Agenzia assicurativa sanzionata per aver utilizzato l’email sbagliata.
La vicenda che raccontiamo conferma la necessità di prestare non solo la massima attenzione alla corretta gestione ed al corretto utilizzo dei dati raccolti, ma anche a dare immediato e completo riscontro – ove richiesto – all’Authority competente.
Nel 2019 un cliente segnalava al Garante per la Privacy di aver ricevuto alla propria e-mail lavorativa – per la quale non aveva mai prestato il consenso – una comunicazione da parte dell’Agenzia assicurativa contenente una proposta commerciale, anziché alla e-mail a tale scopo indicata.
Il Garante, non avendo ottenuto riscontro da parte dell’Agenzia rispetto ad una prima richiesta di chiarimenti, ha delegato al Nucleo tutela privacy e frodi tecnologiche della Guardia di finanza la raccolta delle necessarie informazioni.
Dopo la relazione della GdF, nell’aprile 2021 il Garante ha quindi emesso l’esito dell’istruttoria ed il provvedimento a carico dell’Agenzia.
Dall’ordinanza – disponibile a questo link – emerge un aspetto molto importante. Pur avendo l’Agenzia dichiarato di aver a suo tempo incaricato il proprio legale di dare riscontro alla prima richiesta di informazioni del Garante (cosa non documentata e che in ogni caso non è stata effettuata), l’Agenzia stessa era l’unico soggetto tenuto a fornire riscontro in quanto titolare del trattamento dei dati e quindi l’eventuale delega a qualcun altro non l’avrebbe comunque esentata dalle proprie responsabilità.
Il fatto di aver fornito le informazioni richieste solo dopo l’intervento della Guardia di Finanza è stato ritenuto dal Garante condotta negligente. Nel merito della contestazione, l’Agenzia si è difesa adducendo sostanzialmente una distrazione nell’utilizzo della mail lavorativa anziché quella personale: “nel periodo in cui il sig. XX aveva chiesto il cambio della polizza per acquisto di un nuovo veicolo, l’agenzia era chiusa per lutto. (…) Distrattamente, la sottoscritta (…) anziché rispondere all’indirizzo della mail di richiesta, ha digitato l’indirizzo mail utilizzato dai dipendenti della Banca d’Italia (…) convenzionati con questa società“. La violazione in sé è stata ritenuta tenue, data l’assenza di precedenti specifici a carico dell’Agenzia relativi a violazioni della disciplina in materia di protezione dei dati personali e dato che l’interessato aveva in effetti ricevuto solo una email indesiderata.
La sanzione comminata è stata dunque di € 1.500,00 con pubblicazione del Provvedimento sul sito del Garante.