Sulla base di un reclamo relativo alla lettura a distanza dei contatori elettrici da parte di Radius, l’autorità danese per la protezione dei dati ha valutato che il trattamento dei dati personali è avvenuto nel quadro del regolamento sulla protezione dei dati e delle norme speciali nazionali.

L’autorità danese per la protezione dei dati ha preso una decisione in un caso in cui alcuni cittadini si sono lamentati del trattamento dei dati personali da parte di Radius Elnet A/S, poiché la società raccoglie dati personali sul consumo di elettricità dei denuncianti in kWh su base oraria tramite lettura remota contatori elettrici e poi comunica l’informazione a Energinet.

Radius è una società online, ad es. una società che gestisce le reti di distribuzione dell’elettricità in Danimarca. A questo proposito Radius raccoglie i dati di consumo dei clienti elettrici, compresi i reclami, tramite contatori elettrici teleletti.

L’autorità danese per la protezione dei dati ha ritenuto nella sua decisione che il trattamento dei dati personali da parte di Radius aveva avuto luogo nel quadro del regolamento sulla protezione dei dati e delle norme speciali nazionali che adattano l’applicazione del regolamento. La questione è stata trattata dal Data Council.

Nel complesso, l’autorità norvegese per la protezione dei dati ha riscontrato:

1. che il trattamento dei dati personali da parte di Radius ai fini di (i) fatturazione e (ii) garanzia della sicurezza dell’approvvigionamento nonché di qualità e capacità sufficienti nella rete elettrica è necessario per adempiere a un obbligo legale, cfr. regolamento sulla protezione dei dati, articolo 6, comma 1, lettera c,
2. che l’articolo 25, par. 1, non si applica all’attività di trattamento in questione, essendo l’attività iniziata prima del 25 maggio 2018, data di applicazione del regolamento, e
3. che non vi era alcuna base per stabilire che le attività di trattamento effettuate da Radius sulla base dei suoi obblighi legali violassero il principio di proporzionalità del regolamento sulla protezione dei dati, articolo 5, comma 1, lettera c.

Annuncio 1)

L’autorità danese per la protezione dei dati ha sottolineato che è chiaro e preciso dalla base giuridica a cui è soggetta Radius in quanto società di rete che Radius in quanto società di rete deve raccogliere informazioni sul consumo di elettricità, ecc. su base oraria e segnalare l’informazione a Energinet, e che ciò deve essere fatto secondo le modalità specificate. Inoltre, l’Autorità danese per la protezione dei dati ha sottolineato che la raccolta di informazioni sul consumo di energia elettrica, ecc. per garantire la sicurezza dell’approvvigionamento nonché la qualità e la capacità della rete elettrica è parte integrante dell’obbligo di mettere a disposizione la necessaria capacità di trasporto e di garantire l’accesso al trasporto dell’elettricità nella rete elettrica, nonché di garantire la qualità tecnica della rete, alla quale Radius è soggetta come attività online.

A questo proposito, l’autorità danese per la protezione dei dati ha osservato che le informazioni sul consumo di elettricità, ecc. sostanzialmente non costituiscono di per sé categorie particolari di dati personali contemplate dall’articolo 9 del regolamento sulla protezione dei dati.

In casi selezionati e in determinate circostanze, i dati personali possono essere considerati dati personali sensibili, sebbene le informazioni non debbano generalmente essere considerate sensibili. Ciò vale, tra l’altro, se le informazioni attraverso una riflessione intellettuale, ad esempio una deduzione, possono rivelare dati sensibili su una persona. Ciò può avvenire, ad esempio, quando il nome di una persona, che di per sé non costituisce un dato personale sensibile, compare in un elenco di pazienti ricoverati in un reparto di oncologia.

Tuttavia, secondo l’autorità danese per la protezione dei dati, questo non è il caso se ciò richiede l’implementazione di analisi complesse o simili. ricavare dati personali sensibili, ad esempio informazioni sulle credenze religiose da informazioni sul consumo di elettricità ecc., se tali analisi ecc. non effettivamente effettuati nell’ambito dell’attività di trattamento in questione.

Annuncio 2)

Per quanto riguarda la questione della protezione dei dati attraverso la progettazione e le impostazioni standard, l’autorità danese per la protezione dei dati ha valutato che le finalità e gli strumenti per il trattamento dei dati personali in questione, vale a dire raccolta di informazioni sul consumo di energia elettrica, ecc. su base oraria da utilizzare ai fini del regolamento e della gestione del sistema, era stato peraltro da ultimo determinato nel dicembre 2017, quando è stato reso operativo il cosiddetto flex adjustment da parte di Energinet, a seguito del quale le società di rete, tra cui Radius, hanno stato obbligato a raccogliere e riportare le informazioni sul consumo di elettricità, ecc. all’hub dati.

Si trattava quindi di un trattamento iniziato prima del 25 maggio 2018, per questo motivo l’articolo 25, comma 2 del Regolamento Privacy 1, non si applicava all’attività di trattamento. Il fatto che i contatori elettrici abbiano (continuato) sostituito da parte dei clienti elettrici nel periodo dal 25 maggio 2018 al 31 dicembre 2020 non potrebbe, ad avviso del Garante, portare ad un risultato diverso.

Annuncio 3)

Per quanto riguarda la questione della proporzionalità, l’autorità danese per la protezione dei dati ha ritenuto, dopo una valutazione complessiva, che non vi erano basi per determinare che le attività di trattamento effettuate da Radius sulla base del citato obbligo legale ai sensi della legge sull’approvvigionamento elettrico, ecc. ., violavano il principio di proporzionalità di cui all’articolo 5 pezzi del Regolamento sulla protezione dei dati. 1, lettera c.

L’Autorità danese per la protezione dei dati ha posto particolare enfasi sul fatto che risulta chiaro e specifico dalla normativa che le società di rete, compresa Radius, sono obbligate a verificare la correttezza delle informazioni comunicate al data hub, e che tale controllo richiede l’accesso a i valori di misurazione specifici che vengono raccolti in tempo base.

Inoltre, l’autorità danese per la protezione dei dati ha ritenuto che non esistessero basi per ignorare la valutazione secondo cui è necessario verificare i singoli valori di misurazione, come previsto dalla legislazione, e che non esistevano basi per stabilire che esistessero altri valori meno intrusivi modalità di trattamento delle informazioni in questione, tenuto conto dell’obiettivo perseguito.

Infine, l’Autorità danese per la protezione dei dati ha sottolineato che il metodo proposto dai denuncianti – secondo le informazioni degli stessi denuncianti – non era idoneo a verificare i singoli valori di misurazione, e che il metodo da solo consentiva di verificare la correttezza dei valori di misurazione aggregati su base mensile.

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/maj/klage-over-radius-fjernaflaesning-af-elmaalere