Eni Gas e Luce è stata oggetto di due provvedimenti sanzionatori da parte dell’Autorità Garante per la protezione dei dati.

La somma delle due sanzioni è di circa 11,5 milioni di euro.

Un importo record per il nostro paese, anche se lontano dai massimi previsti dal Regolamento Europeo.

I due provvedimenti segnano un notevole cambio di passo e sono ricchi di contenuti preziosi.

I casi

I provvedimenti hanno ad oggetto due casi distinti:

  • L’attivazione di circa 7.200 contratti non richiesti, per tramite di un’agenzia esterna
  • Attività di telemarketing e teleselling per tramite di un call-center esterno

Le principali violazioni riscontrate

In entrambi i provvedimenti il Garante ha riscontrato soprattutto criticità nell’assetto organizzativo di Eni. Non violazioni di legge formali, ma sostanziali.

Tra le principali contestazioni, c’è l’inadeguatezza delle misure tecniche e organizzative adottate rispetto alla natura, contesto, finalità e rischi del trattamento – configurando una violazione del principio di “accountability” (ne abbiamo parlato qui: https://netpatrol.it/accountability-o-responsabilita-proattiva/).

Nello specifico, sono state riscontrate diverse carenze nelle politiche privacy attuate da Eni, apparse lacunose e poco efficaci, soprattutto per ciò che riguarda il controllo dell’operato dei suoi fornitori (responsabili del trattamento) e l’esercizio dei diritti dei soggetti interessati, in particolar modo per quanto riguarda la revoca del consenso.

Infine, il Garante ha riscontrato anche delle carenze per quanto riguarda il principio di limitazione della conservazione e il mancato aggiornamento delle informative.

In breve

I punti salienti si possono riassumere così:

  • Misure tecniche e organizzative inadeguate rispetto alla natura e rischi del trattamento
  • Controllo inadeguato sulle attività dei responsabili del trattamento
  • Misure inadeguate per consentire l’esercizio dei diritti dei clienti e revoca del consenso
  • Conservazione di dati più a lungo del necessario
  • Mancato aggiornamento delle informative

Cosa significa per le aziende

Il principio di accountability, o responsabilizzazione, fa sì che il titolare del trattamento sia sempre responsabile delle proprie azioni (o omissioni).

Ciò comprende inequivocabilmente anche la scelta dei fornitori e la verifica periodica del loro operato.

L’art. 28 del Regolamento dispone che il titolare debba ricorrere unicamente a responsabili del trattamento che presentano garanzie sufficienti per soddisfare i requisiti del Regolamento. Oltre a questo, il titolare è in ogni caso tenuto a rendere istruzioni specifiche e adeguate.

Ogni azienda dovrebbe quindi adottare un sistema di gestione per la protezione dei dati che tenga conto anche dei rischi posti dai fornitori. Incaricare altri di trattare dati personali non esclude la propria responsabilità.

Come è stata calcolata la sanzione

Ciò che si denota dai provvedimenti è che il Garante ha valutato l’importo della sanzione anche tenendo conto del livello di collaborazione di Eni e delle misure concretamente adottate da Eni per mitigare le conseguenze negative dell’operato dei suoi fornitori.

La completa trasparenza e collaborazione con l’Autorità, unitamente ad azioni concrete per mitigare le conseguenze negative per le persone, ha comportato una riduzione notevole dell’importo sanzionatorio, che rimane comunque elevato rispetto agli standards a cui eravamo abituati prima del nuovo Regolamento Europeo.