Der Datenschutzbeauftragte verhängt gegen Eni Gas e Luce (Egl) eine Geldbuße in Höhe von 11,5 Millionen Euro

(Di Andrea Puligheddu)
03

Die Pressemitteilung von vor einigen Tagen, mit der der Garant für den Schutz personenbezogener Daten bekannt gab, dass er Eni Gas und Luce (Egl) mit einem Gesamtbetrag von 11,5 Millionen Euro bestraft hatte, sorgte für diskreten Lärm.
Die Titel der beiden in der betreffenden Pressemitteilung gemeldeten Sanktionen betreffen jeweils die rechtswidrige Verarbeitung personenbezogener Daten im Rahmen von Werbemaßnahmen (durch Telemarketing-Aktivitäten) und die Aktivierung nicht angeforderter Verträge unter Verwendung der Daten der übertragenen Kunden anderswo.

Es ist interessant, einige Überlegungen zu den fraglichen Maßnahmen gemeinsam anzustellen.

Zuallererst kann schließlich - wenn auch offensichtlich - gesagt werden, dass Italien auch damit begonnen hat, seine ersten Schritte im Walzer der Sanktionsaktivitäten in diesem Bereich zu unternehmen Privatleben.
In Europa wurden bis Dezember 2019 bereits Sanktionen in Höhe von insgesamt rund 400 Mio. EUR verhängt, wobei der italienische Bürge mit der berühmten Rückstellung für das Rousseau-Portal "nur" 50.000 EUR zur Verfügung stellte.

Zweitens ist eine der ersten konkreten Anwendungen der von der DSGVO eingeführten Kriterien zur Ermittlung von Sanktionen im Zusammenhang mit Verstößen interessant. Letztere, die von der Guardia di Finanza Privacy Unit ermittelt wurden, wurden gemäß den in der EU-Verordnung Nr. 679/2016 (DSGVO), zu denen das breite Publikum der beteiligten Parteien, die Durchdringung des Verhaltens, die Dauer der Zuwiderhandlung und die wirtschaftlichen Bedingungen von Egl gehören.

Dies ist keine wirkliche Neuheit, aber die Feststellung, dass sie innerhalb von Sanktionen verhängt werden, die denen der Egl Company entsprechen, verleiht dem Sinn der Kriterien selbst eine völlig neue Note. Nicht nur deshalb der traditionelle Aspekt der Anzahl der Behandlungen oder die Art der Behandlungen, die am häufigsten mit den vorherigen Rechtsvorschriften verwendet wurden, sondern auch die Kriterien für die Durchdringung (in Bezug auf die Auswirkungen des sanktionierten Verhaltens auf die betroffenen Personen), die Dauer des Verhaltens und - im Verhältnis zur Quantität grundlegend - die wirtschaftlichen Verhältnisse von Egl. Im Gegenteil, es kann davon ausgegangen werden, dass, wie bereits mehrfach von der Garantin in Bezug auf ihre frühere Tätigkeit im Rahmen des ersten Datenschutzgesetzes bekräftigt wurde, die eiserne Faust vor Unternehmen oder Organisationen mit bescheideneren Zahlen die von der Datenschutzbehörde vorgesehen ist Millionärsobergrenzen gem. 83 Absätze 4 und 5.

Abschließend ist anzumerken, dass der Garantiegeber auf die Vorzüge der typischen Fehlausrichtung zwischen dem CRM eingehen wollte (Customer Relationship Management - das Rückgrat des Produktionssystems jedes Unternehmens) und die Verwaltung der gesammelten Einwilligungen. Insbesondere weist die Behörde darauf hin, dass „Die Folgen einer vorübergehenden Verlagerung des CRM und der Blacklist der EGL hatten begrenzte und begrenzte Konsequenzen, stellen jedoch in jedem Fall einen Verstoß gegen die Bestimmungen des Art dar. 5, Abs. 2 der Verordnungen, da das Unternehmen nicht in der Lage war, den Zeitpunkt und die Methoden für die Aktualisierung des Zustimmungsstatus im CRM und in seiner schwarzen Liste zu gewährleisten und nachzuweisen; Daher muss es dem Unternehmen auch vorschreiben, die endgültige Implementierung der vorgeschlagenen Mechanismen durchzuführen, die darauf abzielen, die Datenflüsse vom CRM zur schwarzen Liste zu automatisieren, die in bestimmten Zeiten im Unternehmen verwendet werden. "
Dies bedeutet, wie die Experten bereits wissen, dass das Prinzip der Privatsphäre durch Design in der Kunst. Dies wird konkret in dem Maße, in dem auch die technischen IT-Abläufe im Zusammenhang mit einer Behandlung geregelt wurden, und nicht so sehr die Tonnen Papier, an denen sich die Unternehmen aus verschiedenen Gründen oft festhalten.

Um einen guten Start in diese ersten Maßnahmen zu finden, wäre es daher wünschenswert, dass die Behörde eine größere Anzahl von Beratungs- und Unterstützungsmaßnahmen ergreift, und warum nicht eine noch tiefgreifendere Ausrichtung (z. B. Coaching oder Schulung) auf die PA oder den privaten Sektor ( insbesondere bei kritischer Infrastruktur) zu Themen wie diesen, die keine übergeordneten Projekte auf Trainingsebene sind, beispielsweise mit den jüngsten SMEdata-Besprechungszyklen durchgeführt.

Natürlich werden 11 Millionen Euro nicht gezahlt, ohne ein Wort zu sagen, für das Egl Berufung eingelegt hat. Wir werden sehen, was passiert.

Hinweis: Das allgemeine Ziel des SMEDATA-Projekts besteht darin, "die wirksame Anwendung der Allgemeinen Verordnung zum Schutz personenbezogener Daten durch Sensibilisierung, Vervielfachung der Ausbildung und nachhaltige Entwicklung von Kompetenzen für KMU und Rechtsberufe sicherzustellen".

- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/doc...
- https://www.cwi.it/applicazioni-enterprise/crm
- https://smedata.eu/index.php/it/