Diritti interna

Doveri interna

ricerca avanzata

Ordinanza ingiunzione nei confronti di Telecom Italia s.p.a. - 16 maggio 2018 [9370105]

VEDI ANCHE NEWSLETTER DEL 29 MAGGIO 2018

 

[doc. web n. 9370105]

Ordinanza ingiunzione nei confronti di Telecom Italia s.p.a. - 16 maggio 2018

Registro dei provvedimenti
n. 296 del 16 maggio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano, componente e del dott. Giuseppe Busia, segretario generale;

RILEVATO che l'Ufficio del Garante, con atto n. 12427/90978 del  16 aprile 2014 (notificato in pari data), che qui si intende integralmente richiamato, ha contestato a Telecom Italia s.p.a. (d'ora in poi Telecom), in persona del legale rappresentante pro-tempore, già con sede legale in Milano (MI), Piazza degli affari n. 2, C.F. 00488410010, la violazione delle disposizioni di cui agli artt. 23, 32-bis, 162, comma 2-bis e 162-ter del Codice in materia di protezione dei dati personali – d.lgs. 30 giugno 2003, n. 196 (di seguito denominato Codice);

RILEVATO, più precisamente che con l'atto di contestazione si rappresenta che:

- con nota del 9 gennaio 2014, ai sensi dell'art. 32-bis del Codice, Telecom ha trasmesso a questo ufficio una prima comunicazione relativa ad un'avvenuta violazione di dati personali, di cui all'art. 4, comma 3, lett. g-bis), del Codice, riguardante i dati relativi ad alcuni clienti della società;

- con nota del 14 gennaio 2014, Telecom ha fornito ulteriori informazioni in ordine alla violazione di dati personali già comunicata;

- la violazione di dati personali, avvenuta nel periodo intercorrente tra il 15 novembre 2013 e il 3 gennaio 2014, è dipesa da un malfunzionamento dell'infrastruttura di autenticazione IP2CLI che ha provocato, per alcuni clienti di rete mobile, che hanno effettuato l'accesso ai servizi di caring, l'errato abbinamento dell'utenza ai dati di competenza con la conseguente visualizzazione dei dati riferiti ad altri clienti;

- tali eventi sono stati rilevati direttamente dai clienti che li hanno comunicati a Telecom nel citato periodo (80 segnalazioni), soprattutto nell'ultima decade del mese di dicembre 2013;

- i dati coinvolti nella violazione, indebitamente comunicati a soggetti diversi dall'interessato, erano differenti a seconda della tipologia di accesso utilizzata dai clienti (Via portale TIM Internet, Via App119, mediante accesso dall'area clienti del sito 119) e riguardavano, ad esempio, credito residuo, ultime quattro cifre della carta di credito ove inserite dal cliente, piano tariffario, indirizzo e-mail,  storico delle comunicazioni da TIM ecc. Per tutti i clienti era visualizzabile il numero di telefono del soggetto di cui si stavano visualizzando i dati;

- le analisi tecniche sono state avviate da parte di Telecom solo quando il numero di segnalazioni è diventato significativo e nel periodo 27 dicembre 2013 – 2 gennaio 2014 sono stati condotti interventi contingenti di riduzione degli effetti del problema che è stato definitivamente risolto mediante una riconfigurazione complessiva del sistema di autenticazione in data 3 gennaio 2014;

- la problematica è stata segnalata alla funzione Privacy di Telecom in data 7 gennaio 2014;

- in data 13 gennaio 2014, Telecom ha inviato una comunicazione tramite posta ordinaria ai clienti segnalanti e a quelli colpiti dalla violazione in quanto informati da altro cliente di aver visualizzato i loro dati, ovvero individuati sulla base delle informazioni fornite dai segnalanti; 

- in 28 casi non è stato possibile individuare il cliente colpito dalla violazione in quanto coloro che ne hanno visualizzato i dati non hanno comunicato a Telecom elementi utili al riguardo;

- per l'architettura dei sistemi coinvolti, necessariamente di tipo realtime a fronte della necessità di trattare mediamente 100 milioni di autenticazioni al giorno, non è stato possibile identificare singole anomalie di autenticazione;

- Telecom ha affermato che non sono disponibili metodi per identificare, né in tempo reale, né a posteriori, effettivi accessi errati ai dati dei clienti e non ha fornito stime in percentuale rispetto al numero complessivo di autenticazioni effettuate mediante il sistema IP2CLI;

- tenuto conto del periodo in cui il si è  verificato il malfunzionamento (15 novembre 2013 – 3 gennaio 2014) e della media di autenticazioni giornaliere, si è ragionevolmente ritenuto che il numero effettivo di accessi errati sia stato di gran lunga superiore rispetto a quelli segnalati;

- i malfunzionamenti che hanno riguardato il sistema IP2CLI hanno comportato un'illecita comunicazione di dati personali a terzi (altri abbonati/contraenti o altre persone non legittimati ad accedevi) con riferimento ad un numero non determinabile di abbonati/contraenti o altre persone, effettuata "mediante la loro messa a disposizione o consultazione" (art. 4, comma 1, lett. l) del Codice) in assenza di idonei presupposti (consenso degli interessati ai sensi dell'art. 23 del Codice o altri presupposti legittimanti la comunicazione), circostanza che risulta effettivamente comprovata in atti almeno negli 80 casi segnalati al customer care;

RILEVATO che con il citato verbale datato 16 aprile 2014, è stata contestata a Telecom:

a) ai sensi dell'art. 162-ter, comma 1, del Codice, la violazione dell'art. 32-bis, comma 1 del Codice, per la ritardata comunicazione al Garante;

b) ai sensi dell'art. 162-ter, comma 2 del Codice, la violazione dell'art. 32-bis, comma 2, del Codice, per la ritardata comunicazione agli abbonati/contraenti o altre persone;

c) ai sensi del combinato disposto di cui all'art. 162, comma 2-bis, e all'art. 164-bis, comma 3 del Codice (che ricorre in quanto l'illecita comunicazione dei dati personali a terzi ha riguardato un numero di 80 casi certi e un numero allo stato non determinabile di altri casi), la violazione delle disposizioni indicate nell'art. 167 del Codice, tra le quali quelle di cui all'art. 23 del medesimo Codice, relative al consenso degli interessati, per l'indebita comunicazione di dati personali a terzi;

VISTO che la parte, per le violazioni di cui ai capi a) e b) dell'atto di contestazione ha provveduto, in data 10 giugno 2014, ad effettuare nei termini il pagamento in misura ridotta previsto dall'art. 16 della legge 24 novembre 1981, n. 689, con effetto estintivo del relativo provvedimento sanzionatorio;

ESAMINATO il rapporto predisposto dall'Ufficio ai sensi dell'art. 17 della legge 24 novembre 1981, n. 689 dal quale non risulta essere stato effettuato il pagamento in misura ridotta in relazione alla violazione di cui al capo c) dell'atto di contestazione;

VISTA la memoria difensiva datata 13 ottobre 2014 nella quale la Telecom, ai sensi dell'art. 18 della legge n. 689/1981, ha rappresentato quanto segue:

1)  "a dispetto della circostanza specifica in seno alla quale è emersa la asserita violazione, (segnatamente, il c.d. data breach, ovvero violazione di dati personali ai sensi dell'art. 4, comma 3, lett. g-bis) del Codice, ossia la violazione di sicurezza posta in essere "nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico"), la ricostruzione esegetica contenuta nella Contestazione assume una portata di carattere assolutamente generale, atteso che, seguendone la impostazione, si deve giungere a ritenere che qualsiasi titolare, in qualsiasi contesto, avesse a vedere violate le misure di sicurezza adottate a presidio della sicurezza dei dati, con conseguente accesso non autorizzato da parte di terzi (v. art. 31 del Codice), dovrebbe per ciò stesso essere soggetto alla contestazione della violazione dell'art. 23 del Codice, ed alle relative conseguenze previste dall'art. 167 e 162 comma 2-bis  del Codice, non avendo preventivamente acquisito il consenso dell'interessato;

2) "la menzionata teoria non risulta esser mai stata prospettata in passato dal Garante nonostante i tantissimi casi di violazioni di misure di sicurezza dei dati che hanno comportato accessi non autorizzati da parte di terzi (e quindi effettuati senza il consenso degli interessati) affrontati dall'Autorità in provvedimenti collegiali negli ultimi anni (…)"

3) le richiamate note del Dcrt [note nn. 1778-1779/909708 del 20.01.2014 con cui, rispettivamente, veniva comunicato a Telecom l'esito dell'istruttoria preliminare e veniva trasmesso al Dais il fascicolo per il seguito di competenza], e cioè a dire del Dipartimento funzionalmente investito della istruttoria (e quindi, anche riteniamo, in prima battuta onerato della valutazione in ipotesi di sussistenza anche solo potenziale di una fattispecie di illecito o di reato come quella prevista dall'art. 167 del Codice, dalla quale avrebbe potuto scaturire anche un eventuale trasmissione degli atti alla procura della Repubblica) non fanno nessuna menzione della indicata soluzione interpretativa. Né detta soluzione è anche solo prospettata in relazione ad altre comunicazioni di chiusura di ulteriori procedimenti istruttori disposta dal Dcrt nei confronti di Telecom in casi analoghi (…)";

4) "(…) ove quella posizione interpretativa fosse effettivamente ritenuta sostenibile, automaticamente dovrebbe ritenersi omessa da parte dell'autorità, un'attività di contestazione di violazioni amministrative (…) e/o di trasmissione degli atti alla competente Procura della Repubblica per l'eventuale accertamento di fattispecie di illecito o reato in tutti i casi di accesso non autorizzato ai dati dell'interessato, per assenza del suo consenso, emersi in seno a molteplici procedimenti definiti dall'autorità in questi anni ";

5) "perché una mancata attività (es: mancata acquisizione del consenso) possa essere sanzionata, il presupposto logico, ancor prima che giuridico, è che sia effettivamente possibile darvi effettivo seguito (es: acquisizione del consenso) per il soggetto chiamato a porlo in essere. Se quindi si contesta ad un Titolare l'omessa acquisizione del consenso dell'interessato in relazione ad una specifica attività di trattamento, anche solo potenziale, come la comunicazione consistente nella messa a disposizione o consultazione dei dati da parte di terzi a ciò non autorizzati, si deve necessariamente partire dall'assunto che il Titolare avrebbe dovuto preventivamente informare l'interessato di tale possibilità, e potuto acquisite il consenso informato relativo alla stessa";

6) "(…) nel caso di specie, viene contestata a Telecom la violazione di uno specifico obbligo del Codice che risulta essere palesemente inapplicabile, ed anche logicamente, impossibile da adempiere in quanto l'operazione di trattamento scaturita dal malfunzionamento tecnico (…) è già in radice illecita in quanto avvenuta in violazione della disciplina rilevante in materia di trattamento di dati personali (…) con specifico riferimento al profilo della sicurezza dei dati, e, quindi, devono considerarsi non eseguibili, né esigibili gli altri adempimenti formali previsti dal Codice, come appunto quello della richiesta del consenso all'interessato, che postulano invece la sussistenza di un trattamento lecito";

RITENUTO che le argomentazioni addotte non risultano idonee ad escludere le responsabilità della parte in relazione a quanto contestato per le motivazioni di seguito riportate:

1) con riferimento alla asserita portata di carattere assolutamente generale della ricostruzione esegetica contenuta nell'atto di contestazione, si rileva che nel caso di specie non sono state violate intenzionalmente da parte di un terzo le misure di sicurezza poste a presidio della sicurezza dei dati ma l'indebita comunicazione dei medesimi, intesa come loro messa a disposizione o consultazione, è stata causata dal malfunzionamento del sistema di autenticazione di esclusiva competenza di Telecom. La parte non ha fornito al riguardo alcun elemento volto ad escludere, ai sensi dell'art. 3 della legge n. 689/1981, la propria responsabilità a titolo di colpa in merito all'accaduto. Telecom, infatti, in qualità di fornitore di servizi di comunicazione elettronica accessibili al pubblico, era tenuta, in virtù di quanto disposto dall'art. 32 del Codice, ad adottare  le misure tecniche e organizzative adeguate al rischio esistente, per salvaguardare la sicurezza dei suoi servizi e per gli adempimenti di cui all'articolo 32-bis del Codice. Sul punto si rileva che la condotta illecita oggetto di contestazione è iniziata il 15 novembre 2013 ed è cessata solo il 3 gennaio 2014, periodo durante il quale, hanno continuato a verificarsi accessi non autorizzati da parte di un numero indeterminato di  contraenti ai dati personali di altri contraenti. Appare, pertanto, evidente come, considerato che per le ragioni sopraesposte non si possa ravvisare alcuna delle scriminanti di cui al citato art. 3 della legge n. 689/1981, quella posta in essere da Telecom nel caso dell'odierna contestazione è un trattamento di dati riconducibile all'art. 4, comma 1, lett. a) del Codice per il quale è necessario acquisire il consenso dell'interessato di cui all'art. 23 del Codice;

2) quanto all'asserita novità della " menzionata teoria"  rispetto ai numerosi provvedimenti collegiali negli ultimi anni in materia di violazione di "misure di sicurezza dei dati" si evidenzia che la fattispecie del c.d. data breach, disciplinata dagli artt. 4, comma 3, lett. g-bis), 32, 32-bis e 162-ter  del Codice è stata introdotta nel nostro ordinamento ad opera del decreto legislativo 28 maggio 2012, n. 69, con il quale il Governo ha dato attuazione alla delega prevista nell'art. 9 della legge comunitaria del 2010 (legge 15 dicembre 2011, n. 217, pubblicata in G.U. 2 gennaio 2012, n. 1), mentre il Provvedimento del Garante per la protezione dei dati personali, adottato ai sensi dell'art. 32-bis, comma 6, del Codice, in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali è stato adottato in data 4 aprile 2013 (Provvedimento n. 161, pubblicato sulla Gazzetta Ufficiale n. 97 del 26 aprile 2013, doc. web n. 2388260). In virtù, pertanto, della recente introduzione della fattispecie, non risultano allo stato adottati provvedimenti sanzionatori specifici in materia da parte del Garante. Qualora la parte intendesse riferirsi ai provvedimenti adottati in materia di violazione delle misure minime di sicurezza di cui all'art. 33 del Codice, si evidenzia l'inconferenza dell'argomentazione in quanto trattasi di autonoma e distinta fattispecie;

3) quanto alle doglianze relative alla nota di chiusura dell'istruttoria preliminare e di quella di trasmissione del fascicolo al Dais per il seguito di competenza da parte del Dipartimento "funzionalmente investito della istruttoria" si rappresenta che il citato dipartimento ha svolto un accertamento, coerentemente con le disposizioni di cui agli artt. 13 e 14 della legge n. 689/1981, espletando tutte le attività volte ad acquisire la piena conoscenza dei fatti e demandando ad un separato e autonomo procedimento amministrativo la contestazione delle sanzioni correlate con i fatti accertati ed esposti nella nota di trasmissione nella quale, infatti, si legge " (…) si chiede pertanto di voler procedere alla conseguente applicazione delle relative sanzioni amministrative che codesto Ufficio riterrà opportuno effettuare". Il Dipartimento investito dell'istruttoria preliminare, pur ipotizzando delle sanzioni applicabili al  caso di specie, non si poteva sostituire al Dipartimento funzionalmente investito del distinto procedimento sanzionatorio. L'atto di contestazione, d'altra parte, non si è discostato dai fatti accertati con la nota di trasmissione, né ha aggiunto elementi nuovi rispetto a quelli ivi già evidenziati, limitandosi all'individuazione dei profili di violazione amministrativa e formulando le conseguenti contestazioni;

4) con riferimento all'asserita omissione da parte dell'autorità di "un'attività di  (…) trasmissione degli atti alla competente Procura della Repubblica" si sottolinea come risulti fondamentale considerare che il reato di illecito trattamento di cui all'art. 167 del Codice è caratterizzato dall'elemento essenziale del dolo specifico ("al fine di trarne profitto ovvero per arrecare ad altri un danno") e dalla condizione obiettiva di punibilità ("se dal fatto deriva nocumento"). La valutazione sulla sussistenza di tali elementi compete, naturalmente, all'autorità giudiziaria ma nella trasmissione degli atti alla competente Procura della Repubblica che si traduce in una comunicazione di una notizia di reato l'Ufficio del Garante deve ravvisare per lo meno il fumus commissi delicti, elemento evidentemente non ravvisato nei procedimenti definiti con l'applicazione delle norma sanzionatoria amministrativa che, invece, qualifica l'elemento psicologico dell'illecito secondo la previsione dell'art. 3, comma 1 della legge n. 689/1981 (dolo o colpa), senza prevedere alcuna condizione obiettiva di punibilità;

5) quanto alle argomentazioni difensive relative all'impossibilità da parte di Telecom di acquisire il consenso, si rileva che proprio in mancanza di tale consenso o di altri presupposti legittimanti la comunicazione i dati personali dei contraenti non dovevano essere comunicati mediante la loro messa a disposizione o consultazione. Al riguardo si ribadisce quanto argomentato al precedente punto 1) in merito alla circostanza che Telecom non abbia fornito alcun elemento idoneo ad escludere la propria responsabilità ai sensi dell'art. 3 della legge n. 689/1981 in merito alla condotta contestata;

6) con riferimento all'asserita inesigibilità degli adempimenti formali richiesti dal Codice in virtù dell'illiceità ab origine del trattamento si evidenzia che tale illiceità non è rilevante ai fini della sanzione de quo. Infatti, seguendo il ragionamento di Telecom non sarebbe sanzionabile, ai sensi del Codice, alcun trattamento scaturito da un'attività illecita. L'Autorità, invece, si è più volte espressa sul punto, ritenendo sanzionabile il trattamento di dati personali nell'ambito di un'attività illecita come ad esempio l 'attivazione di schede telefoniche all 'insaputa degli interessati ( ex multis Ordinanza ingiunzione n. 588 del 12 novembre 2015, doc. web. 5045259). Poiché quello posto in essere da Telecom nel caso dell'odierna contestazione è un trattamento di dati riconducibile all'art. 4, comma 1, lett. a) del Codice per il quale è necessario acquisire il consenso dell'interessato di cui all 'art. 23 del Codice, si ritiene conclusivamente che la violazione contestata a Telecom sia sussistente;

RILEVATO, pertanto, che Telecom, sulla base delle considerazioni sopra richiamate, in qualità di titolare del trattamento, ai sensi dell' artt. 4, comma 1, lett. f) e 28 del Codice, risulta aver effettuato una comunicazione di dati personali a terzi mediante la loro messa a disposizione o consultazione in assenza del consenso dell'interessato di cui all'art. 23 del Codice;

VISTO l'art. 162, comma 2-bis del Codice che punisce la violazione delle disposizioni di cui all'art. 23 con la sanzione amministrativa del pagamento di una somma da diecimila a euro a centoventimila euro;

RITENUTO che, nel caso di specie, in virtù della circostanza che l'illecita comunicazione dei dati personali a terzi ha riguardato un numero di 80 casi certi e un numero allo stato non determinabile di altri casi, ricorrano le condizioni per applicare, l'art. 164-bis, comma 3, del Codice il quale prevede che in altri casi di maggiore gravità e, in particolare, di maggiore rilevanza del pregiudizio per uno o più interessati, ovvero quando la violazione coinvolge numerosi interessati, i limiti minimi e massimi delle sanzioni di cui al presente Capo sono applicati in misura pari al doppio;

CONSIDERATO che, ai fini della determinazione dell'ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell'art. 11 della legge 24 novembre 1981 n. 689, dell'opera svolta dall'agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

RITENUTO di dover determinare, ai sensi dell'art. 11 della L. n. 689/1981, l'ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 40.000,00 (quarantamila);

CONSIDERATO inoltre, che, l'importo della sanzione deve essere considerato inefficace in ragione delle condizioni economiche del contravventore e che pertanto, in applicazione di quanto previsto dall'art. 164-bis, comma 4 del Codice, la sanzione deve essere aumentato del quadruplo per un importo pari a euro 160.000,00 (centosessantamila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

a Telecom Italia s.p.a. , in persona del legale rappresentante pro-tempore, con sede legale in Milano (MI), via Gaetano Negri n. 1, C.F. 00488410010, di pagare la somma di euro 160.000,00 (centosessantamila) a titolo di sanzione amministrativa pecuniaria di cui alle violazioni indicate in motivazione;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 160.000,00 (centosessantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l'adozione dei conseguenti atti esecutivi a norma dall'art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 16 maggio 2018

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia