[doc. web n. 9119901]

Ordinanza ingiunzione nei confronti di Enel Energia s.p.a.  - 19 marzo 2019

Registro dei provvedimenti
n. 68 del 19 marzo 2019

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO l’art. 1, comma 2, della legge 24 novembre 1981, n. 689, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati;

RILEVATO che l’Ufficio del Garante per la protezione dei dati personali (di seguito Garante) ha svolto un’articolata attività di controllo nei confronti, tra gli altri, di Enel Energia s.p.a. P.Iva: 06655971007, con sede in Roma, viale Regina Margherita n. 125, in persona del legale rappresentante pro-tempore. Tale attività di controllo ha permesso di accertare che Enel Energia s.p.a. ha consentito accessi al CRM e download massivi, effettuati da una “società terza” sottoscrittrice di un contratto di agenzia, con utilizzo di credenziali di soggetti con cui i rapporti sono stati risolti e che, nel caso che occupa, hanno portato in totale allo scaricamento di un ingente quantitativo di dati (841.805 righe), non autorizzato. La descritta operazione è proseguita anche successivamente alla ricezione, da parte della “società terza”, di una diffida datata 16 febbraio 2017. Quanto accertato in ordine alle modalità degli accessi al CRM e ai download massivi configura un’omissione delle misure di sicurezza di cui agli artt. 33 e ss. E all’allegato B) del Codice in relazione: 1) all’assenza del “limite di accesso” dei profili di autorizzazione della “società terza” “ai soli dati necessari per effettuare le operazioni di trattamento” (cfr. punto 13, all. B, al Codice); 2) all’omessa verifica periodica sulla “sussistenza delle condizioni per la conservazione dei profili di autorizzazione” (cfr. punto 14, all. B, al Codice);

VISTO il verbale redatto dall’Ufficio del Garante in data 13 aprile 2018, con il quale è stata contestata, ad Enel Energia s.p.a., la violazione amministrativa, non definibile in via breve ai sensi dell’art. 16 della legge 24 novembre 1981, n. 689, prevista dall’art. 162, comma 2-bis del Codice, in relazione alle misure indicate nell’art. 33;

CONSIDERATO che la parte non risulta essersi avvalsa delle facoltà previste dall’art. 18 della legge n. 689/1981 (non presentando all’Autorità scritti difensivi né chiedendo di essere ascoltata);

RILEVATO, pertanto, che Enel Energia s.p.a. ha effettuato un trattamento di dati personali (art. 4 comma 1, lett. a) e b) del Codice) consistente in accessi al CRM e download massivi, effettuati da una “società terza” sottoscrittrice di un contratto di agenzia, con utilizzo di credenziali di soggetti con cui i rapporti sono stati risolti e che, nel caso che occupa, hanno portato in totale allo scaricamento di un ingente quantitativo di dati (841.805 righe), non autorizzato, ciò determinando l’omessa adozione delle misure minime di sicurezza ai sensi dell’art. 33 del Codice, ovvero:

- l’assenza del “limite di accesso” dei profili di autorizzazione della “società terza” “ai soli dati necessari per effettuare le operazioni di trattamento” in violazione del punto 13, all. B, al Codice;

- l’omessa verifica periodica sulla “sussistenza delle condizioni per la conservazione dei profili di autorizzazione”, in violazione del punto 14, all. B, al Codice;

VISTO l’art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell’art. 33 del Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge 24 novembre 1981 n. 689:

- dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione ovvero del fatto che la società ha adempiuto alle prescrizioni impartite di cui all’art. 169, comma 2 del Codice;

-  della gravità della violazione;

- della personalità del contravventore ovvero del fatto che la società risulta avere, nel 2015, precedenti specifici in ordine alla violazione sulle grandi banche dati di cui all’art. 164-bis, comma 2, del Codice ovvero dell’ordinanza ingiunzione n. 81 del 12 febbraio 2015 (in www.garanteprivacy.it, doc web n. 3986109);

- delle sue condizioni economiche in base alle quali risultano essere stati contabilizzati a bilancio 2017 ricavi per euro 12.355.965.015,00 e un utile di esercizio pari a euro 792.597.429,00;

e che, pertanto, l’ammontare della sanzione pecuniaria con riferimento alla violazione di cui all’art. 162, comma 2-bis deve essere quantificato nella misura di euro 80.000,00 (ottantamila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

ORDINA

a Enel Energia s.p.a. P.Iva: 06655971007, con sede in Roma, viale Regina Margherita n. 125, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 80.000,00 (ottantamila) a titolo di sanzione amministrativa pecuniaria per la violazione prevista dall’art. 162, comma 2-bis del Codice, come indicato in motivazione;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 80.000,00 (ottantamila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell’avvenuto versamento.

Ai sensi degli artt. 152 del Codice e 10 del d. lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 19 marzo 2019

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia