Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Unidata s.p.a. - 21 settembre 2017 [7555366]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
7555366
Data:
21/09/17
Argomenti:
Dati telefonici e telematici , Misure di sicurezza , Conservazione di dati , Informativa
Tipologia:
Ordinanza ingiunzione o revoca

[doc. web n. 7555366]

Ordinanza ingiunzione nei confronti di Unidata s.p.a. - 21 settembre 2017

Registro dei provvedimenti
n. 379 del 21 settembre 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che la Guardia di finanza, Nucleo speciale privacy, in esecuzione della richiesta di informazioni n. 30183/91026 del 24 ottobre 2014 formulata ai sensi dell´art. 157 del d. lgs. 30 giugno 2003 n. 196, recante il Codice in materia di protezione dei dati personali (di seguito "Codice") ha svolto, formalizzandola con i verbali di operazioni compiute datati 20 e 21 maggio 2015, un´attività di controllo nei confronti di Unidata s.p.a. P.Iva: 06187081002, già con sede in Roma, via Portuense n. 1555 e attualmente con sede in Roma, viale Alexandre Gustave Eiffel n. 100, in persona del legale rappresentante pro-tempore. Tale attività di controllo ha consentito di accertare, disattendendo quanto previsto dall´Allegato B, regola 5) del Codice, come, per accedere ai computer aziendali, utilizzando i quali viene effettuato il trattamento dei dati personali dei clienti della società, gli incaricati del trattamento devono inserire le proprie credenziali di autenticazione e che, per alcuni degli incaricati del trattamento dei dati dei clienti, la componente riservata delle predette credenziali (parola chiave) è risultata composta da un numero di caratteri alfanumerici inferiori a otto, in violazione degli artt. 33 e 34 del Codice;

RILEVATO, altresì, che l´Ufficio del Garante, preso atto delle osservazioni fornite dalla società con la nota datata 4 giugno 2015, ha parimenti accertato come Unidata s.p.a., in qualità di titolare del trattamento ha:

1. conservato dati di traffico telefonico, telematico e relativi a chiamate senza risposta per periodi superiori a quanto stabilito dall´art. 132, commi 1 e 1-bis del Codice;

2. trattato informazioni personali contenute in frammenti di testo di e-mail registrate nei propri server, senza aver reso l´informativa agli interessati di cui all´art. 13 del Codice e senza aver acquisito il consenso previsto dall´art. 23 del Codice;

VISTO il verbale nr. 48 dell´8 giugno 2015 (che qui si intende integralmente richiamato), con cui è stata contestata a Unidata s.p.a. s.r.l. la violazione amministrativa, non definibile in via breve ai sensi dell´art. 16 della legge 24 novembre 1981, n. 689, prevista dall´art. 162, comma 2-bis del Codice, in relazione all´art. 33;

VISTO il verbale nr. 23716/100668 redatto dall´Ufficio del Garante in data 18 agosto 2015, con il quale sono state contestate a Unidata s.p.a., rispettivamente, la violazione amministrativa, definibile in via breve ai sensi dell´art. 16 della legge 24 novembre 1981, n. 689, prevista dall´art. 161 del Codice, in relazione all´art. 13, la violazione amministrativa, definibile in via breve ai sensi dell´art. 16 della legge 24 novembre 1981, n. 689, prevista dall´art. 162, comma 2-bis del Codice, in relazione all´art. 23 e la violazione amministrativa, definibile in via breve ai sensi dell´art. 16 della legge 24 novembre 1981, n. 689, prevista dall´art. 162-bis, comma 1 del Codice, in relazione all´art. 132, commi 1 e 1-bis;

VISTO lo scritto difensivo datato 30 luglio 2015 inviato ai sensi dell´art. 18 della legge n. 689/1981, con i quali Unidata s.p.a., con riferimento alla contestazione n. 48 dell´8 giugno 2015 ha rilevato come "(…) l´accesso al sistema operativo windows dai singoli pc in dotazione agli operatori della Unidata (siano essi o meno operanti nell´ambito del c.d. Dominio aziendale), nulla abbia a che vedere con il trattamento dei dati personali richiamato dalla suddetta normativa di riferimento (artt. 33 e 34 del Codice, Allegato B) punti 1 e 5). (…) i sistemi informatici deputati da Unidata al trattamento e archiviazione dei dati non sono assolutamente da intendersi come configurati/installati sui dispositivi elettronici  (pc ed ulteriori) in uso al personale dipendente e/o collaboratore ne sui relativi supporti di memoria. Detti supporti informatici, invero, sono configurati e residenti (…) su appositi server operanti in esercizio all´interno della sala macchine (…).; detti sistemi sono inseriti (…) nella c.d. LAN (…) aziendale, ed, in seconda battuta, ricompresi in una sub area (denominata Area 196) (…) che garantisce all´utente/operatore, in base a specifico profilo ed esclusivamente per le specifiche mansioni lavorative quotidiane, l´accesso selettivo ad uno o più dei predetti sistemi esclusivamente dopo l´espletamento di ben due procedure di autenticazione informatica (…)". Inoltre, riguardo la circostanza accertata in atti relativa al fatto che gli agenti verbalizzanti hanno rinvenuto nel pc in uso a un dipendente una cartella denominata "Documenti" contenente file relativi a dati personali dei clienti, la società ha osservato come "(…) il dipendente in questione risulta possedere la qualifica di amministratore di sistema e, pertanto, risulta pienamente abilitato al trattamento dei dati e in possesso di tutti i requisiti di sicurezza per l´accesso ai sistemi informatici (…). In ogni caso, occorre (…) considerare che la circostanza rilevata dal Nucleo Speciale Privacy, appare comunque estemporanea e del tutto legata ad una impropria iniziativa posta in essere singolarmente dal dipendente in questione, sebbene per esigenze lavorative". Osserva, altresì, come la memoria presentata possa costituire "(…) un importante momento di riflessione (…)" in ordine a più generali problematiche quali: "l´assenza di un esatto limite di separazione tra fattispecie aventi natura amministrativa e fattispecie aventi natura penale"; "l´assenza, nell´ambito delle fattispecie aventi carattere penale, di espressa correlazione tra condotta e oggettive conseguenze dannose nella sfera giuridica dell´interessato"; "l´assenza di modalità di ricorso diretto e automatico a procedure di estinzione agevolata dei procedimenti sanzionatori in materia"; "il mancato aggiornamento (in termini di differenziazione in base al concreto rischio per i diritti dell´interessato) e la conseguente riduzione degli oneri applicativi (…)";

VISTO lo scritto difensivo datato 30 ottobre 2015 inviato ai sensi dell´art. 18 della legge n. 689/1981, con i quali Unidata s.p.a., con riferimento alla contestazione n. 23716/100668 del 18 agosto 2015, nel descrivere le iniziative volte a porre rimedio alle condotte oggetto dei rilievi in argomento, riguardo la violazione di cui all´art. 132, commi 1 e 1-bis del Codice ha rilevato come "(…) detta esorbitanza (conservazione sia dei dati di traffico telefonico e telematico sia dei dati relativi alle chiamate senza risposta oltre i termini prescritti) è stata determinata dall´applicazione del disposto del suddetto art. 4-bis (legge 17 aprile 2015, n. 43 – legge di conversione del D.L. 18 febbraio 2015, n. 7 –legge antiterrorismo-) secondo una interpretazione non letterale bensì logica, assunta dalla scrivente società in un contesto di generalizzata incertezza, comune alla maggior parte degli operatori del settore (…)".

Riguardo la violazione di cui all´art. 13 del Codice (trattamento di dati personali contenuti in frammenti di testo di e-mail registrate nei propri server, senza aver reso l´informativa agli interessati), ha evidenziato come "(…) i clienti Unidata, hanno comunque ricevuto in fase di sottoscrizione contrattuale e debitamente sottoscritto, debita informativa prevista ai sensi dell´art. 13 del Codice Privacy (…)";

Riguardo la violazione di cui all´art. 23 del Codice (trattamento di dati personali contenuti in frammenti di testo di e-mail registrate nei propri server senza aver acquisito il consenso), nel rilevare come "(…) la numerosità delle evidenze afferenti a tale non conformità (…) è risultata essere bassissima nonché percentualmente irrisoria rispetto al complesso dei log generati in esercizio da detto server", ha osservato come "il ridottissimo ed episodico accesso a detti dati non conformi, (…) è stato dallo stesso (amministratore di sistema) effettuato esclusivamente per sopperire ad esigenze/obblighi di assistenza tecnica connesse a problematiche/disservizi segnalati dal cliente/interessato (…) e, dunque, meramente al fine di poter eseguire obblighi derivanti da un contratto del quale è parte l´interessato o per adempiere (…) a specifiche richieste dell´interessato così come previsto (…) ai sensi dell´art. 24 lett. b) del Codice privacy (…)";

VISTO il verbale dell´audizione delle parti redatto in data 9 marzo 2015, ai sensi dell´art. 18 della legge n. 689/1981, nel quale Unidata s.p.a., relativamente ai due verbali di contestazione oggetto della presente ordinanza, ha ribadito quanto esposto nelle memorie difensive già prodotte;

CONSIDERATO che le argomentazioni addotte non permettono di escludere la responsabilità di Unidata s.p.a. in relazione alle contestazioni in trattazione. Riguardo quanto argomentato relativamente al verbale di contestazione nr. 48 dell´8 giugno 2015, risulta inconferente sia quanto dedotto in ordine al fatto che "(…) l´accesso al sistema operativo windows dai singoli pc in dotazione agli operatori della Unidata (siano essi o meno operanti nell´ambito del c.d. Dominio aziendale), nulla abbia a che vedere con il trattamento dei dati personali richiamato dalla suddetta normativa di riferimento (artt. 33 e 34 del Codice, Allegato B) punti 1 e 5), sia al fatto che "Detti supporti informatici (deputati da Unidata al trattamento e archiviazione dei dati dei clienti), invero, sono configurati e residenti (…) su appositi server operanti in esercizio all´interno della sala macchine (…).; detti sistemi sono inseriti (…) nella c.d. LAN (…) aziendale, ed, in seconda battuta, ricompresi in una sub area (denominata Area 196) (…) che garantisce all´utente/operatore, in base a specifico profilo ed esclusivamente per le specifiche mansioni lavorative quotidiane, l´accesso selettivo ad uno o più dei predetti sistemi esclusivamente dopo l´espletamento di ben due procedure di autenticazione informatica (…)".

E´ puntualmente accertato in atti, ai sensi dell´art. 13 della legge n. 689/1981 (vgs. verbali di operazioni compiute del 20 e 21 maggio 2015), come i dati personali riferiti ad alcuni clienti fossero conservati su una cartella "Documenti" di lavoro presente sul desktop del personal computer di un operatore, peraltro qualificato come amministratore di sistema, alla quale si poteva accedere utilizzando password composte da meno di otto caratteri, nonostante il sistema consentisse l´utilizzo di password conformi a quanto previsto dalla regola n. 5 dell´Allegato B al Codice. Parimenti inconferente, per le stesse ragioni, risulta quanto osservato in ordine alle specifiche credenziali di autenticazione necessarie per accedere (…) nella c.d. LAN (…) aziendale, ed, in seconda battuta, (…) in una sub area (denominata Area 196).

Appare evidente, quindi, come la condotta oggetto di contestazione non fosse in alcun modo riferita alle caratteristiche delle distinte credenziali di autenticazione necessarie all´accesso ai vari gestionali in uso a Unidata s.p.a..

Sul punto, peraltro, relativamente alla circostanza in base alla quale gli agenti verbalizzanti hanno rinvenuto nel pc in uso a un dipendente una cartella "Documenti" contenente file relativi a dati personali dei clienti, sia l´argomentazione in base alla quale "(…) il dipendente in questione risulta possedere la qualifica di amministratore di sistema (…)" sia quella per le quali "(…) la circostanza rilevata dal Nucleo Speciale Privacy, appare comunque estemporanea e del tutto legata ad una impropria iniziativa posta in essere singolarmente dal dipendente in questione (…)" non sostanziano alcuno degli elementi costitutivi della disciplina dell´errore scusabile di cui all´art. 3 della legge n. 689/1981.

Inoltre, quanto prospettato circa il fatto che la memoria presentata possa costituire "(…) un importante momento di riflessione (…)" in ordine a più generali problematiche, oltre a non indicare alcuna argomentazione a sostegno di quanto apoditticamente affermato, non tiene conto dei seguenti elementi:

1. le disposizioni di cui all´art. 162, comma 2 bis (illecito amministrativo), e all´art. 169 (illecito penale), sono indirizzate alla tutela di interessi pubblici compatibili ma diversi, infatti, mentre la norma sanzionatoria amministrativa tende a prevenire e a reprimere i comportamenti omissivi e negligenti del titolare o del responsabile del trattamento, la norma penale si pone il principale obiettivo, attraverso l´istituto del "ravvedimento operoso" descritto nel comma 2 dell´art. 169 del Codice, di ripristinare un minimo livello di sicurezza nei sistemi e negli archivi contenenti dati personali. La logica conseguenza è che fra le predette norme non vi sia concorso apparente e conseguentemente alcun rapporto di specialità. Inoltre, con la formula "è altresì applicata in sede amministrativa, in ogni caso, la sanzione…" si è intesa fare salva l´irrogazione della sanzione amministrativa pecuniaria anche nei casi in cui la condotta dell´agente integri il reato di cui all´art. 169, potendosi disapplicare il principio di specialità stabilito dall´art. 9 della legge n. 689/1981;

2. il legislatore, codificando la fattispecie contravvenzionale di cui all´art.169 del Codice, ha voluto qualificala come reato di pericolo e non di evento che, invece, si perfeziona solo al verificarsi di "oggettive conseguenze dannose nella sfera giuridica dell´interessato";

3. l´assenza delle invocate modalità di ricorso diretto e automatico a procedure di estinzione agevolata dei procedimenti sanzionatori in materia, è conseguenza dell´espresso disposto dell´art. 162, comma 2-bis del Codice che prevede come "Nei casi di cui all´art. 33 è escluso il pagamento in misura ridotta";

4. nel caso di specie, attesa l´impossibilità di definire in via breve la fattispecie oggetto di contestazione ai sensi dell´art. 16 della legge n. 689/1981, gli importi indicati nel verbale sono necessariamente quelli del minimo e massimo della sanzione edittale, senza che l´organo accertatore (Guardia di finanza) abbia alcuna discrezionalità in ordine alla quantificazione. In realtà, è solo quella individuata in applicazione dell´art. 17 della legge n. 689/1981 l´autorità competente (il Garante) a quantificare, nell´atto conclusivo del procedimento amministrativo sanzionatorio (ordinanza ingiunzione), l´importo della sanzione, applicando i criteri stabiliti dall´art. 11 della medesima legge.

Riguardo quanto argomentato relativamente al verbale di contestazione n. 23716/100668 del 18 agosto 2015, con riferimento alla violazione dell´art. 132, commi 1 e 1-bis del Codice, la motivazione afferente la "(…) applicazione del disposto del suddetto art. 4-bis (legge 17 aprile 2015, n. 43 – legge di conversione del D.L. 18 febbraio 2015, n. 7 –legge antiterrorismo-) secondo una interpretazione non letterale bensì logica (…)" non consente di qualificare gli elementi costitutivi dell´errore scusabile di cui all´art. 3 della legge n. 689/1981, atteso che l´errore sulla liceità del fatto, comunemente indicato come buona fede, può rilevare come causa di esclusione della responsabilità solo quando esso risulti incolpevole. A tal fine occorre, cioè, un elemento positivo idoneo ad indurre un errore siffatto, non ovviabile dal trasgressore con l´ordinaria diligenza (Cass. Civ. sez. I del 21 febbraio 1995 n. 1873; Cass. Civ. sez II del 13 marzo 2006, n. 5426), elemento che non è riscontrabile nel caso di specie.

Relativamente alla violazione di cui all´art. 13 del Codice, l´informativa resa agli interessati "(…) in fase di sottoscrizione contrattuale (…) non ha, né potrebbe in ogni caso avere, alcun richiamo al trattamento di dati personali contenuti in frammenti di testo di e-mail registrate nei propri server oggetto di contestazione.

Circa la violazione di cui all´art. 23 del Codice, così come evidenziato già nel verbale di contestazione, non può trovare applicazione alcuna delle cause di esclusione dall´obbligo di acquisire il consenso disciplinate dall´art. 24 del Codice, atteso che il trattamento di dati personali contenuti in frammenti di testo di e-mail registrate nei propri server, non risulta documentato essere necessario per eseguire alcun obbligo derivante da contratto del quale è parte l´interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell´interessato e senza che quanto asserito circa il fatto che"(…) la numerosità delle evidenze afferenti a tale non conformità (…) è risultata essere bassissima nonché percentualmente irrisoria rispetto al complesso dei log generati in esercizio da detto server" sostanzi alcuna delle previsioni dell´invocato art. 24 del Codice;

RILEVATO, pertanto, che Unidata s.p.a. ha effettuato un trattamento di dati personali (art. 4 comma 1, lett. a) e b) del Codice), omettendo di adottare le misure minime di sicurezza ai sensi dell´art. 33 del Codice, conservando dati di traffico telefonico, telematico e relativi a chiamate senza risposta per periodi superiori a quanto stabilito dall´art. 132, commi 1 e 1-bis, del Codice, trattando le informazioni personali di clienti/interessati contenute nei frammenti di testo delle mail registrate nei propri server, senza rendere l´informativa di cui all´art. 13 del Codice, in carenza del consenso previsto dall´art. 23 del medesimo Codice;

VISTO l´art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell´art. 33 del Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

VISTO l´art. 162-bis del Codice, che punisce la violazione delle disposizioni di cui all´art. 132, commi 1 e 1-bis, con una sanzione da diecimila a cinquantamila euro;

VISTO l´art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell´art. 23 del Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

VISTO l´art. 161 del Codice che punisce la violazione delle disposizioni di cui all´art. 13 con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore e che pertanto l´ammontare delle quattro sanzioni pecuniarie: con riferimento alla violazione dell´art. 33 relativa al verbale di contestazione n. 48 deve essere quantificato nella misura di euro 10.000,00 (diecimila); con riferimento alla violazione dell´art. 132, commi 1 e 1-bis relativa al verbale di contestazione n. 23716/100668 deve essere quantificato nella misura di euro 10.000,00 (diecimila); con riferimento alla violazione dell´art. 23 relativa al verbale di contestazione n. 23716/100668 deve essere quantificato nella misura di euro 10.000,00 (diecimila); con riferimento alla violazione dell´art. 13 relativa al verbale di contestazione n. 23716/100668 deve essere quantificato nella misura di euro 6.000,00, per un importo complessivo dei quattro rilievi contestati pari a euro 36.000,00 (trentaseimila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

ORDINA

ad Unidata s.p.a. P.Iva: 06187081002, già con sede in Roma, via Portuense n. 1555 e attualmente con sede in Roma, viale Alexandre Gustave Eiffel n. 100, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 36.000,00 (trentaseimila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui agli artt. 161, 162, comma 2-bis e 162-bis come indicato in motivazione;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 36.000,00 (trentaseimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d. lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 21 settembre 2017

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia