Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza di ingiunzione nei confronti di Sorec s.r.l. - 6 luglio 2016 [5792574]

[doc. web n. 5792574]

Ordinanza di ingiunzione nei confronti di Sorec s.r.l. - 6 luglio 2016

Registro dei provvedimenti
n. 294 del 6 luglio 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che la Guardia di finanza, Nucleo speciale privacy, con verbale n. 66/2013 del 30 ottobre 2013 (notificato il 22 novembre 2013), che qui deve intendersi integralmente riportato, ha contestato a Sorec s.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Lecce, via Lodi, n. 38, C.F. 02525220758, la violazione delle disposizioni di cui agli artt. 33 e 162, comma 2-bis del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato "Codice");

PRESO ATTO di quanto rappresentato nel verbale di contestazione e cioè che: a) la Guardia di finanza ha svolto, in data 10 settembre 2013, accertamenti ispettivi delegati dal Garante nei confronti di Sorec s.r.l.; b) nel corso delle attività ispettive è emerso che la società "tratta dati personali, riguardanti i soggetti debitori di terze società clienti, mediante l´utilizzo di propri PC e propria piattaforma informatica "GE.C.O.", in qualità di titolare del trattamento, ai sensi dell´art. 28 del D. Lgs. 196/2003; le password di accesso ai personal computer, di tre dipendenti della società, sono composte, rispettivamente, per due di loro, da sette caratteri e per una da cinque, e la password di accesso alla piattaforma "GE.C.O.", utilizzata dall´amministratore di sistema è composta da sei caratteri, diversamente da quanto previsto dall´allegato B, regola 5, del Codice";

PRESO ATTO che la società non ha presentato scritti difensivi né ha richiesto l´audizione ai sensi dell´art. 18 della legge 24 novembre 1981 n. 689;

RITENUTO che Sorec s.r.l., in base a quanto emerso dal verbale di contestazione e dagli atti in esso richiamati, ha trattato dati personali nell´ambito della propria attività di recupero-crediti per conto di terzi, utilizzando una propria piattaforma informatica, denominata "GE.C.O." al fine di registrare le pratiche di recupero-crediti, aggiornare lo stato delle stesse, inserire nuovi indirizzi di residenza dei debitori e stampare le relative schede anagrafiche. Le verifiche ispettive hanno consentito di rilevare che l´accesso al sistema "GE.C.O." da parte di alcuni dipendenti della società avveniva inserendo credenziali di autenticazione la cui componente privata (password) risultava composta da un numero di caratteri alfanumerici inferiore a otto. Allo stesso modo, l´accesso ai personal computer da parte dell´Amministratore di sistema poteva avvenire mediante l´inserimento di una password composta da un numero di caratteri inferiore a otto. Tale circostanza confligge con quanto disposto dalla regola n. 5 del disciplinare tecnico di cui all´allegato B) del Codice ("La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri"), la cui osservanza è stabilita dagli artt. 33 e 34 del medesimo Codice;

RILEVATO, quindi, che Sorec s.r.l. risulta aver commesso la violazione di cui all´art. 162, comma 2-bis, del Codice, per aver trattato dati personali mediante l´utilizzo di strumenti elettronici senza aver adottato compiutamente la regola n. 5 del disciplinare tecnico di cui all´allegato B) del Codice, in violazione dell´art. 33 del medesimo Codice;

VISTO l´art. 162, comma 2-bis, del Codice che punisce la violazione delle misure indicate nell´art. 33 con la sanzione amministrativa del pagamento di una somma da diecimila a centoventimila euro, per la quale non è previsto il pagamento in misura ridotta;

RILEVATO che, a seguito di prescrizione impartita dal Garante il 7 gennaio 2015 con riferimento ai profili sanzionatori di natura penale, l´Amministratore unico della società ha aderito alla speciale procedura estintiva prevista dall´art. 169, comma 2, del Codice e, in particolare, con missiva del 26 febbraio 2015, ha dichiarato che sono stati "complessivamente adottati sistemi di autenticazione mediante i quali l´accesso ai sistemi informatici contenenti dati personali in uso a Sorec srl è consentito solo a seguito di superamento di procedure di autenticazione che prevedono che la componente privata delle credenziali di autenticazione (password) sia composta da almeno otto caratteri alfanumerici";

RITENUTO che sussistono gli elementi che consentono di applicare la diminuente di cui all´art. 164-bis, comma 1, del Codice per l´illecito contestato, in ragione della minore gravità della violazione;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione, occorre tenere conto, ai sensi dell´art. 11 della legge n. 689/1981, dell´opera svolta dall´agente  per eliminare o attenuare le conseguenze della violazione (la società ha adottato le misure di sicurezza omesse, così come rappresentato con nota del 26 febbraio 2015, e ha aderito alla speciale procedura estintiva del reato in sede penale), della gravità della violazione (che non appare connotata da una specifica volontà del trasgressore di eludere la normativa in materia di protezione dei dati personali), della personalità (la società non risulta gravata da precedenti sanzioni in materia di protezione dei dati personali) e delle condizioni economiche del contravventore (è stato preso in esame il bilancio per l´anno 2014) e che pertanto l´ammontare della sanzione pecuniaria con riferimento alla violazione di cui all´art. 162, comma 2-bis, deve essere quantificato nella misura di euro 4.000,00 (quattromila);

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il dott. Antonello Soro;

ORDINA

a Sorec s.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Lecce, via Lodi, n. 38, C.F. 02525220758, di pagare la somma di euro 4.000,00 (quattromila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;

INGIUNGE

a Sorec s.r.l. di pagare la somma di euro 4.000,00 (quattromila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 6 luglio 2016

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia