Diritti interna

Doveri interna

ricerca avanzata

Ordinanza ingiunzione nei confronti di Active Network S.p.a. - 19 luglio 2018 [9047347]

[doc. web n. 9047347]

Ordinanza ingiunzione nei confronti di Active Network S.p.a. - 19 luglio 2018

Registro dei provvedimenti
n. 429 del 19 luglio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO l’art. 1, comma 2, della legge 24 novembre 1981, n. 689, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati;

RILEVATO che il Nucleo privacy della Guardia di finanza, in esecuzione della richiesta di informazioni n. 6153/91026 del 28 febbraio 2014, formulata ai sensi dell’art. 157 del d.lgs. 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito “Codice”), ha svolto gli accertamenti presso Active Network S.p.a., esercente l’attività di “erogazione di servizi di accesso ad internet”, già con sede in Viterbo, Via della Chimica n. 18, e attualmente con sede in Milano, Via Santa Maria Valle n. 3, P.I.01599530563, formalizzati nel verbale di operazioni compiute del 18 giugno 2014, diretti a verificare il rispetto della normativa in materia di protezione dei dati personali e di quanto prescritto dal Garante, ai sensi dell’art. 17 del Codice, nel provvedimento recante “Sicurezza dei dati di traffico telefonico e telematico” datato 17.01.2008 (in www.garanteprivacy.it, doc. web n. 1482111), integrato dal provvedimento del 24.07.2008, recante “Recepimento normativo in tema di dati di traffico telefonico e telematico” (in www.garanteprivacy.it, doc. web n. 1538237). Nel corso degli accertamenti eseguiti e sulla base della nota inviata in data 2 luglio 2014 a scioglimento delle riserve formulate, è risultato che la Società, in qualità di titolare del trattamento ai sensi degli artt. 4 e 28 del Codice:

- ha conservato i dati di traffico telematico per finalità di accertamento e repressione dei reati oltre il termine di 12 mesi (dal 18 aprile 2011), in violazione di quanto previsto dall’art. 132 del Codice; 

- non ha osservato le misure e gli accorgimenti prescritti dal Garante ai sensi dell’art. 17 del Codice, avendo effettuato un trattamento di dati di traffico telematico per finalità di accertamento e repressione dei reati senza aver adottato la procedura di strong authentication con particolare riferimento all’utilizzo della tecnologia basata sull’elaborazione di caratteristiche biometriche dell’interessato;

VISTO il verbale n. 58 del 21 luglio 2014, che qui si intende integralmente richiamato, con cui è stata contestata a Active Network S.p.a., in qualità di titolare del trattamento, in persona del legale rappresentante pro-tempore, la violazione amministrativa prevista dall’art. 162-bis del Codice, in relazione all’art. 132, comma 1, per aver effettuato una conservazione di dati di traffico telematico, per fini di accertamento e repressione dei reati, per un periodo superiore ai 12 mesi, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell’art. 16 della legge 24 novembre 1981 n. 689; 

RILEVATO che dal rapporto predisposto ai sensi dell’art. 17 della legge 24 novembre 1981 n. 689 dal predetto Nucleo non risulta che la Società abbia effettuato il pagamento in misura ridotta;

VISTO il verbale n. 59 del 21 luglio 2014, che qui si intende integralmente richiamato, con cui è stata contestata a Active Network S.p.a., in persona del legale rappresentante pro-tempore, la violazione amministrativa prevista dall’art. 162, comma 2-bis, del Codice, per aver omesso di adottare, in violazione di quanto prescritto dal Garante, ai sensi dell’art. 17 del Codice, con i citati provvedimenti del 17 gennaio 2008 e del 24 luglio 2008, sistemi di autenticazione basati su tecniche di strong authentication, con particolare riferimento al mancato utilizzo di tecnologie basate sull’elaborazione di caratteristiche biometriche dell’interessato per l’accesso ai dati di traffico conservati per finalità di accertamento e repressione dei reati, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell’art. 16 della legge 24 novembre 1981 n. 689;

RILEVATO che dal rapporto predisposto ai sensi dell’art. 17 della legge 24 novembre 1981 n. 689 dal predetto Nucleo non risulta che la Società abbia effettuato il pagamento in misura ridotta;

VISTI gli scritti difensivi, datati 24 settembre 2014, inviati ai sensi dell’art. 18 della legge 24 novembre 1981 n. 689, con cui la parte ha eccepito come le sanzioni comminate risultino obiettivamente eccessive e ingiustificate, avendo adottato misure più che adeguate a garantire la sicurezza e la protezione dei dati personali dei propri clienti. Con riferimento alle misure di sicurezza applicate, infatti, la parte ha rilevato come gli ispettori avessero verificato la presenza di sistemi di autenticazione basati sull’inserimento di user id e password, assegnate ad ogni incaricato dell’azienda. Inoltre, “a causa delle dimensioni dell’azienda, risulterebbe assai gravoso per Active Network dotarsi di strumenti per l’autenticazione degli incaricati – quali riconoscimento della retina e papillare – che tra l’altro nel caso specifico, oltre che meno sofisticati, appaiono a tutti gli effetti eccessivi soprattutto considerando gli strumenti già in essere”;

LETTO il verbale di audizione, svoltasi in data 9 marzo 2015, ai sensi dell’art. 18 della legge n. 689/1981, con cui la parte ha osservato che la mancata adozione di un sistema di autenticazione di tipo biometrico è stata determinata dall’esiguità del personale preposto all’accesso ai dati di traffico telematico. Per quanto riguarda, invece, la violazione relativa ai tempi di conservazione dei dati, la parte ha osservato che si è trattato di un errore nella interpretazione della normativa di riferimento e che, ad ogni modo, già al momento dell’accertamento ispettivo, aveva provveduto ad apportare le opportune modifiche. Pertanto, ha chiesto l’archiviazione delle contestazioni e, in subordine, l’applicazione delle sanzioni nella misura del minimo edittale con riduzione a due quinti, in base alla previsione dell’art. 164-bis, comma 1, del Codice; 

RITENUTO che le argomentazioni addotte non sono idonee ad escludere la responsabilità della parte in ordine a quanto contestato. Il Garante nei citati provvedimenti ha espressamente prescritto le misure che i fornitori di servizi di comunicazione elettronica devono adottare, al fine di garantire la tutela dei dati di traffico telefonico e telematico. Con particolare riferimento alla conservazione dei dati per finalità di accertamento e repressione dei reati, nel provvedimento datato 24 luglio 2008, il Garante ha specificato che, nell’ambito delle tecniche di strong authentication, “una di tali tecnologie deve essere basata sull’elaborazione di caratteristiche biometriche dell’incaricato, in modo tale da assicurare la presenza fisica di quest’ultimo presso 1a postazione di lavoro utilizzata per il trattamento” (lett. a), punto 1, del citato provvedimento). Tali prescrizioni sono rivolte a tutti gli operatori del settore, a prescindere delle loro capacità organizzative ed economiche o della quantità di dati trattati, tenendo conto unicamente della natura particolarmente delicata dei dati oggetto del trattamento e delle finalità perseguite. Pertanto, le misure che la società ha adottato, consistenti nell’assegnazione di user id e password e nell’utilizzo di una chiava crittografica SSL (come risulta dal verbale di operazioni compiute del 18 giugno, pag. 4-5), non sono sicuramente rispondenti a quelle richieste dal Garante e, dunque, non possono ritenersi adeguate a garantire la tutela dei diritti e delle libertà degli interessati. Allo stesso modo, deve ritenersi fondata la contestazione addebitata alla parte per la violazione dell’art. 132 del Codice, con riferimento ai tempi di conservazione dei dati di traffico telematico, in quanto dagli accertamenti eseguiti è emerso che il dato meno recente presente sul database risaliva al 18 aprile 2011, ovvero a un periodo di tempo superiore a quello di 12 mesi richiesto dalla normativa.  Quanto, invece, all’argomentazione difensiva che riconduce le violazioni in esame a un errore di interpretazione della normativa di riferimento, si precisa che l’errore sulla liceità della condotta (indicato come “buona fede”), può rilevare in termini di esclusione di responsabilità solo quando risulti inevitabile e incolpevole: occorre, quindi, un elemento positivo, estraneo all’autore della violazione, tale da ingenerare la convinzione della liceità del suo agire, oltre alla condizione per cui da parte dell’autore è stato fatto tutto il possibile per osservare la legge e che nessun rimprovero può essergli mosso (Cass. Civ. Sez. lav. 12 luglio 2010 n. 16320). Oltre alla considerazione che tali requisiti non sono riscontrabili nel caso che ci occupa (posto che tutte le problematiche rilevate erano facilmente riscontrabili con l’ordinaria diligenza richiesta), va altresì considerata la posizione della Società, professionalmente inserita in uno specifico campo di attività, e, come tale, tenuta a un obbligo di informazione e di conoscenza più specifico in ordine alle norme che disciplinano il proprio settore di attività. Proprio in considerazione di ciò, deve escludersi l’applicabilità al caso in esame dell’attenuante di cui all’art. 164-bis, comma 1, del Codice, non rientrando le violazioni in argomento tra le ipotesi di minore gravità; 

RILEVATO, pertanto, che Active Network S.p.a., sulla base delle considerazioni sopra richiamate, in qualità di titolare del trattamento, ai sensi degli artt. 4 e 28 del Codice, risulta aver effettuato un trattamento di dati di traffico:

a) in violazione dell’art. 162-bis, del Codice, in relazione all’art. 132 per aver conservato i dati di traffico telematico per finalità di accertamento e repressione dei reati per un periodo superiore a 12 mesi; 

b) in violazione dell’art. 162, comma 2-bis del Codice, in relazione all’art. 17, per aver effettuato un trattamento di dati di traffico telematico per finalità di accertamento e repressione dei reati senza aver adottato le misure prescritte dal Garante con il provvedimento del 17 gennaio 2008 (in G.U. del 5 febbraio 2008 n. 30, e sul sito www.garanteprivacy.it in doc. web n. 1482111), modificato ed integrato dal successivo provvedimento del 24 luglio 2008 in materia di conservazione di dati di traffico telefonico e telematico (in G.U. del 13 agosto 2008 n. 189,  e sul sito www.garanteprivacy.it in doc. web n. 1538224);

VISTO l’art. 162-bis, del Codice che punisce la violazione delle disposizioni indicate nell’art. 132 del Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a cinquantamila euro;

VISTO l’art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni di cui all’art. 167 del Codice che richiama, tra gli altri, l’art. 17, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della legge n. 689/1981, l’ammontare della sanzione pecuniaria,  in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 10.000,00 (diecimila) per le violazioni di cui all’art. 162-bis del Codice, in relazione all’art. 132 del Codice e nella misura di euro 10.000,00 (diecimila) per la violazioni di cui all’art. 162, comma 2-bis, in relazione all’art. 17 del Codice, per un ammontare complessivo pari a euro 20.000,00 (ventimila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

ORDINA

a Active Network S.p.a., con sede legale in Milano, Via Santa Maria Valle n. 3, P.I.01599530563, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria, per le violazioni indicate in motivazione;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 20.000,00 (ventimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d. lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero. 

Roma, 19 luglio 2018

IL PRESIDENTE
Iannini

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia