Con provvedimento n.390/2022, il Garante per la Privacy ha sanzionato una società di distribuzione di energia elettrica per illecito trattamento di dati per aver qualificato erroneamente come moroso un cliente impedendogli, di fatto, di cambiare fornitore perdendo i potenziali risparmi derivanti dalla liberalizzazione del mercato.
Dall’istruttoria del Garante è emerso poi che tale illecito trattamento di dati ha riguardato altre migliaia di clienti.
Il Garante ha evidenziato come l’impossibilità per il cliente di rivolgersi ad un altro fornitore fosse dovuta a trattamenti di dati inesatti e non aggiornati, causati da un disallineamento dei sistemi interni della società che ha comportato un’errata comunicazione sulla morosità in corso al Sistema informativo integrato (SII), una banca dati a disposizione dei fornitori che può essere consultata prima di sottoscrivere un nuovo contratto. La normativa del settore prevede, infatti, che il venditore entrante possa valutare la convenienza di acquisire un nuovo cliente consultando il SII nel libero mercato.
Tuttavia, a partire da dicembre 2016 fino a gennaio 2022, a causa di problemi tecnici e applicativi, le diverse query utilizzate dalla Società in oggetto per estrarre le informazioni dai propri sistemi hanno attribuito ai clienti finali una condizione di morosità non corrispondente alla realtà.
A causa di queste informazioni inesatte, il Garante Privacy ha scoperto che a 47.000 potenziali clienti è stata negata la possibilità di passare ad un altro gestore. Oltre all’erroneità dei dati sulla morosità, il Garante Privacy ha anche contestato alla società tempistiche inadeguate nella conservazione dei dati, migrazione di dati inesatti e una risposta inadeguata alla richiesta del reclamante in esercizio dei propri diritti.
La società è stata quindi accusata anche di violazione del principio di responsabilizzazione, poiché le misure tecniche e organizzative adottate per conformare il trattamento dei dati al GDPR non erano adeguate alla natura, al contesto e ai rischi del trattamento effettuato.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- Verso una regolamentazione consapevole: analisi del Codice di Buone Pratiche sull’intelligenza artificiale generale - Novembre 15, 2024
- L’armonizzazione degli standard per l’AI Act: verso una conformità normativa sicura e affidabile - Ottobre 31, 2024
- Consultazione della Commissione Europea sull’accesso ai dati delle piattaforme - Ottobre 29, 2024
- Sanzione del Garante Privacy a Postel S.p.A.: prevenzione e corretta segnalazione della violazione in caso di data breach - Ottobre 23, 2024
- Sul valore probatorio delle firme elettroniche nel processo - Ottobre 18, 2024