L'approfondimento

Tabulati negati a un abbonato, il Garante privacy multa TIM per 150mila euro

L’abbonato aveva chiesto l’accesso ai propri tabulati per l’esercizio del proprio diritto di difesa in sede penale, ma TIM ha negato questa possibilità: è intervenuto il Garante privacy, sanzionando la società per 150mila euro per violazioni al GDPR

07 Dic 2021
C
Marina Rita Carbone

Consulente privacy

Il Garante Privacy ha sanzionato TIM per 150 mila euro dopo che la società ha negato ad un abbonato l’accesso ai propri tabulati telefonici, che si rendeva necessario per l’esercizio del proprio diritto di difesa in sede penale.

Trattasi di una sanzione molto interessante, in quanto rimarca l’importanza conferita dal Garante al diritto di accesso degli interessati riconosciuto dall’art. 15 GDPR e, più nello specifico, dall’art. 132 del Codice Privacy, per come modificato dal D.lgs. 101/18. L’importanza del provvedimento, assunto in urgenza, è demarcata /anche dal contesto e dalla finalità per le quali l’interessato richiedeva l’accesso ai propri tabulati, da ritenersi del tutto prevalente in quanto connessa all’esigenza di difendere i propri diritti in sede penale.

Tale eventualità, infatti, rappresenta un’esenzione al generalissimo divieto di produzione dei tabulati, proprio in virtù della rilevanza data al diritto di difesa in giudizio e alla necessità, per gli interessati, di affermare la propria innocenza.

Tim, la richiesta dell’interessato

Nel caso che ci occupa, il difensore dell’interessato esercitava le facoltà di richiesta di documentazione di cui all’art. 391-quater cpp, specificando che il suo assistito, condannato con decreto penale (allegato alla richiesta) si era opposto a detto decreto, dichiarandosi estraneo al reato contestatogli. In particolare, veniva chiarito, da parte del legale, come “le chiamate” cui si faceva riferimento nell’opposto decreto penale di condanna provenissero da un’utenza sì riconducibile all’interessato, ma in uso, all’epoca dei fatti, ad un soggetto diverso dallo stesso. Veniva avanzata pertanto, ai sensi del combinato disposto di cui agli artt. 15 GDPR e 132 Codice Privacy, una richiesta specifica, esplicita e congruente con il titolo di reato, a scopo difensivo.

WEBINAR
25 Maggio 2022 - 14:30
Cybersecurity 360Summit: nuove strategie, nuove minacce e nuove difese!
Sicurezza
Sicurezza dei dati

L’intervento del Garante privacy

Detta richiesta faceva seguito ad un’istanza precedentemente presentata dall’interessato medesimo, cui TIM non aveva dato riscontro positivo. A fronte del mancato riscontro da parte di TIM, il legale si rivolgeva in urgenza al Garante, al fine di poter ricevere i tabulati in tempo utile per l’udienza del procedimento penale pendente. Come si legge nel provvedimento reso dal Garante, TIM “avrebbe dovuto garantire l’accesso “senza ingiustificato ritardo” con riguardo ai tabulati in uscita e, solo con riguardo alle chiamate in entrata”, come indicato nel provvedimento del 2 novembre 2005, rubricato “Accesso ai dati telefonici: garanzie per le chiamate in entrata”, limitandosi a verificare l’effettiva sussistenza di un collegamento tra la richiesta ed il procedimento penale a carico dell’istante, senza che si verificasse “alcun pregiudizio per l’interessato nelle more di tale verifica, non potendo sindacare la strategia del difensore”.

Data Governance Act: luci e ombre nella strategia europea sulla data economy

Lo stesso difensore segnalava come “considerato che le indagini possono ragionevolmente riguardare anche condotte ed interazioni connesse a quelle oggetto del procedimento penale pendente, può ben ritenersi che le istanze di accesso possano riguardare anche tabulati diversi da quelli individuati dall’autorità giudiziaria nella contestazione formulata. Non a caso, lo stesso modulo predi-sposto da Tim per siffatte richieste – come ha osservato il legale del segnalante – invitava l’istante a crociare una delle finalità ivi previste (fra cui quella di accesso ai sensi dell’art. 132) e, correttamente, non richiedeva invece di inserire una motivazione specifica a supporto della richiesta di determinati tabulati”.

Cosa dice il provvedimento del 2005 sull’accesso ai tabulati

Il citato provvedimento del Garante Privacy, ai sensi del quale occorre interpretare detto provvedimento, relativo proprio all’accesso ai dati telefonici, stabilisce che i dati relativi al traffico telefonico in entrata sono da ritenersi, a tutti gli effetti, dati di carattere personale, inerenti non solo agli abbonati o ai titolari di schede prepagate ma anche ad altri soggetti (persone fisiche chiamanti o chiamate diverse dall’abbonato, quali ad esempio familiari, amici, membri di una comunità, dipendenti). Ne consegue che, con riferimento all’esercizio dei diritti da parte degli interessati, si rende necessario bilanciare la delicatezza di tali dati con i diritti che l’istante intende far valere.

