[doc. web n. 8429116]

Ordinanza ingiunzione nei confronti di Trivenet s.r.l. - 25 gennaio 2018

Registro dei provvedimenti
n. 32 del 25 gennaio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che il Nucleo speciale privacy della Guardia di finanza, in esecuzione della richiesta di informazioni n. 21868/97157 del 27 luglio 2015, formulata ai sensi dell´art. 157 del d.lgs. 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito "Codice"), ha svolto gli accertamenti presso Trivenet s.r.l., esercente l´attività di operatore telefonico e telematico, con sede in Galleria Veneta (PD), Viale Europa n. 20, P.I.03350610287, formalizzati nei verbali di operazioni compiute del 21 e 22 ottobre 2015, diretti a verificare il rispetto della normativa in materia di protezione dei dati personali e di quanto prescritto dal Garante nel provvedimento recante "Sicurezza dei dati di traffico telefonico e telematico" datato 17.01.2008 (in www.garanteprivacy.it, doc. web n. 1482111), integrato dal provvedimento del 24.07.2008, recante "Recepimento normativo in tema di dati di traffico telefonico e telematico" (in www.garanteprivacy.it, doc. web n. 1538237). Nel corso degli accertamenti eseguiti, è risultato che la Società, in qualità di titolare del trattamento ai sensi dell´art. 28 del Codice:

- ha conservato i dati relativi alle chiamate senza risposta per un periodo di tempo superiore a quello di trenta giorni previsto dall´art. 132, comma 1-bis, del Codice;

- ha conservato i dati di traffico per finalità di fatturazione sul server BDC, nella cartella denominata Area Billing, per un periodo superiore a sei mesi, in violazione di quanto previsto dall´art. 123 del Codice;

- ha conservato i dati di traffico telefonico e telematico per finalità di accertamento e repressione dei reati oltre i termini rispettivamente di 24 mesi e di 12 mesi, previsti dall´art. 132 del Codice;

- non ha osservato le misure e gli accorgimenti prescritti dal Garante ai sensi dell´art. 17 del Codice, poiché ha effettuato un trattamento di dati di traffico telefonico e telematico per finalità di accertamento e repressione dei reati senza adottare le misure prescritte dal Garante con il provvedimento del 17 gennaio 2008 (in G.U. del 5 febbraio 2008 n. 30, e sul sito www.garanteprivacy.it, in doc. web n. 1482111), modificato ed integrato dal successivo provvedimento del 24 luglio 2008 in materia di conservazione di dati di traffico telefonico e telematico (in G.U. del 13 agosto 2008 n. 189,  doc. web n. 1538224), con particolare riferimento alla procedura di riconoscimento biometrico richiesto per il controllo delle aree ad accesso selezionato, alla procedura di strong authentication, alle tecniche crittografiche richieste per proteggere i dati di traffico trattati per finalità di giustizia, alle attività di controllo interne volte a verificare l´effettiva cancellazione dei dati decorsi i periodi di conservazione; 

PRESO ATTO della documentazione inviata dalla Società in data 6 novembre 2015, a scioglimento delle riserve formulate nel corso degli accertamenti ispettivi, con cui la stessa ha dichiarato di aver avviato una serie di interventi volti a rimediare alle criticità rilevate durante la visita ispettiva e, in particolare, di aver provveduto ad eseguire le cancellazioni dei dati che erano conservati oltre i termini di legge;

VISTO il verbale n. 112 del 3 dicembre 2015, che qui si intende integralmente richiamato, con cui è stata contestata a Trivenet s.r.l., in qualità di titolare del trattamento, in persona del legale rappresentante pro-tempore, la violazione amministrativa prevista dall´art. 162-bis del Codice, in relazione all´art. 132, comma 1-bis, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge 24 novembre 1981 n. 689;

RILEVATO che dal rapporto predisposto ai sensi dell´art. 17 della legge 24 novembre 1981 n. 689 dal predetto Nucleo non risulta che la Società abbia effettuato il pagamento in misura ridotta;

VISTO il verbale n. 113 del 3 dicembre 2015, che qui si intende integralmente richiamato, con cui è stata contestata a Trivenet s.r.l., in persona del legale rappresentante pro-tempore, la violazione amministrativa prevista dall´art. 162, comma 2-bis, del Codice, in relazione all´art. 123 (in ordine ai tempi di conservazione dei dati di traffico per finalità di fatturazione), informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge 24 novembre 1981 n. 689;

RILEVATO che dal rapporto predisposto ai sensi dell´art. 17 della legge 24 novembre 1981 n. 689 dal predetto Nucleo non risulta che la Società abbia effettuato il pagamento in misura ridotta;

VISTO, inoltre, il verbale n. 114 del 3 dicembre 2015, che qui si intende integralmente richiamato, con cui è stata contestata alla medesima Società, in persona del legale rappresentante pro-tempore, la violazione amministrativa prevista dall´art. 162-bis, in relazione all´art. 132 del Codice (in ordine ai tempi di conservazione dei dati di traffico per finalità di accertamento e repressione dei reati), informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge 24 novembre 1981 n. 689;

RILEVATO che dal rapporto predisposto ai sensi dell´art. 17 della legge 24 novembre 1981 n. 689 dal predetto Nucleo non risulta che la Società abbia effettuato il pagamento in misura ridotta;

VISTO, infine, il verbale n. 115 del 3 dicembre 2015, con cui è stata contestata alla medesima Società, in persona del legale rappresentante pro-tempore, la violazione amministrativa prevista dall´art. 162, comma 2-bis, in relazione all´art. 17 del Codice, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge 24 novembre 1981 n. 689;

RILEVATO che dal rapporto predisposto ai sensi dell´art. 17 della legge 24 novembre 1981 n. 689 dal predetto Nucleo non risulta che la Società abbia effettuato il pagamento in misura ridotta;

VISTI gli scritti difensivi, datati 18 gennaio 2016, inviati ai sensi dell´art. 18 della legge 24 novembre 1981 n. 689, con cui la parte ha dichiarato di aver "posto in essere ogni azione necessaria per ottemperare e porre rimedio alle criticità di sistema rilevate nel corso della verifica ispettiva", con particolare riferimento alle misure necessarie ad assicurare che i dati relativi al traffico telefonico, telematico e i dati relativi alle chiamate senza risposta, effettuati a decorrere dalla data di entrata in vigore della legge di conversione del decreto n. 7/2015, siano conservati nel rispetto dei termini di legge. La parte ha rilevato che, nel corso delle verifiche interne effettuate sui propri sistemi, è stato "evidenziato un errore di configurazione del sistema utilizzato con riguardo alle richieste in chiaro formulate dai propri clienti. Tuttavia, la tematica rilevata ha interessato esclusivamente un numero esiguo di clienti con dati processati in chiaro per effetto di richieste legittimamente pervenute, i cui dati risultavano però in alcuni casi trattati oltre il termine di 6 mesi come da obbligo di legge". A fronte di tale problematica, la Società ha dichiarato di aver disposto la correzione degli errori sul sistema ed ordinato la cancellazione dei dati conservati oltre i termini di legge, nel rispetto delle prescrizioni di cui agli artt. 123 e 132 del Codice. Quanto al mancato funzionamento degli script di decriptazione, rilevato nel corso degli accertamenti ispettivi sul server deputato alla conservazione dei dati di traffico trattati per finalità di giustizia, la Società ha rilevato come questo problema "può essere dovuto da una incompatibilità del sistema di decriptazione rispetto a quello generale di tutela e trattamento informatizzato dei dati, posto gerarchicamente in posizione privilegiata e preordinata nel quadro della tutela dei rischi di cui all´art. 31 del Codice" e comunque di aver predisposto, anche in tal caso, le misure correttive richieste dalla normativa. La parte ha, infine, evidenziato le proprie condizioni economiche chiedendo che le sanzioni eventualmente comminate siano applicate in misura rateale, ai sensi dell´art. 26 della legge n. 689/1981;

