Garante per la protezione
    dei dati personali


Provvedimento del 2 luglio 2003

A seguito di una segnalazione riguardante l'attivazione multipla di schede telefoniche senza il consenso dell'interessata, Il Garante ha rilevato all'interno di un punto vendita, oggetto di accertamento ispettivo, il mancato rispetto delle misure di sicurezza nella conservazione dei  moduli utilizzati per l’attivazione delle schede, contenenti i dati degli intestatari, e della documentazione collegata (fotocopie di documenti di identitą e di carte di credito). Il Garante ha quindi impartito al gestore del punto vendita le necessarie obbligatorie prescrizioni.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del prof. Stefano Rodotą, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dottor Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

VISTO il verbale di operazioni compiute presso Fortegruppo s.r.l, redatto in data 11 febbraio 2003, nel quale sono riportate le attivitą disposte ai sensi dell'art. 32, comma 2, della legge n. 675/1996, volte a conoscere le modalitą con le quali la predetta societą ha provveduto all'attivazione di schede telefoniche, con particolare riferimento alle finalitą del trattamento dei dati personali acquisiti dai clienti dei diversi punti vendita "CENTRO GIOTTO" e alle modalitą di conservazione dei medesimi dati a seguito di una segnalazione riguardante l'attivazione multipla di schede telefoniche OMNITEL senza che l'interessata avesse manifestato il proprio consenso;

CONSIDERATO che, all'atto del predetto accertamento, Ź stata rilevata negli uffici di uno dei punti vendita "CENTRO GIOTTO" la presenza di centinaia di moduli di attivazione di carte telefoniche OMNITEL relativi agli anni 1999, 2000, 2001, 2002, comprensivi di una serie di dati personali appartenenti ai soggetti intestatari delle medesime schede, di fotocopie di documenti di identitą, nonché di carte di credito;

CONSIDERATO che i medesimi moduli sono risultati facilmente accessibili a soggetti non autorizzati e che nessuna misura di sicurezza risulta adottata per prevenire l'accesso non autorizzato alla predetta documentazione (misure, comunque, doverose nonostante la possibile presenza di falsi in relazione a talune attivazioni, accertata con separati atti dell'Ufficio);

CONSIDERATO pertanto che la tenuta di tali schedari risulta non conforme a quanto previsto dall'art. 9, comma 1, lett. b), del d.P.R. n. 318/1999, in quanto i dati ivi contenuti non sono conservati in archivi ad accesso selezionato;

RILEVATO inoltre che l'intero materiale Ź risultato essere collocato alla rinfusa all'interno di scatole di cartone o di armadi metallici trovati aperti al momento dell'accesso del personale ispettivo e che alcuni di essi sono stati trovati anche all'esterno dei locali adibiti ad uso ufficio, posti al di sotto una tettoia;

VISTO l'art. 36 della legge n. 675/1996, secondo cui "Chiunque, essendovi tenuto, omette di adottare le misure necessarie a garantire la sicurezza dei dati personali, in violazione delle disposizioni dei regolamenti di cui ai commi 2 e 3 dell'articolo 15, Ź punito con l'arresto sino a due anni o con l'ammenda da lire dieci milioni a lire ottanta milioni".

VISTA la comunicazione di notizia di reato ai sensi dell'art. 331 c.p.p. per violazione degli artt. 35, comma 1 e 36, della legge n. 675/1996 effettuata dal Dipartimento vigilanza e controllo di questa Autoritą il 20 maggio 2003;

VISTA la procedura indicata nel comma 2 dell'art. 36 della legge n. 675/1996, secondo cui "all'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, Ź impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessitą o per l'oggettiva difficoltą dell'adempimento e comunque non superiore a sei mesi";

VISTI gli artt. 21, 22, 23 e 24, del d.lg. n. 758/1994;

Relatore il prof. Giuseppe Santaniello;

PRESCRIVE CHE

Fortegruppo s.r.l. con sede in Roma, Via Vito Giuseppe Galati, 105, in persona del legale rappresentante pro-tempore, ai fini dell'art. 36, comma 2, della legge n. 675/1996, provveda:

a) entro trenta giorni dalla data di notificazione del presente atto, ad assicurare che l'intera documentazione contenente dati personali relativa agli intestatari delle schede telefoniche comunque risultanti in atti sia conservata in archivi ad accesso selezionato, secondo quanto previsto dall'art. 9, comma 1, lett. b) del d.P.R. n. 318/1999;

b) entro quaranta giorni dalla data di notificazione del presente atto fornisca al Garante riscontro del pieno e completo adempimento alla prescrizione di cui alla precedente lettera a), tenendo presente che le dichiarazioni false fornite a questa Autoritą sono autonomamente sanzionate penalmente ai sensi dell'art. 37-bis della legge n. 675/1996.

Qualora, allo scadere dei termini sopra indicati, Fortegruppo s.r.l. adempia a tali prescrizioni, la stessa sarą ammessa dal Garante a pagare una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione. L'adempimento e il pagamento estingueranno il reato.

Roma, 2 luglio 2003

Il presidente
Rodotà

Il relatore
Santaniello

Il segretario generale
Buttarelli