Il Garante per la protezione dei dati personali ha inflitto una sanzione di 5 milioni di euro ad Hera per la violazione della privacy di oltre 2.300 clienti. La società operante nel mercato libero dell’energia elettrica e del gas non ha adottato le necessarie misure per evitare il trattamento illecito dei dati da parte delle agenzie porta a porta.

Uso illecito dei dati per attivare i contratti

L’istruttoria è stata avviata dal Garante nel 2023 dopo aver ricevuto numerose segnalazioni da persone che sono venute a conoscenza del rapporto contrattuale solo in seguito al recapito della documentazione, senza aver mai avuto contatti con la società. Ovviamente sui contratti era stata falsificata la firma. Per alcuni ignari clienti è stata attivata anche una polizza assicurativa. Altri reclami riguardavano le difficoltà nell’esercizio dei diritti previsti dagli articoli 15-22 del GDPR.

Uno dei canali usati da Hera per la sottoscrizione dei contratti prevede l’uso dei cosiddetti “agenti porta a porta“. Prima dell’inserimento dei dati nel CRM (Customer Relationship Management), la società dovrebbe effettuare un controllo documentale e una telefonata di conferma al potenziale cliente. Se l’interessato non risponde, la procedura continua ugualmente per i contratti ottenuti da agenzie con score di qualità elevato.

In seguito alle ispezioni, l’autorità ha accertato che la maggioranza dei contratti non richiesti era stata ottenuta da due agenzie con basso rating. I relativi agenti porta a porta hanno acquisito le generalità degli ignari clienti scattando foto del documento di riconoscimento e apponendo successivamente una firma falsa sulla documentazione.

Secondo il Garante, Hera non ha adottato misure tecniche e organizzative per evitare il trattamento illecito dei dati. È inoltre risultato inadeguato il sistema che prevede una telefonata di controllo per verificare la volontà del cliente. Nella maggioranza dei casi, l’attivazione è avvenuta anche quando le chiamate non erano andate a buon fine per l’irreperibilità della persona contattata.

La società dovrà quindi pagare una multa di 5 milioni di euro e implementare una serie di misure correttive, tra cui l’uso di un sistema che preveda l’interruzione del processo di contrattualizzazione se il cliente non risponde alla telefonata di controllo. Hera può eventualmente presentare ricorso al tribunale ordinario.