Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 300 000 euro mot Energia Pulita S.r.l. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Garante inlett en omfattande utredning efter att ha mottagit ett stort antal klagomål om aggressiv och ibland bedräglig direkmarknadsföring kopplad till företaget. Flera personer hade blivit kontaktade trots att deras telefonnummer var registrerade i det nationella spärrregistret för oönskade samtal.
Utredningen, som påbörjades i november 2023, fokuserade på hur Energia Pulita och dess underleverantörer behandlade personuppgifter i samband med direktmarknadsföring. Garante begärde bland annat information om bolagets erbjudanden samt vilka åtgärder som hade vidtagits för att säkerställa efterlevnad av integritetsskydd både internt och hos dess samarbetspartners.
Energia Pulita uppgav att man infört vissa tekniska och organisatoriska skyddsåtgärder, såsom kvalitetskontroller och kontroller av mottagarens samtycke till marknadsföring. Från mars 2024 infördes ytterligare åtgärder, till exempel utbildningar för personal och tydligare dataskyddskrav för externa aktörer.
Garante konstaterade att dessa åtgärder var otillräckliga. Enligt Garante har Energia Pulita underlåtit att övervaka sina personuppgiftsbiträdens dataskydd. Dessutom har Energia Pulita underlåtit att välja personuppgiftsbiträden med robusta dataskyddsrutiner. Garante påpekade också att personuppgiftsansvariga måste vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att principerna för dataskydd tillämpas redan från början av behandlingen av uppgifterna (dataskydd som standard).
Gällande insamlingen av samtycke till marknadsföring konstaterade Garante att samtyckena varken var informerade, specifika eller fria, och informationen om hur uppgifterna skulle användas var bristfällig. På tre av webbplatserna kunde användarna inte heller kontrollera vilken typ av marknadsföring de godkände, och på den fjärde saknades ett integritetsmeddelande helt.
Garante konstaterade också att Energia Pulita brustit i sin behandling av personuppgifter kopplade till arbetssökande. Kandidater som lämnade uppgifter via företagets webbplats fick inledningsvis ingen tillräcklig information om hur deras data skulle hanteras. Även om förbättringar skedde från juli 2024, ansåg Garante att företaget dessförinnan brutit mot skyldigheten om transparens och inte korrekt redovisat den rättsliga grunden för behandlingen av uppgifterna.
Sammantaget konstaterade Garante att Energia Pulita bland annat hade brutit mot artiklarna 5, 6, 9, 12, 13, 24–25, 28–29 och 32 GDPR samt relevanta artiklar i den italienska dataskyddslagen. Förutom böterna förelades Energia Pulita att vidta mer robusta integritetsskyddsåtgärder genom hela sin marknadsföringskedja, dokumentera detta arbete, samt informera de 68 klagande personerna om utgången av ärendet.