Viaggiatori privi di titolo di trasporto valido – controllo della banca dati delle FFS

Nell’anno in rassegna abbiamo controllato la prassi delle FFS in materia di trattamento dei dati relativi a viaggiatori privi di titolo di trasporto valido ed abbiamo constatato l’assenza di un specifica base legale formale. Per colmare tale lacuna, L’Ufficio federale dei trasporti si è detto disposto ad avviare il necessario iter legislativo. Al momento dei nostri controlli sul posto le FFS non avevano ancora proceduto alla prevista cancellazione dei dati dal loro sistema d’informazione. Nel frattempo hanno però elaborato un piano che ci è stato sottoposto per verifica.

Nell'anno in rassegna ci sono pervenute diverse richieste di chiarimento circa il trattamento dei dati raccolti dalle FFS riguardanti viaggiatori senza titolo di trasporto valido. L'argomento è stato anche oggetto di diversi articoli di stampa. Poiché i dati raccolti concernono anche i viaggiatori che hanno dimenticato il proprio abbonamento, la questione interessa numerose persone, cosicché abbiamo proceduto a un controllo.

Le FFS trattano i dati relativi ai viaggiatori senza titolo di trasporto valido nel sistema d'informazione RogF, che ha la propria base giuridica nella legge sul trasporto di viaggiatori (LTV) e nelle tariffe delle imprese svizzere di trasporto. Nella Tariffa 600 figurano le condizioni generali per il trasporto di persone; nella Tariffa 600.5 le direttive per l'iter da seguire in caso di viaggiatori senza titolo di trasporto valido. Anche quest'ultima si basa sostanzialmente sulla legge sul trasporto di viaggiatori, secondo la quale il viaggiatore che non presenta un titolo di trasporto valido deve pagare un supplemento, maggiorabile in caso di recidiva. Le FFS, che hanno elaborato delle istruzioni per l'intero gruppo riguardanti la protezione dei dati, ci hanno illustrato quali dati sono trattati nel sistema RogF e per quali scopi; tuttavia, dettagli come, ad esempio, le finalità, le categorie di dati, l'accesso ai dati e la loro cancellazione non sono definiti in modo chiaro né in una base legale, né in un documento interno dell'impresa.

Stando a quanto affermato dalle FFS, la prassi in materia di trattamento dei dati è la seguente: l'agente scortatreno effettua i suoi controlli con un dispositivo mobile. Tra il dispositivo mobile e la banca dati non sussiste un collegamento online in tempo reale, cosicché l'agente riversa nella banca dati RogF i dati rilevati (riguardanti i viaggiatori senza titolo di trasporto valido) a fine turno. Per i viaggiatori privi di titolo di trasporto, l'agente compila inoltre il modulo 7000, che funge da titolo di viaggio e che le FFS scansionano e conservano nel sistema. Il modulo in questione è rilasciato al passeggero che dimentica il proprio abbonamento (ad es. l'abbonamento generale) e non è in grado di comprovare la propria identità o che esibisce il titolo di trasporto ma non ha con sé l'abbonamento a metà prezzo. In entrambi i casi il passeggero ha dieci giorni di tempo per presentare il proprio abbonamento ed ottenere così l'archiviazione della pratica.

In quanto titolari di una concessione federale, le FFS agiscono in qualità di organo federale secondo la definizione della legge sulla protezione dei dati. Possono dunque trattare dati personali solo se esiste una base legale. Nel caso di dati personali degni di particolare protezione deve trattarsi di una base legale in senso formale (ad es. una legge federale adottata dal Parlamento). La LPD disciplina la riscossione del supplemento, ma non contempla disposizioni sul sistema d'informazione. Stabilisce inoltre che dati personali particolarmente sensibili possono essere trattati anche in assenza di una base legale, solo se eccezionalmente ciò è indispensabile per l'adempimento di un compito chiaramente definito in una legge in senso formale. Siamo giunti alla conclusione che le FFS necessitano di un sistema d'informazione per adempiere i compiti sanciti per legge, in particolare per maggiorare il supplemento in caso di recidiva. Tuttavia, un tale trattamento di dati può basarsi sulla legge sulla protezione dei dati solo in casi eccezionali, e il caso in questione non rappresenta un'eccezione.

Vista la chiara definizione del mandato legale nella LPD, abbiamo comunque deciso di non vietare il sistema d'informazione RogF fino all'introduzione di una base legale. La base attuale resta tuttavia lacunosa e il sistema potrà continuare ad essere utilizzato solo per un periodo di tempo limitato. Occorre procedere speditamente alla messa a punto del necessario assetto legale. Ovviamente, non abbiamo potuto chiedere alle FFS di provvedervi perché esse non possono avviare un iter legislativo. Possono però sollecitare l'Ufficio federale dei trasporti (UFT) a farlo. Abbiamo dunque proposto alle FFS di comunicarci, di concerto con l'UFT, se e quando i passi necessari alla creazione della base legale per operare con tali sistemi d'informazione sarebbero stati avviati. Allo stesso tempo ci siamo riservati il diritto di raccomandare alle FFS di rinunciare al trattamento dei dati nel sistema in questione, se la situazione non fosse evoluta in questa direzione. Nell'attesa della pertinente base legale abbiamo suggerito alle FFS di definire i dettagli del trattamento dei dati in istruzioni o direttive.

Inizialmente le FFS avevano previsto, come regola generale, di cancellare i dati contenuti nel RogF dopo due anni. Da controlli effettuati sul posto è tuttavia emerso che ancora nessun dato è stato cancellato e che anzi alcuni risalgono al 1999 e al 2000. Si tratta di una prassi che viola il principio di proporzionalità. Al momento dei nostri controlli le FFS stavano elaborando un piano volto a stabilire quali dati conservare, per quanto tempo e a quale scopo e come procedere concretamente alla loro soppressione. Abbiamo quindi consigliato alla società di mettere a punto il piano entro la fine del 2012, di sottoporcelo e di procedere alla cancellazione dei dati non più necessari. Al momento delle nostre verifiche, dalla banca dati non risultavano cancellati neppure i moduli 7000, alcuni dei quali risalenti ancora al 2006. Anche in questo caso, abbiamo raccomandato alle FFS di procedere come per la cancellazione dei dati nel RogF. Abbiamo infine formulato raccomandazioni circa l'elaborazione di un regolamento riguardante il trattamento dei dati nel sistema d'informazione e la creazione di password.

Le FFS hanno preso atto delle nostre proposte e raccomandazioni e l'UFT ci ha comunicato di aver avviato l'iter per la creazione della necessaria base legale. Nel frattempo abbiamo anche ricevuto il piano per la cancellazione dei dati e il regolamento sul trattamento dei dati nel sistema d'informazione. Li esamineremo e seguiremo da vicino i lavori sul piano legislativo.

https://www.edoeb.admin.ch/content/edoeb/it/home/documentazione/rapporti-d-attivita/20--rapporto-d-attivita-2012-2013/viaggiatori-privi-di-titolo-di-trasporto-valido--controllo-della.html