Il Garante per la Protezione dei Dati Personali, con ordinanza del 13 maggio 2021, ha sanzionato con 3 milioni di Euro la soc. Iren Mercato S.p.A. per non aver perfezionato il percorso dei consensi rilasciati dai vari interessati rispetto alle cessioni dei dati susseguitesi nel tempo tra le varie società coinvolte.
Il consenso, inizialmente rilasciato da un cliente ad una società anche per attività promozionali di terzi, non può estendere la sua efficacia anche a successive cessioni ad ulteriori titolari. Tali cessioni infatti non sarebbero supportate dal necessario consenso, specifico ed informato dell’interessato. Sulla base di questo principio, il Garante per la protezione dei dati personali ha comminato la predetta sanzione alla società operante nel settore energetico, per non aver verificato che tutti i passaggi dei dati dei destinatari delle promozioni fossero coperti da consenso.
L’attività del Garante è stata stimolata da diversi reclami e segnalazioni dei diretti interessati accertando che la società aveva infatti trattato dati personali per attività di telemarketing e che non aveva raccolto direttamente il consenso dei propri clienti, ma che li aveva acquisiti da altre fonti. Iren infatti aveva ottenuto liste di anagrafiche da una S.r.l., che a sua volta le aveva acquisite, in veste di autonomo titolare del trattamento, da altre due aziende. Queste ultime società avevano ottenuto il consenso dei potenziali clienti per il telemarketing effettuato sia da loro che da parte di terzi, ma tale consenso non copriva anche il passaggio dei dati dei clienti dalla S.r.l. all’Iren.
L’ammontare della sanzione applicata dal Garante, è stato motivato anche dal fatto che le liste anagrafiche, prive di tutti i consensi necessari e di cui il Garante ha vietato ogni ulteriore utilizzo a fini promozionali, riguardavano diversi milioni di persone. L’Autorità ha infine rivolto un avvertimento alla società per aver fornito una rappresentazione ed una documentazione probatoria incompleta ed inidonea durante l’istruttoria.