Skip to content Skip to sidebar Skip to footer
RPLT RP legalitax
RPLT RP legalitax
Close
Privacy & Data Protection

Il prezzo della negligenza: maxi-sanzione del Garante Privacy nel settore energetico

Maxi-sanzione del Garante Privacy in materia di telemarketing aggressivo, con provvedimento reso nei confronti di una nota società attiva nel settore energetico che aveva messo in piedi un massivo e illecito sistema di procacciamento di contratti per l’attivazione di forniture di luce e gas (doc. web n. 10127930 del 10 aprile 2025).

Oltre a contestare le gravi violazioni legate all’utilizzo illecito dei dati personali di migliaia di utenti a fini promozionali (che hanno portato all’irrogazione di una maxi-sanzione dell’importo di Euro 3.000.000), il Garante Privacy ha altresì sanzionato il ricorso, da parte della società sanzionata, ad una fitta rete di imprese commerciali e persone fisiche che sono apparsi univocamente riconducibili alle attività di procacciamento di contratti per l’attivazione di forniture di servizi energetici, senza però garantire la piena conformità alla normativa anche da parte di questa filiera. Pratica che ha condotto all’irrogazione di sanzioni anche nei confronti del network di agenzie e società coinvolte per un totale di 850.000 Euro.

La presente nota intende focalizzarsi proprio sugli aspetti riguardanti la responsabilità del titolare del trattamento nel selezionare attentamente i propri fornitori e agenti (c.d. colpa “in eligendo”) e nell’esercitare una costante supervisione del loro operato (c.d. colpa “in vigilando”), sulla base delle utili indicazioni fornite dal Garante Privacy con il provvedimento in commento.

  • Colpa “in eligendo”: il Garante Privacy ha contestato la selezione di partner commerciali non adeguatamente qualificati o non conformi alle normative sulla protezione dei dati, non avendo messo in piedi un presidio adeguato di raccolta di informazioni, preliminare alla valutazione e conseguente scelta dei fornitori (rivelatisi poi totalmente inadeguati nel rispetto al GDPR). In particolare:
    • Il titolare non aveva neppure estratto una visura camerale dell’agenzia (ditta individuale) incaricata, dalla cui consultazione avrebbe potuto facilmente apprendere che la ditta aveva impiegato un solo addetto nell’attività, ovvero la stessa titolare e quindi, che evidentemente faceva ricorso ad altri soggetti esterni;
    • le verifiche asseritamente svolte nel processo di selezione dei fornitori erano volte unicamente ad appurare una generica conformità a requisiti di onorabilità e all’assenza di pregressi reati della controparte contrattuale; profili che hanno di certo rilevanza nella selezione di un qualunque fornitore ma che non danno particolari informazioni in merito all’idoneità del partner a ricoprire il ruolo di responsabile nello specifico trattamento posto in essere;
    • operando un richiamo alle Linee guida dell’European Data Protection Board 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, che sottolineano il dovere di ciascun titolare di impiegare «unicamente responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate», il Garante Privacy ha evidenziato come tali garanzie richiedano almeno lo scambio di documentazione pertinente (ad esempio, politica in materia di privacy, condizioni di erogazione del servizio, registro delle attività di trattamento, meccanismi di gestione dei log, politica in materia di sicurezza delle informazioni, relazioni di audit esterni sulla protezione dei dati e certificazioni internazionali riconosciute, come la serie ISO 27000) e la valutazione delle conoscenze specialistiche del fornitore (ad esempio, le competenze tecniche in materia di misure di sicurezza e di violazione dei dati, l’affidabilità e le risorse). Tutti elementi risultati assenti nella scelta del titolare di ricorrere al responsabile;
  • Colpa “in vigilando: il Garante Privacy ha inoltre contestato la totale inadeguatezza della vigilanza attuata sulle attività dei partner, non avendo implementato meccanismi di controllo efficaci per verificare che le agenzie rispettassero il GDPR e le normative sul telemarketing. Ad esempio, non era stata monitorata l’origine dei dati utilizzati per le chiamate promozionali né era stato previamente verificato il Registro pubblico delle opposizioni. A tali mancanze, si aggiunge anche la carenza di un piano di auditing delle società designate responsabili del trattamento.
  • Conseguenze: La mancanza di una selezione rigorosa e di supervisione ha permesso la proliferazione di pratiche illecite, come contatti non autorizzati e trattamenti di dati senza una base giuridica. Questo ha aggravato la posizione del titolare del trattamento, rendendolo comunque corresponsabile delle violazioni commesse dai propri partner.

Conclusione

Il provvedimento in commento ha evidenziato, ancora una volta, la necessità per le aziende di adottare processi rigorosi nella selezione e nella valutazione (anche in corso di rapporto) dei propri partner commerciali. Ricordiamo, in tal senso, come la normativa vigente (in particolare, gli articoli 24 e 25 del GDPR) imponga a ciascun titolare non solo l’adozione di misure adeguate ed efficaci per assicurare il rispetto della disciplina in materia di protezione dei dati personali ma anche l’adozione di un impianto adeguato a dimostrare, in concreto e con elementi probatori, la conformità di qualsiasi attività di trattamento che abbia effettuato direttamente o che altri abbiano effettuato per suo conto (si veda anche il “considerando” n. 74 del GDPR).

Il Garante Privacy richiama quindi la necessità di far sì che il complesso degli adempimenti in materia di protezione dei dati personali non si riduca ad un assemblaggio meramente cartolare e che la “filiera” delle responsabilità nell’ambito del trattamento non preveda indebiti “scaricabarile” ma sia sempre, da ultimo, riconducibile al titolare. Questi, infatti, è il primario motore dei complessi meccanismi che determinano la compatibilità delle varie attività svolte con le disposizioni del GDPR e del Codice Privacy volte a consentire all’interessato il pieno controllo dei propri dati e il compiuto esercizio dei propri diritti e delle proprie libertà.

In adesione al principio di accountability, il Garante Privacy richiama dunque la necessità di superare una logica esclusivamente formalistica e approntare sistematici meccanismi di verifica, anche ex ante ed ex post, del rispetto della normativa in materia di protezione dei dati personali da parte di tutti i soggetti coinvolti nella filiera dei trattamenti che lo riguardano, che possono essere ad esso riconducibili o che possono recare vantaggi anche di carattere economico al titolare.

Hide comments

Leave a comment

You May Also Like

Privacy & Data Protection
Con il D.P.C.M. 29 settembre 2015, n. 178 il governo dà il via libera al Fascicolo Sanitario Elettronico
Privacy & Data Protection
Giuseppe Vaciago a Radio Montecarlo spiega cos’è lo SPID (Servizio Pubblico di Identità Digitale)
Privacy & Data Protection
Nuove disposizioni in tema di accesso e portabilità dei dati delle persone decedute

La “Certificazione B Corporation” è un marchio che viene concesso in licenza da B Lab, ente privato no profit, alle aziende che, come la nostra, hanno superato con successo il B Impact Assessment (“BIA”) e soddisfano quindi i requisiti richiesti da B Lab in termini di performance sociale e ambientale, responsabilità e trasparenza.

Si specifica che B Lab non è un organismo di valutazione della conformità ai sensi del Regolamento (UE) n. 765/2008 o un organismo di normazione nazionale, europeo o internazionale ai sensi del Regolamento (UE) n. 1025/2012.

I criteri del BIA sono distinti e autonomi rispetto agli standard armonizzati risultanti dalle norme ISO o di altri organismi di normazione e non sono ratificati da parte di istituzioni pubbliche nazionali o europee.