g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Commify Italia S.r.l. - 11 gennaio 2023 [9864063]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE Newsletter del 15 marzo 2023

 

[doc. web n. 9864063]

Ordinanza ingiunzione nei confronti di Commify Italia S.r.l. - 11 gennaio 2023

Registro dei provvedimenti
n. 12 dell'11 gennaio 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA

Nei giorni 8 e 9 novembre 2021 è stata effettuata un’attività ispettiva nei confronti di Commify Italia S.r.l. (di seguito “Commify” o “Società”) per verificare il funzionamento della piattaforma Skebby (www.skebby.it) con la quale è possibile inviare sms tramite un’applicazione web o tramite interfacce di programmazione delle applicazioni (API, Application Programming Interface).

La piattaforma in questione era già stata oggetto di precedenti attività ispettive da parte dell’Autorità per finalità in parte differenti. In particolare, una prima attività – originata da una violazione dei dati personali notificata da una delle società utilizzatrici dei servizi della piattaforma Skebby – è stata effettuata nei giorni 28 e 29 novembre 2018 presso la Mobile Solution S.r.l., società successivamente fusa per incorporazione in Commify Italia S.p.A. (che ha poi mutato denominazione sociale in Commify Italia S.r.l.). Successivamente, si è resa necessaria un’ulteriore attività ispettiva in conseguenza delle integrazioni fatte pervenire dalla Mobile Solution S.r.l. e di un reclamo, pervenuto il 28 novembre 2018, dal quale è emerso un ulteriore profilo relativo alla conservazione, da parte dalla Società, del testo degli sms inviati dai clienti tramite la piattaforma Skebby. Questa seconda attività si è svolta nelle giornate del 30 e 31 gennaio 2019 presso la Commify Italia S.p.A.

Il 21 luglio 2021 è pervenuta una richiesta da parte del responsabile della protezione dati della XX (di seguito “XX”), società utilizzatrice dei servizi offerti tramite la piattaforma Skebby, con la quale è stato richiesto al Garante di pronunciarsi in merito alla liceità delle procedure adottate da Commify riguardo alla conservazione del testo degli sms inviati. In particolare, la XX ha sollevato dubbi in merito alle procedure adottate da Commify per la conservazione dei dati di traffico, ritenendo eccedente la conservazione del contenuto degli sms inviati. Questa ha altresì rappresentato di aver già richiesto chiarimenti alla Commify e di aver ricevuto un diniego alla sua richiesta di non conservare il contenuto degli sms inviati poiché, a detta della Società, tale conservazione sarebbe dovuta in ossequio alle disposizioni di cui agli artt. 121, 123 e 132 del Codice.

Alla luce di tale nuova richiesta, tenuto conto che gli elementi acquisiti nelle precedenti istruttorie erano insufficienti a valutare compiutamente la natura del servizio offerto e gli eventuali profili di illiceità, è stata effettuata una nuova attività ispettiva per verificare le attuali modalità operative del servizio, alla luce del tempo trascorso e tenuto conto anche delle modifiche intervenute a livello societario. Si deve infatti ricordare che la prima attività ispettiva, svolta nel 2018, era stata condotta presso la Mobile Solution S.r.l., soggetto giuridico non più esistente dopo la fusione per incorporazione in Commify Italia S.p.A., e che tale attività era in realtà volta a verificare le procedure che avevano potuto originare la violazione dei dati personali occorsa a un utente della piattaforma Skebby. La seconda attività ispettiva, condotta nel 2019, era stata invece effettuata presso Commify Italia S.p.A., ora Commify Italia S.r.l., ed era finalizzata a richiedere ulteriori informazioni in merito alla violazione dei dati personali, anche alla luce della documentazione integrativa inviata, nonché ad acquisire elementi in merito a quanto lamentato nel reclamo citato.

Pertanto, l’ultima attività in loco è stata effettuata nei giorni 8 e 9 novembre 2021, non appena è stato possibile riprendere le attività ispettive sospese da marzo 2020 a causa della pandemia.

Nel corso dell’istruttoria la Società ha chiarito di essere iscritta al ROC in quanto operatore virtuale di servizi di comunicazione elettronica accessibili al pubblico con facoltà di rilasciare schede SIM, sia fisiche che virtuali, per inviare e ricevere sms. A tale fine le è stato attribuito dal Ministero dello sviluppo economico un arco di numerazioni con decade 43.

La Società ha inoltre precisato che il servizio è attualmente offerto solo a clientela di tipo business (privati o enti pubblici) in quanto da oltre due anni non è più ammesso l’utilizzo dei servizi da parte di clientela di tipo consumer.

Per l’attivazione del servizio i clienti devono registrarsi nella piattaforma Skebby fornendo i seguenti dati: nome, cognome, indirizzo e-mail, ragione sociale, numero di cellulare, ai quali si aggiungono, in fase di acquisto, il codice fiscale/partita IVA e l’indirizzo; devono inoltre impostare una username e una password.

Nel corso dell’attività ispettiva è stato verificato che la Società conserva nei propri sistemi anche il contenuto dei messaggi trasmessi dai propri clienti tra i quali figurano, ad esempio: one time password (OTP) trasmesse per operare con servizi bancari, credenziali di autenticazione, prenotazioni di appuntamenti per servizi sanitari, comunicazioni di disponibilità di referti medici nominativi, messaggi inviati da partiti politici ai propri iscritti. A tal proposito, la Società ha motivato tale conservazione ritenendo che il contenuto dei messaggi sia da considerarsi dato di traffico (art. 121, comma 1-bis, lett. h), del Codice) con il conseguente obbligo di conservazione ex art. 132 del Codice. Nell’atto di nomina della Società a responsabile del trattamento che i clienti – in qualità di titolari – sottoscrivono al momento dell’attivazione del servizio è prevista una clausola in base alla quale il cliente presta il consenso alla conservazione del contenuto dei messaggi da parte di Commify. In particolare, nell’allegato 3 (“Addendum per la Protezione dei Dati”) alle condizioni generali di contratto, al punto 10.3, è previsto che “il Cliente presta espresso consenso affinché il Fornitore conservi i Dati Personali, i Dati Relativi al Traffico e i contenuti degli SMS per un periodo non superiore a 24 (ventiquattro) mesi per finalità:

10.3.1. di accertamento e repressione di reati;

10.3.2. di documentazione in caso di contestazione della fattura o per la pretesa del pagamento anche in sede giudiziale;

10.3.3. di commercializzazione di servizi di comunicazione elettronica o per la fornitura di servizi a valore aggiunto;

10.3.4. di consultazione da parte del Cliente, previa richiesta;

10.3.5. di organizzazione interna, di interventi di manutenzione e di rilevamenti statistici;

10.3.6. per soddisfare eventuali richieste di consegna e/o visualizzazione dei dati avanzate da soggetti autorizzati quali, a titolo esemplificativo, autorità amministrative, giudiziarie o forze di pubblica sicurezza”.

In mancanza del predetto consenso la Società si limita a inibire l’accesso al contenuto degli sms inviati da parte del cliente ma provvede comunque ad effettuarne la conservazione.

Con riguardo alle modalità di accesso ai dati di traffico e alla loro conservazione è stato accertato che:

i dati di traffico (che, secondo quanto sostenuto dalla Società, includevano il contenuto degli sms) erano conservati in diversi sistemi della Società, senza che fosse prevista una conservazione separata per i dati di traffico conservati per le finalità di prevenzione e repressione dei reati (finalità di giustizia); tutti i dati erano conservati indistintamente nei sistemi che Commify utilizzava anche per altre finalità (fatturazione o messa a disposizione del cliente per la consultazione);

i sistemi informatici in questione erano raggiungibili solo attraverso la rete aziendale cui si accedeva tramite VPN (previo superamento di una procedura di autenticazione informatica a un fattore, basata su username e password) e accessibili dai soggetti autorizzati che agivano sotto l’autorità della Società mediante utenti (previo superamento di una procedura di autenticazione informatica a un fattore, per l’accesso sia al sistema operativo che al sistema di gestione di database);

i messaggi ricevuti erano conservati nei sistemi di backend per un periodo massimo di due anni: nei primi 6 mesi erano resi disponibili ai clienti nella piattaforma Skebby e successivamente, se richiesto dal cliente, venivano estratti dalle copie di backup;

con riguardo ai messaggi inviati, non essendo prevista una separazione (fisica o logica) dei sistemi destinati alla conservazione dei dati per finalità di giustizia, non era neanche prevista una definizione dei tempi di retention differenziata in base alle finalità; all’epoca delle attività ispettive (9 novembre 2021) in un database server sono stati rinvenuti dati riferiti a sms inviati ad ottobre 2019, in un database documentale erano conservati dati relativi a sms inviati ad ottobre 2020, mentre in un altro database server erano presenti dati riferiti a sms inviati il 15 gennaio 2021.

Infine, è stato rilevato che la Società effettuava controlli automatizzati sul contenuto dei messaggi inviati dai propri clienti al fine di prevenire l’utilizzo fraudolento del servizio che, secondo quanto dalla stessa rappresentato, avrebbe potuto comportare il suo coinvolgimento in procedimenti giudiziari con aggravio dell’ordinaria attività lavorativa. Pertanto, la Società informava il cliente, tramite le condizioni contrattuali, del fatto che si riservava “la facoltà di sottoporre le Comunicazioni trasmesse dal Cliente a sistemi di analisi preventiva mediante algoritmi di rilevamento (URL, dominio, keywords)” bloccando l’invio dei messaggi nel caso in cui fosse stato rilevato potenziale contenuto fraudolento nell’alias (stringa alfanumerica che identifica il mittente in sostituzione del numero telefonico), o nel testo (ad es. nel caso di link non espressamente richiesti dal cliente o per i quali il cliente non era abilitato, nonché in presenza di parole chiave vietate). 

Con nota del 30 novembre 2021, la Società ha fornito le informazioni che erano state oggetto di riserva nel corso delle attività ispettive e, con specifico riguardo ai controlli sul contenuto, ha allegato un documento relativo alle parole chiave ricercate dall’algoritmo sia nell’alias che nel testo del messaggio.

Inoltre, con la richiamata nota del 30 novembre 2021, la Società ha rappresentato che, a seguito delle attività ispettive svolte dal Garante a gennaio 2019, aveva avviato un progetto per la dismissione degli endpoint delle API che utilizzavano il protocollo http. Tuttavia, Commify ha dichiarato che “vi sono alcune API di tipo legacy, ereditate dalla vecchia piattaforma Skebby antecedente a quella attuale, che utilizzano ancora il protocollo http” e che “ciò è dovuto esclusivamente al fatto che alcuni clienti più risalenti non hanno mai aggiornato i loro sistemi”. Al riguardo, la Società ha evidenziato che “ha previsto di giungere all’eliminazione di tutti gli endpoint attivi in http entro il 2022”.

Da ultimo, a seguito delle attività ispettive svolte a novembre 2021, è emerso che la Società non teneva traccia delle operazioni compiute sui sistemi contenenti i dati di traffico e il contenuto dei messaggi, da parte dei soggetti che agivano sotto la sua autorità (cfr. all. 9 e 10 alla nota del 30 novembre 2021). In particolare, è stato accertato che le operazioni compiute, direttamente o indirettamente, sui dati di traffico e sugli altri dati personali ad essi connessi, mediante l’utilizzo interattivo dei sistemi (a livello di sistema operativo o di sistema di gestione di database), non erano registrate in appositi file di log. Le uniche operazioni oggetto di registrazione erano quelle relative agli accessi logici (login) ai sistemi informatici o alla rete della Società (mediate accesso remoto VPN).

2. LA CONTESTAZIONE DELLE VIOLAZIONI

Con nota del 4 aprile 2022 è stato comunicato l’avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice, per l’adozione dei provvedimenti correttivi e delle sanzioni sulla base delle risultanze dell’ultima attività ispettiva.

Preliminarmente è stata accertata la natura dei servizi offerti dalla Società – tenuto conto delle caratteristiche del servizio di messaggistica offerto tramite la piattaforma Skebby – ritendo che essa sia qualificabile come fornitore di servizi di comunicazione elettronica accessibili al pubblico, cui si applica la disciplina relativa alle comunicazioni elettroniche non solo in ragione della qualificazione che la stessa Società si è attribuita (e riconosciuta con il rilascio delle necessarie autorizzazioni), ma anche tenuto conto delle specifiche caratteristiche dei servizi offerti, analoghi nel risultato ai servizi di telefonia tradizionale benché erogati tramite una diversa tecnologia(1).

Accertato ciò, ogni valutazione è stata effettuata tenendo conto di tale particolare ruolo assunto dalla Società e delle correlate disposizioni di carattere speciale che regolano la conservazione dei dati di traffico telefonico e telematico. In particolare, in base alla descrizione dei servizi resi tramite la piattaforma Skebby, si ritiene che il trattamento riguardi esclusivamente dati relativi a un servizio “telematico” (cfr. provvedimento generale del 17 gennaio 2018, doc. web n. 1482111, come modificato dal successivo provvedimento del 24 luglio 2008, doc. web n. 1538224, che, al suo par. 4, stabilisce che nei servizi "telematici" sono ricompresi anche “i fax, nonché i messaggi sms e mms, via Internet”).

Inoltre, pur dovendosi osservare che la Società ammette alla fruizione dei propri servizi solo persone giuridiche, si deve comunque tenere presente che il servizio potrebbe essere utilizzato anche da persone fisiche in rappresentanza di ditte individuali(2) o, residualmente, nella fase di utilizzo del servizio di prova gratuito. In ogni caso, le disposizioni relative al trattamento dei dati nell’ambito delle comunicazioni elettroniche si applicano anche alle persone giuridiche in quanto contraenti o utenti. Infine, si deve tenere conto che il servizio offerto dalla Società comporta anche il trattamento di dati personali (anche appartenenti a categorie particolari) di persone fisiche destinatarie degli sms.

Sulla base degli elementi acquisiti nel corso delle attività ispettive svolte nel mese di novembre 2021 e delle successive integrazioni pervenute il 30 novembre 2021, è stata contestata alla Commify la violazione delle seguenti disposizioni:

artt. 5, par. 1, lett. f), e 32 del Regolamento e artt. 123, 132 e 132-ter del Codice, con riguardo alle misure di sicurezza adottate per garantire la conservazione dei dati di traffico telematico;

artt. 5, par. 1, lett. a), b) e c), e 6 del Regolamento e degli artt. 123 e 132 del Codice, ritenendo che la conservazione del contenuto degli sms sia stata effettuata in assenza di un’idonea base giuridica;

artt. 5, par. 1, lett. a), e 6 del Regolamento, ritenendo che la scansione preventiva del contenuto degli sms sia stata effettuata in assenza di un’idonea base giuridica;

art. 25, parr. 1 e 2, del Regolamento, per non aver rispettato i principi di protezione dei dati fin dalla progettazione e per impostazione predefinita.

3. LA DIFESA DEL TITOLARE

La Società, nell’esercizio del diritto di difesa, ha fatto pervenire in data 4 maggio 2022 una memoria nella quale ha indicato le misure correttive adottate.

Preliminarmente la Società ha eccepito che l’atto di avvio del procedimento sarebbe pervenuto tardivamente poiché notificato “…a distanza di 146 giorni dall’ultima ispezione e di 1223 giorni dalla prima…” e pertanto, dovendo ritenersi illegittima la durata della fase di accertamento, l’atto sarebbe da considerare viziato in origine.

Con riguardo agli specifici punti contestati, la Società ha poi dichiarato che:

a) “ancor prima della notifica della Comunicazione, la Società aveva iniziato l’implementazione del sistema di autenticazione a due fattori (già in uso nelle altre società del gruppo) per ogni utente/incaricato che si logga sull’area interna di amministrazione” utilizzando, oltre alla username e alla password, ulteriori fattori di autenticazione per gli accessi a livello applicativo (codice OTP di verifica generato tramite Google Authenticator) e per gli accessi a livello sistemistico (che sono consentiti solo previa instaurazione di una VPN con procedura di autenticazione informatica a due fattori);

b) “la Società aveva già intrapreso da tempo l’abbandono del protocollo http utilizzato da alcuni clienti per l’accesso alla piattaforma attraverso API […] alla data di deposito della presente memoria nessun cliente è più abilitato all’uso del protocollo http se non uno che, per meri motivi tecnici, manterrà un accesso http solo fino al 20 maggio 2022”;

c) è stata disattivata la funzionalità che consentiva ai soggetti autorizzati che operano sotto l’autorità della Società di visualizzare, tramite l’applicativo XX, il contenuto dei messaggi;

d) sono stati disabilitati tutti i controlli preventivi su mittente e testo per i clienti che spediscono sms sul Gateway della Società; a tal riguardo la Società si è giustificata rappresentando di avere agito sulla base di un legittimo interesse a svolgere tale attività anche tenuto conto che, nel periodo in cui la procedura di controllo era stata attivata, il fenomeno degli sms fraudolenti si era azzerato. La stessa ha inoltre ribadito che il controllo veniva effettuato in maniera totalmente automatizzata e che il cliente il cui messaggio fosse stato bloccato avrebbe ricevuto immediata comunicazione;

e) sono stati adottati “due sistemi di gestione e conservazione dei log” che garantiscono “la completezza, l’immodificabilità e l’autenticità delle registrazioni” e che consentono di “rilevare comportamenti insoliti degli utenti (es. accesso da un Paese da cui normalmente nessun incaricato accede), segnalandoli con una specifica e-mail, così che, in caso di necessità, si possa tempestivamente intervenire”;

f)  è stato realizzato uno specifico database per la conservazione di dati di traffico per finalità di accertamento e repressione dei reati fisicamente e logicamente separato dal database documentale con accesso consentito mediante autenticazione a due fattori di cui uno biometrico; inoltre, la Società ha specificato che tale database conserva i dati di traffico in modalità criptata distinguendo il tempo di conservazione in base alle finalità di legge (6 mesi o complessivi 72 mesi); l’accesso a tale database e le operazioni svolte sono tracciati mediante un’apposita procedura;

g) sono stati “aggiornati i profili di autorizzazione [per l’accesso ai sistemi della piattaforma Skebby …] sulla base delle diverse funzioni aziendali, avendo riguardo alle specifiche finalità e alle tipologie di dati”;

h) riguardo alla conservazione dei contenuti dei messaggi, è stata istituita una nuova procedura, sia per i nuovi clienti che per quelli già registrati alla piattaforma Skebby, in base alla quale la Società procederà a conservare il testo dei messaggi inviati per sei mesi per i soli clienti che abbiano espresso uno specifico consenso tramite flag nell’area personale. In caso di mancato conferimento del consenso, sempre revocabile con le medesime modalità, nessun contenuto verrà conservato. Tutti i clienti sono stati informati della nuova procedura con e-mail del 21 e del 28 aprile 2022. I contenuti dei messaggi, inviati dai clienti che hanno espresso il consenso alla conservazione, sono ora registrati in un unico database, in forma criptata, e sono resi visibili solo al cliente. Per tutti quelli che non hanno espresso il consenso, i messaggi sono stati cancellati. La Società ha comunque precisato che permane nei sistemi una conservazione dei messaggi inviati per 72 ore al fine di assicurare la consegna del messaggio nel caso in cui la trasmissione non vada subito a buon fine e siano necessari più tentativi di invio; solo la cancellazione dai sistemi di backup, pur avviata, non è stata ultimata al momento della presentazione della memoria difensiva.

La Società ha comunque chiarito che molte misure correttive erano già state adottate subito dopo la prima ispezione del 2018 quando, ad esempio, ha provveduto a “unificare i modelli privacy delle quattro diverse società (Mobyt S.p.A., Digitel Mobile S.r.l., One Etere S.r.l., Mobile Solution S.r.l.) fuse per incorporazione nella Commify”. Altri correttivi erano stati valutati e ne era stata avviata l’implementazione, rallentata anche per motivi economici dalla pandemia, come la migrazione dal protocollo http al protocollo https, l’adozione di un sistema di strong authentication, ma anche “la razionalizzazione e limitazione dei privilegi degli incaricati, la criptazione dei testi, la minimizzazione dei dati conservati mediante la riduzione dei Database, la revisione della retention”.

Con riguardo alla conservazione dei contenuti delle comunicazioni, erroneamente ritenuti dati di traffico, la Società ha preso “atto del proprio errore, frutto di un’interpretazione evidentemente non puntuale del quadro normativo e di alcune modalità operative “ereditate” dalle società oggetto di fusione” ed ha aggiunto che “non si sia proceduto a modificare la politica di retention dal 2018 al 2022 in ragione del legittimo affidamento che la Società ha maturato rispetto a quanto emerso nel corso delle ispezioni e in assenza di una indicazione, anche solo informale, circa l’erroneità della stessa”.

La Società, infine, ha invitato l’Autorità a tenere conto di alcuni elementi al fine di soprassedere dall’applicazione di una sanzione o, in subordine, di quantificarla in misura minore:

la buona fede in merito alla necessità e opportunità di alcune condotte (come la conservazione del testo dei messaggi o la scansione preventiva degli stessi per prevenire frodi);

l’assoluta mancanza di vantaggio economico e anzi i rilevanti costi sostenuti per conservare dati ultronei (come i testi degli sms) nell’erronea convinzione di dover ottemperare a un obbligo di legge;

la costante collaborazione prestata nei confronti dell’Autorità e la tempestiva adozione di misure correttive in assenza di violazioni precedenti;

l’assenza di danni e pregiudizi per gli interessati tenuto conto che “anzi, alcune criticità emerse erano, pur erroneamente, volte a tentare di offrire un servizio migliore all’utente e una maggiore tutela per gli interessati”;

l’impegno profuso nella formazione degli incaricati e l’intenzione di incaricare un ente terzo di svolgere un audit al termine dell’implementazione delle misure;

le rilevanti perdite registrate a seguito della pandemia tali per cui “una sanzione, anche minima, ne causerebbe il default con drammatiche ricadute negative anche in termini occupazionali”.

Infine, in data 26 maggio 2022 si è tenuta un’audizione, richiesta dalla Commify stessa, con la quale la Società ha dato atto del completamento delle ultime misure correttive ancora in via di implementazione al momento della presentazione della memoria difensiva, assicurando di aver totalmente dismesso l’uso del protocollo http e di aver ultimato la cancellazione dei testi dei messaggi dalle copie di backup.

4. VALUTAZIONI DI ORDINE GIURIDICO

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle dichiarazioni della Società di cui si risponde ai sensi dell’art. 168 del Codice, si formulano le seguenti valutazioni in relazione ai profili riguardanti la disciplina in materia di protezione dei dati personali.

4.1 Sulla tardività della contestazione

La Società ha sostenuto che l’atto di avvio del procedimento sarebbe pervenuto tardivamente poiché notificato dopo 146 giorni dall’ultima ispezione e dopo 1.223 giorni dalla prima, sostenendo che ciò costituisca un vizio insanabile del procedimento amministrativo.

Tale assunto non può essere condiviso dovendosi innanzitutto osservare che – come già detto – l’atto di avvio del procedimento, notificato il 4 aprile 2022, ha avuto ad oggetto unicamente la contestazione delle violazioni rilevate nel corso delle attività ispettive dell’8 e 9 novembre 2021. A tali accertamenti ha fatto seguito l’invio da parte della Società delle informazioni integrative oggetto di riserva che sono pervenute con PEC del 30 novembre 2021. Successivamente, gli atti, dopo essere stati valutati, per quanto di competenza, dalle articolazioni interne all’Autorità, che hanno fornito i rispettivi avvisi, sono stati trasmessi al Dipartimento procedente. Tenuto conto che il regolamento interno del Garante n. 2/2019(3) quantifica in 120 giorni il termine per la notificazione della contestazione e che tale termine decorre dal momento dell’accertamento, l’atto di avvio del procedimento è da considerarsi più che tempestivo dal momento che la fase di vero e proprio accertamento deve individuarsi non nel momento in cui si ha la mera acquisizione degli atti (che, peraltro, risale alla data di ricezione delle informazioni e dei documenti cha la Società aveva fatto riserva di produrre e non a quella dell’accertamento ispettivo), ma nel momento in cui l’Autorità, esaminati gli stessi, è messa in grado di formare un proprio giudizio(4) tanto più in casi complessi come quello che ci occupa dove le valutazioni giuridiche sono state accompagnate da approfondimenti di carattere tecnico.

Nessuna contestazione invece è stata mossa con riguardo agli accertamenti svolti nel 2018 e 2019, per le seguenti ragioni:

- i pregressi accertamenti avevano riguardato soggetti giuridici diversi dalla Commify Italia S.r.l. (Mobile Solution S.r.l. e Commify Italia S.p.A.);

- l’attività del 2018 aveva un oggetto diverso essendo finalizzata unicamente a verificare le cause di una violazione dei dati personali notificata da un utente della piattaforma Skebby;

- l’attività del 2019, avviata per completare le indagini del 2018 e per verificare quanto riportato da un reclamo, aveva toccato solo in parte alcuni aspetti, oggetto anche del presente procedimento, che tuttavia necessitavano di maggiore approfondimento per essere compiutamente valutati (innanzitutto la conservazione dei dati di traffico e la base giuridica per la conservazione dei contenuti dei messaggi inviati);

- l’effettuazione di una nuova attività ispettiva, anche in ragione della segnalazione di XX, è stata ritenuta una misura di garanzia per la Società dal momento che gli elementi acquisiti nel corso delle precedenti istruttorie, ormai risalenti, erano insufficienti a valutarne compiutamente la condotta.

Ciò considerato, l’eccezione preliminare non può essere accolta e occorre procedere e si procede nel merito.

4.2 Sulle misure adottate per garantire la sicurezza del trattamento dei dati di traffico telematico

Dagli accertamenti svolti è stato possibile verificare che la Società, che opera come fornitore di servizi di comunicazione elettronica accessibili al pubblico, adottava misure di sicurezza, tecniche e organizzative, non adeguate agli elevati rischi, da ritenersi ormai noti, per i diritti e le libertà degli interessati.

Ci si riferisce, in particolare, ai seguenti elementi acquisiti agli atti:

1) i dati di traffico trattati per finalità di giustizia erano conservati negli stessi sistemi informatici utilizzati dalla Società anche per altre finalità, senza che fossero adottate misure di separazione logica o fisica;

2) non erano stati definiti tempi di retention dei dati di traffico differenziati per le diverse finalità (si ricorda che gli artt. 123 e 132 del Codice prevedono che i dati di traffico possano essere trattati per un periodo non superiore ai 6 mesi per la finalità di fatturazione e che i dati di traffico telematico debbano essere conservati per 12 mesi per finalità di giustizia; mentre l’art. 24 della legge 20 novembre 2017, n. 167, ha esteso la conservazione di tali dati a 72 mesi per finalità di accertamento e repressione di talune specifiche tipologie di reato); nei sistemi informatici della Società sono stati rinvenuti dati di traffico telematico generati da più di 12 mesi (a novembre 2021 i dati più risalenti erano di ottobre 2019) ma, come detto, tali sistemi non risultavano separati per le diverse finalità previste dagli artt. 123 e 132 del Codice; peraltro, tenuto conto delle considerazioni sopra esposte in merito alla qualificazione della Società come fornitore di servizi di comunicazione elettronica accessibili al pubblico, non si comprendono le ragioni per le quali Commify abbia ritenuto di poter applicare solo parzialmente le norme in materia di conservazione dei dati di traffico (cfr. documento unico privacy, all. 4 al verbale dell’8 novembre 2021, punto 14.6);

3) l’accesso ai sistemi informatici su cui erano conservati, o comunque trattati, i dati di traffico (e il contenuto dei messaggi), da parte dei soggetti che agiscono sotto la sua autorità (es. operatori di customer care, amministratori di sistema, ecc.), era consentito previo superamento di una procedura di autenticazione informatica a un solo fattore; ciò, sia a livello sistemistico che applicativo;

4) i dati di traffico trattati per finalità di giustizia non erano protetti con tecniche crittografiche che consentissero di renderli intelligibili a chi non fosse autorizzato ad accedervi, essendo gli stessi memorizzati in chiaro sia all’interno dei database che sui file system dei sistemi informatici della Società;

5) la trasmissione dei dati tra sistemi informatici di alcuni clienti e della Società avveniva mediante protocolli di comunicazione non sicuri (http), esponendo in tal modo i dati trasmessi (ivi incluse le credenziali di autenticazione informatica necessarie per l’utilizzo delle API) a rischi di acquisizione o manipolazione illecita;

6) le operazioni compiute sui sistemi informatici contenenti i dati di traffico, da parte dei soggetti che agivano sotto l’autorità della Società, non erano registrate, ad eccezione di quelle relative agli accessi logici (login); peraltro, la Società non conservava i file di log di tale ultima tipologia di operazioni con procedure informatiche in grado di attestare la loro integrità;

7) i dati di traffico generati da più di sei mesi erano messi a disposizione dei clienti sulla base di una specifica richiesta; tale impostazione non è conforme a quanto previsto dall’attuale dettato dell’art. 132, comma 3, del Codice che, a seguito della recente modifica apportata dall’art. 1 del d.l. 30 settembre 2021, n. 132, prevede – per i dati conservati per finalità di giustizia – che “i dati sono acquisiti previa autorizzazione rilasciata dal giudice con decreto motivato”.

La condotta della Società è stata valutata alla luce delle disposizioni di cui agli art. 123, 132 e 132-ter del Codice che dettano specifiche indicazioni in merito alle misure da adottare nella conservazione dei dati di traffico. In particolare, l’art. 132-ter impone ai fornitori di servizi di comunicazione elettronica di adottare, ai sensi dell’art. 32 del Regolamento, misure tecniche e organizzative adeguate al rischio esistente. Al riguardo, si ritiene che le misure e gli accorgimenti a garanzia degli interessati che, con il provvedimento generale del 17 gennaio 2008 in materia di sicurezza dei dati di traffico telefonico e telematico (doc. web n. 1482111), erano stati prescritti dal Garante, debbano essere, allo stato, considerati come misure tecniche e organizzative che un fornitore di servizi di comunicazione elettronica è tenuto ad adottare per garantire un livello di sicurezza adeguato al rischio presentato dal trattamento ai sensi dell’art. 132-ter del Codice e dell’art. 32 del Regolamento. In particolare, con riferimento al caso in esame, occorre considerare che il citato provvedimento del 17 gennaio 2008 prevede, inter alia, che:

il trattamento dei dati di traffico telefonico e telematico da parte dei fornitori deve essere consentito solo ad incaricati specificamente autorizzati e unicamente sulla base del preventivo utilizzo di specifici sistemi di autenticazione informatica basati su tecniche di strong authentication, consistenti nell’uso contestuale di almeno due differenti tecnologie di autenticazione; per i dati di traffico conservati per esclusive finalità di accertamento e repressione dei reati (e generati da più di sei mesi), una di tali tecnologie deve essere basata sull’elaborazione di caratteristiche biometriche dell’incaricato; tali modalità di autenticazione devono essere applicate anche a tutti gli addetti tecnici (amministratori di sistema, di rete, di data base) che possano accedere ai dati di traffico custoditi nelle banche dati del fornitore (par. 7.1);

per quanto concerne i trattamenti di dati di traffico telefonico per esclusive finalità di giustizia, deve essere tenuta preventivamente traccia in un apposito “registro degli accessi” dell’evento, nonché delle motivazioni che lo hanno determinato, con una successiva descrizione sintetica delle operazioni svolte, anche mediante l’utilizzo di sistemi elettronici (par. 7.1);

il fornitore deve definire e attribuire agli addetti al trattamento specifici profili di autorizzazione differenziando le funzioni di trattamento dei dati di traffico per finalità di ordinaria gestione da quelle per finalità di accertamento e repressione dei reati (par. 7.2);

i sistemi informatici utilizzati per i trattamenti di dati di traffico conservati per esclusiva finalità di giustizia devono essere differenti da quelli utilizzati anche per altre finalità (come fatturazione, marketing, antifrode); è tuttavia ammissibile un primo periodo, non superiore ai 6 mesi dalla generazione, durante il quale i dati possono essere trattati con sistemi informatici non esclusivamente riservati alle finalità di giustizia (par. 7.3);

il fornitore deve adottare soluzioni informatiche idonee ad assicurare il controllo delle attività svolte sui dati di traffico da ciascun incaricato del trattamento, quali che siano la sua qualifica, le sue competenze e gli ambiti di operatività e le finalità del trattamento; tali soluzioni comprendono la registrazione, in un apposito audit log, delle operazioni compiute, direttamente o indirettamente, sui dati di traffico e sugli altri dati personali a essi connessi, sia quando consistono o derivano dall’uso interattivo dei sistemi, sia quando sono svolte tramite l’azione automatica di programmi informatici; i sistemi di audit log devono garantire la completezza, l’immodificabilità, l’autenticità delle registrazioni in essi contenute, con riferimento a tutte le operazioni di trattamento e a tutti gli eventi relativi alla sicurezza informatica sottoposti ad auditing (par. 7.6);

i flussi di trasmissione dei dati di traffico tra sistemi informatici del fornitore devono aver luogo tramite protocolli di comunicazione sicuri, basati su tecniche crittografiche, o comunque evitando il ricorso alla trasmissione in chiaro dei dati; protocolli di comunicazione sicuri devono essere adottati anche per garantire più in generale la sicurezza dei sistemi evitando di esporli a vulnerabilità e a rischio di intrusione (par. 7.9).

Tutto ciò premesso, si osserva che la condotta della Società, nei modi descritti prima dell’adozione delle misure correttive, ha integrato la violazione degli artt. 5, par. 1, lett. f), e 32 del Regolamento e degli artt. 123, 132 e 132-ter del Codice.

Si deve comunque dare atto del tempestivo intervento della Società che, allo stato, ha dichiarato di aver adottato misure correttive per tutti i profili di violazione sopra riportati. Pertanto, non si ritiene di dover esercitare poteri correttivi al riguardo. Tuttavia, in ragione delle violazioni rilevate, si ritiene di dover adottare nei confronti della stessa Società un’ordinanza ingiunzione, ai sensi dell’artt. 58, par. 2, lett. i), del Regolamento.

4.3 Sulla conservazione del contenuto dei messaggi

La Società, sia nel corso delle attività ispettive svolte nel mese di novembre 2021, sia nella nota integrativa del 30 novembre 2021, ha dichiarato di conservare il contenuto degli sms “…perché ritiene di esservi obbligata per legge, stante il combinato disposto degli artt. 121, 123 e 132 del Codice, dai quali emerge che il contenuto dell’SMS è un dato di traffico e come tale va trattato e conservato”.

A tal proposito si osserva che l’art. 121, comma 1-bis, lett. h), del Codice definisce i dati relativi al traffico come “qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione”. Tale generica definizione può essere compiutamente applicata solo integrandola – in combinato disposto con i principi di proporzionalità e minimizzazione dei dati – con le finalità, espresse nei successivi artt. 123 e 132, che ammettono una conservazione dei dati di traffico in deroga al generale obbligo di cancellazione.

L’art. 123 del Codice, infatti, prevede che i dati di traffico siano cancellati quando non più necessari alla trasmissione della comunicazione, ferma restando la possibilità di conservarli per un massimo di sei mesi per la verifica della fatturazione oppure, con il consenso dell’utente, per la commercializzazione di servizi. È evidente che, per l’elaborazione della fattura e per la contestazione della stessa, il contenuto del messaggio non ha alcuna rilevanza e pertanto non ha motivo di essere conservato. Al riguardo, Commify ha precisato di aver utilizzato il contenuto dei messaggi anche per verificare la fatturazione poiché, superato il numero massimo di caratteri per messaggio, viene addebitato il costo di due sms. Tale giustificazione non è tuttavia condivisibile dal momento che le odierne soluzioni tecniche consentono di fare tali conteggi automaticamente senza dover visualizzare il messaggio.

Nell’ambito dei servizi a valore aggiunto (art. 121, comma 1-bis, lett. l), del Codice), invece, è possibile la conservazione del contenuto dei messaggi ma solo con il consenso dell’utente rilasciato ai sensi dell’art. 123, comma 3, del Codice. Nell’impostazione adottata da Commify, invece, la conservazione del contenuto veniva imposta da Commify stessa – sulla base dell’erronea presunzione di dover adempiere ad un obbligo di legge (di cui si dirà più in dettaglio in seguito) – mentre non veniva recepita la volontà del cliente di non conservare tali dati (come nel caso segnalato dal cliente XX). Peraltro, tenuto conto che la finalità della conservazione è legata all’erogazione di un servizio a valore aggiunto al cliente, l’accesso a tali dati dovrebbe essere consentito solo a quest’ultimo e non anche agli incaricati della Commify. Da quanto verificato in atti, invece, il contenuto dei messaggi era visualizzabile dagli incaricati della Società ed era invece reso disponibile al cliente solo dietro specifica richiesta.

Con riguardo all’art. 132 del Codice, il suo comma 1, nell’estendere i termini di conservazione dei dati di traffico per finalità di accertamento e repressione dei reati, menziona espressamente l’esclusione dei contenuti delle comunicazioni(5). Tale esclusione è ribadita al successivo comma 4-ter.

Si veda anche il considerando 15 della direttiva 2002/58/CE che, nel definire i dati di traffico, menziona unicamente dati esterni alla comunicazione, nonché l’art. 5 della stessa direttiva in base al quale “Gli Stati membri assicurano, mediante disposizioni di legge nazionali, la riservatezza delle comunicazioni effettuate tramite la rete pubblica di comunicazione e i servizi di comunicazione elettronica accessibili al pubblico, nonché dei relativi dati sul traffico. In particolare essi vietano l’ascolto, la captazione, la memorizzazione e altre forme di intercettazione o di sorveglianza delle comunicazioni, e dei relativi dati sul traffico, ad opera di persone diverse dagli utenti”.

La direttiva 2006/24/CE – ancorché invalidata dalla CGUE per l’insufficiente garanzia offerta dalla conservazione generalizzata – resta comunque un importante punto di riferimento, in chiave interpretativa, per i principi e le definizioni e, nel caso di specie, fornisce un utile chiarimento del perimetro di dati da conservare; all’art. 5, infatti, è fornito un elenco delle categorie di dati da conservare con espressa esclusione del contenuto delle comunicazioni.

Chiarimenti in tal senso sono stati forniti anche dal Garante con il citato provvedimento generale del 17 gennaio 2008.

Sulla base del quadro normativo appena descritto, è di tutta evidenza che nessuna norma di legge impone la conservazione dei contenuti delle comunicazioni che, anzi, risulta espressamente vietata(6) a meno che non sia autorizzata dall’utente con specifico consenso per l’erogazione di servizi a valore aggiunto ai sensi dell’art. 123, comma 3, del Codice. Tale ultimo requisito del consenso potrebbe essere tenuto in considerazione proprio in relazione alle caratteristiche del servizio fornito da Commify dal momento che il cliente, a differenza dei servizi telefonici tradizionali, non ha a disposizione un proprio dispositivo dove poter visualizzare i messaggi inviati; pertanto potrebbe rendersi necessario un servizio – accessorio all’invio e specificamente richiesto dal cliente – di conservazione di tali messaggi che Commify potrebbe fornire in qualità di responsabile del trattamento (qualifica che già riveste nei confronti dei propri clienti). Inoltre, nel rispetto dei principi di proporzionalità e minimizzazione dei dati, è opportuno che l’accesso in visualizzazione di tali messaggi sia riservato al cliente e sia invece inibito agli incaricati di Commify.

Tutto ciò premesso, è evidente che la conservazione dei contenuti dei messaggi è stata effettuata in assenza di un’idonea base giuridica non solo perché fondata sull’erronea convinzione di dover adempiere a un obbligo di legge (nonostante la chiarezza di un dettato normativo vigente da anni), ma anche perché pur richiamando il consenso (nell’informativa privacy) come presupposto per la commercializzazione del servizio, di fatto privava tale consenso del fondamentale requisito della libertà (il contraente era obbligato a prestare il consenso e non poteva opporsi al trattamento). Tale profilo è stato anche confermato dalle doglianze della XX. Da tale erroneo presupposto discende altresì il mancato rispetto dei principi di limitazione delle finalità e di minimizzazione dei dati dal momento che il contenuto dei messaggi, che in assenza di consenso dell’utente dovrebbe essere cancellato dopo l’invio, veniva ulteriormente conservato senza necessità per finalità diverse da quelle che hanno determinato l’originario trattamento.

Per tali ragioni si ravvisa la violazione degli artt. 5, par. 1, lett. a), b) e c), e 6 del Regolamento e degli artt. 123 e 132 del Codice.

Anche in questo caso la Società è tempestivamente intervenuta per adottare misure in grado di garantire l’accesso al contenuto dei messaggi solo ai clienti che vi abbiano espressamente acconsentito, inibendolo ai propri incaricati. Pertanto, non si ritiene di dover esercitare poteri correttivi. Tuttavia, in ragione delle violazioni rilevate, si ritiene di dover adottare nei confronti della stessa Società un’ordinanza ingiunzione, ai sensi dell’artt. 58, par. 2, lett. i), del Regolamento. 

4.4 Sui controlli automatizzati sugli sms per finalità antifrode

La Società effettuava una scansione del contenuto delle comunicazioni e dell’alias utilizzato per l’invio al fine di prevenire un uso fraudolento dei suoi servizi, con blocco immediato della spedizione da parte dei sistemi di controllo. La Società, nel corso delle attività ispettive, ha motivato tale condotta con la necessità di evitare coinvolgimenti in eventuali attività giudiziarie avviate contro terzi con conseguente aggravio della propria attività lavorativa, tenuto conto della sempre maggiore frequenza con cui si verificano utilizzi fraudolenti dei servizi digitali (furto di credenziali, phishing, spamming, ecc.).

Se è pur vero che tali fenomeni sono ormai molto diffusi e sempre più forieri di rischi per gli interessati, è anche vero che non risulta allo stato sussistente uno specifico obbligo in capo ai fornitori di servizi di comunicazione elettronica accessibili al pubblico di effettuare tali verifiche preventive(7). L’interesse pubblico connesso alla necessità di arginare le frodi online potrebbe essere considerato un’idonea base giuridica, ai sensi dell’art. 6, par. 1, lett. e), del Regolamento, solo in presenza di un’apposita fonte legislativa che allo stato non sussiste.

Tale attività non pare trovare neanche fondamento nell’esigenza, e nel corrispettivo diritto/ dovere, del fornitore di servizi di adottare misure di sicurezza volte a proteggere i propri sistemi e a garantire la corretta esecuzione del servizio. Infatti, a differenza della scansione finalizzata alla ricerca di virus o a quanto avviene per i filtri antispam nella posta elettronica, l’invio di sms fraudolenti di norma non dovrebbe comportare conseguenze tecniche per il fornitore di servizi pertanto la scansione semantica delle comunicazioni finalizzata alla repressione di tale tipo di attività illecite (di sicuro riprovevoli ma senza effetti per l’erogazione del servizio) non può essere demandata ad una libera scelta del fornitore di servizi(8) e rischia inoltre di bloccare l’invio di messaggi che potrebbero essere perfettamente leciti, dando luogo ad un’indebita ingerenza nella libertà delle comunicazioni.

Allo stesso tempo, però, non si possono sottovalutare i sempre più probabili rischi connessi all’utilizzo dei servizi digitali. In tale prospettiva si inserisce il contesto normativo dettato dal Regolamento, che introduce tra le cause di giustificazione del trattamento la possibile sussistenza di un legittimo interesse del titolare o di terzi ai sensi dell’art. 6, par. 1, lett. f), del Regolamento. La specifica facoltà di invocare il legittimo interesse nei controlli antifrode è espressamente menzionata nel considerando 47(9). Tuttavia, la possibilità di ricondurre un trattamento al legittimo interesse presuppone l’esistenza di determinati requisiti:

a) la sussistenza di un interesse del titolare o di terzi che deve essere legittimo oltre che collegato ad una situazione concreta e non meramente ipotetica;

b) la necessità di effettuare il trattamento per soddisfare quell’interesse e la proporzionalità dell’intervento;

c) la dimostrazione che il titolare ha effettuato un balancing test per assicurarsi che i diritti e le libertà degli interessati non siano prevalenti sull’interesse legittimo del titolare o di terzi.

Fermo restando che non risulta dalla documentazione in atti che tale tipo di valutazioni siano state effettuate dalla Società, si deve osservare che l’effettuazione di un trattamento altamente pregiudizievole per le libertà degli interessati, come la scansione del contenuto delle comunicazioni con il conseguente blocco delle stesse, non può essere considerata ammissibile solo per tutelare un interesse del titolare del trattamento consistente nel desiderio di evitare un indiretto coinvolgimento in attività giudiziarie, coinvolgimento che è solo meramente ipotetico e che deve comunque considerarsi collegato al rischio di impresa.

Maggiore importanza possono invece avere le conseguenze sui terzi e sugli stessi interessati derivanti dall’uso illecito di tali servizi. A tal riguardo, devono essere tenute in considerazione le disposizioni dell’art. 32 del Regolamento in base al quale il titolare è tenuto ad adottare tutte le misure tecniche e organizzative che ritenga necessarie a garantire un livello di sicurezza adeguato al rischio generato dal trattamento. Seppur non si rinvenga in capo al fornitore di servizi un obbligo generalizzato di effettuare controlli preventivi, si rende necessario, nell’erogazione dei servizi digitali, prestare la massima attenzione ai potenziali rischi connessi all’utilizzo degli stessi, tenendo presente il generale principio di precauzione. In tali termini sono ammesse misure tecniche e organizzative, volte a prevenire o ad arginare l’utilizzo abusivo del servizio, senza tuttavia superare il limite del rispetto dei diritti e delle libertà degli interessati. Ogni misura che comporti un sacrificio di tali diritti e libertà, da considerarsi quale extrema ratio, dovrebbe essere adottata solo se effettivamente necessaria e proporzionata in mancanza di alternative meno pregiudizievoli.

Sulla base dell’esperienza comune si può ipotizzare che i maggiori rischi connessi a tale tipologia di servizio potrebbero derivare dall’utilizzo abusivo di account esistenti da parte di dipendenti infedeli del cliente o da parte di terzi(10); meno probabile dovrebbe essere l’attivazione di nuovi account direttamente da parte di agenti malevoli (che, per riuscire nell’intento, dovrebbero aggirare il sistema di identificazione). Dunque, nell’ottica di un bilanciamento degli interessi e nel rispetto dei principi di necessità e proporzionalità, le soluzioni volte a prevenire o ad arginare l’utilizzo abusivo del servizio andrebbero innanzitutto ricercate tra le misure volte a prevenire gli accessi non autorizzati agli account dei clienti; stesso valore preventivo potrebbe essere ottenuto attraverso il rafforzamento delle misure volte a bloccare l’utilizzo di alias collegabili a potenziali intenti fraudolenti (possibilmente) prima del confezionamento del messaggio stesso.

Infine, tale trattamento potrebbe essere oggetto di un servizio a valore aggiunto offerto a quei clienti che vogliano maggiori garanzie a protezione del proprio account al fine di prevenire utilizzi impropri da parte di propri incaricati o in caso di accesso di terzi non autorizzati. In tal caso è evidente che tale tipo di trattamento dovrebbe essere basato su un consenso libero e specifico dell’utente.

Richiamando le considerazioni già espresse in merito alla conservazione del contenuto delle comunicazioni, si ritiene che anche nel caso del controllo automatizzato del testo dei messaggi – in assenza delle necessarie cautele – si abbia un’eccessiva ingerenza nella riservatezza e nella libertà delle comunicazioni. Ciò in quanto la scansione del contenuto del messaggio alla ricerca di parole chiave presuppone comunque un esame dell’intero testo e comporta, come conseguenza, il blocco immediato dell’invio.

Pertanto, la scelta delle misure da adottare deve essere preceduta da accurate valutazioni da parte del titolare, ricordando che ogni trattamento deve essere effettuato in presenza di un’idonea base giuridica.

Da quanto emerso in atti, non risulta che Commify abbia effettuato tale tipo di valutazioni, limitandosi a ritenere il proprio operato conforme alle prassi in uso nel mercato di riferimento e invocando genericamente un legittimo interesse solo nella memoria difensiva del 4 maggio 2022, senza tuttavia documentare la sussistenza dei requisiti indicati sopra per l’applicazione di tale legittimo interesse. Peraltro, non risulta individuata dal titolare alcuna base giuridica per tale tipo di trattamento (non essendo possibile rinvenire indicazioni in merito né dall’informativa sul trattamento dei dati personali, né dal registro delle attività di trattamento né dal documento denominato “Documento unico privacy”) e, come descritto sopra, nessuna delle basi giuridiche previste dall’art. 6 del Regolamento risulta correttamente applicata o applicabile al caso di specie, nei termini in cui il trattamento è impostato: il consenso non può essere espresso in maniera libera e specifica; il trattamento al momento non risulta necessario per l’esecuzione di un contratto; non è previsto alcun obbligo di legge che imponga al titolare di effettuare controlli preventivi sul contenuto dei messaggi o che renda necessario il trattamento per l’esecuzione di un compito di pubblico interesse; l’applicazione della base giuridica del legittimo interesse è ammessa solo in presenza di determinati requisiti che, nel caso in questione, non sembrano presenti o non sono stati sufficientemente ponderati e giustificati, né tantomeno documentati.

Si deve comunque ricordare che l’attività di prevenzione delle frodi non può definirsi illecita di per sé e può essere effettuata sulla base del legittimo interesse all’esito di più compiute valutazioni che tengano conto della necessità e proporzionalità del trattamento, dell’assenza di alternative, del bilanciamento dei contrapposti interessi e delle modalità più efficaci e meno invasive per effettuare tale trattamento. Del resto la stessa Commify ha osservato che, da quando era in atto il meccanismo di controllo preventivo, l’invio di sms fraudolenti si era azzerato.

Pertanto, il trattamento risulta illecito in quanto effettuato in assenza di un’idonea base giuridica in violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento.

Tuttavia, tenuto conto dell’assenza di dolo e anzi della buona fede, dimostrata anche dal fatto che la Società non avrebbe avuto un vantaggio economico da tale attività, considerato che per lo più il trattamento ha riguardato persone giuridiche, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, si ritiene sufficiente rivolgere alla Società un ammonimento in merito alle violazioni riscontrate invitandola ad effettuare più compiute valutazioni della base giuridica e delle modalità del trattamento nel caso in cui intendesse eseguire controlli antifrode in futuro.

4.5 Sulla protezione dei dati fin dalla progettazione e per impostazione predefinita

In base al principio della “protezione dei dati fin dalla progettazione” (art. 25, par. 1, del Regolamento), il titolare del trattamento è tenuto ad attuare i principi di protezione dei dati (art. 5 del Regolamento) adottando misure tecniche e organizzative adeguate e integrando nel trattamento le necessarie garanzie per soddisfare i requisiti del Regolamento e tutelare i diritti e le libertà degli interessati. L’obbligo di mantenere, verificare e aggiornare, ove necessario, il trattamento si applica anche ai sistemi preesistenti. Ciò implica che i sistemi progettati prima dell’entrata in vigore del Regolamento devono essere sottoposti a verifiche e manutenzione per garantire l’applicazione di misure e garanzie che mettano in atto i principi e i diritti degli interessati in modo efficace (cfr. le “Linee guida 4/2019 sull’articolo 25 - Protezione dei dati fin dalla progettazione e per impostazione predefinita” adottate dal Comitato europeo per la protezione dei dati il 20 ottobre 2020, spec. punti 7 e 38).

Inoltre, il principio della “protezione dei dati per impostazione predefinita” (art. 25, par. 2, del Regolamento) impone al titolare del trattamento di effettuare scelte tali da garantire che venga effettuato, per impostazione predefinita, solo il trattamento strettamente necessario per conseguire una specifica e lecita finalità. Ciò significa quindi che, per impostazione predefinita, il titolare del trattamento deve prevedere limitazioni, sia ai soggetti abilitati all’accesso, sia alla tipologia di accesso ai dati personali, sulla base di una valutazione della necessità, nonché prevedere che i dati non più necessari ai fini del trattamento siano cancellati o resi anonimi (cfr. le citate “Linee guida 4/2019 sull’articolo 25”, spec. punti 42, 53 e 55).

Con riferimento al caso in esame, in relazione al principio di “liceità, correttezza e trasparenza” (art. 5, par. 1, lett. a), del Regolamento), si rappresenta che il titolare deve identificare una base giuridica valida per il trattamento dei dati personali (cfr. le citate “Linee guida 4/2019 sull’articolo 25”, spec. punto 67). In particolare:

al trattamento deve essere applicata la corretta base giuridica;

la base giuridica deve essere stabilita prima che il trattamento abbia luogo ed essere chiaramente connessa alla specifica finalità di trattamento.

Con riferimento al principio di “limitazione della finalità” (art. 5, par. 1, lett. b), del Regolamento), il titolare deve raccogliere dati per finalità specifiche, esplicite e legittime e non trattarli ulteriormente in modo incompatibile con le finalità per le quali sono stati raccolti (cfr. le citate “Linee guida 4/2019 sull’articolo 25”, spec. punto 71). In particolare:

le finalità legittime devono essere determinate prima della progettazione del trattamento;

la finalità del trattamento deve orientare la progettazione del trattamento e determinarne i limiti;

la finalità deve determinare quali sono i dati personali necessari per il trattamento;

il titolare dovrebbe verificare periodicamente se il trattamento sia necessario per le finalità per le quali sono stati raccolti i dati e testare la progettazione di tale trattamento con riguardo al principio di limitazione delle finalità.

Con riferimento invece al principio di “minimizzazione dei dati” (art. 5, par. 1, lett. c), del Regolamento), il titolare deve predeterminare caratteristiche e parametri dei sistemi di trattamento, al fine di garantire che solo i dati personali che sono adeguati, pertinenti e limitati a quanto necessario per la finalità siano sottoposti a trattamento (cfr. le citate “Linee guida 4/2019 sull’articolo 25”, spec. punto 73). In particolare:

la quantità di dati personali raccolti deve essere limitata a ciò che è necessario per la specifica finalità;

occorre definire il trattamento dei dati in modo tale che un numero minimo di persone abbia bisogno di accedere ai dati personali per esercitare le proprie funzioni, e limitare l’accesso di conseguenza;

ogni categoria di dati personali deve essere necessaria per le finalità specificate e deve essere trattata soltanto se non è possibile conseguire la specifica finalità con altri mezzi.

Con riferimento infine al principio di “integrità e riservatezza” (art. 5, par. 1, lett. f), del Regolamento), il titolare deve valutare costantemente se stia utilizzando, in qualunque momento, i mezzi appropriati di trattamento e se le misure adottate contrastino effettivamente le vulnerabilità esistenti (cfr. le citate “Linee guida 4/2019 sull’articolo 25”, spec. punti 84 e 85). In particolare, il titolare deve:

valutare i rischi per la sicurezza dei dati personali, considerando l’impatto sui diritti e le libertà degli interessati, e contrastare efficacemente quelli identificati;

effettuare revisioni periodiche delle misure di sicurezza poste a presidio e tutela dei dati personali;

tenere conto non appena possibile dei requisiti di sicurezza nella progettazione e nello sviluppo del sistema, integrando e svolgendo costantemente test pertinenti;

definire il trattamento dei dati in modo tale che un numero minimo di persone abbia bisogno di accedere ai dati personali per svolgere le proprie funzioni, e limitare l’accesso di conseguenza;

proteggere i dati personali da modifiche e accessi non autorizzati e accidentali, sia durante il loro trasferimento che durante la loro conservazione.

Da quanto emerso in atti (cfr. paragrafi 4.2, 4.3 e 4.4), non risulta che la Società abbia adottato, in ossequio ai principi della “protezione dei dati fin dalla progettazione” e della “protezione dei dati per impostazione predefinita”, misure e garanzie adeguate per attuare efficacemente i principi di “liceità, correttezza e trasparenza”, di “limitazione della finalità”, di “minimizzazione dei dati” e di “integrità e riservatezza” (art. 5, par. 1, lett. a), b), c) e f), del Regolamento), tenendo conto anche dei rischi per i diritti e le libertà degli interessati derivanti dai trattamenti in esame.

Per tali ragioni si ravvisa la violazione dell’art. 25, parr. 1 e 2, del Regolamento.

Tuttavia, avuto riguardo al fatto che gli effetti di tale violazione sono già stati considerati come oggetto di sanzione ai punti indicati sopra, tenuto conto delle misure correttive già apportate dalla Società, si ritiene sufficiente rivolgere a Commify un ammonimento, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, in merito alle violazioni riscontrate e, affinché non si ripetano condotte analoghe a quelle sopra evidenziate, si richiama la necessità di effettuare periodicamente delle valutazioni al fine di controllare l’adeguatezza delle misure tecniche e organizzative adottate o di futura adozione.

5. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

In base a quanto sopra rappresentato, risultano violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati da Commify, per cui occorre applicare l'art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave con conseguenziale applicazione della sola sanzione prevista dall’art. 83, par. 5, del Regolamento.

Ai fini della quantificazione della sanzione amministrativa il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.

In adempimento di tale previsione, nel caso di specie, verificato, sulla base dell’ultimo bilancio disponibile, il ricorrere della prima ipotesi prevista dal citato art. 83, par. 5 e quantificato quindi in 20 milioni di euro il massimo edittale applicabile, devono essere considerate le seguenti circostanze aggravanti:

1. l’ampia portata dei trattamenti estesi alla generalità dei clienti dei servizi della piattaforma Skebby relativi a circa 7.250 clienti, persone fisiche e persone giuridiche, tra ottobre 2018 e ottobre 2021 come risulta dall’allegato 5 al verbale dell’8 novembre 2021 (art. 83, par. 2, lett. a), del Regolamento);

2. la gravità delle violazioni rilevate, in ragione del fatto che, per l’inadeguatezza delle misure di sicurezza, sono stati esposti a violazione una tipologia di dati personali (i dati di traffico telefonico e i contenuti delle comunicazioni) per i quali il legislatore, in considerazione dell’elevato pregiudizio derivante dal trattamento, ha predisposto delle norme di carattere speciale a tutela della conservazione (art. 83, par. 2, lett. a), del Regolamento);

3. il grado di responsabilità del titolare del trattamento, tenuto conto che le misure tecniche e organizzative utilizzate per la conservazione dei dati di traffico telematico non sono risultate adeguate allo stato dell’arte, nonostante le prescrizioni del Garante siano da considerarsi ormai ampiamente note fra gli operatori dei servizi di comunicazione elettronica, in quanto impartite con un provvedimento generale del 2008, più volte oggetto di specifici provvedimenti applicativi (art. 83, par. 2, lett. d), del Regolamento);

4. le categorie di dati personali interessate dalla violazione, appartenenti anche a categorie particolari (informazioni sullo stato di salute o sull’appartenenza a un partito politico), presenti nei messaggi conservati da Commify (art. 83, par. 2, lett. g), del Regolamento);

5. la maniera in cui l’Autorità di controllo ha preso conoscenza delle violazioni, emerse nel corso di un’attività ispettiva (art. 83, par. 2, lett. h), del Regolamento).

Quali elementi attenuanti, si ritiene di dover tener conto:

1. delle intenzioni della Società che, sulla base di quanto acquisito in atti, non paiono volte a realizzare consapevolmente gli effetti delle condotte contestate e sono piuttosto riconducibili ad un’applicazione negligente e a tratti ingenua delle norme; ciò anche tenuto conto delle modifiche societarie intervenute negli ultimi anni e della conseguente necessità di integrare sistemi e procedure aziendali diverse (art. 83, par. 2, lett. k), del Regolamento);

2. del grado di consapevolezza della Società in merito all’effettiva portata delle violazioni in ragione della particolare natura del servizio fornito tale da non consentire un’immediata riconduzione dell’attività di Commify agli oneri applicabili ai servizi di comunicazione elettronica accessibile al pubblico e (art. 83, par. 2, lett. k), del Regolamento);

3. dell’assenza di un ritorno economico dalle violazioni ma, anzi, dell’aggravio di costi sostenuti per la conservazione di volumi di dati relativi ai contenuti delle comunicazioni nell’erronea convinzione di dover adempiere a un obbligo di legge (art. 83, par. 2, lett. k), del Regolamento);

4. della tempestiva adozione di misure correttive, alcune delle quali già avviate prima degli accertamenti ispettivi del 2021 (art. 83, par. 2, lett. f), del Regolamento);

5. dell’elevato grado di cooperazione nell’interazione con l’Autorità di controllo (art. 83, par. 2, lett. f), del Regolamento);

6. dei dati dell’ultimo bilancio disponibile e delle rilevanti perdite economiche con conseguente aumentato indebitamento, come rappresentato dalla Società nell’allegato n. 8 alla memoria difensiva (art. 83, par. 2, lett. k), del Regolamento).

In una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa, tenuto conto che la Società, e in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, occorre valutare prudentemente i suindicati criteri, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società.

Pertanto si ritiene che - in base al complesso degli elementi sopra indicati, debba applicarsi alla Commify la sanzione amministrativa del pagamento di una somma pari allo 0,4% della sanzione edittale massima di 20 milioni di euro, corrispondente a euro 80.000,00 (ottantamila). La sanzione edittale massima è individuata con riferimento al disposto dell’art. 83, par. 5, del Regolamento, tenuto conto che il 4% del fatturato di Commify, sulla base dell’ultimo bilancio disponibile, risulta inferiore ai 20 milioni di euro.

Si rileva che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Si ritiene altresì – in considerazione della serietà delle violazioni rilevate - che, ai sensi dell’art. 166, comma 7, del Codice, e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito web del Garante, a titolo di sanzione accessoria.

TUTTO CIÒ PREMESSO, IL GARANTE

nei confronti di Commify Italia S.r.l., con sede legale in Via Manzoni 38, Milano, P.IVA. 01648790382,

a) ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, rivolge un ammonimento in merito alle violazioni riscontrate al punto 4.4 invitandola ad effettuare più compiute valutazioni della base giuridica e delle modalità del trattamento nel caso in cui intendesse eseguire controlli antifrode in futuro;

b) ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, rivolge un ammonimento in merito alle violazioni riscontrate al punto 4.5 e, affinché non si ripetano condotte analoghe a quelle sopra evidenziate, richiama la necessità di effettuare periodicamente delle valutazioni al fine di controllare l’adeguatezza delle misure tecniche e organizzative adottate o di futura adozione;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, alla Commify Italia S.r.l., in persona del suo legale rappresentante, di pagare la somma di euro 80.000,00 (ottantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 80.000,00 (ottantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 11 gennaio 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei

 

NOTE

1) A tal proposito si richiamano i principi espressi nella direttiva (UE) 2018/1972, cons. 15, di recente recepita nel novellato Codice delle comunicazioni elettroniche: “Al fine di garantire che gli utenti finali e i loro diritti siano efficacemente e ugualmente tutelati quando utilizzano servizi equivalenti dal punto di vista funzionale, una definizione dei servizi di comunicazione elettronica che sia orientata al futuro dovrebbe basarsi su un approccio funzionale anziché esclusivamente sui parametri tecnici”.

2) Nella lista dei clienti 2019-2021, acquisita agli atti, risultano anche persone fisiche (cfr. all. 5 al verbale dell’8 novembre 2021).

3) Regolamento n. 2/2019 concernente l’individuazione dei termini e delle unità organizzative responsabili dei procedimenti amministrativi presso il Garante per la protezione dei dati personali (pubblicato in G.U. n. 107 del 9 maggio 2019 e in www.garanteprivacy.it doc. web n. 9107640).

4) In tali termini cfr. anche Cons. Stato, sent. 1330/2015, che la stessa Commify ha citato nella memoria difensiva, nonché, ex plurimis, Cass. Civ. sez. II n. 21333 del 29.8.2018, Cass. civ. 17 agosto 2016, n. 17143, Cass civ. sez. lav. n. 22837 del 28/10/2014, Consiglio di Stato sez. VI, n. 4085 del 05/08/2013.

5) Art. 132, comma 1, del Codice: “fermo restando quanto previsto dall’art. 123, comma 2, i dati relativi al traffico telefonico sono conservati dal fornitore per ventiquattro mesi dalla data della comunicazione, per finalità di accertamento e repressione dei reati, mentre, per le medesime finalità, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, sono conservati dal fornitore per dodici mesi dalla data di comunicazione”.

6) Cfr. art. 132 del Codice. Inoltre, l’accesso ai contenuti delle comunicazioni potrebbe configurare un’indebita ingerenza nella vita privata in violazione dell’art. 8 della Convenzione Europea dei Diritti dell’Uomo, come più volte chiarito dagli interventi della Corte di giustizia dell’Unione europea.

7) Cfr. artt. 14 e ss. d.lgs. 9 aprile 2003, n. 70.

8) Cfr. parere sugli aspetti di tutela della vita privata inerenti ai servizi di screening dei messaggi di posta elettronica (WP 118), adottato dal Gruppo di lavoro Articolo 29 il 21 febbraio 2006.

9) Cfr. Linee guida 2/2019 sul trattamento di dati personali ai sensi dell’articolo 6, paragrafo 1, lettera b), del regolamento generale sulla protezione dei dati nel contesto della fornitura di servizi online agli interessati, adottate dal Comitato europeo per la protezione dei dati il 8 ottobre 2019, che richiamano il parere n. 6/2014 sul concetto di interesse legittimo del titolare del trattamento ai sensi dell’articolo 7 della direttiva 95/46/CE (WP 217), adottato dal Gruppo di lavoro Articolo 29 il 9 aprile 2014, che evidenzia che “il trattamento per finalità di prevenzione delle frodi può comportare il monitoraggio e la profilazione dei clienti. Secondo il comitato europeo per la protezione dei dati è probabile che tale trattamento ecceda quanto oggettivamente necessario all’esecuzione di un contratto stipulato con un interessato. Tuttavia il trattamento dei dati personali strettamente necessario per finalità di prevenzione delle frodi può costituire un legittimo interesse del titolare del trattamento e può quindi essere considerato lecito se il titolare soddisfa i requisiti specifici di cui all’articolo 6, paragrafo 1, lettera f)”.

10) Come già avvenuto nel 2018 in occasione della violazione dei dati personali che aveva coinvolto un cliente dei servizi della piattaforma Skebby il cui account, oggetto di un accesso abusivo, era stato utilizzato per veicolare in maniera massiva sms di phishing.