“Di regola”, afferma il Garante, “non è consentito rivolgersi al fornitore di un servizio di comunicazione elettronica per presentare ad esso, con riferimento ai dati telefonici, una delle varie istanze ai sensi dell´art. 7. In particolare, non è consentito ai dati identificativi di comunicazioni telefoniche in entrata. In via di eccezione, tuttavia, le richieste di esercizio dei diritti possono essere presentate, ed evase positivamente, quando comprovano che la risposta ad esse da parte del fornitore è necessaria per evitare “un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397” (art. 8, comma 2, lett.  f))”.

La richiesta di accesso, pertanto, poiché costituisce un’eccezione alla regola generale, è da ritenersi legittima nel caso in cui sia corredata da una motivazione che indichi l’intenzione di utilizzare i dati esclusivamente nell’ambito del procedimento penale. “Il richiedente”, continua il Garante, “deve altresì comprovare la necessità dell’accesso, documentando con idonei elementi al fornitore che il mancato accesso determinerebbe un pregiudizio effettivo e concreto allo svolgimento delle investigazioni difensive. Il pregiudizio che il richiedente deve documentare deve essere non semplicemente ipotetico o potenziale, ma reale e specifico”.

I compiti del fornitore

Da parte del fornitore, occorre che lo stesso svolga una serie di verifiche:

  • Accertare preliminarmente l’identità e la legittimazione dell’interessato richiedente;
  • Effettuare una verifica tesa ad accertare che la richiesta sia adeguatamente motivata in merito all’esistenza del pregiudizio effettivo e concreto ad indagini difensive in corso;
  • munirsi di una dichiarazione sottoscritta personalmente dall’interessato richiedente (e/o dal difensore cui sia stato conferito il mandato per le indagini difensive), nella quale il dichiarante attesti, sotto la propria responsabilità, la veridicità di quanto prospettato e manifesti l’impegno a non utilizzare i dati per finalità e in ambiti non consentiti.

Il fornitore del servizio non deve subordinare la risposta alla presentazione di una autorizzazione dell’autorità giudiziaria, in quanto non prevista dal disposto normativo, né opporre “un diniego indifferenziato ad ogni richiesta di accesso senza avere effettuato prima i necessari riscontri”. DI particolare rilievo anche la circostanza per cui la risposta, anche negativa, all’istanza dell’interessato debba essere fornita “senza ritardo, e comunque non oltre il termine di legge di quindici giorni dal ricevimento della richiesta” (termine prorogabile nel caso in cui il riscontro comporti particolari difficoltà, o ricorrano altri giustificati motivi. Se ne ricorrono i presupposti, il diritto di accesso può essere esercitato anche rispetto a dati personali comunque conservati, ivi compresi quelli detenuti per obbligo di legge, fermo restando che i dati conosciuti mediante l’accesso non possono essere utilizzati dal richiedente in ambiti che esulano da quello penale.

Le difese di TIM

Nel corso dell’istruttoria portata avanti dal Garante, TIM ha affermato che il riscontro alla prima istanza presentata dall’interessato fosse dovuto a carenze formali, ossia alla presentazione di un documento di identità – a detta della Società – illeggibile, escludendo ipotesi di dolo o colpa nella carenza di riscontro. A seguito di ulteriori accertamenti, tuttavia, “fermo nel caso di specie il pieno rispetto dei tempi di riscontro alle richieste presentate dall’interessato e dal relativo legale, e considerata la circostanza che la mancata ostensione dei dati di traffico è stata comunque frutto di una ponderata valutazione della Società nei termini sopra esposti e non di una ritardata o mancata risposta al segnalante”, TIM medesima accertava che il documento di identità accluso al modulo per la richiesta di accesso, e inserito all’interno del file pdf allegato alla domanda, risultava effettivamente leggibile.

Pertanto, l’illeggibilità del documento era da ascriversi ad “una anomalia nella procedura interna di smistamento della PEC agli uffici competenti a lavorare la richiesta”.

I rilievi del Garante privacy

Il Garante respinge le difese di TIM, affermando, in primo luogo, che la problematica tecnica lamentata nella procedura di gestione delle istanze di accesso “non possa riflettersi negativamente sul diritto di accesso ai tabulati del segnalante”, non potendosi neppure addebitare all’istante le colpe della mancata risposta ai tentativi di contatto telefonico e via e-mail. Detti tentativi, infatti, non possono integrare “integrare, pur considerati congiuntamente, una condotta idonea ai sensi dell’art. 12, parr. 2 e 3, del Regolamento, in base al quale “Il titolare del trattamento agevola l’esercizio dei diritti dell’interessato ai sensi degli articoli da 15 a 22” e deve fornire “riscontro all’istanza di esercizio dei diritti di cui agli artt. 15-22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa””.

Trattasi senza dubbio di un elemento di rilevo, che mira a responsabilizzare pienamente il Titolare, non potendosi escludere la violazione delle norme nel caso in cui i processi interni di gestione delle richieste siano manchevoli. Anzi, ciò che afferma il Garante è l’esatto opposto: procedure non efficienti comportano, a maggior ragione, una violazione dei diritti dell’interessato, traducendosi in una lesione dei suoi diritti non giustificata e pienamente evitabile. Il Garante rilevava, quindi, che già la prima istanza relativa alle chiamate (in entrata e uscita) relative alle due utenze del segnalante avrebbe dovuto e potuto essere evasa “in modo effettivo e non meramente burocratico”, seppure in relazione ad un periodo più ridotto rispetto a quello richiesto.

L’inadempimento della Società appare maggiormente rilevante a fronte del fatto che anche la PEC del difensore, con cui veniva rinnovata la richiesta – in relazione ad un periodo differente – rimaneva inevasa, ricevendo un riscontro – per giunta negativo – soltanto a seguito della proposizione di un sollecito, a distanza di più di due mesi dal ricevimento della PEC. Con riferimento, in particolare, a detto ultimo diniego, il Garante afferma che lo stesso sia non solo tardivo, ma anche illegittimo, incongruente e gravemente negligente, e che Tim “non abbia gestito correttamente neanche le istanze presentate dal difensore del segnalante, in quanto ha omesso di consegnare i tabulati ostensibili, fornendo un riscontro supportato da una motivazione meramente temporale, essendo stato risposto da Tim –con apparente riferimento all’originaria richiesta del segnalante- che “la richiesta non (poteva) essere accolta in quanto …. i dati di traffico richiesti …. riguardano periodi di tempo eccedenti i 24 mesi dalla data di richiesta …, tempo massimo previsto dall’art. 132, comma 1, del Codice, come mo-dificato dal d.lgs. n.109/08 e succ. mod.” (v. nota Tim 8 gennaio, cit.) e, poi riportandosi a tale primo riscontro, ribadendo semplicemente che “non si è potuto darvi seguito, perché i termini di conservazione, che decorrono sempre dalla data della generazione dei dati di traffico, erano stati già superati”.

Le aggravanti e le attenuanti individuate

L’istanza avanzata dal difensore, infatti, risultava pienamente ostensibile e non viziata. Alla violazione riscontrata, in relazione agli artt. 15 GDPR e 132 Codice Privacy, si aggiungono una serie di aggravanti:

  • la gravità della violazione (art. 83, par. 2, lett. a), con riferimento alla particolare natura dei trattamenti connessi all’esercizio dei diritti in sede giudiziaria e “alla circostanza che le condotte della Società hanno ostacolato l’agevole esercizio del proprio diritto di difesa nei termini accordati dalla legge, in quanto -pur ove assicurato poi dall’intervento del giudice- può rilevarsi un aggravio delle procedure processuali, anch’esso elemento idoneo ad incidere sulla sfera soggettiva dell’interessato medesimo”;
  • la dimensione soggettiva della condotta (art. 83, par. 2, lett. b), che deve ritenersi gravemente colposa, avendo la Società omesso di riscontrare istanze chiare e motivate, sia in fatto che in diritto, oltre che reiterate;
  • il numero e la tipologia di provvedimenti inibitori, correttivi e sanzionatori, già adottati dall’Autorità a carico della Società, con riguardo anche alla non corretta gestione dei diritti degli interessati;
  • l’emanazione di un precedente provvedimento relativo alla non corretta gestione delle istanze relative ai tabulati nell’ambito delle investigazioni difensive;
  • la particolare rilevanza economica della Società (art. 83, par. 2, lett. k), tenuto conto dei dati di bilancio 2020, con specifico riferimento ai ricavi complessivi e all’utile netto.

Quali circostanze attenuanti, invece, sono state considerate:

  • la comunicata adozione di misure, relative all’istanza di accesso ai tabulati telefonici per indagini difensive, che ragionevolmente dovrebbero impedire o comunque limitare analoghe problematiche (art. 83, par. 2, lett. c);
  • la cooperazione con l’Autorità nel corso dell’istruttoria (art. 83, par. 2, lett. f).

Sulla scorta di tali elementi, il Garante ha ingiunto a TIM il pagamento della somma.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 2