[doc. web n. 7555574]

Ordinanza ingiunzione nei confronti di Coleman s.p.a. - 13 settembre 2017

Registro dei provvedimenti
n. 373 del 13 settembre 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della dott.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che il Nucleo speciale privacy della Guardia di finanza, in esecuzione della richiesta di informazioni n. 22908/91026 del 24 luglio 2014 formulata ai sensi dell´art. 157 del d. lgs. 30 giugno 2003 n. 196, recante il Codice in materia di protezione dei dati personali (di seguito "Codice") ha svolto, formalizzandola con il verbale di operazioni compiute datato 18 novembre 2014, un´attività di controllo nei confronti di Coleman s.p.a. P.Iva: 02711741211, con sede in Acerra (Na), via Alcide de Gasperi n. 25, in persona del delegato del legale rappresentante pro-tempore, dalla quale è stato accertato che la società, tramite un form del sito internet www.medicinafutura.it, utilizza una procedura di richiesta di prenotazione on line che genera delle mail contenenti i dati personali degli interessati. Tali mail di prenotazione vengono indirizzate a una casella di posta elettronica della società alla quale è possibile collegarsi senza che venga richiesta alcuna credenziale di autenticazione da parte dell´operatrice addetta alle prenotazioni e senza che il personal computer utilizzato dalla medesima operatrice richieda anch´esso alcuna credenziale di autenticazione all´atto dell´avvio, così disattendendo gli obblighi relativi all´adozione delle misure minime di sicurezza previsti dall´art. 33 del Codice e dall´Allegato B) al medesimo Codice. E´ stato parimenti accertato, sempre in violazione degli obblighi relativi all´adozione delle misure minime di sicurezza previsti dall´art. 33 del Codice e dall´Allegato B) al medesimo Codice, che l´accesso al gestionale CUP della società, utilizzato per la registrazione delle prenotazioni on-line acquisite tramite il sito Internet www.medicinafutura.it, viene effettuato dall´operatrice mediante l´utilizzo di credenziali di autenticazione con password composta da soli tre caratteri, nonostante il citato gestionale non preveda alcun limite di numero di caratteri utilizzabili per comporre la password;

VISTO il verbale n. 103 redatto dal Nucleo speciale privacy della Guardia di finanza in data 15 dicembre 2014, con il quale è stata contestata a Coleman s.p.a. la violazione amministrativa, non definibile in via breve ai sensi dell´art. 16 della legge 24 novembre 1981, n. 689, prevista dall´art. 162, comma 2-bis del Codice, in relazione alle misure indicate nell´art. 33;

VISTO lo scritto difensivo datato 27 gennaio 2015 inviato ai sensi dell´art. 18 della legge n. 689/1981, con il quale la società, dopo aver documentato gli accorgimenti adottati al fine di porre in essere le misure minime di sicurezza oggetto della contestazione in parola, ha chiesto, tra l´altro che tali accorgimenti venissero valutati favorevolmente "(…) anche ai fini dell´irrogazione della sanzione amministrativa";

CONSIDERATO che le argomentazioni addotte, pur non permettendo di escludere la responsabilità di Coleman s.p.a. in relazione alla contestazione in argomento, sono utilmente apprezzate in ordine alla quantificazione dell´importo della sanzione applicabile;

RILEVATO, pertanto, che Coleman s.p.a. ha effettuato un trattamento di dati personali (art. 4 comma 1, lett. a) e b) del Codice), omettendo di adottare le misure minime di sicurezza ai sensi dell´art. 33 del Codice ovvero senza che venga richiesta alcuna credenziale di autenticazione da parte dell´operatrice addetta alle prenotazioni per accedere alla casella di posta elettronica delle mail di prenotazione e senza che il personal computer utilizzato dalla medesima operatrice richieda anch´esso alcuna credenziale di autenticazione all´atto dell´avvio e consentendo che l´accesso al gestionale CUP della società venga effettuato dall´operatrice mediante l´utilizzo di credenziali di autenticazione con password composta da soli tre caratteri, nonostante il citato gestionale non preveda alcun limite di numero di caratteri utilizzabili per comporre la password, in violazione di quanto previsto dall´Allegato B al Codice;

VISTO l´art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell´art. 33 del Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore e che, pertanto, l´ammontare della sanzione pecuniaria con riferimento alla violazione di cui all´art. 162, comma 2-bis deve essere quantificato nella misura di euro 20.000,00 (ventimila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

a Coleman s.p.a. P.Iva: 02711741211, con sede in Acerra (Na), via Alcide de Gasperi n. 25, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria per la violazione prevista dall´art. 162, comma 2-bis del Codice, come indicato in motivazione;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 20.000,00 (ventimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d. lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 13 settembre 2017

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia