by

Con provvedimento n. 427 del 28 settembre 2023, il Garante Privacy ha sanzionato una società energetica per 10 milioni di euro per l’attivazione di contratti non richiesti, mediante il trattamento di dati inesatti e non aggiornati di clienti: la violazione sarebbe imputabile all’assenza di adeguate misure tecnico-organizzative.

Il provvedimento del Garante giunge a seguito di numerose segnalazioni di consumatori che avevano lamentato l’attivazione di contratti di fornitura di energia elettrica e gas a loro insaputa. In particolare, i reclamanti avevano segnalato di aver appreso dell’instaurazione del rapporto di somministrazione solo a seguito della ricezione di una lettera di chiusura pervenuta dal precedente fornitore o dei solleciti di pagamento ricevuti dalla società energetica sanzionata. Gli utenti non avevano mai avuto contatti con la società in questione, né in presenza, né a distanza. Tra i numerosi disagi che hanno lamentato i segnalanti emerge anche la difficoltà di individuare la società energetica fornitrice del servizio e di avere accesso alla documentazione contrattuale.

A quanto pare, le indagini dell’Autorità hanno fatto emergere che la società, in qualità di titolare del trattamento, avrebbe trattato i dati personali di potenziali clienti attraverso una rete di circa 280 agenzie e subagenzie responsabili del trattamento ai sensi del GDPR. Le agenzie stipulavano contratti tramite telefono e porta a porta, ai sensi della sanzione rileva in particolare questo secondo canale. La società energetica non si era tuttavia dotata di strumenti e procedure idonee ad avere certezza che i dati inseriti dai venditori all’interno del proprio database corrispondessero effettivamente ai reali utilizzatori delle utenze.

Il Garante ha rilevato una violazione del principio di accountability da parte della società che avrebbe attuato misure tecniche e organizzative inadeguate ad assicurare il rispetto degli obblighi imposti dal GDPR in tema di liceità del trattamento e a tutelare effettivamente i diritti degli interessati.

Il Garante ha rilevato che in alcuni casi il processo di acquisizione di nuovi clienti sarebbe avvenuto tramite il trattamento di dati inesatti e non aggiornati della clientela. A titolo esemplificativo è stata evidenziata la presenza di 2.462 contratti in cui l’indirizzo e-mail attribuito al potenziale cliente (pippo@pluto.it) era ripetuto per più di 5 volte.

Il Garante ha ribadito nel provvedimento sanzionatorio che in base al principio di accountability, il titolare del trattamento è responsabile delle attività di trattamento che egli abbia posto in essere personalmente o tramite responsabili. In questo senso, lo stesso ha l’onere di attuare un sistema organizzativo e gestionale contraddistinto da misure effettive ed efficaci di protezione dei dati.

Tale principio, dunque, impone al titolare di configurare ab origine il trattamento prevedendo tutte le garanzie necessarie (e non meramente “accettabili” come dichiarato dalla Società) “al fine di soddisfare i requisiti” del Regolamento e tutelare effettivamente i diritti degli interessati. Il Garante Privacy ha, pertanto, chiarito che gli oneri di controllo non sono limitabili all’adempimento di meri controlli formali, ma devono riguardare l’effettiva implementazione di misure idonee ad assicurare i diritti degli utenti.

Nello specifico settore dell’energia e del gas, il Garante si è già espresso in un provvedimento del 2019, indicando le modalità organizzative e gestionali che un titolare del trattamento, operante quale fornitore di energia nel mercato libero, è tenuto ad implementare, all’atto dell’acquisizione di nuovi clienti, per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR.

Tale decisione, per quanto rivolta a uno specifico operatore, contiene indicazioni di portata generale in relazione alle misure tecnico-organizzative necessarie a garantire l’esattezza dei dati personali dei potenziali clienti in tale peculiare settore, in particolare ove questi siano raccolti e trattati da responsabili nominati ai sensi dell’art. 28 del Regolamento, ha chiarito il Garante Privacy.

Contrariamente a quanto sostenuto dalla società energetica, proprio perché direttamente proporzionate ai rischi insiti nelle attività di trattamento volte all’acquisizione di nuovi clienti in questo specifico settore, non possono essere “ridotte” in virtù della dimensione del titolare o della sua capacità economica.

Il Garante Privacy ha concluso rilevando che l’inadeguatezza e la lacunosità delle sopracitate misure hanno permesso agli agenti di operare in violazione delle istruzioni impartite dal titolare, con ripercussioni sulla liceità dei relativi trattamenti. L’introduzione di misure adeguate avrebbe, per contro, reso possibile intercettare preventivamente i trattamenti posti in essere per il tramite di dati personali inesatti, procedendo tempestivamente all’aggiornamento degli stessi.

L’Autorità ha quindi ordinato alla società energetica il pagamento di 10 milioni di euro a titolo di sanzione amministrativa e ha ingiunto l’adozione di una serie di misure correttive tecniche ed organizzative, tra cui:

  • l’utilizzo di un sistema di “check-call” bloccante che permetta di verificare la correttezza dei contratti acquisiti tramite la rete di venditori;
  • l’introduzione di sistemi di alert idonei a rilevare eventuali comportamenti scorretti e/o fraudolenti di acquisizione dei dati di potenziali clienti da parte dei venditori; l’implementazione di meccanismi di accertamento della effettiva ricezione delle comunicazioni trasmesse al cliente in fase di contrattualizzazione; e
  • l’adozione di regole procedurali volte a rafforzare le attività di audit nei confronti dell’operato delle agenzie.

Sul punto potrebbe essere di interesse il seguente articolo: “Eseguita dal Garante confisca banche dati dedicate a telemarketing”.

(Visited 85 times, 1 visits today)
Close Search Window