El pasado 11 de diciembre de 2019, la Agencia de Protección de Datos Italiana (el “Garante per la protezione dei dati personali” o el “Garante”), impuso a la empresa Eni Gas y Luce SpA (“EGL”) una multa de 8,5 millones de euros por varias infracciones del RGPD.

EGL pertenece a la empresa pública multinacional Eni S.p.A. y en Italia es, según su página web, el líder del mercado en la venta de gas natural y electricidad a familias y empresas.

Hechos:

Durante el 2018 y el inicio del 2019, el Garante recibió un alto número de reclamaciones contra EGL debido a numerosas llamadas telefónicas de telemarketing y televentas realizadas en su nombre, a personas que o bien nunca otorgaron su consentimiento a dicho tratamiento, o que ejercieron su derecho de oposición, o que se encontraban registradas en una lista Robinson.

En consecuencia, el Garante decidió investigar a EGL en febrero de 2019 con el fin de tratar conjuntamente las múltiples reclamaciones, y llevó a cabo una inspección de su sede durante tres días en la que investigó y recopiló diversos documentos.

Durante la investigación, el Garante descubrió que las campañas comerciales de telemarketing y televentas se llevaban a cabo en gran parte a través de una red de agencias comerciales al servicio de EGL.

Uno de los métodos para obtener contactos a los que llamar, era mediante la compra de estos datos personales a “Proveedores de listas”. El problema, es que los datos personales obtenidos de esta manera no estaban sujetos a ningún tipo de control, y por lo tanto se desconocía si las personas incluidas en las listas habían prestado o no su consentimiento, o si se encontraban registrados en una lista Robinson. EGL declaró que este tipo de controles correspondían a los proveedores de las listas.

Otro de los métodos para obtener contactos a los que llamar, era la utilización de la base de datos de clientes de EGL. Sin embargo, la investigación reveló que, según su propia base de datos de clientes, varias de las personas que recibieron llamadas, no habían prestado su consentimiento para ello, por lo que su tratamiento de datos para el telemarketing y televentas carecía de una base legal.

La investigación reveló otras deficiencias del proceso de tratamiento de datos personales llevado a cabo por EGL, como por ejemplo los retrasos en actualizar su base de datos cuando algún cliente ejercía su derecho de oposición para dejar de recibir llamadas telefónicas. Hecho que propició que algunas de estas personas continuaran recibiendo llamadas promocionales tras el ejercicio de dicho derecho.

Asimismo, se descubrió que todavía existían contratos en las bases de datos de EGL (con datos personales), cuando la finalización de estos contratos se remontaba al año 1998. Dicho de otra manera, se estaba infringiendo el principio de limitación del plazo de conservación establecido en el RGPD.

Por último, la investigación también reveló deficiencias en la organización documental de EGL, caracterizándose por la dispersión de información en varios documentos, con resultados a veces solo parcialmente coincidentes, lo que dificultó la investigación.

Infracciones:

El Garante concluyó que EGL cometió las siguientes infracciones del RPGD, que se transcriben a continuación:

a) “realizar llamadas publicitarias sin el consentimiento de la parte interesada o en presencia de un rechazo expreso del consentimiento formulado hacia EGL;

b) la no adopción de medidas técnico-organizativas adecuadas para garantizar la transposición de las expresiones de voluntad de la parte interesada y, por lo tanto, del respeto sustancial de los principios expresados por el Reglamento sobre el ejercicio de los derechos;

c) la retención de datos personales contenidos en contratos por más tiempo del necesario en relación con los fines para los que fueron procesados;”

Asimismo, según el Garante, la conducta anterior reveló nuevas infracciones del RGPD relacionadas con “la falta de adaptación de EGL al principio de responsabilidad proactiva, así como a la protección de datos por defecto y a través de un procesos de minimización de datos”. El Garante también destacó la grave falta de cooperación durante la investigación por parte de EGL.

En cuanto al articulado del RGPD, las infracciones según el Garante son: del artículo 5.1.a), c) y e), el artículo 5.2., el artículo 6.1.a), el artículo 7.1, el artículo 25, y el artículo 31 del RGPD.

Conclusión:

El presente caso resulta interesante por ser una investigación de las oficinas de EGL que surge a raíz de numerosas reclamaciones contra la misma entidad por las mismas razones, es decir, por una evidente infracción sistémica continuada del RGPD por parte de EGL.

Es importante destacar el hecho de como una autoridad de control comienza una investigación por razones X, y acaba descubriendo infracciones adicionales que poco tienen que ver con las reclamaciones que originaron la investigación inicial. Infracciones que, no obstante, también son sancionadas. Algo que ya sucedió en nuestro post de la investigación llevada a cabo en el Reino Unido de la empresa Doorstep Dispensaree Ltd.

Asimismo, es la primera vez que vemos la infracción del articulo 31 del RGPD por falta de cooperación con el Garante, y a una empresa pública en este caso concreto. Dicho artículo dice: “El responsable y el encargado del tratamiento y, en su caso, sus representantes cooperarán con la autoridad de control que lo solicite en el desempeño de sus funciones”. La infracción de dicho artículo puede ser sancionada con multas de hasta 10 millones de euros o un 2% del volumen de negocio total anual global del ejercicio financiero anterior. Una buena lección sin duda para las empresas que busquen dificultar una investigación de una autoridad de control.

La presente multa sería una de las 10 multas más elevadas impuestas hasta la fecha, por detrás de la multa en Francia a Google (50 millones de euros), la multa en Austria al Post AG (18 millones de euros), y las multas en Alemania a Deutsche Wohnen (14,5 millones de euros) y a 1 & 1 Telecommunication (9,55 millones de euros).

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en Europa, por favor no dudes en suscribirte.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.