Trattamento dei dati personali da parte di società che si avvalgono di agenzie e fornitori

Con il provvedimento n. 440 del 17.07.2024, l’Autorità Garante per la Protezione dei Dati Personali ha chiarito quali sono i temi di maggior interesse riguardo la raccolta e il trattamento dei dati personali dei clienti, da parte di società che si avvalgono di agenzie e di fornitori per lo svolgimento delle proprie attività (cd. outsourcing).

La vicenda

La società Alfa, nello svolgimento della propria attività economica, si serviva di alcune agenzie. Gli agenti, però, utilizzavano i loro dispositivi personali per raccogliere i dati dei potenziali clienti, allo scopo di attivare contratti di fornitura di energia elettrica e di gas in maniera fraudolenta, senza che la stessa società Alfa se ne accorgesse. A seguito dei reclami di alcuni interessati, lesi da tale attività illecita, l’Autorità Garante per la Protezione dei Dati Personali apriva un’istruttoria nei confronti della società Alfa, quale unica titolare del trattamento, in quanto le agenzie da essa incaricate rivestivano il ruolo di mere responsabili del trattamento dei dati personali ex art. 28 del G.D.P.R..

La decisione

Il Garante ha accertato l’illiceità del trattamento del trattamento dei dati personali dei clienti, da parte della società Alfa per il tramite degli agenti in questione; l’inadeguatezza delle misure tecniche e organizzative adottate dalla stessa società Alfa nell’attività di contrattualizzazione dei clienti; l’inosservanza degli obblighi di vigilanza sull’operato delle agenzie; diverse violazioni in materia di esercizio dei diritti degli interessati nonché ulteriori violazioni relative alle modalità ed ai tempi di conservazione dei dati della clientela.

In particolare, sebbene in concreto le condotte fraudolente siano state commesse dagli agenti, è stato rilevato che la società Alfa non aveva predisposto misure tecniche e organizzative realmente adeguate ed efficaci rispetto alla natura, al contesto, alle finalità e ai rischi dei processi di trattamento delegati, in violazione dei principi di accountability (”responsabilizzazione”) e di integrità e riservatezza, sanciti dagli articoli 5, par. 1, lett. f, e par. 2, nonché dagli articoli 24 e 32 del G.D.P.R..

Le carenze riscontrate hanno riguardato anche l’assenza di attività audit, l’inidoneità delle procedure interne di controllo sistematico e di verifica sulla conformità delle condotte tenute dai responsabili del trattamento, designati ex art. 28 del GDPR. Inoltre, le policy predisposte per regolare i trattamenti da parte degli agenti sono risultate incomplete ed inefficaci, specialmente in relazione alla protezione dell’esattezza dei dati e alla sicurezza del trattamento.

L’Autorità Garante ha anche contestato la gestione inadeguata delle richieste di esercizio dei diritti degli interessati, come il diritto di accesso e il diritto di ottenere un riscontro tempestivo. Tali carenze, infatti, hanno comportato la violazione degli obblighi di trasparenza e correttezza nei confronti degli interessati stessi. In considerazione della gravità delle violazioni e del numero di soggetti interessati, l’Autorità Garante per la Protezione dei Dati Personali ha comminato alla società Alfa, in qualità di titolare del trattamento, una sanzione amministrativa pecuniaria pari ad euro 5.000.000 e ha disposto, altresì, la pubblicazione del provvedimento, quale sanzione accessoria.

In conclusione, tramite il provvedimento n. 440 del 17.07.2024, l’Autorità Garante per la Protezione dei Dati Personali ha ricordato l’importanza per un società di adottare sistemi di controllo e di gestione del trattamento dei dati personali della clientela, anche se concretamente effettuato da agenzie e fornitori di cui essa si avvale, che devono essere però davvero efficaci e idonei ad attuare la disciplina delineata dal G.D.P.R..

Per una consulenza sull’argomento, rivolgiti a Studio Legale Rancan Avvocato a Vicenza cliccando qui sotto:

Condividi:

Scrivici un messaggio

Articoli correlati