Con un recente provvedimento (n. 427/2023) il Garante per la Protezione dei dati personali ha irrogato una sanzione di 10 milioni di Euro ad una società fornitrice di energia elettrica e gas, per aver commesso molteplici violazioni della normativa in materia di protezione dati personali.
Nel caso di specie, un elevato numeri di utenti aveva lamentato l’attivazione, a loro insaputa, di contratti non richiesti mediante il trattamento di dati inesatti e non aggiornati.
In particolare, gli utenti erano venuti a conoscenza dell’attivazione di tali contratti a seguito di solleciti di pagamento e di comunicazioni promozionali connesse ad utenze mai attivate.
Il Garante, attraverso le ispezioni condotte, ha potuto apprendere che la società aveva acquisito i nuovi contratti per la fornitura di luce e gas tramite una rete di quasi 300 agenti porta a porta, senza essersi dotata di strumenti e procedure idonee ad avere certezza che i dati inseriti dai venditori all’interno del proprio database corrispondessero effettivamente ai reali utilizzatori delle utenze (quali verifiche puntuali dell’esattezza dei dati acquisiti, verifiche dei consensi espressi ecc.).
Tali carenze avevano comportato l’acquisizione di contratti non richiesti, spesso compilati con dati personali inesatti e non aggiornati e conseguenti trattamenti abusivi.
Tra la casistica emersa, risulta emblematico il caso dell’utente che aveva contestato alla società ben 23 attivazioni su altrettante utenze aventi la stessa data di inizio e cessazione di fornitura.
A seguito di ispezione, l’ Autorità ha quindi sanzionato la società per l’importo di 10 milioni di Euro e ingiunto alla stessa l’adozione di un corposo elenco di misure correttive, tra cui l’utilizzo di un sistema di “check-call” per la verifica dei contratti acquisiti tramite la rete agenti, meccanismi di accertamento della effettiva ricezione delle comunicazioni trasmesse al cliente in fase di contrattualizzazione e l’ implementazione di regole procedurali volte a rafforzare le attività di audit nei confronti dell’operato delle agenzie.
Il caso analizzato, in cui è stata inflitta la sanzione di importo più elevato dall’entrata in vigore del Reg. UE 2016/679, ribadisce l’importanza per le organizzazioni di impostare un sistema di gestione privacy che preveda l’adozione di misure a tutela della correttezza della trasparenza e della liceità del trattamento. Detto sistema di gestione, nell’ottica dell’accountability e quindi della responsabilizzazione della società, dovrà essere dimostrabile.
Martina Pasetto