Sicurezza dei dati: il Garante Privacy sanziona Enel

Il procedimento avviato contro Enel trae origine dalle indagini svolte dalla Guardia di Finanza nei confronti di alcune società, con sedi in Veneto e in Toscana, in relazione all’attività di telemarketing finalizzata a promuovere servizi di compagnie del settore dell’energia elettrica e del gas, tra cui Enel Energia.
Le società contattavano telefonicamente i potenziali clienti acquisendo i contatti da elenchi acquisiti illecitamente e senza osservare le disposizioni in materia di telemarketing. Le medesime società non avevano alcun contratto di collaborazione in essere con Enel Energia, pertanto, non erano autorizzate a stipulare contratti per suo conto. I contratti conclusi venivano caricati nei sistemi informativi della compagnia energetica da parte di una società cooperativa che, tuttavia, non disponeva di alcuna autorizzazione per l’accesso ai sistemi.
Questi i fatti che hanno portato la Guardia di Finanza a svolgere un’attività ispettiva nei confronti di Enel Energia finalizzata a verificare le misure di sicurezza implementate sulle piattaforme aziendali e la presenza nei sistemi dei contratti acquisiti per il tramite delle società venete e toscane.

Gli esiti delle indagini hanno rivelato che nonostante le politiche formali adottate da Enel per garantire la sicurezza dei dati vi sono state lacune significative nella loro effettiva applicazione, che hanno consentito a società terze di riversare nei sistemi di Enel, dal 2015 al 2022, circa 9300 contratti.
In particolare, le lacune sono state registrate nella governance dei processi di autenticazione e controllo alla piattaforma informatica, che non hanno garantito la gestione responsabile dei dati persoanli.

Il Garante Privacy ha irrogato a Enel Energia una sanzione amministrativa di € 79.107.101,00 ordinando alla società di adottare una serie di misure correttive per rafforzare la sicurezza dei dati e prevenire future violazioni.