[doc. web n. 6544206]

Ordinanza ingiunzione nei confronti di Siportal s.r.l. - 6 aprile 2017

Registro dei provvedimenti
n. 177 del 6 aprile 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che il Nucleo speciale privacy della Guardia di finanza, in esecuzione della richiesta di informazioni n. 6153/91026 del 28 febbraio 2014, formulata ai sensi dell´art. 157 del d.lgs. 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito "Codice"), ha svolto gli accertamenti presso Siportal s.r.l., esercente l´attività di internet service provider, con sede in Lentini (SR), Via Toledo n. 5, P.I.01356510899, formalizzati nei verbali di operazioni compiute del 15 e 16 luglio 2014, diretti a verificare il rispetto della normativa in materia di protezione dei dati personali, con particolare riferimento alla conservazione dei dati di traffico telefonico e telematico. Nel corso degli accertamenti eseguiti, è risultato che la società, in qualità di titolare del trattamento ai sensi dell´art. 28 del Codice:

- ha conservato i dati di traffico telefonico dei propri clienti per finalità di fatturazione per un periodo superiore a sei mesi (luglio 2013 – luglio 2014), in violazione di quanto previsto dall´art. 123, comma 2, del Codice;

- ha conservato i dati di traffico telefonico e telematico per finalità di accertamento e repressione dei reati per periodi superiori rispettivamente a ventiquattro mesi e a dodici mesi, in violazione di quanto previsto dall´art. 132, comma 1, del Codice;

- ha effettuato un trattamento di dati di traffico telefonico e telematico per finalità di accertamento e repressione dei reati senza adottare le misure prescritte dal Garante ai sensi dell´art. 17 del Codice con il provvedimento del 17 gennaio 2008 modificato ed integrato dal successivo provvedimento del 24 luglio 2008 in materia di conservazione di dati di traffico telefonico e telematico [doc. web n. 1538224];

VISTO il verbale n. 74 del 2 ottobre 2014, che qui si intende integralmente richiamato, con cui è stata contestata a Siportal s.r.l., in qualità di titolare del trattamento, in persona del legale rappresentante pro-tempore, la violazione amministrativa prevista dall´art. 162, comma 2-bis, del Codice, in relazione all´art. 123, comma 2, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge 24 novembre 1981 n. 689;

RILEVATO che dal rapporto predisposto ai sensi dell´art. 17 della legge 24 novembre 1981 n. 689 dal predetto Nucleo non risulta che la Società abbia effettuato il pagamento in misura ridotta;

VISTO il verbale n. 75 del 2 ottobre 2014, che qui si intende integralmente richiamato, con cui è stata contestata a Siportal s.r.l., in persona del legale rappresentante pro-tempore, la violazione amministrativa prevista dall´art. 162-bis, del Codice, in relazione all´art. 132, comma 1, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge 24 novembre 1981 n. 689;

RILEVATO che dal rapporto predisposto ai sensi dell´art. 17 della legge 24 novembre 1981 n. 689 dal predetto Nucleo non risulta che la Società abbia effettuato il pagamento in misura ridotta;

VISTO, inoltre, il verbale n. 76 del 2 ottobre 2014, che qui si intende integralmente richiamato, con cui è stata contestata alla medesima Società, in persona del legale rappresentante pro-tempore, la violazione amministrativa prevista dall´art. 162, comma 2-bis, in relazione all´art. 17 del Codice, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge 24 novembre 1981 n. 689;

RILEVATO che dal rapporto predisposto ai sensi dell´art. 17 della legge 24 novembre 1981 n. 689 dal predetto Nucleo non risulta che la Società abbia effettuato il pagamento in misura ridotta;

VISTI gli scritti difensivi, datati 12 novembre 2014, inviati ai sensi dell´art. 18 della legge 24 novembre 1981 n. 689, con cui la parte ha dichiarato che:

- "i dati ai quali la GdF fa genericamente riferimento nel verbale di contestazione n. 74 [dati di traffico telefonico conservati per finalità di fatturazione] sono, in realtà, tutti relativi ad abbonati al servizio di telefonia Voip (…), rispetto ai quali sono in corso contenziosi in sede giudiziale (…)". Rispetto a tali categorie di dati, dunque, trova applicazione la deroga di cui all´art. 123, comma 2, del Codice nella parte in cui è prevista una "ulteriore specifica conservazione necessaria per effetto di una contestazione anche in sede giudiziale". A supporto di quanto dichiarato, la parte ha prodotto la documentazione afferente una controversia con un cliente che è stata risolta sulla base dei dati di fatturazione conservati;

- i dati di traffico telefonico per finalità di accertamento e repressione dei reati, che risultano essere stati conservati per un periodo superiore a ventiquattro mesi, sono "relativi a operazioni di test eseguiti, in fase di start-up, per la verifica del corretto funzionamento della centrale telefonica all´epoca appena inizializzata (…); non fanno parte della massa dei dati che la società ha conservato per le finalità in parola nel corso della sua regolare attività di fornitura del servizio, i quali sono regolarmente cancellati nel termine di legge". Parimenti, i dati di traffico telematico, conservati per le medesime finalità oltre il termine di dodici mesi, si riferiscono a dati per i quali le Autorità giudiziarie hanno richiesto informazioni nell´ambito di indagini e procedimenti penali. A tal proposito, è stata prodotta documentazione relativa a due pratiche;

- infine, per quanto riguarda la violazione delle misure e degli accorgimenti prescritti dal Garante relativamente alla conservazione dei dati di traffico telefonico e telematico per finalità di accertamento e repressione dei reati, la parte ha precisato che "contrariamente a quanto affermato dalla GdF, all´interno dell´azienda esistono distinti e separati sistemi informatici per la conservazione dei dati; in particolare, esiste un archivio dedicato alla conservazione dei dati di traffico per finalità di accertamento e repressione dei reati e un distinto archivio dedicato alla conservazione dei dati di traffico per finalità di fatturazione (…)". Inoltre, "i server preposti alla conservazione dei dati di cui sopra sono ubicati in ambienti ad accesso limitato dall´uso dei badge apriporta personalizzato, il cui accesso è consentito al solo personale autorizzato (…). (…) sia l´accesso biometrico che la cifratura dei dati utilizzati nella workstation fino a pochi giorni prima la verifica ispettiva, non erano temporaneamente disponibili (…) in seguito a un guasto irreparabile della stessa (…)";

LETTO il verbale di audizione, svoltasi in data 4 maggio 2015, ai sensi dell´art. 18 della legge n. 689/1981, con cui la parte ha ribadito quanto già dichiarato nelle memorie difensive, precisando che la operatività commerciale della società nell´ambito del traffico telefonico è iniziata soltanto nel gennaio 2012 a seguito di un collaudo durato oltre un anno e conclusosi il 7/12/2011, producendo a tal proposito il certificato di collaudo;

RITENUTO che le argomentazioni addotte non sono idonee ad escludere la responsabilità della parte in ordine a quanto contestato.

- Con riferimento alla violazione dell´art. 123, comma 2, del Codice si osserva che la documentazione allegata alla memoria difensiva si riferisce a una controversia avuta con un cliente, relativa a fatturazioni registrate nel 2012, mentre nessuna documentazione è stata prodotta con riguardo all´esistenza di contenziosi per il periodo compreso tra luglio 2013 e luglio 2014 (periodo al quale si riferiscono i dati di traffico conservati oggetto del presente procedimento). Pertanto, nel caso di specie, considerata la mancanza di ogni documentazione a sostegno di quanto dichiarato, non può trovare applicazione la deroga prevista dall´art. 123, comma 2, nella parte in cui prevede una "ulteriore specifica conservazione dei suddetti dati per effetto di una contestazione anche in sede giudiziale".

- Rispetto al verbale di contestazione n. 75, avente ad oggetto la conservazione dei dati di traffico telefonico per finalità di accertamento e repressione dei reati oltre il termine di ventiquattro mesi, si rileva che, dall´esame della documentazione acquisita durante gli accertamenti ispettivi, risultano presenti nella cartella CDR_RBTS del server "Mediation" i cartellini di traffico telefonico relativi agli anni 2011, 2012, 2013 e 2014, con tutte le informazioni caratterizzanti. Pertanto, la presenza di tali informazioni (che come noto riguardano il numero di telefono chiamante, la data e l´ora di inizio e di chiusura della chiamata, la sua durata e altri dati tecnici) nel suddetto server fa sì che non possa condividersi la tesi della parte secondo cui i dati relativi al 2011 erano "privi di significato oggettivo". Risulta inconferente anche l´argomentazione addotta in base alla quale i dati di traffico telematico per finalità di giustizia sono stati conservati oltre il termine di legge perché oggetto di richieste specifiche da parte delle Autorità giudiziarie. Infatti, l´art. 132, comma 3, del Codice, stabilisce che "entro il termine di cui al comma 1, i dati sono acquisiti presso il fornitore con decreto motivato del pubblico ministero (…)" e non devono essere poi ulteriormente conservati. Pertanto, è stata correttamente rilevata la violazione dell´art. 132 del Codice, in quanto i dati di traffico telematico presenti nel server risalivano a un periodo superiore ai dodici mesi.

- Infine, si osserva che nel verbale di contestazione n. 76 sono state rilevate violazioni di diverse misure prescritte dal Garante relativamente alla conservazione dei dati di traffico. In primo luogo, la parte ha solo addotto, ma non provato, la sussistenza di distinti sistemi informatici dedicati alla conservazione dei dati di traffico per finalità di accertamento e repressione dei reati da quelli utilizzati per finalità di fatturazione (punto 3 del dispositivo). Gli accertamenti eseguiti in loco hanno, infatti, evidenziato che nel database "SQL-01", residente sul server denominato "Cluster" (che costituisce un server virtuale in cui convergono tre ulteriori server), sono presenti la tabella "dbo.Traffico", contenente dati di traffico telefonico per finalità di fatturazione, e la tabella "dbo.Accounting", contenente dati di traffico telematico per finalità di accertamento e repressione dei reati. Pertanto, le misure adottate dalla società non possono ritenersi rispondenti alle prescrizioni contenute nel provvedimento del Garante che prevede espressamente sistemi informatici distinti "fisicamente". Allo stesso modo, per quanto riguarda la custodia delle aree ad accesso selezionato, si precisa che l´utilizzo di badge personalizzati, in uso a personale autorizzato, unitamente a un sistema di videosorveglianza e di allarme, non è una misura idonea a garantire la sicurezza dei dati conservati per finalità di accertamento e repressione dei reati. In tali casi, infatti, il citato provvedimento dell´Autorità precisa che l´accesso ai dati di traffico telefonico conservati per finalità di giustizia sia regolato da una procedura di riconoscimento biometrico. Dai verbali redatti dalla Guardia di finanza, non risulta l´installazione di alcun sistema biometrico né per l´accesso alla sala CED né per aprire gli armadi metallici in cui sono custoditi i server. La mancanza di un sistema di rilevazione biometrica, poi, è stata accertata anche per l´accesso ai sistemi di elaborazione, in violazione della misura di cui al punto 1 del dispositivo del provvedimento. La parte ha giustificato tale assenza perchè causata da un guasto avvenuto pochi giorni prima la visita ispettiva e per il quale aveva già provveduto alla riparazione. Tuttavia, non può condividersi l´osservazione della parte secondo cui la strong authentication sia stata comunque osservata mediante l´utilizzo di altre procedure. Infatti, il provvedimento prescrive l´uso contestuale di almeno due differenti tecnologie di autenticazione, di cui una necessariamente basata sull´elaborazione di caratteristiche biometriche.

RILEVATO, pertanto, che Siportal s.r.l., sulla base delle considerazioni sopra richiamate, in qualità di titolare del trattamento, ai sensi degli artt. 4 e 28 del Codice, risulta aver effettuato un trattamento di dati di traffico:

a)  in violazione dell´art. 162, comma 2-bis, del Codice, in relazione all´art. 123, comma 2, per aver conservato i dati di traffico telefonico per finalità di fatturazione per un periodo superiore a sei mesi;

b) in violazione dell´art. 162-bis del Codice, in relazione all´art. 132, comma 1 del Codice, per aver conservato i dati di traffico telefonico e telematico per finalità di accertamento e repressione dei reati per periodi superiori rispettivamente a 24 mesi e a 12 mesi;

c) in violazione dell´art. 162, comma 2-bis del Codice, in relazione all´art. 17, ai sensi dell´art. 167 del Codice, per aver effettuato un trattamento di dati di traffico telefonico e telematico per finalità di accertamento e repressione dei reati senza adottare le misure prescritte dal Garante con il provvedimento del 17 gennaio 2008 (in G.U. del 5 febbraio 2008 n. 30, e sul sito www.garanteprivacy.it in doc. web n. 1482111), modificato ed integrato dal successivo provvedimento del 24 luglio 2008 in materia di conservazione di dati di traffico telefonico e telematico (in G.U. del 13 agosto 2008 n. 189,  e sul sito www.garanteprivacy.it in doc. web n. 1538224); 

VISTO l´art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni di cui all´art. 167 del Codice che richiama, tra gli altri, gli artt. 17 e 123, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

VISTO l´art. 162-bis, del Codice che punisce la violazione delle disposizioni indicate nell´art. 132, commi 1, del Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a cinquantamila euro;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

RITENUTO, quindi, di dover determinare, ai sensi dell´art. 11 della L. n. 689/1981, l´ammontare della sanzione pecuniaria,  in ragione dei suddetti elementi valutati nel loro complesso, nella misura di:

- euro 10.000,00 (diecimila) per le violazioni di cui all´art. 162, comma 2-bis, in relazione all´art. 123, comma 2, del Codice;

- euro 10.000,00 (diecimila) per le violazioni di cui all´art. 162-bis del Codice, in relazione all´art. 132, comma 1 del Codice;

- euro 10.000,00 (diecimila) per le violazioni di cui all´art. 162, comma 2-bis, in relazione all´art. 17 del Codice;

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

ORDINA

a Siportal s.r.l., società fornitrice di servizi di comunicazione elettronica, con sede in con sede in Lentini (SR), Via Toledo n. 5, P.I.01356510899, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 30.000,00 (trentamila) a titolo di sanzione amministrativa pecuniaria, per le violazioni indicate in motivazione;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 30.000,00 (trentamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d. lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 6 aprile 2017

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia