g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Tim S.p.A. - 8 luglio 2021 [9693464]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9693464]

Ordinanza ingiunzione nei confronti di Tim S.p.A. - 8 luglio 2021

Registro dei provvedimenti
n. 272 dell'8 luglio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presiden-te, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati perso-nali, nonché alla libera circolazione di tali dati e che ha abrogato la direttiva 95/46/CE (di se-guito “Regolamento” o “GDPR”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTI il provvedimento, correttivo e sanzionatorio, del 15 gennaio 2020 (doc. web n.  9256486), che ha riguardato vari trattamenti di dati, inclusa la gestione dei diritti degli inte-ressati, nonché il provvedimento correttivo 14 maggio 2020 (doc. web n. 9442587), riguardan-te in particolare la gestione delle istanze di accesso ai tabulati telefonici, entrambi adottati nei confronti di Tim Spa (di seguito, anche “Tim” o “Società”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1.Il reclamo.

Il 5 giugno 2020 il Sig. XX ha presentato un reclamo al Garante confronti di Tim, con il quale è stato chiesto di accertare la violazione del diritto di accesso a dati di traffico telefonico e di ordinare alla medesima Società di soddisfare la richiesta di esercizio di tale dirit-to, entro un termine congruo con le esigenze difensive invocate.

In particolare, il legale dell’interessato ha rappresentato, producendo relativa documenta-zione:

- di aver chiesto, con lettera raccomandata del 4.7.2019, alla Società l’acquisizione dei tabula-ti telefonici dell’utenza mobile intestata all’interessato, per il limitato periodo compreso fra le ore 00,00 del 13.12.17 e le 24,00 del 15.12.17, in quanto lo stesso era stato denunciato da un paziente perché risultato assente al turno previsto (compreso fra le ore 20 del 14.12.17 e le ore 8.00 del 15.12.17) presso l’ambulatorio di Guardia Medica, con conseguente attivazione di un procedimento penale a suo carico XX;

- che l’interessato era stato impedito di prestare servizio, a seguito di un improvviso problema di salute, prontamente segnalato alla Centrale Operativa nell’immediatezza del fatto;

- che sarebbe stata indispensabile l’acquisizione del traffico telefonico sia in entrata sia in usci-ta, poiché, riportando anche le celle agganciate nel periodo in contestazione, rendeva possi-bile verificare e dimostrare in particolare: ove effettivamente l’interessato si trovasse al mo-mento in cui stava per prendere servizio; la premura con cui lo stesso aveva allertato im-mediatamente la centrale operativa; i contatti intercorsi con la moglie per accertare le sue condizioni di salute; l’orario in cui ciò era avvenuto; il percorso fatto alla volta della sede di lavoro (poi non raggiunta);

- che, in risposta a tale richiesta, TIM con e-mail in data 14.08.2019 aveva fatto presente la necessità di utilizzare un apposito modulo, assicurando che, a seguito della ricezione dello stesso, avrebbe provveduto ad evadere l’istanza;

- che, in data 6.9.2019, il medesimo legale aveva inviato lettera raccomandata con la quale era stato inoltrato a TIM il modulo debitamente compilato e sottoscritto dal richiedente;

- che, risultati senza riscontro i numerosi solleciti telefonici, in data 17.10.2019, aveva inviato alla Società una lettera raccomandata con r/r, rinnovando la richiesta ed allegando nuo-vamente il modulo debitamente compilato;

- che, non avendo ricevuto alcuna risposta, in data 9.4.2020, a mezzo PEC veniva sollecitata la TIM ad inviare i dati di traffico richiesti;

- che la Società rispondeva in data 16.4.2020, osservando che la richiesta non poteva essere evasa perché i dati di traffico richiesti riguardavano periodo eccedenti i 24 mesi previsti dall’art. 132, comma 1, del Codice;

- ritenendo che tale risposta fosse stata conseguenza di un disguido (in quanto i dati del traf-fico telefonico richiesto erano riferiti al periodo dal 13.12.2017 al 15.12.2017 e le relative istanze erano state avanzate prima della scadenza dei 24 mesi previsti dalla citata normati-va), in data 24.04.2020 veniva reiterata la richiesta, ribadendone la tempestività;

- tuttavia, con missiva del 19.05.2020, a mezzo PEC, la Società rispondeva confermando la precedente negativa comunicazione.

Sulla base di quanto esposto, con il reclamo si evidenziava l’avvenuta violazione dell’art. 15 del Regolamento nonché l’urgenza di acquisire i documenti richiesti prima del XX, data dell’udienza del procedimento penale a carico del reclamante.

2. L’attività istruttoria

L’Ufficio, in data 10 giugno 2020, ha formulato alla Società una richiesta di elementi volta anche a conoscere se la stessa avesse o meno intenzione di aderire all’istanza del reclamante.

Tim, con nota del 25 giugno 2020, nel fornire riscontro, ha ritenuto di non soddisfare l’istanza in questione, pur senza smentire, sostanzialmente, le circostanze fattuali rappresentate dal reclamante e senza fornire spiegazioni esaustive in merito alle precedenti risposte dilatorie e al diniego infine opposto. In particolare, la Società ha eccepito l'inammissibilità del reclamo in questione, osservando che: le richieste sarebbero state avanzate facendo riferimento alla norma di cui all’art. 391-quater c.p.p. (e non all’art. 15 del Regolamento), con la conseguente necessità di applicare il rimedio previsto dal legislatore processual-penalistico (ed in particolare dagli artt. 367 e 368 c.p.p.), nel caso in cui la richiesta avanzata dal difensore non avesse ricevuto un positivo riscontro. In quest’ottica, la Società ha asserito la rilevanza decisiva del titolo formale di suddette istanze anche ai fini dell’Autorità competente (l’autorità giudiziaria anziché il Garante). Inoltre, Tim - sostenendo l’infondatezza del reclamo - ha osservato che gli argomenti addotti dal reclamante sarebbero “generici e poco chiari”, nonché inidonei a dimostrare un pregiudizio effettivo e concreto alle investigazioni difensive.

Tim nell’occasione ha fatto presente di non aver ‘congelato’ i richiesti dati di traffico telefonico relativi all’utenza del reclamante, in base ad una costante prassi aziendale: con il decorso dei 24 mesi, dunque, i dati non erano più disponibili al di fuori delle basi dati dedicate alla loro conservazione esclusivamente per il perseguimento dei particolari e gravi reati di cui all’art. 24 della legge n. 167/2017, i quali non ricorrevano nel caso di specie. Inoltre, ha rappresentato che, qualora il Garante ordinasse sic et simpliciter di fornire al reclamante i dati oggetto del procedimento, TIM si troverebbe in una situazione critica, “non potendo fornire i dati se non estrapolandoli dai sistemi o database dedicati, presidiati da elevate misure di sicurezza ed astretti da precisi vincoli di finalità incompatibili con un trattamento operato ai fini della semplice produzione per finalità diverse”.  Secondo la Società, pertanto, tale istruttoria, poteva rivelarsi l’occasione adatta per chiarire tali profili operativi, “ad integrazione anche delle misure sin qui prescritte dal Garante per la sicurezza dei dati di traffico conservati a fini di giustizia penali e per le modalità di loro acquisizione nel rispetto dei richiamati vincoli di finalità, onde consentire a TIM di allineare le relative procedure interne a disposizioni, prescrizioni ed indicazioni interpretative chiare ed univoche”.

Il 5 marzo 2021 l’Ufficio ha inviato a Tim la comunicazione di avvio del procedimento, in relazione alla possibile violazione delle seguenti disposizioni: art. 15 del Regolamento e art. 132 del Codice, ai fini dell’eventuale adozione dei provvedimenti di cui all’articolo 58, par. 2, del Regolamento e dell’eventuale applicazione della sanzione di cui all’art. 83, par. 5, del Regolamento.

Con la nota interlocutoria del 17 marzo u.s. (con riguardo all’audizione fissata dall’Autorità, come anticipatamente richiesto da Tim  già nel riscontro del 25 giugno 2020), la Società-  “ribadite tutte le deduzioni formalizzate sul merito del reclamo” - ha manifestato la disponibilità “a ostendere all’interessato i dati di traffico conservati per 72 mesi in ottemperanza di quanto disposto dalla L. 167/17, previa loro estrazione dal sistema a ciò dedicato, soltanto in presenza di una precisa indicazione in tal senso da parte di codesta Autorità: permane, infatti, in tutta la sua criticità, il tema già sollevato…della impossibilità per la Scrivente di superare in autonomia i vincoli di finalità normativamente previsti, se non su inequivoca disposizione da parte dell’Autorità.”

La Società, con la memoria del 2 aprile 2021, nel ribadire la propria posizione, ha peraltro evidenziato che, poiché il reclamante non avrebbe “rilasciato al suo difensore una procura per l’esercizio dei diritti di cui all’art. 15 GDPR, non era dunque possibile per TIM superare questa ineludibile tara formale”.

Nella medesima occasione, Tim, richiamando i “profili decisamente critici a livello interpretativo … sui gravosi temi della possibilità di congelamento dei dati a fronte della ricezione di una richiesta di ostensione (ex art. 15 o 391- quater), e della possibilità o meno di estrarli dal SAG”, ha rappresentato che “l’applicazione di una sanzione pecuniaria ex se, quale che ne (fosse) la misura, apparirebbe francamente incomprensibile”, invocando “la possibilità di chiudere il procedimento con la eventuale adozione di misure correttive.”.

Nella prospettiva dell’eventuale applicazione di una sanzione pecuniaria, la Società “con riferimento ai criteri applicabili al caso di specie ai sensi dell’art. 83, par. 2, GDPR”, ha asserito: l’assenza di dolo o colpa, essendo “la posizione di TIM frutto di una interpretazione del delicato e complesso quadro di norme in tema di data retention … e non avendo … alcun interesse a limitare i diritti degli interessati che chiedano accesso ai dati di traffico conservati per finalità penali”; - “La violazione … riguard(erebbe) comunque un solo interessato, e non vi sono le condizioni per considerare alcuna recidiva, attesa la assenza, all’epoca, di precedenti interpretativi univoci”.

TIM inoltre - nell’evidenziare di aver fornito “in tutte le forme, in tutte le fasi, e con la massima ampiezza, la propria disponibilità a fornire i dati al reclamante, nei limiti in cui il Garante abiliti l’azienda ad estrarre i dati dal SAG (operazione che l’azienda non può porre in essere in autonomia, se non violando specifiche disposizioni di legge) - ha evidenziato che “la presunta violazione è collocabile in un periodo antecedente al noto provvedimento correttivo e sanzionatorio n. 7/2020 …. nonché al provvedimento correttivo n. 85/2020, a seguito dei quali sono state poi implementate da TIM una serie di misure organizzative e tecniche riguardo alla gestione e riscontro delle richieste di esercizio dei diritti degli interessati, anche con specifico riguardo ai dati di traffico telefonico”. La Società ha fatto poi riferimento ad ulteriori “interventi di miglioramento in corso” e alla mole crescente di istanze degli interessati gestite da Tim rispetto a cui “i casi che presentano dei profili critici rappresentano un percentuale statisticamente irrilevante”.

3.Valutazione della complessiva condotta della Società

In via preliminare – riprendendo di seguito quanto già statuito dal Garante con il recente provvedimento 14 maggio 2020, n. 85 (doc. web n. 9442587) adottato nei confronti di Tim riguardo ad un analogo reclamo - si deve ritenere ammissibile il reclamo presentato dall'interessato sulla base dell’art. 132 del Codice, ricompreso nel più ampio e generale alveo dell'art. 15 del Regolamento (richiamato peraltro dall'art. 132, comma 3). Infatti risulta in atti che non vi sia stato un fattivo riscontro a ripetute richieste di accesso a dati di traffico, peraltro specifici e circoscritti. Peraltro, rimanendo sul piano formale, la citata disposizione, nell’assicurare il diritto d’accesso direttamente nei confronti del fornitore, richiama espressamente “le modalità indicate dall'articolo 391-quater c.p.p.", manifestando così una visione legislativa non dicotomica e necessariamente alternativa (come teorizzata da Tim), ma, al contrario, opportunamente integrata e coerente dell’ordinamento processual-penalistico e di quello vigente in materia di protezione dei dati.

Questa Autorità ritiene comunque necessario ribadire come – in un‘ottica di effettiva tutela dei diritti degli interessati - sia rilevante non la denominazione formale della richiesta, ma il contenuto sostanziale della stessa, che va correttamente individuato ed applicato dal titolare del trattamento che ne sia destinatario. Nella medesima ottica, ai sensi dell’art. 12 del Regolamento, non si può complicare l’esercizio dei diritti degli interessati, imponendo formalità o altri oneri al di fuori dei casi tassativamente previsti (v., ad es., art. 12, par 5, Reg., cit., relativamente alle istanze manifestamente infondate od eccessive), come appositi moduli o speciali deleghe dell’interessato per l’esercizio di tali diritti. Deleghe (e connessi poteri) che si devono ritenere invece ragionevolmente assorbiti nel più ampio oggetto della procura rilasciata al legale difensore, se non si vuole violare il diritto fondamentale alla difesa e che è da presidiare con ancor più vigore nel delicatissimo ambito penalistico.

Come già chiarito con il citato provvedimento del 14 maggio 2020, in base all'attuale quadro giuridico di riferimento in materia di conservazione dei dati di traffico telefonico, tali dati "sono conservati dal fornitore per ventiquattro mesi dalla data della comunicazione, per finalità di accertamento e repressione dei reati” (v. art. 132, comma 1, Codice) e, entro il medesimo termine, "…il difensore dell'imputato o della persona sottoposta alle indagini può richiedere, direttamente al fornitore i dati relativi alle utenze intestate al proprio assistito con le modalità indicate dall'articolo 391-quater del codice di procedura penale" (132, comma 3, cit.). Con il medesimo provvedimento, è stato ribadito che "La richiesta di accesso diretto alle comunicazioni telefoniche in entrata può essere effettuata solo quando possa derivarne un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397".

Si rileva dunque la legittimità della richiesta del reclamante, in ragione del rinvio a giudizio nell’ambito di procedimento penale e della connessa esigenza di svolgere indagini difensive, ed altresì la tempestività (nonché la pertinenza) della stessa - effettuata la prima volta già il 4.07.19 - riguardo ai tabulati telefonici  (in entrata e in uscita) riguardanti il ristretto arco temporale incluso fra il 13.12.17 e il 15.12.17; dati, quindi, che Tim al tempo conservava ed avrebbe dovuto ostendere al reclamante.

Con particolare riguardo alle chiamate in entrata, nel richiamare il provvedimento del Garante 3 novembre 2005, "Accesso ai dati telefonici: garanzie per le chiamate in entrata" (doc. web n. 1189488), si deve ribadire  che “le indicazioni, principi, misure e garanzie ivi indicati possono ritenersi valide anche dopo la piena operatività del Regolamento, che, come noto, ha riservato a una distinta prossima fonte regolatoria la disciplina delle comunicazioni elettroniche, ancora riferibile pertanto alla direttiva 2002/58/CE, come recepita dal titolo X del Codice e dunque dal menzionato art. 132, non abrogato infatti dal detto Regolamento” (v., in questi stessi termini, il provvedimento 14 maggio 2020, cit.). In base a quanto indicato nel citato provvedimento generale, "In via di eccezione …. le richieste di esercizio dei diritti possono essere presentate, ed evase positivamente, quando comprovano che la risposta ad esse da parte del fornitore è necessaria per evitare ‘un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive …' " … , pur avendo ad oggetto il traffico telefonico in entrata, inteso come "qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione … ".

Ciò detto, nella fattispecie concreta, per quanto documentato in atti, sono ravvisabili un collegamento stretto fra dati di traffico richiesti ed ipotesi di reato (XX) formulate dall'autorità giudiziaria, nonché la necessità dei dati richiesti, inclusi quelli in entrata, per lo svolgimento delle investigazioni difensive volte a tutelare il fondamentale diritto di difesa del reclamante nelle more del pendente giudizio penale.

In base a quanto sopra considerato, l’Ufficio con la menzionata nota del 5 marzo 2021 ha già contestato alla Società la possibile violazione dell’art. 15 del Regolamento e dell’art. 132 del Codice.

Come detto sopra, la fattispecie sottesa al presente reclamo risulta connotata da profili di stretta analogia con il caso oggetto del provvedimento 14 maggio 2020, che è stato impugnato presso l’autorità giudiziaria da Tim, anche sulla base dell’asserita esigenza di ricevere un ordine puntuale da parte dell’Autorità di estrarre i tabulati dal data base riservato alle Autorità giudiziarie per le finalità di antiterrorismo, non disponendo di altra possibile copia, per poter soddisfare l’istanza del reclamante. Orbene il Tribunale di XX, ha rigettato integralmente il ricorso proposto da Tim, in particolare confermando la legittimità dell’impostazione giuridica fornita dall’Autorità anche con riguardo alla necessità di tutelare le istanze degli interessati ai tabulati a prescindere dallo specifico titolo formale utilizzato a sostegno delle stesse.

Peraltro, com’è noto, la disposizione di cui all’art. 150, comma 5, del Codice che prevedeva la possibilità, in caso di “difficoltà o contestazioni riguardo all’esecuzione del provvedimento”, di rivolgersi al Garante perché disponesse “le modalità di attuazione”, non è stata confermata dal nuovo quadro normativo, probabilmente conformemente al diverso approccio basato sull’accountability del titolare. 

Ciò nonostante, in sede di definizione del presente reclamo, l’Autorità deve preliminarmente tener conto che nel caso in esame, Tim - che non ha dato fattivo riscontro alle istanze di esercizio del diritto di accesso ai tabulati tempestivamente formulate dal legale del reclamante per investigazioni difensive nell’ambito di un procedimento penale - ha affermato di non aver conservato i tabulati, essendo trascorsi i 24 mesi (previsti dal comma 1, dell’art. 132, cit.), se non esclusivamente per le esigenze di accertamento e prevenzione dei particolari reati di cui alla legge n. 167/2017, secondo la maggiore durata (72 mesi) ivi disposta.

È dunque indiscutibile -contrariamente a quanto complessivamente emergente dalla difesa di Tim- la violazione dell’obbligo di consegnare siffatti dati a fronte di una richiesta legittima quanto tempestiva. In tal senso, non può aver rilievo la disponibilità manifestata da Tim -non certo “in tutte le forme, in tutte le fasi e con la massima ampiezza” (come asserito dalla medesima Società)- ma solo a termini ormai superati.

La correttezza e tempestività della richiesta inoltrata dal reclamante, invero, è fatto giuridico costitutivo dell’obbligo della Società di rilasciare i dati.

Non può rilevare, invero, in funzione esonerativa di tale obbligo, il decorso –nelle more- del lasso temporale di 24 mesi ex lege contemplato per la conservazione dei dati, trattandosi di fatto:

- ascrivibile unicamente all’inerzia colpevole della Società e, quindi, ad una sua condotta illecita che non può riverberarsi in danno del reclamante;

- non riconducibile in alcun modo allo stesso reclamante, attivatosi per contro in guisa diligente e tempestiva al fine della acquisizione dei dati.

Di talché, la circostanza – pure allegata dalla Società - per cui i dati in questione non sarebbero stati “conservati” ovvero “congelati” nella banca dati “ordinaria” ex art. 132 del Regolamento, essendo al momento detenuti solo all’interno delle basi dati funzionali esclusivamente a garantire le indagini ed il perseguimento dei particolari e gravi reati di cui all’art. 24 della L. 167/2017:

- non può assumere veruna valenza scriminante dell’obbligo di rilascio dei dati, valendo di contro a connotare in termini di maggior disvalore e riprovevolezza il contegno omissivo della Società che, benché destinataria di una tempestiva richiesta ex art. 132 del Regolamen-to, ha lasciato inutilmente decorrere il periodo di 24 mesi ivi contemplato, non mai peritan-dosi  - come pure una logica prudenziale e di attenzione nei confronti dell’interessato avrebbe richiesto – di “congelare” ovvero “continuare a conservare nell’apposito sistema” i dati in questione sin dal momento della richiesta;

- non può frustrare le legittime aspirazioni del reclamante all’ottenimento, in “forma specifi-ca”, dell’agognato bene della vita, con la acquisizione di dati funzionali alla piena e consa-pevole esplicazione delle proprie guarentigie difensive nel procedimento penale di cui è parte.

E ciò in ossequio ai principi generali per cui:

- l’adempimento dell’obbligo in questione, in funzione della tutela delle indefettibili preroga-tive difensive dell’indagato oltre che dell’interesse pubblicistico al giusto processo (artt. 24 e 111 Cost.; art. 6 e 13 CEDU; art. 47 Carta di Nizza), non può in alcun modo essere ri-messa alla “libera scelta” del soggetto (fornitore) che all’assolvimento di quell’obbligo è in-defettibilmente chiamato, in guisa effettiva, diligente e tempestiva;

- il “tempo” occorso per la definizione della vicenda –dapprima nei confronti del fornitore, e poi nel procedimento “giustiziale” esperito avanti a questa Autorità- non può andare in danno del soggetto “che ha ragione”.

Tutto ciò considerato, non potendo ammettersi che il fondamentale diritto di difesa in ambito penale possa rimanere sostanzialmente compromesso – per fatto colpevole ascrivibile unicamente al contegno omissivo ed inadempiente del fornitore – si ritiene, ai sensi dell’art. 57 par. 1, lett. f), del Regolamento, di dover adottare nei confronti di Tim un provvedimento che anzitutto dichiari illecita la condotta della Società in quanto violativa del diritto di accesso del reclamante ai tabulati. Inoltre, ai sensi dell’art. 58, par. 2, lett. c), del Regolamento, occorre ordinare a Tim di soddisfare la richiesta del reclamante, fornendogli senza ulteriore ritardo i dati in questione, in quanto tempestivamente richiesti, in data ampiamente rientrante nel periodo di 24 mesi contemplato ex lege per la conservazione ai sensi dell’art. 132 del Regolamento, anche attraverso la verifica di idonee soluzioni tecniche per il recupero dei tabulati in questione.

Si ritiene di dover soprassedere, nel caso di specie, dall’ingiungere l’adozione di apposite misure organizzative e tecniche, tenuto conto che tale prescrizione è già contenuta nel citato provvedimento 14 maggio 2020 e che comunque nel frattempo (fra fine novembre 2020 e l’inizio dello scorso febbraio) Tim ha comunicato all’Autorità le più ampie misure asseritamente predisposte, anche in relazione ai chiarimenti richiesti dall’Ufficio, per gestire le istanze di esercizio dei diritti di cui agli artt. 15-22 del Regolamento, in attuazione del menzionato provvedimento 15 gennaio 2020.

Si ritiene viceversa di non poter soprassedere – differentemente dal citato provvedimento adottato il 14 maggio 2020 - dall’applicazione di una sanzione amministrativa pecuniaria, considerato che il caso odierno (unitamente ad ulteriori analoghi reclami pervenuti all’Autorità) impone di leggere il comportamento tenuto da TIM non già come esito errato della gestione di una singola istanza, ma piuttosto come una consapevole prassi aziendale, di non ottemperare in modo adeguato all’obbligo normativo in vicende in cui peraltro sono in gioco fondamentali diritti della persona legati al diritto di difesa in sede penalistica. In tal senso, il comportamento risulta aggravato dal non aver neanche previsto una modalità cautelare specifica di conservazione dei tabulati in questione per il tempo legato al contenzioso in essere.

4. Ordinanza-ingiunzione per l’applicazione della sanzione amministrativa pecuniaria

La violazione delle norme sopra indicate impone dunque l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di TIM delle sanzioni amministrative pecuniarie previste dall’art. 83, par. 5, del Regolamento (pagamento di una somma fino a € 20.000.000 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore).

Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento, che, nella presente fattispecie, possono conside-rarsi nei termini seguenti.

In particolare, in funzione aggravante, sono rilevabili:

1. la natura, la gravità e la durata della violazione che si è protratta rispetto a tutte le istanze del reclamante fino all’intervento dell’Autorità (art. 83, par. 2, lett. a);

2. la dimensione soggettiva della condotta, che deve ritenersi gravemente colposa, se non an-che dolosa, alla luce di analoghi casi, avendo trascurato il riscontro a istanze chiare e moti-vate, in fatto e in diritto, nonché reiterate (art. 83, par. 2, lett. b);

3. le precedenti violazioni contestate e i provvedimenti adottati dell’Autorità a carico della So-cietà, con riguardo anche alla non corretta gestione dei diritti degli interessati (art. 83, par. 2, lett. e);

4. le categorie di dati personali interessate dalla violazione, individuabili nei tabulati necessari per l’esercizio del diritto di difesa nel delicato ambito processual-penalistico (art. 83, par. 2, lett. g).

Fra le aggravanti rilevabili nella condotta di Tim, emerge anche la significativa, persino ma-croscopica, difformità dell’azione condotta rispetto alla consistente attività provvedimentale del Garante, con la quale sono state fornite indicazioni e chiarimenti in materia di diritti degli interessati e di data retention (v. provvedimenti generali e specifici, anche con riguardo alla medesima Società, alcuni dei quali citati nel presente provvedimento) e che possono ragione-volmente far ritenere raggiunta da tutti gli operatori del settore una sufficiente consapevolezza delle disposizioni che devono essere indefettibilmente osservate, anche perché afferenti al fon-damentale diritto all’accesso (art. 83, par. 2, lett. k).

Come circostanze attenuanti possono considerarsi invece:

1. la comunicata adozione di misure da parte di Tim, nell’implementazione delle prescrizioni del provvedimento 15 gennaio 2020, con specifico riguardo alle istanze di esercizio dei dirit-ti da parte degli interessati, incluso quello di accesso ex art. 15 del Regolamento, che ragio-nevolmente dovrebbero impedire o comunque limitare analoghe problematiche (art. 83, par. 2, lett. c);

2. la cooperazione con l’Autorità nel corso della complessiva istruttoria (art. 83, par. 2, lett. f);

3. la situazione di grave crisi socio-economica collegata alla pandemia in corso (art. 83, par. 2, lett. k).

In base al complesso degli elementi sopra indicati, in applicazione dei principi di effettività, proporzionalità e dissuasività indicati nell’art. 83, par. 1, del Regolamento, tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società, si ritiene debba applicarsi a Tim spa la sanzione amministrativa del pagamento di una somma di euro 200.000,00 (duecentomila/00).

Nel caso in argomento si ritiene che debba applicarsi anche la sanzione accessoria della pubblicazione nel sito web del Garante del presente provvedimento, prevista dall’art. 166, comma 7. del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto del carat-tere macroscopico delle violazioni rilevate con riguardo a principi giuridici ormai consolidati nell’attività provvedimentale del Garante e nella giurisprudenza.

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Si ricorda che, in caso di inosservanza del medesimo provvedimento, è applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e), del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 57 par. 1, lett. f), del Regolamento, dichiara illecita la condotta di Tim S.p.A. - con sede legale in Via Gaetano Negri, 1, Milano; p. iva 00488410010 - e pertanto dichiara il reclamo fondato nei termini di cui in motivazione; 

b) ai sensi dell’art. 58, par. 2, lett. c), del Regolamento, ingiunge a Tim Spa di fornire al recla-mante i dati richiesti, senza ulteriore ritardo, e comunque entro il termine di 20 giorni dalla data di ricezione del presente provvedimento, trattandosi di dati tempestivamente richiesti dal reclamante, ben prima della scadenza del termine di 24 mesi contemplato dall’art. 132 del Regolamento, colpevolmente lasciato decorrere dalla TIM, conformandosi in linea gene-rale a quanto indicato nella parte motiva nel trattamento delle richieste di accesso ex art. 132 del Regolamento, anche con riguardo a futuri casi;

c)  richiede a Tim S.p.A. di fornire riscontro adeguatamente documentato ai sensi dell'art. 157 del Codice entro 30 giorni dalla data di ricevimento del presente provvedimento. Si ricorda che il mancato riscontro alle richieste di cui sopra integra gli estremi dell'illecito amministra-tivo di cui all'art. 166, comma 2, del Codice.

ORDINA

a Tim S.p.A., in persona del legale rappresentante pro-tempore, di pagare la somma di euro 200.000,00 (duecentomila/00) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia, mediante il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 200.000,00 (duecentomila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981;

DISPONE

quale sanzione accessoria, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16 del Regolamento del Garante n. 1/2019, la pubblicazione nel sito web del Garante del presente provvedimento, e, ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d. lg. 1° set-tembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato, alternativamente, presso il tribunale del luogo ove risiede o ha sede il titolare del trattamento ovvero presso quello del luogo di resi-denza dell'interessato entro il termine di trenta giorni dalla data di comunicazione del provve-dimento stesso ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 8 luglio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei