g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Momax s.r.l. - 16 febbraio 2017 [6547930]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 6547930]

Ordinanza ingiunzione nei confronti di Momax s.r.l. - 16 febbraio 2017

Registro dei provvedimenti
n. 63 del 16 febbraio 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che la Guardia di finanza, Nucleo speciale privacy, in esecuzione della richiesta di informazioni n. 7362/84282 del 21 marzo 2013 formulata ai sensi dell´art. 157 del d. lgs. 30 giugno 2003 n. 196, recante il Codice in materia di protezione dei dati personali (di seguito "Codice") ha svolto un´attività di controllo formalizzata con i verbali di operazioni compiute datati 28 e 29 agosto 2013, a fronte della quale, a scioglimento delle riserve formulate in tale sede con note del 12 e 20 settembre 2013, è stato accertato che Momax s.r.l. P.Iva: 05514840486, società fornitrice di servizi di comunicazione elettronica, con sede in Pelago (Fi), via Vallombrosana n. 100,  in qualità di titolare ai sensi dell´art. 28 del Codice:

1) ha effettuato un trattamento di dati di traffico telefonico, conservandoli per finalità di accertamento e repressione dei reati, senza aver adottato le misure di riconoscimento biometrico per il controllo delle aree ad accesso selezionato e strong authentication, in violazione di quanto prescritto dal Provvedimento a carattere generale del Garante datato 17 gennaio 2008 pubblicato in G.U. n. 30 del 5 febbraio 2008 (in www.garanteprivacy.it, doc. web n. 1482111), recante "Sicurezza dei dati di traffico telefonico e telematico", ai sensi dell´art. 17;

2) ha conservato i dati di traffico telefonico dei propri clienti per finalità di fatturazione, per un periodo superiore a sei mesi (2011 – 2013), in violazione di quanto previsto dall´art. 123, comma 2 del Codice;

3) ha effettuato un trattamento di dati personali mediante l´utilizzo di un sistema di videosorveglianza, accertando che le immagini più remote e visibili registrate tramite il citato impianto erano conservate dalla data del 30 luglio 2013 al 29 agosto 2013 e quindi per un periodo superiore a quello (una settimana) previsto al punto 3.4 del provvedimento generale dell´Autorità in materia di videosorveglianza datato 8 aprile 2010 (in www.garanteprivacy.it, doc. web n. 1712680), in violazione di quanto previsto dall´art. 154, comma 1, lett.c) del Codice;

4) ha conservato i dati di traffico telefonico dei propri clienti per finalità di accertamento e repressione dei reati, per un periodo superiore a ventiquattro mesi (2007 – 2013), in violazione di quanto previsto dall´art. 132, comma 1 del Codice;

VISTI i verbali nn.rr. 58, 59, 60 e 61 tutti datati 7 ottobre 2013 redatti dalla Guardia di finanza, Nucleo speciale privacy, con i quali sono state contestate a Momax s.r.l., in qualità di titolare del trattamento, fornitrice di servizi di comunicazione elettronica, rispettivamente; 1) la violazione amministrativa prevista dall´art. 162, comma 2-bis, in relazione agli artt. 17, 123 e 132, comma 5 del Codice (quest´ultimo per effetto del rinvio operato all´art. 123, comma 2 del Codice); 2) la violazione amministrativa prevista dall´art. 162, comma 2-bis, in relazione all´art. 123, comma 2 del Codice; 3) la violazione amministrativa prevista dall´art. 162, comma 2-ter, in relazione all´art. 154, comma 1, lett.c) del Codice; 4) la violazione amministrativa prevista dall´art. 162, comma 2-bis, in relazione all´art. 132, comma 1 del Codice,  informandola, per ciascuna delle violazioni contestate, della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge 24 novembre 1981, n. 689;

RILEVATO dal rapporto predisposto ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689, relativo ai suddetti verbali di contestazione, che non risulta essere stato effettuato per nessuna della quattro contestazioni, il pagamento in misura ridotta;

VISTI i distinti scritti difensivi inviati ai sensi dell´art. 18 della legge 24 novembre 1981, n. 689, con i quali la società, relativamente al verbale di contestazione n. 58 di cui al punto 1), ha evidenziato come "I dati di traffico telefonico sono (…) conservati per finalità di accertamento e repressione dei reati in apposita sala CED protetta da porta metallica chiusa a chiave sia con sistema tradizionale che con chiave elettronica (RFID). (…) con la conseguenza che la procedura di vigilanza deve comunque ritenersi valida e rispettosa dei criteri previsti dalla legge". Inoltre, riguardo la strong authentication, ha rilevato come "(…) il sistema utilizzato, (sia) in linea con le prescrizioni del Codice (…). Purtroppo durante il mese di agosto a causa del trasloco in corso il sistema era stato momentaneamente disattivato, ma è stato ripristinato nei giorni immediatamente seguenti fin dai primi di settembre". In riferimento al verbale di contestazione n. 59 di cui al punto 2) ha osservato come in base alla previsione di cui all´art. 123, comma 2 del Codice "(…) in caso di contenzioso i dati di traffico a fini fatturazione possono essere conservati oltre i sei mesi (…)". (…) Nel caso che ci occupa MOMAX ha in corso contenziosi con TELECOM sulla fatturazione attiva e passiva". (…) E´ questo il motivo della conservazione dei dati di traffico, dall´anno 2011 fino all´estate 2013, essendo stato necessario gestire le contestazioni  (…)". Riguardo al verbale di contestazione n. 60 di cui al punto 3), ha rilevato come "(…) è possibile accedere alle immagini registrate solo mediante una specifica procedura  e solo al sig. (omissis) (legale rappresentante pro-tempore di Momax s.r.l.)", quindi "(…) la possibilità di vedere le immagini è praticamente impossibile per chiunque tanto da potersi dire che sono comunque rispettati i principi ed i fondamenti prescritti nel Provvedimento in materia di videosorveglianza dettati dal Garante". In relazione al verbale di contestazione n. 61 di cui al punto 4), ha ritenuto "(…) in assoluta buona fede (…) che il sistema di cifratura dei dati ed il fatto che soltanto lui stesso conoscesse la chiave di decriptaggio [i.e. l´amministratore e legale rappresentante pro tempore della società] fosse equivalente all´aver distrutto i dati garantendo al tempo stesso la possibilità di accesso alle procure ed alle forze dell´ordine quando tale evento fosse stato necessario per la repressione dei reati";

VISTO il verbale dell´audizione delle parti redatto in data 22 settembre 2014, ai sensi dell´art. 18 della legge n. 689/1981, nel quale la società, ribadendo quanto argomentato nelle rispettive memorie,  ha chiesto l´annullamento dei verbali di contestazione nn. rr. 59 e 60, e l´applicazione del minino edittale per le sanzioni di cui ai verbali di contestazione nn. rr. 58 e 61;

RITENUTO, pertanto, che le argomentazioni addotte da Momax s.r.l. non risultano idonee ad escludere la responsabilità in relazione a quanto contestato. Relativamente al verbale di contestazione n. 58 di cui al punto 1), si evidenzia come il Garante, nel sopra richiamato provvedimento generale del 17 gennaio 2008, abbia stabilito come il trattamento dei dati di traffico telefonico e telematico debba essere consentito unicamente sulla base del preventivo utilizzo di specifici sistemi di autenticazione informatica basati su tecniche di strong authentication, consistenti nell´uso contestuale di almeno due differenti tecnologie di autenticazione. Nel medesimo provvedimento il Garante ha parimenti stabilito come, per i dati di traffico conservati per finalità di accertamento e repressione dei reati, una di tali tecnologie deve essere basata sull´elaborazione di caratteristiche biometriche dell´incaricato, in modo tale da assicurare la presenza fisica di quest´ultimo presso la postazione di lavoro utilizzata per il trattamento. Posto quanto sopra, si rileva come, anche alla luce di quanto dichiarato nella memoria difensiva, sia pacifico che, all´esito dell´attività di controllo formalizzata nei verbali di operazioni compiute del 28 e 29 agosto 2013, la società, quale società fornitrice di servizi di comunicazione elettronica che tratta dati di traffico conservati per finalità di accertamento e repressione dei reati, non utilizzasse specifici sistemi di autenticazione informatica basati su tecniche di strong authentication e, nello specifico, sistemi di riconoscimento biometrico sia per il controllo delle aree ad accesso selezionato che per gli accessi al sistema informatico, con ciò contravvenendo alle previsioni del citato Provvedimento a carattere generale del Garante datato 17 gennaio 2008. In riferimento al verbale di contestazione n. 59 di cui al punto 2), pur tenendo conto del fatto che "(…) MOMAX ha in corso contenziosi con TELECOM sulla fatturazione attiva e passiva", si rileva come le comunicazioni allegate alla memoria difensiva recanti in oggetto "contestazione fatture" riferite sia a fatturazione attiva che passiva intercorse tra Momax s.r.l. e Telecom Italia s.p.a. nonché tra Momax s.r.l. e National Wholesale Services, riguardano, per l´anno 2011 i mesi da marzo a ottobre, tutte le mensilità dell´anno 2012 e per l´anno 2013 i soli mesi di gennaio e febbraio. Alla luce di ciò, nonostante, ai sensi dell´art. 123, comma 2 del Codice, il limite di conservazione di sei mesi dei dati di traffico telefonico dei clienti per finalità di fatturazione possa essere derogato "(…) per effetto di una contestazione anche in sede giudiziale", si rileva come, nel caso di specie, non risulti documentata alcuna contestazione afferente le mensilità di gennaio, febbraio, novembre e dicembre 2011, ciò determinando l´inapplicabilità, per i periodi anzidetti, della deroga di cui al citato art. 123, comma 2 del Codice. Riguardo al verbale di contestazione n. 60 di cui al punto 3), si evidenzia come risulti pacifico, anche alla luce di quanto dichiarato nella memoria difensiva, che i tempi di conservazione delle immagini riprese dall´impianto di videosorveglianza, così come accertato ai sensi dell´art. 13 della legge n. 689/1981, sono superiori a quelli previsti nel già citato provvedimento in materia di videosorveglianza, al punto 3.4, senza che a quanto asserito circa il fatto che "sono comunque rispettati i principi ed i fondamenti prescritti nel Provvedimento in materia di videosorveglianza dettati dal Garante" possa essere attribuita alcuna rilevanza nel caso che ci occupa. Ciò anche in ragione del fatto che la società, contravvenendo alle ulteriori disposizioni di cui al già citato punto 3.4 del provvedimento in materia di videosorveglianza, non ha formulato alcuna richiesta di una verifica preliminare ai sensi dell´art. 17 del Codice al fine di poter legittimamente procedere a un allungamento dei tempi di conservazione per un periodo superiore alla settimana. In relazione al verbale di contestazione n. 61 di cui al punto 4), si osserva che quanto argomentato riguardo il fatto "(…) che il sistema di cifratura dei dati ed il fatto che soltanto lui stesso conoscesse la chiave di decriptaggio fosse equivalente all´aver distrutto i dati (…)" non consente di qualificare tale condotta quale elemento costitutivo della disciplina sull´errore scusabile di cui all´art. 3 della legge n. 689/1981, atteso che l´errore sulla liceità del fatto, comunemente indicato come buona fede, può rilevare come causa di esclusione della responsabilità solo quando esso risulti incolpevole . A tal fine occorre, cioè, un elemento positivo idoneo ad indurre un errore siffatto, non ovviabile dal trasgressore con l´ordinaria diligenza (Cass. Civ. sez. I del 21 febbraio 1995 n. 1873; Cass. Civ. sez II del 13 marzo 2006, n. 5426), elemento che non è riscontrabile nel caso di specie.

RILEVATO, quindi, che Momax s.r.l., società fornitrice di servizi di comunicazione elettronica, in qualità di titolare del trattamento, 1) non ha provveduto ad attuare le misure previste dal Provvedimento a carattere generale del Garante datato 17 gennaio 2008, recante "Sicurezza dei dati di traffico telefonico e telematico", adottato ai sensi degli artt. 17, 123 e 132, comma 5 del Codice (quest´ultimo per effetto del rinvio operato all´art. 123, comma 2 del Codice), 2) ha conservato i dati di traffico telefonico dei propri clienti per finalità di fatturazione, per un periodo superiore a sei mesi (2011 - 2013), in violazione di quanto previsto dall´art. 123, comma 2 del Codice, 3) ha effettuato un trattamento di dati personali mediante l´utilizzo di un sistema di videosorveglianza, conservando le immagini per un periodo di 31 giorni superiore a quello (una settimana) previsto al punto 3.4 del provvedimento generale dell´Autorità in materia di videosorveglianza datato 8 aprile 2010, in violazione di quanto previsto dall´art. 154, comma 1, lett.c) del Codice, 4) ha conservato i dati di traffico telefonico dei propri clienti per finalità di accertamento e repressione dei reati, per un periodo superiore a ventiquattro mesi (2007 – 2013), in violazione di quanto previsto dall´art. 132, comma 1 del Codice;

VISTO l´art. 162, comma 2-bis, del Codice, che punisce la violazione delle disposizioni indicate nell´art. 167 del Codice, tra le quali quelle dall´art. 17 nei termini previsti dal Provvedimento a carattere generale del Garante datato 17 gennaio 2008, per non aver provveduto ad attuare le misure previste dal Provvedimento a carattere generale del Garante datato 17 gennaio 2008 adottato ai sensi dell´art. 17 , con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

VISTO l´art. 162, comma 2-bis, del Codice, che punisce la violazione delle disposizioni indicate nell´art. 167 del Codice, tra le quali quelle dell´art. 123, comma 2, per aver conservato i dati di traffico telefonico dei propri clienti per finalità di fatturazione, per un periodo superiore a sei mesi (2011 - 2013), con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

VISTO l´art. 162, comma 2-ter del Codice, che punisce la violazione, per aver conservato le immagini dell´impianto di videosorveglianza, oltre il termine prescritto dell´art. 154, comma 1 lett. c) del medesimo Codice, con la sanzione amministrativa del pagamento di una somma da trentamila euro a centottantamila euro;

VISTO l´art. 162-bis del Codice, che punisce la violazione delle disposizioni di cui all´art. 132, commi 1 e 1-bis, per aver conservato i dati di traffico telefonico dei propri clienti per finalità di accertamento e repressione dei reati, per un periodo superiore a ventiquattro mesi (2007 – 2013), con una sanzione da diecimila a cinquantamila euro;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore e che pertanto l´ammontare delle quattro sanzioni pecuniarie: con riferimento alla violazione dell´art. 162, comma 2-bis relativa al verbale di contestazione n. 58 di cui al punto 1) deve essere quantificato nella misura di euro 10.000,00 (diecimila); con riferimento alla violazione dell´art. 162, comma 2-bis relativa al verbale di contestazione n. 59 di cui al punto 2) deve essere quantificato nella misura di euro 10.000,00 (diecimila); con riferimento alla violazione dell´art. 162, comma 2-ter relativa al verbale di contestazione n. 60 di cui al punto 3) deve essere quantificato nella misura di euro 30.000,00 (trentamila); con riferimento alla violazione dell´art. 162-bis relativa al verbale di contestazione n. 61 di cui al punto 4) deve essere quantificato nella misura di euro 10.000,00 (diecimila), per un importo complessivo pari a euro 60.000,00 (sessantamila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

ORDINA

a Momax s.r.l. P.Iva: 05514840486, società fornitrice di servizi di comunicazione elettronica, con sede in Pelago (Fi), via Vallombrosana n. 100, in persona del legale rappresentante pro-tempore di pagare la somma di euro 60.000,00 (sessantamila) a titolo di sanzione amministrativa pecuniaria: 1) per non aver provveduto ad attuare le misure previste dal Provvedimento a carattere generale del Garante datato 17 gennaio 2008, recante "Sicurezza dei dati di traffico telefonico e telematico", adottato ai sensi dell´art. 17, 2) per aver conservato i dati di traffico telefonico dei propri clienti per finalità di fatturazione, per un periodo superiore a sei mesi (2011 - 2013), in violazione di quanto previsto dall´art. 123, comma 2 del Codice, 3) per aver effettuato un trattamento di dati personali mediante l´utilizzo di un sistema di videosorveglianza, conservando le immagini per un periodo superiore a quello (una settimana) previsto al punto 3.4 del provvedimento generale dell´Autorità in materia di videosorveglianza datato 8 aprile 2010, in violazione di quanto previsto dall´art. 154, comma 1, lett. c) del Codice, 4) per aver conservato i dati di traffico telefonico dei propri clienti per finalità di accertamento e repressione dei reati, per un periodo superiore a ventiquattro mesi (2007 – 2013), in violazione di quanto previsto dall´art. 132, comma 1 del Codice;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 60.000,00 (sessantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 16 febbraio 2017

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia