Le Garant de la Vie Privée a ordonné à Hera Comm S.p.A. le paiement d’une amende de 5 millions d’euros pour violations graves constatées dans le traitement des données personnelles de plus de 2 300 clients dans le secteur de la fourniture d’électricité et de gaz.
L’Autorité est intervenue à la suite de nombreux signalements et plaintes concernant la conclusion de contrats non sollicités sur le marché libre, compilés à partir de données inexactes et obsolètes provenant des clients de l’entreprise.
En particulier, les plaignants se plaignent d’avoir appris l’établissement du nouveau contrat seulement après qu’Hera ait reçu des documents signés avec une signature apocryphe ou des communications mettant à jour l’état d’activation de la fourniture, sans jamais avoir eu de contact avec la société. Certaines plaintes concernaient également la réponse inexacte ou tardive d’Hera aux demandes d’exercice de droits en vertu du règlement sur la protection de la vie privée.
À partir des inspections effectuées, l’Autorité a constaté que l’entreprise n’avait pas adopté de mesures techniques et organisationnelles adéquates pour empêcher l’utilisation illicite des données des clients par les agents de porte-à-porte. En effet, ces derniers ont acquis les coordonnées des intéressés grâce à l’utilisation d’appareils personnels, par exemple en prenant des photos du document d’identification correspondant, puis ont procédé à l’activation de la fourniture à leur insu. Dans certains cas, les agents ont également activé des polices d’assurance, signées avec une fausse signature, envoyées avec les contrats. Le système de surveillance utilisé par l’entreprise au moyen d’appels téléphoniques de contrôle visant à vérifier les souhaits réels du client est également inadéquat.
En fait, dans la plupart des cas, l’activation a eu lieu même lorsque ces appels n’ont pas abouti en raison de l’indisponibilité de la personne contactée.
Le Garant a donc ordonné, outre la sanction financière, à l’entreprise de prendre une série de mesures correctives, parmi lesquelles l’adoption d’un système prévoyant l’interruption du processus de passation de marchés en cas de non-réponse à l’appel téléphonique de contrôle ; ainsi que la réalisation de contrôles préventifs et d’audits périodiques pour évaluer le travail des agences désignées.
L’entreprise devra également établir des durées de conservation des données spécifiques, différenciées par catégorie et finalité de traitement.
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10053275