Il Garante Privacy con provvedimento n. 231/2019 ha disposto che le colpe dei responsabili del trattamento ricadono sui titolari del trattamento anche se il fornitore esterno di un servizio abbia disatteso le prescrizioni del titolare.

Si tratta di un caso che vede protagonista la Società ENI, la quale ha attivato una serie di contratti, tramite i propri operatori, mai richiesti dagli utenti.

Infatti, molti utenti si sono rivolti al Garante lamentando di aver appreso della stipula di un contratto solo dalla ricezione della lettera di disdetta del vecchio fornitore o dalle prime fatture del nuovo fornitore.

Il Garante è intervenuto affermando che tali condotte, per le modalità organizzative e gestionali in essere nell’ambito del sistema di acquisizione di nuovi clienti implementato da ENI, hanno determinato un’attività di trattamento dei dati personali dei reclamanti e di altri potenziali clienti non conforme al Regolamento (UE) 2016/679 in quanto contraria ai principi di correttezza, esattezza ed aggiornamento dei dati (art. 5, par. 1, lettere a) e d) del Regolamento (UE) 2016/679).

Più precisamente il Garante si è soffermato sulle specifiche modalità di trattamento poste in essere da alcuni agenti e venditori, affermando che tali operatori abbiano agito con modalità scorrette (in violazione dei principi di cui agli artt. 5, 6 e 13 del Regolamento (UE) 2016/679).

Il Garante ha altresì evidenziato che, sebbene i trattamenti oggetto di reclamo siano stati posti in essere da responsabili del trattamento (agenti e venditori) che hanno agito in parziale violazione delle istruzioni impartite dal titolare, è ad ogni modo emerso che le misure tecniche e organizzative adottate da ENI, nell’ambito dei processi di acquisizione della clientela, non sono risultate adeguate alla natura, al contesto, alle finalità e ai rischi del suddetto trattamento, configurando una violazione del principio di “responsabilizzazione”, nonché del principio di integrità e riservatezza (art. 5, par. 1, lett. f) e par. 2, art. 24 e art. 32 del Regolamento (UE) 2016/679, con l’effetto di ritenere assorbita la violazione, di diretta imputazione ai predetti responsabili del trattamento (di cui agli artt. 6 e 13 del GDPR).

(Garante Privacy provvedimento n. 231/2019)