Contratti non richiesti, dati inesatti e sottoscrizioni false: la condotta manifestamente scorretta e fraudolenta di una propria agenzia e la mancata applicazione di adeguati controlli costano ad Eni Gas e Luce S.p.A. una sanzione pecuniaria del valore di 3 milioni di euro a causa delle numerose violazioni riscontrate dal Garante per la protezione dei dati personali nell’ambito del trattamento di dati connesso all’attivazione dei contratti di fornitura di energia.

IL FATTO:

Eni Gas e Luce S.p.A. (di seguito “ENI” o la “Società”), società leader di mercato per la vendita di gas naturale e energia elettrica a privati ed imprese, è finita nel mirino del Garante per la protezione dei dati personali a seguito della ricezione di diversi reclami relativi alla conclusione di contratti non richiesti, di cui gli interessati erano venuti a conoscenza solo dalla ricezione della lettera di disdetta del vecchio fornitore o dalle prime fatture emesse da ENI, e che spesso contenevano dati inesatti e sottoscrizioni apocrife. In sede di istruttoria è poi emerso che la totalità delle lamentele riguardava una serie di contratti conclusi mediante una particolare agenzia, il cui operato ha portato al deposito presso le autorità competenti di denuncia-querela da parte della Società.

Con il provvedimento n. 231 dell’11 dicembre 2019 il Garante ripercorre in maniera dettagliata il processo di conclusione dei contratti relativi alla fornitura di energia mediante il canale “agenzie”, individuando le criticità ad esso connesse e rilevando “diverse carenze nelle privacy policy attuate da ENI […] , policy che sono apparse lacunose e poco efficaci soprattutto in termini di garanzia dell’esattezza dei dati trattati, di sicurezza del trattamento nonché di controllo dell’operato delle persone autorizzate a trattarli”.

In particolare, l’Autorità rileva come la Società abbia proseguito con l’attività di contrattualizzazione e conseguente attivazione della fornitura nei confronti dei consumatori nonostante l’impossibilità di ottenere debita conferma da parte degli interessati mediante il processo di “check call” a tal fine previsto e finanche in caso di esito negativo del recapito della lettera di accettazione del contratto indirizzata al cliente. L’intrinseca inadeguatezza di una simile prassi diviene ancor più evidente alla luce della totale assenza di programmi di controllo in grado di identificare eventuali “anomalie” nel processo di formalizzazione del rapporto e segnalarle alla Società. La combinazione di tali fattori ha consentito all’agenzia la cui condotta è all’origine dei reclami di operare in violazione delle istruzioni impartite dal titolare “per un considerevole lasso di tempo” (quasi un anno), con ripercussioni sulla legittimità dei relativi trattamenti posti in essere dalla Società stessa.

Il Garante ha pertanto ritenuto le misure tecniche ed organizzative adottate da ENI inadeguate “alla natura, al contesto, alle finalità e ai rischi del suddetto trattamento” con conseguente violazione del principio di responsabilizzazione, nonché del principio di integrità e riservatezza stabiliti dal GDPR.

Alla luce dei profili di illiceità del trattamento riscontrati, l’Autorità ha in primo luogo ingiunto alla Società di adottare una serie di misure correttive, che riportiamo sinteticamente qui di seguito: (i) l’implementazione di un sistema di check call “bloccante” di acquisizione dei contratti nell’ambito del canale “agenzia”, (ii) l’obbligo di registrazione della check call ove sia andata a buon fine, la definizione di sistemi di alert sensibili a varie anomalie procedurali (ad es. l’inserimento nel CRM di numerazioni e indirizzi ricorrenti, esiti di fallita consegna dei plichi contrattuali relativi alla trasmissione delle lettere di accettazione, ecc.), (iii) l’introduzione nell’ambito delle istruzioni impartite ad agenti e venditori dell’obbligo di acquisizione di copia del documento di riconoscimento del potenziale cliente, nonché (iv) la predisposizione di sistemi di audit periodici volti a verificare a campione l’operato delle agenzie operanti quali responsabili del trattamento.

In secondo luogo, il Garante per la protezione dei dati personali ha disposto la limitazione definitiva dell’ulteriore trattamento dei dati personali presenti nel CRM della Società relativi ai 7200 consumatori interessati.

Infine, stante la gravità della violazione, in relazione alla natura, alle modalità e alla durata della stessa, e tenuta in debita considerazione tanto l’elevato numero dei soggetti coinvolti che la grave negligenza dimostrata dalla Società nella selezione delle misure di sicurezza implementate, pur constatata la presenza di fattori attenuanti quale la costante cooperazione con il Garante e l’elevato costo sostenuto per lo storno integrale delle fatture inerenti agli addebiti scaturienti dalla fornitura goduta, il Garante ha provveduto all’erogazione di una sanzione amministrativa pecuniaria per la somma di tre milioni di euro, accompagnata dalla pubblicazione del provvedimento ingiuntivo sul sito dell’Autorità.

PERCHÉ È IMPORTANTE:

Il provvedimento in esame è particolarmente rilevante in quanto rappresenta una delle prime applicazioni delle inasprite sanzioni pecuniarie di cui al Regolamento UE 2016/679, consentendo di osservare i criteri ed i fattori tenuti in considerazione dal Garante nella determinazione dell’ammontare delle stesse.

Il monito del Garante è forte: l’attività di vigilanza è una realtà ed il rischio di sanzioni – anche elevate – è più che concreto. La compliance rispetto alla normativa vigente in materia di tutela dei dati personali si conferma dunque un elemento di fondamentale importanza al fine di tutelare la realtà aziendale da un impianto sanzionatorio penalizzante e gravoso come quello previsto dal GDPR.