Garante per la protezione
    dei dati personali


Ordinanza di ingiunzione nei confronti di Intermatica Holding s.r.l.

PROVVEDIMENTO DEL 24 LUGLIO 2014

Registrodei provvedimenti
 n. 382 del 24 luglio 2014

 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLAriunione odierna, alla presenza del dott. Antonello Soro, presidente, delladott.a Augusta Iannini, vicepresidente, della dott.a Giovanna Bianchi Clerici edella dott.a Licia Califano, componenti e del dott. Giuseppe Busia, segretariogenerale;

RILEVATOche, a fronte di un'attività di controllo effettuata dal Nucleo specialeprivacy della Guardia di finanza ai sensi dell'art. 157 del d.lgs. del 30giugno 2003 n. 196, recante Codice in materia di protezione dei dati personali(di seguito denominato Codice), è stato accertato, tra l'altro, che IntermaticaHolding s.r.l. P.Iva: 06754061007, con sede in Roma, via Montello n. 30, inpersona del legale rappresentante pro-tempore, ha omesso di adottare le misureminime di sicurezza di cui all'art. 33 del Codice, atteso che le password diaccesso ai domini windows e all'applicativo in uso alla società sono risultatecostituite, all'atto dell'accertamento formalizzato con i verbali di operazionicompiute datati 17 e 18 maggio 2012, da sette caratteri, nonostante il sistemadi autenticazione informatica permettesse l'utilizzo di passwords di almenootto caratteri. La società ha documentato di aver  posto in essere taleadempimento già in data 7 giugno 2012;

VISTO ilverbale n. 42 del 25 giugno 2012 con cui è stata contestata a IntermaticaHolding s.r.l. la violazione amministrativa prevista dall'art. 162, comma2-bis, in relazione all'art. 33 del Codice;

RILEVATOche il trasgressore non risulta essersi avvalso delle facoltà previstedall'art. 18 della legge 24 novembre 1981, n. 689;

RILEVATO,pertanto, che risulta essere avvenuto presso Intermatica Holding s.r.l., untrattamento di dati (art. 4 comma 1, lett. a) e b) del Codice) omettendo diadottare le misure minime di sicurezza ai sensi dell'art. 33 del Codice;

VISTOl'art. 162, comma 2-bis, del Codice che punisce la violazione delledisposizioni indicate nell'art. 33 del Codice con la sanzione amministrativadel pagamento di una somma da diecimila euro a centoventimila euro;

CONSIDERATOche, ai fini della determinazione dell'ammontare della sanzione pecuniaria,occorre tenere conto, ai sensi dell'art. 11 della legge n. 689/1981, dell'operasvolta dall'agente per eliminare o attenuare le conseguenze della violazione,della gravità della violazione, della personalità e delle condizioni economichedel contravventore;

RITENUTOdi dover applicare, per il caso di specie, la diminuente prevista dall'art.164-bis, comma 1, del Codice, attesa la minore gravità delle condotte poste inessere;

RITENUTOdi dover determinare, ai sensi dell'art. 11 della legge n. 689/1981,l'ammontare della sanzione pecuniaria per la violazione dell'art. 162, comma2-bis del Codice, nella misura di euro 4.000,00 (quattromila);

VISTA ladocumentazione in atti;

VISTA lalegge n. 689/1981, e successive modificazioni e integrazioni;

VISTE leosservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art.15 del regolamento del Garante n. 1/2000;

RELATOREla dott.a Giovanna Bianchi Clerici;

ORDINA

aIntermatica Holding s.r.l. P.Iva: 06754061007, con sede in Roma, via Montellon. 30, in persona del legale rappresentante pro-tempore, di pagare la somma dieuro 4.000,00 (quattromila) a titolo di sanzione amministrativa pecuniaria;

INGIUNGE

almedesimo soggetto di pagare la somma di euro 4.000,00 (quattromila), secondo lemodalità indicate in allegato, entro 30 giorni dalla notificazione del presenteprovvedimento, pena l'adozione dei conseguenti atti esecutivi a norma dall'art.27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine digiorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale oin copia autentica, quietanza dell'avvenuto versamento.

Ai sensidegli artt. 152 del Codice e 10 del d. lg. n. 150/2011, avverso il presenteprovvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 24 luglio 2014

Il presidente
Soro

Il relatore
Bianchi Clerici

Il segretario generale
Busia