[doc. web n. 7841339]

Ordinanza ingiunzione nei confronti di Terre Etrusche e di Maremma Credito Cooperativo - 16 novembre 2017

Registro dei provvedimenti
n. 480 del 16 novembre 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che il Nucleo privacy della Guardia di finanza, in esecuzione della richiesta di informazioni n. 14897/97157 del 21 maggio 2015, formulata ai sensi dell´art. 157 del d.lgs. 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito "Codice"), ha svolto gli accertamenti presso Banca di Saturnia e Costa d´Argento Credito Cooperativo (di seguito la "Banca"), con sede in Saturnia (GR), Piazza Vittorio Veneto n. 8, formalizzati nel verbale di operazioni compiute del 14 luglio 2015, diretti a verificare il rispetto della normativa in materia di protezione dei dati personali;

VISTI gli atti relativi agli accertamenti eseguiti presso la sede della Banca dai quali è risultato che la stessa, in qualità di titolare del trattamento ai sensi dell´art. 28 del Codice, effettua un trattamento di dati personali relativo ai propri clienti per mezzo di strumenti elettronici. Nel corso dell´accertamento, è stato effettuato l´accesso al PC aziendale da parte del responsabile del trattamento, mediante autenticazione all´account di dominio utilizzando user id e password composta da 6 caratteri (e non da otto caratteri, come richiesto dalla regola 5 del Disciplinare tecnico di cui all´allegato B) del Codice). Inoltre, è risultato che le impostazioni di sistema relative ai criteri di sicurezza delle password indicavano la lunghezza minima delle password pari a zero;

PRESO ATTO della nota inviata dalla Banca in data 27 luglio 2015, a scioglimento delle riserve formulate nel corso della visita ispettiva, con cui la stessa ha dichiarato che, da una verifica effettuata successivamente all´accertamento ispettivo, è risultato che le password di accesso al sistema Windows, impostate con un numero di caratteri inferiore a 8, sono attribuite a 12 utenti su 80 e di aver apportato, al sistema informativo, le modifiche necessarie a rendere le password conformi alle disposizioni del Codice;

VISTO il verbale n. 67 del 21 luglio 2015, che qui si intende integralmente richiamato, con cui è stata contestata a Banca di Saturnia e Costa d´Argento Credito Cooperativo, in persona del legale rappresentante pro-tempore, la violazione amministrativa prevista dall´art. 162, comma 2-bis, in relazione all´art. 33 del Codice, per la quale non è prevista la definizione in via breve ai sensi dell´art. 16 della legge n. 689/1981;

VISTO lo scritto difensivo, datato 2 settembre 2015, inviato ai sensi dell´art. 18 della legge 24 novembre 1981 n. 689, con cui la parte ha precisato di aver affidato la gestione dei sistemi informatici a una società esterna, la BCC Sistemi Informatici, designata responsabile del trattamento ai sensi dell´art. 29 del Codice. Per poter accedere ai sistemi informatici, ogni operatore deve effettuare una duplice connessione, con relativa distinta autenticazione. Una prima connessione viene fatta al dominio della rete interna della Banca, mediante una procedura di autenticazione che prevede una user-id e una password scelta dall´utente; viene, poi, effettuata una seconda connessione al sistema informatico gestito da BCC SI, tramite una ulteriore procedura di autenticazione, che prevede l´inserimento di una password di lunghezza non inferiore a 8 caratteri. Ciò posto, la violazione della regola 5 del Disciplinare, oggetto del verbale di contestazione, attiene proprio alla password necessaria all´utilizzo del PC e all´effettuazione dell´accesso alla rete interna della Banca. Tale password "è funzionale non tanto per trattare e/o archiviare dati personali di terzi, ma esclusivamente per stabilire la connessione iniziale con il suddetto sistema informativo su cui sono posti tali dati. Questi ultimi, pertanto, sono accessibili dagli operatori incaricati del trattamento per conto della Banca solo dopo un´ulteriore e distinta autenticazione, che prevede l´utilizzo di credenziali diverse da quelle previste per l´accesso alla rete interna e che rispondono pienamente ai requisiti previsti dall´ allegato B, regola 5, del Codice". La parte, pur ritenendo non applicabile alla fattispecie in esame la normativa in argomento, ha disposto, a partire dal 23 luglio 2015, la variazione obbligatoria della password di dominio;

RITENUTO che le argomentazioni addotte non sono idonee ad escludere la responsabilità della parte in ordine a quanto contestato. Sebbene solo la connessione al sistema informativo (tra l´altro possibile mediante una procedura di autenticazione conforme ai criteri citati), rende possibile effettuare operazioni sui dati personali dei clienti, bisogna comunque constatare che, anche tramite la semplice connessione alla rete interna della Banca, è possibile accedere a informazioni contenute in documenti e file di lavoro, residenti sul PC assegnato a ciascun operatore. Infatti, nel corso dell´accertamento ispettivo, i verbalizzanti hanno verificato che, una volta effettuata la connessione al dominio interno della Banca (tramite, appunto, l´inserimento di una password composta da 6 caratteri), sul desktop del PC in uso all´operatore della Banca erano presenti icone di collegamento e file in formato word, da cui risultavano dati personali (vedi allegato 2 al verbale di operazioni compiute). L´utilizzo di una password conforme ai criteri fissati nel Disciplinare tecnico risponde all´esigenza di impedire accessi indebiti agli strumenti di lavoro con ripercussioni in tema di sicurezza;

PRESO ATTO del fatto che la Banca di Saturnia e Costa d´Argento Credito Cooperativo, in data 2 ottobre 2016, si è fusa per incorporazione in Terre Etrusche e di Maremma Credito Cooperativo, con sede in Orbetello (GR), via Maremmana n. 35, P.I. 01602230532;

RILEVATO che, anche alla luce di quanto previsto dal provvedimento contenente "Prescrizioni in materia di operazioni di fusione e scissione tra società", adottato dal Garante in data 8 aprile 2009 (in www.garanteprivacy.it, doc. web n. 1609999), in base al quale la società incorporante assume i diritti e gli obblighi della società incorporata, divenendo così unico titolare del trattamento in relazione ai dati personali precedentemente trattati, Terre Etrusche e di Maremma Credito Cooperativo, in qualità di titolare del trattamento, ai sensi degli artt. 4 e 28 del Codice, ha effettuato un trattamento di dati personali in violazione dell´art. 162, comma 2-bis, omettendo di adottare le misure minime di sicurezza previste dall´art. 33;

VISTO l´art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell´art. 33, con la sanzione amministrativa del pagamento di una somma, da diecimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge n. 689/1981, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

RITENUTO, quindi, di dover determinare, ai sensi dell´art. 11 della legge n. 689/1981, l´ammontare della sanzione pecuniaria,  in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 10.000,00 (diecimila) per la violazione di cui all´art. 162, comma 2-bis, in relazione all´art. 33 del Codice;

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

ORDINA

a Terre Etrusche e di Maremma Credito Cooperativo, con sede in Orbetello (GR), via Maremmana n. 35, P.I. 01602230532, quale società incorporante la Banca di Saturnia e Costa d´Argento Credito Cooperativo, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per la violazione di cui all´art. 162, comma 2-bis, indicata in motivazione;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 10.000,00 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d. lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 16 novembre 2017

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia