Multa per attivazione di contratti non richiesti e trattamento di dati inesatti e non aggiornati

Sanzione di 10.000.000 di euro comminata dal ‘Garante per la privacy’ ad ‘Axpo Italia Spa’, società fornitrice di energia elettrica e gas, colpevole di avere proceduto all’attivazione di contratti non richiesti nel mercato libero e di averlo fatto mediante il trattamento di dati inesatti e non aggiornati della clientela. Oltre a dover mettere mano al portafoglio, la società, che ha trattato illecitamente i dati personali di oltre cinquemila utenti, dovrà adottare una serie di misure tecniche e organizzative, prescritte dal ‘Garante’, per conformarsi alla normativa italiana e europea sulla protezione dei dati. A far scoppiare il caso sono stati i numerosi reclami, ricevuti dal ‘Garante per la privacy’, presentati da utenti che lamentavano l’attivazione a loro insaputa di contratti di luce e gas a loro intestati e di cui erano venuti a conoscenza solo dopo aver ricevuto lettere di chiusura speditegli dal precedente fornitore o solleciti di pagamento di fatture insolute. Gli utenti hanno lamentato, in particolare, che i loro dati personali (come, ad esempio, indirizzo email, numero di telefono e di fornitura) indicati nel contratto erano inesatti o non aggiornati. Dalle ispezioni effettuate dal ‘Garante’ è emerso che la società acquisiva i nuovi contratti per la fornitura di luce e gas tramite una rete di circa duecentottanta venditori (agenti e subagenti) porta a porta, senza essersi dotata di strumenti e procedure (quali, ad esempio, sistemi di alert per rilevare anomalie procedurali; procedure di controllo dell’operato delle agenzie; verifiche puntuali dell’esattezza dei dati acquisiti; ecc.) per avere certezza che i dati inseriti dai venditori all’interno del database corrispondessero effettivamente ai reali utilizzatori delle utenze. Tali carenze hanno comportato l’acquisizione di contratti non richiesti, spesso compilati con dati personali inesatti e non aggiornati. Significativo il caso limite di un utente che aveva contestato alla società ben ventitré attivazioni su altrettante utenze aventi la stessa data di inizio e cessazione di fornitura. Nel database della società, inoltre, erano presenti quasi 2.500 proposte contrattuali in cui lo stesso indirizzo email del potenziale cliente era ripetuto per più di cinque volte. Come detto, il ‘Garante’ non solo ha sanzionato la società ma le ha anche ingiunto l’adozione di una serie di misure correttive, tra cui l’utilizzo di un sistema di ‘check-call’ bloccante che permetta di verificare la correttezza dei contratti acquisiti tramite la rete di venditori; l’introduzione di sistemi di alert idonei a rilevare eventuali comportamenti scorretti o fraudolenti di acquisizione dei dati di potenziali clienti da parte dei venditori, l’implementazione di meccanismi di accertamento della effettiva ricezione delle comunicazioni trasmesse al cliente in fase di contrattualizzazione, l’adozione di regole procedurali volte a rafforzare le attività di audit nei confronti dell’operato delle agenzie. (Provvedimento del 28 settembre 2023 del Garante per la protezione dei dati personali)