Stangata di 80.000,00 Euro a Commify Italia (gestore piattaforma Skebby per l'invio di SMS) / 2

Rispondi
Giancarlo Favero
Messaggi: 226
Iscritto il: dom gen 24, 2021 6:45 am

Stangata di 80.000,00 Euro a Commify Italia (gestore piattaforma Skebby per l'invio di SMS) / 2

Messaggio da Giancarlo Favero »

La condotta della Società è stata valutata alla luce delle disposizioni di cui agli art. 123, 132 e 132-ter del Codice che dettano specifiche indicazioni in merito alle misure da adottare nella conservazione dei dati di traffico. In particolare, l’art. 132-ter impone ai fornitori di servizi di comunicazione elettronica di adottare, ai sensi dell’art. 32 del Regolamento, misure tecniche e organizzative adeguate al rischio esistente. Al riguardo, si ritiene che le misure e gli accorgimenti a garanzia degli interessati che, con il provvedimento generale del 17 gennaio 2008 in materia di sicurezza dei dati di traffico telefonico e telematico (doc. web n. 1482111), erano stati prescritti dal Garante, debbano essere, allo stato, considerati come misure tecniche e organizzative che un fornitore di servizi di comunicazione elettronica è tenuto ad adottare per garantire un livello di sicurezza adeguato al rischio presentato dal trattamento ai sensi dell’art. 132-ter del Codice e dell’art. 32 del Regolamento. In particolare, con riferimento al caso in esame, occorre considerare che il citato provvedimento del 17 gennaio 2008 prevede, inter alia, che:

il trattamento dei dati di traffico telefonico e telematico da parte dei fornitori deve essere consentito solo ad incaricati specificamente autorizzati e unicamente sulla base del preventivo utilizzo di specifici sistemi di autenticazione informatica basati su tecniche di strong authentication, consistenti nell’uso contestuale di almeno due differenti tecnologie di autenticazione; per i dati di traffico conservati per esclusive finalità di accertamento e repressione dei reati (e generati da più di sei mesi), una di tali tecnologie deve essere basata sull’elaborazione di caratteristiche biometriche dell’incaricato; tali modalità di autenticazione devono essere applicate anche a tutti gli addetti tecnici (amministratori di sistema, di rete, di data base) che possano accedere ai dati di traffico custoditi nelle banche dati del fornitore (par. 7.1);

per quanto concerne i trattamenti di dati di traffico telefonico per esclusive finalità di giustizia, deve essere tenuta preventivamente traccia in un apposito “registro degli accessi” dell’evento, nonché delle motivazioni che lo hanno determinato, con una successiva descrizione sintetica delle operazioni svolte, anche mediante l’utilizzo di sistemi elettronici (par. 7.1);

il fornitore deve definire e attribuire agli addetti al trattamento specifici profili di autorizzazione differenziando le funzioni di trattamento dei dati di traffico per finalità di ordinaria gestione da quelle per finalità di accertamento e repressione dei reati (par. 7.2);

i sistemi informatici utilizzati per i trattamenti di dati di traffico conservati per esclusiva finalità di giustizia devono essere differenti da quelli utilizzati anche per altre finalità (come fatturazione, marketing, antifrode); è tuttavia ammissibile un primo periodo, non superiore ai 6 mesi dalla generazione, durante il quale i dati possono essere trattati con sistemi informatici non esclusivamente riservati alle finalità di giustizia (par. 7.3);

il fornitore deve adottare soluzioni informatiche idonee ad assicurare il controllo delle attività svolte sui dati di traffico da ciascun incaricato del trattamento, quali che siano la sua qualifica, le sue competenze e gli ambiti di operatività e le finalità del trattamento; tali soluzioni comprendono la registrazione, in un apposito audit log, delle operazioni compiute, direttamente o indirettamente, sui dati di traffico e sugli altri dati personali a essi connessi, sia quando consistono o derivano dall’uso interattivo dei sistemi, sia quando sono svolte tramite l’azione automatica di programmi informatici; i sistemi di audit log devono garantire la completezza, l’immodificabilità, l’autenticità delle registrazioni in essi contenute, con riferimento a tutte le operazioni di trattamento e a tutti gli eventi relativi alla sicurezza informatica sottoposti ad auditing (par. 7.6);

i flussi di trasmissione dei dati di traffico tra sistemi informatici del fornitore devono aver luogo tramite protocolli di comunicazione sicuri, basati su tecniche crittografiche, o comunque evitando il ricorso alla trasmissione in chiaro dei dati; protocolli di comunicazione sicuri devono essere adottati anche per garantire più in generale la sicurezza dei sistemi evitando di esporli a vulnerabilità e a rischio di intrusione (par. 7.9).

Tutto ciò premesso, si osserva che la condotta della Società, nei modi descritti prima dell’adozione delle misure correttive, ha integrato la violazione degli artt. 5, par. 1, lett. f), e 32 del Regolamento e degli artt. 123, 132 e 132-ter del Codice.

