g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Ordinanza ingiunzione nei confronti di Effepì Credit s.r.l. - 6 aprile 2017 [6552764]

Ordinanza ingiunzione nei confronti di Effepì Credit s.r.l. - 6 aprile 2017 [6552764]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 6552764]

Ordinanza ingiunzione nei confronti di Effepì Credit s.r.l. - 6 aprile 2017

Registro dei provvedimenti
n. 178 del 6 aprile 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che la Guardia di finanza, Nucleo speciale privacy, in esecuzione della richiesta di informazioni n. 20196/84282 del 5 agosto 2013 formulata ai sensi dell´art. 157 del d. lgs. 30 giugno 2003 n. 196, recante il Codice in materia di protezione dei dati personali (di seguito "Codice") ha svolto, formalizzandola con il verbale di operazioni compiute datato 11 settembre 2013, un´attività di controllo nei confronti di Effepì Credit s.r.l. P.Iva: 05274100725, con sede in Cassano delle Murge (Ba), viale Unità d´Italia n.67, in persona del legale rappresentante pro-tempore. Tale attività di controllo ha consentito di accertare, disattendendo quanto previsto dall´Allegato B, regola 5) del Codice, come:

1. sui desktop di due operatrici addette all´elaborazione delle pratiche di recupero crediti, erano accedibili, utilizzando password di meno di otto caratteri per autenticarsi al personal computer, file di lavoro contenenti dati personali riferiti a soggetti debitori;

2. le predette password di accesso non risultavano aggiornate almeno semestralmente, in violazione degli artt. 33 e 34 del Codice;

VISTO il verbale nr. 57 del 4 ottobre 2013 (che qui si intende integralmente richiamato), con cui è stata contestata a Effepì Credit s.r.l. la violazione amministrativa, non definibile in via breve ai sensi dell´art. 16 della legge 24 novembre 1981, n. 689, prevista dall´art. 162, comma 2-bis del Codice, in relazione all´art. 33;

VISTI gli scritti difensivi datati 15 novembre 2013 inviati ai sensi dell´art. 18 della legge n. 689/1981, con i quali Effepì Credit s.r.l., evidenziando come "(…) I computer in uso (alle due operatrici addette all´elaborazione delle pratiche di recupero crediti) erano forniti di password con meno di otto caratteri, tuttavia, l´accesso al gestionale ARCO e a tutti gli altri portali in uso alla EffePi Credit s.r.l., attraverso cui la società tratta i dati personali dei debitori, sono provvisti di una password con più di otto caratteri che, ogni 30/90 giorni, automaticamente viene sostituita", rileva la "(…) erronea convinzione che la password di accesso al computer fosse posta a protezione dei dati personali gestiti, trascurando, invece, che ai dati personali dei debitori i due computer incriminati (come tutti gli altri) hanno accesso solo attraverso il gestionale ARCO e gli altri gestionali cui si accede digitando una password di più di otto caratteri che, automaticamente il sistema obbliga l´utente a modificare ogni trenta/novanta giorni";

VISTO il verbale dell´audizione delle parti redatto in data 9 marzo 2015, ai sensi dell´art. 18 della legge n. 689/1981, nel quale Effepì Credit s.r.l., ribadendo quanto argomentato nella memoria difensiva, ha evidenziato come "(…) nel mese di giugno 2013 vi è stata una migrazione dei dati su un nuovo server e che l´ispezione è avvenuta solo in data 11 settembre 2013. Ciò si precisa al fine di meglio comprendere che non era ancora scaduto il termine di tre mesi previsto per l´aggiornamento delle password (…)" Ha rilevato, altresì, come "In merito alla contestazione del mancato aggiornamento su un PC della password per un periodo di due anni, rileva la circostanza che non può essere possibile essendo stato il lavoratore che usava quel computer assunto solo nel mese di gennaio 2013 (…)";

CONSIDERATO che le argomentazioni addotte non permettono di escludere la responsabilità di Effepì Credit s.r.l. in relazione alla contestazione in argomento. Risulta inconferente sia quanto argomentato in ordine alla "(…) erronea convinzione che la password di accesso al computer fosse posta a protezione dei dati personali gestiti (…)" sia quanto specificato relativamente al "(…) gestionale ARCO e gli altri gestionali cui si accede digitando una password di più di otto caratteri che, automaticamente il sistema obbliga l´utente a modificare ogni trenta/novanta giorni". E´ puntualmente accertato in atti, ai sensi dell´art. 13 della legge n. 689/1981 (vgs. verbale di operazioni compiute dell´11 settembre 2013), come i dati personali riferiti a soggetti debitori fossero conservati su file di lavoro presenti sui desktop dei rispettivi personal computer delle due operatrici ai quali si poteva accedere utilizzando password composte da meno di otto caratteri, nonostante il sistema consentisse l´utilizzo di password conformi a quanto previsto dalla regola n. 5 dell´Allegato B al Codice. Parimenti inconferente, per le stesse ragioni, risulta quanto osservato in ordine al fatto che "(…) il sistema (dei diversi gestionali tra i quali ARCO) obbliga l´utente a modificare ogni trenta/novanta giorni". Appare evidente, quindi, come la condotta oggetto di contestazione non fosse in alcun modo riferita alle caratteristiche delle distinte credenziali di autenticazione necessarie all´accesso ai vari gestionali in uso a Effepì Credit s.r.l. tra i quali ARCO. Riguardo quanto riferito circa il fatto che "(…) nel mese di giugno 2013 vi è stata una migrazione dei dati su un nuovo server (…)" e che pertanto "(…) non era ancora scaduto il termine di tre mesi previsto per l´aggiornamento delle password (…)", oltre a non essere sorretto da alcun elemento di prova, tale argomentazione risulta comunque inconferente in quanto l´adeguamento dei server non implica automaticamente l´aggiornamento delle password in dotazione ai singoli. Diversamente, quanto osservato "In merito alla contestazione del mancato aggiornamento su un PC della password per un periodo di due anni, rileva la circostanza che non può essere possibile essendo stato il lavoratore che usava quel computer assunto solo nel mese di gennaio 2013 (…)", non può essere considerato dirimente, poiché nonostante quanto verbalizzato nel verbale di operazioni compiute dell´11 settembre 2013 circa il fatto che una delle due dipendenti "(…) ha rappresentato di aver aggiornato l´attuale password d´accesso al dominio circa 2 anni fa" appaia in contrasto con quanto prodotto in atti nell´audizione del 9 marzo 2015 (estratto della "Lista Anagrafica Dipendenti" dalla quale risulta la data di assunzione della medesima dipendente in data 17 gennaio 2013); tale circostanza non incide in alcun modo sulla distinta condotta dell´altra dipendente che, risulta accertato nel citato verbale di operazioni compiute dell´11 settembre 2013 non aver mai cambiato la password di accesso al personal computer a lei in uso;

RILEVATO, pertanto, che Effepì Credit s.r.l. ha effettuato un trattamento di dati personali (art. 4 comma 1, lett. a) e b) del Codice), omettendo di adottare le misure minime di sicurezza ai sensi dell´art. 33 del Codice;

VISTO l´art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell´art. 33 del Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore e che pertanto l´ammontare della sanzione pecuniaria deve essere quantificato nella misura di euro 10.000,00 (diecimila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

ORDINA

a Effepì Credit s.r.l. P.Iva: 05274100725, con sede in Cassano delle Murge (Ba), viale Unità d´Italia n.67, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per la violazione di cui all´art. 162, comma 2-bis, come indicato in motivazione;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 10.000,00 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d. lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 6 aprile 2017

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia

Scheda

Doc-Web
6552764
Data
06/04/17

Argomenti

Misure di sicurezza

Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (10)