Con il provvedimento n. 390 del 24 novembre 2022 – reso noto con la newsletter dello scorso 22 dicembre – l’Autorità garante per la protezione dei dati personali ha irrogato ad Areti S.p.A. (la società che distributrice l’energia elettrica a Roma) una sanzione di 1 milione di euro per l’illecito trattamento dei dati dei propri clienti.
In particolare, con un reclamo presentato il 6 marzo 2021, un interessato ha segnalato di essere stato erroneamente qualificato quale cliente moroso con riferimento all’applicazione del cosiddetto indennizzo CMOR (ossia, “Corrispettivo morosità”) da parte di Areti, nell’ambito delle comunicazioni da questa trasmesse all’interno del Sistema informativo integrato.
Il CMOR è voce di spesa fatturata in bolletta al cliente ove quest’ultimo riporti situazioni di morosità all’atto del passaggio da un fornitore di energia nel libero mercato ad un altro. In tale contesto, si garantisce al fornitore uscente un ristoro per l’eventuale mancato incasso del credito e ciò per il tramite di un articolato meccanismo di flussi di comunicazione (che avvengono tramite il Sistema indennitario e il Sistema informativo integrato) tra il venditore entrante, il distributore, la Cassa per i servizi energetici e ambientali e il fornitore uscente.
A seguito della presentazione del reclamo di cui sopra, l’Ufficio ha avviato un’articolata attività istruttoria, all’esito della quale è stato accertato che il trattamento dei dati personali dei clienti ha determinato la trasmissione al Sistema informativo integrato di dati inesatti e non aggiornati.
Nello specifico, Areti, in qualità di distributore assegnatario della gestione della rete elettrica dei comuni di Roma e Formello, trasmette periodicamente al Sistema informativo integrato le informazioni afferenti alla presenza, in capo a un cliente, di una pratica di indennizzo in corso, mediante estrazione della stessa dallo specifico database in uso presso la Società. In tale contesto, una serie di errori applicativi delle estrazioni hanno determinato un’inesatta valorizzazione dell’informazione relativa alla presenza di un indennizzo.
In ragione di tale errore, pertanto, in più occasioni i venditori entranti hanno rinunciato al perfezionamento del contratto con i clienti, negando l’attivazione della relativa fornitura di energia.
Un ulteriore errore ha riguardato, poi, la ricodificazione delle pratiche afferenti al Sistema indennitario. La Società, in particolare, ha creato una nuova tabella denominata “Pratiche_Indennizzo_SII” nella quale venivano migrate tutte le pratiche ammesse o in corso di verifica presenti nella precedente tabella, utilizzando la medesima regola di migrazione, senza alcuna distinzione delle pratiche rispetto alle quali era già intervenuto un annullamento del CMOR.
Infine, in materia di definizione dei tempi di conservazione dei dati inerenti alle pratiche afferenti al Sistema indennitario, la Società ha dichiarato di applicare periodi di data retention unici – individuati in 10 anni dalla cessazione del contratto – per tutte le tipologie di trattamento relative ai dati della clientela. Tra l’altro, la Società ha omesso di specificare le ragioni connesse all’applicazione di tale termine decennale anche nella propria policy interna, individuando tale periodo decennale per tutti i dati dei propri clienti trattati per diverse finalità.
Alla luce delle predette condotte, come anticipato, il Garante ha accertato la violazione, inter alia, dell’art. 5, par. 1, lettere d) ed e) del Regolamento UE 679/2016 e, pertanto, ha ingiunto alla Società il pagamento di una sanzione pecuniaria pari ad 1 milione.
Ariella Fonsi
