venerdì 24 gennaio 2020

Contratti e promozioni non richiesti: maxi sanzione del Garante della Privacy a ENI. (Provv. del Garante della Privacy nr. 231 e 232 del 2019)

Con due distinti provvedimenti il Garante per la protezione dei dati personali ha pesantemente sanzionato ENI per aver inviato materiale promozionale indesiderato e attivato contratti con utenti del tutto inconsapevoli.

L'indagine del Garante è partita da numerosi reclami di consumatori che, senza mai aver avuto alcun contatto  nè personale, nè a distanza, scoprivano di essere parte di un contratto di fornitura di energia con la società in questione.

Altrettante segnalazioni riguardavano la continua ricezione di chiamate promozionali (teleselling) indesiderate,  per cui nessuno degli utenti aveva mai ed in nessuna occasione prestato il proprio consenso.

All’esito dell’attività istruttoria il Garante ha rilevato che sebbene (in entrambi i casi) i trattamenti oggetto di reclamo fossero stati posti in essere da responsabili del trattamento (agenti e venditori) che avevano agito in parziale violazione delle istruzioni impartite dal titolare, le misure tecniche e organizzative adottate da ENI nell’ambito dei processi di acquisizione della clientela per il tramite del canale Agenzia, non erano risultate adeguate alla natura, al contesto, alle finalità e ai rischi del suddetto trattamento, configurando una violazione dei principi di “responsabilizzazione”, di integrità e riservatezza.  

Il Garante ha puntualizzato che “ai sensi del predetto principio di accountability, il titolare è il soggetto cui è attribuita la “responsabilità generale” del trattamento che egli abbia posto in essere direttamente o che altri abbia effettuato per suo conto, gravando, pertanto, sullo stesso l’onere di attuare un sistema organizzativo e gestionale contraddistinto da misure reali ed efficaci di protezione dei dati nonché comprovabili, ciò non soltanto mediante la corretta e puntuale predisposizione degli adempimenti imposti dalla normativa di protezione dei dati (informativa, registro delle attività di trattamento, nomina del responsabile della protezione dei dati ove obbligatoria, valutazione di impatto ove necessaria ecc.), ma soprattutto attraverso l’implementazione di procedure e prassi organizzative atte a conformare i relativi trattamenti al medesimo Regolamento (UE) 2016/679 (es. processi di mappatura dei trattamenti, regole per l’attribuzione di responsabilità, programmi di formazione del personale, procedure per la gestione delle richieste di esercizio dei diritti e dei reclami, policy per la gestione e comunicazione di violazioni di sicurezza, previsione di audit interni ed esterni con cadenza periodica ecc.)”.

Nei provvedimenti si sottolinea anche la grande attenzione che l’Autorità pone nell’affrontare il fenomeno (fin troppo diffuso) dei contratti non richiesti nel libero mercato dell’energia, definendolo un vero e proprio allarme sociale anche con riferimento ai profili di illecita circolazione dei dati personali dei clienti.

In definitiva una privacy policy lacunosa e poco chiara, l’assenza di sistemi di sicurezza volti a verificare l’operato delle persone autorizzate e un sistema di controllo dei consensi poco efficace, sono costati molto cari ad ENI che si è vista comminare una maxi sanzione per complessivi 11 milioni e 500 mila euro.