Con Provvedimento dell’8 febbraio 2024, l’Autorità Garante per la protezione dei dati personali ha irrogato una sanzione nei confronti di Enel Energia pari a 79 milioni di euro per gravi carenze nei trattamenti dei dati personali; si tratta della sanzione più alta mai applicata.
L’Autorità Garante per la protezione dei dati personali ha sanzionato la società Enel Energia S.p.A. per gravi carenze nei trattamenti dei dati personali con una sanzione amministrativa pecuniaria di euro 79.107.101, pari all’8% del massimo edittale, una percentuale decisamente alta rispetto alla media.
Il Provvedimento fa seguito ad un’istruttoria avviata dall’Autorità ad esito di un’indagine relativa ad attività di marketing telefonico svolte da quattro società italiane che, senza alcun contratto di collaborazione o autorizzazione da parte di Enel, promuovevano servizi di energia elettrica e gas attraverso modulistica e tesserini di riconoscimento contraffatti. Tali società contattavano potenziali clienti tramite l’uso di elenchi telefonici acquisti illecitamente e in violazione delle disposizioni in materia di Data Protection e Telemarketing e caricavano i contratti conclusi per conto di Enel Energia nei sistemi informativi della stessa senza però disporre di autorizzazioni e autonome credenziali di accesso.
A seguito di tale indagine, il Garante aveva già provveduto a sanzionare le quattro società con sanzioni da 1,8 milioni di euro e con la confisca delle banche dati utilizzate per le illecite attività di marketing accertate.
Tale attività illecita di telemarketing ha comportato la stipula di 978 contratti di fornitura di energia elettrica e di gas a favore di Enel da parte delle quattro società e, ulteriormente, “stando all’esame del materiale confiscato in esecuzione del provvedimento n. 184/2023, avrebbero introdotto nei sistemi di Enel Energia, dal 2015 al 2022, circa 9300 contratti”, nonostante le società stesse non appartenessero alla rete di vendita della compagnia energetica in questione (in questo senso si parla di “sottobosco del telemarketing”).
Di conseguenza, dall’attività istruttoria dell’Autorità è derivato l’accertamento della responsabilità di Enel Energia delle seguenti violazioni: i) Violazione dei principi di accountability e di privacy by design, in quanto Enel non ha adeguatamente controllato le agenzie che procacciavano illecitamente contratti alla società; ii) Mancanza di una corretta valutazione dei rischi correlati all’uso della piattaforma “N.Eve” messa a disposizione delle agenzie autorizzate a svolgere attività di Telemarketing al fine di introdurre nel sistema informativo della società i contratti conclusi. Nello specifico, Enel Energia non aveva controlli per evitare che le credenziali di accesso ai sistemi informatici fossero utilizzate su più dispositivi contemporaneamente; iii) Violazione dell’art. 28 GDPR in quanto Enel, titolare del trattamento, non ha svolto i dovuti controlli sulle agenzie che svolgono attività di telemarketing (responsabili/sub responsabili del trattamento).
Per questi motivi, oltre alla sanzione pecuniaria, il Garante ha ingiunto a Enel di comunicare l’esito del procedimento ai soggetti interessati i cui dati sono stati illecitamente acquisiti e inseriti nei sistemi informatici di Enel e di provare con adeguata documentazione l’implementazione delle misure di sicurezza relative alle credenziali di accesso della piattaforma N.Eve e delle misure di garanzia della tracciabilità e del monitoraggio delle operazioni svolte sulla piattaforma stessa. Ancora, l’Autorità garante ha ingiunto alla società in questione di prevedere che le agenzie di telemarketing autorizzate a tale attività stipulino adeguati contratti con eventuali sub-agenzie esplicitando chiaramente la distribuzione delle responsabilità del trattamento dei dati personali ai sensi dell’art. 28 GDPR.
Con riferimento all’ammontare della sanzione, come anticipato, il Garante ha emanato la sanzione più alta di sempre, tenendo in considerazione: i) la gravità delle violazioni, in considerazione dell’oggetto e delle finalità del trattamento nell’ambito di un’attività di telemarketing, nonché del numero di soggetti coinvolti e della durata delle condotte illecite (dal 2015 al 2022); ii) il carattere negligente delle violazioni, quale fattore aggravante; iii) l’ulteriore aggravante dell’elevato grado di responsabilità del titolare del trattamento che ha adottato misure tecniche ed organizzative inefficaci e non idonee a tutelare i dati dei propri clienti.
Si tratta sicuramente di un provvedimento duro, frutto forse del rapporto inasprito con Enel, ma che ricorda a tutti i titolari che un adeguato controllo della propria filiera è assolutamente necessario.
DISCLAIMER: Questo articolo fornisce solo informazioni generali e non costituisce consulenza legale di alcun tipo da parte di Macchi di Cellere Gangemi che non si assume alcuna responsabilità per il contenuto e la correttezza della newsletter. L’autore dell’articolo o il vostro contatto in studio sono a Vostra disposizione per qualsiasi ulteriore chiarimento.