El garante de privacidad multa a Eni Gas e Luce (Egl) por 11,5 millones de euros

(Para Andrea Puligheddu)
03/02/20

El comunicado de prensa de hace unos días con el que el Garante para la protección de datos personales anunció que había sancionado a Eni Gas y Luce (Egl) por un monto total de 11,5 millones de euros causó un ruido discreto.
Los títulos de las dos sanciones contenidas en el comunicado de prensa en cuestión se refieren, respectivamente, al tratamiento ilegal de datos personales en el contexto de actividades de promoción comercial (a través de actividades de telemarketing) y a la activación de contratos no solicitados, mediante el uso de los datos facilitados por los clientes. en otra parte.

Es interesante compartir algunas reflexiones relacionadas con las medidas en cuestión.

En primer lugar, finalmente se puede decir, aunque sea obvio, que Italia también ha comenzado a dar sus primeros pasos en el vals de las actividades de sanción en el campo. política de privacidad.
En Europa hasta diciembre de 2019, el monto total de sanciones ya realizado fue de alrededor de 400 millones, con una contribución de "solo" 50.000 euros de actividad del Garante italiano, con la famosa Provisión para el portal Rousseau.

En segundo lugar, es interesante observar una de las primeras aplicaciones concretas de los criterios introducidos por el GDPR para la identificación de sanciones relacionadas con violaciones. De hecho, este último, encontrado por la Unidad de Privacidad de Guardia di Finanza, se desarrolló de acuerdo con los criterios indicados en el Reglamento de la UE no. 679/2016 (GDPR), entre los cuales se encuentran la gran audiencia de los involucrados, la omnipresencia de la conducta, la duración de la violación, las condiciones económicas de Egl.

Esto no es una verdadera novedad, pero detectarlos dentro de las sanciones de una entidad iguales a las impuestas a la Compañía Egl da un sabor completamente nuevo al significado de los propios criterios. Por tanto, no solo el aspecto tradicional del número de tratamientos o la naturaleza de los mismos, más utilizado con la legislación anterior, sino también los criterios generalizados (relacionados con el impacto que ha tenido la conducta sancionada en los sujetos afectados), la duración de la conducta y - fundamental con respecto a lo cuántico - las condiciones económicas de Egl. Por el contrario, se podría plantear la hipótesis de que, como ya ha señalado en varias ocasiones el Garante también con respecto a su actividad anterior realizada al amparo del primer Código de Privacidad, frente a entidades o empresas con números más modestos no se debe esperar el puño de hierro proporcionado por el techos millonarios de conformidad con el art. 83 párrafos 4 y 5.

Finalmente, es interesante observar que el Garante quería entrar en los méritos de la desalineación típica existente entre el CRM (Customer Relationship Management - columna vertebral del sistema de producción de cada empresa) y la gestión de los consentimientos recopilados. En particular, la Autoridad observa que "Los episodios de desalineación temporal del CRM y de la lista negra de EGL han tenido consecuencias limitadas y limitadas, pero en cualquier caso constituyen la violación de las disposiciones del art. 5, par. 2 del Reglamento, ya que la Compañía no ha podido garantizar y probar el momento y los métodos para actualizar el estado de los consentimientos en el CRM y en su lista negra; por lo tanto, también debe prescribir a la Compañía para llevar a cabo la implementación definitiva de los mecanismos propuestos destinados a automatizar los flujos de datos desde el CRM a la lista negra en uso en la compañía en ciertos momentos ".
Esto significa, como los expertos ya lo saben, que el principio de privacidad por diseño en el art. 25 se concreta en la medida en que los flujos técnico-informáticos relacionados con un tratamiento también se han regularizado, no tanto las toneladas de papel detrás de las cuales las empresas a menudo se aferran por varias razones.

Por lo tanto, al encontrar un buen comienzo en estas primeras Medidas, la Autoridad desearía intervenciones de orientación y apoyo más numerosas y, por qué no, aún más profundas (por ejemplo, entrenamiento o capacitación), hacia la AP o el sector privado ( especialmente si se trata de infraestructura crítica) en temas como estos, que no sean proyectos de nivel superior a nivel de capacitación, llevados a cabo, por ejemplo, con los recientes ciclos de reuniones de SMEdata.

Por supuesto, no se pagarán 11 millones de euros sin decir una palabra por la que Egl ha apelado, veremos qué sucede.

Nota: el objetivo general del proyecto SMEDATA es "Garantizar la aplicación efectiva del Reglamento general sobre la protección de datos personales mediante la sensibilización, la capacitación y el desarrollo sostenible de habilidades para las PYME y las profesiones jurídicas".

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/doc...
- https://www.cwi.it/applicazioni-enterprise/crm
https://smedata.eu/index.php/it/