g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Klik s.r.l. - 5 luglio 2017 [6819775]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 6819775]

Ordinanza ingiunzione nei confronti di Klik s.r.l. - 5 luglio 2017

Registro dei provvedimenti
n. 307 del 5 luglio 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che il Nucleo speciale privacy della Guardia di finanza, in esecuzione della richiesta di informazioni n. 6153/91026 del 28 febbraio 2014, formulata ai sensi dell´art. 157 del d.lgs. 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito "Codice"), ha svolto gli accertamenti presso Klik s.r.l., società fornitrice di servizi di comunicazione elettronica, con sede legale in Napoli, Via G. Melisurgo n. 15, P.I. 04084041211, formalizzati nei verbali di operazioni compiute del 25 e 26 marzo 2014, diretti a verificare il rispetto della normativa in materia di protezione dei dati personali, con particolare riferimento alla conservazione dei dati di traffico telefonico;

VISTI gli atti relativi agli accertamenti eseguiti presso la sede operativa della società, sita in Napoli, via Santa Lucia n. 97, e la documentazione fatta pervenire successivamente, a scioglimento delle riserve formulate nel corso della visita ispettiva, dai quali è risultato che Klik s.r.l., in qualità di titolare del trattamento ai sensi dell´art. 28 del Codice:

- ha conservato i dati di traffico telefonico per finalità di accertamento e repressione dei reati per un periodo superiore ai ventiquattro mesi, in violazione dell´art. 132, comma 1, del Codice (ovvero da gennaio 2010 a febbraio 2014);

- ha effettuato un trattamento di dati di traffico telefonico per finalità di accertamento e repressione dei reati senza aver adottato le misure relative alla custodia in aree ad accesso selezionato delle attrezzature informatiche, con particolare riferimento alla procedura di riconoscimento biometrico per il controllo delle aree ad accesso selezionato, le misure di strong authentication, le tecniche di cifratura dei dati di traffico e di audit log, le procedure volte all´individuazione di specifici profili di autorizzazione degli incaricati del trattamento, prescritte dal provvedimento del Garante del 17 gennaio 2008 (disponibile in www.garanteprivacy.it, doc. web n. 1482111, G.U. n. 30 del 5 febbraio 2008) modificato ed integrato dal successivo provvedimento del 24 luglio 2008 in materia di conservazione di dati di traffico telefonico e telematico (doc. web n. 1538224, G.U. 189 del 13 agosto 2008); 

- ha omesso di adottare le misure minime di sicurezza di cui all´art. 33 del Codice, con particolare riferimento all´inosservanza di quelle previste dall´art. 34, comma 1, lett. a), b) e c) del medesimo Codice per i trattamenti effettuati con strumenti elettronici e nei modi stabiliti dal disciplinare tecnico contenuto nell´allegato B) al Codice, in quanto l´accesso ai personal computer della società, all´applicativo denominato "Wintel", al gestionale denominato "Raffaello" e al server denominato "Intraweb", è effettuato mediante credenziali di autenticazione le cui password sono composte da meno di otto caratteri; l´accesso al server "Intraweb" è effettuato da più di un soggetto mediante l´utilizzo delle stesse credenziali di autenticazione; l´accesso all´applicativo "Wintel" è effettuato mediante l´utilizzo delle credenziali di autenticazione di un ex dipendente della società;

VISTO il verbale n. 22 del 5 maggio 2014, che qui si intende integralmente richiamato, con cui è stata contestata a Klik s.r.l., in qualità di titolare del trattamento, in persona del legale rappresentante pro-tempore, la violazione amministrativa prevista dall´art. 162-bis, del Codice, in relazione all´art. 132, comma 1, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge 24 novembre 1981 n. 689;

RILEVATO che dal rapporto predisposto ai sensi dell´art. 17 della legge 24 novembre 1981 n. 689 dal predetto Nucleo non risulta che la Società abbia effettuato il pagamento in misura ridotta;

VISTO il verbale n. 23 del 5 maggio 2014, che qui si intende integralmente richiamato, con cui è stata contestata a Klik s.r.l., in persona del legale rappresentante pro-tempore, la violazione amministrativa prevista dall´art. 162, comma 2-bis, in relazione all´art. 17 del Codice, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge 24 novembre 1981 n. 689;

RILEVATO che dal rapporto predisposto ai sensi dell´art. 17 della legge 24 novembre 1981 n. 689 dal predetto Nucleo non risulta che la Società abbia effettuato il pagamento in misura ridotta;

VISTO il verbale n. 24 del 5 maggio 2014, che qui si intende integralmente richiamato, con cui  è stata contestata a Klik s.r.l., in persona del legale rappresentante pro-tempore, la violazione amministrativa prevista dall´art. 162, comma 2-bis, in relazione all´art. 33 del Codice, per la quale non è prevista la definizione in via breve ai sensi dell´art. 16 della legge n. 689/1981;

VISTO lo scritto difensivo, datato 7 luglio 2014, inviato ai sensi dell´art. 18 della legge 24 novembre 1981 n. 689, con cui la parte ha chiesto l´archiviazione delle contestazioni di cui ai verbali n. 22 e n. 23 o, in subordine, l´applicazione del minimo edittale delle sanzioni amministrative, con la rateizzazione dei relativi importi, in considerazione delle difficili condizioni economiche in cui versa e della circostanza che si è subito adoperata per conformare il trattamento dei dati personali alle disposizioni del Codice;

VISTO lo scritto difensivo, datato 18 aprile 2014, inviato ai sensi dell´art. 18 della legge 24 novembre 1981 n. 689, con cui, in relazione al verbale di contestazione n. 24, la parte ha evidenziato che "la contestazione in argomento rappresenta un´inammissibile duplicazione dell´addebito formulato nel corpo del verbale n. 23, risultando la violazione dell´art. 33 del d.lgs. 196/03 assorbita nella contestazione inferente la violazione dell´art. 17 del medesimo decreto legislativo". In particolare, secondo la parte, la disposizione di cui all´art. 17 del Codice costituisce norma speciale rispetto a quella di cui all´art. 33, in quanto le misure di sicurezza richieste dall´art. 17 evocano quelle previste dagli artt. 33 e ss., specificandone il contenuto e ampliandone l´estensione. La parte, inoltre, ha osservato che si verifica un concorso apparente di norme, come disciplinato dall´art. 9 della legge n. 689/1981, in quanto entrambe le disposizioni (art. 17 e art. 33) "appaiono astrattamente applicabili alla fattispecie in esame; ma una sola [l´art. 17] è in realtà applicabile al caso concreto in virtù del maggior grado di specificità (…)";

RITENUTO che le argomentazioni addotte in riferimento alla violazione delle misure di sicurezza, di cui al verbale di contestazione n. 24, non sono idonee ad escludere la responsabilità della parte in ordine a quanto contestato. Diversamente da quanto sostenuto dalla parte, si osserva che le disposizioni violate (art. 17 e art. 33 del Codice) afferiscono a due differenti fattispecie: l´art. 17 disciplina i trattamenti di dati personali che presentano rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell´interessato, i quali possono essere effettuati "nel rispetto di misure e accorgimenti a garanzia dell´interessato, ove prescritti"; l´art. 33, invece, stabilisce le misure minime di sicurezza che il titolare del trattamento è tenuto ad adottare "per assicurare un livello minimo di protezione dei dati personali".

Ciò posto, si rileva che il trattamento di dati di traffico telefonico e telematico presenta quel carattere di "rischiosità" per i diritti e le libertà dell´interessato di cui all´art. 17 che ha reso necessaria l´adozione, da parte del Garante, di un provvedimento generale prescrittivo, contenente le misure e gli accorgimenti necessari da porre in essere a garanzia degli interessati (provvedimento del 24 luglio 2008 in materia di conservazione di dati di traffico telefonico e telematico, doc. web n. 1538224). Le misure prescrittive contenute in tale provvedimento (adottate, come detto, ai sensi dell´art. 17 del Codice) sono, dunque, assai diverse e più incisive rispetto a quelle previste dagli artt. 33 e ss. del Codice che, invece, mirano a garantire un livello minimo di protezione dei dati personali. Nel caso che qui ci occupa, si rileva che, tra le diverse misure prescritte dal Garante ai sensi dell´art. 17 del Codice, la società non aveva adottato le procedure di strong authentication (lett. a), punto 1 del provvedimento citato), le misure relative alla custodia in aree ad accesso selezionato delle attrezzature informatiche dedicate al trattamento dei dati di traffico per finalità di giustizia e al riconoscimento biometrico per il controllo delle stesse aree (punto 3), le tecniche di cifratura dei dati di traffico (punto 9) e di audit log (punto 6), le procedure volte all´individuazione di specifici profili di autorizzazione degli incaricati del trattamento (lett. c), punto 2). Tale situazione, dettagliatamente rappresentata nei verbali di operazioni compiute, ha portato all´elevazione nei confronti della società del verbale di contestazione n. 23, rispetto al quale non sono state addotte argomentazioni difensive riguardanti il merito della violazione in argomento.

Per quanto riguarda la violazione dell´art. 33 del Codice di cui al verbale di contestazione n. 24, questa afferisce alla mancata adozione delle misure minime di sicurezza, attinenti i trattamenti di dati personali effettuati con strumenti elettronici, e si sostanzia, nel caso di specie, nel differente profilo, non sovrapponibile in alcun modo con quello sopra evidenziato riguardante le prescrizioni ai sensi dell´art. 17 del Codice, riguardante:

- l´assenza di una procedura di autenticazione informatica ai sensi dell´art. 34, comma 1, lett. a) del Codice, ovvero di un sistema di autenticazione che consenta di identificare il soggetto che deve effettuare l´accesso al sistema informatico (è stato accertato che uno degli operatori si è autenticato al server Intraweb utilizzando la password Administrator);

- la mancata adozione di procedure di gestione delle credenziali di autenticazione ex art. 34, comma 1, lett. b), tali cioè da garantire, ad esempio, un livello minimo di complessità nella scelta della password, o la disattivazione delle credenziali associate a incaricati non più autorizzati ad accedere ai sistemi (criticità entrambe rilevate nel corso dell´accertamento ispettivo);

- la mancata utilizzazione di un sistema di autorizzazione ai sensi dell´art. 34, comma 1, lett. c), che prevede l´assegnazione a ciascun incaricato di un profilo-utente in relazione alle specifiche operazioni di trattamento che gli sono attribuite.

E´ evidente che tali misure di sicurezza, confrontate con quelle prescritte ai sensi dell´art. 17 del Codice nel provvedimento in materia di conservazione dei dati di traffico, attengono a distinte situazioni. Inoltre, dall´esame del provvedimento del 24 luglio 2008, si evince chiaramente che le misure introdotte non sostituiscono quelle previste dagli artt. 33 e ss. del Codice, ma si aggiungono ad esse facendone espressamente salva la loro applicazione (punto 7 del provvedimento). Più precisamente, il citato provvedimento prescrive che, il trattamento dei dati di traffico, conservati per esclusive finalità di accertamento e repressione dei reati, sia consentito agli incaricati unicamente sulla base del preventivo utilizzo di specifici sistemi di autenticazione informatica basati su tecniche di strong authentication consistenti nell´uso contestuale di almeno due differenti tecnologie di autenticazione, di cui una basata sull´elaborazione di caratteristiche biometriche dell´interessato. Se la procedura di autenticazione, ulteriore a quella biometrica, consiste nell´inserimento di user id e password, questa deve essere applicata nel rispetto delle regole fissate nel disciplinare tecnico di cui all´allegato B) al Codice (lunghezza della password, assegnazione individuale delle credenziali per l´autenticazione, ecc.). Poiché nel caso in esame è stata riscontrata la mancanza sia della procedura di autenticazione biometrica sia delle misure minime di sicurezza di cui all´art. 34 del Codice, sono state correttamente applicate entrambe le sanzioni amministrative in relazione alle distinte violazioni accertate.

Allo stesso modo, si osserva che la procedura di autorizzazione di cui all´art. 34, comma 1, lett. c), del Codice deve essere attuata secondo le modalità previste dalle regole nn. 12, 13 e 14 del citato disciplinare tecnico, di cui all´Allegato B); per il trattamento di dati di traffico, conservati per finalità di accertamento e repressione dei reati, la procedura di autorizzazione deve essere attuata in modo da garantire la "separazione rigida delle funzioni tecniche di assegnazione di credenziali di autenticazione e di individuazione dei profili di autorizzazione rispetto a quelle di gestione tecnica dei sistemi e delle base di dati" (lett. c), punto 2 del provvedimento). Nessuna delle due procedure di autorizzazione è stata attuata dalla società e, pertanto, anche in questo caso ricorrono due violazioni amministrative. Non è, pertanto, conferente la tesi della parte secondo cui ricorre, al caso in esame, il concorso apparente di norme di cui all´art. 9 della legge n. 689/1981;

RILEVATO, pertanto, che Klik s.r.l., sulla base delle considerazioni sopra richiamate, in qualità di titolare del trattamento, ai sensi degli artt. 4 e 28 del Codice, risulta aver effettuato un trattamento di dati di traffico telefonico:

a) in violazione dell´art. 162-bis del Codice, in relazione all´art. 132, comma 1 del Codice, per aver conservato dati di traffico telefonico per finalità di accertamento e repressione dei reati per un periodo superiore ai 24 mesi;

b) in violazione dell´art. 162, comma 2-bis del Codice, in relazione all´art. 17 del Codice, per la mancata adozione delle prescrizioni introdotte dal Garante ai sensi dell´art. 17 del Codice con il provvedimento del 24 luglio 2008 in materia di conservazione di dati di traffico telefonico e telematico [doc. web n. 1538224], con riferimento alle misure attinenti alla custodia in aree ad accesso selezionato delle attrezzature informatiche, con particolare riferimento alla procedura di riconoscimento biometrico per il controllo delle aree ad accesso selezionato, ai sistemi di strong authentication, alle tecniche di cifratura dei dati di traffico e di audit log, alle procedure volte all´individuazione di specifici profili di autorizzazione degli incaricati del trattamento;

RILEVATO, inoltre, che Klik s.r.l. risulta aver effettuato un trattamento di dati personali in violazione dell´art. 162, comma 2-bis, in relazione all´art. 33 del Codice, per aver omesso di adottare le misure minime di sicurezza previste dall´art. 34 in relazione ai trattamenti di dati personali effettuati per mezzo di strumenti elettronici;

VISTO l´art. 162-bis, del Codice che punisce la violazione delle disposizioni indicate nell´art. 132, commi 1, del Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a cinquantamila euro;

VISTO l´art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni di cui all´art. 167 del Codice che richiama, tra gli altri, gli artt. 17 e 33, con la sanzione amministrativa del pagamento di una somma, per ciascuna delle violazioni contestate, da diecimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge n. 689/1981, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all´aspetto della gravità con riferimento agli elementi dell´entità del pregiudizio o del pericolo e dell´intensità dell´elemento psicologico, le violazioni non risultano connotate da elementi specifici;

b) ai fini della valutazione dell´opera svolta dall´agente, deve evidenziarsi che Klik s.r.l. si è immediatamente attivata per porre rimedio alle condotte che avevano determinato le contestazioni in argomento;

c) circa la personalità dell´autore della violazione, deve essere considerata la circostanza che la società non risulta gravata da precedenti procedimenti sanzionatori;

d) in merito alle condizioni economiche dell´agente, sono stati presi in considerazione gli elementi delle dichiarazioni reddituali relative all´anno d´imposta 2014;

RITENUTO, quindi, di dover determinare, ai sensi dell´art. 11 della L. n. 689/1981, l´ammontare della sanzione pecuniaria,  in ragione dei suddetti elementi valutati nel loro complesso, nella misura di:

- euro 10.000,00 (diecimila) per le violazioni di cui all´art. 162-bis del Codice, in relazione all´art. 132, comma 1 del Codice;

- euro 10.000,00 (diecimila) per le violazioni di cui all´art. 162, comma 2-bis, in relazione all´art. 17 del Codice;

- euro 10.000,00 (diecimila) per le violazioni di cui all´art. 162, comma 2-bis, in relazione all´art. 33 del Codice;

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

ORDINA

a Klik s.r.l., con sede legale in Napoli, Via G. Melisurgo n. 15, P.I. 04084041211, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 30.000,00 (trentamila) a titolo di sanzione amministrativa pecuniaria, per le violazioni indicate in motivazione, frazionandola, in accoglimento della richiesta di rateizzazione, in 10 rate mensili dell´importo di 3.000,00 (tremila) euro ciascuna;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 30.000,00 (trentamila), secondo le modalità indicate in allegato,  i cui versamenti frazionati saranno effettuati entro l´ultimo giorno del mese successivo a quello in cui avverrà la notifica della presente ordinanza, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d. lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 5 luglio 2017

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia