[doc. web n. 1901713]

Ordinanza di ingiunzione nei confronti di Lemca S.r.l. - 17 novembre 2011

Registro dei provvedimenti
n. 432 del 17 novembre 2011

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele De Paoli, segretario generale;

ESAMINATI il verbale di operazioni compiute del 6 ottobre 2009 e il verbale di contestazione per violazione amministrativa redatto in data 12 novembre 2009 nei confronti di Lemca S.r.l., con sede in Bologna, via C. Battisti n. 2, in persona del legale rappresentante pro tempore, per la violazione dell´articolo 33 del d. lgs. 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito denominato "Codice"), che qui si intendono integralmente richiamati;

VISTO lo scritto difensivo inviato ai sensi dell´art. 18 della legge n. 689/1981 nel quale la società ha rappresentato:

a) circa la designazione per iscritto degli incaricati del trattamento, che:

- "la Società L.E.M.C.A. S.r.l. aveva individuato oralmente i propri dipendenti quali incaricati del trattamento dei dati e li aveva costantemente informati e aggiornati, in forma orale, sulle modalità del trattamento, le misure e gli accorgimenti opportuni da adottare per evitare i rischi indicati dalla legge fra cui quello di distruzione, perdita anche accidentale dei dati, accessi non autorizzati e, in generale, sulla sicurezza dei dati";

b) con riferimento alla composizione delle credenziali di autenticazione e all´aggiornamento delle password, che:

"il sistema adottato dalla Società L.E.M.C.A. S.r.l. consentiva già da data precedente alla prima ispezione della Guardia di Finanza, effettuata il 6 ottobre 2009, l´inserimento, conformemente alle disposizioni di legge, di 8 caratteri alfanumerici. A tal riguardo si ribadisce, altresì, che solo alcuni soggetti incaricati del trattamento, contrariamente alle istruzioni operative loro fornite dal titolare del trattamento, avevano inserito sei caratteri alfanumerici. Si evidenzia, infine, che la sostituzione automatica delle credenziali non è un requisito di legge: ciononostante, la Società L.E.M.C.A. S.r.l. già il giorno successivo all´ispezione ha provveduto ad integrare il sistema in tal senso";

RITENUTO che le argomentazioni addotte non risultano idonee ad escludere la responsabilità amministrativa in ordine a quanto contestato in quanto:

a) con riferimento alla violazione dell´art. 33 del Codice, risulta accertato in atti che la società non ha provveduto alla designazione degli incaricati del trattamento ai sensi dell´art. 30 del Codice, con ciò determinando la mancata applicazione di quella parte di misure minime di sicurezza che il Codice riconduce all´attività degli incaricati del trattamento medesimo. Al riguardo è opportuno sottolineare che la designazione degli incaricati del trattamento non costituisce un mero adempimento formale, ma si configura come atto presupposto indispensabile per l´applicazione della parte più significativa delle misure di sicurezza da adottarsi per il trattamento dei dati personali ed è strettamente correlata all´attività degli incaricati del trattamento (ovvero di coloro che ordinariamente operano sui dati personali), mirando a fornire agli stessi le istruzioni da seguire per il corretto trattamento dei dati; per tali ragioni, la mancata designazione per iscritto degli incaricati, ai sensi dell´art. 30, determina la mancata applicazione di tutte quelle misure minime di sicurezza, di cui all´art. 33 e seguenti, che il disciplinare tecnico (allegato B al Codice) riconduce all´attività degli incaricati del trattamento medesimo (regole nr. 1-10; 12-14; 15 e 17 dell´allegato B) e comporta, quindi, l´applicazione della sanzione di cui all´art. 162, comma 2- bis, del Codice;

b) con particolare riferimento alla composizione della parola chiave e all´aggiornamento della stessa, la regola n. 5 del disciplinare tecnico (allegato B al Codice) prevede che la parola chiave, quando è prevista dal sistema di autenticazione, debba essere composta da almeno otto caratteri e, nel caso di specie, dagli atti si rileva che le password erano composte da sei caratteri; in merito all´aggiornamento della password, inoltre, la stessa regola n. 5 prevede che la parola chiave venga aggiornata almeno ogni sei mesi e, dall´accertamento effettuato, non risulta che fosse stato previsto alcun aggiornamento della stessa;

RILEVATO che l´attività svolta dalla società configura un trattamento di dati personali (art. 4, comma 1, lett. a) e b), del Codice) per il quale dovevano essere assolti gli obblighi di cui all´art. 33 del Codice;

VISTO l´art. 162, comma 2-bis, del Codice, nella formulazione successiva alla modifica apportata con la legge 20 novembre 2009, n. 166, che punisce la violazione delle misure indicate nell´art. 33 del Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

RITENUTO che, nel caso in cui l´infrazione non abbia caratterizzazioni specifiche che possano portare a valutazioni di maggiore o minor rigore, nella determinazione della sanzione può ritenersi corretta l´individuazione di un importo pari al terzo del massimo o, se più favorevole, al doppio del minimo, in linea con quanto previsto dall´art. 16 della L. n. 689/1981, ferma restando la valutazione degli ulteriori elementi previsti dall´art. 11 della medesima legge [cfr. Cass. civ., sez. I, 4 novembre 1998, n. 11054];

CONSIDERATO che, nel caso in esame:

a) la violazione delle misure minime di sicurezza, pur non presentando caratteristiche particolari per quanto riguarda l´intensità dell´elemento psicologico, riguarda tre diversi aspetti relativi alla designazione degli incaricati, la “lunghezza” delle password e la loro mancata scadenza periodica;

b) ai fini della valutazione dell´opera svolta dall´agente, deve essere favorevolmente apprezzato il comportamento della società che ha provveduto, prontamente e ancor prima che le fossero impartite le prescrizioni ai sensi dell´art. 169, comma 2 del Codice, all´effettuazione degli adempimenti in precedenza omessi, rimuovendo le cause della violazione contestata;

c) circa la personalità dell´autore della violazione, deve essere positivamente considerata la circostanza che la società non risulti avere precedenti specifici in termini di violazioni alle disposizioni del Codice;

d) in merito alle condizioni economiche dell´agente, invece, al fine di commisurare l´importo della sanzione alla reale capacità economica del trasgressore nel rispetto del principio di uguaglianza, devono essere apprezzati in termini di aumento della sanzione gli elementi desumibili dal bilancio d´esercizio della società per l´anno 2010, individuati nel volume d´affari realizzato dalla società;

RITENUTO di dover determinare, ai sensi dell´art. 11 della L. n. 689/1981, l´ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura pari a euro 30.000,00 (trentamila);

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il dott. Giuseppe Fortunato;

ORDINA

a Lemca S.r.l., con sede in Bologna, via C. Battisti n. 2, in persona del legale rappresentante pro tempore, di pagare la somma di euro 30.000,00 (trentamila) a titolo di sanzione amministrativa pecuniaria per la violazione dell´art. 162, comma 2-bis del Codice, come determinata in motivazione;

INGIUNGE

alla medesima società di pagare la somma di euro 30.000,00 (trentamila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento.

Avverso il presente provvedimento, ai sensi dell´art. 152 del Codice, può essere proposta opposizione davanti al tribunale ordinario del luogo ove ha sede il titolare del trattamento entro il termine di trenta giorni dalla notificazione del presente provvedimento.

Roma, 17 novembre 2011

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
De Paoli