Si deve comunque dare atto del tempestivo intervento della Società che, allo stato, ha dichiarato di aver adottato misure correttive per tutti i profili di violazione sopra riportati. Pertanto, non si ritiene di dover esercitare poteri correttivi al riguardo. Tuttavia, in ragione delle violazioni rilevate, si ritiene di dover adottare nei confronti della stessa Società un’ordinanza ingiunzione, ai sensi dell’artt. 58, par. 2, lett. i), del Regolamento.

4.3 Sulla conservazione del contenuto dei messaggi

La Società, sia nel corso delle attività ispettive svolte nel mese di novembre 2021, sia nella nota integrativa del 30 novembre 2021, ha dichiarato di conservare il contenuto degli sms “…perché ritiene di esservi obbligata per legge, stante il combinato disposto degli artt. 121, 123 e 132 del Codice, dai quali emerge che il contenuto dell’SMS è un dato di traffico e come tale va trattato e conservato”.

A tal proposito si osserva che l’art. 121, comma 1-bis, lett. h), del Codice definisce i dati relativi al traffico come “qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione”. Tale generica definizione può essere compiutamente applicata solo integrandola – in combinato disposto con i principi di proporzionalità e minimizzazione dei dati – con le finalità, espresse nei successivi artt. 123 e 132, che ammettono una conservazione dei dati di traffico in deroga al generale obbligo di cancellazione.

L’art. 123 del Codice, infatti, prevede che i dati di traffico siano cancellati quando non più necessari alla trasmissione della comunicazione, ferma restando la possibilità di conservarli per un massimo di sei mesi per la verifica della fatturazione oppure, con il consenso dell’utente, per la commercializzazione di servizi. È evidente che, per l’elaborazione della fattura e per la contestazione della stessa, il contenuto del messaggio non ha alcuna rilevanza e pertanto non ha motivo di essere conservato. Al riguardo, Commify ha precisato di aver utilizzato il contenuto dei messaggi anche per verificare la fatturazione poiché, superato il numero massimo di caratteri per messaggio, viene addebitato il costo di due sms. Tale giustificazione non è tuttavia condivisibile dal momento che le odierne soluzioni tecniche consentono di fare tali conteggi automaticamente senza dover visualizzare il messaggio.

Nell’ambito dei servizi a valore aggiunto (art. 121, comma 1-bis, lett. l), del Codice), invece, è possibile la conservazione del contenuto dei messaggi ma solo con il consenso dell’utente rilasciato ai sensi dell’art. 123, comma 3, del Codice. Nell’impostazione adottata da Commify, invece, la conservazione del contenuto veniva imposta da Commify stessa – sulla base dell’erronea presunzione di dover adempiere ad un obbligo di legge (di cui si dirà più in dettaglio in seguito) – mentre non veniva recepita la volontà del cliente di non conservare tali dati (come nel caso segnalato dal cliente XX). Peraltro, tenuto conto che la finalità della conservazione è legata all’erogazione di un servizio a valore aggiunto al cliente, l’accesso a tali dati dovrebbe essere consentito solo a quest’ultimo e non anche agli incaricati della Commify. Da quanto verificato in atti, invece, il contenuto dei messaggi era visualizzabile dagli incaricati della Società ed era invece reso disponibile al cliente solo dietro specifica richiesta.

Con riguardo all’art. 132 del Codice, il suo comma 1, nell’estendere i termini di conservazione dei dati di traffico per finalità di accertamento e repressione dei reati, menziona espressamente l’esclusione dei contenuti delle comunicazioni(5). Tale esclusione è ribadita al successivo comma 4-ter.

Si veda anche il considerando 15 della direttiva 2002/58/CE che, nel definire i dati di traffico, menziona unicamente dati esterni alla comunicazione, nonché l’art. 5 della stessa direttiva in base al quale “Gli Stati membri assicurano, mediante disposizioni di legge nazionali, la riservatezza delle comunicazioni effettuate tramite la rete pubblica di comunicazione e i servizi di comunicazione elettronica accessibili al pubblico, nonché dei relativi dati sul traffico. In particolare essi vietano l’ascolto, la captazione, la memorizzazione e altre forme di intercettazione o di sorveglianza delle comunicazioni, e dei relativi dati sul traffico, ad opera di persone diverse dagli utenti”.

La direttiva 2006/24/CE – ancorché invalidata dalla CGUE per l’insufficiente garanzia offerta dalla conservazione generalizzata – resta comunque un importante punto di riferimento, in chiave interpretativa, per i principi e le definizioni e, nel caso di specie, fornisce un utile chiarimento del perimetro di dati da conservare; all’art. 5, infatti, è fornito un elenco delle categorie di dati da conservare con espressa esclusione del contenuto delle comunicazioni.

Chiarimenti in tal senso sono stati forniti anche dal Garante con il citato provvedimento generale del 17 gennaio 2008.

Sulla base del quadro normativo appena descritto, è di tutta evidenza che nessuna norma di legge impone la conservazione dei contenuti delle comunicazioni che, anzi, risulta espressamente vietata(6) a meno che non sia autorizzata dall’utente con specifico consenso per l’erogazione di servizi a valore aggiunto ai sensi dell’art. 123, comma 3, del Codice. Tale ultimo requisito del consenso potrebbe essere tenuto in considerazione proprio in relazione alle caratteristiche del servizio fornito da Commify dal momento che il cliente, a differenza dei servizi telefonici tradizionali, non ha a disposizione un proprio dispositivo dove poter visualizzare i messaggi inviati; pertanto potrebbe rendersi necessario un servizio – accessorio all’invio e specificamente richiesto dal cliente – di conservazione di tali messaggi che Commify potrebbe fornire in qualità di responsabile del trattamento (qualifica che già riveste nei confronti dei propri clienti). Inoltre, nel rispetto dei principi di proporzionalità e minimizzazione dei dati, è opportuno che l’accesso in visualizzazione di tali messaggi sia riservato al cliente e sia invece inibito agli incaricati di Commify.

Tutto ciò premesso, è evidente che la conservazione dei contenuti dei messaggi è stata effettuata in assenza di un’idonea base giuridica non solo perché fondata sull’erronea convinzione di dover adempiere a un obbligo di legge (nonostante la chiarezza di un dettato normativo vigente da anni), ma anche perché pur richiamando il consenso (nell’informativa privacy) come presupposto per la commercializzazione del servizio, di fatto privava tale consenso del fondamentale requisito della libertà (il contraente era obbligato a prestare il consenso e non poteva opporsi al trattamento). Tale profilo è stato anche confermato dalle doglianze della XX. Da tale erroneo presupposto discende altresì il mancato rispetto dei principi di limitazione delle finalità e di minimizzazione dei dati dal momento che il contenuto dei messaggi, che in assenza di consenso dell’utente dovrebbe essere cancellato dopo l’invio, veniva ulteriormente conservato senza necessità per finalità diverse da quelle che hanno determinato l’originario trattamento.

Per tali ragioni si ravvisa la violazione degli artt. 5, par. 1, lett. a), b) e c), e 6 del Regolamento e degli artt. 123 e 132 del Codice.

Anche in questo caso la Società è tempestivamente intervenuta per adottare misure in grado di garantire l’accesso al contenuto dei messaggi solo ai clienti che vi abbiano espressamente acconsentito, inibendolo ai propri incaricati. Pertanto, non si ritiene di dover esercitare poteri correttivi. Tuttavia, in ragione delle violazioni rilevate, si ritiene di dover adottare nei confronti della stessa Società un’ordinanza ingiunzione, ai sensi dell’artt. 58, par. 2, lett. i), del Regolamento.

4.4 Sui controlli automatizzati sugli sms per finalità antifrode

La Società effettuava una scansione del contenuto delle comunicazioni e dell’alias utilizzato per l’invio al fine di prevenire un uso fraudolento dei suoi servizi, con blocco immediato della spedizione da parte dei sistemi di controllo. La Società, nel corso delle attività ispettive, ha motivato tale condotta con la necessità di evitare coinvolgimenti in eventuali attività giudiziarie avviate contro terzi con conseguente aggravio della propria attività lavorativa, tenuto conto della sempre maggiore frequenza con cui si verificano utilizzi fraudolenti dei servizi digitali (furto di credenziali, phishing, spamming, ecc.).

Se è pur vero che tali fenomeni sono ormai molto diffusi e sempre più forieri di rischi per gli interessati, è anche vero che non risulta allo stato sussistente uno specifico obbligo in capo ai fornitori di servizi di comunicazione elettronica accessibili al pubblico di effettuare tali verifiche preventive(7). L’interesse pubblico connesso alla necessità di arginare le frodi online potrebbe essere considerato un’idonea base giuridica, ai sensi dell’art. 6, par. 1, lett. e), del Regolamento, solo in presenza di un’apposita fonte legislativa che allo stato non sussiste.

Tale attività non pare trovare neanche fondamento nell’esigenza, e nel corrispettivo diritto/ dovere, del fornitore di servizi di adottare misure di sicurezza volte a proteggere i propri sistemi e a garantire la corretta esecuzione del servizio. Infatti, a differenza della scansione finalizzata alla ricerca di virus o a quanto avviene per i filtri antispam nella posta elettronica, l’invio di sms fraudolenti di norma non dovrebbe comportare conseguenze tecniche per il fornitore di servizi pertanto la scansione semantica delle comunicazioni finalizzata alla repressione di tale tipo di attività illecite (di sicuro riprovevoli ma senza effetti per l’erogazione del servizio) non può essere demandata ad una libera scelta del fornitore di servizi(8) e rischia inoltre di bloccare l’invio di messaggi che potrebbero essere perfettamente leciti, dando luogo ad un’indebita ingerenza nella libertà delle comunicazioni.

