Migliaia di utenti classificati per errore clienti “morosi” non riescono a passare ad altri fornitori
Qualificato per errore cliente “moroso” da Areti spa, la società che distributrice l’energia elettrica nella Capitale, non riesce a passare ad un altro fornitore e perde così il potenziale risparmio derivante dai vantaggi della liberalizzazione del mercato.
Si rivolge allora al Garante per la privacy che, al termine di una articolata attività istruttoria, dichiara illecito il trattamento di dati effettuato dal distributore e ingiunge alla società il pagamentodi una sanzione di 1 milione di euro.
Dagli accertamenti ispettivi svolti dall’Autorità è emerso che l’illecito trattamento ha riguardato altre migliaia di clienti.
L’impossibilità per l’utente di cambiare fornitore era derivata da un trattamento di dati inesatti e non aggiornati, dovuto a un disallineamento dei sistemi interni della società che ha comportato l’errata comunicazione in ordine ad una morosità in corso al Sistema informativo integrato (SII), la banca dati consultata dai fornitori prima di sottoscrivere un nuovo contratto con un Cliente.
La disciplina di settore consente infatti al venditore entrante di valutare la “convenienza” di acquisire un nuovo cliente nel libero mercato consultando il Sistema informativo integrato. Purtroppo però, a partire da dicembre 2016 e fino a gennaio 2022 Areti, a causa di una serie di errori tecnici ed applicativi, aveva attribuito di fatto ai Clienti finali una condizione di morosità non corrispondente alla loro reale condizione. Come conseguenza, sulla base di tale informazione inesatta, i venditori entranti avevano negato l’attivazione della fornitura di energia ad oltre 47 mila potenziali clienti.
Il Garante ha contestato ad Areti anche tempistiche inadeguate nella conservazione dei dati, migrazione di dati non esatti nell’ambito dei propri sistemi e inidoneo riscontro all’istanza con la quale il reclamante aveva esercitato i propri diritti. Ad Areti quindi è stata contestata anche la violazione del principio di accountability, poiché le misure tecniche e organizzative adottate per conformare il trattamento dei dati al Regolamento europeo non sono risultate adeguate alla natura, al contesto e ai rischi del trattamento effettuato.
Nel determinare l’ammontare della sanzione il Garante ha tenuto conto, in particolare, delle diverse migliaia di clienti coinvolti, della durata della violazione, circa 5 anni, della delicatezza delle informazioni trattate in grado di evidenziare l’“affidabilità” della persona nonché delle possibili conseguenze sul piano economico e sociale che possono derivare da un loro illecito trattamento.