Impariamo dagli sbagli altrui: come gestire i dati personali senza fare gli stessi errori di Areti
Trattiamo un caso che vuol essere di monito a tutti, non ci interessa colpevolizzare chi ha sbagliato, ma imparare dai suoi errori.
Si tratta di ARETI S.p.A., società che distribuisce energia elettrica a Roma, che secondo il Garante per la protezione dei dati personali, ha violato vari principi in merito alla gestione dei dati personali, tra cui, il principio di esattezza del trattamento dei dati, per il quale ha subito una sanzione da 1 milione di euro.
In concreto, è stato accertato che, a causa di una serie di errori tecnico-gestionali, migliaia di clienti sono stati per anni, erroneamente indicati come “morosi”. Soprattutto con ricadute su questi soggetti al momento del passaggio ad altro fornitore.
I fatti
Cercheremo di riassumere il più possibile l’accaduto, per quanto ci interessa, senza entrare troppo nei particolari, dato che si tratta di una situazione abbastanza complessa.
Il procedimento nasce da un reclamo di un cliente di Areti, il quale ha segnalato al Garante di essere stato erroneamente qualificato come “cliente moroso” nell’ambito del “Sistema Informativo Integrato” (“SII”).
Per specificare, il SII è un sistema che garantisce al fornitore uscente un indennizzo per l’eventuale mancato incasso di un credito residuo, prima che il cliente possa passare ad un nuovo fornitore. In questo modo, anche il fornitore entrante riceve i suoi benefici, perché ha la possibilità di valutare se acquisire o meno un nuovo cliente (in base alla presenza o meno di morosità).
Areti ha affermato che tale errore era dovuto ad un “disallineamento dei sistemi interni della società” anche frutto di processi di migrazione di sistemi, dal quale è scaturita l’errata comunicazione al SII. Ha, poi, aggiunto che sarebbe venuta a conoscenza di tale disallineamento soltanto in virtù dell’interlocuzione con il reclamante e che da questo errore tecnico non sarebbe pervenuto nessun vantaggio economico alla società.
Violazioni accertate dal Garante
la violazione del principio di esattezza dei dati personali (art. 5(1), lett. d) GDPR), per il quale gli stessi debbono essere “esatti e, se necessario, aggiornati”, per aver trattato informazioni inesatte all’interno del SII concernenti il reclamante (e non solo), causando – tra l’altro – difficoltà/impossibilità nel cambio di fornitore di energia da parte dell’utente;
la violazione del principio di limitazione della conservazione dei dati personali (art. 5(1), lett. e) GDPR), per il quale gli stessi debbono essere conservati “per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”. Areti, invece, applicava tempistiche uniche (10 anni dalla cessazione del contratto) per tutte le tipologie di trattamento relative ai dati della clientela;
la violazione degli artt. 12 e 15 GDPR per l’omesso “idoneo” riscontro alla richiesta di accesso formulata dal reclamante. Il reclamante ha avanzato la richiesta di accesso ai propri dati in data 21 giugno 2020, ulteriormente precisata il 28 settembre 2022. Era stato risposto “si” al reclamante entro i termini prefissati dalla normativa, ma è stato fatto in maniera parziale e inesatta, limitandosi ad elencare le categorie dei dati trattati, senza riportare il dettaglio dei dati personali dell’interessato e, inoltre, l'elenco di dati personali era privo di “alcuna indicazione in ordine alle informazioni inerenti al CMOR allo stesso attribuito ed espressamente richieste”;
la violazione del principio di accountability (artt. 5(2) e 24 GDPR), per il quale grava sul titolare del trattamento l’onere di poter comprovare il rispetto, dei già menzionati principi.
Su quest’ultimo punto, l’Autorità ha fornito preziose indicazioni su quale deve essere il risultato pratico dell’accountability del Titolare. Infatti, ha evidenziato che tale onere non si concretizza soltanto “mediante la corretta e puntuale predisposizione degli adempimenti imposti dal Regolamento […], ma soprattutto attraverso l’implementazione di procedure e prassi organizzative atte a conformare i relativi trattamenti alla disciplina di riferimento”. Il Garante ne offre degli esempi che dovrebbero essere tutti già patrimonio consolidato di enti e aziende perlomeno medio-grandi:
processi per la corretta gestione dei dati oggetto di trattamento;
policy volte ad assicurare l’esattezza delle informazioni trattate;
regole per l’attribuzione di responsabilità;
programmi di formazione del personale;
procedure per la gestione delle richieste di esercizio dei diritti e dei reclami;
previsione di audit interni ed esterni con scadenza periodica.
L’importanza del provvedimento del Garante
Il provvedimento del Garante è costato ad Areti la sanzione di 1 milione di euro e quest’ultimo ha aggiunto che una maggiore attenzione e cura avrebbe potuto portare l’azienda a rilevare da sé i problemi discussi e evitare la sanzione, garantendo il vero rispetto della normativa.
Ai nostri fini, questo provvedimento è importante perché permette di prendere coscienza circa la portata concreta di uno dei principi applicabili al trattamento dei dati personali: il principio di esattezza del trattamento. Infatti, se da un lato è lampante ed intuitivo che i dati personali debbano essere “esatti e, se necessario, aggiornati”, dall’altro non è sempre immediato comprendere, per i titolari del trattamento, le possibili conseguenze negative derivanti dal mancato rispetto di tale semplice indicazione. Esattezza che va declinata, come ben esemplificato dal Garante, sia ex ante (con le procedure e misure pertinenti, idonee) che ex post (verificando sia la rispondenza di quanto previsto che la sua idoneità).
In secondo luogo, è necessario parlare di data retention: ancora una volta il Garante sottolinea la necessità di una stretta aderenza, da parte del titolare al principio di conservazione strettamente connesso alle finalità per cui il trattamento viene eseguito. Quindi non è conforme al GDPR indicare genericamente che i dati personali verranno conservati per un periodo “non superiore al conseguimento delle finalità per i quali sono trattati”. All’ interno di un medesimo trattamento, occorre distinguere le specifiche finalità e peculiarità, argomentando la propria decisione in merito agli eventuali periodi di conservazione per ognuna di esse.
Infine, è importante ricordare il riscontro preciso e puntuale alle richieste, in quanto anche da un inidoneo riscontro ad una richiesta di accesso ai sensi dell’art. 15 GDPR prende vita il presente provvedimento, con tutto quanto ne è conseguito.