Allo stesso tempo, però, non si possono sottovalutare i sempre più probabili rischi connessi all’utilizzo dei servizi digitali. In tale prospettiva si inserisce il contesto normativo dettato dal Regolamento, che introduce tra le cause di giustificazione del trattamento la possibile sussistenza di un legittimo interesse del titolare o di terzi ai sensi dell’art. 6, par. 1, lett. f), del Regolamento. La specifica facoltà di invocare il legittimo interesse nei controlli antifrode è espressamente menzionata nel considerando 47(9). Tuttavia, la possibilità di ricondurre un trattamento al legittimo interesse presuppone l’esistenza di determinati requisiti:

a) la sussistenza di un interesse del titolare o di terzi che deve essere legittimo oltre che collegato ad una situazione concreta e non meramente ipotetica;

b) la necessità di effettuare il trattamento per soddisfare quell’interesse e la proporzionalità dell’intervento;

c) la dimostrazione che il titolare ha effettuato un balancing test per assicurarsi che i diritti e le libertà degli interessati non siano prevalenti sull’interesse legittimo del titolare o di terzi.

Fermo restando che non risulta dalla documentazione in atti che tale tipo di valutazioni siano state effettuate dalla Società, si deve osservare che l’effettuazione di un trattamento altamente pregiudizievole per le libertà degli interessati, come la scansione del contenuto delle comunicazioni con il conseguente blocco delle stesse, non può essere considerata ammissibile solo per tutelare un interesse del titolare del trattamento consistente nel desiderio di evitare un indiretto coinvolgimento in attività giudiziarie, coinvolgimento che è solo meramente ipotetico e che deve comunque considerarsi collegato al rischio di impresa.

Maggiore importanza possono invece avere le conseguenze sui terzi e sugli stessi interessati derivanti dall’uso illecito di tali servizi. A tal riguardo, devono essere tenute in considerazione le disposizioni dell’art. 32 del Regolamento in base al quale il titolare è tenuto ad adottare tutte le misure tecniche e organizzative che ritenga necessarie a garantire un livello di sicurezza adeguato al rischio generato dal trattamento. Seppur non si rinvenga in capo al fornitore di servizi un obbligo generalizzato di effettuare controlli preventivi, si rende necessario, nell’erogazione dei servizi digitali, prestare la massima attenzione ai potenziali rischi connessi all’utilizzo degli stessi, tenendo presente il generale principio di precauzione. In tali termini sono ammesse misure tecniche e organizzative, volte a prevenire o ad arginare l’utilizzo abusivo del servizio, senza tuttavia superare il limite del rispetto dei diritti e delle libertà degli interessati. Ogni misura che comporti un sacrificio di tali diritti e libertà, da considerarsi quale extrema ratio, dovrebbe essere adottata solo se effettivamente necessaria e proporzionata in mancanza di alternative meno pregiudizievoli.

Sulla base dell’esperienza comune si può ipotizzare che i maggiori rischi connessi a tale tipologia di servizio potrebbero derivare dall’utilizzo abusivo di account esistenti da parte di dipendenti infedeli del cliente o da parte di terzi(10); meno probabile dovrebbe essere l’attivazione di nuovi account direttamente da parte di agenti malevoli (che, per riuscire nell’intento, dovrebbero aggirare il sistema di identificazione). Dunque, nell’ottica di un bilanciamento degli interessi e nel rispetto dei principi di necessità e proporzionalità, le soluzioni volte a prevenire o ad arginare l’utilizzo abusivo del servizio andrebbero innanzitutto ricercate tra le misure volte a prevenire gli accessi non autorizzati agli account dei clienti; stesso valore preventivo potrebbe essere ottenuto attraverso il rafforzamento delle misure volte a bloccare l’utilizzo di alias collegabili a potenziali intenti fraudolenti (possibilmente) prima del confezionamento del messaggio stesso.

Infine, tale trattamento potrebbe essere oggetto di un servizio a valore aggiunto offerto a quei clienti che vogliano maggiori garanzie a protezione del proprio account al fine di prevenire utilizzi impropri da parte di propri incaricati o in caso di accesso di terzi non autorizzati. In tal caso è evidente che tale tipo di trattamento dovrebbe essere basato su un consenso libero e specifico dell’utente.

Richiamando le considerazioni già espresse in merito alla conservazione del contenuto delle comunicazioni, si ritiene che anche nel caso del controllo automatizzato del testo dei messaggi – in assenza delle necessarie cautele – si abbia un’eccessiva ingerenza nella riservatezza e nella libertà delle comunicazioni. Ciò in quanto la scansione del contenuto del messaggio alla ricerca di parole chiave presuppone comunque un esame dell’intero testo e comporta, come conseguenza, il blocco immediato dell’invio.

Pertanto, la scelta delle misure da adottare deve essere preceduta da accurate valutazioni da parte del titolare, ricordando che ogni trattamento deve essere effettuato in presenza di un’idonea base giuridica.

Da quanto emerso in atti, non risulta che Commify abbia effettuato tale tipo di valutazioni, limitandosi a ritenere il proprio operato conforme alle prassi in uso nel mercato di riferimento e invocando genericamente un legittimo interesse solo nella memoria difensiva del 4 maggio 2022, senza tuttavia documentare la sussistenza dei requisiti indicati sopra per l’applicazione di tale legittimo interesse. Peraltro, non risulta individuata dal titolare alcuna base giuridica per tale tipo di trattamento (non essendo possibile rinvenire indicazioni in merito né dall’informativa sul trattamento dei dati personali, né dal registro delle attività di trattamento né dal documento denominato “Documento unico privacy”) e, come descritto sopra, nessuna delle basi giuridiche previste dall’art. 6 del Regolamento risulta correttamente applicata o applicabile al caso di specie, nei termini in cui il trattamento è impostato: il consenso non può essere espresso in maniera libera e specifica; il trattamento al momento non risulta necessario per l’esecuzione di un contratto; non è previsto alcun obbligo di legge che imponga al titolare di effettuare controlli preventivi sul contenuto dei messaggi o che renda necessario il trattamento per l’esecuzione di un compito di pubblico interesse; l’applicazione della base giuridica del legittimo interesse è ammessa solo in presenza di determinati requisiti che, nel caso in questione, non sembrano presenti o non sono stati sufficientemente ponderati e giustificati, né tantomeno documentati.

Si deve comunque ricordare che l’attività di prevenzione delle frodi non può definirsi illecita di per sé e può essere effettuata sulla base del legittimo interesse all’esito di più compiute valutazioni che tengano conto della necessità e proporzionalità del trattamento, dell’assenza di alternative, del bilanciamento dei contrapposti interessi e delle modalità più efficaci e meno invasive per effettuare tale trattamento. Del resto la stessa Commify ha osservato che, da quando era in atto il meccanismo di controllo preventivo, l’invio di sms fraudolenti si era azzerato.

Pertanto, il trattamento risulta illecito in quanto effettuato in assenza di un’idonea base giuridica in violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento.

Tuttavia, tenuto conto dell’assenza di dolo e anzi della buona fede, dimostrata anche dal fatto che la Società non avrebbe avuto un vantaggio economico da tale attività, considerato che per lo più il trattamento ha riguardato persone giuridiche, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, si ritiene sufficiente rivolgere alla Società un ammonimento in merito alle violazioni riscontrate invitandola ad effettuare più compiute valutazioni della base giuridica e delle modalità del trattamento nel caso in cui intendesse eseguire controlli antifrode in futuro.

4.5 Sulla protezione dei dati fin dalla progettazione e per impostazione predefinita

In base al principio della “protezione dei dati fin dalla progettazione” (art. 25, par. 1, del Regolamento), il titolare del trattamento è tenuto ad attuare i principi di protezione dei dati (art. 5 del Regolamento) adottando misure tecniche e organizzative adeguate e integrando nel trattamento le necessarie garanzie per soddisfare i requisiti del Regolamento e tutelare i diritti e le libertà degli interessati. L’obbligo di mantenere, verificare e aggiornare, ove necessario, il trattamento si applica anche ai sistemi preesistenti. Ciò implica che i sistemi progettati prima dell’entrata in vigore del Regolamento devono essere sottoposti a verifiche e manutenzione per garantire l’applicazione di misure e garanzie che mettano in atto i principi e i diritti degli interessati in modo efficace (cfr. le “Linee guida 4/2019 sull’articolo 25 - Protezione dei dati fin dalla progettazione e per impostazione predefinita” adottate dal Comitato europeo per la protezione dei dati il 20 ottobre 2020, spec. punti 7 e 38).

Inoltre, il principio della “protezione dei dati per impostazione predefinita” (art. 25, par. 2, del Regolamento) impone al titolare del trattamento di effettuare scelte tali da garantire che venga effettuato, per impostazione predefinita, solo il trattamento strettamente necessario per conseguire una specifica e lecita finalità. Ciò significa quindi che, per impostazione predefinita, il titolare del trattamento deve prevedere limitazioni, sia ai soggetti abilitati all’accesso, sia alla tipologia di accesso ai dati personali, sulla base di una valutazione della necessità, nonché prevedere che i dati non più necessari ai fini del trattamento siano cancellati o resi anonimi (cfr. le citate “Linee guida 4/2019 sull’articolo 25”, spec. punti 42, 53 e 55).

