Diritti interna

Doveri interna

ricerca avanzata

Ordinanza di ingiunzione nei confronti di Linea Com s.r.l. - 20 aprile 2017 [6704255]

[doc. web n. 6704255]

Ordinanza di ingiunzione nei confronti di Linea Com s.r.l. - 20 aprile 2017

Registro dei provvedimenti
n. 200 del 20 aprile 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che la Guardia di finanza, Nucleo speciale privacy, in esecuzione della richiesta di informazioni n. 7362/84282 del 21 marzo 2013 formulata ai sensi dell´art. 157 del d. lgs. 30 giugno 2003 n. 196, recante il Codice in materia di protezione dei dati personali (di seguito "Codice") ha svolto un´attività di controllo formalizzata con i verbali di operazioni compiute datati 9 e 10 ottobre 2013, a fronte della quale, a scioglimento delle riserve formulate in tale sede e da ultimo con l´invio, con nota datata 23 ottobre 2013, della relazione integrativa del 21 ottobre 2013, è stato accertato che A.E.M. Com s.r.l. fusa per incorporazione dal 1° gennaio 2014 nella Linea Com s.r.l. uni-personale P.Iva: 01192580197, società esercente l´attività di operatore telefonico e Internet Service provider, con sede in Cremona, via Trento e Trieste n. 38, in persona del legale rappresentante pro-tempore, in qualità di titolare ai sensi dell´art. 28 del Codice:

1. ha conservato i dati di traffico telefonico e telematico dei propri clienti per finalità di accertamento e repressione dei reati, rispettivamente per un periodo superiore a ventiquattro mesi (dicembre 2010 e ottobre 2013) e a dodici mesi (gennaio 2012 e ottobre 2013), in violazione di quanto previsto dall´art. 132, comma 1 del Codice;

2. ha conservato i dati di traffico telefonico dei propri clienti relativi alle chiamate senza risposta, per un periodo superiore a trenta giorni (dicembre 2010 e ottobre 2013), in violazione di quanto previsto dall´art. 132, comma 1-bis del Codice;

3. ha conservato i dati di traffico telefonico (marzo 2008 – ottobre 2013) e telematico (febbraio 2012 – ottobre 2013) dei propri clienti per finalità di fatturazione, per un periodo superiore a sei mesi, in violazione di quanto previsto dall´art. 123, comma 2 del Codice;

4. ha previsto:

a. che l´accesso ai database contenenti i dati telematici e l´accesso ai personal computer fosse effettuato mediante l´utilizzo di password composte da meno di otto caratteri (pur essendo prevista dai sistemi la possibilità di utilizzare password con un numero di caratteri pari o superiore a otto), in violazione dell´art. 33 del Codice relativamente a quanto disciplinato dall´Allegato B del Codice, regola 5;

b. che l´accesso al pannello di controllo, che consente di visionare le immagini raccolte e registrate del sistema di videosorveglianza, fosse effettuato da più soggetti mediante l´utilizzo delle medesime credenziali di autenticazione, in violazione dell´art. 33 del Codice relativamente a quanto disciplinato dall´Allegato B, del Codice, regole 2, 3 e 6;

VISTI i verbali nn.rr. 74, 75, 76 e 77 tutti datati 26 novembre 2013 redatti dalla Guardia di finanza, Nucleo speciale privacy, con i quali sono state contestate a A.E.M. Com s.r.l., in qualità di titolare del trattamento, fornitrice di servizi quale operatore telefonico e Internet Service provider, rispettivamente; 1) la violazione amministrativa prevista dall´art. 162-bis, in relazione all´art. 132, comma 1 del Codice; 2) la violazione amministrativa prevista dall´art. 162-bis, in relazione all´art. 132, comma 1-bis del Codice; 3) la violazione amministrativa prevista dall´art. 162, comma 2-bis, in relazione all´art. 123, comma 2 del Codice, informandola, per ciascuna delle violazioni contestate di cui ai numeri da 1 a 3, della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge 24 novembre 1981, n. 689; 4) la violazione amministrativa, non definibile in via breve ai sensi dell´art. 16 della legge 24 novembre 1981, n. 689, prevista dall´art. 162, comma 2-bis del Codice, in relazione all´art. 33 del Codice medesimo;

