Con i provvedimenti nn. 231 e 232 del 2019, il Garante privacy ha erogato a Eni Gas & Luce due sanzioni, per complessivi 11,5 milioni di euro, riguardanti rispettivamente trattamenti illeciti di dati personali nell’ambito di attività promozionali e attivazione di contratti non richiesti.
La prima sanzione di 8,5 milioni di euro riguarda il cd. telemarketing e teleselling. Tra le violazioni poste in luce spiccano le numerose telefonate pubblicitarie effettuate senza il consenso degli interessati o nonostante il diniego da parte degli stessi; l’assenza di politiche di privacy; l’acquisizione di dati di potenziali clienti da alcuni “list provider” che non avevano acquisito il consenso per la comunicazione di tali dati.
La seconda sanzione di 3 milioni di euro, invece, riguarda violazioni nella conclusione di contratti non richiesti nel mercato libero della fornitura di energia e gas: molti utenti si sono rivolti al Garante, eccependo di aver appreso di stipulazioni di contratti solo all’esito della ricezione della notifica della lettera di disdetta da parte dei precedenti fornitori di energia.
Le gravi irregolarità hanno interessato circa 7.200 consumatori
In entrambi i casi, oltre alle sanzioni, l’Autorità garante ha erogato una serie di specifici “alert” volti ad individuare le varie anomalie procedurali, affinchè ENI possa provvedere alla loro eliminazione.
Le sanzioni sono state applicate tenendo conto dell’art. 83 GDPR e delle “Linee guida riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento UE n. 2016/679” adottate il 3 ottobre 2017.
Afferma l’art. 83 che “ogni autorità di controllo provvede affinchè le sanzioni amministrative pecuniarie inflitte ai sensi del presente articolo in relazione alle violazioni del presente regolamento di cui ai paragrafi 4, 5 e 6 siano in ogni singolo caso effettive, proporzionate e dissuasive. Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all’art. 58, paragrafo 2, lettere da a) a h) e j), o in luogo di tali misure”.
Il Garante, pertanto, ha la responsabilità di scegliere la o le misure più appropriate. Le sanzioni pecuniarie devono avere una finalità di proporzione e dissuasiva, dunque non di extrema ratio o di strumento eccessivamente gravoso. L’Autorità deve adottare un approccio ponderato ed equilibrato, proprio al fine di regolare in maniera “effettiva, dissuasiva e proporzionata la violazione”.
Sarà dunque necessario e coerente con il quadro normativo in vigore che l’Autorità valuti ad hoc i singoli casi, allo scopo anche di offrire ai Garanti europei un quadro chiaro sull’adozione delle misure correttive.
Garante Privacy, provvedimenti 11 dicembre 2019, nn. 231 – 232
Vicenza