[doc. web. n. 1079833] Provvedimento del 2 luglio 2003 A seguito di

[doc. web. n. 1079833]
Provvedimento del 2 luglio 2003
A seguito di una segnalazione riguardante l'attivazione multipla di schede telefoniche senza il consenso
dell'interessata, Il Garante ha rilevato all'interno di un punto vendita, oggetto di accertamento ispettivo,
il mancato rispetto delle misure di sicurezza nella conservazione dei moduli utilizzati per l'attivazione
delle schede, contenenti i dati degli intestatari, e della documentazione collegata (fotocopie di documenti
di identità e di carte di credito). Il Garante ha quindi impartito al gestore del punto vendita le necessarie
obbligatorie prescrizioni.
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
In data odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice
presidente, del prof. Gaetano Rasi e del dottor Mauro Paissan, componenti e del dott. Giovanni Buttarelli,
segretario generale;
VISTO il verbale di operazioni compiute presso Fortegruppo s.r.l, redatto in data 11 febbraio 2003, nel
quale sono riportate le attività disposte ai sensi dell'art. 32, comma 2, della legge n. 675/1996, volte a
conoscere le modalità con le quali la predetta società ha provveduto all'attivazione di schede telefoniche,
con particolare riferimento alle finalità del trattamento dei dati personali acquisiti dai clienti dei diversi
punti vendita "CENTRO GIOTTO" e alle modalità di conservazione dei medesimi dati a seguito di una
segnalazione riguardante l'attivazione multipla di schede telefoniche OMNITEL senza che l'interessata
avesse manifestato il proprio consenso;
CONSIDERATO che, all'atto del predetto accertamento, è stata rilevata negli uffici di uno dei punti
vendita "CENTRO GIOTTO" la presenza di centinaia di moduli di attivazione di carte telefoniche
OMNITEL relativi agli anni 1999, 2000, 2001, 2002, comprensivi di una serie di dati personali
appartenenti ai soggetti intestatari delle medesime schede, di fotocopie di documenti di identità, nonché di
carte di credito;
CONSIDERATO che i medesimi moduli sono risultati facilmente accessibili a soggetti non autorizzati e
che nessuna misura di sicurezza risulta adottata per prevenire l'accesso non autorizzato alla predetta
documentazione (misure, comunque, doverose nonostante la possibile presenza di falsi in relazione a
talune attivazioni, accertata con separati atti dell'Ufficio);
CONSIDERATO pertanto che la tenuta di tali schedari risulta non conforme a quanto previsto dall'art. 9,
comma 1, lett. b), del d.P.R. n. 318/1999, in quanto i dati ivi contenuti non sono conservati in archivi ad
accesso selezionato;
RILEVATO inoltre che l'intero materiale è risultato essere collocato alla rinfusa all'interno di scatole di
cartone o di armadi metallici trovati aperti al momento dell'accesso del personale ispettivo e che alcuni di
essi sono stati trovati anche all'esterno dei locali adibiti ad uso ufficio, posti al di sotto una tettoia;
VISTO l'art. 36 della legge n. 675/1996, secondo cui "Chiunque, essendovi tenuto, omette di adottare le
misure necessarie a garantire la sicurezza dei dati personali, in violazione delle disposizioni dei
regolamenti di cui ai commi 2 e 3 dell'articolo 15, è punito con l'arresto sino a due anni o con l'ammenda
da lire dieci milioni a lire ottanta milioni".
VISTA la comunicazione di notizia di reato ai sensi dell'art. 331 c.p.p. per violazione degli artt. 35,
comma 1 e 36, della legge n. 675/1996 effettuata dal Dipartimento vigilanza e controllo di questa Autorità
il 20 maggio 2003;
VISTA la procedura indicata nel comma 2 dell'art. 36 della legge n. 675/1996, secondo cui "all'autore del
reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita
una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo
tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà
dell'adempimento e comunque non superiore a sei mesi";
VISTI gli artt. 21, 22, 23 e 24, del d.lg. n. 758/1994;
Relatore il prof. Giuseppe Santaniello;
PRESCRIVE CHE
Fortegruppo s.r.l. con sede in Roma, Via Vito Giuseppe Galati, 105, in persona del legale rappresentante
pro-tempore, ai fini dell'art. 36, comma 2, della legge n. 675/1996, provveda:
a) entro trenta giorni dalla data di notificazione del presente atto, ad assicurare che l'intera
documentazione contenente dati personali relativa agli intestatari delle schede telefoniche comunque
risultanti in atti sia conservata in archivi ad accesso selezionato, secondo quanto previsto dall'art. 9,
comma 1, lett. b) del d.P.R. n. 318/1999;
b) entro quaranta giorni dalla data di notificazione del presente atto fornisca al Garante
riscontro del pieno e completo adempimento alla prescrizione di cui alla precedente lettera a),
tenendo presente che le dichiarazioni false fornite a questa Autorità sono autonomamente
sanzionate penalmente ai sensi dell'art. 37-bis della legge n. 675/1996.
Qualora, allo scadere dei termini sopra indicati, Fortegruppo s.r.l. adempia a tali prescrizioni, la stessa
sarà ammessa dal Garante a pagare una somma pari al quarto del massimo dell'ammenda stabilita per la
contravvenzione. L'adempimento e il pagamento estingueranno il reato.
Roma, 2 luglio 2003
IL PRESIDENTE
Rodotà
IL RELATORE
Santaniello
IL SEGRETARIO GENERALE
Buttarelli