HISTORIES

Energia: il Garante sanziona Areti per 1 mln di euro 
Migliaia di utenti classificati per errore clienti “morosi” non riescono a passare ad altri fornitori
In seguito ad un reclamo è stato scoperto un illecito trattamento dei dati migliaia di clienti da parte di Areti Spa, la società che distributrice l’energia elettrica a Roma. Al termine di una articolata attività istruttoria, il Garante ingiunge alla società il pagamento di una sanzione di 1 milione di euro.
 
Il Sistema informativo di Areti Spa riportava dati inesatti rispetto la morosità dei clienti. Questo ha impedito ai clienti di poter passare ad un altro operatore poiché venivano classificati come insolventi. La disciplina di settore consente infatti al venditore entrante di valutare la “convenienza” di acquisire un nuovo cliente nel libero mercato consultando il Sistema informativo integrato. È stato questo disallineamento nei dati a comportare la mancata attivazione di una nuova fornitura di energia per oltre 47 mila utenti.
 
Oltre a questo, il Garante ha contestato ad Areti anche tempistiche inadeguate nella conservazione dei dati, migrazione di dati non esatti nell’ambito dei propri sistemi e inidoneo riscontro all’istanza con la quale il reclamante aveva esercitato i propri diritti. Ad Areti, quindi, è stata contestata anche la violazione del principio di accountability, poiché le misure tecniche e organizzative adottate per conformare il trattamento dei dati al GDPR non sono risultate adeguate alla natura, al contesto e ai rischi del trattamento effettuato.
 
Nel determinare l’ammontare della sanzione il Garante ha tenuto conto, in particolare, delle diverse migliaia di clienti coinvolti, della durata della violazione, circa 5 anni, della delicatezza delle informazioni trattate in grado di evidenziare l’“affidabilità” della persona nonché delle possibili conseguenze sul piano economico e sociale che possono derivare da un loro illecito trattamento.

Data: 24 novembre 2022
Ordinanza del Garante

Lavoro: no alla rilevazione delle impronte digitali senza specifici requisiti
Sanzionato per 20 mila euro una società sportiva che ha introdotto un sistema di rilevazione delle impronte digitali per accertare la presenza dei dipendenti presso i club in gestione
Il trattamento di dati biometrici sul posto di lavoro è consentito solo se necessario per adempiere gli obblighi ed esercitare i diritti del datore di lavoro previsti da una disposizione normativa e con adeguate garanzie. Il Garante è intervenuto a seguito della segnalazione di un’organizzazione sindacale, che lamentava l’introduzione del sistema biometrico da parte della società, nonostante la richiesta del sindacato di adottare mezzi di rilevazione meno invasivi.
 
Nel corso dell’istruttoria è emerso che la società aveva effettuato, per quasi 4 anni, la rilevazione delle impronte digitali dei 132 dipendenti senza un’adeguata base normativa.
 
Nel definire la sanzione di 20.000 euro il Garante  ha tenuto conto della natura, della gravità e della durata degli illeciti, che si sono protratti fino al 2 maggio 2022, data in cui il sistema di rilevazione delle impronte digitali è stato sostituito da un sistema non biometrico.
 
Data: 10 novembre 2022
Ordinanza del Garante