EntiOnLine
Categorie
indietro
05/07/2017 Ordinanza ingiunzione nei confronti di Vodafone Omnitel N.V. - 5 luglio 2017 > Trattamento di dati personali con omissione di misure minime di sicurezza

Con provvedimento in data 5 luglio 2017 (Registro dei provvedimenti n. 306 del 5 luglio 2017) il Garante ha adottato una Ordinanza ingiunzione nei confronti di Vodafone Omnitel N.V. P.Iva: 93026890017, con sede in Ivrea (To), via Jervis n. 13, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 40.000,00 (quarantamila) a titolo di sanzione amministrativa pecuniaria per la violazione di cui all´art. 162, comma 2-bis, come indicato in motivazione;

Continua a leggere

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che la Guardia di finanza, Nucleo speciale privacy, in esecuzione della richiesta di informazioni n. 27057/81750 del 30 ottobre 2012 formulata ai sensi dell´art. 157 del d. lgs. 30 giugno 2003 n. 196, recante il Codice in materia di protezione dei dati personali (di seguito "Codice") ha svolto, formalizzandola con i verbali di operazioni compiute datati 12 e 13 dicembre 2012, un´attività di controllo nei confronti di Vodafone Omnitel N.V. P.Iva: 93026890017, con sede in Ivrea (To), via Jervis n. 13, in persona del legale rappresentante pro-tempore. Tale attività di controllo ha consentito, a fronte della ricezione da parte della Guardia di finanza della nota 9156/13 datata 21 gennaio 2013 a scioglimento delle riserve formulate, di accertare che il sistema di rilevazione degli accessi denominato EBI – Enterprise Buildings Integrator, operativo presso la filiale di Milano, via Kuliscioff n. 34 di Vodafone Omnitel N.V., permette di accedere ai dati personali relativi ai possessori dei badge con un´unica credenziale di autenticazione (di gruppo) "(…) avente profilo di autorizzazione di livello base e composta dall´username (…) e da una password di almeno 8 caratteri alfanumerici", in violazione degli artt. 33 e 34 del Codice;

VISTO il verbale nr. 10/2013 del 27 febbraio 2013 (che qui si intende integralmente richiamato), con cui è stata contestata a Vodafone Omnitel N.V. la violazione amministrativa, non definibile in via breve ai sensi dell´art. 16 della legge 24 novembre 1981, n. 689, prevista dall´art. 162, comma 2-bis del Codice, in relazione all´art. 33;

VISTA la memoria difensiva datata 17 aprile 2013 inviata ai sensi dell´art. 18 della legge n. 689/1981, con la quale Vodafone Omnitel N.V. ha evidenziato come "A seguito dei rilievi formulati dal Garante all´esito delle attività ispettive condotte presso la nostra sede di via Kuliscioff in data 12 e 13 dicembre 2013, Vodafone si è prontamente attivata al fine di recepirne le indicazioni, prima ancora che le fosse notificato l´atto di contestazione. Ciò a conferma dell´assoluta buona fede e della diligenza che hanno ispirato il comportamento di Vodafone". Per quanto sopra, la società ritiene che "(…) la contestazione debba essere archiviata almeno per difetto del presupposto della colpevolezza dell´agente (…)";

CONSIDERATO che le argomentazioni addotte non permettono di escludere la responsabilità di Vodafone Omnitel N.V. in relazione alla contestazione in argomento. Pur considerando come quanto argomentato possa essere certamente tenuto in considerazione in ordine alla quantificazione dell´importo della sanzione, si rileva come, nel caso di specie, non ricorra alcuno degli elementi costitutivi della disciplina sull´errore scusabile comunemente definibile come buona fede, di cui all´art. 3 della legge n. 689/1981, anche in base a quanto asserito dalla giurisprudenza (Cass. Civ. sez. I del 15 maggio 2006 n. 11012; Cass. Civ. sez II del 13 marzo 2006, n. 5426).

RILEVATO, pertanto, che Vodafone Omnitel N.V. ha effettuato un trattamento di dati personali (art. 4 comma 1, lett. a) e b) del Codice), omettendo di adottare le misure minime di sicurezza ai sensi dell´art. 33 del Codice;

VISTO l´art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell´art. 33 del Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore e che pertanto, con specifico riferimento alle condizioni economiche dell´agente, al fine di commisurare l´importo della sanzione alla reale capacità economica del trasgressore nel rispetto del principio di uguaglianza, devono essere apprezzati in termini di aumento della sanzione gli elementi desumibili dal bilancio d´esercizio della società per l´anno 2016, individuati nel volume d´affari della società, l´ammontare della sanzione pecuniaria deve essere quantificato nella misura di euro 20.000,00 (ventimila);

VISTO l´art. 164-bis, comma 4, del Codice che prevede che le sanzioni amministrative di cui al Titolo III, Capo I, del Codice possono essere aumentate fino al quadruplo quando possono risultare inefficaci in ragione delle condizioni economiche del contravventore;

RILEVATO che l´applicazione della predetta sanzione nei confronti di Vodafone Omnitel N.V. risulterebbe inefficace in ragione del volume d´affari rilevabile dal bilancio dell´anno 2016;

RITENUTO pertanto che, nel caso di specie, ricorrano le condizioni per applicare l´aumento della sanzione previsto dall´art. 164-bis, comma 4, del Codice nella misura, ritenuta congrua, pari a euro 40.000,00 (quarantamila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

ORDINA

a Vodafone Omnitel N.V. P.Iva: 93026890017, con sede in Ivrea (To), via Jervis n. 13, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 40.000,00 (quarantamila) a titolo di sanzione amministrativa pecuniaria per la violazione di cui all´art. 162, comma 2-bis, come indicato in motivazione;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 40.000,00 (quarantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d. lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Banca dati