Decine le segnalazioni da parte degli utenti, in seguito alle quali l'Autorità ha effettuato controlli e rilevato "condotte di sistema illecite". Tra le violazioni spiccano le telefonate pubblicitarie effettuate senza il consenso della persona contattata o nonostante il suo diniego, oppure senza attivare procedure di verifica del registro pubblico delle opposizioni. La compagnia si riserva di ricorrere contro i provvedimenti adottati
Due maxi-sanzioni per un ammontare complessivo di 11,5 milioni di euro. Le ha applicate il Garante per la privacy a Eni Gas e Luce per il trattamento illecito di dati personali nell’ambito di attività promozionali e per l’attivazione di contratti non richiesti. Il gruppo in una nota “prende atto delle decisioni” e “si riserva di presentare ricorso verso i provvedimenti adottati dall’Autorità”. Che arrivano pochi giorni dopo la multa dell’Antitrust per la diffusione di messaggi pubblicitari ingannevoli, in cui il gruppo partecipato dal Tesoro descriveva come green un diesel che in realtà era altamente inquinante.
La prima sanzione del Garante privacy, di 8,5 milioni, riguarda trattamenti illeciti nelle attività di telemarketing e televendita. La seconda sanzione, di 3 milioni, è stata invece comminata per la conclusione di contratti non richiesti nel mercato libero della fornitura di energia e gas. Le sanzioni sono state determinate considerando i parametri indicati nel Regolamento Ue per la tutela della privacy (Gdpr), tra i quali figurano l’ampia platea dei soggetti coinvolti, la pervasività delle condotte, la durata della violazione e le condizioni economiche di Eni Gas e Luce.
In seguito a decine di segnalazioni e reclami l’Autorità ha svolto accertamenti e ispezioni, da cui è emerso un circoscritto numero di casi di comportamenti illeciti. Casi rivelatori tuttavia di condotte “di sistema” poste in essere da Eni Gas e Luce, che hanno evidenziato gravi criticità relative al generale trattamento dei dati. Tra le violazioni messe in luce spiccano le telefonate pubblicitarie effettuate senza il consenso della persona contattata o nonostante il suo diniego a ricevere chiamate promozionali, oppure senza attivare le specifiche procedure di verifica del registro pubblico delle opposizioni. Ma anche l’assenza di misure tecnico-organizzative in grado di recepire le manifestazioni di volontà degli utenti e tempi di conservazione dei dati superiori a quelli consentiti. Per finire con l’acquisizione dei dati dei potenziali clienti da soggetti (list provider) che non avevano acquisito il consenso per la comunicazione di tali dati.
Il Garante, dopo aver dichiarato l’illiceità delle condotte rilevate, ha ingiunto a Eni Gas e Luce di implementare procedure e sistemi per verificare lo stato dei consensi delle persone inserite nelle liste dei contatti, prima dell’inizio delle campagne promozionali. Eni dovrà inoltre provvedere alla definitiva automatizzazione dei flussi di dati dal proprio database alla lista nera di chi non vuole ricevere pubblicità in uso presso la società. Il Garante, inoltre, ha vietato alla società l’uso dei dati forniti dai list provider senza che questi ultimi abbiano acquisito uno specifico consenso alla loro comunicazione a Eni.
Riguardo alla conclusione di contratti non richiesti, molte persone si sono rivolte all’Autorità lamentando di aver appreso della stipula di un nuovo contratto solo dalla ricezione della lettera di disdetta del vecchio fornitore o dalle prime fatture di Eni Gas e Luce. In alcuni casi poi le segnalazioni denunciavano la presenza nel contratto di dati inesatti e di sottoscrizione apocrifa. Le gravi irregolarità hanno interessato circa 7200 consumatori. Dagli accertamenti dell’Autorità è emerso che Eni Gas e Luce, nell’acquisizione di nuovi clienti mediante alcune agenzie esterne operanti per suo conto, ha trattato i dati in modo non conforme al Regolamento Ue, ossia in modo contrario ai principi di correttezza, esattezza e aggiornamento dei dati.
Il Garante, quindi, rilevate le irregolarità, ha ingiunto a Eni Gas e Luce l’adozione di una serie di misure correttive e l’introduzione di specifici alert in grado di individuare varie anomalie procedurali. Le implementazioni dovranno essere introdotte e comunicate all’Autorità in tempi stabiliti, mentre il pagamento delle sanzioni dovrà essere effettuato entro trenta giorni.