LETTO il verbale di audizione, svoltasi in data 2 maggio 2016, ai sensi dell´art. 18 della legge n. 689/1981, con cui la parte si è riservata di produrre ulteriore documentazione in ordine ai rilievi mossi con i verbali di contestazione notificati;
VISTA l´ulteriore documentazione, inviata in data 17 maggio 2016, con cui la parte ha dichiarato che:

- con riferimento al verbale n. 112, i dati relativi alle chiamate senza risposta sono stati conservati oltre il termine di trenta giorni "esclusivamente per un problema di impostazione del software gestionale dei dati telefonici, che non ha permesso una scissione automatica tra i cartellini delle chiamate senza risposta rispetto a quelle delle chiamate andate a buon fine (…). La Società si è trovata quindi nella necessità di conservare un dato obbligatorio (chiamate andate a buon fine) senza poter ottemperare simultaneamente agli obblighi di cancellazione dell´altro dato (chiamate senza risposta)";

- con riferimento al verbale n. 113, "la conservazione dei dati menzionati [dati di traffico telefonico e telematico per finalità di fatturazione] oltre termine è dipesa esclusivamente da difficoltà sempre del software in uso che non ha permesso la gestione della cancellazione dei dati dal sistema per la fatturazione senza anche operare la cancellazione del medesimo dato, conservato sul sistema separato per fini di giustizia". In ogni caso, la parte ha sottolineato come la problematica in esame abbia riguardato un numero esiguo di utenti e che, in ogni caso, sono state effettuate tutte le cancellazioni dei dati conservati oltre i termini di legge;

- con riferimento al verbale n. 114, "le ragioni della violazione riscontrata sul server Storagebox sono sempre ascrivibili al tipo di software applicato e poi modificato con effetto dall´aprile 2015";

- infine, con riferimento al verbale n. 115, "presso l´area di accesso selezionato è in uso un sistema di accesso con badge e codice di ingresso personale, attribuito a ogni incaricato autorizzato all´ingresso, che prevede l´invio di una e-mail di notifica di ogni accesso al personale tecnico preposto al controllo del data center. Il sistema implementato (…) tuttavia ad oggi non prevede un modello compatibile con sistemi di accesso biometrici. Pertanto, prima ancora della verifica della Guardia di Finanza, la Società stava già valutando l´investimento più opportuno per mettere in opera un sistema biometrico che potesse sostituire l´attuale sistema di accesso, programmando quindi un investimento economico di rilievo". Inoltre, con riguardo alla mancata adozione della procedura di strong authentication rispetto alla conservazione dei dati di traffico per finalità di giustizia, la parte ha rilevato che il server Radius, in realtà, tratta solo dati telematici per fini di ordinaria gestione della fatturazione e, pertanto, non è richiesto l´impiego di sistemi di accesso di tipo biometrico o di tecniche crittografiche;

- in conclusione, la parte ha rilevato che "le criticità riscontrate sono state determinate dall´impiego di un software di sistema gestionale dei dati telefonici e telematici con difetto di aggiornamento, non compatibile con le modifiche imposte sul trattamento dei dati dal decreto antiterrorismo del 2015. Tale difetto ha comportato per la Società una violazione di disposizioni amministrative diverse (concorso formale eterogeneo), ma tuttavia riconducibili alle due fattispecie essenziali della mancata cancellazione di dati e all´implementazione degli obblighi di riconoscimento biometrico, laddove applicabili. (…) Trattasi quindi di mancanze dovute a cause oggettive non imputabili all´impresa, ma derivanti da software gestionali in circolazione inidonei ad interventi di modifica";

RITENUTO che le argomentazioni addotte non sono idonee ad escludere la responsabilità della parte in ordine a quanto contestato. La parte ha, infatti, addebitato l´inosservanza delle disposizioni in tema di data retention principalmente a un problema di impostazione dei sistemi utilizzati per la conservazione dei dati di traffico, che avrebbe impedito la separazione dei dati di traffico telefonico da quelli relativi alle chiamate senza risposta (con la conseguente conservazione di questi ultimi oltre il termine di legge), nonché la cancellazione nel termine di legge dei dati trattati per finalità di fatturazione (senza anche cancellare i dati trattati per altre finalità, conservati sul medesimo sistema). In realtà, l´errore di configurazione e/o di impostazione del software non può qualificarsi come "causa oggettiva non imputabile all´impresa", tale, cioè, da escludere la responsabilità della Società rispetto agli illeciti riscontrati. E´ stato più volte affermato in giurisprudenza (e ribadito dal Garante nei propri provvedimenti) che l´errore sulla liceità della condotta (indicato come "buona fede"), può rilevare in termini di esclusione di responsabilità solo quando risulti inevitabile e incolpevole: occorre, quindi, un elemento positivo, estraneo all´autore della violazione, tale da ingenerare la convinzione della liceità del suo agire, oltre alla condizione per cui da parte dell´autore è stato fatto tutto il possibile per osservare la legge e che nessun rimprovero può essergli mosso (Cass. Civ. Sez. lav. 12 luglio 2010 n. 16320). Oltre alla considerazione che tali requisiti non sono riscontrabili nel caso che ci occupa (posto che tutte le problematiche rilevate erano facilmente riscontrabili con l´ordinaria diligenza richiesta), va altresì considerata la posizione della Società, professionalmente inserita in uno specifico campo di attività, e, come tale, tenuta a un obbligo di informazione e di conoscenza più specifico in ordine alle norme che disciplinano il proprio settore di attività. Tra l´altro, se la parte avesse effettuato le procedure di audit interno, richieste dal provvedimento in materia di data retention, avrebbe sicuramente verificato l´esistenza di tali problematiche ancor prima dell´accertamento ispettivo e posto rimedio. Tali osservazioni valgono anche per le argomentazioni addotte con riguardo alle procedure di strong authentication che non sono state attuate, dal momento che, anche in tal caso, verificata la incompatibilità del proprio sistema con le prescrizioni di cui al provvedimento del Garante, la parte avrebbe potuto porvi rimedio ancor prima dell´accertamento ispettivo. Quanto, invece, all´argomentazione addotta dalla parte, secondo cui le violazioni riscontrate sono riconducibili alle due fattispecie della mancata cancellazione dei dati nei termini di legge e alla mancata attuazione delle misure di strong authentication, si rileva l´inapplicabilità al caso in esame dell´istituto del "concorso formale eterogeneo" di cui all´art. 8, comma 1, della legge n. 689/1981. Infatti, presupposto applicativo del concorso formale è l´unicità dell´azione o dell´omissione, mentre, nel caso in esame, le fattispecie contestate sono sostanziate da condotte diverse e non collegate tra loro.

Infine, nel merito delle osservazioni formulate, si rileva che, nel verbale di accertamento del 21 ottobre 2015, risulta che i dati di traffico trattati per finalità di fatturazione sono conservati sul server denominato BDC, mentre i dati di traffico trattati per finalità di accertamento e repressione dei reati sul server denominato Radius, che "copia integralmente il suo contenuto all´interno del server StorageBox", come la parte stessa ha confermato nell´ambito della documentazione integrativa trasmessa in data 6 novembre. Il provvedimento adottato dal Garante in data 17 gennaio 2008 prescrive che siano adottati specifici sistemi di autenticazione informatica, basati su tecniche di strong authentication, per accedere ai dati di traffico, trattati sia per finalità di fatturazione che per finalità di giustizia. Inoltre, per questi ultimi, è richiesto che una delle tecnologie sia basata sull´elaborazione biometrica dell´incaricato, la cui presenza è stata riscontrata solo per l´accesso al server StorageBox. Pertanto, ciò che è stato verificato ed è divenuto oggetto di rilievo è l´assenza della tecnica di strong authentication per l´accesso alle cartelle "Dettagli" e "Centrale" presenti sul server BDC (vedi verbale del 21 ottobre 2015, pp. 4 e 5), richiesta per la conservazione dei dati trattati per finalità di fatturazione e la mancanza della procedura biometrica (nonché di tecniche crittografiche) per l´accesso al server Radius, ai fini della protezione dei dati trattati per finalità di giustizia (vedi verbale del 22 ottobre, p. 3);

RILEVATO, pertanto, che Trivenet s.r.l., sulla base delle considerazioni sopra richiamate, in qualità di titolare del trattamento, ai sensi degli artt. 4 e 28 del Codice, risulta aver effettuato un trattamento di dati di traffico:

a) in violazione dell´art. 162-bis, del Codice, in relazione all´art. 132, comma 1-bis, per aver conservato i dati relativi alle chiamate senza risposta per un periodo superiore a trenta giorni;

b) in violazione dell´art. 162, comma 2-bis, del Codice, in relazione all´art. 123, comma 2, per aver conservato i dati di traffico telefonico per finalità di fatturazione per un periodo superiore a sei mesi;

c) in violazione dell´art. 162-bis del Codice, in relazione all´art. 132, comma 1 del Codice, per aver conservato i dati di traffico telefonico e telematico per finalità di accertamento e repressione dei reati per periodi superiori rispettivamente a 24 mesi e a 12 mesi;

d) in violazione dell´art. 162, comma 2-bis del Codice, in relazione all´art. 17, ai sensi dell´art. 167 del Codice, per aver effettuato un trattamento di dati di traffico telefonico e telematico per finalità di accertamento e repressione dei reati senza adottare le misure prescritte dal Garante con il provvedimento del 17 gennaio 2008, modificato ed integrato dal successivo provvedimento del 24 luglio 2008 in materia di conservazione di dati di traffico telefonico e telematico; 

VISTO l´art. 162-bis, del Codice che punisce la violazione delle disposizioni indicate nell´art. 132, commi 1, del Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a cinquantamila euro;

VISTO l´art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni di cui all´art. 167 del Codice che richiama, tra gli altri, gli artt. 17 e 123, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge n. 689/1981, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

PRESO ATTO della richiesta di rateizzazione del pagamento delle sanzioni comminate, formulata dalla parte negli scritti difensivi in base all´art. 26 della legge n. 689/1981;

RITENUTO, quindi, di dover determinare, ai sensi dell´art. 11 della legge n. 689/1981, l´ammontare della sanzione pecuniaria,  in ragione dei suddetti elementi valutati nel loro complesso, nella misura di:

- euro 10.000,00 (diecimila) per le violazioni di cui all´art. 162-bis del Codice, in relazione all´art. 132, comma 1-bis, del Codice;

- euro 10.000,00 (diecimila) per le violazioni di cui all´art. 162, comma 2-bis, in relazione all´art. 123, comma 2, del Codice;

- euro 10.000,00 (diecimila) per le violazioni di cui all´art. 162-bis del Codice, in relazione all´art. 132, comma 1, del Codice;

- euro 10.000,00 (diecimila) per le violazioni di cui all´art. 162, comma 2-bis, in relazione all´art. 17 del Codice;

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

ORDINA

a Trivenet s.r.l., con sede in Galleria Veneta (PD), Viale Europa n. 20, P.I.03350610287, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 40.000,00 (quarantamila) a titolo di sanzione amministrativa pecuniaria, per le violazioni indicate in motivazione, frazionandola, in accoglimento della richiesta di rateizzazione, in 20 rate mensili dell´importo di euro 2.000,00 (duemila) ciascuna;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 40.000,00 (quarantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d. lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 25 gennaio 2018

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia