Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Acantho s.p.a. - 30 marzo 2017 [6526375]

[doc. web n. 6526375]

Ordinanza ingiunzione nei confronti di Acantho s.p.a. - 30 marzo 2017

Registro dei provvedimenti
n. 169 del 30 marzo 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che il Nucleo speciale privacy della Guardia di finanza, in esecuzione della richiesta di informazioni n. 6153/91026 del 28 febbraio 2014, formulata ai sensi dell´art. 157 del d.lgs. 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito "Codice"), ha svolto gli accertamenti presso Acantho s.p.a., società fornitrice di servizi di comunicazione elettronica, con sede in Imola (BO), Via Molino Rosso n. 8, P.I. 02081881209, formalizzati nei verbali di operazioni compiute del 4 e 5 giugno 2014, diretti a verificare il rispetto della normativa in materia di protezione dei dati personali, con particolare riferimento alla conservazione dei dati di traffico telefonico e telematico. Sulla base degli accertamenti eseguiti e della documentazione fatta pervenire dalla società successivamente, è emerso che Acantho s.p.a., in qualità di titolare del trattamento ai sensi dell´art. 28 del Codice:

- ha conservato i dati di traffico telefonico dei propri clienti per finalità di fatturazione per un periodo superiore a sei mesi (agosto 2013 – giugno 2014), in violazione di quanto previsto dall´art. 123, comma 2, del Codice;

- ha conservato i dati di traffico telematico per finalità di accertamento e repressione dei reati per un periodo di ventiquattro mesi, quindi superiore ai dodici mesi previsti dall´art. 132, comma 1, del Codice;

- ha effettuato un trattamento di dati di traffico telefonico e telematico per finalità di accertamento e repressione dei reati senza adottare le misure di custodia in aree ad accesso selezionato, con particolare riferimento alla procedura di riconoscimento biometrico per il controllo delle aree ad accesso selezionato, prescritte dal provvedimento del Garante del 17 gennaio 2008 modificato ed integrato dal successivo provvedimento del 24 luglio 2008 in materia di conservazione di dati di traffico telefonico e telematico [doc. web n. 1538224]; 

VISTO il verbale n. 53 del 3 luglio 2014, che qui si intende integralmente richiamato, con cui è stata contestata ad Acantho s.p.a., in qualità di titolare del trattamento, in persona del legale rappresentante pro-tempore, la violazione amministrativa prevista dall´art. 162, comma 2-bis, del Codice, in relazione all´art. 123, comma 2, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge 24 novembre 1981 n. 689;

RILEVATO che dal rapporto predisposto ai sensi dell´art. 17 della legge 24 novembre 1981 n. 689 dal predetto Nucleo non risulta che la Società abbia effettuato il pagamento in misura ridotta;

VISTO il verbale n. 54 del 3 luglio 2014, che qui si intende integralmente richiamato, con cui è stata contestata ad Acantho s.p.a., in persona del legale rappresentante pro-tempore, la violazione amministrativa prevista dall´art. 162-bis, del Codice, in relazione all´art. 132, comma 1, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge 24 novembre 1981 n. 689;

RILEVATO che dal rapporto predisposto ai sensi dell´art. 17 della legge 24 novembre 1981 n. 689 dal predetto Nucleo non risulta che la Società abbia effettuato il pagamento in misura ridotta;

VISTO, inoltre, il verbale n. 55 del 3 luglio 2014, che qui si intende integralmente richiamato, con cui è stata contestata alla medesima Società, in persona del legale rappresentante pro-tempore, la violazione amministrativa prevista dall´art. 162, comma 2-bis, in relazione all´art. 17 del Codice, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge 24 novembre 1981 n. 689;

RILEVATO che dal rapporto predisposto ai sensi dell´art. 17 della legge 24 novembre 1981 n. 689 dal predetto Nucleo non risulta che la Società abbia effettuato il pagamento in misura ridotta;

VISTO lo scritto difensivo, datato 31 luglio 2014, inviato ai sensi dell´art. 18 della legge 24 novembre 1981 n. 689, con cui la parte ha dichiarato che:

- in ordine ai verbali di contestazione n. 53 e n. 54, il superamento dei termini di conservazione dei dati di traffico telefonico e telematico, di cui agli artt. 123, comma 2, e 132, comma 1, del Codice è stato causato da un malfunzionamento del sistema "il quale avrebbe dovuto cancellare in automatico i dati alle scadenze pre-impostate secondo i termini di legge (…). L´operazione di cancellazione si interruppe per una saturazione dello spazio di archiviazione". Ai fini della quantificazione delle relative sanzioni, vanno considerate "l´esiguità del periodo di sforamento rispetto ai termini di legge" e "l´immediata attivazione della società titolare del trattamento volta ad ottemperare alle prescrizioni";

- con riguardo, invece, al verbale di contestazione n. 55, attinente la mancata adozione delle misure biometriche presso le aree ad accesso selezionato, "il provvedimento del Garante del 17 gennaio 2008, invero, non prescrive affatto che le aree o i locali in cui sono contenuti i server siano dotati di sistema di sicurezza biometrici, limitandosi genericamente a disporre che detti sistemi avanzati debbano essere previsti in relazione agli accessi ai dati". Sotto questo profilo, la strumentazione adottata dalla società risulta pienamente conforme alle prescrizioni del Garante e idonea ad assicurare un adeguato livello di protezione dei dati, ben più efficace di quella prevista nel citato provvedimento, laddove emerge dai verbali come "non solo la struttura ospitante i server (…) fosse estremamente sicura e videosorvegliata, ma anche come fossero utilizzate le tecniche biometriche per l´accesso ai terminali e ai server stessi conformemente a quanto prescritto nel provvedimento". Una diversa interpretazione del provvedimento del Garante, configurerebbe in capo alla società l´assenza di colpevolezza, dovuta alla mancata conoscibilità dell´antigiuridicità della propria condotta e quindi l´inescusabilità per inesattezza del precetto normativo. La parte ha, dunque, concluso chiedendo l´archiviazione delle contestazioni elevate o, in subordine, l´applicazione delle sanzioni al minimo edittale con eventuale ricorso all´istituto della continuazione di cui all´art. 8 della legge n. 689/1981;

LETTO il verbale di audizione, svoltasi in data 2 febbraio 2015, ai sensi dell´art. 18 della legge n. 689/1981, con cui la parte ha ribadito quanto già dichiarato nelle memorie difensive;

RITENUTO che le argomentazioni addotte non sono idonee ad escludere la responsabilità della parte in ordine a quanto contestato.

- Con riferimento alle violazioni degli artt. 123, comma 2, e 132, comma 1, del Codice, si osserva che il verificarsi di un errore tecnico, riconducibile a una "saturazione" dello spazio di archiviazione del sistema, come causa del superamento dei termini di conservazione dei dati di traffico telefonico e telematico, non consente di riconoscere in capo alla parte l´esimente della buona fede, prevista dall´art. 3 della legge n. 689/1981. Affinché possa configurarsi tale situazione, è necessario che l´errore sia stato inevitabile e incolpevole, tale cioè da essere evitato con l´ordinaria diligenza (Cass. Civ. Sez. lav. 12 luglio 2010 n. 16320);

- rispetto alla violazione delle prescrizioni impartite dal Garante con il provvedimento datato 24 luglio 2008, non può essere condivisa l´interpretazione della parte in ordine all´utilizzo della strumentazione biometrica unicamente per l´accesso ai sistemi informatici. Come noto, il citato provvedimento prescrive per l´accesso ai sistemi "di adottare specifici sistemi di autenticazione informatica basati su tecniche di strong authentication, consistenti nell´uso contestuale di almeno due differenti tecnologie di autenticazione"; in particolare, per i dati trattati per finalità di accertamento e repressione dei reati, è richiesto che una di tali tecnologie sia basata sull´elaborazione di caratteristiche biometriche dell´incaricato (lett. a), punto 1 del dispositivo). Per quanto concerne la conservazione dei dati di traffico per esclusive finalità di accertamento e repressione dei reati, il medesimo provvedimento prescrive, tra l´altro, che le attrezzature informatiche utilizzate per il trattamento dei dati di traffico per le citate finalità siano collocate all´interno di "aree ad accesso selezionato" e che, nel caso di dati di traffico telefonico, il controllo degli accessi comprenda una procedura di riconoscimento biometrico (punto 3 del dispositivo). Le prescrizioni contenute in questa parte del dispositivo, dunque, si riferiscono alle misure da adottare per il controllo degli accessi alle aree in cui sono conservati i server, e non al controllo degli accessi ai sistemi, a cui, come detto, è riservata la prima parte del dispositivo. Le modalità di autenticazione biometrica, pertanto, vanno applicate sia per accedere ai sistemi di elaborazione (punto 1) sia per accedere alle aree in cui sono collocate le attrezzature informatiche, limitatamente ai trattamenti di dati di traffico telefonico (punto 3). Ciò al fine di assicurare che quanti accedono alle aree siano effettivamente legittimati e autorizzati a trattare i dati in argomento. Nel caso in esame, poiché la sala CED custodiva sia i dati di traffico telefonico che telematico, è stata rilevata la mancata adozione di un sistema di autenticazione biometrica.

Infine, quanto alla quantificazione delle sanzioni irrogate, si osserva che l´applicabilità dell´attenuante di cui all´art. 164-bis, comma 1, del Codice è espressamente preclusa per la violazione di cui all´art. 162-bis; mentre risulta priva di pregio l´argomentazione della parte in ordine all´applicazione dell´art. 8 della L. 689/1981, posto che l´istituto della "continuazione" non è applicabile alle violazioni in materia di protezione dei dati personali, ma solo in materia di previdenza e assistenza obbligatorie (art. 8, comma 2);

RILEVATO, pertanto, che Acantho s.p.a., sulla base delle considerazioni sopra richiamate, in qualità di titolare del trattamento, ai sensi degli artt. 4 e 28 del Codice, risulta aver effettuato un trattamento di dati di traffico telefonico e telematico:

a) in violazione dell´art. 162, comma 2-bis, del Codice, in relazione all´art. 123, comma 2, per aver conservato i dati di traffico telefonico per finalità di fatturazione per un periodo superiore a sei mesi;

b) in violazione dell´art. 162-bis del Codice, in relazione all´art. 132, comma 1 del Codice, per aver conservato dati di traffico telematico per finalità di accertamento e repressione dei reati per un periodo superiore ai 12 mesi;

c) in violazione dell´art. 162, comma 2-bis del Codice, in relazione all´art. 17, ai sensi dell´art. 167 del Codice, per aver omesso di adottare, relativamente ai dati del traffico telefonico conservati per finalità di accertamento e repressione dei reati, le misure relative alla custodia in aree ad accesso selezionato prescritti dal Garante nel provvedimento del 17 gennaio 2008, modificato ed integrato dal successivo provvedimento del 24 luglio 2008 in materia di conservazione di dati di traffico telefonico e telematico [doc. web n. 1538224];

VISTO l´art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni di cui all´art. 167 del Codice che richiama, tra gli altri, gli artt. 17 e 123, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

VISTO l´art. 162-bis, del Codice che punisce la violazione delle disposizioni indicate nell´art. 132, commi 1, del Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a cinquantamila euro;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge n. 689/1981, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all´aspetto della gravità con riferimento agli elementi dell´entità del pregiudizio o del pericolo e dell´intensità dell´elemento psicologico, le violazioni non risultano connotate da elementi specifici;

b) ai fini della valutazione dell´opera svolta dall´agente, deve evidenziarsi che Acantho s.p.a. si è immediatamente attivata per porre rimedio alle condotte che avevano determinato le contestazioni in argomento;

c) circa la personalità dell´autore della violazione, deve essere considerata la circostanza che la società non risulta gravata da precedenti procedimenti sanzionatori;

d) in merito alle condizioni economiche dell´agente, sono stati presi in considerazione gli elementi delle dichiarazioni reddituali relative all´anno d´imposta 2015;

RITENUTO, quindi, di dover determinare, ai sensi dell´art. 11 della L. n. 689/1981, l´ammontare della sanzione pecuniaria,  in ragione dei suddetti elementi valutati nel loro complesso, nella misura di:

- euro 10.000,00 (diecimila) per le violazioni di cui all´art. 162, comma 2-bis, in relazione all´art. 123, comma 2, del Codice;

- euro 10.000,00 (diecimila) per le violazioni di cui all´art. 162, comma 2-bis, in relazione all´art. 17 del Codice;

-  euro 10.000,00 (diecimila) per le violazioni di cui all´art. 162-bis del Codice, in relazione all´art. 132, comma 1 del Codice;

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

ORDINA

ad Acantho s.p.a., società fornitrice di servizi di comunicazione elettronica, con sede in Imola (BO), Via Molino Rosso n. 8, P.I. 02081881209, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 30.000,00 (trentamila) a titolo di sanzione amministrativa pecuniaria, per le violazioni indicate in motivazione;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 30.000,00 (trentamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d. lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 30 marzo 2017

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia