Garante per la protezione
    dei dati personali


Ordinanza di ingiunzionenei confronti di NGI s.p.a.

PROVVEDIMENTO DEL 4OTTOBRE 2011

Registro dei provvedimenti
n. 366 del 4ottobre 2011

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del prof. Francesco Pizzetti,presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. MauroPaissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele DePaoli, segretario generale;

ESAMINATO il rapporto dell'Ufficio del Garante per la protezione deidati personali predisposto ai sensi dell'art. 17 della legge 24 novembre 1981,n. 689, relativo al verbale di contestazione per violazioni amministrativeredatto in data 18 novembre 2009 nei confronti di NGI s.p.a., con sede inSettimo Milanese (Mi), via Darwin n. 85, in persona del legale rappresentantepro-tempore, per violazione degli artt. 33, 132, comma 1 e 154, comma 1, lett.c),  del Codice in materia di protezione dei dati personali (di seguitodenominato Codice);

RILEVATO che il Nucleo speciale privacy della Guardia di finanza, inesecuzione di un'attività ispettiva effettuata ai sensi dell'art. 158 delCodice delegata dal Garante, ha svolto gli accertamenti di cui ai verbali dioperazioni compiute datati 15 e 16 settembre 2009, dai quali è risultato cheNGI s.p.a.: a) non ha effettuato le designazioni degli incaricati deltrattamento, previste dall'art. 30 del Codice, nei confronti di tutti idipendenti che hanno accesso ai dati di traffico e non ha redatto il documentoprogrammatico sulla sicurezza (DPS) previsto dalla regola 19 del Disciplinaretecnico in materia di misure minime di sicurezza; b) i dati raccolti per lefinalità di cui all'art. 132 del Codice (accertamento e repressione dei reati)relativi al traffico telematico dei propri clienti (dati relativi all'inizio ealla fine della sessione, all'indirizzo IP dell'autore della connessione, aivolumi di traffico telematico in ingresso e in uscita) sono stati conservati apartire dall'anno 2001 senza che sia mai stata effettuata alcuna cancellazionedegli stessi; c) non ha osservato le prescrizioni impartite dal Garante con ilprovvedimento del 17 gennaio 2008, già efficace dal 1 maggio 2009;

VISTO il provvedimento prescrittivo del Garante datato 21 ottobre2009;

VISTO il verbale nr. 25248/65244 del 18 novembre 2009 con cui sonostate contestate alla predetta società le violazioni amministrative previstedagli artt. 162, comma 2-bis e ter nonché dall'art. 162 bis del Codice, inrelazione agli artt. 33, 132, comma 1 e 154, comma 1, lett. c), informandoladella facoltà di effettuare, con esclusione della violazione prevista dall'art.33 e sanzionata dall'art. 162, comma 2 bis non definibile in via breve, ilpagamento in misura ridotta ai sensi dell'art. 16 della legge n. 689/1981;

RILEVATO dal predetto rapporto che risulta essere stato effettuato ilpagamento in misura ridotta per la sola violazione prevista dall'art. 132,comma 1 e sanzionata dall'art. 162-bis del Codice;

VISTO lo scritto difensivo datato 30 dicembre 2009, inviato ai sensidell'art. 18 della legge n. 689/1981 nel quale la società, chiedendol'annullamento della sanzione di cui all'art. 162, comma 2-ter e l'applicazionedel minimo edittale per le altre sanzioni contestate, relativamente allaviolazione dell'art. 33 sanzionata dall'art. 162, comma 2-bis, ha rappresentatoche "Nelle more dell'attività di NGI di ottemperanza alle prescrizioni inmateria di misure di sicurezza (commissionate allo studio di consulenzaIntegrated Managment Sistems s.a.s.), sono intervenuti i due accertamenti delGarante privacy i quali, all'epoca dei fatti, non hanno potuto far altro checonstatare la violazione di cui al punto c) del provvedimento sanzionatorio,benchè NGI () si fosse già attivata al fine di adempiere alle prescrizioniregolamentari in tema"; visto che la società, con riferimento allaviolazione dell'art. 154, comma 1, lett. c), sanzionata dall'art. 162, comma2-ter del Codice, ha rilevato che "() il provvedimento del 24 luglio 2008(che si assume essere stato disapplicato dal trasgressore) è stato adottatosulla base degli articoli 17  e 132, comma 5, del Codice della privacyossia su presupposti diversi da quelli previsti dall'art. 162, comma 2-ter(art. 143 del Codice che inerisce il procedimento per i reclami), facendoerroneamente di quest'ultimo un'interpretazione estensiva";

VISTA  la nota datata 28 giugno 2010 con la quale la società harinunciato alla facoltà di essere sentita ai sensi dell'art. 18 della legge n.689/1981;

RITENUTO che le argomentazioni addotte non risultano idonee inrelazione a quanto contestato. Relativamente alla violazione delle misureminime di sicurezza di cui all'art. 33 del Codice, si evidenzia come ladisciplina dell'errore scusabile di cui all'art. 3 della legge n. 689/1981, nonsia applicabile al caso di specie, atteso che non è stato fornito alcunelemento positivo, estraneo all'autore della violazione, idoneo a ingenerarenell'agente l'incolpevole opinione di liceità del suo agire (Cass. Civ., Sez. I11 febbraio 1999 n. 1151). Riguardo la violazione dell'art. 154, comma 1, lett.c), del Codice, inerente l'inosservanza del provvedimento del Garante datato 17gennaio 2008, si rileva come la sanzione amministrativa prevista dall'art. 162,comma 2-ter, in relazione all'espressione contenuta nell'art. 154, comma 1,lett. c), "anche d'ufficio", sia applicabile, come nel caso dispecie, anche alle violazioni dei provvedimenti a carattere generale adottatidal Garante motu proprio e che, pertanto, anche in questo caso non ricorrono ipresupposti applicativi della citata disciplina di cui all'art. 3 della leggen. 689/1981;

RILEVATO, quindi, che la società non ha effettuato le designazionidegli incaricati del trattamento, previste dall'art. 30 del Codice, neiconfronti di tutti i dipendenti che hanno accesso ai dati di traffico e non haredatto il documento programmatico sulla sicurezza (DPS) previsto dalla regola19 del Disciplinare tecnico in materia di misure minime di sicurezza, violandoquanto disposto dall'art. 33 del Codice e non ha osservato le prescrizioniimpartite dal Garante con il provvedimento del 17 gennaio 2008, già efficacedal 1 maggio 2009, disattendendo quanto previsto dall'art. 154, comma 1, lett.c), del Codice;

VISTO l'art. 162, comma 2-bis, del Codice, nella formulazioneantecedente alla modifica apportata con la legge 20 novembre 2009 n. 166, chepunisce la violazione delle disposizioni indicate nell'art. 33 del Codice conla sanzione amministrativa del pagamento di una somma da ventimila euro acentoventimila euro;

VISTO l'art. 162, comma 2-ter del Codice che punisce l'inosservanzadei provvedimenti di prescrizione di misure necessarie di cui all'art. 154,comma 1 lett. c) con la sanzione amministrativa del pagamento di una somma datrentamila euro a centottantamila euro;

CONSIDERATO che, ai fini della determinazione dell'ammontare dellasanzione pecuniaria, occorre tenere conto, ai sensi dell'art. 11 della legge 24novembre 1981 n. 689, dell'opera svolta dall'agente per eliminare o attenuarele conseguenze della violazione, della gravità della violazione, dellapersonalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all'aspetto della gravità, relativamente allacontestazione di cui all'art. 162, comma 2-bis del codice, gli elementidell'entità del pregiudizio o del pericolo, dell'intensità dell'elementopsicologico e della modalità concreta della condotta devono essere valutatialla luce del fatto che il trasgressore ha adempiuto alle prescrizioniimpartite e ha effettuato il pagamento previsto nell'ambito del procedimentoestintivo del reato di cui all'art. 169, comma 2, del Codice. Inoltre la societàsi è attivata in tal senso prima degli accertamenti ispettivi effettuati,mentre, relativamente alla contestazione di cui all'art. 162, comma 2-ter, delCodice, non si rilevano elementi specifici;

b) ai fini della valutazione dell'opera svolta dall'agente, deveessere favorevolmente considerato che la società ha adempiuto alle misurerichieste nell'ambito del procedimento;

c) circa la personalità dell'autore della violazione, deve esserepositivamente considerata la circostanza che la società non risulti avereprecedenti specifici in termini di violazioni alle disposizioni del Codice;

d) in merito alle condizioni economiche dell'agente, al fine dicommisurare l'importo della sanzione alla reale capacità economica deltrasgressore nel rispetto del principio di uguaglianza, si rileva che la società,appartenente alla categoria delle medie imprese, risulta per l'anno 2009 avereconseguito un rilevante utile di esercizio;

RITENUTO di dover determinare, ai sensi dell'art. 11 della legge n.689/1981, l'ammontare della sanzione pecuniaria per la violazione dell'art.162, comma 2-bis, del Codice, in vigore prima della modifica introdotta daldecreto legge 25 settembre 2009 n. 135 convertito con modificazioni dalla legge20 novembre 2009 n. 166, nella misura del minimo pari a un importo di euro20.000,00 (ventimila) e l'ammontare della sanzione pecuniaria per la violazionedell'art. 162, comma 2-ter del Codice nella misura del minimo pari a un importodi euro 30.000,00 (trentamila), per un importo complessivo pari a euro50.000,00 (cinquantamila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni eintegrazioni;

VISTE le osservazioni dell'Ufficio formulate dal segretario generaleai sensi dell'art. 15 del regolamento del Garante n. 1/2000, adottato condeliberazione del 28 giugno 2000;

RELATORE il prof. Francesco Pizzetti;

ORDINA

a NGI s.p.a., con sede in Settimo Milanese (Mi), via Darwin n. 85, inpersona del legale rappresentante pro-tempore, di pagare la somma di euro50.000,00 (cinquantamila) a titolo di sanzione amministrativa pecuniaria per leviolazioni previste dagli artt. 162, comma 2-bis e ter;

INGIUNGE

alla medesima società di pagare la somma di euro 50.000,00(cinquantamila), secondo le modalità indicate in allegato, entro 30 giornidalla notificazione del presente provvedimento, pena l'adozione dei conseguentiatti esecutivi a norma dall'art. 27 della legge 24 novembre 1981, n. 689,prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, siainviata a questa Autorità, in originale o in copia autentica, quietanzadell'avvenuto versamento.

Avverso il presente provvedimento, ai sensi dell'art. 152 del Codice,può essere proposta opposizione davanti al tribunale ordinario del luogo ove hasede il titolare del trattamento entro il termine di trenta giorni dallanotificazione del provvedimento stesso.

Roma, 4 ottobre 2011

Il presidente
Pizzetti

Il relatore
Pizzetti

Il segretario generale
De Paoli