[doc. web n. 8146196]

Ordinanza ingiunzione nei confronti di Mandarin s.p.a. - 11 gennaio 2018

Registro dei provvedimenti
n. 4 dell´11 gennaio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che la Guardia di finanza, Nucleo speciale privacy, in esecuzione della richiesta di informazioni n. 21868/97157 del 27 luglio 2015 formulata ai sensi dell´art. 157 del d. lgs. 30 giugno 2003 n. 196, recante il Codice in materia di protezione dei dati personali (di seguito "Codice") ha svolto un´attività di controllo formalizzata con i verbali di operazioni compiute datati 10 e 11 novembre 2015, a fronte della quale, a scioglimento delle riserve formulate in tale sede con nota pervenuta al predetto Nucleo speciale della Guardia di finanza in data 26 novembre 2015, è stato accertato che Mandarin s.p.a. P.Iva: 04579020878, società erogatrice di servizi di accesso ad internet (isp), con sede in Catania, via Guastavo Vagliasindi n. 9, in persona del legale rappresentante pro-tempore, in qualità di titolare ai sensi dell´art. 28 del Codice:

1) ha conservato i dati di traffico telematico dei propri clienti per finalità di accertamento e repressione dei reati, per un periodo superiore a dodici mesi dalla data della connessione/disconnessione ad internet (28 maggio 2009 – 11 novembre 2015), in violazione di quanto previsto dall´art. 132, comma 1 del Codice;

2) ha conservato i dati di traffico telefonico dei propri clienti per finalità di fatturazione, per un periodo superiore a sei mesi (giugno 2014 – 11 novembre 2015), in violazione di quanto previsto dall´art. 123, comma 2 del Codice;

3) ha effettuato un trattamento di dati di traffico telematico, conservandoli per finalità di accertamento e repressione dei reati, senza aver adottato le misure di riconoscimento biometrico per il controllo delle aree ad accesso selezionato e strong autentication, in violazione di quanto prescritto, ai sensi dell´art. 17 del Codice, dal Provvedimento a carattere generale del Garante datato 17 gennaio 2008 pubblicato in G.U. n. 30 del 5 febbraio 2008 (in www.garanteprivacy.it, doc. web n. 1482111), recante "Sicurezza dei dati di traffico telefonico e telematico";

VISTI i verbali nn.rr. 116, 117 e 118 tutti datati 10 dicembre 2015 redatti dalla Guardia di finanza, Nucleo speciale privacy, con i quali sono state contestate a Mandarin s.p.a., in qualità di titolare del trattamento, società erogatrice di servizi di accesso ad internet (isp), rispettivamente; 1) la violazione amministrativa prevista dall´art. 162-bis, in relazione all´art. 132, comma 1 del Codice; 2) la violazione amministrativa prevista dall´art. 162, comma 2-bis, in relazione all´art. 123, comma 2 del Codice; 3) la violazione amministrativa prevista dall´art. 162, comma 2-bis, in relazione all´art. 17 del Codice, informandola, per ciascuna delle violazioni contestate, della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge 24 novembre 1981, n. 689;

RILEVATO dal rapporto predisposto ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689, relativo ai suddetti verbali di contestazione, che non risulta essere stato effettuato per nessuna della tre contestazioni, il pagamento in misura ridotta;

VISTI i distinti scritti difensivi inviati ai sensi dell´art. 18 della legge 24 novembre 1981, n. 689, con i quali la società, relativamente al verbale di contestazione n. 116 di cui al punto 1), ha esclusivamente motivato la richiesta di rateizzazione dell´importo della sanzione amministrativa eventualmente comminata.

Relativamente al verbale di contestazione n. 117 di cui al punto 2) la società, menzionando giurisprudenza della Corte di Cassazione in ordine alla ricorrenza dell´esimente della buona fede, ha evidenziato come a causa di "(…) un fattore esterno, vale a dire l´impostazione originaria del software di posta elettronica utilizzato (….), copia dei messaggi veniva conservata in automatico sul server di posta elettronica, con la conseguenza che, nonostante l´avvenuta cancellazione dei dati sul client di posta elettronica, svolta periodicamente, (…) su quest´ultimo venivano nuovamente scaricati i messaggi cancellati dal server di posta elettronica ogni qualvolta –si provvedeva a controllare- se fossero pervenute nuove email". Inoltre, osservando come "(…) la medesima condotta, vale a dire la conservazione in chiaro dei medesimi dati di traffico telefonico, sarebbe oggetto di una doppia sanzione, sia nel verbale di contestazione n. 117/2015 (…) sia nel diverso verbale n. 118/2015 (…)" ne ha fatto discendere la violazione, nel caso che ci occupa, "(…) del principio del ne bis in idem (…)" anche alla luce delle recenti pronunce CEDU (causa Grande Stevens e altri contro Italia).

Riguardo il verbale di contestazione n. 118 di cui al punto 3) la società ha osservato come "(…) il server Radius sul quale risiede il data base dei dati di traffico conservati per esclusive finalità di accertamento e repressione dei reati, è basato su sistema operativo Linux e non esistono sul mercato dispositivi biometrici compatibili con quest´ultimo. Al fine di conformarsi alla disposizione sopra riportata (punto 7.1 del Provvedimento a carattere generale del Garante datato 17 gennaio 2008) si è, quindi, reso necessario prevedere che l´accesso al server potesse avvenire solo per il tramite di un portatile con sistema operativo Windows. Pertanto, l´accesso ai dati contenuti nel database era dunque possibile solo dopo; a) aver effettuato il collegamento del portatile al server Radius,; b) aver rilevato l´impronta digitale dell´operatore incaricato; c) aver inserito la password di autorizzazione". Inoltre, ha osservato come, con riferimento a quanto previsto al punto 7.9 del Provvedimento a carattere generale del Garante datato 17 gennaio 2008, "(…) il disco virtuale MySQL, di fatto è distribuito in modo non prevedibile all´interno dello storage, e non è pensabile di ricostruirne i dati a partire da un disco fisico". Inoltre, osservando come "(…) la medesima condotta, vale a dire la conservazione in chiaro dei medesimi dati di traffico telefonico, sarebbe oggetto di una doppia sanzione, sia nel verbale di contestazione n. 118/2015 (…) sia nel diverso verbale n. 117/2015 (…)" ne ha fatto discendere la violazione, nel caso che ci occupa, "(…) del principio del ne bis in idem (…)" anche alla luce delle recenti pronunce CEDU (causa Grande Stevens e altri contro Italia).

RITENUTO, che le argomentazioni addotte da Mandarin s.p.a. non risultano idonee ad escludere la responsabilità in relazione a quanto contestato.

Riguardo il verbale di contestazione n. 117/2015 di cui al punto 2), quanto argomentato relativamente a "(…) un fattore esterno, vale a dire l´impostazione originaria del software di posta elettronica utilizzato (….)", non consente di qualificare, proprio tenendo conto della giurisprudenza della Corte di Cassazione menzionata nella memoria difensiva prodotta in atti, gli elementi costitutivi della disciplina sull´errore scusabile di cui all´art. 3 della legge n. 689/1981, atteso che l´errore sulla liceità del fatto, comunemente indicato come buona fede, può rilevare come causa di esclusione della responsabilità solo quando esso risulti incolpevole. A tal fine occorre, cioè, un elemento positivo idoneo ad indurre un errore siffatto, non ovviabile dall´interessato con l´ordinaria diligenza, elemento che non è riscontrabile nel caso di specie. Risultano poi prive di pregio sia le argomentazioni relative al fatto che "(…) la medesima condotta, (…) sarebbe oggetto di una doppia sanzione (…)" sia quelle afferenti la violazione, nel caso che ci occupa, "(…) del principio del ne bis in idem (…)", atteso che, pur tenendo conto della richiamata giurisprudenza della CEDU e della Corte di Cassazione, il richiamato istituto del concorso apparente di norme non può trovare applicazione in quanto, con specifico riferimento alla violazione dell´art. 123, comma 2 del Codice, la conservazione dei dati di traffico telefonico dei clienti della Mandarin s.p.a. per finalità di fatturazione, per un periodo superiore a sei mesi (giugno 2014 – 11 novembre 2015) sostanzia esclusivamente un illecito di natura amministrativa, ove tale condotta non è prevista quale elemento costitutivo in nessuna fattispecie penalmente rilevante, anche astrattamente con riferimento alle norme incriminatrici del Codice. Peraltro, sul punto giova rilevare come la condotta oggetto di contestazione del verbale n. 117/2015 inerisce la conservazione di dati di traffico telefonico per finalità di fatturazione, mentre quella del verbale di contestazione n. 118/2015 inerisce la diversa condotta della mancata adozione delle misure e degli accorgimenti a garanzia degli interessati ritenute, ai sensi dell´art. 17 del Codice, necessarie dall´Autorità per il riconoscimento biometrico finalizzato al controllo delle aree ad accesso selezionato e strong autentication ove sono conservati i dati di traffico telematico per finalità di accertamento e repressione dei reati.

Relativamente al verbale di contestazione n. 118 di cui al punto 3), nel ribadire quanto già controdedotto riguardo la lamentata violazione "(…) del principio del ne bis in idem (…)", si evidenzia come il Garante, nel sopra richiamato provvedimento generale del 17 gennaio 2008, abbia stabilito come il trattamento dei dati di traffico telefonico e telematico debba essere consentito unicamente sulla base del preventivo utilizzo di specifici sistemi di autenticazione informatica basati su tecniche di strong authentication, consistenti nell´uso contestuale di almeno due differenti tecnologie di autenticazione. Nel medesimo provvedimento il Garante ha parimenti stabilito come, per i dati di traffico conservati per finalità di accertamento e repressione dei reati, una di tali tecnologie deve essere basata sull´elaborazione di caratteristiche biometriche dell´incaricato, in modo tale da assicurare la presenza fisica di quest´ultimo presso la postazione di lavoro utilizzata per il trattamento. Posto quanto sopra, si rileva come, anche alla luce di quanto dichiarato nella memoria difensiva, sia pacifico che, all´esito dell´attività di controllo formalizzata nei verbali di operazioni compiute del 10 e 11 novembre 2015, la società, quale società erogatrice di servizi di accesso ad internet (isp) che tratta dati di traffico telematico conservati per finalità di accertamento e repressione dei reati, non utilizzasse specifici sistemi di autenticazione informatica basati su tecniche di strong authentication e, nello specifico, sistemi di riconoscimento biometrico sia per il controllo delle aree ad accesso selezionato che per gli accessi al sistema informatico, con ciò contravvenendo alle previsioni di cui all´art. 17 del Codice del citato Provvedimento a carattere generale del Garante datato 17 gennaio 2008. Pur prendendo atto di quanto argomentato relativamente al punto 7.1 del Provvedimento a carattere generale del Garante datato 17 gennaio 2008, non risulta che l´accesso diretto al server Radius (sul quale risiede il database dei dati di traffico telematico conservati per esclusive finalità di accertamento e repressione dei reati) sia impedito attraverso l´utilizzo del sistema operativo Linux, che per stessa ammissione della società, non è compatibile con dispositivi biometrici ma è evidentemente ancora utilizzato dalla società. Quanto esposto in relazione al punto 7.9 del Provvedimento a carattere generale del Garante datato 17 gennaio 2008, non consente di qualificare quello illustrato dalla società quale strumento di protezione dei dati con tecnica crittografica volto a rendere i dati di traffico telematico non intellegibili ricorrendo a forme di cifratura od offuscamento.

RILEVATO, quindi, che Mandarin s.p.a., società erogatrice di servizi di accesso ad internet (isp), in qualità di titolare del trattamento, 1) ha conservato i dati di traffico telematico dei propri clienti per finalità di accertamento e repressione dei reati, per un periodo superiore a dodici mesi dalla data della connessione/disconnessione ad internet (28 maggio 2009 – 11 novembre 2015), in violazione di quanto previsto dall´art. 132, comma 1 del Codice; 2) ha conservato i dati di traffico telefonico dei propri clienti per finalità di fatturazione, per un periodo superiore a sei mesi (giugno 2014 – 11 novembre 2015), in violazione di quanto previsto dall´art. 123, comma 2 del Codice; 3) ha effettuato un trattamento di dati di traffico telematico, conservandoli per finalità di accertamento e repressione dei reati, senza aver adottato le misure di riconoscimento biometrico per il controllo delle aree ad accesso selezionato e strong autentication, in violazione di quanto prescritto ai sensi dell´art. 17 del Codice, dal Provvedimento a carattere generale del Garante datato 17 gennaio 2008, recante "Sicurezza dei dati di traffico telefonico e telematico", ai sensi dell´art. 17 del Codice;

VISTO l´art. 162-bis del Codice, che punisce la violazione delle disposizioni di cui all´art. 132, comma 1, per aver conservato i dati di traffico telematico dei propri clienti per finalità di accertamento e repressione dei reati, per un periodo superiore a dodici mesi dalla data della connessione/disconnessione ad internet (28 maggio 2009 – 11 novembre 2015), in violazione di quanto previsto dall´art. 132, comma 1 del Codice, con una sanzione da diecimila a cinquantamila euro;

VISTO l´art. 162, comma 2-bis, del Codice, che punisce la violazione delle disposizioni indicate nell´art. 167 del Codice, tra le quali quelle dell´art. 123, comma 2, per aver conservato i dati di traffico telefonico dei propri clienti per finalità di fatturazione, per un periodo superiore a sei mesi (2011 - 2013), con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

VISTO l´art. 162, comma 2-bis, del Codice, che punisce la violazione delle disposizioni indicate nell´art. 167 del Codice, tra le quali quelle dall´art. 17 nei termini previsti dal Provvedimento a carattere generale del Garante datato 17 gennaio 2008, per non aver provveduto ad attuare le misure previste dal Provvedimento a carattere generale del Garante datato 17 gennaio 2008 adottato ai sensi dell´art. 17 del Codice, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore e che pertanto l´ammontare delle tre sanzioni pecuniarie: con riferimento alla violazione dell´art. 162-bis relativa al verbale di contestazione n. 116 di cui al punto 1) deve essere quantificato nella misura di euro 10.000,00 (diecimila); con riferimento alla violazione dell´art. 162, comma 2-bis relativa al verbale di contestazione n. 117 di cui al punto 2) deve essere quantificato nella misura di euro 10.000,00 (diecimila); con riferimento alla violazione dell´art. 162-bis relativa al verbale di contestazione n. 118 di cui al punto 3) deve essere quantificato nella misura di euro 10.000,00 (diecimila), per un importo complessivo pari a euro 30.000,00 (trentamila);

RITENUTO, altresì, di accogliere, la richiesta di rateizzazione in 10 (dieci) rate mensili dell´importo di euro 3.000,00 (tremila) ciascuna, per un importo complessivo pari a euro 30.000,00 (trentamila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

ORDINA

a Mandarin s.p.a. P.Iva: 04579020878, società erogatrice di servizi di accesso ad internet (isp), con sede in Catania, via Guastavo Vagliasindi n. 9, in persona del legale rappresentante pro-tempore, di pagare la somma complessiva di euro 30.000,00 (trentamila) a titolo di sanzione amministrativa pecuniaria come indicato in motivazione frazionandola, in accoglimento della richiesta di rateizzazione, in 10 rate mensili dell´importo di 3.000,00 (tremila) euro ciascuna, e come di seguito ripartita:

• euro 10.000,00 (diecimila) per aver conservato i dati di traffico telematico dei propri clienti per finalità di accertamento e repressione dei reati, per un periodo superiore a dodici mesi dalla data della connessione/disconnessione ad internet (28 maggio 2009 – 11 novembre 2015), in violazione di quanto previsto dall´art. 132, comma 1 del Codice;

• euro 10.000,00 (diecimila) per aver conservato i dati di traffico telefonico dei propri clienti per finalità di fatturazione, per un periodo superiore a sei mesi (giugno 2014 – 11 novembre 2015), in violazione di quanto previsto dall´art. 123, comma 2 del Codice;

• euro 10.000,00 (diecimila) per aver effettuato un trattamento di dati di traffico telematico, conservandoli per finalità di accertamento e repressione dei reati, senza aver adottato le misure di riconoscimento biometrico per il controllo delle aree ad accesso selezionato e strong autentication, in violazione di quanto prescritto dal Provvedimento a carattere generale del Garante datato 17 gennaio 2008, recante "Sicurezza dei dati di traffico telefonico e telematico", ai sensi dell´art. 17 del Codice;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 30.000,00 (trentamila) secondo le modalità indicate in allegato, i cui versamenti frazionati  saranno effettuati entro l´ultimo giorno del mese successivo a quello in cui avverrà la notifica della presente ordinanza, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 11 gennaio 2018

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia