Garante Privacy: sanzione di cinque milioni di euro a un fornitore di luce e gas

La vicenda riguarda diversi reclami pervenuti al Garante della privacy (di seguito anche “Autorità” o “Garante”), aventi ad oggetto il trattamento dei dati personali inesatti e non aggiornati di clienti, posto in essere da Hera Comm S.p.A. (di seguito anche “Società”), per il tramite di agenti porta a porta, nell’ambito della fornitura di energia elettrica e gas, mediante la conclusione di contratti non richiesti nel mercato libero.
L’Autorità è intervenuta a seguito di numerose segnalazioni e reclami riguardanti la conclusione di contratti non richiesti nel mercato libero, compilati con dati inesatti e non aggiornati di clienti della società.
Il Garante della privacy ha ordinato con il Provvedimento del 17 luglio 2024 a Hera Comm S.p.A. il pagamento di una sanzione di cinque milioni di euro per gravi violazioni riscontrate nel trattamento dei dati personali di oltre 2.300 clienti nell’ambito della fornitura di energia elettrica e gas.
Per un approfondimento in materia consigliamo il volume: I ricorsi al Garante della privacy -I diritti, i doveri e le sanzioni

Indice

1. Analisi delle istanze di reclamo pervenute al Garante


In particolare, i reclamanti hanno lamentato di aver appreso dell’instaurazione del rapporto di somministrazione, solo a seguito del recapito da parte di Hera Comm S.p.A. di documentazione contrattuale recante sottoscrizione apocrifa o della ricezione di comunicazioni volte all’aggiornamento dello stato di attivazione di forniture di energia, asserendo di non aver mai avuto alcun contatto né personale né a distanza con la già menzionata Società.
È stata altresì segnalata la contestuale attivazione, da parte di Hera Comm S.p.A., di polizze assicurative, recanti anch’esse firma falsa, correlate ai sopra citati contratti di somministrazione.
Le istanze trasmesse all’Autorità hanno, inoltre, evidenziato le rilevanti difficoltà e i disagi sopportati dai predetti clienti a causa delle attivazioni non richieste subite. Primi tra tutti quelli inerenti alla necessità di avere accesso alla documentazione contrattuale[1] nonché quelli relativi al tempo perso e ai costi affrontati[2] per avviare le azioni amministrative e giudiziarie previste dalla legge a tutela del consumatore[3].
Sono inoltre stati presentati alcuni reclami nei confronti della medesima Società in materia di inesatto e/o tardivo riscontro alle richieste di esercizio dei diritti avanzate ai sensi degli artt. 15-22 del GDPR (di seguito anche “Regolamento”). Per un approfondimento in materia consigliamo il volume: I ricorsi al Garante della privacy -I diritti, i doveri e le sanzioni

FORMATO CARTACEO

I ricorsi al Garante della privacy

Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.

Michele Iaselli | Maggioli Editore 2022

2. Il trattamento dei dati personali dei clienti per il tramite di agenti porta a porta


Le attività di contrattualizzazione della clientela della società Hera Comm S.p.A. sono effettuate per il tramite di diversi canali quali: teleselling; agenzie porta a porta; canale “inbound” (call center); contrattualizzazione via web; sportelli e altre attività. In particolare, le vendite tramite canali porta a porta sono effettuate mediante il ricorso ad agenzie. Queste ultime sono designate responsabili del trattamento ai sensi dell’art. 28 del Regolamento GDPR 2016/679 e, per ogni attività svolta sottoscrivono un contratto specifico.
La Hera Comm S.p.A. ha stabilito le regole cui devono attenersi gli agenti porta a porta in fase di sottoscrizione delle proposte contrattuali, che sono specificate all’interno del contratto di agenzia.
Dalle ispezioni effettuate, l’Autorità ha accertato che la società non aveva adottato misure tecniche e organizzative adeguate a scongiurare l’utilizzo illecito dei dati dei clienti da parte degli agenti porta a porta. Quest’ultimi acquisivano infatti le generalità degli interessati mediante l’uso di dispositivi personali, scattando ad esempio foto del relativo documento di riconoscimento, per poi procedere a loro insaputa all’attivazione della fornitura. In alcuni casi gli agenti attivavano anche polizze assicurative, sottoscritte con firma falsa, inviate insieme ai contratti. Inadeguato anche il sistema di monitoraggio utilizzato dalla società mediante telefonate di controllo volte a verificare l’effettiva volontà del cliente. Nella maggior parte dei casi, infatti, l’attivazione era avvenuta anche quando tali chiamate non erano andate a buon fine per l’irreperibilità della persona contattata.

3. I reclami in materia di esercizio dei diritti dell’interessato


Sono inoltre pervenuti al Garante due reclami, in materia di esercizio dei diritti, aventi ad oggetto l’inesatto e/o tardivo riscontro, da parte di Hera Comm S.p.A., alle istanze di accesso ai propri dati presentate, ai sensi dell’art. 15 del Regolamento, rispettivamente il 16 novembre 2022 e il 3 gennaio 2023.
In termini generali, dalle verifiche effettuate, è innanzitutto emerso che la Società, al fine di adempiere agli obblighi ex art. 12 del Regolamento, ha adottato una specifica procedura[4] volta a definire le modalità di gestione di “tutte le tipologie di reclamo/richieste di informazioni ricevute (..) sia per il tramite della struttura Customer Value Management sia per il tramite dell’Ufficio del DPO”. I reclami sono inseriti in un sistema denominato S.Co.Re. che ha dimostrato disallineamenti e disguidi tecnici come evidenziato dai citati reclami.

Potrebbero interessarti anche:

4. Conclusione


Pertanto, l’esito dell’istruttoria del Garante ha portato a rilevare l’illiceità del trattamento dei dati personali dei clienti per il tramite di agenti porta a porta e i reclami in materia di attivazioni non richieste, nonché l’inadeguatezza delle misure tecniche e organizzative adottate dalla Società nell’ambito delle attività di contrattualizzazione dei clienti e, per ultimo, anche le violazioni in materia di esercizio dei diritti degli interessati.
Alla luce di quanto complessivamente rilevato, l’Autorità con il Provvedimento del 17 luglio 2024 ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria, non consentano di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultino pertanto inidonee a disporre l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019. l trattamento dei dati personali effettuato da Hera Comm S.p.A., nell’ambito delle attività di contrattualizzazione dei clienti per il tramite delle agenzie door to door, risulta infatti illecito. La violazione delle disposizioni sopra richiamate comporta l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 4, lett. a) e par. 5, lett. a) e b) del Regolamento.
Pertanto, il Garante, alla luce degli elementi acquisiti nella fase istruttoria e delle valutazioni effettuate, ha ritenuto, nel caso di specie, di applicare nei confronti di Hera Comm S.p.A. la sanzione amministrativa del pagamento di una somma pari ad euro 5.000.000,00 (cinquemilioni/00).
Il Garante, inoltre, ha ritenuto ad ogni modo necessario, alla luce delle ulteriori criticità rilevate a carico del titolare del trattamento, ingiungere una serie di misure correttive, tra cui l’adozione di un sistema che preveda l’interruzione del processo di contrattualizzazione in caso di mancata risposta alla telefonata di controllo, nonché l’effettuazione di verifiche preventive e audit periodici per la valutazione dell’operato delle agenzie incaricate. La società dovrà inoltre stabilire specifici tempi di conservazione dei dati, distinti per categoria e finalità di trattamento.

Note

  1. [1]

    Spesso sollecitata più volte ad Hera Comm S.p.A.

  2. [2]

    Sia in relazione alle maggiori tariffe sopportate, sia in ordine alla necessità di incaricare un legale.

  3. [3]

    Quali, ad esempio, la presentazione di istanze di accesso alla documentazione contrattuale; l’inoltro di reclami al fornitore; l’avvio della procedura di ripristino presso l’Autorità di regolazione per energia, reti e ambiente; le azioni connesse all’annullamento delle polizze assicurative attivate; l’eventuale presentazione di una denuncia penale; ecc.

  4. [4]

    Cfr. verbale del 18 aprile 2023, All. 15, paragrafi 5.2 e 5.4.

Armando Pellegrino

Scrivi un commento

Accedi per poter inserire un commento