Con provvedimento n.390/2022, il Garante per la Privacy ha sanzionato una società di distribuzione di energia elettrica per illecito trattamento di dati per aver qualificato erroneamente come moroso un cliente impedendogli, di fatto, di cambiare fornitore perdendo i potenziali risparmi derivanti dalla liberalizzazione del mercato.
Dall’istruttoria del Garante è emerso poi che tale illecito trattamento di dati ha riguardato altre migliaia di clienti.
Il Garante ha evidenziato come l’impossibilità per il cliente di rivolgersi ad un altro fornitore fosse dovuta a trattamenti di dati inesatti e non aggiornati, causati da un disallineamento dei sistemi interni della società che ha comportato un’errata comunicazione sulla morosità in corso al Sistema informativo integrato (SII), una banca dati a disposizione dei fornitori che può essere consultata prima di sottoscrivere un nuovo contratto. La normativa del settore prevede, infatti, che il venditore entrante possa valutare la convenienza di acquisire un nuovo cliente consultando il SII nel libero mercato.
Tuttavia, a partire da dicembre 2016 fino a gennaio 2022, a causa di problemi tecnici e applicativi, le diverse query utilizzate dalla Società in oggetto per estrarre le informazioni dai propri sistemi hanno attribuito ai clienti finali una condizione di morosità non corrispondente alla realtà.
A causa di queste informazioni inesatte, il Garante Privacy ha scoperto che a 47.000 potenziali clienti è stata negata la possibilità di passare ad un altro gestore. Oltre all’erroneità dei dati sulla morosità, il Garante Privacy ha anche contestato alla società tempistiche inadeguate nella conservazione dei dati, migrazione di dati inesatti e una risposta inadeguata alla richiesta del reclamante in esercizio dei propri diritti.
La società è stata quindi accusata anche di violazione del principio di responsabilizzazione, poiché le misure tecniche e organizzative adottate per conformare il trattamento dei dati al GDPR non erano adeguate alla natura, al contesto e ai rischi del trattamento effettuato.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- La Commissione europea pubblica la seconda relazione sull’applicazione del GDPR - Luglio 26, 2024
- Il punto sul Piano Triennale per l’informatica nella P.A. - Luglio 24, 2024
- AGID pubblica un decalogo per l’uso dell’ intelligenza artificiale nella P.A. italiana - Luglio 23, 2024
- Pubblicata la strategia Italiana per l’uso dell’intelligenza artificiale 2024-2026 - Luglio 23, 2024
- Il messaggio di posta elettronica sottoscritto con firma “semplice” fa piena prova del patto aggiunto al contratto - Luglio 17, 2024
