A seguito dei numerosi reclami pervenuti, il Garante Privacy ha recentemente inflitto una pesante sanzione, pari a dieci milioni di euro, ad Axpo Italia SpA, una società fornitrice di energia e gas, in ragione dei diversi inadempimenti riscontrati relativi all’attivazione di contratti non richiesti utilizzando dati di clienti inesatti e obsoleti.
Con il provvedimento del 28 settembre 2023, n. 427 il Garante Privacy è dunque tornato ad occuparsi del settore dell’energia e del gas, già più volte attenzionato da tale Autorità che, a partire dal dicembre 2019, aveva indicato le modalità organizzative e gestionali che un titolare del trattamento, operante quale fornitore di energia nel mercato libero, è tenuto ad implementare, all’atto dell’acquisizione di nuovi clienti, per dimostra la propria conformità al GDPR.
Accountability: il titolare del trattamento e il controllo dei responsabili
A seguito delle richieste di informazioni rivolte alla Società e delle ispezioni condotte, il Garante Privacy ha ritenuto sussistenti diverse violazioni del GDPR discendenti, come unico filo conduttore, dalla mancata doverosa vigilanza di Axpo Italia SpA, in qualità di titolare, sull’operato delle agenzie esterne incaricate della contrattualizzazione door to door dei clienti, designate, ai sensi dell’art. 28 del GDPR, quali responsabili delle medesime operazioni di trattamento.
Sul punto, il Garante Privacy ha respinto le difese della Società precisando come l’assolvimento da parte del titolare degli oneri di controllo sull’operato del responsabile non si limita a meri adempimenti formali e documentali (quali la predisposizione di informativa, registro delle attività di trattamento, nomina del responsabile della protezione dei dati ove obbligatoria, valutazione di impatto ove necessaria, ecc...), ma deve soprattutto riguardare l’implementazione di procedure e prassi organizzative atte a conformare i relativi trattamenti alla normativa (es. processi di mappatura dei trattamenti; regole per l’attribuzione di responsabilità; programmi di formazione del personale; procedure per la verifica dell’operato dei responsabili designati ai sensi dell’art. 28; previsione di audit interni ed esterni con cadenza periodica); e ciò, in particolare, in relazione al fenomeno sempre più diffuso delle attivazioni non richieste nel mercato libero dell’energia in quanto esposto a maggiori rischi nelle sopra menzionate attività di trattamento volte all’acquisizione di nuovi clienti.
La violazione dei principi di correttezza ed esattezza dei dati raccolti
Alla luce di quanto precisato, il Garante Privacy ha addebitato alla Società la violazione dei principi di correttezza ed esattezza dei dati ex art. 5, par. 1, lett. a) e d) del GDPR, in relazione alle attività poste in essere da alcuni agenti e venditori all’atto della acquisizione di proposte contrattuali mediante il trattamento di dati inesatti e non aggiornati riferiti alla clientela.
Sotto tale profilo, è stato ritenuto inadeguato e lacunoso il processo di verifica dei dati implementato dalla Società, basato sull’invio di una welcome letter all’indirizzo e-mail o fisico acquisito in fase di sottoscrizione del contratto, che non fornisce sufficiente certezza della corrispondenza di tali dati con il reale utilizzatore dell’utenza.
Il Garante Privacy ha specificato che, al fine di mitigare il rischio di acquisire contratti non richiesti contenenti dati personali inesatti e non aggiornati, sarebbe sufficiente l’implementazione di semplici procedure in grado di rilevare la presenza delle predette anomalie in fase di contrattualizzazione.
Misure correttive imposte
In aggiunta alla sanzione pecuniaria di cui si è detto, il Garante Privacy ha altresì ordinato ad Axpo Italia SpA di implementare un sistema di “check-call” per verificare l’accuratezza dei contratti acquisiti, l’introduzione di sistemi di allerta per rilevare comportamenti scorretti o fraudolenti da parte dei venditori, e l’adozione di procedure per garantire la ricezione effettiva delle comunicazioni inviate ai clienti durante la fase contrattuale.
Avv. Lorenzo Baudino Bessone
