La sanzione del Garante privacy a Eni Gas e Luce

Di seguito quanto esposto dal garante con alcuni commenti, con particolare attenzione al fatto che vengono indicati anche dei NUMERI, in vari aspetti del processo sanzionatorio,  che possono essere usati come riferimento per dare peso e valore a termini generici del regolamento generale per la protezione dei dati, GDPR, attualmente fonti di discussione, come per esempio “larga scala”

Il Garante privacy sanziona Eni Gas e Luce per 11,5 milioni
Telemarketing indesiderato e attivazione di contratti non richiesti

Il Garante per la privacy ha applicato a Eni Gas e Luce (Egl) due sanzioni, per complessivi 11,5 milioni di euro, riguardanti rispettivamente trattamenti illeciti di dati personali nell’ambito di attività promozionali e attivazione di contratti non richiesti. Le sanzioni sono state determinate tenendo conto dei parametri indicati nel Regolamento Ue, tra i quali figurano l’ampia platea dei soggetti coinvolti, la pervasività delle condotte, la durata della violazione, le condizioni economiche di Egl.

Il primo elemento che il Garante fornisce è che siamo al cospetto di DUE sanzioni, che fanno cumulo. Questo ovviamente conferma che se durante un accertamento vengono rilevate violazioni legate a più aspetti del GDPR o, come in questo caso, la violazione di due diversi principi ciascuno può essere sanzionato separatamente. La seconda indicazione importante riguarda i parametri, tra quelli determinati dal GDPR, che ha utilizzato per arrivare alla sua decisione:

  1. La numerosità dei soggetti coinvolti che il Garante definisce “Ampia”, tenete a mente questo punto che servirà dopo.
  2. Condotte pervasive, insomma viene misurata la “pressione” applicata
  3. La durata della violazione, dando conto che quanto più a lungo la condotta giudicata scorretta si protrae tanti più grave è la violazione.
  4. Il fatturato di EGL. Insomma è confermato, almeno in questo caso, che nel dare la multa le dimensioni dell’azienda sono un fattore.

La prima sanzione di 8,5 milioni di euro riguarda trattamenti illeciti nelle attività di telemarketing e teleselling riscontrati nel corso di accertamenti e ispezioni svolti dall’Autorità a seguito di diverse decine di segnalazioni e reclami, ricevuti all’indomani della piena applicazione del Gdpr.

Prima indicazione numerica: diverse decine di segnalazioni.

Insomma, a conferma di quanto detto da diversi esponenti dell’ufficio del garante, in alcune manifestazioni a cui abbiamo partecipato, il numero complessivo delle segnalazioni può essere utilizzato come elemento per decidere (“..a seguito di…”) chi viene verificato.

L’ovvia conseguenza è che diventa, per le aziende che non desiderano una visita del Garante, assolutamente fondamentale una corretta (e facilmente accessibile) gestione dei reclami e delle richieste da parte dei clienti, poiché raramente chi si sente vittima di un trattamento illecito segnala al garante senza aver almeno provato a contattare l’azienda.

Dalle verifiche è emerso un circoscritto numero di casi rivelatori tuttavia di condotte “di sistema” poste in essere da Egl, che hanno evidenziato gravi criticità relative al generale trattamento dei dati.

Tra le violazioni messe in luce spiccano le telefonate pubblicitarie effettuate senza il consenso della persona contattata o nonostante il suo diniego a ricevere chiamate promozionali, oppure senza attivare le specifiche procedure di verifica del Registro pubblico delle opposizioni; l’assenza di misure tecnico organizzative in grado di recepire le manifestazioni di volontà degli utenti; tempi di conservazione dei dati superiori a quelli consentiti; l’acquisizione dei dati dei potenziali clienti da soggetti (list provider) che non avevano acquisito il consenso per la comunicazione di tali dati.

Qui c’è poco da aggiungere, il Garante fa l’elenco di una serie di requisiti di trattamento, quelli insomma che un buon consulente privacy o un buon DPO, se presente, verifica nel proprio ente, evidenziandoli come tutti mancanti. Sottolineo comunque un aspetto che mi sembrano interessante per tutti coloro che affidano il proprio marketing ad aziende esterne: viene considerata (ovviamente, col senno del poi) una violazione l’uso di liste di contatti fornite da terzi che, una volta verificate, si sono rivelate senza consenso.

È probabile che EGL sia stata in grado di produrre una qualche forma di contratto dove vi è scritto che il fornitore dei lead si assume la responsabilità del consenso, ma dobbiamo ricordare che più volte il Garante ha parlato di una interpretazione sostanziale della norma, o per usare il termine giusto, un approccio basato sull’Accountability, sul poter Comprovare che quel che si sta facendo o quello che altri stanno facendo per conto nostro. Questa sanzione dovrebbe accendere l’attenzione di tutti i Titolari che si avvalgono di servizi esterni in ambito marketing, non può essere in discussione che contrattualmente i dati di potenziali clienti debbano essere indicati come correttamente legati ad un consenso, è necessario fare il passo successivo e chiederne e registrarne l’evidenza come parte integrante del contratto. In caso contrario il Titolare si espone a rischi non necessari.

Il Garante, dopo aver dichiarato l’illiceità delle condotte rilevate, ha ingiunto a Egl di implementare procedure e sistemi per verificare, anche tramite l’esame di un campione rilevante di nominativi, lo stato dei consensi delle persone inserite nelle liste dei contatti, prima dell’inizio delle campagne promozionali. Egl dovrà inoltre provvedere alla definitiva automatizzazione dei flussi di dati dal proprio database alla black list di chi non vuole ricevere pubblicità in uso presso la società.

Il Garante, inoltre, ha vietato alla società l’uso dei dati forniti dai list provider senza che questi ultimi avessero acquisito uno specifico consenso alla loro comunicazione a Egl.

Naturalmente il Garante non si accontenta di multare ed ovviamente vietare l’utilizzo dei dati privi di consenso, ma entra nel merito delle procedure di una grande azienda e le ingiunge di implementare tutta una serie di procedure la cui realizzazione diventerà un considerevole costo ulteriore a quello della sanzione.

Privacy by design e DPIA preventive non servono semplicemente a fare della carta ma a mappare i possibili rischi, decidere chi verificare, e come implementare procedure che avranno certamente un costo e un tempo di realizzazione di gran lunga inferiore di quello necessario a modificare un grande progetto già avviato.

La seconda sanzione di 3 milioni di euro riguarda violazioni nella conclusione di contratti non richiesti nel mercato libero della fornitura di energia e gas. Molte persone si sono rivolte all’Autorità lamentando di aver appreso della stipula di un nuovo contratto solo dalla ricezione della lettera di disdetta del vecchio fornitore o dalle prime fatture di Egl. In alcuni casi poi le segnalazioni denunciavano la presenza nel contratto di dati inesatti e di sottoscrizione apocrifa.

Le gravi irregolarità hanno interessato circa 7200 consumatori. Dagli accertamenti dell’Autorità è emerso che le condotte adottate da Egl nell’acquisizione di nuovi clienti mediante alcune agenzie esterne operanti per suo conto, per modalità organizzative e gestionali, hanno determinato trattamenti non conformi al Regolamento UE, in quanto contrari ai principi di correttezza, esattezza e aggiornamento dei dati.

Nella seconda sanzione emerge in prima battuta una violazione legata ad un principio, quello della correttezza esattezza e aggiornamento dei dati, che spesso viene considerato secondario: in formazione mi capita spesso di chiedere al manager di turno se è così sicuro che la sua organizzazione sia in grado di recepire richieste di modifica.

In seconda battuta è importante segnalare che il Garante scrive in maniera esplicita il numero di soggetti interessati: 7200. Poco sopra definisce questo numero “ampia platea”. E come in un termometro in cui sappiamo dove è lo zero ma non sappiamo dove comincia il “cento” (l’ineffabile “larga scala”) oggi possiamo comunque apporre un segnalino “Ampia platea” al valore 7200. Per dare un riscontro pratico, Mailchimp, uno dei servizi di mail marketing meno costosi, è gratuito fino a 2000 contatti, e il primo livello a pagamento (circa € 100,00 all’anno) arriva fino a 50.000 contatti, alla portata di qualunque freelance del settore.

Il Garante quindi, rilevate le irregolarità, ha ingiunto a Egl l’adozione di una serie di misure correttive e l’introduzione di specifici alert in grado di individuare varie anomalie procedurali.

Come sopra, rispetto alle procedure GDPR da implementare

Le implementazioni dovranno essere introdotte e comunicate all’Autorità in tempi stabiliti, mentre il pagamento delle sanzioni dovrà essere effettuato entro trenta giorni.

Insomma intanto i soldi poi ci sediamo ad un tavolo e pianifichiamo i correttivi e i tempi di realizzazione. Al di là degli aspetti economici, con questa frase si definisce il fatto che dovrà essere sottoposto allo scrutinio dell’Autorità il progetto delle nuove misure di sicurezza, fino a ricevere una qualche forma di approvazione…ed improvvisamente sale il sospetto che nella gestione di una violazione rilevata dal Garante, la sanzione possa essere il problema di minore entità.

Concludo con una osservazione, che faccio questa volta nei panni di cittadino: il Garante per la protezione dei Dati ha confermato che c’è una norma, il GDPR, ed un ufficio, a cui mi posso rivolgere, con effetti concreti e tangibili, per protestare contro chi concorre a ridurre sempre di più la fiducia mia e di tutti i cittadini, nella società digitale.

Sullo stesso argomento:

La Sorveglianza in ambito GDPR e Privacy

 

PWA – Risultati Concreti Senza Mal Di Testa

Creare Progressive Web App: perchè?

Ricordarsi a memoria tutti i siti web che visitiamo non è certo il nostro passatempo preferito, giusto? Quindi come fa un titolare di una PMI a fare in modo che il proprio sito web rimanga nella memoria dell’utente?

 

La risposta è creare Progressive Web App (PWA), anche conosciute come “Applicazioni Web Progressive”: queste infatti, sono in realtà veri e propri siti internet che hanno la possibilità di installarsi nel dispositivo delle persone come una vera e propria applicazione, con un loro titolo e una loro icona.

L’istituto Gartner stesso ha predetto che entro la fine del 2020 le PWA rimpiazzeranno il 50% delle APP.

Amazon, ad esempio, è appunto una specie di PWA; vengono aggiunte funzioni e viene modificato l’aspetto senza dover aggiornare l’applicazione dallo store ogni volta; non c’è bisogno di ricordarsi a memoria il suo indirizzo; e il brand e la fiducia da parte dell’utente? si creano col tempo, come ogni cosa. Alcuni altri che hanno scelto le PWA sono qui.

I vantaggi rispetto al singolo Sito Web o  App:

  • Creare una Progressive Web App costa molto molto meno di una APP
  • Hanno costi di manutenzione nel tempo di gran lunga inferiori
  • Funzionano anche offline o su reti di scarsa qualità
  • Non hanno bisogno del permesso (e dei costi) di un App store per essere messe a disposizione
  • Compaiono anche nelle ricerche di Google come se fossero un sito web vero e proprio
  • Creare una Progressive Web App ha anche tempi di realizzazione molto più rapidi

Un esempio di PWA

Tornando ad Amazon, che ha sfruttato le risorse già sviluppate, per creare un’applicazione ibrida; nativa ove è stato necessario utilizzare funzioni legate al singolo sistema operativo, ma progressiva, permettendo di inserire il “banner del Black Friday” senza obbligare i clienti ad aggiornare manualmente l’APP, prima di poter usufruire della promozione.

Una PMI ha grande convenienza nel creare una Progressive Web App poiché già in fase di progettazione, a seconda della sua situazione, può scegliere se realizzare un add-on a partire dal proprio sito web esistente, approfittare della necessità di rinnovare il proprio sito web per fare un progetto integrato con un rapporto costi/benefici estremamente conveniente.

Qualche dettaglio in più su perché creare Progressive Web App

Le PWA oggi ci permettono di avere risultati concreti senza la stretta necessità di avere una multinazionale alle spalle; ogni applicazione web progressiva utilizza infatti, in modo innovativo, le stesse tecnologie presenti da almeno due decenni, utilizzando 3 principali vantaggi:

  • è in realtà un sito web, quindi svilupparlo richiede conoscenze base fondate nel 19esimo secolo, risparmiando quindi una significativa quantità di tempo e denaro;
  • essendo un sito, lo aggiorniamo noi una volta sola, e tutti vedono le modifiche in tempo reale, senza essere soggetti alla dittatura degli App Store;
  • la pubblicazione online quindi, richiede risorse minime, accessibili a chiunque: non è quindi necessaria una infrastruttura “alla Google”; permettendo appunto anche ad una piccola o media impresa (PMI), di essere competitiva e visibile sul mercato, subito!

Un po’ di Pubblicità

Alchimie Digitali, con la recente acquisizione del Brand Netly ha unito le elevate competenze Informatiche, Giuridiche e Privacy a quelle nel campo della SEO SEM e WEBMarketing ed è in grado di realizzare PWA per potenziare il business dei propri clienti e partners.

Chiedici come!