RILEVATO dal rapporto predisposto ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689, relativo ai soli verbali di contestazione di cui ai numeri da 1 a 3 , che non risulta essere stato effettuato, per nessuna delle tre contestazioni, il pagamento in misura ridotta;

VISTA la memoria difensiva datata 7 febbraio 2014 inviata ai sensi dell´art. 18 della legge 24 novembre 1981, n. 689, con la quale la società, in riferimento al verbale di contestazione n. 74 di cui al punto 1), nel rimarcare come abbia "(…) già ovviato al contestato disallineamento (…)", ha osservato come "(…) lo sforamento (dei termini di conservazione dei dati di traffico telefonico e telematico per finalità di accertamento e repressione dei reati) è stato causato dalla mancata schedulazione della cancellazione, anche in ragione del fatto che i dati erano necessari ad intraprendere azioni risarcitorie nei confronti di Telecom Italia (…) oggetto del provvedimento di condanna 24339 del 9.05.2013 del procedimento Antitrust A428 avviato nel giugno 2010 (…) e se ne riteneva pertanto lecita la conservazione (…) in analogia a quanto previsto dall´art. 123 comma 2 del Codice Privacy(…).Riguardo al verbale di contestazione n. 75 di cui al punto 2), ha rilevato come "Nella relazione integrativa del 21 ottobre 2013 (…) ha chiarito di aver già ovviato a tale inconveniente (conservazione dei dati di traffico telefonico dei propri clienti relativi alle chiamate senza risposta, per un periodo superiore a trenta giorni) disponendo la immediata cancellazione dei dati di traffico oltre il termine massimo di conservazione e provvedendo (…) alla automatica cancellazione giornaliera dei dati (…)". In riferimento al verbale di contestazione n. 76 di cui al punto 3) Nel dare atto di quanto accertato dagli operanti con specifico riferimento alla conservazione dei dati di traffico telefonico, ha osservato come "La conservazione dei dati di traffico telematico riguarda soltanto l´offerta commerciale denominata "10+" di connettività a banda larga (…) che però (…) ha interessato solo lo 0,23% della clientela". In relazione al verbale di contestazione n. 77 di cui al punto 4), con specifico riferimento al punto a) ha rilevato come "(…) la contestazione (…) deve ritenersi afferire alla rilevata consistenza delle password di dominio e di sistema del solo sig. –omissis-, incaricato del trattamento dei dati di traffico telematico (…)", ove, peraltro "(…) giova evidenziare che l´accesso previa doppia autenticazione con password di meno di 8 caratteri del sig. –omissis- non consente ex se di individuare l´utente che ha effettuato il collegamento ad Internet di cui ai log di traffico conservati (…)" ; diversamente, con specifico riferimento al punto b) del medesimo rilievo, "(…) risulta che in effetti le password di autenticazione al pannello di controllo del sistema di videosorveglianza fossero condivise dai due soggetti abilitati ad accedervi. AEMCom ha pertanto subito provveduto a che fossero adottate credenziali di autenticazione separate (…)".

Inoltre, con riferimento a tutte le quattro contestazioni, ha evidenziato che pur non intendendo "(…) disconoscere indistintamente tout court i fatti acclarati nel corso dei suddetti accertamenti, (…) desidera evidenziare (…) la non sanzionabilità della propria condotta, in ragione della buona fede che ha sempre caratterizzato il proprio comportamento nella presente vicenda (…)";

VISTO il verbale dell´audizione delle parti redatto in data 10 marzo 2014, ai sensi dell´art. 18 della legge n. 689/1981, nel quale la società, ribadendo quanto argomentato nella memoria già presentata, ha argomentato "(…) la natura sociale dell´attività svolta dalla società in relazione al servizio fornito" e ha prodotto "(…) il rapporto di audit del 3 marzo 2014, relativo al superamento delle criticità del sistema informativo della società, oggetto delle contestazioni in argomento";

RITENUTO, pertanto, che le argomentazioni addotte da A.E.M. Com s.r.l. non risultano idonee ad escludere la responsabilità in relazione a quanto contestato. In riferimento al verbale di contestazione n. 74 di cui al punto 1), posto che la riferita "(…) mancata schedulazione della cancellazione (…)" oltre a non essere sorretta da alcun elemento di prova non sostanzia alcuna esimente rispetto ai prescritti termini di conservazione dei dati di traffico telefonico e telematico conservati per finalità di accertamento e repressione dei reati di cui all´art. 132, comma 1 del Codice, si osserva come l´invocata disciplina relativa ai tempi di conservazione dei dati di traffico strettamente necessari alla fatturazione prevista dall´art. 123, comma 2 del Codice non può essere applicata, tantomeno per analogia, alla distinta disciplina scandita dal citato art. 132, comma 1 del Codice, atteso che risulta pacifico in atti che quelli oggetto di contestazione sono dati di traffico telefonico e telematico conservati per finalità di accertamento e repressione dei reati. L´art. 123, comma 2 del Codice, nella sua formulazione, risulta inequivoco, senza che si possa ritenere applicabile alcuna deroga a quanto in tale articolo previsto. Inoltre, l´art. 132, oltre a prevedere, al comma 1, gli specifici termini di conservazione dei dati di traffico telefonico e telematico per finalità di accertamento e repressione dei reati, al comma 3 subordina, a differenza della disciplina riconducibile all´art. 123, comma 2, l´acquisizione presso il fornitore di tali dati a un decreto motivato del pubblico Ministero. 

Riguardo al verbale di contestazione n. 75 di cui al punto 2), si evidenzia come quanto argomentato possa essere certamente tenuto in considerazione in ordine alla quantificazione dell´importo della sanzione;

In relazione al verbale di contestazione n. 76 di cui al punto 3), si osserva che sulla base di quanto argomentato resta pacifico quanto accertato dalla Guardia di finanza e contestato nel verbale in argomento;

Riguardo al verbale di contestazione n. 77 di cui al punto 4), relativamente alla condotta omissiva di cui alla lett. a), si rileva come, pur volendo circoscrivere l´utilizzo di una password composta da meno di otto caratteri per l´accesso ai database contenenti dati telematici e l´accesso ai personal computer a un solo incaricato del trattamento, tale condotta omissiva determina, come accertato ai sensi dell´art. 13 della legge n. 689/1981, la violazione dell´art. 33 del Codice consistente nell´omissione dell´applicazione della regola 5 dell´Allegato B al Codice. Peraltro, sul punto, giova rilevare come quanto asserito circa il fatto che "(…)  l´accesso previa doppia autenticazione con password di meno di 8 caratteri del sig. –omissis- non consente ex se di individuare l´utente che ha effettuato il collegamento ad Internet (…)", rende evidenti gli effetti della contestata omessa adozione delle misure minime di sicurezza riferibili alla regola 5 dell´Allegato B al Codice. Relativamente alla condotta omissiva di cui alla lett. b), si evidenzia come quanto argomentato possa essere certamente tenuto in considerazione in ordine alla quantificazione dell´importo della sanzione.

Inoltre, con riferimento a tutte le quattro contestazioni, si evidenzia come quanto argomentato circa "(…) la non sanzionabilità della propria condotta, in ragione della buona fede che ha sempre caratterizzato il proprio comportamento nella presente vicenda (…)", non consente di qualificare tale condotta quale elemento costitutivo della disciplina sull´errore scusabile di cui all´art. 3 della legge n. 689/1981, atteso che l´errore sulla liceità del fatto, comunemente indicato come buona fede, può rilevare come causa di esclusione della responsabilità solo quando esso risulti incolpevole . A tal fine occorre, cioè, un elemento positivo idoneo ad indurre un errore siffatto, non ovviabile dal trasgressore con l´ordinaria diligenza (Cass. Civ. sez. I del 21 febbraio 1995 n. 1873; Cass. Civ. sez II del 13 marzo 2006, n. 5426), elemento che non è riscontrabile nel caso di specie;

RILEVATO, quindi, che A.E.M. Com s.r.l. fusa per incorporazione nella Linea Com s.r.l., società fornitrice di servizi di comunicazione elettronica, in qualità di titolare del trattamento, 1) ha conservato i dati di traffico telefonico e telematico dei propri clienti per finalità di accertamento e repressione dei reati, rispettivamente per un periodo superiore a ventiquattro mesi (dicembre 2010 e ottobre 2013) e a dodici mesi (gennaio 2012 e ottobre 2013), in violazione di quanto previsto dall´art. 132, comma 1 del Codice; 2) ha conservato i dati di traffico telefonico dei propri clienti relativi alle chiamate senza risposta, per un periodo superiore a trenta giorni (dicembre 2010 e ottobre 2013), in violazione di quanto previsto dall´art. 132, comma 1-bis del Codice; 3) ha conservato i dati di traffico telefonico (marzo 2008 – ottobre 2013) e telematico (febbraio 2012 – ottobre 2013) dei propri clienti per finalità di fatturazione, per un periodo superiore a sei mesi, in violazione di quanto previsto dall´art. 123, comma 2 del Codice; 4) ha previsto che: a. l´accesso ai database contenenti i dati telematici e l´accesso ai personal computer fosse effettuato mediante l´utilizzo di password composte da meno di otto caratteri (pur essendo prevista dai sistemi la possibilità di utilizzare password con un numero di caratteri peri o superiore a otto), in violazione dell´art. 33 del Codice relativamente a quanto disciplinato dall´Allegato B del Codice, regola 5; b. l´accesso al pannello di controllo, che consente di visionare le immagini raccolte e registrate del sistema di videosorveglianza, fosse effettuato da più soggetti mediante l´utilizzo delle medesime credenziali di autenticazione, in violazione dell´art. 33 del Codice relativamente a quanto disciplinato dall´Allegato B del Codice, regole 2, 3 e 6;

VISTO l´art. 162-bis del Codice, che punisce la violazione delle disposizioni di cui all´art. 132, commi 1, per aver conservato i dati di traffico telefonico e telematico dei propri clienti per finalità di accertamento e repressione dei reati, rispettivamente per un periodo superiore a ventiquattro mesi (dicembre 2010 e ottobre 2013) e a dodici mesi (gennaio 2012 e ottobre 2013), in violazione di quanto previsto dall´art. 132, comma 1 del Codice, con una sanzione da diecimila a cinquantamila euro;

VISTO l´art. 162-bis del Codice, che punisce la violazione delle disposizioni di cui all´art. 132, commi 1-bis, per aver conservato i dati di traffico telefonico dei propri clienti relativi alle chiamate senza risposta, per un periodo superiore a trenta giorni (dicembre 2010 e ottobre 2013), con una sanzione da diecimila a cinquantamila euro;

VISTO l´art. 162, comma 2-bis, del Codice, che punisce la violazione delle disposizioni indicate nell´art. 167 del Codice, tra le quali quelle dell´art. 123, comma 2, per aver conservato i dati di traffico telefonico (marzo 2008 – ottobre 2013) e telematico (febbraio 2012 – ottobre 2013) dei propri clienti per finalità di fatturazione, per un periodo superiore a sei mesi, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

VISTO l´art. 162, comma 2-bis, del Codice, che punisce la violazione delle disposizioni indicate nell´art. 169 del Codice, per aver previsto che: a. l´accesso ai database contenenti i dati telematici e l´accesso ai personal computer fosse effettuato mediante l´utilizzo di password composte da meno di otto caratteri (pur essendo prevista dai sistemi la possibilità di utilizzare password con un numero di caratteri peri o superiore a otto), in violazione dell´art. 33 del Codice relativamente a quanto disciplinato dall´Allegato B del Codice, regola 5; b. l´accesso al pannello di controllo, che consente di visionare le immagini raccolte e registrate del sistema di videosorveglianza, fosse effettuato da più soggetti mediante l´utilizzo delle medesime credenziali di autenticazione, in violazione dell´art. 33 del Codice relativamente a quanto disciplinato dall´Allegato B del Codice, regole 2, 3 e 6, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore e che pertanto l´ammontare delle quattro sanzioni pecuniarie: con riferimento alla violazione dell´art. 162-bis relativa al verbale di contestazione n. 74 di cui al punto 1) deve essere quantificato nella misura di euro 10.000,00 (diecimila); con riferimento alla violazione dell´art. 162-bis relativa al verbale di contestazione n. 75 di cui al punto 2) deve essere quantificato nella misura di euro 10.000,00 (diecimila); con riferimento alla violazione dell´art. 162, comma 2-bis relativa al verbale di contestazione n. 76 di cui al punto 3) deve essere quantificato nella misura di euro 10.000,00 (diecimila); con riferimento alla violazione dell´art. 162, comma 2-bis relativa al verbale di contestazione n. 77 di cui al punto 4) deve essere quantificato nella misura di euro 10.000,00 (diecimila), per un importo complessivo pari a euro 40.000,00 (quarantamila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

a Linea Com s.r.l. uni-personale P.Iva: 01192580197 con sede in Cremona, via Trento e Trieste n. 38, in persona del legale rappresentante pro-tempore, quale azienda incorporante per fusione A.E.M. Com s.r.l., di pagare la somma di euro 40.000,00 (quarantamila) a titolo di sanzione amministrativa pecuniaria: 1) per aver conservato i dati di traffico telefonico e telematico dei propri clienti per finalità di accertamento e repressione dei reati, rispettivamente per un periodo superiore a ventiquattro mesi (dicembre 2010 e ottobre 2013) e a dodici mesi (gennaio 2012 e ottobre 2013), in violazione di quanto previsto dall´art. 132, comma 1 del Codice; 2) per aver conservato i dati di traffico telefonico dei propri clienti relativi alle chiamate senza risposta, per un periodo superiore a trenta giorni (dicembre 2010 e ottobre 2013), in violazione di quanto previsto dall´art. 132, comma 1-bis del Codice; 3) per aver  conservato i dati di traffico telefonico (marzo 2008 – ottobre 2013) e telematico (febbraio 2012 – ottobre 2013) dei propri clienti per finalità di fatturazione, per un periodo superiore a sei mesi, in violazione di quanto previsto dall´art. 123, comma 2 del Codice; 4) per avere previsto che: a. l´accesso ai database contenenti i dati telematici e l´accesso ai personal computer fosse effettuato mediante l´utilizzo di password composte da meno di otto caratteri (pur essendo prevista dai sistemi la possibilità di utilizzare password con un numero di caratteri peri o superiore a otto), in violazione dell´art. 33 del Codice relativamente a quanto disciplinato dall´Allegato B del Codice, regola 5; b. l´accesso al pannello di controllo, che consente di visionare le immagini raccolte e registrate del sistema di videosorveglianza, fosse effettuato da più soggetti mediante l´utilizzo delle medesime credenziali di autenticazione, in violazione dell´art. 33 del Codice relativamente a quanto disciplinato dall´Allegato B del Codice, regole 2, 3 e 6;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 40.000,00 (quarantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 20 aprile 2017

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia