Il Garante per la Protezione dei Dati Personali ha iniziato a sanzionare i titolari del trattamento anche in caso di violazioni commesse dai soggetti nominati responsabili del trattamento.

La sanzione totale per un grande player nel settore energetico è stata di 11,5 Milioni per violazioni dei principi in materia di privacy, commesse dai responsabili del trattamento delegati per la conclusione di contratti di fornitura.

Occorre rammentare che secondo il principio di accountability, il titolare è il soggetto cui è attribuita la “responsabilità generale” del trattamento anche quando si sia avvalso dell’opera di terzi.

Pertanto, grava sul titolare l’onere di attuare un sistema organizzativo e gestionale contraddistinto da misure reali ed efficaci di protezione dei dati nonché comprovabili (v. c. 74 e artt. 5, par. 2 e 24 del Regolamento (UE) 2016/679).

Tale sistema non comporta solamente l’adeguamento formale al dettame legislativo come la predisposizione di tutta la documentazione imposta dalla normativa di protezione dei dati (informativa, registro delle attività di trattamento, nomina del responsabile della protezione dei dati ove obbligatoria, valutazione di impatto ove necessaria ecc.), ma soprattutto un adeguamento sostanziale attraverso l’implementazione di procedure e prassi organizzative atte a conformare i relativi trattamenti al medesimo Regolamento (UE) 2016/679 (es. processi di mappatura dei trattamenti, regole per l’attribuzione di responsabilità, programmi di formazione del personale, procedure per la gestione delle richieste di esercizio dei diritti e dei reclami, policy per la gestione e comunicazione di violazioni di sicurezza, previsione di audit interni ed esterni con cadenza periodica ecc.).

I principi sopra indicati hanno trovato applicazione in un procedimento sanzionatorio avviato dal Garante per la Protezione dei Dati Personali a carico di Eni per alcune attività illecite commesse dai responsabili del trattamento, nominati per la stipula di contratti di fornitura di energia.

La sanzione per Eni Gas e Luce Spa è di 8,5 Milioni di Euro per trattamenti illeciti di telemarketing e 3 Milioni di Euro per la conclusione di contratti non richiesti.

Il Garante nel caso specifico, infatti, ha stabilito che “sebbene i trattamenti oggetto di reclamo siano stati posti in essere da responsabili del trattamento (agenti e venditori) che hanno agito in parziale violazione delle istruzioni impartite dal titolare (v. verbale del 19 febbraio 2019, p. 6 e atto di denuncia-querela del 24 settembre 2018), è ad ogni modo emerso che le misure tecniche e organizzative adottate da ENI nell’ambito dei processi di acquisizione della clientela per il tramite del canale Agenzia non sono risultate adeguate alla natura, al contesto, alle finalità e ai rischi del suddetto trattamento, configurando una violazione del principio di “responsabilizzazione”, nonché del principio di integrità e riservatezza (art. 5, par. 1, lett. f) e par. 2, art. 24 e art. 32 del Regolamento (UE) 2016/679 – con l’effetto di ritenere assorbita la violazione, di diretta imputazione ai predetti responsabili del trattamento,  dei principi di cui agli artt. 6 e 13 del succitato Regolamento)”.

Questo provvedimento farà tremare tutti i titolari dei trattamenti che pensano di poter scampare alle sanzioni del Garante con meri formalismi.