Il 17 gennaio 2020, l'Autorità di vigilanza italiana (ISA) ha annunciato di aver imposto due multe separate per 8,5 milioni di euro e 3 milioni di euro a Eni Gas e Luce (EGL), un fornitore italiano di elettricità e gas. Queste multe sono state in risposta a due distinte violazioni del GDPR.
La prima multa (in italiano), per 8,5 milioni di euro, è stata notificata in quanto si è scoperto che EGL stava elaborando illegalmente dati personali effettuando chiamate di marketing a persone che avevano rinunciato a ricevere tali chiamate promozionali. La SA italiana ha inoltre stabilito che la società non ha seguito le procedure specifiche che le hanno richiesto di verificare il registro di opt-out pubblico. Queste azioni sono chiare violazioni dell'articolo 6 e dell'articolo 13 del GDPR.
Oltre alla sanzione, la SA italiana sta costringendo EGL a mettere in atto processi che le impediranno di effettuare chiamate simili in futuro. Ciò include forzare EGL a verificare che abbia il consenso del cliente prima di contattarlo come parte di qualsiasi promozione. A loro è inoltre vietato acquisire dati da terze parti, vale a dire i fornitori di elenchi, che non sono stati in grado di provare che i clienti avevano acconsentito alla condivisione dei loro dati.
La seconda multa (in italiano), che ammontava a 3 milioni di euro, era di sanzionare la conclusione di contratti non richiesti da parte di EGL (o, fondamentalmente, includendo nuovi clienti su contratti EGL senza informare quelle persone che EGL era ora la loro compagnia energetica) e il loro uso di imprecisi e , a volte, informazioni false su tali contratti. Questa è una chiara violazione di più sezioni del GDPR, comprese diverse sezioni dell'articolo 5 e dell'articolo 7 .
EGL ha concluso contratti con oltre 7000 italiani a loro insaputa. In molti casi, le persone non sapevano che EGL era il loro fornitore di energia fino a quando non ricevevano la loro prima fattura dalla società. EGL ha collaborato con agenzie esterne che le hanno permesso di acquisire nuovi contratti di elettricità e gas o in scadenza senza mai contattare il cliente finale. La SA italiana ha ordinato alla società di adottare misure per correggere questo abuso di correttezza dei dati e di introdurre controlli per rilevare tali anomalie procedurali in futuro.
Che EGL sia in errore è abbastanza chiaro: anche se queste violazioni del GDPR non si concentrano sui dati online, c'è poco da contestare quando un'azienda utilizza dati imprecisi per concludere contratti senza il consenso di un individuo. Indica anche che le aziende potrebbero non aver considerato come il GDPR influisca sul modo in cui utilizzano e proteggono i dati offline.
Queste multe sottolineano l'importanza che ogni azienda dovrebbe attribuire alla valutazione di come tratta tutti i dati personali, non solo i dati online. (Suggerisce inoltre che ogni azienda dovrebbe esaminare le terze parti con cui sta collaborando per ottenere dati e lead dei clienti.) Abbiamo creato un elenco di controllo GDPR e una panoramica del regolamento per aiutarti a iniziare. E se sei un'azienda negli Stati Uniti, abbiamo anche una lista di controllo GDPR per te .