Con il provvedimento dello scorso 24 novembre 2022, l’Autorità Garante per la protezione dei dati personali (“Garante Privacy”), al termine di un’articolata istruttoria, ha dichiarato illeciti i trattamenti di dati personali svolti da Areti S.p.A., società che si occupa della distribuzione della rete elettrica nel comune di Roma (“Società” o “Areti”), ingiungendo alla stessa il pagamento di una sanzione di 1 milione di euro. Fattispecie Attraverso un reclamo presentato al Garante Privacy, un cliente di Areti (il “Reclamante”) segnalava di essere stato erroneamente qualificato dalla Società quale “cliente moroso” nell’ambito delle comunicazioni trasmesse dalla stessa all’interno del Sistema informativo integrato (di seguito, “SII”) e che, per tale ragione, era impossibilitato a passare ad altro fornitore, perdendo così il potenziale risparmio derivante dai vantaggi della liberalizzazione del mercato energetico. Il Reclamante lamentava altresì che Areti aveva riscontrato in modo inidoneo l’istanza di esercizio dei diritti dal medesimo presentata ai sensi degli artt. 15-22 del Regolamento UE 679/2016 (“GDPR”). A seguito di una lunga istruttoria in merito alle vicende sopraesposte, il Garante Privacy ha accertato, nell’ambito dei trattamenti di dati personali posti in essere dalla Società, la violazione di numerosi principi sanciti dal GDPR, che riassumiamo brevemente di seguito. Violazione del principio di esattezza per mancato aggiornamento dei dati Giova premettere che il SII è parte integrante di una disciplina specifica di settore (c.d. Sistema Indennitario) ai sensi della quale – nell’ambito del cambio del fornitore di energia elettrica da parte di un cliente – si garantisce al fornitore uscente (prima del passaggio del cliente al nuovo fornitore) un indennizzo per l’eventuale mancato incasso di un credito residuo. Pertanto, sulla base delle informazioni presenti nel SII, il nuovo fornitore ha la possibilità di valutare se acquisire un nuovo cliente in base alla presenza (o meno) di situazioni di morosità[1]. Dagli accertamenti svolti dal Garante Privacy nell’ambito della propria istruttoria, è emerso che la qualifica di “cliente moroso” del Reclamante era stata determinata a causa del trattamento, da parte di Areti, di dati inesatti e non aggiornati del Reclamante stesso, dovuto a un disallineamento dei sistemi interni della Società. Tale condotta ha comportato che al Reclamante, così come ad altri numerosi clienti, venisse – ingiustamente – attribuita una condizione di morosità non corrispondente alla loro reale condizione. Pertanto, i nuovi fornitori (di volta in volta designati dal cliente), sulla base delle suddette informazioni inesatte e non aggiornate, avevano negato l’attivazione della fornitura di energia non solo al Reclamante, ma anche ad oltre 47 mila potenziali clienti. Il Garante Privacy ha quindi contestato ad Areti la violazione del principio di esattezza dei dati personali di cui all’art. 5(1)(d) del GDPR, ai sensi del quale i dati personali devono essere “esatti e, se necessario, aggiornati”. Violazione del principio di limitazione della conservazione dati personali Oltre a quanto sopra, il Garante Privacy ha altresì rilevato l’inadeguatezza delle tempistiche di conservazione dei dati da parte di Areti (individuate in 10 anni dalla cessazione del contratto per tutte le tipologie di trattamento relative ai dati della clientela) nonché l’inesatta definizione del periodo di conservazione dei dati rispetto alle finalità perseguite. Secondo il Garante Privacy, infatti, il periodo di conservazione individuato da Areti avrebbe violato il principio di limitazione della conservazione di cui all’art. 5(1)(e) del GDPR, ai sensi del quale “i dati personali devono essere conservati in modo da consentire l’identificazione dell’interessato per un arco di tempo non superiore a quello necessario a conseguire le finalità del trattamento”, così compromettendo – in termini generali – la liceità dei trattamenti stessi. Mancato riscontro all’istanza di esercizio dei diritti presentata dal Reclamante Con riferimento alla richiesta di esercizio dei diritti avanzata dal Reclamante ai sensi degli artt. 15-22 del GDPR, il Garante Privacy ha ritenuto che la predetta richiesta fosse stata riscontrata da Areti in maniera parziale e inesatta in quanto la Società si era limitata ad elencare le categorie di dati trattate senza tuttavia riportare il dettaglio dei dati personali relativi all’interessato e, soprattutto, senza fornire alcuna indicazione in ordine alle informazioni inerenti alla condizione di morosità (espressamente richieste dal Reclamante), contenute nei sistemi interni alla Società. Sulla base di quanto sopra, il Garante Privacy ha chiarito che Areti, in qualità di titolare del trattamento, avrebbe dovuto fornire un riscontro in relazione ad informazioni personali dell’interessato che, per quanto inesatte, erano comunque reperibili all’interno dei propri sistemi. Inoltre, secondo il parere del Garante Privacy, una trattazione più accurata dell’istanza di esercizio dei diritti dell’interessato avrebbe potuto consentire alla Società di rilevare tempestivamente il mancato aggiornamento dei dati afferenti al Reclamante, nonché di intervenire in maniera autonoma al fine di conformare le predette attività al Regolamento. Violazione del principio di accountability Infine, dall’insieme delle violazioni sopra individuate, il Garante Privacy ha altresì constatato l’inadeguatezza delle misure tecniche e organizzative complessivamente adottate da Areti, in quanto rilevatesi inadeguate alla natura, al contesto, alle finalità e ai rischi del trattamento, configurando pertanto una violazione del principio di “accountability” di cui all’art. 5(2) e 24 del GDPR. Sul punto, il Garante Privacy ha avuto modo di chiarire quale debba essere il significato da attribuire al principio di accountability e il risultato pratico a cui, in virtù di tale principio, il titolare del trattamento deve mirare. Nello specifico, il Garante Privacy ha ricordato che il titolare del trattamento è il soggetto cui è attribuita la “responsabilità generale” del trattamento, gravando, pertanto, sullo stesso l’onere di attuare un sistema organizzativo e gestionale contraddistinto da misure reali ed efficaci di protezione dei dati nonché comprovabili. Ciò non soltanto mediante la corretta e puntuale predisposizione degli adempimenti imposti dal GDPR (quali, ad esempio, l’informativa, il registro delle attività di trattamento, la nomina del responsabile della protezione dei dati ove obbligatoria, la valutazione di impatto ove necessaria ecc.), ma soprattutto attraverso l’implementazione di procedure e prassi organizzative atte a conformare i relativi trattamenti alla disciplina di riferimento quali, a titolo esemplificativo e non esaustivo: Infine, nel determinare l’ammontare della sanzione da 1 milione di euro, il Garante Privacy ha tenuto conto, in particolare, delle diverse migliaia di clienti coinvolti, della durata della violazione, circa 5 anni, della delicatezza delle informazioni trattate in grado di evidenziare l’“affidabilità” della persona nonché delle possibili conseguenze sul piano economico e sociale che possono derivare da un loro illecito trattamento. [1] Cfr. Articolo pubblicato su Agenda Digitale, “Trattare male i dati dei clienti costa caro: la sanzione privacy ad Areti sia monito a tutti”, a cura di A. Minichelli e M. Pellerzi.