[doc. web n. 1876945]

Ordinanza di ingiunzione nei confronti di NGI s.p.a. - 4 ottobre 2011

Registro dei provvedimenti
n. 366 del 4 ottobre 2011

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele De Paoli, segretario generale;

ESAMINATO il rapporto dell´Ufficio del Garante per la protezione dei dati personali predisposto ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689, relativo al verbale di contestazione per violazioni amministrative redatto in data 18 novembre 2009 nei confronti di NGI s.p.a., con sede in Settimo Milanese (Mi), via Darwin n. 85, in persona del legale rappresentante pro-tempore, per violazione degli artt. 33, 132, comma 1 e 154, comma 1, lett. c),  del Codice in materia di protezione dei dati personali (di seguito denominato Codice);

RILEVATO che il Nucleo speciale privacy della Guardia di finanza, in esecuzione di un´attività ispettiva effettuata ai sensi dell´art. 158 del Codice delegata dal Garante, ha svolto gli accertamenti di cui ai verbali di operazioni compiute datati 15 e 16 settembre 2009, dai quali è risultato che NGI s.p.a.: a) non ha effettuato le designazioni degli incaricati del trattamento, previste dall´art. 30 del Codice, nei confronti di tutti i dipendenti che hanno accesso ai dati di traffico e non ha redatto il documento programmatico sulla sicurezza (DPS) previsto dalla regola 19 del Disciplinare tecnico in materia di misure minime di sicurezza; b) i dati raccolti per le finalità di cui all´art. 132 del Codice (accertamento e repressione dei reati) relativi al traffico telematico dei propri clienti (dati relativi all´inizio e alla fine della sessione, all´indirizzo IP dell´autore della connessione, ai volumi di traffico telematico in ingresso e in uscita) sono stati conservati a partire dall´anno 2001 senza che sia mai stata effettuata alcuna cancellazione degli stessi; c) non ha osservato le prescrizioni impartite dal Garante con il provvedimento del 17 gennaio 2008, già efficace dal 1° maggio 2009;

VISTO il provvedimento prescrittivo del Garante datato 21 ottobre 2009;

VISTO il verbale nr. 25248/65244 del 18 novembre 2009 con cui sono state contestate alla predetta società le violazioni amministrative previste dagli artt. 162, comma 2-bis e ter nonché dall´art. 162 bis del Codice, in relazione agli artt. 33, 132, comma 1 e 154, comma 1, lett. c), informandola della facoltà di effettuare, con esclusione della violazione prevista dall´art. 33 e sanzionata dall´art. 162, comma 2 bis non definibile in via breve, il pagamento in misura ridotta ai sensi dell´art. 16 della legge n. 689/1981;

RILEVATO dal predetto rapporto che risulta essere stato effettuato il pagamento in misura ridotta per la sola violazione prevista dall´art. 132, comma 1 e sanzionata dall´art. 162-bis del Codice;

VISTO lo scritto difensivo datato 30 dicembre 2009, inviato ai sensi dell´art. 18 della legge n. 689/1981 nel quale la società, chiedendo l´annullamento della sanzione di cui all´art. 162, comma 2-ter e l´applicazione del minimo edittale per le altre sanzioni contestate, relativamente alla violazione dell´art. 33 sanzionata dall´art. 162, comma 2-bis, ha rappresentato che "Nelle more dell´attività di NGI di ottemperanza alle prescrizioni in materia di misure di sicurezza (commissionate allo studio di consulenza Integrated Managment Sistems s.a.s.), sono intervenuti i due accertamenti del Garante privacy i quali, all´epoca dei fatti, non hanno potuto far altro che constatare la violazione di cui al punto c) del provvedimento sanzionatorio, benchè NGI (…) si fosse già attivata al fine di adempiere alle prescrizioni regolamentari in tema"; visto che la società, con riferimento alla violazione dell´art. 154, comma 1, lett. c), sanzionata dall´art. 162, comma 2-ter del Codice, ha rilevato che "(…) il provvedimento del 24 luglio 2008 (che si assume essere stato disapplicato dal trasgressore) è stato adottato sulla base degli articoli 17  e 132, comma 5, del Codice della privacy ossia su presupposti diversi da quelli previsti dall´art. 162, comma 2-ter (art. 143 del Codice che inerisce il procedimento per i reclami), facendo erroneamente di quest´ultimo un´interpretazione estensiva";

VISTA  la nota datata 28 giugno 2010 con la quale la società ha rinunciato alla facoltà di essere sentita ai sensi dell´art. 18 della legge n. 689/1981;

RITENUTO che le argomentazioni addotte non risultano idonee in relazione a quanto contestato. Relativamente alla violazione delle misure minime di sicurezza di cui all´art. 33 del Codice, si evidenzia come la disciplina dell´errore scusabile di cui all´art. 3 della legge n. 689/1981, non sia applicabile al caso di specie, atteso che non è stato fornito alcun elemento positivo, estraneo all´autore della violazione, idoneo a ingenerare nell´agente l´incolpevole opinione di liceità del suo agire (Cass. Civ., Sez. I 11 febbraio 1999 n. 1151). Riguardo la violazione dell´art. 154, comma 1, lett. c), del Codice, inerente l´inosservanza del provvedimento del Garante datato 17 gennaio 2008, si rileva come la sanzione amministrativa prevista dall´art. 162, comma 2-ter, in relazione all´espressione contenuta nell´art. 154, comma 1, lett. c), "anche d´ufficio", sia applicabile, come nel caso di specie, anche alle violazioni dei provvedimenti a carattere generale adottati dal Garante motu proprio e che, pertanto, anche in questo caso non ricorrono i presupposti applicativi della citata disciplina di cui all´art. 3 della legge n. 689/1981;

RILEVATO, quindi, che la società non ha effettuato le designazioni degli incaricati del trattamento, previste dall´art. 30 del Codice, nei confronti di tutti i dipendenti che hanno accesso ai dati di traffico e non ha redatto il documento programmatico sulla sicurezza (DPS) previsto dalla regola 19 del Disciplinare tecnico in materia di misure minime di sicurezza, violando quanto disposto dall´art. 33 del Codice e non ha osservato le prescrizioni impartite dal Garante con il provvedimento del 17 gennaio 2008, già efficace dal 1° maggio 2009, disattendendo quanto previsto dall´art. 154, comma 1, lett. c), del Codice;

VISTO l´art. 162, comma 2-bis, del Codice, nella formulazione antecedente alla modifica apportata con la legge 20 novembre 2009 n. 166, che punisce la violazione delle disposizioni indicate nell´art. 33 del Codice con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro;

VISTO l´art. 162, comma 2-ter del Codice che punisce l´inosservanza dei provvedimenti di prescrizione di misure necessarie di cui all´art. 154, comma 1 lett. c) con la sanzione amministrativa del pagamento di una somma da trentamila euro a centottantamila euro;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all´aspetto della gravità, relativamente alla contestazione di cui all´art. 162, comma 2-bis del codice, gli elementi dell´entità del pregiudizio o del pericolo, dell´intensità dell´elemento psicologico e della modalità concreta della condotta devono essere valutati alla luce del fatto che il trasgressore ha adempiuto alle prescrizioni impartite e ha effettuato il pagamento previsto nell´ambito del procedimento estintivo del reato di cui all´art. 169, comma 2, del Codice. Inoltre la società si è attivata in tal senso prima degli accertamenti ispettivi effettuati, mentre, relativamente alla contestazione di cui all´art. 162, comma 2-ter, del Codice, non si rilevano elementi specifici;

b) ai fini della valutazione dell´opera svolta dall´agente, deve essere favorevolmente considerato che la società ha adempiuto alle misure richieste nell´ambito del procedimento;

c) circa la personalità dell´autore della violazione, deve essere positivamente considerata la circostanza che la società non risulti avere precedenti specifici in termini di violazioni alle disposizioni del Codice;

d) in merito alle condizioni economiche dell´agente, al fine di commisurare l´importo della sanzione alla reale capacità economica del trasgressore nel rispetto del principio di uguaglianza, si rileva che la società, appartenente alla categoria delle medie imprese, risulta per l´anno 2009 avere conseguito un rilevante utile di esercizio;

RITENUTO di dover determinare, ai sensi dell´art. 11 della legge n. 689/1981, l´ammontare della sanzione pecuniaria per la violazione dell´art. 162, comma 2-bis, del Codice, in vigore prima della modifica introdotta dal decreto legge 25 settembre 2009 n. 135 convertito con modificazioni dalla legge 20 novembre 2009 n. 166, nella misura del minimo pari a un importo di euro 20.000,00 (ventimila) e l´ammontare della sanzione pecuniaria per la violazione dell´art. 162, comma 2-ter del Codice nella misura del minimo pari a un importo di euro 30.000,00 (trentamila), per un importo complessivo pari a euro 50.000,00 (cinquantamila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il prof. Francesco Pizzetti;

ORDINA

a NGI s.p.a., con sede in Settimo Milanese (Mi), via Darwin n. 85, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 50.000,00 (cinquantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni previste dagli artt. 162, comma 2-bis e ter;

INGIUNGE

alla medesima società di pagare la somma di euro 50.000,00 (cinquantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento.

Avverso il presente provvedimento, ai sensi dell´art. 152 del Codice, può essere proposta opposizione davanti al tribunale ordinario del luogo ove ha sede il titolare del trattamento entro il termine di trenta giorni dalla notificazione del provvedimento stesso.

Roma, 4 ottobre 2011

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
De Paoli