Di Pasquale Nicolazzo – Il Garante italiano per la protezione dei dati personali “si fa sentire” (nonostante il regime di “prorogatio”), sanzionando duramente per le violazioni del Regolamento UE 679/2016. L’Autority ha applicato ad Eni Gas e Luce la prima maxi-multa per violazione del GDPR.
Nel dettaglio sono state due le sanzioni inflitte (un ammontare complessivo di 11,5 milioni), relativamente a trattamenti illeciti di dati personali nell’ambito di attività promozionali e attivazione di contratti non richiesti (tra i principali parametri indicati sono stati considerati l’ampia platea dei soggetti coinvolti, la pervasività delle condotte e la durata della violazione.
Nel dettaglio sono state due le sanzioni inflitte (un ammontare complessivo di 11,5 milioni), relativamente a trattamenti illeciti di dati personali nell’ambito di attività promozionali e attivazione di contratti non richiesti (tra i principali parametri indicati sono stati considerati l’ampia platea dei soggetti coinvolti, la pervasività delle condotte e la durata della violazione.
LA PRIMA SANZIONE La prima sanzione di 8,5 milioni di euro riguarda trattamenti illeciti nelle attività di “telemarketing e teleselling”, riscontrati nel corso di accertamenti svolti dall’Autority a seguito di diverse segnalazioni e reclami, ricevuti appena ha avuto applicazione il GDPR.
Telefonate pubblicitarie effettuate senza il consenso.
Tra le violazioni spiccano le telefonate pubblicitarie effettuate senza il consenso della persona contattata (in alcuni casi anche in presenza del diniego a riceverle), quindi senza attivare le specifiche procedure di verifica del Registro pubblico delle opposizioni; l’assenza di misure adeguate in grado di recepire le volontà degli utenti; tempi di conservazione dei dati superiori a quelli consentiti; l’acquisizione dei dati dei clienti da soggetti (“list provider”) che non avevano a loro volta acquisito il consenso per la comunicazione di tali dati. Il Garante, dopo aver dichiarato l’illiceità delle condotte, ha ordinato di implementare procedure per verificare lo stato attuale dei consensi delle persone inserite nelle “liste contatti”, prima dell’inizio delle campagne promozionali. Il Garante ha inoltre vietato alla stessa Eni Gas e Luce l’uso dei dati forniti dai suddetti “List Provider”.
LA SECONDA SANZIONE La seconda sanzione, di 3 milioni di euro, si riferisce alle violazioni nella conclusione di contratti non richiesti (relativi al mercato libero della fornitura di energia e gas). Molti utenti, infatti, si sono rivolti proprio al Garante lamentando di essere venuti a conoscenza della stipula di un nuovo contratto solo dalla ricezione della lettera di disdetta del vecchio fornitore (e in alcuni casi dalle prime fatture proprio di Eni Gas e Luce).
Le gravi irregolarità hanno interessato circa 7.200 consumatori: Dagli accertamenti è emerso che le condotte adottate da Eni Gas e Luce nell’acquisizione di nuovi clienti mediante alcune agenzie esterne (operanti per suo conto), hanno determinato trattamenti non conformi al GDPR, in quanto contrari ai Principi di correttezza, esattezza e aggiornamento dei dati. Il Garante ha quindi ingiunto l’adozione di determinate misure correttive e l’introduzione di specifici avvisi in grado di individuare varie anomalie procedurali (dette implementazioni dovranno essere introdotte e comunicate all’Autorità in tempi stabiliti).
LA REPLICA DI ENI GAS E LUCE
“Eni Gas e Luce prende atto delle decisioni del Garante e si riserva di presentare ricorso verso i provvedimenti adottati dalla stessa Autorità. Eni Gas e Luce evidenzia che lo stesso Garante ha riconosciuto alla Società di aver assunto importanti iniziative volte alla definitiva risoluzione delle problematiche oggetto delle sanzioni erogate”