Il Garante per la Protezione dei Dati Personali, con due provvedimenti datati 11 gennaio 2020, ha irrogato a ENI Gas e Luce (EGL) una duplice sanzione, per un totale di 11,5 milioni di euro. Le sanzioni riguardano rispettivamente trattamenti illeciti di dati personali nell’ambito di attività promozionali e attivazione di contratti non richiesti.
Nel determinare le sanzioni il Garante a considerato i parametri indicati nel GDPR, tra i quali figurano l’ampia platea dei soggetti coinvolti (le irregolarità hanno interessato circa 7200 consumatori), la pervasività delle condotte, la durata della violazione, le condizioni economiche di EGL.
La prima sanzione di 8,5 milioni di euro riguarda trattamenti illeciti nelle attività di telemarketing e teleselling riscontrati nel corso di accertamenti e ispezioni svolti dall’Autorità a seguito di diverse decine di segnalazioni e reclami, ricevuti all’indomani della piena applicazione del Regolamento UE. Tra le violazioni emerse spiccano:
- le telefonate pubblicitarie effettuate senza il consenso della persona contattata o nonostante il suo diniego a ricevere chiamate promozionali, oppure senza attivare le specifiche procedure di verifica del Registro Pubblico delle Opposizioni;
- l’assenza di misure tecnico organizzative in grado di recepire le manifestazioni di volontà degli utenti;
- tempi di conservazione dei dati superiori a quelli consentiti;
- l’acquisizione dei dati dei potenziali clienti da soggetti (list provider) che non avevano acquisito il consenso per la comunicazione di tali dati.
La seconda sanzione di 3 milioni di euro riguarda violazioni nella conclusione di contratti non richiesti nel mercato libero della fornitura di energia e gas. Molti consumatori si erano rivolti all’Autorità lamentando di aver appreso della stipula di un nuovo contratto solo dalla ricezione della lettera di disdetta del vecchio fornitore o dalle prime fatture di EGL. In alcuni casi poi le segnalazioni denunciavano la presenza nel contratto di dati inesatti e di sottoscrizione apocrifa.
Il Garante ha inoltre ingiunto a EGL l’adozione di una serie di misure correttive e l’introduzione di specifici alert in grado di individuare varie anomalie procedurali. Le implementazioni dovranno essere introdotte e comunicate all’Autorità in tempi stabiliti, mentre il pagamento delle sanzioni dovrà essere effettuato entro trenta giorni.
Trattasi delle sanzioni più elevate finora comminate in Italia dall’entrata in vigore del Regolamento Generale sulla Protezione dei Dati. Tale ammontare non può tuttavia insidiare le prime posizioni della classifica concernente sanzioni più salate imposte a livello UE dalle varie Data Protection Authority. Sul podio dei castigati in epoca GDPR per ora rimangono incontrastati:
- British Airways condannata dall’ICO britannica a pagare 205 milioni di euro per un data breach del 2018 concernente i dati di quasi mezzo milione di passeggeri;
- il gruppo alberghiero Marriott che per 4 anni (2014-2018) non ha impedito che i dati di 340 mila di ospiti fossero esposti ad un incursione hacker e che l’ICO ha sanzionato per 110 milioni di euro;
- Google LLC cui il CNIL francese ha inflitto ad inizio 2019 una sanzione da 50 milioni di euro per violazione dei principi GDPR di trasparenza e di liceità in riferimento ad alcuni trattamenti posti in essere dal sistema Android per dispositivi mobili.
