Il Garante per la protezione dei dati personali invita le aziende a ridurre i formalismi e a concentrarsi su processi aziendali concreti ed efficaci per garantire il pieno adempimento della normativa sulla protezione dei dati personali.
Ecco perché il Garante privacy ha disposto a E.On Energia di pagare una sanzione che supera gli 890mila euro e quali misure ha predisposto per rispettare il Regolamento europeo sulla protezione dei dati (GDPR).
Indice degli argomenti
Garante privacy: la sanzione contro E.On
Contestualmente alla sanzione da 892.738 euro, il garante privacy ha anche ordinato a E.On Energia SpA l’adozione di misure adeguate per assicurare che il trattamento dei dati personali degli interessati avvenga nel pieno rispetto della normativa sulla privacy lungo tutta la filiera del trattamento.
L’indagine è scaturita da due reclami di cittadini riguardanti chiamate indesiderate ricevute da parte della società, nonché il mancato riscontro a richieste di esercizio dei diritti ai sensi degli articoli 15 e seguenti del GDPR.
La sanzione si inserisce in un contesto normativo europeo in continua evoluzione, in cui il regolamento europeo sulla protezione dei dati impone alle aziende di adottare misure concrete e verificabili per la protezione dei dati.
Un aspetto cruciale di questo processo è il principio di accountability, che obbliga le aziende non solo a rispettare la normativa, ma anche a essere in grado di dimostrare tale conformità.
In questo caso, particolare attenzione è stata rivolta all’obbligo di monitoraggio costante nei confronti dei fornitori e dei partner, insieme alla necessità di garantire concretezza nelle istruzioni fornite ai dipendenti, le cui indicazioni devono essere specifiche rispetto alle mansioni lavorative e al contesto operativo.
Il primo reclamo
Il primo reclamo ha evidenziato due violazioni principali:
- la gestione non conforme dei consensi per finalità di telemarketing;
- e l’assenza di risposta alle istanze degli interessati.
Il Garante ha attribuito tali inadempimenti a carenze nella governance aziendale e a una scarsa consapevolezza degli obblighi imposti dal GDPR.
Nel dettaglio, una delle reclamanti ha scoperto durante una telefonata con E.On che l’azienda possedeva i suoi dati personali, tra cui l’indirizzo email istituzionale, nonostante non avesse mai aderito alla campagna pubblicitaria tramite Facebook, come sostenuto dall’operatore.
E.On ha ipotizzato che i dati fossero stati inseriti erroneamente nel modulo da un soggetto terzo, senza il consenso della reclamante.
Riguardo al mancato riscontro alla richiesta di esercizio dei diritti, E.On ha giustificato l’errore come un disguido umano commesso dal fornitore incaricato della digitalizzazione dei documenti aziendali, che ha impedito il corretto caricamento della richiesta.
Il Garante ha ritenuto illegittimo il trattamento dei dati personali raccolti tramite form online, poiché mancavano misure per verificare l’identità degli utenti e per garantire che la raccolta dei dati fossero avvenuta consapevolmente.
Tale prassi potrebbe, infatti, consentire il trattamento di dati personali ottenuti in modo illecito, alimentando la pratica del “riciclaggio” di dati nel settore del telemarketing.
Inoltre, le modalità di contatto utilizzate per le campagne di “customer caring” sono risultate invasive e non conformi ai principi di liceità e proporzionalità.
La frequenza e l’insistenza dei contatti, senza una corretta gestione del consenso e senza rispettare i limiti temporali ragionevoli, costituiscono una violazione del diritto degli interessati alla protezione della propria privacy.
Il secondo reclamo
La reclamante ha segnalato di aver ricevuto, dal 22 novembre 2023, numerose telefonate indesiderate a scopo promozionale da parte di diverse società, subito dopo l’attivazione delle forniture da parte di E.On.
Ha quindi ipotizzato che la causa del trasferimento illecito dei suoi dati a terzi fosse da attribuire alla società.
Il 29 febbraio 2024, la reclamante ha richiesto evidenza documentale dei consensi dati. E.On ha risposto il 27 marzo 2024 spiegando che, a causa di un errore materiale, la registrazione dei consensi fosse avvenuta in modo errato.
La società ha rassicurato la reclamante che il suo diniego era stato correttamente registrato.
Nonostante ciò, la reclamante ha continuato a ricevere telefonate promozionali e, il 7 aprile 2024, ha sollecitato un intervento. Tuttavia, E.On non ha fornito riscontro.
Nel reclamo, la reclamante ha evidenziato i disagi causati da queste telefonate, che stavano influendo sulla sua vita privata e professionale, generando stress, anche per la sua precedente carica pubblica.
In risposta, il 14 giugno 2024, E.On ha confermato che, a causa di un errore nel sistema Crm, i consensi della reclamante erano stati invertiti. Ha subito corretto le preferenze e assicurato che non era avvenuta la cessione di dati a terzi per finalità promozionali.
Le campagne di customer caring
Il Garante ha censurato le modalità di contatto utilizzate per le campagne di “customer caring” perché invasive e non conformi ai principi di liceità e proporzionalità.
La frequenza e l’insistenza dei contatti, senza una corretta gestione del consenso e senza rispettare i limiti temporali ragionevoli, costituiscono una violazione del diritto degli interessati alla protezione della propria privacy.
Anche sotto il profilo della selezione e del monitoraggio dei fornitori, E.On ha mostrato carenze significative. L’Autorità ha riscontrato che la società non ha adottato misure sufficienti per garantire che i partner esterni rispettassero gli obblighi previsti dal GDPR, né ha dimostrato di aver monitorato adeguatamente le attività di trattamento svolte dai propri fornitori.
Inoltre, E.On ha precisato che il mancato riscontro alla richiesta di esercizio dei diritti era dovuto a un errore materiale nel processo di gestione della posta cartacea.
Per evitare che tali errori si ripetano, la società ha avviato un processo di digitalizzazione delle proprie pratiche aziendali.
Le misure adottate dalla società
In risposta alle criticità emerse durante l’indagine e al fine di garantire una piena compliance con la normativa sulla protezione dei dati personali, E.On ha implementato una serie di misure concrete e proattive per migliorare i propri processi aziendali.
La società ha dato particolare priorità alla trasparenza nei confronti degli interessati e all’efficienza nella gestione dei dati personali. Una delle principali novità introdotte da E.On riguarda una nuova procedura per il telemarketing. Prima di qualsiasi contatto telefonico, invia all’interessato una e-mail in cui vengono confermati i dati personali e il consenso prestato online. Questa misura, che precede ogni chiamata, consente agli utenti di avere un quadro chiaro e aggiornato della loro situazione, permettendo loro di confermare volontariamente la propria disponibilità ad essere contattati.
Inoltre, E.On ha adottato una verifica rigorosa delle numerazioni telefoniche tramite il Registro delle Opposizioni (RPO), un passo fondamentale per assicurare che il trattamento dei dati avvenga nel pieno rispetto della normativa sulla privacy.
Parallelamente, la società ha affrontato anche le problematiche relative alla gestione delle richieste degli interessati, in particolare quelle relative all’esercizio dei diritti previsti dal GDPR.
E.On ha riconosciuto che alcuni disguidi nel riscontro a tali richieste erano derivati da errori materiali nel processo di gestione della posta cartacea.
Per prevenire che simili errori si ripetano, la società ha avviato un significativo processo di digitalizzazione delle proprie pratiche aziendali. Questa trasformazione mira a rendere i flussi di lavoro più efficienti, sicuri e meglio monitorabili, così da garantire una gestione più efficace delle richieste e della documentazione relativa al trattamento dei dati.
Conclusioni
Il provvedimento del Garante privacy nei confronti di E.On si inserisce in un contesto di sanzioni sempre più stringenti nei confronti del settore del telemarketing.
Dalla documentazione emerge una carenza di governance efficace sui fornitori da parte di E.On, aggravata da istruzioni troppo generiche, prive di riferimenti concreti alle mansioni effettivamente svolte dalle persone autorizzate al trattamento dei dati.
L’Autorità ritiene che questo comportamento denoti una grave carenza di monitoraggio e un impegno insufficiente nel garantire l’efficace applicazione delle misure di protezione dei dati personali.
Ne consegue, pertanto, la conferma della responsabilità generale del titolare del trattamento, che deve applicare i principi del GDPR con concretezza, semplicità e un adeguato sistema di controllo.
L’approccio adottato deve prevedere una selezione accurata dei fornitori e un monitoraggio costante delle loro attività, in linea con il principio di accountability, che obbliga il titolare a dimostrare concretamente la conformità alla normativa.
