HomeIco

Home

 InternalIco

Internal

 GlobalIco

Global

 ContattoIco

Contatto
de|en|it

Utilizziamo cookie tecnici per personalizzare il sito web e offrire all’utente un servizio di maggior valore. Chiudendo il banner e continuando con la navigazione verranno installati nel Suo dispositivo i cookie tecnici necessari ai fini della navigazione nel Sito. L’installazione dei cookie tecnici non richiede alcun consenso da parte Sua. Ulteriori informazioni sono contenute nella nostra Cookie Policy.
Temi Contratti non richiesti e firme false: sanzione milionaria del Garante

Contratti non richiesti e firme false: sanzione milionaria del Garante

PrintMailRate-it

​​​​​​​​​​Ultimo aggiornamento del 23.09.2024 | Tempo di lettura ca. 4 minuti

​​​

Dopo la sanzione multimilionaria irrogata nei confronti di Eni Plenitude S.p.A. lo scorso giugno, con provvedimento n. 440 del 17 luglio 20241​ il Garante per la Protezione dei Dati Personali (il “Garante”) è tornato a colpire duramente un altro operatore dell’energy italiano. 

Questo conferma la crescente attenzione che l’Autorità riserva alle aziende attive nei settori ad alta intensità di interazioni commerciali con i consumatori finali e la necessità per queste di prestare particolare attenzione al livello complessivo di compliance nei confronti della normativa vigente in materia di protezione dei dati personali.

Nel mirino del Garante è finita un’altra primaria società operante nell’ambito della fornitura di energia elettrica e gas (la “Società”), che si è vista comminare una sanzione pari a 5 milioni di Euro a fronte di gravi violazioni e lacune nel proprio sistema di gestione commerciale, in particolare in relazione al canale di vendita porta a porta.

Al centro del provvedimento vi sono numerosi reclami presentati da cittadini che si sono visti recapitare documentazione contrattuale relativa a forniture di energia mai richieste, sottoscritte da agenti della Società con firme apocrife. I clienti coinvolti hanno dichiarato di non aver mai avuto contatti con l’operatore, né di persona, né tramite altri canali. In alcuni casi, oltre alla somministrazione di energia elettrica o gas, i malcapitati si sono ritrovati ad essere destinatari di polizze assicurative attivate a loro insaputa.

A valle della propria istruttoria, il Garante ha contestato alla Società l’insufficienza dei controlli interni adottati nei confronti di agenzie e agenti, operanti in qualità di responsabili del trattamento ai sensi dell’art. 28 del Regolamento (UE) 2016/679 (il “GDPR”). L’Autorità ha infatti rilevato la complessiva inadeguatezza del processo di verifica della volontà negoziale dei clienti mediante quality call, che non solo scontava la totale assenza di misure per bloccare il processo di contrattualizzazione nel caso di irreperibilità dei clienti, ma risultava anche disconnesso dal sistema di monitoraggio e verifica dell’operato delle agenzie, rendendolo assolutamente inefficace nell’identificare le anomalie e consentire alla Società di attivare adeguate azioni rimediali. 

A ciò si aggiunga che le agenzie non risultavano soggette a regolari audit, né a verifiche (nemmeno a campione) in merito al puntuale rispetto delle norme privacy e all’effettiva legittimità dei contratti attivati. Parimenti, la Società si è vista contestare l’assenza di specifiche iniziative finalizzate alla formazione in materia di protezione dei dati personali delle agenzie e dei singoli agenti.

Un ulteriore elemento di criticità riscontrato dal Garante riguarda il processo di raccolta da parte degli agenti dei documenti di identità dei clienti, essenziali per la conclusione dei contratti, attività che spesso veniva eseguita mediante l’utilizzo dei propri dispositivi mobili. Tale prassi, espressamente contemplata e avvallata dalle istruzioni sul processo di vendita messe a disposizione degli agenti dalla Società, comporta infatti un alto rischio di uso improprio delle informazioni così raccolte.

L’Autorità ha inoltre contestato alla Società specifici profili di violazione in merito a:
  • le modalità e ai tempi di conservazione dei dati della clientela, riscontrando da un lato l’assenza di una policy di retention nell’ambito del sistema CRM in dismissione e, dall’altro, l’imprecisione e lacunosità delle policy implementate nel nuovo sistema CRM; 
  • la gestione delle richieste di esercizio dei diritti da parte degli interessati, tradottasi in riscontri inadeguati e tardivi.

A seguito dell’avvio del procedimento sanzionatorio, la Società ha comunicato all’Autorità di aver intrapreso una serie di misure correttive volte a sanare le criticità rilevate e a migliorare il proprio livello di compliance. Tra queste, un potenziamento dei controlli sulla qualità delle contrattualizzazioni effettuate dalle agenzie, la revisione del processo di formazione e monitoraggio delle stesse e l’introduzione di un’app dedicata per la raccolta delle firme e dei documenti dei clienti.

Nonostante gli sforzi intrapresi, il Garante ha decretato l’inadeguatezza di alcune delle misure proposte, ingiungendo al titolare di implementare ulteriori accorgimenti al fine di evitare il perdurare delle violazioni rilevate. L’Autorità ha sottolineato la gravità di tali non conformità, che hanno interessato i principi generali del trattamento, in particolare i principi di liceità, correttezza, trasparenza, esattezza ed accountability, e ha ritenuto altresì integrati i presupposti per l’applicazione di una sanzione amministrativa di importo pari a 5 milioni di Euro.

Il caso in esame rappresenta un chiaro monito per tutte le organizzazioni che si avvalgono di reti di vendita indirette e che trattano su larga scala dati personali dei consumatori: solo un controllo rigoroso sulla filiera dei fornitori e un’efficace governance interna possono assicurare una adeguata protezione dei dati personali e prevenire il rischio di violazioni che possono danneggiare la reputazione aziendale e, soprattutto, i diritti degli interessati.

Adottando un diverso punto di vista, il provvedimento in oggetto costituisce inoltre un utile strumento a disposizione delle aziende, in quanto individua in maniera puntuale e ragionata una serie di indicazioni di portata generale in relazione alle misure tecnico-organizzative da adottare, nel corso delle operazioni di contrattualizzazione dei propri clienti, al fine di garantire la conformità alla vigente normativa in materia di protezione dei dati personali.

dalla newsletter

Legal Newsletter​​​​​​​​​

autore

Contact Person Picture

Nicola Sandon

Avvocato

Senior Associate

+39 049 8046 911

Invia richiesta

Profilo

i nostri servizi

​​data protection​​
Skip Ribbon Commands
Skip to main content
Deutschland Weltweit Search Menu