Talijansko nadzorno tijelo izreklo je Enel Energiji kaznu od preko 79 milijuna eura zbog ozbiljnih nedostataka pri obradi osobnih podataka velikog broja ispitanika u sektoru električne energije i plina, a koja se provodila u svrhu telemarketinga.
Postupak je proizašao iz istrage Financijske policije nakon koje je nadležna agencija (nadzorno tijelo) već izrekla novčane kazne od milijun i 800 tisuća eura za četiri tvrtke i zaplijenila neke baze podataka korištene za nezakonite aktivnosti.
Nadalje, nakon naknadnih inspekcijskih nadzora u Enel Energiji, utvrđeno je da informacijski sustavi namijenjeni upravljanju podatcima korisnika i aktivaciji usluga od strane tvrtke pokazuju ozbiljne sigurnosne nedostatke. U svjetlu utvrđenih ozbiljnih povreda, koje su se tijekom vremena ticale aktivacije najmanje 9300 ugovora, nadzorno tijelo je stoga izreklo novčanu kaznu od 79.107.101 eura Enel Energiji.
Problem je nastao nakon što je sud poništio kaznu od 26,5 milijuna eura protiv istog subjekta jer je izdana nakon isteka proceduralnih rokova. Talijanski Garante je doveo u pitanje ENEL Energiju zbog nepoštivanja tehničkih i organizacijskih mjera usmjerenih na ograničavanje potencijalnih zlouporaba od strane agencija koje su nezakonito obavljale aktivnosti telemarketinga.
Spor se odnosi na istu stvar koja je dovela do navedene kazne od 26,5 milijuna eura koju je sud ukinuo jer talijansko nadzorno tijelo tvrdi da se kršenje nastavilo, ali zatim utvrđuje i da je ENEL Energia implementirala ne samo dvofaktorsku autentifikaciju već i dodatnu mjeru koja sprječava istovremenu upotrebu istih vjerodajnica s različitih lokacija od strane njezinih agencija.
ENEL Energia je bila žrtva zlouporaba trećih strana, i doista, među olakotnim čimbenicima nadzorno tijelo je navelo da je tvrtka izgubila više ugovora od onih koje je dobila (9.300 stečenih ugovora naspram 20.456 izgubljenih) zbog ovih nezakonitih praksi telemarketing agencija (trećih strana) koje rade za više konkurentskih operatera i ostvaruju proviziju svaki put kada se potpiše novi ugovor.
Talijansko nadzorno tijelo smatra da ENEL Energia ima višu razinu odgovornosti budući da je jedna od najvećih energetskih kompanija u Italiji, što bi mogao biti dodatni razlog za suradnju s njima u pronalaženju odgovarajućih rješenja koja zadovoljavaju interese svih uključenih strana.
Iznenađuje da neka nadzorna tijela zaštitu podataka ne razmatraju nalaganje mjera voditelju obrade, što bi moglo dovesti do više razine zaštite pojedinaca, već se usmjeravaju na puko kažnjavanje.
Ako potencijalna šteta za pojedince nije relevantna (tj. utjecala je na ˝samo˝ 9.300 ugovora) i, kao u ovom slučaju, voditelj obrade je zapravo žrtva nezakonitog ponašanja trećih strana te je već proveo korektivne mjere za ograničavanje takve prakse, Garante je mogao ponuditi ENEL-u da poduzme neke mjere koje bi izbjegle izdavanje najveće kazne GDPR-a ikad u Italiji.
Nejasno je zašto neka nadzora tijela smatraju da su kazne najučinkovitije sredstvo utjecaja na poštivanje propisa...
Nešto drugačiju praksu često slijedi francusko tijelo za zaštitu podataka, CNIL. Primjerice ako su mjere dogovorene i dogovoreno je vremensko ograničenje za njihovu provedbu, nakon što CNIL provjeri njihovu provedbu, novčana kazna se ne izriče. Suprotno tome, uvijek se preporučuje da u svojim očitovanjima prikažu radnje poboljšanja provedene nakon nadzora. Međutim, talijansko tijelo za zaštitu podataka smatra ih samo olakotnim mjerama koje ne izbjegavaju kaznu.
Sličnu praksu kao i talijansko nadzorno tijelo ima i nadzorno tijelo u RH.
Razlika u postupku provedbe talijanskog tijela za zaštitu podataka i drugih tijela EU-a koja ne slijede gore navedeni pristup mogla bi biti suprotna općem javnom interesu i tvrtki i pojedinaca stoga se nadamo se da će se ovaj aspekt razmotriti u nadolazećim mjesecima.