Stangata di 80.000,00 Euro a Commify Italia (gestore piattaforma Skebby per l'invio di SMS) / 1

Rispondi
Giancarlo Favero
Messaggi: 226
Iscritto il: dom gen 24, 2021 6:45 am

Stangata di 80.000,00 Euro a Commify Italia (gestore piattaforma Skebby per l'invio di SMS) / 1

Messaggio da Giancarlo Favero »

Molto molto interessante ed articolato e ben documentato il Provvedimento, con il quale il Garante per la protezione dei dati personali ha irrogato una sanzione amministrative pecuniaria di 80.000,00 Euro a Commify Italia, che gestisce la piattaforma Skebby per l'invio di SMS.

Di seguito trovate il testo integrale del Provvedimento, consultabile anche al seguente link:

https://www.garanteprivacy.it/web/guest ... eb/9864063

Grazie e buona lettura,
Giancarlo Favero

Ordinanza ingiunzione nei confronti di Commify Italia S.r.l. - 11 gennaio 2023

Registro dei provvedimenti
n. 12 dell'11 gennaio 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA

Nei giorni 8 e 9 novembre 2021 è stata effettuata un’attività ispettiva nei confronti di Commify Italia S.r.l. (di seguito “Commify” o “Società”) per verificare il funzionamento della piattaforma Skebby (www.skebby.it) con la quale è possibile inviare sms tramite un’applicazione web o tramite interfacce di programmazione delle applicazioni (API, Application Programming Interface).

La piattaforma in questione era già stata oggetto di precedenti attività ispettive da parte dell’Autorità per finalità in parte differenti. In particolare, una prima attività – originata da una violazione dei dati personali notificata da una delle società utilizzatrici dei servizi della piattaforma Skebby – è stata effettuata nei giorni 28 e 29 novembre 2018 presso la Mobile Solution S.r.l., società successivamente fusa per incorporazione in Commify Italia S.p.A. (che ha poi mutato denominazione sociale in Commify Italia S.r.l.). Successivamente, si è resa necessaria un’ulteriore attività ispettiva in conseguenza delle integrazioni fatte pervenire dalla Mobile Solution S.r.l. e di un reclamo, pervenuto il 28 novembre 2018, dal quale è emerso un ulteriore profilo relativo alla conservazione, da parte dalla Società, del testo degli sms inviati dai clienti tramite la piattaforma Skebby. Questa seconda attività si è svolta nelle giornate del 30 e 31 gennaio 2019 presso la Commify Italia S.p.A.

Il 21 luglio 2021 è pervenuta una richiesta da parte del responsabile della protezione dati della XX (di seguito “XX”), società utilizzatrice dei servizi offerti tramite la piattaforma Skebby, con la quale è stato richiesto al Garante di pronunciarsi in merito alla liceità delle procedure adottate da Commify riguardo alla conservazione del testo degli sms inviati. In particolare, la XX ha sollevato dubbi in merito alle procedure adottate da Commify per la conservazione dei dati di traffico, ritenendo eccedente la conservazione del contenuto degli sms inviati. Questa ha altresì rappresentato di aver già richiesto chiarimenti alla Commify e di aver ricevuto un diniego alla sua richiesta di non conservare il contenuto degli sms inviati poiché, a detta della Società, tale conservazione sarebbe dovuta in ossequio alle disposizioni di cui agli artt. 121, 123 e 132 del Codice.

