati personali avvenga in violazione di quanto previsto dal GDPR, l’Interessato ha il diritto di proporre reclamo al Garante per la protezione dei dati personali, utilizzando i riferimenti disponibili nel sito internet www.garanteprivacy.it, o di adire le opportune sedi giudiziarie.