Diritti interna

Doveri interna

ricerca avanzata

Ordinanza ingiunzione nei confronti di Go Internet S.p.A - 19 luglio 2018 [9047331]

[doc. web n. 9047331]

Ordinanza ingiunzione nei confronti di Go Internet S.p.A - 19 luglio 2018

Registro dei provvedimenti
n. 428 del 19 luglio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; 

VISTO l’art. 1, comma 2, della legge 24 novembre 1981, n. 689, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati;

RILEVATO che la Guardia di finanza, Nucleo speciale privacy, con verbali nn. 16, 17, 18 e 19 del 6 febbraio 2015 (tutti notificati il 6 marzo 2015), che qui devono intendersi integralmente riportati, hanno contestato alla società Go Internet S.p.A., in persona del legale rappresentante pro-tempore, con sede legale in Gubbio (PG), piazza Bernini s.n.c., C.F. 02577660547, la violazione delle disposizioni di cui agli artt. 17, comma 2, 123, comma 2, 132, commi 1 e 1-bis, 162, comma 2-bis, e 162-bis del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato “Codice”);

RILEVATO che dall’esame degli atti del procedimento sanzionatorio avviato con le contestazioni di violazioni amministrative è emerso, in sintesi, quanto segue: 

- la Guardia di finanza ha svolto accertamenti, nei giorni 16 e 17 dicembre 2014, nei confronti di Go Internet S.p.A., nell’ambito dell’attività ispettiva semestrale programmata dal Garante;

- nel corso dell’ispezione è stato possibile rilevare che Go Internet, che svolge l’attività di operatore telefonico e di internet service provider fornendo servizi di telefonia e di connettività internet, tratta dati di traffico telefonico e telematico e conserva i predetti dati per finalità di fatturazione e di accertamento e repressione dei reati;

- con riferimento ai dati di traffico telefonico trattati per finalità di fatturazione, è stato rilevato che la società conserva gli stessi per un periodo superiore a quello indicato nell’art. 123, comma 2, del Codice. Infatti, risulta dal verbale di operazioni compiute del 16 dicembre 2014 che “dal gestionale CRM è possibile visualizzare i dettagli delle chiamate effettuate dai clienti, allegati alla fattura, con documento “dettaglio chiamate”, contenente numero chiamato, con ultime tre cifre asteriscate, data, ora e durata della chiamata; […] uno dei primi clienti, a cui è stato attivato il servizio di telefonia, risale al mese di agosto 2011; il “dettaglio chiamate” più remoto riferito al predetto cliente risale al mese di gennaio 2012”; è stato altresì rilevato che i dati di traffico telefonico relativi alle chiamate senza risposta sono conservati per un periodo superiore ai trenta giorni;

- con riferimento ai dati di traffico telefonico e telematico trattati per finalità di accertamento e repressione dei reati, è stato rilevato che la società conserva gli stessi per un periodo superiore a quello indicato nell’art. 132, comma 1, del Codice. Infatti, risulta dal verbale di operazioni compiute del 16 dicembre 2014 che “il PC sul quale risiedono i dati è custodito presso una stanza dedicata […]; è stata aperta la cartella “backup”; la stessa contiene i cartellini di traffico telefonico, in formato “cdr”, dal 1° aprile 2011 al 4 dicembre 2014, continui negli anni 2011, 2012, 2013 e 2014; […] il sistema DHCP contiene 50875 cartellini di traffico telematico, in formato “csv”, dal 4 luglio 2013 ad oggi; […] i cartellini risultano conservati in chiaro; […] per gli accessi effettuati ai dati di traffico telematico non è stata adottata alcuna procedura di autenticazione alle macchine mediante riconoscimento biometrico”;

RILEVATO che con i citati verbali del 6 febbraio 2015 sono state contestate a Go Internet:

- (verbale n. 16) ai sensi dell’art. 162, comma 2-bis del Codice, la violazione delle disposizioni di cui all’art. 123, comma 2, per aver conservato dati di traffico telefonico trattati per finalità di fatturazione, per un periodo superiore a sei mesi;

- (verbale n. 17) ai sensi dell’art. 162-bis, del Codice, la violazione delle disposizioni di cui all’art. 132, comma 1, per aver conservato dati di traffico telefonico e telematico trattati per finalità di accertamento e repressione dei reati per un periodo superiore a ventiquattro mesi (traffico telefonico) e dodici mesi (traffico telematico);

- (verbale n. 18) ai sensi dell’art. 162-bis, del Codice, la violazione delle disposizioni di cui all’art. 132, comma 1-bis, per aver conservato dati di traffico telefonico relativi alle chiamate senza risposta, per un periodo superiore a trenta giorni;

- (verbale n. 19) ai sensi dell’art. 162, comma 2-bis, del Codice, la violazione delle disposizioni di cui all’art. 17, per aver conservato dati di traffico telematico senza aver adottato le misure di strong authentication e cifratura dei dati, prescritte nel provvedimento in materia di sicurezza dei dati di traffico telefonico e telematico del 17 gennaio 2008 (in www.gpdp.it, doc. web n. 1482111);

PRESO ATTO che la parte ha provveduto al pagamento in misura ridotta, ai sensi dell’art. 16 della legge n. 689/1981, delle sanzioni previste per le violazioni contestate con i verbali nn. 16 e 18;

LETTI i rapporti amministrativi redatti ai sensi dell’art. 17 della legge n. 689/1981, con riferimento alle violazioni contestate con i verbali nn. 17 e 19;

LETTI gli scritti difensivi del 3 aprile 2015 e il verbale di audizione del 9 novembre 2015, che qui si intendono integralmente richiamati e che, in sintesi, rappresentano: 

- “i dati raccolti presso i database presso i predetti server non sono tecnicamente qualificabili quali dati telematici personali relativi ai clienti ma a meri "dati di rete", ovvero dati radio relativi alla connessione degli apparati di rete costituenti la rete Wimax della Società, la cui conservazione è necessaria ai fini di un corretto funzionamento della rete stessa. Il citato database contiene infatti esclusivamente due dati di rete: l’IP address e il MAC address; il primo identifica l'indirizzo di connessione alla rete ed è un elemento dinamico in quanto assegnato a più utenti mentre il secondo comprende gli indirizzi della scheda di rete router, anch'essi assegnati a più utenti. Ne deriva che non si tratta di anagrafiche clienti idonee a rivelare dati sensibili secondo l'accezione del Codice dei dati personali ma soltanto di "informazioni del traffico della rete" o "dati di router” se si preferisce. […] I dati in commento non sono pertanto idonei né a rivelare l'identità degli utenti: non si tratta pertanto di indicatori che consentono di profilare gli utenti né di tracciarne i contenuti e/o le preferenze di navigazione. In definitiva nella fattispecie difetta sia il presupposto di fatto alla base del verbale di contestazione e della sanzione ivi indicata, vale a dire il trattamento di dati telematici idonei all'identificazione dell'utente cliente, sia la concreta lesività del comportamento ascritto in quanto i dati conservati oltre i termini previsti dal Codice sotto dati tecnici anonimi relativi alla rete WiMax della Società e non dati telematici, così come definiti dei Codice”.

- “tengo a precisare come la società abbia agito in assoluta buona fede. In effetti, la società non ha mai conservato il dato di traffico propriamente detto, ma ha creato un database utilizzando solo una parte del dato di traffico, che non aveva alcuna caratteristica idonea ad identificare l'utente o fornire qualunque informazione sulla navigazione effettuata. Tale database aveva la sola funzione di fornire indicazioni circa il numero di presenze di utenti abbonati sugli specifici punti di collegamento al fine di ottimizzarne la distribuzione. Tale analisi aveva lo scopo di ottimizzare la performance di navigazione degli utenti, consentendo, attraverso l'analisi della quantità di utenti connessi ad ogni singolo punto di distribuzione, di reindirizzarli su nodi meno popolati, al fine di consentire una navigazione più veloce”;

- Con riferimento al verbale n. 19 si sottolinea che la Società non ha in buona fede provveduto all'adozione delle misure di "strong authentication" e di "cifratura dei dati" posto che i dati contenuti nei database esistenti sui server DHCP e Radius non sono qualificabili, per le ragioni suesposte, quali "dati telematici" ma quali meri "dati di rete". Si evidenzia in ogni caso che, anche in assenza di dette misure di sicurezza, la Società ha comunque adottato un triplice livello di sicurezza attraverso più password di accesso e l’introduzione dei c.d. privilegi elevati per garantire l'inaccessibilità dei dati di rete raccolti”.

RITENUTO che le argomentazioni addotte non risultano idonee a determinare l’archiviazione del procedimento sanzionatorio avviato con le contestazioni di cui sopra, per le motivazioni di seguito riportate:

a) emerge, dai verbali di operazioni compiute redatti dalla Guardia di finanza nel corso dell’accertamento ispettivo (verbali che fanno fede fino a querela di falso), che i cartellini di traffico telefonico conservati dalla società nei diversi server dedicati alla relativa elaborazione, contengono le informazioni relative alla numerazione del chiamante, alla numerazione del chiamato, alla data e all’ora della chiamata;

b) emerge altresì che i cartellini di traffico telematico, conservati dalla società nei server DHCP e Radius, contengono le informazioni relative all’indirizzo IP e MAC del dispositivo connesso, nonché quelle relative all’inizio della connessione. Tali informazioni sono idonee ad identificare univocamente il soggetto che ha effettuato la connessione giacché dall’indirizzo IP, pur se assegnato in modo dinamico, e dalla data e ora di inizio della connessione è possibile risalire all’utenza alla quale, in un determinato momento, è stato assegnato il predetto indirizzo. L’ulteriore informazione del Mac address consente di individuare anche il dispositivo dal quale è stata effettuata la connessione;

c) si deve peraltro ricordare che il Garante, con il provvedimento del 19 settembre 2007 recante “misure e accorgimenti a garanzia degli interessati in tema di conservazione di dati di traffico telefonico e telematico per finalità di accertamento e repressione dei reati” (in www.gpdp.it, doc. web n. 1442463), richiamando la disposizione di cui all’art. 4, comma 2, lett. h), del Codice, che definisce il dato relativo al traffico come “qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione”, ha ulteriormente specificato che sono soggetti agli obblighi di conservazione "i dati di traffico che risultano nella disponibilità [dei fornitori] in quanto derivanti da attività tecniche strumentali alla resa di un servizio, nonché alla sua fatturazione”;

d) deve pertanto ritenersi, nel caso in argomento, che i dati conservati da Go Internet siano pienamente riconducibili alla definizione di “dati di traffico telefonico e telematico” e siano pertanto soggetti alle disposizioni normative e ai provvedimenti che ne regolano la conservazione;

e) dall’accertamento ispettivo, emerge per tabulas che i dati di traffico telefonico e telematico sono stati conservati per un periodo di tempo superiore a quello indicato nell’art. 132, comma 1, del Codice e, nella circostanza, non può essere invocata l’esimente di cui all’art. 3 della legge n. 689/1981 che esclude la responsabilità dell’agente quando la violazione è commessa per errore non determinato da sua colpa (nel caso in argomento la parte ha fatto riferimento ad una “anomalia di funzionamento dello script di cancellazione automatica”). L’errore, infatti, può rilevare come causa di esclusione della responsabilità amministrativa solo quando esso risulti inevitabile, e a tal fine occorre un elemento positivo idoneo ad indurre un errore siffatto, non ovviabile dall'interessato con l'ordinaria diligenza (Cassazione civile, sez. I, 05/06/2001, n. 7603). Nel caso in argomento, non risulta che Go Internet abbia operato con la raccomandata diligenza, poiché la presenza di dati di traffico telefonico e telematico conservati oltre il limite previsto dalle disposizioni di cui all’art. 132, comma 1, del Codice poteva essere rilevata anche a seguito di sporadici controlli sui database aziendali, controlli che evidentemente non sono stati effettuati;

f) quanto alle misure di sicurezza adottate per la conservazione dei dati di traffico telematico, deve osservarsi che le stesse non corrispondono a quelle indicate nel provvedimento del 17 gennaio 2008, il quale, peraltro, non prevede l’adozione di misure alternative;

g) emerge pertanto che Go Internet ha conservato i dati di traffico telematico senza che gli stessi siano stati “protetti con tecniche crittografiche, in particolare contro rischi di acquisizione fortuita o di alterazione accidentale derivanti da operazioni di manutenzione sugli apparati informatici o da ordinarie operazioni di amministrazione di sistema” e siano state “adottate soluzioni che rendano le informazioni, residenti nelle basi di dati a servizio delle applicazioni informatiche utilizzate per i trattamenti, non intelligibili a chi non disponga di diritti di accesso e profili di autorizzazione idonei, ricorrendo a forme di cifratura od offuscamento di porzioni dei database o degli indici o ad altri accorgimenti tecnici basati su tecnologie crittografiche” e senza “utilizzo di specifici sistemi di autenticazione informatica basati su tecniche di strong authentication, consistenti nell’uso contestuale di almeno due differenti tecnologie di autenticazione” una delle quali “deve essere basata sull’elaborazione di caratteristiche biometriche dell’incaricato, in modo tale da assicurare la presenza fisica di quest’ultimo presso la postazione di lavoro utilizzata per il trattamento”;

h) le disposizioni sopra riportate, presenti nella motivazione del provvedimento del 17 gennaio 2008, sono state inserite in specifiche e puntuali prescrizioni, adottate ai sensi dell’art. 17 del Codice nel medesimo provvedimento, attesa la particolare natura dei dati e delle modalità del trattamento, idonea a determinare rischi specifici per i diritti, le libertà fondamentali e la dignità degli interessati. Tali prescrizioni sono state disattese da Go Internet;

RILEVATO, quindi, che Go Internet S.p.A., sulla base delle considerazioni sopra richiamate, risulta aver commesso, in qualità di titolare del trattamento, ai sensi dell’art. 4, comma 1, lett. f), e 28 del Codice: 

a) la violazione delle disposizioni di cui all’art. 132, comma 1, sanzionata dall’art. 162-bis, per aver conservato dati di traffico telefonico e telematico trattati per finalità di accertamento e repressione dei reati per un periodo superiore a ventiquattro mesi (traffico telefonico) e dodici mesi (traffico telematico);

b) la violazione delle disposizioni di cui all’art. 17, sanzionata dall’art. 162, comma 2-bis, del Codice per aver conservato dati di traffico telematico senza aver adottato le misure di strong authentication e cifratura dei dati, prescritte nel provvedimento in materia di sicurezza dei dati di traffico telefonico e telematico del 17 gennaio 2008; 

VISTI gli articoli: 

- 162, comma 2-bis, del Codice, che punisce la violazione delle disposizioni indicate nell’art. 167, fra cui figurano anche quelle di cui all’art. 17, con la sanzione da 10.000 a 120.000 euro;

-  162-bis, del Codice, che punisce la violazione delle disposizioni indicate nell’art. 132, comma 1, con la sanzione da 10.000 a 50.000 euro

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all’aspetto della gravità con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, le violazioni risultano connotate da elementi specifici, avuto riguardo alla oggettiva gravità dell’omessa adozione delle misure di sicurezza per la conservazione dei dati di traffico telematico e alla numerosità delle condotte poste in essere in violazione delle disposizioni normative e dei provvedimenti in tema di data retention, idonee a determinare gravi rischi per la sfera della riservatezza degli interessati;

b) ai fini della valutazione dell’opera svolta dall’agente, deve evidenziarsi che la società non risulta aver modificato le proprie prassi operative e, in particolare, i termini e le modalità di conservazione dei dati di traffico telematico;

c) circa la personalità dell’autore della violazione, deve essere considerata la circostanza che la società non risulta gravata da precedenti procedimenti sanzionatori definiti in via breve o a seguito di ordinanza ingiunzione;

d) in merito alle condizioni economiche dell’agente, sono stati presi in considerazione gli elementi del bilancio ordinario d’esercizio per l’anno 2016;

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della L. n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di:

- euro 20.000 (ventimila), per la violazione di cui all’art. 162, comma 2-bis, del Codice;

- euro 20.000 (ventimila), per la violazione di cui all’art. 162-bis del Codice;

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

ORDINA

a Go Internet S.p.A., in persona del legale rappresentante pro-tempore, con sede legale in Gubbio (PG), piazza Bernini s.n.c., C.F. 02577660547, di pagare la somma di euro 40.000,00 (quarantamila), a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

alla medesima società di pagare la somma di euro 40.000,00 (quarantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d. lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero. 

Roma, 19 luglio 2018

IL PRESIDENTE

Iannini

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALI
Busia