[doc. web n. 6032975]

Ordinanza ingiunzione nei confronti di Planetel s.r.l. - 22 dicembre 2016

Registro dei provvedimenti
n. 548 del 22 dicembre 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che il Nucleo speciale privacy della Guardia di finanza, in esecuzione della richiesta di informazioni n. 7362/84282 del 21 marzo 2013, formulata ai sensi dell´art. 157 del d.lgs. 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito "Codice"), ha svolto gli accertamenti presso Planetel S.r.l., con sede in Treviolo (Bg), Via Boffalora n. 4,  P.I. 02831630161, formalizzati nel verbale di operazioni compiute del 16 e 17 ottobre 2013, dai quali è risultato che la società, esercente l´attività di erogazione di telecomunicazioni, ha adottato per l´accesso ai dati di traffico telefonico e telematico una procedura non conforme a quanto previsto dall´allegato B, regole 2, 3, 5 e 6 del Codice in ragione dell´utilizzo delle medesime credenziali di autenticazione al database SQL Server 2005 di Microsoft da parte di due dipendenti e, relativamente all´applicativo "PHDMyAdmin", per aver utilizzato password di sette caratteri in luogo del minimo di 8 caratteri prescritti. Inoltre, è stato accertato che i dati di traffico telefonico e telematico, conservati per finalità di accertamento e repressione dei reati, sono stati trattati  in mancanza dell´adozione delle misure relative alla custodia in aree ad accesso selezionato  e di "audit log" prescritti  dal provvedimento Garante del 17 gennaio 2008 modificato ed integrato dal successivo provvedimento del 24 luglio 2008 in materia di conservazione di dati di traffico telefonico e telematico [doc. web n. 1538224]. È stato parimenti accertato che, diversamente da quanto disposto dall´art. 132, comma 1 del Codice, alcuni dati telefonici conservati per le medesime finalità erano stati conservati per un periodo superiore ai 24 mesi;

VISTO il verbale n. 78 del 17 dicembre 2013, che qui si intende integralmente richiamato, con cui è stata contestata a Planetel S.r.l., in qualità di titolare del trattamento, in persona del legale rappresentante pro-tempore, la violazione amministrativa prevista dall´art. 162, comma 2-bis del Codice, in relazione alla mancata adozione delle misure minime di sicurezza, di cui all´art. 33 del Codice, per inadempimento dell´art. 34, comma 1 lett. a), b), c), nei modi previsti dal disciplinare tecnico in materia di misure minime di sicurezza, contenuto nell´allegato B) del Codice, per la quale non è prevista la definizione in via breve ai sensi dell´art. 16 della legge n. 689/1981;

VISTO il verbale n. 79 del 17 dicembre 2013, che qui si intende integralmente richiamato,  con cui è stata contestata a Planetel S.r.l., la violazione amministrativa prevista dall´art. 162, comma 2-bis del Codice, in relazione all´art. 17, comma 1 del Codice, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge 24 novembre 1981 n. 689;

RILEVATO che dal rapporto predisposto ai sensi dell´art. 17 della legge 24 novembre 1981 n. 689 non risulta effettuato il pagamento in misura ridotta;

VISTO il verbale n. 80 del 17 dicembre 2013, che qui si intende integralmente richiamato, con cui è stata contestata a Planetel S.r.l., la violazione amministrativa prevista dall´art. 162-bis del Codice, in relazione all´art. 132, comma 1 del Codice, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge 24 novembre 1981 n. 689;

RILEVATO che dal rapporto predisposto ai sensi dell´art. 17 della legge 24 novembre 1981 n. 689 non risulta effettuato il pagamento in misura ridotta;

LETTI gli scritti difensivi del 29 gennaio 2014, inviati ai sensi dell´art. 18 della legge n. 689/1981, che qui si intendono integralmente richiamati;

LETTO il verbale dell´audizione delle parti, tenutasi in data 19 gennaio 2015, ai sensi dell´art. 18 della legge n. 689/1981, che qui deve intendersi integralmente richiamato;

RITENUTO che le argomentazioni addotte da Planetel s.r.l. non risultano idonee ad escludere le responsabilità della parte in relazione a quanto contestato per le motivazioni di seguito riportate:

1. Sulla violazione delle misure minime di sicurezza:

a) la parte ha evidenziato nelle memorie difensive che "(…) la procedura di autenticazione organizzata da Planetel (…) è articolata in più fasi. La username e la password di 15 caratteri condivise dagli incaricati del trattamento (ai quali comunque soltanto sono note), sono utilizzate in una fase successiva ed ulteriore rispetto a quella nella quale è concretamente ed esaurientemente assolto l´obbligo delle misure minime (…). Fase 1: l´accesso con desktop remoto (…) è consentito esclusivamente tramite collegamento al server da indirizzo IP pubblico della postazione di lavoro dell´incaricato al trattamento (…). Tale condizione tecnica preliminare comporta che per poter effettuare il trattamento elettronico dei dati si debba anzitutto superare una procedura di autenticazione con username e password individuali dell´incaricato per utilizzare la postazione di lavoro e, quindi lo specifico collegamento al server. Fase 2: (…) il collegamento al dominio del server nel quale è contenuto il database "SQL Server 2005 di Microsoft" è possibile esclusivamente previa ulteriore procedura di autenticazione con username e password individuali dell´incaricato, come risulta chiaramente da pag. 4 del verbale delle operazioni del 16 ottobre 2013. Fase 3: (…) è prevista l´autenticazione per l´accesso allo specifico data base nel server (…) con credenziali condivise dagli incaricati";

Al riguardo, si osserva che  l´utilizzazione delle medesime credenziali di autenticazione,  da parte dei due incaricati al trattamento dei dati, a SQL Server 2005 di Microsoft, con password memorizzate sulla maschera d´accesso (username SA e password di 15 caratteri), a prescindere dalle precedenti fasi di autenticazione sulla rispettiva postazione di lavoro, determina l´omessa applicazione delle misure minime di sicurezza di cui alle regole nn. 2, 3, e 6 del disciplinare tecnico di cui all´allegato B) del Codice e, conseguentemente, la violazione degli artt. 33 e  34, comma 1 lett. a), b), c) del Codice medesimo. Le richiamate norme, infatti, pongono in capo al titolare del trattamento l´obbligo di costituire una procedura di autenticazione che preveda l´attribuzione di credenziali di autenticazione univoche per ciascun incaricato. Inoltre, la componente riservata della credenziale (cd. password) deve essere conosciuta dal solo incaricato a cui è stata attribuita e deve essere mantenuta segreta. Inoltre, il codice per l´identificazione non può essere assegnato ad altri incaricati, neppure in tempi diversi. Risulta agli atti, invece, che tale disciplina non è stata rispettata da parte di Planetel s.r.l. e le precedenti fasi di autenticazione sulle postazione di lavoro non possono ovviare all´accertata esistenza di credenziali condivise da parte dei due incaricati al trattamento dei dati. Ciò in quanto, in caso di trattamento di dati di traffico telefonico e telematico, deve essere assicurato il controllo efficace e dettagliato delle attività svolte sui predetti dati da ciascun incaricato del trattamento. Risulta invece agli atti (allegato n. 14 del verbale delle operazioni compiute il 17 ottobre 2013) che la stampa delle videate relative ai log degli accessi effettuati sul database SQL Server 2005 di Microsoft, oltre a non riportare l´indirizzo IP di ingresso, indica come user l´utenza SA senza distinguere quali degli incaricati del trattamento che condividevano tale utenza aveva di fatto in concreto svolto le operazioni registrate.

b) con riferimento all´utilizzo della password di sette caratteri, Planetel s.r.l. ha osservato nelle memorie difensive che "(…) l´accesso al data base PHDMyAdmin nel quale sono conservati i dati di traffico delle chiamate senza risposta, è protetto da un sistema di autenticazione così articolato: Fase 1 – l´accesso (…) è consentito esclusivamente  tramite collegamento dall´indirizzo IP pubblico statico della postazione di lavoro dell´incaricato composta da almeno 8 caratteri. Fase 2 – autenticazione per accedere al data base PHDMyAdmin (…) con password composta di sette caratteri".

Le osservazioni della parte non mutano il quadro delineato nell´atto di contestazione.  Devono infatti richiamarsi le considerazioni svolte al precedente punto a) della presente ordinanza, in ordine all´obbligo per il titolare del trattamento di costituire un sistema di autenticazione conforme alle regole del disciplinare tecnico di cui all´allegato B) del Codice e, per l´effetto, agli artt. 33 e 34 del Codice medesimo. In particolare, la regola n. 5 del predetto disciplinare tecnico prevede che la parola chiave debba essere composta "(..) da almeno 8 caratteri, oppure, nel caso in cui lo strumento elettronico lo permetta, da un numero di caratteri pari al massimo consentito". Di conseguenza la precedente fase di autenticazione alla postazione di lavoro dell´incaricato non risulta idonea ad assolvere l´obbligo di adottare le misure minime di sicurezza, nel caso di specie, in relazione al trattamento dei dati di traffico delle chiamate senza risposta conservati nel data base PHDMyAdmin.

c) "(…) la non sanzionabilità della propria condotta, in ragione della buona fede che ha caratterizzato il proprio comportamento nella presente vicenda, avendo ritenuto di agire correttamente in base alla interpretazione da essa adotta in merito alla Regola n. 1 [Allegato B del Codice – Disciplinare tecnico in materia di misure minime di sicurezza] relativamente alla quale non risultano pubblicate decisioni che possano costituire precedenti (…)";

Quanto dedotto dalla parte non consente di qualificare gli elementi costitutivi della disciplina sull´errore scusabile di cui all´art. 3 della legge n. 689/1981, atteso che l´errore sulla liceità del fatto, comunemente indicato come buona fede, può rilevare come causa di esclusione della responsabilità solo quando esso risulti incolpevole. A tal fine occorre, cioè, un elemento positivo idoneo ad indurre un errore siffatto, non ovviabile dall´interessato con l´ordinaria diligenza, elemento che non è riscontrabile nel caso di specie (Cass. Civ. sez. VI del 02 ottobre  2015 n. 19759; Cass. Civ. sez II del 13 marzo 2006, n. 5426).

2. Sulla mancata adozione delle misure di custodia in aree ad accesso selezionato  e di un sistema di Audit Log relativamente al trattamento dei dati di traffico conservati per finalità di accertamento e repressione dei reati:

a) la parte ha osservato che "Nel verbale di operazioni compiute (…) il 17 ottobre (…) si ricava che il database di Planetel nel quale sono conservati i dati di traffico per finalità di accertamento e repressione dei reati è sì custodito nello stesso posto in cui sono custoditi gli altri database della società (…) ma separatamente da essi, ossia (…) in due hard disk esterni, separati e distinti dal resto (…)";

Quanto asserito dalla parte risulta privo di pregio in virtù del fatto che risulta accertato che i database contenenti dati di traffico per finalità di accertamento e repressione dei reati erano stati collocati all´interno della stessa area in cui si trovavano gli altri database della società utilizzati per gestire dati di traffico per altre finalità  e non in un area ad accesso selezionato, ovvero riservato ai soli soggetti legittimati ad accedervi per l´espletamento di specifiche mansioni come prescritto dal provvedimento del Garante del 17 gennaio 2008 – ai sensi degli artt. 17, 123 e 132, comma 5 del Codice - modificato ed integrato dal successivo provvedimento del 24 luglio 2008 in materia di conservazione di dati di traffico telefonico e telematico [doc. web n. 1538224].

b) per ciò che afferisce il sistema di Audit log la parte ha rappresentato che "La società si è avvalsa del sistema di Audit log di WINDOWS. L´impiego di tale sistema risulta dalla pag. 3 del verbale delle operazioni compiute il 17 ottobre u.s., dove si fa riferimento ai Log Applicazione, Log Protezione e ai Log Sistema. In particolare, dall´allegato 2 a tale verbale, pag. 2 e segg. (…) risulta che il sistema di Audit Log risponde alle prescrizioni del Garante, poiché: conserva traccia tanto degli interventi effettuati dagli incaricati, quanto di quelli effettuati in automatico dal sistema; assegna a ciascuna operazione compiuta uno specifico codice identificativo univocamente assegnato ad uno specifico intervento, che consente quindi di conoscere in cosa sia consistito l´intervento; gli audit log così generati non sono modificabili, neanche dagli incaricati; gli audit log sono crittografati e registrati nel data base".

I file log menzionati nelle memorie difensive e riportati nelle stampe delle videate allegate al verbale delle operazioni compiute del 17 ottobre 2013 (allegati nn. 13 e 14) sono relativi al gestionale per l´elaborazione dei dati a fini di fatturazione (SICOM) e al database in cui venivano conservati i dati per finalità di fatturazione (SQL Server 2005 di Microsoft). Il rilievo contestato, invece, è relativo alla mancanza di un sistema di audit log nel database in cui venivano conservati i dati di traffico per finalità di accertamento e repressione dei reati. Quanto dedotto dalla parte, pertanto,  risulta contraddittorio rispetto non solo a quanto accertato  in sede di verbale di operazioni compiute del 17 ottobre 2013 ma anche alle dichiarazioni rese nella medesima sede secondo cui la parte, relativamente al sistema di audit log specifico per i dati  conservati per finalità di accertamento e repressione dei reati ha rappresentato "non risultano file di log relativi alle operazioni effettuate dai tre incaricati del trattamento dei dati di traffico telefonico e telematico trattati per finalità di accertamento e repressione dei reati, sul database in argomento". Poiché la finalità di un sistema di Audit Log è proprio quella di assicurare il controllo delle attività svolte sui dati del traffico da ciascun incaricato del trattamento  mediante la registrazione degli accessi al sistema (log in), delle disconnessioni dal sistema (log off), del dettaglio delle operazioni compiute, nonché di un sistema di memorizzazione dei suddetti file di log su dispositivi non alterabili, basati sull´utilizzo di tecnologie crittografate e in grado di garantirne la completezza, l´immodificabilità e l´autenticità, si rileva che l´accertata mancanza dei predetti file di log, stante la tracciabilità della loro eventuale eliminazione, prova l´inesistenza di un sistema di audit log sul predetto database.

3. Sulla conservazione dei dati di traffico telefonico per le finalità di accertamento e repressione dei reati per un periodo superiore ai 24 mesi:

a) nelle memorie difensive la parte ha evidenziato che "(…) in presenza di contestazioni il traffico non viene fatturato da Planetel, ed i dettagli del traffico da fatturare sono conservati a fini di fatturazione (…) restando in sospeso nella cartella Traffico del data base con 6 mesi di profondità temporale. Quando a chiusura del contenzioso, è finalmente emessa la fattura, i dati di traffico oggetto di fatturazione sono spostati, in un unico file insieme ai CDR del traffico del mese di competenza della fattura, nel database dove sono conservati i dati di traffico per le finalità di accertamento e repressione dei reati, con profondità temporale di 24 mesi. Il sistema di conservazione dei dati del traffico per le finalità di accertamento e repressione dei reati, per come è configurato, in effetti, non consente di distinguere la porzione del file CDR relativa ai dati per i quali l´emissione  della fattura è tardiva e che pertanto afferiscono in realtà ad un periodo precedente. (…) si tratta comunque di poche centinaia di cartellini rispetto ai circa 2,5 milioni mese di cartellini mensilmente elaborati: una percentuale assolutamente marginale pari al 0,008% sul totale (…)";

Il sopra delineato sistema di conservazione dei dati di traffico per finalità di fatturazione in presenza di contestazioni presenta un anomalia in virtù della circostanza che una volta emessa tardivamente la fattura a seguito della conclusione del contenzioso i relativi dati di traffico venivano conservati per ulteriori 24 mesi. Infatti, nel verbale di operazioni compiute del 17 ottobre 2013, risulta accertata la presenza di dati di relativi agli anni 2010 e 2011. L´asserita percentuale "assolutamente marginale" del fenomeno, peraltro non comprovata da alcun rilievo documentale, non risulta idonea a determinare l´esclusione della responsabilità della parte  in relazione alla conservazione  dei predetti dati per un periodo superiore a quello disciplinato dall´art. 132, comma 1 del Codice ma costituisce uno degli elementi di cui si è tenuto conto con il presente provvedimento, ai sensi dell´art. 11 della legge n. 689/1981, ai fini della determinazione dell´ammontare della sanzione pecuniaria.

b) nel verbale di audizione delle parti Planetel s.r.l., ha prodotto in atti una relazione tecnica relativa all´attuazione delle misure adottate dalla società in seguito alle violazioni contestate con i verbali n. 78, 79 e 80 del 17 dicembre 2013 e ha evidenziato che  "(…) la nota sentenza della Corte di Giustizia dell´Unione Europea, in materia di conservazione del traffico telefonico, ha sostanzialmente modificato le basi della normativa nazionale con effetto che deve ritenersi retroattivo";

Le misure adottate dalla Planetel s.r.l. in seguito alle violazioni contestate con i verbali n. 78, 79 e 80 del 17 dicembre 2013 non possono incidere sulla valutazione delle responsabilità in ordine alle condotte che hanno determinato le contestazioni in argomento, ma evidenziano una chiara volontà della società di giungere alla eliminazione delle relative criticità. Inconferente appare, infine, il richiamo alla sentenza Corte di Giustizia dell´Unione  europea dell´8 aprile 2014 (C-293-12 e C- 594/12) che, come noto, mentre da un lato ha auspicato la limitazione della conservazione dei dati relativi al traffico telefonico a un periodo di tempo determinato (come di fatto, già accade nella normativa nazionale ai sensi dell´art. 132, comma 1 del Codice), dall´altro ha auspicato la stessa limitazione con riferimento a una determinata area geografica o a una cerchia di persona determinate che possano essere coinvolte in un reato grave. In ragione della circostanza che alla parte non viene contestata la mancata conservazione di tali dati per il periodo indicato dall´art. 132, comma 1 del Codice bensì una conservazione eccessiva rispetto a tale termine, la citata sentenza e le relative problematiche poste dalla stessa in ordine all´applicabilità diretta  delle sentenze interpretative della Corte negli ordinamenti nazionali, non risulta dirimente nel caso di specie.

RILEVATO, pertanto, che Planetel s.r.l., sulla base delle considerazioni sopra richiamate, in qualità di titolare del trattamento, ai sensi degli artt. 4 e 28 del Codice, risulta aver effettuato un trattamento di dati di traffico telefonico e telematico:

a) in violazione dell´art. 162, comma 2-bis, del Codice in relazione alla mancata adozione delle misure minime di sicurezza di cui all´art. 33 del Codice in ragione dell´utilizzo delle medesime credenziali di autenticazione da parte degli incaricati del trattamento dei dati e dell´utilizzo di password di sette caratteri, contravvenendo a quanto previsto dal disciplinare tecnico in materia di misure minime di sicurezza contenuto nell´allegato B), regole 2,3, 5 e 6 del Codice;

b) in violazione dell´art. 162, comma 2-bis del Codice, in relazione all´art. 17, ai sensi dell´art. 167 del Codice  per aver omesso di adottare, relativamente ai dati del traffico telefonico  conservati per finalità di accertamento e repressione dei reati, le misure relative alla custodia in aree ad accesso selezionato  e di "audit log" prescritti  dal provvedimento Garante del 17 gennaio 2008 modificato ed integrato dal successivo provvedimento del 24 luglio 2008 in materia di conservazione di dati di traffico telefonico e telematico [doc. web n. 1538224],;

c)  in violazione dell´art. 162-bis del Codice, in relazione all´art. 132, comma 1 del Codice, per aver conservato dati  del traffico telefonico per finalità di accertamento e repressione dei reati per un periodo superiore ai 24 mesi;

VISTO l´art. 162, comma 2-bis, del Codice che punisce la violazione delle misure indicate nell´art. 33 del Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro; l´art. 162, comma 2-bis, del Codice che punisce la violazione dell´art. 17 del Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro; l´art. 162-bis, del Codice che punisce la violazione delle disposizioni indicate nell´art. 132 commi 1 e 1-bis del Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a cinquantamila euro;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge n. 689/1981, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all´aspetto della gravità con riferimento agli elementi dell´entità del pregiudizio o del pericolo e dell´intensità dell´elemento psicologico, le violazioni non risultano connotate da elementi specifici;

b) ai fini della valutazione dell´opera svolta dall´agente, deve evidenziarsi che Planetel s.r.l. si è immediatamente attivata per porre rimedio alle condotte che avevano determinato le contestazioni in argomento. In particolare, sono state differenziate le credenziali d´accesso per gli incaricati del trattamento dati e sono state adottate password composte da 15 caratteri, i dispositivi contenenti dati di traffico telefonico ai fini di accertamento e repressione dei reati sono stati collocati in aree ad accesso selezionato; sono stati immediatamente cancellati i dati conservati per un periodo superiore ai 24 mesi ed è stata superata la riscontrata problematica in ordine alla conservazione dei dati di traffico per finalità di fatturazione in presenza di contestazione;

c) circa la personalità dell´autore della violazione, deve essere considerata la circostanza che la società Planetel s.r.l. non risulta gravata da precedenti procedimenti sanzionatori definiti in via breve o a seguito di ordinanza ingiunzione;

d) in merito alle condizioni economiche dell´agente, sono stati presi in considerazione gli elementi delle dichiarazioni reddituali relative all´anno d´imposta 2015;

RITENUTO, quindi, di dover determinare, ai sensi dell´art. 11 della L. n. 689/1981, l´ammontare della sanzione pecuniaria,  in ragione dei suddetti elementi valutati nel loro complesso, nella misura di:

- euro 10.000,00 (diecimila) per le violazioni di cui all´art. 162, comma 2-bis, in relazione all´art. 33 del Codice;

- euro 10.000,00 (diecimila) per le violazioni di cui all´art. 162, comma 2-bis, in relazione all´art. 17 del Codice;

- euro 10.000,00 (diecimila) per le violazioni di cui all´art. 162-bis del Codice, in relazione all´art.132, comma 1 del Codice;

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

a Planetel s.r.l., con sede in Treviolo (Bg), Via Boffalora n. 4,  P.I. 02831630161, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 30.000,00 (trentamila) a titolo di sanzione amministrativa pecuniaria, per le violazioni indicate in motivazione;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 30.000,00 (trentamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d. lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 22 dicembre 2016

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia