g-docweb-display Portlet

Provvedimento del 14 maggio 2020 [9442587]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9442587]

Provvedimento del 14 maggio 2020*

* Con sentenza  n. 21314 del 2022 la Corte di Cassazione ha accolto in via definitiva il ricorso presentato da Tim Spa per l’annullamento del provvedimento del Garante n. 85/2020

 

Registro dei provvedimenti
n. 85 del 14 maggio 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Augusta Iannini, vicepresidente, la dott.ssa Giovanna Bianchi Clerici e la prof.ssa Licia Califano, componenti, e il dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito "Regolamento");

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito "Codice");

VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

VISTO il reclamo presentato a questa Autorità, il 16 dicembre 2019, da XX avverso Tim Spa (di seguito, anche "Tim" o "Società"), con il quale è stato chiesto di accertare la violazione, da parte di detta Società, del diritto di accesso a dati di traffico telefonico e di ordinare alla stessa di soddisfare la richiesta di esercizio di tale diritto, entro un termine congruo con le esigenze difensive del reclamante;

CONSIDERATO che il reclamante ha, in particolare, rappresentato:

-  di aver in precedenza inoltrato a TIM, tramite i propri legali, con nota del 23 ottobre 2018 (risultante pervenuta il 26 ottobre 2018) formale richiesta - ai sensi del combinato disposto dell'art. 132, comma 3, del Codice e dell'art. 327-bis c.p.p. e dell'art. 391-quater c.p.p. - di copia dei tabulati di traffico telefonico in chiaro in entrata e in uscita per il periodo XX relativi all'utenza n. XX a sé riferibile ed in uso esclusivo, in ragione di proprie esigenze difensive (esercizio di attività investigativa), essendo egli sottoposto ad indagini preliminari nell'ambito di un procedimento penale incardinato presso la Procura della Repubblica presso il Tribunale XX;

- di aver dettagliatamente rappresentato l'assoluta necessità di tali dati per lo svolgimento delle predette indagini difensive;

- di non aver ricevuto riscontro dal gestore telefonico;

- di aver quindi rinnovato detta richiesta, sempre tramite i propri legali, permanendo le esigenze di cui sopra con lettera del 14 giugno 2019 (risultata ricevuta il 19 successivo), anch'essa rimasta inevasa;

CONSIDERATO che, a fronte di tale quadro fattuale, il reclamante ha lamentato la violazione del diritto di accesso di cui all'art. 15 del Regolamento nonché dell'art. 132 del Codice, rappresentando peraltro che:

- "Il termine di conservazione dei dati di traffico telefonico è stato, .., ulteriormente elevato a 72 mesi ai sensi dell'art. 24 della L. n. 167/2017 che, sebbene preveda detto più lungo termine per le finalità di accertamento e repressione dei reati in materia di terrorismo, di fatto, obbliga il gestore telefonico a conservare tutti i dati ricevuti per tale durata, non potendo esso prevedere a monte quali potrebbero essere le persone interessate da attività di accertamento penale aventi ad oggetto i detti crimini in materia di terrorismo.";

- e pertanto, in ragione di tale normativa, la propria richiesta a Tim era stata tempestiva, avendo ad oggetto i dati di traffico telefonico antecedenti di 24 mesi (XX) e che dunque tali dati di traffico telefonico, al tempo della richiesta, "risultavano essere, certamente, ancora conservati" da Tim;

- sussisterebbe il necessario collegamento fra la disponibilità dei dati del traffico telefonico richiesti e la finalità di esercizio del proprio diritto di difesa di cui all'art. 24 Cost., alla luce delle ipotesi di reato contestategli dal pubblico ministero;

- la mancata acquisizione dei tabulati telefonici richiesti non solo lederebbe fortemente il diritto di difesa dell'interessato, alla luce di un "pregiudizio effettivo e concreto allo svolgimento di indagini difensive …..., ma finirebbe inevitabilmente per arrecare anche un ingiusto danno all'immagine ed ulteriormente anche un pregiudizio patrimoniale" ad una XX da lui gestita e oggetto dell'indagine de qua;

VISTA la nota di Tim del 20 aprile u.s. inviata a riscontro della richiesta di elementi formulata dall'Autorità, con la quale la Società, senza smentire le circostanze fattuali rappresentate dal reclamante o fornire spiegazioni in merito alle precedenti omesse risposte:

- da un lato, eccepisce l'inammissibilità del reclamo, osservando che: "… le richieste che costituiscono il presupposto dell'odierno reclamo, non hanno né la veste formale né la valenza sostanziale dell'esercizio del diritto di accesso ex art. 15 GDPR, ma si vanno al contrario a collocare nel ben diverso binario disegnato dall'art. 391-quater c.p.p….  con ogni ineludibile conseguenza giuridico-formale, decisiva ai fini della definizione del procedimento che ci occupa: quella norma, infatti, prevede al proprio interno il rimedio da esperire, nel momento in cui la richiesta avanzata dal difensore non abbia ad esser positivamente riscontrata: "In caso di rifiuto (da parte della pubblica amministrazione) si applicano le disposizioni degli articoli 367 e 368 c.p.p.". (art. 391-quater comma 3 c.p.p.) …";

- dall'altro, riconosce espressamente la sussistenza del diritto di accesso ex art. 15 Regolamen-to affermando che "… l'interessato aveva ab initio (ed a maggior ragione, in esito al mancato riscontro alla richiesta formulata ex art. 391-quater c.p.p), il diritto e la possibilità di richiedere l'accesso ai dati utilizzando il diverso strumento disegnato dall'art. 15 GDPR";

VISTA la nota di replica del reclamante, datata 23 aprile 2020, con la quale sono state ribadite l'ammissibilità e la fondatezza del reclamo in questione, sulla base delle ragioni già esposte;

CONSIDERATO che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice "Falsità nelle dichiarazioni al Garante e interruzione dell'esecuzione dei compiti o dell'esercizio dei poteri del Garante";

RITENUTO ammissibile il reclamo presentato dall'interessato, avendo peraltro quest'ultimo utilizzato e menzionato, nelle sue istanze, il titolo giuridico corretto (ossia l'art. 132 del Codice), che disciplina una specifica istanza di accesso, avente per oggetto i dati di traffico, ricompresa nel più ampio e generale alveo dell'art. 12 del Regolamento (richiamato peraltro dall'art. 132, comma 3) e non avendo ricevuto alcun riscontro a ben due richieste correttamente formulate;

VISTO l'attuale quadro giuridico di riferimento in materia di conservazione dei dati di traffico telefonico, in base al quale tali dati "sono conservati dal fornitore per ventiquattro mesi dalla data della comunicazione, per finalità di accertamento e repressione dei reati (v. art. 132, comma 1, Codice) e che, entro il medesimo termine, "…il difensore dell'imputato o della persona sottoposta alle indagini può richiedere, direttamente al fornitore i dati relativi alle utenze intestate al proprio assistito con le modalità indicate dall'articolo 391-quater del codice di procedura penale" (132, comma 3, cit.) e precisato che "La richiesta di accesso diretto alle comunicazioni telefoniche in entrata può esse-re effettuata solo quando possa derivarne un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397" (art. 132, comma 3, cit.);

RILEVATE dunque la legittimità della richiesta del reclamante, in ragione del procedimento penale nel quale ricopriva il ruolo di indagato, e altresì la tempestività della stessa, effettuata il 23 ottobre 2018, riguardo ai tabulati telefonici, infatti, ricompresi nel periodo intercorrente fra novembre XX; dati, quindi, che Tim al tempo conservava e avrebbe dovuto ostendere al reclamante;

VISTO, con particolare riguardo alle chiamate in entrata, il provvedimento del Garante 3 novembre 2005, "Accesso ai dati telefonici: garanzie per le chiamate in entrata" (doc. web n. 1189488), e ritenuto che le indicazioni, principi, misure e garanzie ivi indicati possono ritenersi valide anche dopo la piena operatività del Regolamento, che, come noto, ha riservato a una di-stinta prossima fonte regolatoria la disciplina delle comunicazioni elettroniche, ancora riferibile pertanto alla direttiva 2002/58/CE, come recepita dal titolo X del Codice e dunque dal menzionato art. 132, non abrogato infatti dal detto Regolamento;

PRESO ATTO che, in base a quanto indicato nel citato provvedimento, "In via di eccezione …. le richieste di esercizio dei diritti possono essere presentate, ed evase positivamente, quando com-provano che la risposta ad esse da parte del fornitore è necessaria per evitare ‘un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397' " … , pur avendo ad oggetto il traffico telefonico in entrata, inteso come "qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione … "; e "… Il richiedente deve altresì comprovare la necessità dell´accesso, documentando con idonei elementi al fornitore che il mancato accesso determinerebbe un pregiudizio effettivo e concreto allo svolgimento delle investigazioni difensive (l. 7 dicembre 2000, n. 397);

RAVVISATI nella fattispecie, per quanto documentato in atti, un collegamento stretto fra dati di traffico richiesti ed ipotesi di reato formulate dall'autorità giudiziaria, nonché la necessità dei dati richiesti, inclusi quelli in entrata, per lo svolgimento delle investigazioni difensive volte a tutelare il fondamentale diritto di difesa del reclamante attualmente coinvolto in un procedimento giudiziario a suo carico;

CONSIDERATA la possibilità che i dati in questione siano ancora conservati nei sistemi di Tim e che la perdurante e ingiustificata condotta omissiva della società, la quale non ha dove-rosamente provveduto ad ostendere i dati richiesti, non può riflettersi negativamente sull'interessato impedendogli di esercitare pienamente il suo diritto di difesa; 

VISTA la dichiarazione sottoscritta personalmente dal difensore dell'interessato incaricato dello svolgimento delle indagini difensive, nella quale, sin dalla prima istanza effettuata il 23 ottobre 2018, è stato manifestato l´impegno a non utilizzare i dati per finalità e in ambiti diversi da quello delle investigazioni difensive;

RILEVATA l'urgenza dell'adozione del presente provvedimento in ragione, con riferimento alla vicenda in esame, della prospettata esigenza di investigazioni difensive nonché il prospettato correlato possibile grave pregiudizio alle stesse, e pertanto ritenuto di non poter procedere, nel caso di specie, alla comunicazione di avvio del procedimento di cui all'art. 166, comma 5, del Codice, conformemente a quanto dallo stesso previsto;

RILEVATA alla luce di quanto precede, la fondatezza del reclamo e la conseguente necessità di ingiungere a TIM, ai sensi dell'art. 58, par. 2, lett. c) del Regolamento, l'adozione delle misure necessarie a soddisfare la richiesta dell'interessato, in conformità a quanto indicato sopra, in ragione del concreto grave pregiudizio al diritto di difesa costituzionalmente tutelato che po-trebbe conseguire al mancato accesso ai dati di traffico in questione in considerazione, in particolare, del procedimento penale in corso a suo carico;

RILEVATO che il mancato riscontro da parte di Tim alle richieste formulate dal reclamante costituisce una reiterata ed ingiustificata violazione della disciplina in materia di protezione dei dati personali;

PRESO ATTO che simili inottemperanze sono state rilevate anche in occasione della recente adozione del provvedimento 15 gennaio 2020 n.7, in www.garanteprivacy.it., doc. web n. 9256486, con il quale l'Autorità, oltre a comminare una complessiva sanzione amministrativa pecuniaria, ha indicato a detta Società l'adozione di una serie di misure correttive da implementare anche con riguardo all'esigenza di assicurare una tempestiva gestione dei diritti degli interessati;

CONSIDERATO che tali misure, in ragione del piano di attuazione concordato con l'Autorità, sono attualmente in fase di implementazione e ritenuto pertanto di poter considerare assorbite le valutazioni odierne nell'ambito del provvedimento di cui sopra, precisando, a titolo di ulteriore specificazione, che le predette misure correttive sono da intendersi applicabili anche con specifico riguardo ai dati di traffico, conformemente a quanto previsto dagli artt. 12 del Regolamento e 132 del Codice;

RITENUTO che, pur ricorrendo i presupposti di cui all'art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante, relativamente alle misure appena indi-cate, in ragione di quanto sopra, si possa soprassedere, ai sensi dell'art. 83, par. 2, del Regola-mento, dall'applicazione di un'ulteriore sanzione amministrativa pecuniaria;

RITENUTO, pertanto, ai sensi dell'art. 58, par. 2, lett. d), del Regolamento, di ingiungere alla medesima Società l'adozione di misure organizzative e tecniche tali da garantire un riscon-tro tempestivo e motivato alle istanze dell'interessato ricevute dalla medesima anche con specifico riguardo ai dati di traffico telefonico, conformemente a quanto previsto dai citati artt. 12 del Regolamento e 132 del Codice;

PRECISATO, tuttavia, che, in caso di inosservanza di quanto disposto dal Garante con il presente provvedimento, può trovare applicazione la sanzione amministrativa di cui all'art. 83, par. 5, lett. e), del Regolamento

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell'art. 57 par. 1, lett. f), del Regolamento, dichiara il reclamo fondato nei termini di cui in motivazione e, per l'effetto, ai sensi dell'art. 58, par. 2, lett. c), del Regolamento stesso, ingiunge a Tim Spa di adottare le misure necessarie a soddisfare la richiesta dell'interessato, conformandosi a quanto indicato nella parte motiva, nel termine di dieci giorni dalla data di ricezione del presente provvedimento;

b) ai sensi dell'art. 58, par. 2, lett. d), del Regolamento, ingiunge alla medesima Società di adottare misure organizzative e tecniche tali da garantire un riscontro tempestivo e motivato alle istanze dell'interessato ricevute dalla medesima anche con specifico riguardo ai dati di traffico telefonico, conformemente a quanto previsto dagli artt. 12 del Regolamento e 132 del Codice;

c)  richiede a Tim S.p.A di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell'art. 157 del Codice:

- in relazione alla richiesta dell'interessato (lett. a, del dispositivo), entro 15 giorni dal rice-vimento del presente provvedimento;

- in relazione agli ulteriori adempimenti prescritti (lett. b, del dispositivo), entro 30 giorni dal ricevimento del provvedimento medesimo;

- si ricorda che il mancato riscontro alle richieste di cui sopra integra gli estremi dell'illecito amministrativo di cui all'art. 166, comma 2, del Codice;

d) ritiene che ricorrano i presupposti di cui all'art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante.

Ai sensi dell'art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d. lg. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato, alternativamente, presso il tribunale del luogo ove risiede o ha sede il titolare del trattamento ovvero presso quello del luogo di resi-denza dell'interessato entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 14 maggio 2020

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia