EntiOnLine
Categorie
indietro
29/03/2018 Ordinanza ingiunzione nei confronti di Fin Solution Italia S.p.a. - 29 marzo 2018 > Trattamento dati personali con omissione delle misure minime di sicurezza

Con provvedimento in data 29 marzo 2018 (Registro dei provvedimenti n. 182 del 29 marzo 2018) il Garante ha adottato una Ordinanza ingiunzione nei confronti di Fin Solution Italia S.p.a., sita in Monza, via Italia n. 28, P.I. 05210220967 in persona del legale rappresentante pro-tempore, di pagare la somma di euro 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria per la violazione di cui all’art. 162, comma 2-bis, come indicato in motivazione;

Continua a leggere

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che il Nucleo speciale privacy della Guardia di finanza, in esecuzione della richiesta di informazioni n. 29887/102969 del 7 ottobre 2016, formulata ai sensi dell’art. 157 del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito denominato “Codice”), ha svolto presso la sede legale di Fin Solution Italia S.p.a. (di seguito “la società”), sita in Monza, via Italia n. 28, P.I. 05210220967, gli accertamenti di cui al verbale di operazioni compiute del 20 ottobre 2016, al fine di acquisire ogni utile informazione e documentazione in relazione ai trattamenti di dati personali effettuati dalla società nell’ambito dell’attività di “mediatore creditizio”;

VISTI gli atti relativi agli accertamenti eseguiti presso la sede della società e la nota inviata dalla stessa in data 5 dicembre 2016, a scioglimento delle riserve formulate nel corso della visita ispettiva, dai quali è risultato, in sintesi, che:

- la società Fin Solution Italia, in qualità di titolare del trattamento ai sensi degli artt. 4 e 28 del Codice, effettua un trattamento di dati personali, riferiti ai clienti che avanzano richieste di finanziamento, per mezzo di PC aziendali;

- l’accesso ai PC è effettuato da tre dipendenti mediante autenticazione al sistema operativo Windows, con credenziali composte da distinte username e password, queste ultime composte di cinque caratteri, nonostante il sistema consentisse di impostare password con un numero di caratteri pari o superiore a otto;

- i desktop dei PC riportavano file riferiti a pratiche di finanziamento dei clienti, comprensive dei loro dati personali;

CONSIDERATO che la società, a fronte del trattamento di dati personali posto in essere con gli strumenti elettronici, non risulta aver adottato le misure di sicurezza descritte nel Disciplinare tecnico di cui all’allegato B) al Codice con riferimento all’impostazione della lunghezza minima delle password;

VISTO il verbale n. 129 del 7 dicembre 2016, che qui integralmente si richiama, con cui è stata contestata a Fin Solution Italia S.p.a., in persona del legale rappresentante pro-tempore, la violazione amministrativa prevista dall’art. 162, comma 2-bis, in relazione all’art. 33 del Codice, per la quale non è prevista la definizione in via breve ai sensi dell’art. 16 della legge 24 novembre 1981 n. 689;

VISTI gli scritti difensivi, inviati in data 3 febbraio 2017 ai sensi dell’art. 18 della legge n. 689/1981, con cui la società ha evidenziato che l’inserimento di credenziali di autenticazione, composte da un numero di caratteri inferiore a otto, come stabilito dalla regola n. 5 del Disciplinare tecnico di cui all’allegato B) al Codice, è necessaria solo per avviare il computer con il programma Windows, mentre “il trattamento dei dati personali (…) avviene tramite software gestionale contenente tutte le informazioni dei clienti e delle relative pratiche di prestito; a tale gestionale non si può accedere direttamente dai predetti computer, in quanto lo stesso gestionale è dotato di una ulteriore password di lunghezza conforme agli standard minimi di sicurezza previsti dal Garante”, come è stato anche verificato nel corso dell’accertamento ispettivo;

RITENUTO che le argomentazioni addotte non sono idonee ad escludere la responsabilità della parte in relazione a quanto contestato. Si rileva che, nel corso dell’accertamento ispettivo del 20 ottobre 2016, gli agenti del Nucleo privacy della Guardia di finanza hanno effettuato gli accessi ai PC aziendali, al fine di conoscere le funzionalità del software utilizzato dalla società per l’espletamento della propria attività. Tali accessi, oltre a mostrare le predette criticità relative alla non conforme impostazione della lunghezza della password, hanno altresì rilevato come il PC, contrariamente a quanto dichiarato dalla parte, contenesse file relativi a pratiche di finanziamento di clienti, comprensive dei loro dati personali, ai quali si accedeva direttamente all’avvio del computer mediante l’inserimento delle credenziali di autenticazione composte da soli cinque caratteri, come risulta dalle stampe delle videate allegate al verbale di operazioni compiute. Pertanto, con riferimento a quanto verificato e documentato, deve essere confermata la violazione delle misure minime di sicurezza, con particolare riferimento all’inosservanza della regola n. 5 del Disciplinare tecnico;

RILEVATO che Fin Solution Italia S.p.a. ha effettuato un trattamento di dati personali (art. 4 comma 1, lett. a) e b) del Codice), omettendo di adottare le misure minime di sicurezza ai sensi dell’art. 33 del Codice;

VISTO l’art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell’art. 33 del Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge 24 novembre 1981 n. 689, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

a Fin Solution Italia S.p.a., sita in Monza, via Italia n. 28, P.I. 05210220967 in persona del legale rappresentante pro-tempore, di pagare la somma di euro 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria per la violazione di cui all’art. 162, comma 2-bis, come indicato in motivazione;

INGIUNGE

alla medesima società di pagare la somma di euro 20.000,00 (ventimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Banca dati