Nuova sanzione milionaria irrogata dall’Autorità Garante per la Protezione dei dati personali a una società di fornitura di materie prime: con il provvedimento n. 431 del 15 dicembre 2022, il Garante della Privacy ha contestato a Edison Energia s.p.a. diverse condotte illecite in merito al trattamento dei dati personali di diversi utenti e l’ha sanzionata con una multa da quasi 5 milioni di euro, oltre a prescrivere una serie di misure migliorative, volte a regolarizzare la posizione dell’azienda.
Indice
1. I fatti analizzati dal Garante
Dopo aver ricevuto una serie di segnalazioni da utenti che lamentavano di ricevere comunicazioni di telemarketing non sollecitate e senza consenso da parte della società Edison Energia, il Garante avviava una serie di accertamenti, che verificavano la presenza delle seguenti irregolarità:
- La numerazione dalla quale provenivano le chiamate non era censita nel Registro degli Operatori di Comunicazione (c.d. ROC) e dunque non risultava riconducibile alla rete di vendita della Società;
- La lista dei numeri contattabili fornita a Edison tramite i propri list provider (terzi legittimati, che raccolgono il consenso per il marketing di terze parti) non era stata debitamente verificata dalla società Titolare del trattamento;
- La lista dei numeri non contattabili non aveva un aggiornamento proceduralizzato e automatico, ma veniva aggiornata manualmente, senza verificare elementi essenziali con la conseguente impossibilità di “accertare la liceità dei contatti promozionali e la corretta gestione dell’opposizione effettuata dagli interessati”;
- La società titolare del trattamento deteneva, in violazione delle proprie retention policy indicate nel registro dei trattamenti, i dati di clienti cessati da oltre undici anni non anonimizzati;
- Quando i call center registravano opposizioni o revoche ai consensi, i loro nominativi venivano soltanto esclusi dalla campagna promozionale in corso e non anche dalle altre comunicazioni di marketing della società. Il processo per la cancellazione definitiva risultava essere complicato, gestito tramite e-mail;
- Durante l’accesso e la navigazione sul sito internet e l’app della società venivano richiesti i dati anagrafici degli interessati (nome, cognome, codice fiscale, numero di cellulare ed indirizzo e-mail) e il relativo consenso al trattamento senza che fosse possibile differenziare tra il consenso necessario ai fini della fruizione del servizio e quello, facoltativo, per scopi di promozione marketing e/o profilazione.
Potrebbero interessarti anche
2. Esito dell’istruttoria e conclusioni del Garante
Al termine dell’istruttoria, il Garante ha accertato la violazione di diversi articoli del GDPR, tra cui quelli relativi ai principi fondamentali, al consenso, alle misure di sicurezza, nonché alle finalità di marketing ed ai diritti degli interessati, ed ha ribadito alcuni principi fondamentali.
Innanzi tutto, ha ribadito che la prassi di acquistare liste di contatti da società terze invece di acquisire questi dati autonomamente viola gli artt. 5 e 6 del Regolamento, se il passaggio di dati tra più titolari avvenga “in carenza del prescritto consenso degli interessati per la comunicazione dei dati personali fra autonomi titolari”. Detto consenso alla cessione e marketing di terze parti va richiesto specificamente e separatamente.
Inoltre, è onere della società acquirente verificare che i dati siano stati raccolti conformemente al GDPR e in modo lecito prima di poterli trattare e utilizzare, non essendo sufficiente a tale scopo il successivo controllo a campione o la presa visione dell’informativa privacy del cedente, in ossequio al principio di accountability (che prevede che la responsabilità del titolare passi dalla forma alla sostanza e che lo stesso sia in grado di dimostrare di aver correttamente operato).
Infine, la procedura per la revoca del consenso da parte dell’utente deve essere agevole e rapida, così come normalmente lo è prestare il consenso: non è conforme ai principi del Regolamento rendere la richiesta di cancellazione una “corsa a ostacoli” che, di fatto, ostacola l’esercizio di un diritto fondamentale dell’interessato. Il consenso deve essere revocato nelle stesse modalità con cui è stato prestato e l’eventuale richiesta manifestata all’operatore durante la telefonata deve essere immediatamente annotata e registrata nel sistema di gestione dei consensi.
3. La sanzione
Nell’irrogare la sanzione, che ammonta a quasi 5 milioni di euro, il Garante ha tenuto conto dell’elevato numero di soggetti coinvolti (superiore ai 100mila, considerando gli utenti registrati al sito internet, quelli presenti nel database per i quali è stato acquisito un consenso unico per finalità di marketing e profilazione e quelli inseriti nella “lista di non contattabilità”), della gravità delle violazioni, in particolare con riferimento ai principi su informativa e consenso, e della negligenza dimostrata dalla società. Tuttavia, sono state prese in considerazione anche alcune attenuanti, tra cui l’assenza di precedenti procedimenti, la tempestiva adozione di misure correttive e l’elevato grado di cooperazione della società con l’Autorità di controllo.
Resta da vedere se Edison, come Enel, ricorrerà contro questa decisione davanti al Giudice ordinario e, nel caso, se con lo stesso esito positivo (sulla sentenza del Tribunale di Roma che ha annullato una sanzione del Garante a Enel per 27 milioni di euro, si rimanda a questo articolo).
Volume per l’approfondimento
La nuova privacy
Dopo l’applicabilità definitiva del GDPR, il legislatore nazionale ha adottato il D.Lgs. n. 101/2018, che ha abrogato, modificato e rinnovato numerose disposizioni del “nostro” Codice Privacy (D.Lgs. n. 196/2003). Questa guida fa il punto sulle novità e chiarisce quali sono, allo stato attuale, gli adempimenti che imprese, studi professionali e Pubblica Amministrazione sono chiamati a porre in essere, al fine di mettersi in regola con la nuova normativa, evitando così pesanti sanzioni. Argomenti trattati:• L’ambito di applicazione del GDPR • I concetti essenziali: il dato personale, la persona fisica identi- ficata e identificabile ed il trattamento • I principi per il trattamento dei dati personali • Le figure sog- gettive • Il trattamento dei dati personali • La trasparenza e l’informativa all’interessato • Il registro delle attività di trattamento • I diritti dell’interessato • La protezione dei dati fin dalla progettazione (privacy by design) • La protezione per impostazione predefinita (privacy by default ) • Le misure tecniche ed organizzative adeguate • Il trasferimento dei dati all’estero • La notifica della violazione dei dati personali • La valutazione di impatto sulla protezione dei dati e la consultazione preventiva dell’Autorità di Controllo • I codici di condotta e i meccanismi di certificazione • Le istituzioni • Forme di tutela • Le sanzioni • Le principali disposizioni transitorie e finali previste dal D.Lgs. n. 101/2018.LA NUOVA PRIVACYGli adempimenti per imprese, professionisti e P.A.dopo il decreto di adeguamento al GDPR (D.Lgs. n. 101/2018) NADIA ARNABOLDIDottore in Economia e Commercio, Dottore Commercialista (sezione A, n. 278), Revisore Contabile (n. 102461), co- ordinatrice della Commissione “Privacy, 231 ed antiriciclaggio” dell’Ordine dei Dottori Commercialisti ed Esperti Contabili di Pavia. Consulente Tecnico d’Ufficio (CTU) presso il Tribunale di Pavia in materia protezione dei dati personali. Riconosciuta “Fellow of Information Privacy (FIP)” dall’International Association Privacy Professionals (IAPP) e “Thought Leader in Privacy” da DataGuidance. Possiede le certificazioni internazionali Certified Information Privacy Professional Europe (CIPP/E), Certified Information Privacy Professional United States (CIPP/US) e Certified Information Privacy Manager (CIPM), ANSI/ISO standard 17024:2012. Nadia è Auditor/Lead Auditor ISO/IEC 27001:2013, European Privacy Auditor ISDP©10003:2015 e Auditor Database & Privacy Management SGCMF©10002:2013, PRD UNI EN ISO/IEC 17065:2012. Ha maturato una pluriennale esperienza presso primari Studi legali internazionali di Milano, è titolare dello Studio Arnaboldi dal 2004 e svolge attività di consulenza specialistica a società nazionali e multinazionali ed enti in materia di protezione dei dati personali, diritto delle nuove tecnologie, conservazione e processi documentali. Selezionata quale esperto indipendente per assistenza alla Commissione Europea, DG Home Affairs e DG Justice, in materia di Giustizia, Libertà e Sicurezza, Programma “Diritti Fondamentali e Giustizia – Protezione dei Dati Perso- nali” (2007/S 140-172522), ed inclusa nella lista di esperti per assistere la Commissione Europea nell’ambito del Programma Giustizia e del Programma Diritti, Uguaglianza e Cittadinanza (2014-2020). Componente dei gruppi di lavoro internazionali di DataGuidance “Global Data Breach Notification – At a Glance table” e “Pharmacovigilance at-a-glance advisory”, autrice dell’Advisory Note in materia di diritto farmaceutico e delle Advisory Notes su nuove tematiche in materia di protezione dei dati personali pubblicate in “Privacy this Week”. Contributor delle riviste mensili “Digital eHealth legal” (già eHealth Law & Policy) e “Data Protection Leader” (già Data Protection Law & Policy) edite da Cecile Park Publishing (CPP). Docente di corsi di formazione ed autrice di articoli specialistici e monografie in materia di protezione dei dati personali. Componente del Comitato Direttivo e coordinatrice del Comitato Scientifico dell’Associazione italiana dei Data Protection Officer (ASSO DPO).
Nadia Arnaboldi | Maggioli Editore 2018
Scrivi un commento
Accedi per poter inserire un commento