Ordinanza ingiunzione nei confronti di Aria S.p.a. - 20 luglio 2017 [7566004]
Ordinanza ingiunzione nei confronti di Aria S.p.a. - 20 luglio 2017 [7566004]
Condividi[doc. web n. 7566004]
Ordinanza ingiunzione nei confronti di Aria S.p.a. - 20 luglio 2017
Registro dei provvedimenti
n. 330 del 20 luglio 2017
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;
RILEVATO che il Nucleo speciale privacy della Guardia di finanza, in esecuzione della richiesta di informazioni n. 6153/91026 del 28 febbraio 2014, formulata ai sensi dell´art. 157 del d.lgs. 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito "Codice"), ha svolto gli accertamenti presso Aria S.p.a., esercente l´attività di fornitore di telecomunicazioni fisse, già con sede legale in Vimodrone (MI), via Luigi Cadorna n. 67, e attualmente con sede in Milano, via Enrico Forlanini n. 23, P.I. 02838760540, formalizzati nei verbali di operazioni compiute del 1 e 2 aprile 2014, diretti a verificare il rispetto della normativa in materia di protezione dei dati personali;
VISTI gli atti relativi agli accertamenti eseguiti presso la sede della società e la nota inviata in data 17 aprile 2014, a scioglimento delle riserve formulate nel corso della visita ispettiva, dai quali è risultato che:
- la società Aria S.p.a., in qualità di titolare del trattamento ai sensi dell´art. 28 del Codice, non ha designato i propri dipendenti quali incaricati del trattamento, ai sensi dell´art. 30 del Codice, disattendendo le regole fissate nel Disciplinare tecnico di cui all´allegato B) del Codice, con particolare riferimento alle regole nn. 1, 4, 9, 12-15 previste per il trattamento effettuato con strumenti elettronici, e alla regola n. 27 per il trattamento effettuato senza l´ausilio di strumenti elettronici;
- l´accesso ai server è effettuato con credenziali di autenticazione condivise da più dipendenti, non rispettando le regole nn. 2, 3 e 6 del citato Disciplinare di cui all´allegato B) del Codice;
- non sono state adottate le necessarie cautele per assicurare la segretezza delle componenti riservate delle credenziali di autenticazione, contravvenendo alla regola n. 4 del citato Disciplinare;
VISTO il verbale n. 30 del 19 maggio 2014, che qui si intende integralmente richiamato, con cui è stata contestata ad Aria S.p.a., in qualità di titolare del trattamento, in persona del legale rappresentante pro-tempore, la violazione amministrativa prevista dall´art. 162, comma 2-bis, in relazione all´art. 33 del Codice, per la quale non è prevista la definizione in via breve ai sensi dell´art. 16 della legge n. 689/1981;
VISTO lo scritto difensivo, datato 10 luglio 2014, inviato ai sensi dell´art. 18 della legge 24 novembre 1981 n. 689, con cui la parte ha evidenziato che, pur non avendo formalmente designato i propri dipendenti quali incaricati del trattamento, "aveva da tempo implementato nei fatti una struttura organizzativa a protezione dei dati personali, come testimoniato dal DPS del 2010 (…), e ha reso consapevole il proprio personale (…) dei profili inerenti la corretta gestione dei dati personali (…)", provvedendo alla redazione di un documento, contenente istruzioni operative per l´assegnazione delle credenziali di autenticazione, e all´adozione, in data 2 settembre 2008, del "Regolamento aziendale in materia di tutela dei dati personali" reso disponibile per tutti i dipendenti nella rete intranet aziendale. Pertanto, "la mancata designazione scritta degli incaricati non può far dedurre l´omissione delle misure minime di sicurezza e, parimenti, l´inadeguata attuazione di taluna di esse non può essere addotta a riprova di un´omissione generalizzata (…)". La parte ha, altresì, precisato che, per quanto riguarda la mancata attuazione delle regole del Disciplinare tecnico di cui all´allegato B) del Codice, sono state adottate procedure per la gestione delle credenziali di autenticazione conformi alle disposizioni del Codice e che sono state fornite ai propri dipendenti precise indicazioni in ordine al corretto utilizzo delle password; inoltre, sia il DPS che la procedura PR02 recante "Selezione, assunzione e gestione del personale" contengono precise indicazioni in merito a una corretta configurazione dei profili di autorizzazione. Sulla base della documentazione prodotta, la parte ha chiesto, in primo luogo, l´archiviazione del procedimento sanzionatorio e, in subordine, l´applicazione dell´attenuante di cui all´art. 164-bis, comma 1, del Codice;
RITENUTO che le argomentazioni addotte non sono idonee ad escludere la responsabilità della parte in ordine a quanto contestato. Infatti, si osserva che, in base all´art. 30 del Codice, la designazione degli incaricati del trattamento deve essere effettuata per iscritto e deve indicare puntualmente l´ambito del trattamento consentito. Le istruzioni impartite agli incaricati, mediante le designazioni, inoltre, sono volte a fornire indicazioni sul corretto trattamento dei dati personali, e contengono una precisa attribuzione dei compiti e delle operazioni da eseguire negli ambiti di trattamento consentiti, e delle responsabilità connesse. Nel caso in esame, invece, sia il DPS sia i documenti recanti le "Istruzione operativa sul rilascio delle credenziali" e il "Regolamento aziendale per la tutela dei dati personali", non possono considerarsi idonei a integrare le misure di sicurezza o conformi alle disposizioni del Codice, in quanto il loro contenuto non corrisponde a quanto richiesto dalla normativa nei termini sopra descritti. Pertanto, contrariamente a quanto ritenuto dalla parte, la designazione degli incaricati del trattamento non costituisce un mero adempimento formale, ma rappresenta la parte più significativa delle misure di sicurezza in quanto è effettuata nei confronti di chi ordinariamente opera sui dati personali. Da tale omissione, dunque, consegue la mancata osservanza di tutte le regole fissate nel Disciplinare tecnico di cui all´allegato B) del Codice, riconducibili all´attività degli incaricati. D´altra parte, è stato accertato in atti, ai sensi dell´art. 13 della legge n. 689/1981, come la società, oltre a non aver provveduto alla designazione degli incaricati del trattamento in conformità all´art. 30 del Codice, non abbia attuato le misure di sicurezza attinenti la corretta gestione delle credenziali di autenticazione, con particolare riferimento alle regole nn. 2, 3, 4 e 6 del Disciplinare tecnico di cui all´allegato B) del Codice, laddove è stato rilevato che le credenziali di autenticazione, utilizzate per accedere ai server in cui erano conservati i dati di traffico, non erano esclusive, bensì condivise da più operatori, e che le password erano memorizzate sul pannello d´accesso.
Pertanto, la violazione di cui all´art. 162, comma 2-bis, come accertata nel caso di specie, non può essere ricompresa tra le ipotesi di minore gravità, e quindi deve ritenersi esclusa l´applicazione dell´attenuante di cui all´art. 164-bis, comma 1, del Codice;
RILEVATO, pertanto, che Aria S.p.a., sulla base delle considerazioni sopra richiamate, in qualità di titolare del trattamento, ai sensi degli artt. 4 e 28 del Codice, risulta aver effettuato un trattamento di dati personali in violazione dell´art. 162, comma 2-bis, per aver omesso di adottare le misure minime di sicurezza previste dall´art. 33;
VISTO l´art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell´art. 33, con la sanzione amministrativa del pagamento di una somma, da diecimila euro a centoventimila euro;
CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge n. 689/1981, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;
CONSIDERATO che, nel caso in esame:
a) in ordine all´aspetto della gravità con riferimento agli elementi dell´entità del pregiudizio o del pericolo e dell´intensità dell´elemento psicologico, le violazioni riguardano gli elementi essenziali delle misure di sicurezza;
b) ai fini della valutazione dell´opera svolta dall´agente, deve evidenziarsi che Aria S.p.a. ha prodotto documentazione da cui si evince di aver adottato le misure di sicurezza oggetto di violazione;
c) circa la personalità dell´autore della violazione, deve essere considerata la circostanza che la società, pur nell´ambito del medesimo accertamento, è stata destinataria di altre sanzioni;
d) in merito alle condizioni economiche dell´agente, sono stati presi in considerazione gli elementi delle dichiarazioni reddituali relative all´anno d´imposta 2015;
RITENUTO, quindi, di dover determinare, ai sensi dell´art. 11 della legge n. 689/1981, l´ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 20.000,00 (ventimila) per le violazioni di cui all´art. 162, comma 2-bis, in relazione all´art. 33 del Codice;
VISTA la documentazione in atti;
VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;
VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;
RELATORE la prof.ssa Licia Califano;
ORDINA
ad Aria S.p.a., con sede legale in Milano, Via Enrico Forlanini n. 23, P.I. 02838760540, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria per la violazione di cui all´art. 162, comma 2-bis, indicata in motivazione;
INGIUNGE
al medesimo soggetto di pagare la somma di euro 20.000,00 (ventimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689.
Ai sensi degli artt. 152 del Codice e 10 del d. lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.
Roma, 20 luglio 2017
IL PRESIDENTE
Soro
IL RELATORE
Califano
IL SEGRETARIO GENERALE
Busia
