[doc. web n. 3438899]

Ordinanza di ingiunzione nei confronti di Istituto Poligrafico e Zecca dello Stato S.p.A - 12 giugno 2014

Registro dei provvedimenti
n. 299 del 12 giugno 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

CONSIDERATO il Provvedimento n. 308, con il quale il Garante, in data 21 luglio 2011, ha definito l´istruttoria aperta nei confronti dell´Istituto Poligrafico e Zecca dello Stato S.p.A. P.I.: 00880711007, con sede in Roma, via Salaria n. 1027, in persona del legale rappresentante pro-tempore (d´ora innanzi "Istituto Poligrafico"), che qui deve intendersi integralmente richiamato, con il quale, a fronte dell´attività ispettiva effettuata ai sensi degli artt. 157 e 158 del Codice in materia di protezione dei dati personali (d. lg. n. 196/2003, di seguito denominato "Codice") dall´Ufficio del Garante per la protezione dei dati personali in data 12 e 13 maggio 2011, è stata, tra l´altro, accertata una parziale attuazione delle misure prescritte dal Garante, ai sensi dell´art. 154, comma 1, lett. c) del Codice con il provvedimento relativo agli amministratori di sistema del 27 novembre 2008 nel quale, alla lett. f) si è stabilito che : "Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell´evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi" (pubblicato sulla G.U. n. 300 del 24 dicembre 2008, in www.garanteprivacy.it, doc. web n. 1577499). Gli accessi effettuati dagli amministratori all´applicativo denominato Websense e al sistema di gestione della telefonia VoIP, sono registrati in linea con quanto previsto dal suddetto provvedimento, solo se effettuati tramite il sistema operativo, mentre non vengono tracciati gli accessi effettuati dagli amministratori mediante interfaccia web (cfr. all. 10 al verb. 12.5.2011 e dichiarazioni contenute nello stesso verbale, p. 6, dal quale risulta che l´accesso con interfaccia web a Websense "non veniva evidenziato dalla reportistica standard di ArcSight attualmente predisposta", nonché verb. 13.5.2011, p. 6). Quanto rilevato ha consentito di accertare che l´Istituto Poligrafico ha dato solo parziale attuazione alle misure prescritte dal Garante, ai sensi dell´art. 154, comma 1, lett. c), del Codice, con il citato Provvedimento relativo agli amministratori di sistema, del 27 novembre 2008;

VISTO il verbale datato 5 agosto 2011 con cui sono state contestate, rispettivamente, le violazioni amministrative previste dall´art. 161, nella forma aggravata di cui all´art. 164-bis, comma 3 del Codice, in relazione all´art. 13 del Codice (successivamente definita con il pagamento in misura ridotta ai sensi dell´art. 16 della legge 24 novembre 1981, n. 689), e dall´art. 162, comma 2-ter, in relazione all´art. 154, comma 1 lett. c) del Codice;

ESAMINATO il rapporto dell´Ufficio del Garante predisposto, per la violazione di cui all´art. 162, comma 2-ter del Codice, ai sensi dell´art. 17 della legge n. 689/1981, dal quale risulta che non è stato effettuato il pagamento in misura ridotta;

PRESO ATTO della sentenza n. 1196 del 21 gennaio 2013 del Tribunale di Roma – Sezione prima civile, che ha rigettato il ricorso dell´Istituto Poligrafico avverso il provvedimento del Garante n. 308 del 21 luglio 2011 con il quale è stata accertata la violazione di cui alla contestazione in argomento;

TENUTO CONTO del fatto che l´Istituto Poligrafico ha presentato ricorso per Cassazione avverso la citata sentenza del Tribunale Civile di Roma n. 1196 e che tale ricorso risulta ad oggi pendente;

VISTO il verbale di audizione delle parti del 14 aprile 2014 nel quale l´Istituto Poligrafico, ai sensi dell´art. 18 della legge n. 689/1981, si è riportato, con riferimento all´illecito oggetto della contestazione in argomento, alle argomentazioni già proposte in sede giudiziaria con il ricorso definito dalla sentenza del Tribunale Civile di Roma n. 1196 confermando che, all´atto delle verifiche effettuate dal Garante, il sistema denominato Arcsight di registrazione ed archiviazione dei log degli accessi effettuati ai sistemi operativi da parte degli amministratori di sistema – adottato per adempiere a quanto prescritto nel provvedimento del Garante del 27 novembre 2008 sugli amministratori di sistema – registrava solo i log degli accessi effettuati dagli amministratori di sistema direttamente ai sistemi operativi di Websense e al sistema di gestione della telefonia VoIP (c.d. accessi di tipo sistemistico), ma non i log degli accessi avvenuti tramite interfaccia web (c.d. accessi di tipo applicativo). Ciò era dovuto ad "obiettivi problemi di natura organizzativa e tecnica" (pag. 33 del ricorso di I grado). Tali problemi, peraltro, sono stati successivamente risolti sviluppando un apposito programma che riporta anche i log applicativi di Websense al sistema di archiviazione Arcsight (pag. 34 del ricorso di I grado). Tuttavia, osserva la società, gli accessi di tipo applicativo a Websense e al sistema VoIP venivano, comunque, registrati "in locale" e ciò sarebbe stato sufficiente ad assicurare il rispetto delle citate prescrizioni del Garante, che non pretenderebbe l´adozione di un sistema centralizzato di registrazione dei log. Ciò si evincerebbe anche dalle "risposte alle domande più frequenti" (d´ora in poi FAQ) annesse al provvedimento del Garante (anch´esse pubblicate sulla G. U. n. 300 del 24 dicembre 2008) e segnatamente da quelle individuate ai numeri 4 e 22 (pagg. 57- 59 del ricorso di I grado). Per entrambe le applicazioni, quindi - osserva la ricorrente – "sussisteva un sistema di tracciamento degli accessi applicativi che venivano comunque registrati in appositi log aventi una certa profondità storica (60 o 90 giorni) e, come evidenziato in narrativa, tali log risultano comunque completi contenendo tutti i dati richiesti all´insieme degli eventi relativi all´accesso (codice ADS, data, login e logout), cosi come richiesto dalla stessa Autorità" (pag. 88 del ricorso di I grado). "Alla luce delle indicazioni fornite dallo stesso Garante si ritiene pertanto del tutto erroneo il rilievo mosso nel caso di specie in riferimento esclusivamente al mancato rispetto del requisito della completezza dei log e non di altre caratteristiche (inalterabilità ed integrità, conservazione per almeno 6 mesi) della registrazione degli accessi applicativi degli amministratori di sistema, come sarebbe stato eventualmente più corretto obiettare in base alle suddette indicazioni" (pag. 89 del ricorso di I grado);

VISTO, inoltre, che nel citato verbale di audizione delle parti, è stato anche rilevato come "(…) la decorrenza dei termini prescrizionali con riferimento al diritto, in capo a codesta Autorità, di riscuotere le somme dovute (…) sia da considerarsi, allo stato, ulteriormente interrotta, alla luce dell´avvenuta impugnazione del Provvedimento, atto cui la Contestazione è indissolubilmente collegata", facendone discendere la richiesta all´Autorità "(…) di voler disporre la sospensione del presente procedimento ovvero di voler comunque soprassedere dalla emissione dell´ordinanza ingiunzione, sino alla pronuncia da parte della Suprema Corte (…)";

RITENUTO che le argomentazioni addotte non risultano idonee al fine di escludere la responsabilità in relazione a quanto contestato. Riguardo le osservazioni inerenti la decorrenza dei termini prescrizionali, si osserva come, pur prendendo atto delle argomentazioni esposte, non viene fatta menzione di alcun riferimento normativo che preveda l´invocato effetto interruttivo dei termini prescrizionali afferenti il procedimento amministrativo sanzionatorio. Ne deriva quindi che non sussistano elementi che consentano di derogare al termine prescrizionale di cui all´art. 28 della legge n. 689/1981. Per quanto riguarda il merito, la spiegazione fornita in ordine all´acclarata incompleta registrazione degli accessi al sistema informatico da parte degli amministratori di sistema, ossia non meglio precisati "obiettivi problemi di natura organizzativa e tecnica" (pag. 33 del ricorso di I grado), non solo appare del tutto generica, ma si rivela inconsistente proprio alla stregua della successiva affermazione, contenuta nel ricorso, secondo cui tali problemi tecnico-organizzativi sono stati successivamente risolti attraverso un apposito programma che riporta i log applicativi di Websense al sistema di archiviazione Arcsight (pag. 34 del ricorso di I grado). Tradotto in parole semplici, ciò significa che le registrazioni degli accessi applicativi degli amministratori di sistema non avvenivano perché non erano state approntate le necessarie misure tecniche, introdotte solo più tardi. La tesi della sufficienza, ai fini del rispetto della prescrizione più volte citata, della registrazione "in locale" degli accessi di tipo applicativo al sistema informatico da parte degli amministratori di sistema, che si pretende di ricavare (pag. 59 e 88 del ricorso di I grado) dall´interpretazione delle risposte ai quesiti frequenti allegate al provvedimento del 27 novembre 2008 (segnatamente le nn.rr 4, 11 e 22), non regge all´esito della lettura di quanto effettivamente previsto sia nel provvedimento generale che nelle stesse FAQ. In particolare, al punto 2, lettera f  (registrazione degli accessi) delle "Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008", è prescritto testualmente: "Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell´evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi". Pertanto, la registrazione solo in locale degli accessi applicativi degli amministratori di sistema – l´unica disponibile finché la società non ha introdotto le misure tecniche necessarie per registrare su Arcsight anche tali tipi di accessi – non soddisfa i requisiti stabiliti dalla citata prescrizione. Infatti, la prescrizione stabilisce che "Le registrazioni […] devono essere conservate per un congruo periodo, non inferiore a sei mesi" (sottolineature nostre), mentre nello stesso ricorso si ammette, con riferimento agli accessi applicativi, che "sussisteva un sistema di tracciamento degli accessi applicativi che venivano  comunque registrati in appositi log aventi una certa profondità storica (60 o 90 giorni)" (pag. 88 del ricorso di I grado), quindi per un tempo ben più breve di quello prescritto dal Garante. Inoltre, come si è già detto, la prescrizione del Garante stabilisce che "le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste". Ebbene, la registrazione in locale non offre alcuna garanzia di integrità ed inalterabilità degli access log, poiché in tale sede i log possono essere alterati (cancellazione o modificazione) dagli incaricati in possesso di privilegi di amministrazione dello specifico sistema, onde non risponde ai requisiti prescritti dal provvedimento del Garante. Paradossalmente, l´inadeguatezza delle registrazioni in locale degli accessi di tipo applicativo da parte degli amministratori di sistema è testualmente ammessa nello stesso ricorso in oggetto, nel punto in cui si afferma: "si ritiene pertanto del tutto erroneo il rilievo mosso nel caso di specie in riferimento esclusivamente al mancato rispetto del requisito della completezza dei log e non di altre caratteristiche (inalterabilità ed integrità, conservazione per almeno 6 mesi) della registrazione degli accessi applicativi degli amministratori di sistema, come sarebbe stato eventualmente più corretto obiettare in base alle suddette indicazioni" (pag. 89 del ricorso di I grado). Circa le FAQ allegate al provvedimento generale sugli amministratori di sistema, la loro lettura non smentisce ma, anzi, conferma quanto sopra riportato. Il particolare, la FAQ n 4 si limita a precisare che anche gli accessi logici (tramite password)  degli amministratori di sistema debbono essere registrati sia se avvengano sui server, sia se avvengano sui client (ossia i singoli p.c. collegati al sistema), eventualmente utilizzando le funzionalità di registrazione già presenti sul sistema operativo presente sul pc client. Tuttavia, tali sistemi di registrazione, per essere bastevoli, debbono rispondere ai requisiti prescritti dal Provvedimento generale del Garante, come si precisa nella stessa FAQ: "Sarà comunque con valutazione del titolare che dovrà essere considerata l´idoneità degli strumenti disponibili oppure l´adozione di strumenti più sofisticati, quali la raccolta dei log centralizzata e l´utilizzo di dispositivi non riscrivibili o di tecniche crittografiche per la verifica dell´integrità delle registrazioni." Come detto, le registrazioni dei log effettuate "in locale" non soddisfano i requisiti prescritti dal Provvedimento del 27 novembre 2008. La FAQ n. 11 nulla aggiunge al tema in argomento, limitandosi a precisare che "La caratteristica di completezza [dei log] è riferita all´insieme degli eventi censiti nel sistema di log, che deve comprendere tutti gli eventi di accesso interattivo che interessino gli amministratori di sistema su tutti i sistemi di elaborazione con cui vengono trattati, anche indirettamente, dati personali". In ordine alla FAQ n 22, questa precisa: "È corretto affermare che l´accesso a livello applicativo non rientri nel perimetro degli adeguamenti, in quanto l´accesso a una applicazione informatica è regolato tramite profili autorizzativi che disciplinano per tutti gli utenti i trattamenti consentiti sui dati? Si. L´accesso applicativo non è compreso tra le caratteristiche tipiche dell´amministratore di sistema e quindi non è necessario, in forza del provvedimento del Garante, sottoporlo a registrazione." L´Istituto Poligrafico, più o meno consapevolmente, fraintende completamente il significato della FAQ, credendo di poterne ricavare l´affermazione secondo cui gli accessi applicativi al sistema informatico da parte degli amministratori di sistema non sarebbe oggetto dell´obbligo di registrazione. Una simile interpretazione si pone però in contrasto con la ratio di fondo del provvedimento generale del 27 novembre 2008 secondo la quale la registrazione degli accessi logici ai sistemi di elaborazione e agli archivi elettronici si rende necessaria in quanto gli amministratori di sistema sono in molti casi addetti "a fasi lavorative che possono comportare elevate criticità rispetto alla protezione dei dati personali". In tal senso devono essere necessariamente interpretate le altre FAQ sopra riportate e, in particolare la FAQ 4, che si riferisce al caso in cui un amministratore di sistema accede ad un applicativo non in quanto amministratore, ma come un qualsiasi utente, ad esempio, accedendo al programma di posta elettronica per scrivere e inviare una e-mail. E´ quindi evidente che questo tipo di accesso "non è compreso tra le caratteristiche tipiche dell´amministratore di sistema e quindi non è necessario, in forza del provvedimento del Garante, sottoporlo a registrazione".

RILEVATO che l´Istituto Poligrafico ha effettuato un trattamento di dati (art. 4 comma 1, lett. a) e b) del Codice) attuando solo parzialmente le misure prescritte dal Garante, ai sensi dell´art. 154, comma 1, lett. c), del Codice, con il Provvedimento relativo agli amministratori di sistema, del 27 novembre 2008;

VISTO l´art. 162, comma 2-ter del Codice, che punisce la violazione dell´art. 154, comma 1 lett. c) del medesimo Codice con la sanzione amministrativa del pagamento di una somma da trentamila euro a centottantamila euro;

RITENUTO che, nel caso in cui l´infrazione non abbia caratterizzazioni specifiche che possano portare a valutazioni di maggiore o minore rigore, nella determinazione della sanzione può ritenersi corretta l´individuazione di un importo pari al terzo del massimo o, se più favorevole, al doppio del minimo, in linea con quanto previsto dall´art. 16 della legge n. 689/1981, ferma restando la valutazione degli ulteriori elementi previsti dall´art. 11 della medesima legge [cfr. Cass. civ., sez. I, 4 novembre 1998, n. 11054];

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge n. 689/1981, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all´aspetto della gravità, gli elementi dell´entità del pregiudizio o del pericolo, della modalità della condotta e dell´intensità dell´elemento psicologico devono essere considerati in ragione del fatto che la sola registrazione in locale degli access log, oltre a non fornire alcuna garanzia di integrità e inalterabilità degli stessi, indica una condotta i cui effetti determinano solo un apparente adempimento alle prescrizioni impartite dal provvedimento del Garante sugli amministratori di sistema;

b) ai fini della valutazione dell´opera svolta dall´agente, deve essere considerato il fatto che, il trasgressore abbia provveduto a tracciare gli accessi effettuati dagli amministratori mediante interfaccia web, in attuazione di quanto prescritto dal provvedimento sugli amministratori di sistema;

c) deve essere considerato che l´Istituto Poligrafico non ha precedenti specifici in termini di violazioni delle disposizioni del Codice;

d) in merito alle condizioni economiche dell´agente, si rileva che l´Istituto Poligrafico risulta avere dichiarato, nell´anno 2012, un congruo risultato di esercizio;

RITENUTO di dover determinare, ai sensi dell´art. 11 della legge n. 689/1981, l´ammontare della sanzione pecuniaria,  in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 60.000,00 (sessantamila);

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

ORDINA

all´Istituto Poligrafico e Zecca dello Stato S.p.A. P.I.: 00880711007, con sede in Roma, via Salaria n. 1027, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 60.000,00 (sessantamila) a titolo di sanzione amministrativa pecuniaria;

INGIUNGE

al medesimo Istituto Poligrafico di pagare la somma di euro 60.000,00 (sessantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge n. 689/1981, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 12 giugno 2014

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia