Πρόστιμο 10 εκατομμυρίων ευρώ επέβαλε η ιταλική αρχή προστασίας δεδομένων Garante στον πάροχο ενέργειας Axpo Italia Spa για την ενεργοποίηση μη ζητηθέντων συμβολαίων με πελάτες και την επεξεργασία ανακριβών και μη επικαιροποιημένων δεδομένων.
Η εταιρεία, η οποία επεξεργάστηκε παράνομα τα προσωπικά δεδομένα περισσότερων από 5.000 πελατών, θα πρέπει να λάβει μια σειρά από τεχνικά και οργανωτικά μέτρα που προσδιορίστηκαν από την Αρχή, προκειμένου να συμμορφωθεί με τους κανόνες της προστασίας δεδομένων.
Η Garante παρενέβη μετά από πολυάριθμες καταγγελίες πελατών, οι οποίοι παραπονέθηκαν για την ενεργοποίηση, εν αγνοία τους, συμβάσεων ηλεκτρικού ρεύματος και φυσικού αερίου στο όνομά τους, για τις οποίες ενημερώθηκαν για πρώτη φορά είτε όταν έλαβαν ενημέρωση λύσης της σύμβασης από τον προηγούμενο πάροχό τους ή όταν τους ήλθε ο πρώτος λογαριασμός της Axpo.
Παράλληλα, σε πολλές από τις καταγγελίες οι πελάτες διαμαρτύρονταν πως τα προσωπικά δεδομένα τους που αναγράφονταν στις νέες συμβάσεις ήταν ανακριβή ή ανεπίκαιρα.Από την έρευνα που διενήργησε η Garante προέκυψε ότι η Axpo αποκτούσε νέους πελάτες για την προμήθεια ηλεκτρικού ρεύματος και φυσικού αερίου μέσω ενός δικτύου περίπου 280 πωλητών (πρακτόρων και υποπρακτόρων) που συνέλεγαν δεδομένα πελατών με τη μέθοδο πόρτα-πόρτα, ήτοι με την επίσκεψη σε κατοικίες δυνητικών πελατών.
Παρ’ όλα αυτά, η εταιρεία δεν είχε διαμορφώσει τα κατάλληλα εργαλεία και τις διαδικασίες εκείνες που θα διασφάλιζαν πως τα στοιχεία που καταχωρούν οι πωλητές στη βάση δεδομένων της αντιστοιχούν σε πρόσωπα που πράγματι είχαν συμφωνήσει να γίνουν πελάτες.
Οι ελλείψεις αυτές είχαν ως αποτέλεσμα τη σύναψη συμβάσεων που δεν είχαν συμφωνηθεί ποτέ, οι οποίες μάλιστα συχνά περιελάμβαναν και προσωπικά δεδομένα ανακριβή ή παρωχημένα. Ενδεικτική ήταν η περίπτωση ενός πολίτη που είχε εμφανιστεί να έχει συνάψει 23 συμβάσεις με την εταιρεία και δη για το ίδιο χρονικό διάστημα.Επιπροσθέτως, η βάση δεδομένων της εταιρείας περιελάμβανε και 2.462 προτάσεις συμβάσεων, στις οποίες η ίδια διεύθυνση ηλεκτρονικού ταχυδρομείου του δυνητικού πελάτη επαναλαμβανόταν περισσότερες από πέντε φορές.Η καταγγελλόμενη εταιρεία αρνήθηκε την ευθύνη της ισχυριζόμενη πως είχε λάβει όλα τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την επαλήθευση της ταυτότητας των νέων πελατών της, ενώ η όποια ευθύνη διαπιστώθηκε θα έπρεπε να αποδοθεί αποκλειστικά στους εμπορικούς συνεργάτες της, οι οποίοι ενήργησαν είτε ως ανεξάρτητοι υπεύθυνοι επεξεργασίας ή ως εκτελούντες την επεξεργασία που παραβίασαν τις εντολές της.
Η Garante είχε την άποψη πως η ευθύνη βαρύνει αποκλειστικά τον πάροχο, τόσο στο πλαίσιο του ελέγχου των συμβάσεων που καταχωρούνταν, όσο και στο πλαίσιο του ελέγχου των δραστηριοτήτων των συνεργατών του.
Η ιταλική αρχή διαπίστωσε την παραβίαση των άρθρων 5 παρ.1α και δ (νομιμότητα-αντικειμενικότητα-διαφάνεια και ακρίβεια), 5 παρ.2 (λογοδοσία) και 24 ΓΚΠΔ (ευθύνη του υπευθύνου επεξεργασίας) και επέβαλε στον πάροχο το πρόστιμο των 10 εκατομμυρίων ευρώ.Παράλληλα, διέταξε τον πάροχο όπως προχωρήσει σε διάστημα 9 μηνών σε συμμόρφωση με τις συστάσεις της ως προς τη λήψη των κατάλληλων τεχνικών και οργανωτικών μέτρων για την επαλήθευση της ακρίβειας των συμβάσεων που συνάπτονται από πράκτορές της.
