Gent.le [VAR_NOME] [VAR_COGNOME],
Il Garante Privacy ha applicato a Eni Gas e Luce (Egl) due sanzioni, per complessivi 11,5 milioni di euro, riguardanti rispettivamente trattamenti illeciti di dati personali nell'ambito di attività promozionali e attivazione di contratti non richiesti. Le sanzioni sono state determinate tenendo conto dei parametri indicati nel GDPR (Regolamento UR 679/206), tra i quali figurano l’ampia platea dei soggetti coinvolti, la pervasività delle condotte, la durata della violazione, le condizioni economiche di Egl.
La prima sanzione di 8,5 milioni di euro riguarda trattamenti illeciti nelle attività di telemarketing e teleselling riscontrati nel corso di accertamenti e ispezioni svolti dall’Autorità a seguito di diverse decine di segnalazioni e reclami, ricevuti all’indomani della piena applicazione del Gdpr.
Dalle verifiche è emerso un circoscritto numero di casi rivelatori tuttavia di condotte “di sistema” poste in essere da Egl, che hanno evidenziato gravi criticità relative al generale trattamento dei dati.
Tra le violazioni messe in luce spiccano le telefonate pubblicitarie effettuate senza il consenso della persona contattata o nonostante il suo diniego a ricevere chiamate promozionali, oppure senza attivare le specifiche procedure di verifica del Registro pubblico delle opposizioni; l’assenza di misure tecnico organizzative in grado di recepire le manifestazioni di volontà degli utenti; tempi di conservazione dei dati superiori a quelli consentiti; l’acquisizione dei dati dei potenziali clienti da soggetti (list provider) che non avevano acquisito il consenso per la comunicazione di tali dati.
Il Garante, dopo aver dichiarato l’illiceità delle condotte rilevate, ha ingiunto a Egl di implementare procedure e sistemi per verificare, anche tramite l’esame di un campione rilevante di nominativi, lo stato dei consensi delle persone inserite nelle liste dei contatti, prima dell’inizio delle campagne promozionali. Egl dovrà inoltre provvedere alla definitiva automatizzazione dei flussi di dati dal proprio database alla black list di chi non vuole ricevere pubblicità in uso presso la società.
Il Garante, inoltre, ha vietato alla società l'uso dei dati forniti dai list provider senza che questi ultimi avessero acquisito uno specifico consenso alla loro comunicazione a Egl.
Per ulteriori informazioni è possibile visitare il sito del Garante
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9244351
Sanzioni Amministrative e Penali previste dalla normativa Privacy vigente
Precisiamo che il GDPR non prevede esclusivamente sanzioni amministrative ma anche penali.
Il Regolamento europeo 679/2016 (GDPR) non ha previsto le fattispecie penali e relative sanzioni, limitandosi a consentire che gli Stati membri di disciplinare questa materia; il GDPR prevede sanzioni amministrative fino al 4% fatturato annuo totale dell’esercizio precedente.
A seguito dell’evoluzione Codice Privacy, D.Lgs. n. 101 del 2018, l’impianto sanzionatorio penale è stato in parte modificato con l’introduzione di tre nuove fattispecie incriminatrici.
Le fattispecie sono descritte dall’Art. 167 del Novellato Codice Privacy
- Art. 167- Trattamento illecito di dati, reclusione da 1 a tre anni;
- Art. 167- Bis, Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala, reclusione da 1 a sei anni;
- Art. 167- Ter, Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala;
- Art. 168- Falsità nelle dichiarazioni al Garante e interruzione dell'esecuzione dei compiti o dell'esercizio dei poteri del Garante, reclusione da 1 a tre anni.