Il Garante Privacy sanziona Eni Gas e Luce (Egl) per 11,5 milioni di euro

(di Andrea Puligheddu)
03/02/20

Ha provocato un discreto rumore il Comunicato stampa di alcuni giorni fa con il quale il Garante per la protezione dei dati personali annunciava di aver sanzionato Eni Gas e Luce (Egl) per un complessivo ammontare pari a 11,5 milioni di euro.
I titoli delle due sanzioni riportate all’interno del Comunicato in questione, riguardano rispettivamente i trattamenti illeciti di dati personali nell'ambito di attività di promozione commerciale (attraverso attività di telemarketing) e attivazione di contratti non richiesti, mediante uso dei dati dei clienti conferiti in altra sede.

È interessante condividere insieme alcune riflessioni riferite ai Provvedimenti in oggetto.

In primis, si può finalmente affermare – benché ovvio – che anche l’Italia ha iniziato a muovere i suoi primi passi nel valzer delle attività sanzionatorie in ambito privacy.
In Europa sino al mese di dicembre 2019, il monte sanzionatorio già complessivamente realizzato si aggirava intorno ai 400 milioni, con un contributo di “appena” 50.000 euro di attività del Garante italiano, con il famoso Provvedimento al portale Rousseau.

In secondo luogo è interessante notare una delle prime applicazioni concrete dei criteri introdotti dal GDPR per l’individuazione delle sanzioni correlate alle violazioni. Queste ultime infatti, riscontrate dal Nucleo Privacy della Guardia di Finanza, sono state elaborate secondo i criteri indicati nel Regolamento Ue n. 679/2016 (GDPR), tra i quali figurano l'ampia platea dei soggetti coinvolti, la pervasività delle condotte, la durata della violazione, le condizioni economiche di Egl.

Non si tratta di una vera e propria novità, ma rilevarli all’interno di sanzioni di entità pari a quelle comminate alla Società Egl dona tutto un nuovo sapore al senso dei criteri stessi. Non solo dunque il tradizionale aspetto della numerosità dei trattamenti o della natura degli stessi, più di frequente utilizzati con la previgente normativa, ma anche criteri di pervasività (correlati all’impatto che il comportamento sanzionato ha avuto sugli individui interessati), la durata del comportamento e – fondamentale rispetto al quantum – le condizioni economiche di Egl. Al contrario si potrebbe ipotizzare che, come più volte già peraltro affermato dal Garante anche rispetto alla sua precedente attività compiuta in vigenza del primo Codice Privacy, di fronte a enti o società dai numeri più modesti non ci si deve aspettare il pugno di ferro previsto dai massimali milionari di cui all’art. 83 commi 4 e 5.

Da ultimo è interessante notare che il Garante è voluto entrare nel merito del tipico disallineamento esistente tra il CRM (Customer Relationship Management - spina dorsale dell’apparato produttivo di ogni Società) e la gestione dei consensi raccolti. In particolare viene notato dall’Autorità che “gli episodi di temporaneo disallineamento del CRM e della black list di EGL hanno avuto circoscritte e limitate conseguenze ma configurano, in ogni caso, la violazione delle disposizioni di cui all’art. 5, par. 2 del Regolamento, poiché la Società non è stata in grado di assicurare e comprovare tempistiche e modalità di aggiornamento dello stato dei consensi nel CRM e nella propria black list; deve pertanto altresì prescriversi alla Società di realizzare in tempi certi la definitiva implementazione dei prospettati meccanismi volti a automatizzare i flussi di dati dal CRM alla black list in uso presso la società”.
Ciò vuol dire, come gli addetti ai lavori già ben sanno, che il principio di privacy by design di cui all’art. 25 diviene concreto nella misura in cui sono stati regolarizzati anche e soprattutto i flussi tecnico-informatici correlati ad un trattamento, non tanto le tonnellate di carta dietro alle quali a vario titolo le Società spesso si arroccano.

Nel rilevare dunque un buon inizio in questi primi Provvedimenti, sarebbero altresì auspicabili da parte dell’Autorità interventi di indirizzo e supporto più numerosi e, perché no, anche più profondi (ad esempio affiancamenti o training), nei confronti delle PA o del privato (specie se infrastruttura critica) su temi come questi, diversi da progetti più “alti” a livello formativo, realizzati per esempio con i recenti cicli di incontri SMEdata.

Naturalmente non si sborsano 11 milioni di euro senza fiatare per cui Egl ha presentato ricorso, vedremo cosa succede.

Nota: l’obiettivo generale del Progetto SMEDATA consiste nel "Garantire l’effettiva applicazione del Regolamento Generale sulla Protezione dei Dati Personali attraverso la sensibilizzazione, la moltiplicazione della formazione e lo sviluppo sostenibile delle capacità per le PMI e le professioni legali".

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/doc...
- https://www.cwi.it/applicazioni-enterprise/crm
https://smedata.eu/index.php/it/