Negato l’accesso ai tabulati telefonici di un utente: TIM condannata

Con il Provvedimento 11 novembre 2021, n. 401 il Garante per la Protezione dei dati personali ha ordinato a TIM di pagare la somma di 150 mila euro per non aver rispettato il Provvedimento 27 maggio 2021, n. 216 nel quale il Garante aveva imposto all’azienda di dare urgentemente riscontro alle richieste pervenute da un proprio cliente, finalizzate all’esercizio del diritto alla difesa nel corso di un procedimento penale che lo vedeva coinvolto.

Riepilogo della vicenda

Nel marzo del 2021 il Garante ha ricevuto una segnalazione da parte dell’avvocato di un cliente della compagnia, intestatario di due linee mobili, nella quale veniva esposto che tale cliente, a cui era stato contestato un reato, aveva richiesto l’accesso ai tabulati telefonici degli ultimi 24 mesi, dal momento che una delle due utenze era in uso esclusivo ad un’altra persona e i dati relativi alle comunicazioni in entrata e in uscita di tale linea erano necessari al fine di chiarire la propria posizione ed esercitare adeguatamente il proprio diritto alla difesa (tutelato tra l’altro dall’art. 24 Costituzione).

Dopo aver pertanto provveduto prima personalmente e poi per tramite del proprio difensore a richiedere tali dati (secondo quanto previsto dall'art. 391-quater c.p.p., richiamando inoltre il provvedimento dell’Autorità datato 14 Maggio 2020 in materia di accesso ai tabulati, di cui all’art. 132 del Codice Privacy), risulta che TIM abbia rigettato l’istanza stante l’impossibilità, come riportato dal legale, “di fornire i dati relativi ad un periodo superiore al biennio dalla data della richiesta”. Alla luce di ciò il legale ripresentava l’istanza secondo le indicazioni fornite dalla compagnia, tuttavia questa ribadiva senza ulteriori motivazioni il diniego già opposto. Tale condotta tuttavia avrebbe violato, secondo il difensore, quanto previsto dall’art. 132, co. 5 bis del Codice Privacy, che richiama l’art. 24 legge n. 167/2017 il quale prevede per alcune tipologie di reato la conservazione dei dati del traffico telefonico per un periodo di 72 mesi.

Rinnovando quindi nuovamente la richiesta, il legale chiedeva all’Autorità di “valutare la condotta inadempiente di TIM. ed adottare eventuali provvedimenti a carico della Società”.

Le osservazioni di TIM

A seguito della richiesta di chiarimenti da parte dell’Autorità, TIM ha risposto di non aver potuto provvedere ad un riscontro positivo dal momento che, tra gli altri motivi:

1. le prime istanze non potevano essere prese in considerazione “stante l’assenza di un documento di identità che comprovasse l’identità del richiedente”;
2. in quelle successive, il legale avrebbe chiesto dati relativi anche all’utenza non oggetto del procedimento penale, per un periodo ulteriore ai 24 mesi;
3. “gli argomenti addotti dal segnalante sarebbero stati generici e poco chiari e dunque non in linea con il principio di finalità precipuo della normativa in materia di data retention, nonché, con specifico riguardo alle chiamate in entrata, inidonei a dimostrare un pregiudizio effettivo e concreto alle investigazioni difensive”;
4. che la fattispecie di reato oggetto del procedimento a carico del cliente non rientrasse “nelle ben diverse e gravissime fattispecie che abilitano alla ulteriore conservazione fino a 72 mesi”.

Osservazioni queste ritenute dal legale del cliente “inconferenti” e circostanziali, dal momento che “nulla di quanto esposto era mai stato richiesto da TIM”, portando costui a ribadire la condotta omissiva della Società.

Le osservazioni del Garante

Esaminata la questione, anche alla luce delle osservazioni della Società, il Garante ha ritenuto di censurarne il comportamento, ponendo alla base di tale decisione i seguenti motivi.

1. Innanzitutto, in relazione ai problemi tecnici lamentati da TIM nella gestione delle istanze dell’utente, va ritenuto che questi “non possono incidere negativamente sul diritto di accesso e sull’effettivo controllo e disponibilità dei propri dati”, previsti dagli artt. 12 e 15 del Regolamento Europeo 679 del 2016; sta infatti alla società predisporre gli strumenti idonei al fine di poter dare riscontro in maniera adeguata e “senza ingiustificato ritardo” (comunque non superiore a un mese) alle richieste dell’interessato, agevolando l’esercizio di tali diritti.

Pertanto, i tentativi di contatto posti in essere dalla Società tramite diverse telefonate e l’invio di una email ordinaria, finalizzati a chiedere l’integrazione dell’istanza (peraltro a quasi 20 giorni dal suo ricevimento), non possono sicuramente rappresentare una condotta idonea ai sensi del predetto Regolamento.

2. In secondo luogo, il Garante, alla luce delle critiche mosse da TIM circa il contenuto delle richieste dell’utente, ha evidenziato come la compagnia telefonica non può assolutamente sindacare nel merito la strategia difensiva dell’imputato, dal momento che essa resta ad esclusiva discrezione di quest’ultimo e del proprio legale.

Questo a maggior ragione nel momento in cui l’avvocato ha successivamente reiterato la richiesta di accesso ai tabulati, anche modificando le date come richiesto dalla Società, che in questo senso avrebbe “potuto e dovuto dare riscontro positivo alle istanze”, senza entrare nel merito “della necessità e utilità dei periodi di traffico richiesti dal difensore, limitandosi esclusivamente alla formale verifica dei termini previsti dall’art. 132”.

Questo per due ordini di motivi:

• da un lato, perché se “le indagini possono ragionevolmente riguardare anche condotte ed interazioni connesse a quelle oggetto del procedimento penale pendente, può ben ritenersi che le istanze di accesso possano riguardare anche tabulati diversi da quelli individuati dall’autorità giudiziaria nella contestazione formulata”;
• da un altro, perché lo stesso modulo predisposto da TIM per questo tipo di richieste richiede di indicare una delle finalità previste (fra cui quella di accesso ai sensi dell’art. 132) senza richiedere, correttamente, l’inserimento di una motivazione specifica.

Va inoltre segnalato come l’accesso ai tabulati in oggetto, che non includevano il contenuto delle comunicazioni (staremmo in questo caso parlando di intercettazioni ex art. 266 c.p.p.), non avrebbe comportato una eccesiva ingerenza nei confronti di dati “esterni” (quali utenze chiamanti, data e ora del contatto ecc), pertanto tale rischio risulterebbe sensibilmente ridotto (rischio che, comunque, non spetterebbe alla Società valutare, bensì al legale).

La decisione del Garante

In conclusione, alla luce dei motivi sopra esposti, degli atti acquisiti in istruttoria e della fattispecie in oggetto, il Garante ha ritenuto che fosse presente un collegamento diretto “tra i dati di traffico richiesti dall’utente e le ipotesi di reato formulate a suo carico, nonché la necessità dei dati richiesti, inclusi quelli in entrata, per lo svolgimento delle investigazioni difensive volte a tutelare il fondamentale diritto di difesa del segnalante nelle more del pendente giudizio penale”.

Nel calcolare l’entità della sanzione l’Autorità ha tenuto conto:

• della condotta particolarmente negligente della Società, che ha trascurato ripetutamente le istanze “chiare e motivate, in fatto e in diritto” dell’utente finalizzate ad esercitare il proprio diritto di accesso ai dati;
• del fatto che tale atteggiamento ha comportato per l’utente la difficoltà di esercitare “il proprio diritto alla difesa nei termini accordati dalla legge, in quanto sebbene possa essere assicurato comunque da un successivo intervento del giudice, può rilevarsi un aggravio delle procedure processuali, anch’esso elemento idoneo ad incidere sulla sfera soggettiva dell’interessato medesimo”;
• dei recenti provvedimenti emessi a carico della medesima società, tra cui il provvedimento 14 maggio 2020, n. 85 (doc. web n. 9442587) con il quale era stata accertata la non corretta gestione delle istanze relative ai tabulati nell’ambito delle investigazioni difensive;
• “della particolare rilevanza economica della Società”, come riportato dall’ultimo bilancio;
• della pronta collaborazione con l’Autorità nel corso dell’istruttoria e del fatto di aver eseguito senza ritardo il provvedimento correttivo.

IN COLLABORAZIONE CON

>> Scopri tutte le date dei corsi in materia di Privacy di Altalex!