Il Garante per la protezione dei dati personali, GPDP, nel sanzionare pesantemente una società fornitrice di energia elettrica e gas, con una sanzione di 10 milioni, insegna che oltre a non dover attivare contratti non richiesti, i dati degli utenti/clienti vanno trattati in modo esatto e devono essere aggiornati.
Analizziamo il provvedimento scoprendo il perché l’Autorità abbia inflitto una sanzione così significativa.
Contratti luce e gas non richiesti: i termini della vicenda
Il Garante è intervenuto con il provvedimento n. 427 del 28 settembre 2023, a fronte di numerosi reclami di utenti/clienti anche potenziali, per un totale di oltre cinquemila, lamentando ora l’attivazione a loro insaputa di “contratti luce e gas”, ora dati personali (come ad es. indirizzo e-mail, numero di telefono e di fornitura) inesatti o non aggiornati come si evince dalla nota dell’Autorità del 23 ottobre 2023.
Password e sicurezza: come creare parole-chiave inviolabili ma facili da ricordare
Identity & Access Management
Ma scendiamo nel merito del provvedimento, scandagliandolo in ogni suo punto.
I reclami
Partiamo dai reclami. Svariati sono i reclami pervenuti aventi tutti ad oggetto “il trattamento di dati personali inesatti e non aggiornati di clienti” che la società fornitrice di energia elettrica e di gas (Axpo Italia S.p.A.) avrebbe effettuato attraverso la conclusione di contratti non richiesti. Circostanza che ha, quindi, interessato anche altra Autorità l’AGCM già pronunciatasi, per quando di competenza, lo scorso febbraio 2023 e della cui decisione, per completezza e in via incidentale, ne accenneremo in chiusura.
Tornando in sede di Autorità Garante Privacy, gli utenti/clienti hanno reclamato per le errate e non richieste somministrazioni di luce e gas, ricevendo prima una lettera di chiusura fornitura da parte del precedente fornitore e, poco dopo fatture e solleciti di pagamento, da parte di questa società quindi subentrata, senza che gli utenti/clienti/reclamanti, tuttavia, avessero mai avuto un contatto personale o a distanza con la società in questione.
Quest’ultima così facendo ha creato moltissimi disagi tra il tempo perso anche ad individuare il fornitore di energia, e i costi sostenuti anche per proporre reclamo (tra istanze di accesso, inoltro dell’atto, richiesta di rimborso, l’avvio della procedura di ripristino, le denunce anche penali ecc.) registrando addirittura un caso limite.
Tra questi malcapitati, infatti, c’è chi pare abbia dovuto contestare l’attivazione di ben 23 contratti e altrettante attivazioni su utenze aventi la stessa data di inizio e fine della fornitura.
L’istruttoria
L’istruttoria è stata corposa, visti i numerosi reclami, seppur trattati insieme e in modo organico.
Con una prima nota del 4 ottobre 2021, l’Autorità ha chiesto alla società di fornire delle osservazioni circa i fatti contestati.
Svariati sono stati gli accertamenti ispettivi effettuati, nei primi giorni di luglio 2022, ai quali la società – sottoposta alla direzione e controllo di un’altra società dell’omonimo Gruppo operante sul territorio nazionale nel settore energetico – ha fornito dei riscontri, mostrando, da un lato la procedura interna relativa alle “attività di contrattualizzazione door to door” svolte da agenzie ad hoc e, dall’altro la prassi consolidata di come avveniva, per il tramite dell’agenzia, la finalizzazione dell’attività stessa (di contrattualizzazione) grazie alla sottoscrizione, con firma olografa o digitale a mezzo tablet, di tutti i papiri predisposti, dal contratto alle condizioni tecnico economiche e allegati).
A quel punto, tutti i dati personali dei clienti/prospect unitamente al loro plico contrattuale venivano caricati tutti nel CRM aziendale.
Da qui, le successive fasi di verifiche fiscali e ulteriori controlli. A “validazione” positiva, l’offerta contrattuale veniva ‘congelata’ per 14 giorni nei quali il cliente poteva esercitare il diritto di recesso.
Trascorso tale termine, ecco che partiva la cd “welcome letter” all’indirizzo e-mail, fornito al momento della sottoscrizione, con cui si informava il cliente dell’attivazione del contratto, e quindi il processo di attivazione della fornitura.
Nel corso dell’istruttoria è poi emerso che, dal febbraio 2022, la società avrebbe implementato “un sistema di check-call per tutti i canali di sottoscrizione dei contratti diversi dal cartaceo e dal c.d. full digital”. In pratica, con questo sistema avvenivano “6 tentativi di chiamata sul numero di telefono indicato nel contratto”.
Nel caso di mancata risposta o di rifiuto della registrazione del contratto da parte del cliente/utente nel corso del cd check-call, il contratto veniva annullato. Diversamente, o in caso di risposta e di manifestazione d’interesse, il contratto veniva attivato.
Ancora, dall’insieme di tutte le ispezioni effettuate dal Garante, è emerso come la società “acquisiva i nuovi contratti tramite una rete di circa 280 venditori (tra agenti e subagenti) porta a porta, senza […] strumenti e procedure idonee ad avere certezza che i dati inseriti dai venditori all’interno del proprio database corrispondessero effettivamente ai reali utilizzatori delle utenze (quali ad esempio, sistemi di alert per rilevare anomalie procedurali; procedure di controllo dell’operato delle agenzie; verifiche puntuali dell’esattezza dei dati acquisiti ecc.)”.
Quindi contratti compilati, nella maggior parte dei casi, con dati personali non esatti né aggiornati.
Le azioni proposte e le memorie difensive da parte della Società
La Società nel voler porre rimedio avrebbe proposto diverse azioni come:
- opere di “sensibilizzazione e formazione in tema privacy rivolta a tutte le agenzie all’epoca contrattualizzate (circa 280), tramite l’invio di una check-list di autovalutazione”;
- audit privacy nei confronti di 14 agenzie […] rivolti al controllo della legittimità del trattamento dei dati personali inerente al perfezionamento dei contratti di somministrazione energetica”;
- l’aver interrotto il canale telefonico per lo svolgimento dell’attività di telemarketing;
- il proposito anche messo a calendario di svolgere sessioni periodiche formative degli agenti al fine di (poter) svolgere attività di procacciamento di contratti nel rispetto del Codice del consumo, prevedendo altresì un “inasprimento del sistema sanzionatorio”, triplicando la sanzione in caso di comportamenti illeciti degli agenti.
Circa le memorie difensive, dal provvedimento si evince come la società abbia presentato una memoria difensiva in data 21 aprile 2023 con la quale sostanzialmente ha invocato l’accountability quale “obbligazione di mezzi” e non “… di risultato”, vieppiù se letta in combinato disposto con le misure di sicurezza adeguate e “non perfette”.
Non solo, ha ritenuto di (dover) individuare “il rischio privacy” anche in considerazione dello stato dell’arte e dei costi gravanti sul titolare/società, così giungendo alla conclusione che la “pretesa di accountability” vada proporzionata e contestualizzata al contesto di riferimento.
Poi, ha sostenuto la tesi della titolarità autonoma delle singole agenzie e/o contitolarità, sostenendo da ultimo, circa le attività di marketing, invocando le misure di segregazione dei dati personali, la società avrebbe sostenuto la tesi che quei numeri (quegli oltre 5000) non fossero reali.
I principi violati
Veniamo ora dunque ai principi violati.
Correttezza, esattezza e accountability
Alla luce dei fatti così come sopra descritti, i principi violati sono più d’uno, e cioè quello di correttezza ed esattezza ex art. 5, par. 1 lett. a) e d) del GDPR, con particolare riguardo alle attività “poste in essere da alcuni agenti e venditori all’atto della acquisizione di proposte contrattuali mediante il trattamento di dati inesatti e non aggiornati riferiti alla clientela”, scrive alla lettera l’Autorità; ma anche dell’ accountability in forza del quale al titolare è attribuita la “responsabilità generale” del trattamento, gravando sul medesimo “l’onere di attuare un sistema organizzativo e gestionale contraddistinto da misure effettive ed efficaci di protezione dei dati, nonché comprovabili (v. considerando 74 e artt. 5, par. 2 e 24 del Regolamento)”, scrive eloquentemente l’Autorità.
Si tratta di principi tutti che nel caso di specie sono stati disattesi non solo sulla carta, ma anche nella prassi dal momento che è mancata, scrive espressamente il Garante, tutta quella parte consistente “nell’implementazione di procedure e prassi organizzative atte a conformare i relativi trattamenti al medesimo Regolamento (es. processi di mappatura dei trattamenti; regole per l’attribuzione di responsabilità; programmi di formazione del personale; procedure per la verifica dell’operato dei responsabili designati ai sensi dell’art. 28; previsione di audit interni ed esterni con cadenza periodica; ecc.; cfr. Gruppo art. 29, WP 173 del 13 luglio 2010 – Opinion 3/2010 on the principle of accountability, pagg. 11-12)”.
Il mancato controllo sull’operato di alcune agenzie
Altro elemento difettoso nel caso che ci occupa, risiede in generale mancato controllo sull’operato dell’agenzie. Giuridicamente, una carenza di tale significa, in altri termini, disattendere la prescrizione di cui all’art. 28 del GDPR.
Nella fattispecie, infatti, come si legge nel provvedimento “nei confronti dell’operato delle agenzie designate responsabili del trattamento, non sono state fornite dalla Società evidenze circa lo svolgimento di verifiche e/o approfondimenti (nemmeno a campione) sull’esattezza dei dati personali acquisiti”.
In pratica, è mancata del tutto un’attività di controllo sull’operato delle agenzie che fosse efficace, cosa che invece se ci fosse stata avrebbe, per contro, reso possibile “intercettare preventivamente i trattamenti posti in essere per il tramite di dati personali inesatti, procedendo tempestivamente all’aggiornamento degli stessi”, come scrive il Garante.
Tuttavia, è appena il caso di ricordare che si tratta di un onere il quale, quand’anche non fosse contrattualmente previsto, non fa venire meno l’adempimento, anzi.
Da qui, il Garante perviene alla conclusione in ragione della quale “il titolare del trattamento, ai sensi del principio di accountability, a fronte della previsione di specifici obblighi a carico del responsabile designato ai sensi dell’art. 28 del Regolamento è comunque tenuto a prevedere strumenti di verifica e di controllo del rispetto degli stessi da parte di quest’ultimo, anche mediante comportamenti proattivi volti ad individuare tempestivamente eventuali situazioni patologiche del processo di contrattualizzazione”.
In pratica, non rileva quale procedura ci sia o meno a monte, ma ciò che conta è il controllo a valle, e nella fattispecie, dell’operato di chi agisce in qualità di responsabile del trattamento.
Le misure di sicurezza
Dall’attività istruttoria è emerso anche che le misure tecniche e organizzative adottate dalla società fornitrice di energia “non sono adeguate alla natura, al contesto, alle finalità e ai rischi del suddetto trattamento” in palese violazione del principio di “responsabilizzazione” (art. 5, par. 2 e art. 24 – GDPR).
Misure tecniche e organizzative inadeguate
L’Autorità ha rilevato misure tecniche e organizzative non adeguate sulla base delle seguenti considerazioni:
- il sistema di “contrattualizzazione clienti”, da parte delle agenzie porta a porta così come concepito, prevede una fase di “verifica” della volontà contrattuale e quindi “della qualità dei dati trattati” che si basa sull’invio di una welcome letter mai pervenuta all’indirizzo e-mail o fisico, appreso al momento della firma del contratto, senza tuttavia avere una “sufficiente certezza” in ordine alla reale corrispondenza/esattezza dei dati, e da qui l’avvenuta acquisizione di contratti non richiesti con dati personali non esatti nè aggiornati;
- con riferimento al CRM la società in questione non si è dotata, sempre ai fini della verifica dell’esattezza dei dati personali, di sistemi di alert idonei a rilevare le anomalie procedurali (quali ad esempio – scrive il Garante – “l’inserimento nel CRM di numerazioni e indirizzi e-mail ricorrenti; l’inesattezza o incompletezza dei dati contrattuali acquisiti; l’anomala numerosità dei contratti stipulati da ciascun agente/venditore ecc.)”.
In pratica, afferma il Garante, sarebbe bastato implementare alcune procedure in ordine alla fase di contrattualizzazione sì da limitare le condotte contestate e quindi intervenire sulle attività di trattamento in modo lecito e conforme.
Ma ciò non è accaduto.
Assenza di misure volte alla segregazione dei dati
Oltre a una carenza di misure tecniche e organizzative adeguate, sono altresì mancate misure valide per la segregazione dei dati volte cioè, scrive il Garante, “a garantire la limitazione del trattamento”; il tutto finalizzato a tenere gli stessi trattamenti distinti dalle informazioni oggetto di attività inerenti all’ordinaria gestione della clientela.
In concreto, al riguardo è stato rilevato come nei confronti di 5100 utenti/reclamanti, e probabilmente anche molti di più, sono stati attivati contratti non richiesti con quanto per conseguenza.
Le misure correttive imposte
Ora, il trattamento dei dati personali effettuato dalla società in questione è stato ritenuto dal Garante del tutto illecito.
Da qui, i provvedimenti correttivi e dopo la sanzione. Ma andiamo per gradi.
Svariate sono le misure correttive che il Garante ha imposto e nel caso di specie:
- l’adozione di un sistema di chiamata di verifica (check-call) bloccante a tutte le modalità di acquisizione dei contratti da parte del canale agenzia door to door, ivi compresa quella cartacea;
- la definizione di meccanismi di alert idonei a rilevare varie anomalie procedurali quali l’inserimento nel CRM di numerazioni telefoniche e indirizzi e-mail ricorrenti (ad esempio superiori a 5) con lo scopo che tali alert indichino una possibile irregolarità da doversi esaminare tramite azioni di verifica mirate, specifiche e puntuali ovvero “al fine di disporre di un sistema di controllo preventivo volto ad intercettare tempestivamente eventuali comportamenti scorretti e/o fraudolenti dei propri agenti e venditori, già in una fase antecedente alla proposizione del reclamo da parte del cliente” precisa il Garante;
- l’implementazione, nell’ambito della fase di sottoscrizione del contratto, di sistemi di controllo circa la “esattezza delle informazioni personali del cliente (indirizzo e-mail e numero di telefono) acquisite dall’agente; ciò mediante verifica dei domini delle predette e-mail al fine di evidenziare indirizzi di posta elettronica temporanei, ripetuti o simili provenienti dallo stesso provider, nonché dei numeri mobili ripetuti o provenienti dallo stesso operatore”, con cadenza ripetuta (settimanale) e riepilogativa a fine mese;
- l’introduzione di “meccanismi di accertamento della effettiva ricezione delle comunicazioni trasmesse al cliente in fase di contrattualizzazione (ad es. messaggi di conferma di ricezione e di lettura delle e-mail inviate al cliente)”. In altri termini, il Garante richiede, nello specifico, “la trasmissione della welcome letter anche all’indirizzo fisico di fornitura dell’utenza, unitamente all’utilizzo di un sistema di verifica dell’effettiva ricezione della stessa”, previa attivazione del sistema di alert;
- l’adozione di regole procedurali che prevedano specifiche attività di verifica sulla generalità delle operazioni di contrattualizzazione poste in essere dall’agenzia, il tutto al fine di garantire “l’esattezza dei dati personali acquisiti nell’ambito delle predette proposte contrattuali, a prescindere dalla presentazione di un reclamo da parte degli interessati”;
- l’adozione di un meccanismo di oscuramento dati e di segregazione logica/fisica dei dati contrassegnati e trasferiti temporaneamente in altro sistema.
L’ordinanza-ingiunzione da 10 milioni di euro
L’Autorità in considerazione di tutti gli elementi rilevati e trattati, alla luce dei parametri sanzionatori ha anzitutto ravvisato la sussistenza dell’elemento soggettivo (dolo, colpa) nel comportamento tenuto dalla società in questione; considerato di rilevante gravità le violazioni ai principi di liceità del trattamento nonché alle modalità con le quali le condotte illecite sono state ripetute nel tempo, e per la durata di un anno e mezzo.
In considerazione del tutto quindi il Garante ha ritenuto congruo irrogare una sanzione pari a 10 milioni di euro rapportata al criterio del “in ogni singolo caso” e purché nei limiti dell’effettività, proporzionalità e dissuasività della sanzione.
Il precedente del Garante: il caso ENI del 2019
Nel settore dell’energia e del gas, in un caso analogo anche nei fatti, l’Autorità ricordiamo che si è già espressa qualche anno fa, nel dicembre del 2019, con il provvedimento ENI [doc. web n. 9244358] con cui sono state eloquentemente indicate le modalità organizzative e gestionali che un titolare del trattamento, operante a titolo di fornitore di energia nel mercato libero, è tenuto a implementare al momento dell’acquisizione di nuovi clienti. Per quanto fossimo agli albori della piena applicazione del GDPR.
Vicenda fattuale del tutto analoga a quella finora descritta. Stesse conseguenze in termini di inesattezza del dato e quindi trattamento illecito.
Telemarketing selvaggio: il Codice di Condotta e il fenomeno del “sottobosco”
Ancora una volta, il fenomeno del telemarketing e teleselling riaffiora.
Si tratta di un’annosa questione che vede coinvolte due attività per nulla identiche, anzi. Semmai, l’una insieme dell’altra, quale sottoinsieme, per quanto ambedue afferiscano al tema delle “campagne pubblicitarie” per le vendite dei prodotti o servizi.
In particolare, quelle di telemarketing si prefiggono di contattare quanti più clienti/potenziali, informarli sui prodotti o servizi in vendita, con l’intento di ottenere un appuntamento che illustri i prodotti o i servizi.
Il teleselling attività di vendita via cavo telefonico, più alla vecchia maniera, di solito svolta dai call center.
Lo scorso 9 marzo 2023, con il provvedimento n. 70 il Garante Privacy ha ritenuto di dover approvare il Codice di condotta per le attività di telemarketing e teleselling, in conformità agli artt. 40 e 41 del GDPR, al fine di porre una volta per tutte le giuste regole di condotta e best practices affinché tutte le parti attive (call center, teleseller, list provider, ecc.) si “auto-responsabilizzino” e adottino comportamenti più appropriati sia da un punto di vista legale che etico in relazione al trattamento dei dati degli utenti.
In concreto, tutti costoro da qui a breve, dovranno:
- “raccogliere specifici consensi per singole finalità (marketing, profilazione ecc.);
- informare con precisione le persone contattate sulle finalità per le quali vengono usati i loro dati, assicurando il pieno esercizio dei diritti previsti dalla normativa privacy (opposizione al trattamento, rettifica o aggiornamento dei dati)”;
- corrispondere una penale ovvero una mancata provvigione per ogni vendita di servizi realizzata a seguito di contatto promozionale in assenza del consenso;
- effettuare una valutazione di impatto in caso di trattamenti automatizzati, ivi compresa la profilazione.
L’insegnamento attuale del Garante Privacy
Con il provvedimento in disamina, il Garante privacy (a collegio rinnovato) e a distanza di un quadriennio e con una maggiore consapevolezza sui principi del GDPR torna a insistere su temi delicati e di rilievo perché riguardano aspetti centrali della materia sulla protezione dei dati come l’esattezza del dato trattato, ma non solo.
E la sanzione esemplare tra gli altri scopi ha quello di evitare che, in futuro, non si sottovalutino più i rischi privacy, anche sanzionatori.
Senza nulla togliere agli obiettivi di business che qualsiasi società è chiamata a prefissarsi, non vanno mai dimenticate le misure tecniche ed organizzative interne da doversi adottare nel pieno rispetto della Protezione dei dati personali.
Da qui, ne consegue che dal caso di specie si deve trarre come insegnamento che in tutti i contesti occorre:
- adottare un valido sistema di gestione privacy da implementare ogniqualvolta intervenga un nuovo trattamento;
- fare formazione privacy costante ed aggiornata;
- rispettare i dettami tutti (tra adempimenti come il contratto ex art. 28, e cose che non occorre fare) del GDPR conoscendolo a fondo onde evitare, come nel caso di specie, una per tutte che nel database aziendale fossero presenti quasi 2500 proposte contrattuali recanti uno stesso indirizzo e-mail di potenziali clienti replicato più volte, talvolta anche cinque.
La sanzione AGCOM del febbraio 2023
Come anticipato in principio, la vicenda in questione è stata oggetto di attenzione anche da parte di altra Autorità Garante per la concorrenza e il mercato – AGCM, nel febbraio di quest’anno 2023.
Senza poter scendere troppo nel dettaglio di quest’altro provvedimento per evidenti ragioni e al quale, per completezza, comunque si rinvia, merita tuttavia segnalare come il fenomeno dell’attivazione di contratti non richiesti sia un tema di assoluto rilievo.
Contratti attivati all’ insaputa dell’utente
Un contratto attivato all’insaputa dell’utente destinatario determina un’attivazione di fatto non voluta né richiesta. Si tratta in altri termini di una pratica commerciale scorretta, tipica, ma che in quanto tale va recisamente contrastata dal momento che l’attivazione di questi contratti avviene estorta con l’inganno, l’omissione o l’incompletezza delle informazioni.
É un fenomeno più ampio e che meriterebbe una trattazione approfondita e meditata, ma non è questa la sede. Qui ci si limiti, nel circostanziare il fenomeno, al solo mercato libero. A proposito, secondo una consolidata opinione dell’AGCM (o Antitrust) un’attivazione non richiesta da parte di un diverso venditore comporta svariati e plurimi disagi i cui effetti e conseguenze si possono già solo immaginare.
Le due Autorità a confronto, conclusioni
In conclusione, talvolta si sente parlare tra le riforme e i to do di una potenziale unione tra le due Autorità (AGCM e GDPD), atteso l’affine ambito di tutela di diritti e innovazione.
C’è chi sostiene, tuttavia, che un’unica Autorità non ci sarà mai, per via di un eccessivo accentramento di poteri in unica grande Authority.
C’è chi invece si dà più possibilista, anche alla luce della recente sentenza del 4 luglio 2023, caso C-252/21 della Corte di Giustizia dell’Unione Europea la quale si è pronunciata proprio “sui rapporti tra diritto della concorrenza e normativa in materia di privacy” affermando da un lato una leale cooperazione di fondo tra le due Autorità affinché entrambe collaborino nella valutazione della violazione del GDPR.
E, dall’altro, riflettendosi di molto sul ruolo dei dati personali nell’economia digitale asset peraltro indispensabile per il cd “business model”, sì rispondendo alle attuali sfide dove i settori si intrecciano e riflettano in mondo che è sempre più digitale.
Tutti gli step per alzare il livello di sicurezza in azienda: una guida completa!
@RIPRODUZIONE RISERVATA