Con provvedimento n.390/2022, il Garante per la Privacy ha sanzionato una società di distribuzione di energia elettrica per illecito trattamento di dati per aver qualificato erroneamente come moroso un cliente impedendogli, di fatto, di cambiare fornitore perdendo i potenziali risparmi derivanti dalla liberalizzazione del mercato.
Dall’istruttoria del Garante è emerso poi che tale illecito trattamento di dati ha riguardato altre migliaia di clienti.
Il Garante ha evidenziato come l’impossibilità per il cliente di rivolgersi ad un altro fornitore fosse dovuta a trattamenti di dati inesatti e non aggiornati, causati da un disallineamento dei sistemi interni della società che ha comportato un’errata comunicazione sulla morosità in corso al Sistema informativo integrato (SII), una banca dati a disposizione dei fornitori che può essere consultata prima di sottoscrivere un nuovo contratto. La normativa del settore prevede, infatti, che il venditore entrante possa valutare la convenienza di acquisire un nuovo cliente consultando il SII nel libero mercato.
Tuttavia, a partire da dicembre 2016 fino a gennaio 2022, a causa di problemi tecnici e applicativi, le diverse query utilizzate dalla Società in oggetto per estrarre le informazioni dai propri sistemi hanno attribuito ai clienti finali una condizione di morosità non corrispondente alla realtà.
A causa di queste informazioni inesatte, il Garante Privacy ha scoperto che a 47.000 potenziali clienti è stata negata la possibilità di passare ad un altro gestore. Oltre all’erroneità dei dati sulla morosità, il Garante Privacy ha anche contestato alla società tempistiche inadeguate nella conservazione dei dati, migrazione di dati inesatti e una risposta inadeguata alla richiesta del reclamante in esercizio dei propri diritti.
La società è stata quindi accusata anche di violazione del principio di responsabilizzazione, poiché le misure tecniche e organizzative adottate per conformare il trattamento dei dati al GDPR non erano adeguate alla natura, al contesto e ai rischi del trattamento effettuato.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- Protezione dei Dati e Gig Economy: Analisi del Provvedimento del Garante n. 675/2024 su Foodinho e Glovo - Novembre 22, 2024
- Verso una regolamentazione consapevole: analisi del Codice di Buone Pratiche sull’intelligenza artificiale generale - Novembre 15, 2024
- La Direttiva (UE) 2024/2831: un passo avanti per le condizioni di lavoro sulle piattaforme digitali - Novembre 12, 2024
- Domicilio digitale e notifiche telematiche: l’ordinanza n. 28532/2024 della Corte di Cassazione - Novembre 7, 2024
- Il nuovo quadro di protezione dati UE-USA: valutazione critica del rapporto dell’EDPB del 4 novembre 2024 - Novembre 5, 2024