Diritti interna

Doveri interna

ricerca avanzata

Ordinanza ingiunzione nei confronti di S.P. Selezione Personale s.r.l. - 15 marzo 2018 [9003853]

[doc. web n. 9003853]

Ordinanza ingiunzione nei confronti di S.P. Selezione Personale s.r.l. - 15 marzo 2018

Registro dei provvedimenti
n. 160 del 15 marzo 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che il Nucleo speciale privacy della Guardia di finanza, in esecuzione della richiesta di informazioni n. 10024/102969 del 7 aprile 2016, formulata ai sensi dell’art. 157 del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito denominato “Codice”), ha svolto presso la sede legale della S.P. Selezione Personale s.r.l. (di seguito “la società”), sita in Cagliari, via Grecale n. 21, P.I. 03053880922, gli accertamenti di cui ai verbali di operazioni compiute del 12 e 13 luglio 2016, al fine di acquisire ogni utile informazione e documentazione in relazione ai trattamenti di dati personali effettuati nell’ambito dell’attività di “head hunting/recruitment”, raccolti direttamente presso gli interessati o tramite acquisizione di banche dati o tramite siti web;

VISTI gli atti relativi agli accertamenti eseguiti presso la sede della società e la nota inviata dalla stessa in data 25 luglio 2016, a scioglimento delle riserve formulate nel corso della visita ispettiva, dai quali è risultato, in sintesi, che:

- la società S.P. Selezione Personale s.r.l., in qualità di titolare del trattamento ai sensi degli artt. 4 e 28 del Codice, effettua un trattamento di dati personali, riferiti ai clienti e ai candidati ad offerte di lavoro, avvalendosi dei propri dipendenti, designati incaricati del trattamento ai sensi dell’art. 30 del Codice, a ciascuno dei quali ha provveduto ad assegnare un PC al quale accede con privilegi di Amministratore (verbale di operazioni compiute del 13 luglio, pag. 3);

- in sede di assegnazione delle credenziali di autenticazione, gli incaricati del trattamento, al primo acceso ai sistemi informatici, sostituiscono la password assegnata in presenza del titolare del trattamento (pag. 3 del verbale sopra citato);

- è ammesso l’utilizzo di un PC a due dipendenti mediante l’inserimento delle stesse credenziali di autenticazione. “Il terzo PC in uso a entrambe le dipendenti viene utilizzato per inviare ai partecipanti di corsi di formazione (…) i relativi attestati di partecipazione ai corsi o rispondere a eventuali quesiti”;

- in caso di assenza prolungata dell’incaricato (per malattia, per maternità, ecc.), “l’assegnatario del PC deve comunicare la sua password di accesso alla collega incaricata di continuare l’attività da lei iniziata. Quest’ultima accedendo con le credenziali della collega assente dovrà sostituire la password che dovrà essere solo di sua conoscenza. Al momento del rientro dell’assegnataria del pc, avverrà il procedimento inverso, ossia (…) la collega che l’ha sostituita dovrà comunicare la password sostituita in modo tale che l’assegnataria la rimodifichi e quindi sia di sua conoscenza” (pag. 4 del verbale di operazioni compiute del 13 luglio); 

CONSIDERATO che la società, a fronte del trattamento di dati personali posto in essere con gli strumenti elettronici, non risulta aver adottato le misure di sicurezza descritte nel Disciplinare tecnico di cui all’allegato B) al Codice con riferimento all’utilizzo e all’assegnazione delle credenziali di autenticazione in uso agli incaricati del trattamento;

VISTO il verbale n. 97/2016 del 22 settembre 2016, che qui integralmente si richiama, con cui è stata contestata a S.P. Selezione Personale s.r.l., in persona del legale rappresentante pro-tempore, la violazione amministrativa prevista dall’art. 162, comma 2-bis, in relazione all’art. 33 del Codice, per la quale non è prevista la definizione in via breve ai sensi dell’art. 16 della legge 24 novembre 1981 n. 689;

VISTI gli scritti difensivi, inviati in data 29 ottobre 2016 ai sensi dell’art. 18 della legge n. 689/1981, con cui la società ha evidenziato come alcuni aspetti tecnici non siano stati correttamente rilevati nel corso degli accertamenti ispettivi. In particolare, “ciò che emerge dalla lettura del verbale di contestazione è la circostanza che viene confuso il livello di sicurezza relativo al trattamento dei dati personali (…) di cui al dettagliato Documento Privacy con un ulteriore livello di sicurezza aziendale di accesso al PC”. Esiste, infatti, un primo livello di sicurezza che consente l’accesso al PC al fine di svolgere attività lavorative non connesse al trattamento di dati personali, e un secondo livello di sicurezza che, invece, consente l’accesso ai server e agli archivi in cui sono conservati dati personali. Tale sistema “garantisce che, avvenuto l’accesso ai pc non sia permesso direttamente l’accesso ai dati personali se non con l’utilizzo delle diverse ed ulteriori credenziali di autenticazione (…)”. Pertanto, alla luce di quanto è stato chiarito, il verbale di contestazione risulta infondato relativamente ad alcuni aspetti, ovvero “i privilegi di amministratore sono relativi esclusivamente al PC e non riguardano i server dove sono residenti le banche di dati personali aziendali”; il terzo pc, che si contesta essere utilizzato dalle dipendenti con le stesse credenziali, non è collegato alla rete (e dunque non è abilitato ad accedere al server in cui sono conservati dati personali), essendo invece utilizzato per svolgere ulteriori attività quali preparazione di proposte commerciali, preventivi e relazioni; la circostanza che, in caso di assenza prolungata di una delle due dipendenti, l’altra debba comunicare la propria password, è riferita alla password di accesso al PC e non alle credenziali di accesso alle banche dati conservati sui server, in quanto “una volta che si accede al pc, dove sono state installate le specifiche applicazioni o collegamenti, alle banche dati si deve accedere con le credenziali personali del dipendente presente che quindi non ha necessità di conoscere la password del dipendente assente per cui non è necessario che ci sia una trasmissione di queste credenziali”; infine, è una supposizione priva di fondamento quanto contestato circa il fatto che la sostituzione della parola chiave sia avvenuta in presenza dell’amministratore, nonché titolare del trattamento, laddove, infatti, “con l’espressione in mia presenza non si intendeva che l’amministratore fisicamente si posizionasse dietro il dipendente mentre questi procedeva alla sostituzione della password del pc, ma semplicemente che l’amministratore si accertava che avvenisse detta operazione”;   

LETTO il verbale di audizione del 10 ottobre 2017, con cui la società ha ribadito quanto già rappresentato nelle memorie difensive;

RITENUTO che le argomentazioni addotte non sono idonee ad escludere la responsabilità della parte in relazione a quanto contestato. Posto che, quanto emerso nel corso degli accertamenti ispettivi e dichiarato nei verbali del 12 e 13 luglio 2016 fa piena prova fino a querela di falso, si rileva che, in quella sede, la parte ha dichiarato che tutta la documentazione inerente i dati personali e i curricula dei candidati (che perviene dai form presenti sui siti internet) viene raccolta in un database, presente su un server sito presso la server farm della società Kigi, e che l’accesso a tale database è consentito solo a una dipendente previo inserimento delle credenziali di autenticazione (verbale del 12 luglio, pag. 3). Viene, successivamente, rilevato che i dati relativi ai curricula, se ritenuti idonei, vengono scaricati su un server interno, in una cartella di lavoro condivisa (verbale del 13 luglio, pag. 2-3). In nessuna circostanza, è emersa la presenza di un secondo sistema di autenticazione necessario per effettuare l’accesso ai  server e/o al database in cui confluiscono e sono conservati i dati personali. Piuttosto, dalla documentazione acquisita durante gli accertamenti emerge una situazione del tutto differente, rappresentata dalla parte stessa che ha dichiarato di aver provveduto ad assegnare ogni pc ad ogni singolo incaricato, fornendogli una user id e una password, e di aver scelto tale modalità in quanto “al database presente presso la server farm della società Kigi, alla pec e all’account di posta elettronica della dipendente A., è possibile accedere dal pc in uso alla dipendente A., tramite la user id: pc-daniela e la password conosciuta solo da lei. Parimenti, l’accesso alla casella di posta elettronica spselper@selper.it dove arrivano i curricula dei candidati è possibile solo dal pc assegnato alla dipendente F., tramite la user id: carla oppure sp05, la password conosciuta solo dalla dipendente stessa (…)”. La situazione così descritta, che come detto non evidenzia la presenza di una seconda procedura di autenticazione, spiega anche perché sia necessario conoscere le password di accesso del dipendente assente, per poter, ad esempio, accedere alla casella di pec. Tale procedura appare illogica e contraddittoria, considerato che, in un primo momento la parte ha dichiarato che i dipendenti possono accedere ai pc come amministratori di sistema (quindi senza restrizioni), e successivamente che i dati relativi ai curricula dei candidati vengono conservati in cartelle di lavoro condivise. In ogni caso, a prescindere dalla circostanza che effettivamente esista una seconda procedura di autenticazione per l’accesso ai dati personali contenuti nel database e nei server, si rileva che la procedura adottata dalla società relativamente alla circostanza che i dipendenti debbano scambiarsi le password di accesso ai pc, non è conforme alle misure di sicurezza previste dal disciplinare tecnico, di cui all’allegato b) al Codice. Infatti, le regole da n. 2 al n. 6, impongono che le credenziali di autenticazione, assegnate individualmente agli incaricati del trattamento, siano riservate, ad uso esclusivo dell’incaricato, e segrete, circostanze che non sono state riscontrate nel caso in esame. Deve, altresì, osservarsi che il terzo pc, al quale le dipendenti accedono con le stesse credenziali, risulta, sulla base degli accertamenti ispettivi, che venga utilizzato per effettuare operazioni relative all’invio degli attestati di partecipazione, attività che presuppone l’utilizzo di dati personali;

RILEVATO che S.P. Selezione Personale s.r.l. ha effettuato un trattamento di dati personali (art. 4 comma 1, lett. a) e b) del Codice), omettendo di adottare le misure minime di sicurezza ai sensi dell’art. 33 del Codice;

VISTO l’art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell’art. 33 del Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge 24 novembre 1981 n. 689, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

a S.P. Selezione Personale s.r.l., sita in Cagliari, via Grecale n. 21, P.I. 03053880922in persona del legale rappresentante pro-tempore, di pagare la somma di euro 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria per la violazione di cui all’art. 162, comma 2-bis, come indicato in motivazione;

INGIUNGE

alla medesima società di pagare la somma di euro 20.000,00 (ventimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero. 

Roma, 15 marzo 2018

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia