La Autoridad de Control Italiana (Garante) impone una doble multa por total de 11,5 millones de euros a Eni Gas E Luce por tratamiento ilegítimo de datos para fines de marketing y activación de contratos no solicitados.
El Comité Europeo de Protección de Datos informó el mes pasado sobre una doble multa impuesta a Eni Gas E Luce por la Autoridad de Control Italiana. Tras una investigación sobre las prácticas de marketing de Eni Gas E Luce (EGL), Garante impuso una multa de 11,5 millones de euros por tratamiento ilegítimo de datos para fines de marketing y activación de contratos no solicitados. De las dos multas, la primera, con un importe de 8,5 millones, resultó del tratamiento de datos por parte de EGL en relación con actividades de telemarketing. La segunda, de 3 millones, se debió a la realización no solicitada de contratos de suministro eléctrico y gas bajo las reglas de libre mercado.
Tratamiento ilegítimo de datos
Entre las diferentes violaciones de la normativa descubiertas durante la investigación, la primera multa de 8,5 millones se basó en diferentes tratamientos ilegítimos de información personal, que incluían llamadas de marketing no solicitadas, sin el consentimiento de los interesados o incluso con oposición expresa de los mismos. Tampoco se realizaron las debidas comprobaciones en los registros públicos. La Autoridad de Control italiana también apuntó que no se habían implantado medidas técnicas u organizativas para tener en cuenta tales consideraciones proporcionadas por los usuarios. Asimismo, EGL tenía largos períodos de retención, más allá de los permitidos por la normativa, y también recibían datos de listas de proveedores que no habían recogido el consentimiento oportuno para la cesión de dichos datos.
Activación de contratos no solicitados
Tras varias quejas de los usuarios alegando haber recibido cartas de terminación de los servicios con sus proveedores o facturas iniciales por parte de EGL sin haberse dado de alta con ellos, Garante concluyó su investigación con una multa adicional de 3 millones. En algunos casos, los consumidores informaron incluso de datos incorrectos en los contratos y firmas falsas.
Medidas correctivas y disciplinarias
Garante ha ordenado en consecuencia que, además de efectuar el pago de la multa, EGL debe introducir alertas específicas para detectar anomalías en sus procedimientos. También se les ha prohibido la utilización de los datos cedidos por los proveedores en aquellos casos en que estos no contasen con el consentimiento necesario para ello. Cuando este consentimiento se haya dado de forma efectiva, EGL deberá comprobarlo antes de comenzar cualquier campaña promocional. Todas estas medidas deberán implementarse y ser comunicadas a la Autoridad de Control Italiana en un determinado período de tiempo impuesto a tales efectos, y las multas deberán pagarse en un plazo de 30 días.
¿Tu empresa ha implementado todas las medidas de seguridad adecuadas en conformidad con el RGPD y la LOPDGDD? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos. Infórmate aquí.
