sabato 21 gennaio 2023

Areti sanzionata dal Garante privacy per violazione dei dati personali dei clienti

Fonte: newsletter
22 dicembre 2022
Qualificato per errore cliente “moroso” da Areti spa, la società che distributrice l’energia elettrica nella Capitale, non riesce a passare ad un altro fornitore e perde così il potenziale risparmio derivante dai vantaggi della liberalizzazione del mercato. Si rivolge allora al Garante per la privacy che, al termine di una articolata attività istruttoria, dichiara illecito il trattamento di dati effettuato dal distributore e ingiunge alla società il pagamento di una sanzione di 1 milione di euro.

Dagli accertamenti ispettivi svolti dall’Autorità è emerso che l’illecito trattamento ha riguardato altre migliaia di clienti.

L’impossibilità per l’utente di cambiare fornitore era derivata da un trattamento di dati inesatti e non aggiornati, dovuto a un disallineamento dei sistemi interni della società che ha comportato l’errata comunicazione in ordine ad una morosità in corso al Sistema informativo integrato (SII), la banca dati consultata dai fornitori prima di sottoscrivere un nuovo contratto.


La disciplina di settore consente infatti al venditore entrante di valutare la “convenienza” di acquisire un nuovo cliente nel libero mercato consultando il Sistema informativo integrato, alimentato anche dalle informazioni comunicate dal distributore. Purtroppo però, a partire da dicembre 2016 e fino a gennaio 2022 le diverse query utilizzate da Areti per estrarre le informazioni dai propri sistemi avevano - a causa di una serie di errori tecnici ed applicativi - attribuito di fatto ai clienti finali una condizione di morosità non corrispondente alla loro reale condizione. Come conseguenza, sulla base di tale informazione inesatta, i venditori entranti avevano negato l’attivazione della fornitura di energia ad oltre 47 mila potenziali clienti.

Oltre all’erronea applicazione della query per l’estrazione del dato sulla morosità, il Garante ha contestato ad Areti anche tempistiche inadeguate nella conservazione dei dati, migrazione di dati non esatti nell’ambito dei propri sistemi e inidoneo riscontro all’istanza con la quale il reclamante aveva esercitato i propri diritti. Ad Areti quindi è stata contestata anche la violazione del principio di accountability, poiché le misure tecniche e organizzative adottate per conformare il trattamento dei dati al Regolamento europeo non sono risultate adeguate alla natura, al contesto e ai rischi del trattamento effettuato.

Nel determinare l’ammontare della sanzione il Garante ha tenuto conto, in particolare, delle diverse migliaia di clienti coinvolti, della durata della violazione, circa 5 anni, della delicatezza delle informazioni trattate in grado di evidenziare l’“affidabilità” della persona nonché delle possibili conseguenze sul piano economico e sociale che possono derivare da un loro illecito trattamento.

Nessun commento:

Posta un commento

Related Posts Plugin for WordPress, Blogger...