Alla luce di tale nuova richiesta, tenuto conto che gli elementi acquisiti nelle precedenti istruttorie erano insufficienti a valutare compiutamente la natura del servizio offerto e gli eventuali profili di illiceità, è stata effettuata una nuova attività ispettiva per verificare le attuali modalità operative del servizio, alla luce del tempo trascorso e tenuto conto anche delle modifiche intervenute a livello societario. Si deve infatti ricordare che la prima attività ispettiva, svolta nel 2018, era stata condotta presso la Mobile Solution S.r.l., soggetto giuridico non più esistente dopo la fusione per incorporazione in Commify Italia S.p.A., e che tale attività era in realtà volta a verificare le procedure che avevano potuto originare la violazione dei dati personali occorsa a un utente della piattaforma Skebby. La seconda attività ispettiva, condotta nel 2019, era stata invece effettuata presso Commify Italia S.p.A., ora Commify Italia S.r.l., ed era finalizzata a richiedere ulteriori informazioni in merito alla violazione dei dati personali, anche alla luce della documentazione integrativa inviata, nonché ad acquisire elementi in merito a quanto lamentato nel reclamo citato.

Pertanto, l’ultima attività in loco è stata effettuata nei giorni 8 e 9 novembre 2021, non appena è stato possibile riprendere le attività ispettive sospese da marzo 2020 a causa della pandemia.

Nel corso dell’istruttoria la Società ha chiarito di essere iscritta al ROC in quanto operatore virtuale di servizi di comunicazione elettronica accessibili al pubblico con facoltà di rilasciare schede SIM, sia fisiche che virtuali, per inviare e ricevere sms. A tale fine le è stato attribuito dal Ministero dello sviluppo economico un arco di numerazioni con decade 43.

La Società ha inoltre precisato che il servizio è attualmente offerto solo a clientela di tipo business (privati o enti pubblici) in quanto da oltre due anni non è più ammesso l’utilizzo dei servizi da parte di clientela di tipo consumer.

Per l’attivazione del servizio i clienti devono registrarsi nella piattaforma Skebby fornendo i seguenti dati: nome, cognome, indirizzo e-mail, ragione sociale, numero di cellulare, ai quali si aggiungono, in fase di acquisto, il codice fiscale/partita IVA e l’indirizzo; devono inoltre impostare una username e una password.

Nel corso dell’attività ispettiva è stato verificato che la Società conserva nei propri sistemi anche il contenuto dei messaggi trasmessi dai propri clienti tra i quali figurano, ad esempio: one time password (OTP) trasmesse per operare con servizi bancari, credenziali di autenticazione, prenotazioni di appuntamenti per servizi sanitari, comunicazioni di disponibilità di referti medici nominativi, messaggi inviati da partiti politici ai propri iscritti. A tal proposito, la Società ha motivato tale conservazione ritenendo che il contenuto dei messaggi sia da considerarsi dato di traffico (art. 121, comma 1-bis, lett. h), del Codice) con il conseguente obbligo di conservazione ex art. 132 del Codice. Nell’atto di nomina della Società a responsabile del trattamento che i clienti – in qualità di titolari – sottoscrivono al momento dell’attivazione del servizio è prevista una clausola in base alla quale il cliente presta il consenso alla conservazione del contenuto dei messaggi da parte di Commify. In particolare, nell’allegato 3 (“Addendum per la Protezione dei Dati”) alle condizioni generali di contratto, al punto 10.3, è previsto che “il Cliente presta espresso consenso affinché il Fornitore conservi i Dati Personali, i Dati Relativi al Traffico e i contenuti degli SMS per un periodo non superiore a 24 (ventiquattro) mesi per finalità:

10.3.1. di accertamento e repressione di reati;

10.3.2. di documentazione in caso di contestazione della fattura o per la pretesa del pagamento anche in sede giudiziale;

10.3.3. di commercializzazione di servizi di comunicazione elettronica o per la fornitura di servizi a valore aggiunto;

10.3.4. di consultazione da parte del Cliente, previa richiesta;

10.3.5. di organizzazione interna, di interventi di manutenzione e di rilevamenti statistici;

10.3.6. per soddisfare eventuali richieste di consegna e/o visualizzazione dei dati avanzate da soggetti autorizzati quali, a titolo esemplificativo, autorità amministrative, giudiziarie o forze di pubblica sicurezza”.

In mancanza del predetto consenso la Società si limita a inibire l’accesso al contenuto degli sms inviati da parte del cliente ma provvede comunque ad effettuarne la conservazione.

Con riguardo alle modalità di accesso ai dati di traffico e alla loro conservazione è stato accertato che:

i dati di traffico (che, secondo quanto sostenuto dalla Società, includevano il contenuto degli sms) erano conservati in diversi sistemi della Società, senza che fosse prevista una conservazione separata per i dati di traffico conservati per le finalità di prevenzione e repressione dei reati (finalità di giustizia); tutti i dati erano conservati indistintamente nei sistemi che Commify utilizzava anche per altre finalità (fatturazione o messa a disposizione del cliente per la consultazione);

i sistemi informatici in questione erano raggiungibili solo attraverso la rete aziendale cui si accedeva tramite VPN (previo superamento di una procedura di autenticazione informatica a un fattore, basata su username e password) e accessibili dai soggetti autorizzati che agivano sotto l’autorità della Società mediante utenti (previo superamento di una procedura di autenticazione informatica a un fattore, per l’accesso sia al sistema operativo che al sistema di gestione di database);

i messaggi ricevuti erano conservati nei sistemi di backend per un periodo massimo di due anni: nei primi 6 mesi erano resi disponibili ai clienti nella piattaforma Skebby e successivamente, se richiesto dal cliente, venivano estratti dalle copie di backup;

con riguardo ai messaggi inviati, non essendo prevista una separazione (fisica o logica) dei sistemi destinati alla conservazione dei dati per finalità di giustizia, non era neanche prevista una definizione dei tempi di retention differenziata in base alle finalità; all’epoca delle attività ispettive (9 novembre 2021) in un database server sono stati rinvenuti dati riferiti a sms inviati ad ottobre 2019, in un database documentale erano conservati dati relativi a sms inviati ad ottobre 2020, mentre in un altro database server erano presenti dati riferiti a sms inviati il 15 gennaio 2021.

Infine, è stato rilevato che la Società effettuava controlli automatizzati sul contenuto dei messaggi inviati dai propri clienti al fine di prevenire l’utilizzo fraudolento del servizio che, secondo quanto dalla stessa rappresentato, avrebbe potuto comportare il suo coinvolgimento in procedimenti giudiziari con aggravio dell’ordinaria attività lavorativa. Pertanto, la Società informava il cliente, tramite le condizioni contrattuali, del fatto che si riservava “la facoltà di sottoporre le Comunicazioni trasmesse dal Cliente a sistemi di analisi preventiva mediante algoritmi di rilevamento (URL, dominio, keywords)” bloccando l’invio dei messaggi nel caso in cui fosse stato rilevato potenziale contenuto fraudolento nell’alias (stringa alfanumerica che identifica il mittente in sostituzione del numero telefonico), o nel testo (ad es. nel caso di link non espressamente richiesti dal cliente o per i quali il cliente non era abilitato, nonché in presenza di parole chiave vietate).

Con nota del 30 novembre 2021, la Società ha fornito le informazioni che erano state oggetto di riserva nel corso delle attività ispettive e, con specifico riguardo ai controlli sul contenuto, ha allegato un documento relativo alle parole chiave ricercate dall’algoritmo sia nell’alias che nel testo del messaggio.

Inoltre, con la richiamata nota del 30 novembre 2021, la Società ha rappresentato che, a seguito delle attività ispettive svolte dal Garante a gennaio 2019, aveva avviato un progetto per la dismissione degli endpoint delle API che utilizzavano il protocollo http. Tuttavia, Commify ha dichiarato che “vi sono alcune API di tipo legacy, ereditate dalla vecchia piattaforma Skebby antecedente a quella attuale, che utilizzano ancora il protocollo http” e che “ciò è dovuto esclusivamente al fatto che alcuni clienti più risalenti non hanno mai aggiornato i loro sistemi”. Al riguardo, la Società ha evidenziato che “ha previsto di giungere all’eliminazione di tutti gli endpoint attivi in http entro il 2022”.

