da Pietro Cusati (giurista – giornalista)
L’impossibilità per l’utente di cambiare fornitore era derivata da un trattamento di dati da parte della società distributrice di energia elettrica ARETI spa ,inesatti e non aggiornati, dovuto a un disallineamento dei sistemi interni della società ARETI spa che ha comportato l’errata comunicazione in ordine ad una morosità in corso al Sistema informativo integrato , la banca dati consultata dai fornitori prima di sottoscrivere un nuovo contratto.La disciplina di settore consente al venditore entrante di valutare la “convenienza” di acquisire un nuovo cliente nel libero mercato consultando il Sistema informativo integrato, alimentato anche dalle informazioni comunicate dal distributore. A partire da dicembre 2016 e fino a gennaio 2022 le diverse query utilizzate da Areti spa per estrarre le informazioni dai propri sistemi avevano ,a causa di una serie di errori tecnici ed applicativi, attribuito di fatto ai clienti una condizione di morosità non corrispondente alla loro reale condizione. Come conseguenza, sulla base di tale informazione inesatta, i venditori entranti avevano negato l’attivazione della fornitura di energia ad oltre 47 mila potenziali clienti. Oltre all’erronea applicazione della query per l’estrazione del dato sulla morosità, il Garante per la Privacy ha contestato ad Areti spa anche tempistiche inadeguate nella conservazione dei dati, migrazione di dati non esatti nell’ambito dei propri sistemi e inidoneo riscontro all’istanza con la quale il reclamante aveva esercitato i propri diritti. Alla società Areti spa il Garante della Privacy ha contestato anche la violazione del principio di accountability, poiché le misure tecniche e organizzative adottate per conformare il trattamento dei dati al Regolamento europeo non sono risultate adeguate alla natura, al contesto e ai rischi del trattamento effettuato. Nel determinare l’ammontare della sanzione il Garante per la Privacy ha tenuto conto delle diverse migliaia di clienti coinvolti, della durata della violazione, circa cinque anni, della delicatezza delle informazioni trattate in grado di evidenziare l’“affidabilità” della persona nonché delle possibili conseguenze sul piano economico e sociale che possono derivare da un loro illecito trattamento. Inoltre
il Garante della privacy ha sanzionato una società sportiva per 20.000 euro che aveva introdotto un sistema di rilevazione delle impronte digitali per accertare la presenza dei dipendenti presso i club in gestione. Il trattamento di dati biometrici sul posto di lavoro è consentito solo se necessario per adempiere gli obblighi ed esercitare i diritti del datore di lavoro previsti da una disposizione normativa e con adeguate garanzie. Nel corso dell’istruttoria e degli accertamenti ispettivi, effettuati dal Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza, è emerso che la società aveva effettuato, per quasi quattro anni, la rilevazione delle impronte digitali dei 132 dipendenti senza un’adeguata base normativa. E, violando i principi di minimizzazione e proporzionalità, aveva trattato per scopi di ordinaria gestione (consentire maggiore velocità e snellezza dell’attività di rilevazione delle presenze) una tipologia di dati protetta dal Regolamento europeo con particolari garanzie. La società aveva inoltre fornito ai lavoratori informazioni del tutto carenti sulle caratteristiche dei trattamenti biometrici.Riscontrate le numerose violazioni della normativa posta a tutela dei dati personali dei lavoratori, il Garante della Privacy, nel definire la sanzione di 20.000 euro, ha tenuto conto della natura, della gravità e della durata degli illeciti, che si sono protratti fino al 2 maggio 2022, data in cui il sistema di rilevazione delle impronte digitali è stato sostituito da un sistema non biometrico.
