Telemarketing: 79 milioni di euro di sanzione a Enel Energia

Introduzione

Il Garante per la Protezione dei Dati Personali ha inflitto una sanzione senza precedenti di 79 milioni di euro a Enel Energia per violazioni nel telemarketing. Il provvedimento segue l’esame di numerose segnalazioni e reclami da parte di utenti che hanno ricevuto comunicazioni commerciali non richieste. Questa decisione segna un punto di svolta nella regolamentazione del telemarketing, sottolineando l’importanza del consenso informato e della protezione dei dati personali nell’era digitale.

L’istruttoria del Garante

L’istruttoria, originata da indagini della Guardia di Finanza, ha rivelato che Enel Energia ha omesso di adottare misure di sicurezza adeguate nella gestione delle credenziali di accesso al sistema N.Eve, consentendo così l’inserimento nel sistema di proposte contrattuali acquisite illecitamente.

Enel Energia, inoltre, non ha esercitato un controllo efficace sulle pratiche di telemarketing delle proprie agenzie, permettendo l’utilizzo di banche dati acquisite illecitamente e il caricamento di contratti senza autorizzazioni adeguate.

Le violazioni includono la mancanza di una valutazione adeguata dei rischi e l’inadeguata configurazione delle misure di sicurezza, contravvenendo ai principi di accountability e privacy by design previsti dal GDPR.

Le violazioni contestate

Illecita acquisizione di contratti di fornitura di energia elettrica (circa 9.300) tramite l’utilizzo di dati personali degli intestatari senza il loro consenso.
Mancanza di adeguate misure di sicurezza per proteggere i dati personali.
Infiltrazioni illecite di contratti dal 2015 al 2022.

Fattori aggravanti

Gravità delle violazioni, in considerazione del numero di persone coinvolte e della durata del fenomeno.
Negligenza grave da parte di Enel Energia, con scelte aziendali che hanno indebolito i controlli sulla rete di vendita.
Elevato grado di responsabilità di Enel Energia, in quanto azienda leader con un elevato numero di dati personali in gestione.

Fattori attenuanti

Introduzione di un sistema di autenticazione più sicuro nel luglio 2023.
Numero di contratti illecitamente acquisiti inferiore a quelli “in uscita” dalle società coinvolte.

La sanzione

Ammonta a 79.107.101 euro, pari all’8% della sanzione massima edittale e allo 0,32% del fatturato annuo di Enel Energia.
Tiene conto dei principi di effettività, proporzionalità e dissuasività, nonché del bilanciamento tra diritti degli interessati e libertà di impresa.

Le misure imposte

a) Informazione agli interessati (art. 58, par. 2, lett. d) e e) del GDPR):

Enel Energia è tenuta a comunicare ai 595 interessati, i cui dati sono stati acquisiti illecitamente, gli esiti del procedimento.
Il testo della comunicazione dovrà essere concordato con l’Autorità.

b) Documentazione sulle misure di sicurezza (art. 58, par. 2, lett. d) del GDPR):

Enel Energia deve fornire adeguata documentazione per dimostrare l’implementazione di misure che impediscono accessi contemporanei al sistema N.Eve con le stesse credenziali.

c) Tracciabilità e monitoraggio (art. 58, par. 2, lett. d) del GDPR):

Enel Energia deve introdurre misure per garantire la tracciabilità e l’efficace monitoraggio delle operazioni e degli eventi critici sul sistema N.Eve.
Deve anche impedire l’accesso da indirizzi IP diversi da quelli assegnati a ciascuna agenzia.

d) Contratti con i sub-agenti (art. 58, par. 2, lett. d) del GDPR):

Enel Energia deve assicurarsi che le agenzie stipulino con eventuali sub-agenti contratti conformi al contratto standard tra Enel Energia e le agenzie.
I contratti devono esplicitare la distribuzione delle responsabilità nel trattamento dei dati personali (art. 28 del GDPR).

e) Comunicazione all’Autorità (art. 157 del Codice della Privacy):

Enel Energia deve comunicare all’Autorità, entro 30 giorni dalla notifica del provvedimento, le iniziative intraprese per dare attuazione alle misure imposte.
L’inadempimento può comportare la sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del GDPR.