Da ultimo, a seguito delle attività ispettive svolte a novembre 2021, è emerso che la Società non teneva traccia delle operazioni compiute sui sistemi contenenti i dati di traffico e il contenuto dei messaggi, da parte dei soggetti che agivano sotto la sua autorità (cfr. all. 9 e 10 alla nota del 30 novembre 2021). In particolare, è stato accertato che le operazioni compiute, direttamente o indirettamente, sui dati di traffico e sugli altri dati personali ad essi connessi, mediante l’utilizzo interattivo dei sistemi (a livello di sistema operativo o di sistema di gestione di database), non erano registrate in appositi file di log. Le uniche operazioni oggetto di registrazione erano quelle relative agli accessi logici (login) ai sistemi informatici o alla rete della Società (mediate accesso remoto VPN).

2. LA CONTESTAZIONE DELLE VIOLAZIONI

Con nota del 4 aprile 2022 è stato comunicato l’avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice, per l’adozione dei provvedimenti correttivi e delle sanzioni sulla base delle risultanze dell’ultima attività ispettiva.

Preliminarmente è stata accertata la natura dei servizi offerti dalla Società – tenuto conto delle caratteristiche del servizio di messaggistica offerto tramite la piattaforma Skebby – ritendo che essa sia qualificabile come fornitore di servizi di comunicazione elettronica accessibili al pubblico, cui si applica la disciplina relativa alle comunicazioni elettroniche non solo in ragione della qualificazione che la stessa Società si è attribuita (e riconosciuta con il rilascio delle necessarie autorizzazioni), ma anche tenuto conto delle specifiche caratteristiche dei servizi offerti, analoghi nel risultato ai servizi di telefonia tradizionale benché erogati tramite una diversa tecnologia(1).

Accertato ciò, ogni valutazione è stata effettuata tenendo conto di tale particolare ruolo assunto dalla Società e delle correlate disposizioni di carattere speciale che regolano la conservazione dei dati di traffico telefonico e telematico. In particolare, in base alla descrizione dei servizi resi tramite la piattaforma Skebby, si ritiene che il trattamento riguardi esclusivamente dati relativi a un servizio “telematico” (cfr. provvedimento generale del 17 gennaio 2018, doc. web n. 1482111, come modificato dal successivo provvedimento del 24 luglio 2008, doc. web n. 1538224, che, al suo par. 4, stabilisce che nei servizi "telematici" sono ricompresi anche “i fax, nonché i messaggi sms e mms, via Internet”).

Inoltre, pur dovendosi osservare che la Società ammette alla fruizione dei propri servizi solo persone giuridiche, si deve comunque tenere presente che il servizio potrebbe essere utilizzato anche da persone fisiche in rappresentanza di ditte individuali(2) o, residualmente, nella fase di utilizzo del servizio di prova gratuito. In ogni caso, le disposizioni relative al trattamento dei dati nell’ambito delle comunicazioni elettroniche si applicano anche alle persone giuridiche in quanto contraenti o utenti. Infine, si deve tenere conto che il servizio offerto dalla Società comporta anche il trattamento di dati personali (anche appartenenti a categorie particolari) di persone fisiche destinatarie degli sms.

Sulla base degli elementi acquisiti nel corso delle attività ispettive svolte nel mese di novembre 2021 e delle successive integrazioni pervenute il 30 novembre 2021, è stata contestata alla Commify la violazione delle seguenti disposizioni:

artt. 5, par. 1, lett. f), e 32 del Regolamento e artt. 123, 132 e 132-ter del Codice, con riguardo alle misure di sicurezza adottate per garantire la conservazione dei dati di traffico telematico;

artt. 5, par. 1, lett. a), b) e c), e 6 del Regolamento e degli artt. 123 e 132 del Codice, ritenendo che la conservazione del contenuto degli sms sia stata effettuata in assenza di un’idonea base giuridica;

artt. 5, par. 1, lett. a), e 6 del Regolamento, ritenendo che la scansione preventiva del contenuto degli sms sia stata effettuata in assenza di un’idonea base giuridica;

art. 25, parr. 1 e 2, del Regolamento, per non aver rispettato i principi di protezione dei dati fin dalla progettazione e per impostazione predefinita.

3. LA DIFESA DEL TITOLARE

La Società, nell’esercizio del diritto di difesa, ha fatto pervenire in data 4 maggio 2022 una memoria nella quale ha indicato le misure correttive adottate.

Preliminarmente la Società ha eccepito che l’atto di avvio del procedimento sarebbe pervenuto tardivamente poiché notificato “…a distanza di 146 giorni dall’ultima ispezione e di 1223 giorni dalla prima…” e pertanto, dovendo ritenersi illegittima la durata della fase di accertamento, l’atto sarebbe da considerare viziato in origine.

Con riguardo agli specifici punti contestati, la Società ha poi dichiarato che:

a) “ancor prima della notifica della Comunicazione, la Società aveva iniziato l’implementazione del sistema di autenticazione a due fattori (già in uso nelle altre società del gruppo) per ogni utente/incaricato che si logga sull’area interna di amministrazione” utilizzando, oltre alla username e alla password, ulteriori fattori di autenticazione per gli accessi a livello applicativo (codice OTP di verifica generato tramite Google Authenticator) e per gli accessi a livello sistemistico (che sono consentiti solo previa instaurazione di una VPN con procedura di autenticazione informatica a due fattori);

b) “la Società aveva già intrapreso da tempo l’abbandono del protocollo http utilizzato da alcuni clienti per l’accesso alla piattaforma attraverso API […] alla data di deposito della presente memoria nessun cliente è più abilitato all’uso del protocollo http se non uno che, per meri motivi tecnici, manterrà un accesso http solo fino al 20 maggio 2022”;

c) è stata disattivata la funzionalità che consentiva ai soggetti autorizzati che operano sotto l’autorità della Società di visualizzare, tramite l’applicativo XX, il contenuto dei messaggi;

d) sono stati disabilitati tutti i controlli preventivi su mittente e testo per i clienti che spediscono sms sul Gateway della Società; a tal riguardo la Società si è giustificata rappresentando di avere agito sulla base di un legittimo interesse a svolgere tale attività anche tenuto conto che, nel periodo in cui la procedura di controllo era stata attivata, il fenomeno degli sms fraudolenti si era azzerato. La stessa ha inoltre ribadito che il controllo veniva effettuato in maniera totalmente automatizzata e che il cliente il cui messaggio fosse stato bloccato avrebbe ricevuto immediata comunicazione;

e) sono stati adottati “due sistemi di gestione e conservazione dei log” che garantiscono “la completezza, l’immodificabilità e l’autenticità delle registrazioni” e che consentono di “rilevare comportamenti insoliti degli utenti (es. accesso da un Paese da cui normalmente nessun incaricato accede), segnalandoli con una specifica e-mail, così che, in caso di necessità, si possa tempestivamente intervenire”;

f) è stato realizzato uno specifico database per la conservazione di dati di traffico per finalità di accertamento e repressione dei reati fisicamente e logicamente separato dal database documentale con accesso consentito mediante autenticazione a due fattori di cui uno biometrico; inoltre, la Società ha specificato che tale database conserva i dati di traffico in modalità criptata distinguendo il tempo di conservazione in base alle finalità di legge (6 mesi o complessivi 72 mesi); l’accesso a tale database e le operazioni svolte sono tracciati mediante un’apposita procedura;

g) sono stati “aggiornati i profili di autorizzazione [per l’accesso ai sistemi della piattaforma Skebby …] sulla base delle diverse funzioni aziendali, avendo riguardo alle specifiche finalità e alle tipologie di dati”;

h) riguardo alla conservazione dei contenuti dei messaggi, è stata istituita una nuova procedura, sia per i nuovi clienti che per quelli già registrati alla piattaforma Skebby, in base alla quale la Società procederà a conservare il testo dei messaggi inviati per sei mesi per i soli clienti che abbiano espresso uno specifico consenso tramite flag nell’area personale. In caso di mancato conferimento del consenso, sempre revocabile con le medesime modalità, nessun contenuto verrà conservato. Tutti i clienti sono stati informati della nuova procedura con e-mail del 21 e del 28 aprile 2022. I contenuti dei messaggi, inviati dai clienti che hanno espresso il consenso alla conservazione, sono ora registrati in un unico database, in forma criptata, e sono resi visibili solo al cliente. Per tutti quelli che non hanno espresso il consenso, i messaggi sono stati cancellati. La Società ha comunque precisato che permane nei sistemi una conservazione dei messaggi inviati per 72 ore al fine di assicurare la consegna del messaggio nel caso in cui la trasmissione non vada subito a buon fine e siano necessari più tentativi di invio; solo la cancellazione dai sistemi di backup, pur avviata, non è stata ultimata al momento della presentazione della memoria difensiva.

La Società ha comunque chiarito che molte misure correttive erano già state adottate subito dopo la prima ispezione del 2018 quando, ad esempio, ha provveduto a “unificare i modelli privacy delle quattro diverse società (Mobyt S.p.A., Digitel Mobile S.r.l., One Etere S.r.l., Mobile Solution S.r.l.) fuse per incorporazione nella Commify”. Altri correttivi erano stati valutati e ne era stata avviata l’implementazione, rallentata anche per motivi economici dalla pandemia, come la migrazione dal protocollo http al protocollo https, l’adozione di un sistema di strong authentication, ma anche “la razionalizzazione e limitazione dei privilegi degli incaricati, la criptazione dei testi, la minimizzazione dei dati conservati mediante la riduzione dei Database, la revisione della retention”.

Con riguardo alla conservazione dei contenuti delle comunicazioni, erroneamente ritenuti dati di traffico, la Società ha preso “atto del proprio errore, frutto di un’interpretazione evidentemente non puntuale del quadro normativo e di alcune modalità operative “ereditate” dalle società oggetto di fusione” ed ha aggiunto che “non si sia proceduto a modificare la politica di retention dal 2018 al 2022 in ragione del legittimo affidamento che la Società ha maturato rispetto a quanto emerso nel corso delle ispezioni e in assenza di una indicazione, anche solo informale, circa l’erroneità della stessa”.

La Società, infine, ha invitato l’Autorità a tenere conto di alcuni elementi al fine di soprassedere dall’applicazione di una sanzione o, in subordine, di quantificarla in misura minore:

la buona fede in merito alla necessità e opportunità di alcune condotte (come la conservazione del testo dei messaggi o la scansione preventiva degli stessi per prevenire frodi);

l’assoluta mancanza di vantaggio economico e anzi i rilevanti costi sostenuti per conservare dati ultronei (come i testi degli sms) nell’erronea convinzione di dover ottemperare a un obbligo di legge;

la costante collaborazione prestata nei confronti dell’Autorità e la tempestiva adozione di misure correttive in assenza di violazioni precedenti;

l’assenza di danni e pregiudizi per gli interessati tenuto conto che “anzi, alcune criticità emerse erano, pur erroneamente, volte a tentare di offrire un servizio migliore all’utente e una maggiore tutela per gli interessati”;

l’impegno profuso nella formazione degli incaricati e l’intenzione di incaricare un ente terzo di svolgere un audit al termine dell’implementazione delle misure;

le rilevanti perdite registrate a seguito della pandemia tali per cui “una sanzione, anche minima, ne causerebbe il default con drammatiche ricadute negative anche in termini occupazionali”.

Infine, in data 26 maggio 2022 si è tenuta un’audizione, richiesta dalla Commify stessa, con la quale la Società ha dato atto del completamento delle ultime misure correttive ancora in via di implementazione al momento della presentazione della memoria difensiva, assicurando di aver totalmente dismesso l’uso del protocollo http e di aver ultimato la cancellazione dei testi dei messaggi dalle copie di backup.

4. VALUTAZIONI DI ORDINE GIURIDICO

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle dichiarazioni della Società di cui si risponde ai sensi dell’art. 168 del Codice, si formulano le seguenti valutazioni in relazione ai profili riguardanti la disciplina in materia di protezione dei dati personali.

4.1 Sulla tardività della contestazione

La Società ha sostenuto che l’atto di avvio del procedimento sarebbe pervenuto tardivamente poiché notificato dopo 146 giorni dall’ultima ispezione e dopo 1.223 giorni dalla prima, sostenendo che ciò costituisca un vizio insanabile del procedimento amministrativo.

Tale assunto non può essere condiviso dovendosi innanzitutto osservare che – come già detto – l’atto di avvio del procedimento, notificato il 4 aprile 2022, ha avuto ad oggetto unicamente la contestazione delle violazioni rilevate nel corso delle attività ispettive dell’8 e 9 novembre 2021. A tali accertamenti ha fatto seguito l’invio da parte della Società delle informazioni integrative oggetto di riserva che sono pervenute con PEC del 30 novembre 2021. Successivamente, gli atti, dopo essere stati valutati, per quanto di competenza, dalle articolazioni interne all’Autorità, che hanno fornito i rispettivi avvisi, sono stati trasmessi al Dipartimento procedente. Tenuto conto che il regolamento interno del Garante n. 2/2019(3) quantifica in 120 giorni il termine per la notificazione della contestazione e che tale termine decorre dal momento dell’accertamento, l’atto di avvio del procedimento è da considerarsi più che tempestivo dal momento che la fase di vero e proprio accertamento deve individuarsi non nel momento in cui si ha la mera acquisizione degli atti (che, peraltro, risale alla data di ricezione delle informazioni e dei documenti cha la Società aveva fatto riserva di produrre e non a quella dell’accertamento ispettivo), ma nel momento in cui l’Autorità, esaminati gli stessi, è messa in grado di formare un proprio giudizio(4) tanto più in casi complessi come quello che ci occupa dove le valutazioni giuridiche sono state accompagnate da approfondimenti di carattere tecnico.

Nessuna contestazione invece è stata mossa con riguardo agli accertamenti svolti nel 2018 e 2019, per le seguenti ragioni:

- i pregressi accertamenti avevano riguardato soggetti giuridici diversi dalla Commify Italia S.r.l. (Mobile Solution S.r.l. e Commify Italia S.p.A.);

- l’attività del 2018 aveva un oggetto diverso essendo finalizzata unicamente a verificare le cause di una violazione dei dati personali notificata da un utente della piattaforma Skebby;

- l’attività del 2019, avviata per completare le indagini del 2018 e per verificare quanto riportato da un reclamo, aveva toccato solo in parte alcuni aspetti, oggetto anche del presente procedimento, che tuttavia necessitavano di maggiore approfondimento per essere compiutamente valutati (innanzitutto la conservazione dei dati di traffico e la base giuridica per la conservazione dei contenuti dei messaggi inviati);

- l’effettuazione di una nuova attività ispettiva, anche in ragione della segnalazione di XX, è stata ritenuta una misura di garanzia per la Società dal momento che gli elementi acquisiti nel corso delle precedenti istruttorie, ormai risalenti, erano insufficienti a valutarne compiutamente la condotta.

Ciò considerato, l’eccezione preliminare non può essere accolta e occorre procedere e si procede nel merito.

4.2 Sulle misure adottate per garantire la sicurezza del trattamento dei dati di traffico telematico

Dagli accertamenti svolti è stato possibile verificare che la Società, che opera come fornitore di servizi di comunicazione elettronica accessibili al pubblico, adottava misure di sicurezza, tecniche e organizzative, non adeguate agli elevati rischi, da ritenersi ormai noti, per i diritti e le libertà degli interessati.

Ci si riferisce, in particolare, ai seguenti elementi acquisiti agli atti:

1) i dati di traffico trattati per finalità di giustizia erano conservati negli stessi sistemi informatici utilizzati dalla Società anche per altre finalità, senza che fossero adottate misure di separazione logica o fisica;

2) non erano stati definiti tempi di retention dei dati di traffico differenziati per le diverse finalità (si ricorda che gli artt. 123 e 132 del Codice prevedono che i dati di traffico possano essere trattati per un periodo non superiore ai 6 mesi per la finalità di fatturazione e che i dati di traffico telematico debbano essere conservati per 12 mesi per finalità di giustizia; mentre l’art. 24 della legge 20 novembre 2017, n. 167, ha esteso la conservazione di tali dati a 72 mesi per finalità di accertamento e repressione di talune specifiche tipologie di reato); nei sistemi informatici della Società sono stati rinvenuti dati di traffico telematico generati da più di 12 mesi (a novembre 2021 i dati più risalenti erano di ottobre 2019) ma, come detto, tali sistemi non risultavano separati per le diverse finalità previste dagli artt. 123 e 132 del Codice; peraltro, tenuto conto delle considerazioni sopra esposte in merito alla qualificazione della Società come fornitore di servizi di comunicazione elettronica accessibili al pubblico, non si comprendono le ragioni per le quali Commify abbia ritenuto di poter applicare solo parzialmente le norme in materia di conservazione dei dati di traffico (cfr. documento unico privacy, all. 4 al verbale dell’8 novembre 2021, punto 14.6);

3) l’accesso ai sistemi informatici su cui erano conservati, o comunque trattati, i dati di traffico (e il contenuto dei messaggi), da parte dei soggetti che agiscono sotto la sua autorità (es. operatori di customer care, amministratori di sistema, ecc.), era consentito previo superamento di una procedura di autenticazione informatica a un solo fattore; ciò, sia a livello sistemistico che applicativo;

4) i dati di traffico trattati per finalità di giustizia non erano protetti con tecniche crittografiche che consentissero di renderli intelligibili a chi non fosse autorizzato ad accedervi, essendo gli stessi memorizzati in chiaro sia all’interno dei database che sui file system dei sistemi informatici della Società;

5) la trasmissione dei dati tra sistemi informatici di alcuni clienti e della Società avveniva mediante protocolli di comunicazione non sicuri (http), esponendo in tal modo i dati trasmessi (ivi incluse le credenziali di autenticazione informatica necessarie per l’utilizzo delle API) a rischi di acquisizione o manipolazione illecita;

6) le operazioni compiute sui sistemi informatici contenenti i dati di traffico, da parte dei soggetti che agivano sotto l’autorità della Società, non erano registrate, ad eccezione di quelle relative agli accessi logici (login); peraltro, la Società non conservava i file di log di tale ultima tipologia di operazioni con procedure informatiche in grado di attestare la loro integrità;

7) i dati di traffico generati da più di sei mesi erano messi a disposizione dei clienti sulla base di una specifica richiesta; tale impostazione non è conforme a quanto previsto dall’attuale dettato dell’art. 132, comma 3, del Codice che, a seguito della recente modifica apportata dall’art. 1 del d.l. 30 settembre 2021, n. 132, prevede – per i dati conservati per finalità di giustizia – che “i dati sono acquisiti previa autorizzazione rilasciata dal giudice con decreto motivato”.

Rispondi