Con provvedimento n.390/2022, il Garante per la Privacy ha sanzionato una società di distribuzione di energia elettrica per illecito trattamento di dati per aver qualificato erroneamente come moroso un cliente e impedendogli, di fatto, di cambiare fornitore perdendo i potenziali risparmi derivanti dalla liberalizzazione del mercato.
Inoltre, dagli accertamenti ispettivi svolti dal Garante per la Privacy è emerso che tale illecito trattamento di dati ha riguardato altre migliaia di clienti.
In particolare, evidenzia il Garante, l’impossibilità per il cliente di rivolgersi ad altro fornitore era dipesa da un trattamento di dati inesatti e non aggiornati, in conseguenza di un disallineamento dei sistemi interni della società che ha implicato un’errata comunicazione sulla morosità in corso al Sistema informativo integrato (SII), ossia la banca dati a disposizione dei fornitori che può essere consultata prima di sottoscrivere un nuovo contratto.
La normativa del settore prevede, infatti, la possibilità per il venditore entrante di valutare la “convenienza” di acquisire un nuovo cliente nel libero mercato consultando il SII.
Tuttavia, a partire da dicembre 2016 e fino a gennaio 2022 le diverse query utilizzate dalla Società in oggetto per estrarre le informazioni dai propri sistemi avevano attribuito, in ragione di problemi tecnici di e applicativi, ai clienti finali una condizione di morosità non corrispondente alla realtà.
In ragione di tali informazioni inesatte, il Garante Privacy ha verificato come fosse stata negata a 47 mila potenziali clienti la possibilità di passare ad un altro gestore.
Oltre all’erroneità dei dati sulla morosità, il Garante Privacy ha contestato alla società anche tempistiche inadeguate nella conservazione dei dati, migrazione di dati inesatti e inidoneo riscontro all’istanza con la quale il reclamante aveva esercitato i propri diritti.
Alla società è stata pertanto contestata anche la violazione del principio di accountability, poiché le misure tecniche e organizzative adottate per conformare il trattamento dei dati al GDPR non sono risultate adeguate alla natura, al contesto e ai rischi del trattamento effettuato.