Con riferimento al caso in esame, in relazione al principio di “liceità, correttezza e trasparenza” (art. 5, par. 1, lett. a), del Regolamento), si rappresenta che il titolare deve identificare una base giuridica valida per il trattamento dei dati personali (cfr. le citate “Linee guida 4/2019 sull’articolo 25”, spec. punto 67). In particolare:

al trattamento deve essere applicata la corretta base giuridica;

la base giuridica deve essere stabilita prima che il trattamento abbia luogo ed essere chiaramente connessa alla specifica finalità di trattamento.

Con riferimento al principio di “limitazione della finalità” (art. 5, par. 1, lett. b), del Regolamento), il titolare deve raccogliere dati per finalità specifiche, esplicite e legittime e non trattarli ulteriormente in modo incompatibile con le finalità per le quali sono stati raccolti (cfr. le citate “Linee guida 4/2019 sull’articolo 25”, spec. punto 71). In particolare:

le finalità legittime devono essere determinate prima della progettazione del trattamento;

la finalità del trattamento deve orientare la progettazione del trattamento e determinarne i limiti;

la finalità deve determinare quali sono i dati personali necessari per il trattamento;

il titolare dovrebbe verificare periodicamente se il trattamento sia necessario per le finalità per le quali sono stati raccolti i dati e testare la progettazione di tale trattamento con riguardo al principio di limitazione delle finalità.

Con riferimento invece al principio di “minimizzazione dei dati” (art. 5, par. 1, lett. c), del Regolamento), il titolare deve predeterminare caratteristiche e parametri dei sistemi di trattamento, al fine di garantire che solo i dati personali che sono adeguati, pertinenti e limitati a quanto necessario per la finalità siano sottoposti a trattamento (cfr. le citate “Linee guida 4/2019 sull’articolo 25”, spec. punto 73). In particolare:

la quantità di dati personali raccolti deve essere limitata a ciò che è necessario per la specifica finalità;

occorre definire il trattamento dei dati in modo tale che un numero minimo di persone abbia bisogno di accedere ai dati personali per esercitare le proprie funzioni, e limitare l’accesso di conseguenza;

ogni categoria di dati personali deve essere necessaria per le finalità specificate e deve essere trattata soltanto se non è possibile conseguire la specifica finalità con altri mezzi.

Con riferimento infine al principio di “integrità e riservatezza” (art. 5, par. 1, lett. f), del Regolamento), il titolare deve valutare costantemente se stia utilizzando, in qualunque momento, i mezzi appropriati di trattamento e se le misure adottate contrastino effettivamente le vulnerabilità esistenti (cfr. le citate “Linee guida 4/2019 sull’articolo 25”, spec. punti 84 e 85). In particolare, il titolare deve:

valutare i rischi per la sicurezza dei dati personali, considerando l’impatto sui diritti e le libertà degli interessati, e contrastare efficacemente quelli identificati;

effettuare revisioni periodiche delle misure di sicurezza poste a presidio e tutela dei dati personali;

tenere conto non appena possibile dei requisiti di sicurezza nella progettazione e nello sviluppo del sistema, integrando e svolgendo costantemente test pertinenti;

definire il trattamento dei dati in modo tale che un numero minimo di persone abbia bisogno di accedere ai dati personali per svolgere le proprie funzioni, e limitare l’accesso di conseguenza;

proteggere i dati personali da modifiche e accessi non autorizzati e accidentali, sia durante il loro trasferimento che durante la loro conservazione.

Da quanto emerso in atti (cfr. paragrafi 4.2, 4.3 e 4.4), non risulta che la Società abbia adottato, in ossequio ai principi della “protezione dei dati fin dalla progettazione” e della “protezione dei dati per impostazione predefinita”, misure e garanzie adeguate per attuare efficacemente i principi di “liceità, correttezza e trasparenza”, di “limitazione della finalità”, di “minimizzazione dei dati” e di “integrità e riservatezza” (art. 5, par. 1, lett. a), b), c) e f), del Regolamento), tenendo conto anche dei rischi per i diritti e le libertà degli interessati derivanti dai trattamenti in esame.

Per tali ragioni si ravvisa la violazione dell’art. 25, parr. 1 e 2, del Regolamento.

Tuttavia, avuto riguardo al fatto che gli effetti di tale violazione sono già stati considerati come oggetto di sanzione ai punti indicati sopra, tenuto conto delle misure correttive già apportate dalla Società, si ritiene sufficiente rivolgere a Commify un ammonimento, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, in merito alle violazioni riscontrate e, affinché non si ripetano condotte analoghe a quelle sopra evidenziate, si richiama la necessità di effettuare periodicamente delle valutazioni al fine di controllare l’adeguatezza delle misure tecniche e organizzative adottate o di futura adozione.

5. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

In base a quanto sopra rappresentato, risultano violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati da Commify, per cui occorre applicare l'art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave con conseguenziale applicazione della sola sanzione prevista dall’art. 83, par. 5, del Regolamento.

Ai fini della quantificazione della sanzione amministrativa il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.

In adempimento di tale previsione, nel caso di specie, verificato, sulla base dell’ultimo bilancio disponibile, il ricorrere della prima ipotesi prevista dal citato art. 83, par. 5 e quantificato quindi in 20 milioni di euro il massimo edittale applicabile, devono essere considerate le seguenti circostanze aggravanti:

1. l’ampia portata dei trattamenti estesi alla generalità dei clienti dei servizi della piattaforma Skebby relativi a circa 7.250 clienti, persone fisiche e persone giuridiche, tra ottobre 2018 e ottobre 2021 come risulta dall’allegato 5 al verbale dell’8 novembre 2021 (art. 83, par. 2, lett. a), del Regolamento);

2. la gravità delle violazioni rilevate, in ragione del fatto che, per l’inadeguatezza delle misure di sicurezza, sono stati esposti a violazione una tipologia di dati personali (i dati di traffico telefonico e i contenuti delle comunicazioni) per i quali il legislatore, in considerazione dell’elevato pregiudizio derivante dal trattamento, ha predisposto delle norme di carattere speciale a tutela della conservazione (art. 83, par. 2, lett. a), del Regolamento);

3. il grado di responsabilità del titolare del trattamento, tenuto conto che le misure tecniche e organizzative utilizzate per la conservazione dei dati di traffico telematico non sono risultate adeguate allo stato dell’arte, nonostante le prescrizioni del Garante siano da considerarsi ormai ampiamente note fra gli operatori dei servizi di comunicazione elettronica, in quanto impartite con un provvedimento generale del 2008, più volte oggetto di specifici provvedimenti applicativi (art. 83, par. 2, lett. d), del Regolamento);

4. le categorie di dati personali interessate dalla violazione, appartenenti anche a categorie particolari (informazioni sullo stato di salute o sull’appartenenza a un partito politico), presenti nei messaggi conservati da Commify (art. 83, par. 2, lett. g), del Regolamento);

5. la maniera in cui l’Autorità di controllo ha preso conoscenza delle violazioni, emerse nel corso di un’attività ispettiva (art. 83, par. 2, lett. h), del Regolamento).

Quali elementi attenuanti, si ritiene di dover tener conto:

1. delle intenzioni della Società che, sulla base di quanto acquisito in atti, non paiono volte a realizzare consapevolmente gli effetti delle condotte contestate e sono piuttosto riconducibili ad un’applicazione negligente e a tratti ingenua delle norme; ciò anche tenuto conto delle modifiche societarie intervenute negli ultimi anni e della conseguente necessità di integrare sistemi e procedure aziendali diverse (art. 83, par. 2, lett. k), del Regolamento);

2. del grado di consapevolezza della Società in merito all’effettiva portata delle violazioni in ragione della particolare natura del servizio fornito tale da non consentire un’immediata riconduzione dell’attività di Commify agli oneri applicabili ai servizi di comunicazione elettronica accessibile al pubblico e (art. 83, par. 2, lett. k), del Regolamento);

3. dell’assenza di un ritorno economico dalle violazioni ma, anzi, dell’aggravio di costi sostenuti per la conservazione di volumi di dati relativi ai contenuti delle comunicazioni nell’erronea convinzione di dover adempiere a un obbligo di legge (art. 83, par. 2, lett. k), del Regolamento);

4. della tempestiva adozione di misure correttive, alcune delle quali già avviate prima degli accertamenti ispettivi del 2021 (art. 83, par. 2, lett. f), del Regolamento);

5. dell’elevato grado di cooperazione nell’interazione con l’Autorità di controllo (art. 83, par. 2, lett. f), del Regolamento);

6. dei dati dell’ultimo bilancio disponibile e delle rilevanti perdite economiche con conseguente aumentato indebitamento, come rappresentato dalla Società nell’allegato n. 8 alla memoria difensiva (art. 83, par. 2, lett. k), del Regolamento).

In una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa, tenuto conto che la Società, e in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, occorre valutare prudentemente i suindicati criteri, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società.

Pertanto si ritiene che - in base al complesso degli elementi sopra indicati, debba applicarsi alla Commify la sanzione amministrativa del pagamento di una somma pari allo 0,4% della sanzione edittale massima di 20 milioni di euro, corrispondente a euro 80.000,00 (ottantamila). La sanzione edittale massima è individuata con riferimento al disposto dell’art. 83, par. 5, del Regolamento, tenuto conto che il 4% del fatturato di Commify, sulla base dell’ultimo bilancio disponibile, risulta inferiore ai 20 milioni di euro.

Si rileva che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Si ritiene altresì – in considerazione della serietà delle violazioni rilevate - che, ai sensi dell’art. 166, comma 7, del Codice, e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito web del Garante, a titolo di sanzione accessoria.

TUTTO CIÒ PREMESSO, IL GARANTE

nei confronti di Commify Italia S.r.l., con sede legale in Via Manzoni 38, Milano, P.IVA. 01648790382,

a) ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, rivolge un ammonimento in merito alle violazioni riscontrate al punto 4.4 invitandola ad effettuare più compiute valutazioni della base giuridica e delle modalità del trattamento nel caso in cui intendesse eseguire controlli antifrode in futuro;

b) ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, rivolge un ammonimento in merito alle violazioni riscontrate al punto 4.5 e, affinché non si ripetano condotte analoghe a quelle sopra evidenziate, richiama la necessità di effettuare periodicamente delle valutazioni al fine di controllare l’adeguatezza delle misure tecniche e organizzative adottate o di futura adozione;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, alla Commify Italia S.r.l., in persona del suo legale rappresentante, di pagare la somma di euro 80.000,00 (ottantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 80.000,00 (ottantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 11 gennaio 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei



NOTE

1) A tal proposito si richiamano i principi espressi nella direttiva (UE) 2018/1972, cons. 15, di recente recepita nel novellato Codice delle comunicazioni elettroniche: “Al fine di garantire che gli utenti finali e i loro diritti siano efficacemente e ugualmente tutelati quando utilizzano servizi equivalenti dal punto di vista funzionale, una definizione dei servizi di comunicazione elettronica che sia orientata al futuro dovrebbe basarsi su un approccio funzionale anziché esclusivamente sui parametri tecnici”.

2) Nella lista dei clienti 2019-2021, acquisita agli atti, risultano anche persone fisiche (cfr. all. 5 al verbale dell’8 novembre 2021).

3) Regolamento n. 2/2019 concernente l’individuazione dei termini e delle unità organizzative responsabili dei procedimenti amministrativi presso il Garante per la protezione dei dati personali (pubblicato in G.U. n. 107 del 9 maggio 2019 e in www.garanteprivacy.it doc. web n. 9107640).

4) In tali termini cfr. anche Cons. Stato, sent. 1330/2015, che la stessa Commify ha citato nella memoria difensiva, nonché, ex plurimis, Cass. Civ. sez. II n. 21333 del 29.8.2018, Cass. civ. 17 agosto 2016, n. 17143, Cass civ. sez. lav. n. 22837 del 28/10/2014, Consiglio di Stato sez. VI, n. 4085 del 05/08/2013.

5) Art. 132, comma 1, del Codice: “fermo restando quanto previsto dall’art. 123, comma 2, i dati relativi al traffico telefonico sono conservati dal fornitore per ventiquattro mesi dalla data della comunicazione, per finalità di accertamento e repressione dei reati, mentre, per le medesime finalità, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, sono conservati dal fornitore per dodici mesi dalla data di comunicazione”.

6) Cfr. art. 132 del Codice. Inoltre, l’accesso ai contenuti delle comunicazioni potrebbe configurare un’indebita ingerenza nella vita privata in violazione dell’art. 8 della Convenzione Europea dei Diritti dell’Uomo, come più volte chiarito dagli interventi della Corte di giustizia dell’Unione europea.

7) Cfr. artt. 14 e ss. d.lgs. 9 aprile 2003, n. 70.

8) Cfr. parere sugli aspetti di tutela della vita privata inerenti ai servizi di screening dei messaggi di posta elettronica (WP 118), adottato dal Gruppo di lavoro Articolo 29 il 21 febbraio 2006.

9) Cfr. Linee guida 2/2019 sul trattamento di dati personali ai sensi dell’articolo 6, paragrafo 1, lettera b), del regolamento generale sulla protezione dei dati nel contesto della fornitura di servizi online agli interessati, adottate dal Comitato europeo per la protezione dei dati il 8 ottobre 2019, che richiamano il parere n. 6/2014 sul concetto di interesse legittimo del titolare del trattamento ai sensi dell’articolo 7 della direttiva 95/46/CE (WP 217), adottato dal Gruppo di lavoro Articolo 29 il 9 aprile 2014, che evidenzia che “il trattamento per finalità di prevenzione delle frodi può comportare il monitoraggio e la profilazione dei clienti. Secondo il comitato europeo per la protezione dei dati è probabile che tale trattamento ecceda quanto oggettivamente necessario all’esecuzione di un contratto stipulato con un interessato. Tuttavia il trattamento dei dati personali strettamente necessario per finalità di prevenzione delle frodi può costituire un legittimo interesse del titolare del trattamento e può quindi essere considerato lecito se il titolare soddisfa i requisiti specifici di cui all’articolo 6, paragrafo 1, lettera f)”.

10) Come già avvenuto nel 2018 in occasione della violazione dei dati personali che aveva coinvolto un cliente dei servizi della piattaforma Skebby il cui account, oggetto di un accesso abusivo, era stato utilizzato per veicolare in maniera massiva sms di phishing.

Rispondi