[doc. web n. 5431626]

Ordinanza di ingiunzione nei confronti di Decatel s.r.l. - 25 febbraio 2016

Registro dei provvedimenti
n. 81 del 25 febbraio 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti, e del dott. Giuseppe Busia, segretario generale;

RILEVATO che la Guardia di finanza, Nucleo speciale privacy, in esecuzione della richiesta di informazioni n. 7362/84282 del 21 marzo 2013 formulata ai sensi dell´art. 157 del d. lgs. 30 giugno 2003 n. 196, recante il Codice in materia di protezione dei dati personali (di seguito "Codice") ha svolto un´attività di controllo formalizzata con i verbali di operazioni compiute datati 14 e 15 maggio 2013, a fronte della quale, successivamente, è stato accertato che Decatel s.r.l. P.Iva: 04348720824, società fornitrice di servizi di comunicazione elettronica, con sede in Palermo, viale A De Gasperi n. 50, in persona del legale rappresentante pro-tempore ha effettuato, in qualità di titolare ai sensi dell´art. 28 del Codice, un trattamento di dati di traffico telefonico, conservandoli per finalità di accertamento e repressione dei reati, senza aver adottato le misure di riconoscimento biometrico per il controllo delle aree ad accesso selezionato e strong autentication, in violazione di quanto prescritto dal Provvedimento a carattere generale del Garante datato 17 gennaio 2008 pubblicato in G.U. n. 30 del 5 febbraio 2008 (in www.garanteprivacy.it, doc. web n. 1482111), recante "Sicurezza dei dati di traffico telefonico e telematico", ai sensi degli artt. 17, 123 e 132, comma 5 del Codice;

VISTO il verbale n. 43 del 18 luglio 2013 redatto dalla Guardia di finanza, Nucleo speciale privacy, con cui è stata contestata a Decatel s.r.l., in qualità di titolare del trattamento fornitrice di servizi di comunicazione elettronica, la violazione amministrativa prevista dall´art. 162, comma 2-bis, in relazione agli artt. 17, 123 e 132, comma 5 del Codice, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge 24 novembre 1981, n. 689;

VISTA la nota del 24 settembre 2013 con la quale la società ha chiesto di essere sentita ai sensi dell´art. 18 della legge n. 689/1981;

LETTO il verbale di audizione, svoltasi il 3 febbraio 2014, ai sensi dell´art. 18 della legge n. 689/1981, nel quale, tra l´altro, la parte ha dichiarato come "(…) già in fase di accertamento, avevamo rappresentato che il lettore biometrico era temporaneamente sostituito da un lettore ottico ed abbiamo successivamente inviato al Nucleo Privacy della G. d. F. tutte le informazioni relative alle fasi di sostituzione del dispositivo in questione";

RITENUTO, pertanto, che le argomentazioni addotte da Decatel s.r.l. non risultano idonee ad escludere la responsabilità in relazione a quanto contestato. Si evidenzia come il Garante, nel Provvedimento generale del 17 gennaio 2008, abbia stabilito come il trattamento dei dati di traffico telefonico e telematico debba essere consentito unicamente sulla base del preventivo utilizzo di specifici sistemi di autenticazione informatica basati su tecniche di strong autentication, consistenti nell´uso contestuale di almeno due differenti tecnologie di autenticazione. Nel medesimo provvedimento il Garante ha parimenti stabilito come, per i dati di traffico conservati per finalità di accertamento e repressione dei reati, una di tali tecnologie deve essere basata sull´elaborazione di caratteristiche biometriche dell´incaricato, in modo tale da assicurare la presenza fisica di quest´ultimo presso la postazione di lavoro utilizzata per il trattamento. Posto quanto sopra, si rileva come, anche alla luce di quanto dichiarato nel verbale di audizione del 3 febbraio 2014, sia pacifico che, all´esito dell´attività di controllo formalizzata nei verbali di operazioni compiute del 14 e 15 maggio 2013, la società, quale società fornitrice di servizi di comunicazione elettronica che tratta dati di traffico conservati per finalità di accertamento e repressione dei reati, non utilizzasse specifici sistemi di autenticazione informatica basati su tecniche di strong autentication e, nello specifico, sistemi di riconoscimento biometrico per il controllo delle aree ad accesso selezionato, con ciò contravvenendo alle previsioni del citato Provvedimento del Garante datato 17 gennaio 2008 adottate ai sensi dell´art. 17 del Codice;

RILEVATO, quindi, che Decatel s.r.l., società fornitrice di servizi di comunicazione elettronica, in qualità di titolare del trattamento, non ha provveduto ad attuare le misure previste dal Provvedimento a carattere generale del Garante datato 17 gennaio 2008, adottato, in  particolare, ai sensi dell´art. 17 del Codice;

VISTO l´art. 162, comma 2-bis, del Codice, che punisce la violazione delle disposizioni indicate nell´art. 167 del Codice, tra le quali l´art. 17 del Codice nei termini previsti dal Provvedimento a carattere generale del Garante datato 17 gennaio 2008, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

RITENUTO, pertanto, di dover determinare, ai sensi dell´art. 11 della legge 24 novembre 1981, n. 689, l´ammontare della sanzione pecuniaria nella misura di 10.000,00 (diecimila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

a Decatel s.r.l. P.Iva: 04348720824, con sede in Palermo, viale A De Gasperi n. 50, in persona del legale rappresentante pro-tempore di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria di cui alla violazione prevista dall´art. 162, comma 2-bis del Codice, per non aver ottemperato a quanto disciplinato dall´art. 17 del Codice nei termini previsti dal Provvedimento a carattere generale del Garante datato 17 gennaio 2008 pubblicato in G.U. n. 30 del 5 febbraio 2008, recante "Sicurezza dei dati di traffico telefonico e telematico";

INGIUNGE

al medesimo soggetto di pagare la somma di euro 10.000,00 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 25 febbraio 2016

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia