VEDI ANCHE: Newsletter del 13 settembre 2024

 

[doc. web n. 10053211]

Provvedimento del 17 luglio 2024

Registro dei provvedimenti
n. 440 del 17 luglio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. del 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. del 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. I reclami pervenuti.

Sono pervenute a questa Autorità diverse istanze aventi ad oggetto il trattamento dei dati personali inesatti e non aggiornati di clienti, posto in essere da Hera Comm S.p.A. (di seguito anche “Società”), per il tramite di agenti porta a porta, nell’ambito della fornitura di energia elettrica e gas, mediante la conclusione di contratti non richiesti nel mercato libero.

In particolare, i reclamanti hanno lamentato di aver appreso dell’instaurazione del rapporto di somministrazione, solo a seguito del recapito da parte di Hera Comm S.p.A. di documentazione contrattuale recante sottoscrizione apocrifa o della ricezione di comunicazioni volte all’aggiornamento dello stato di attivazione di forniture di energia, asserendo di non aver mai avuto alcun contatto né personale né a distanza con la predetta Società.

È stata altresì segnalata la contestuale attivazione, da parte di Hera Comm S.p.A., di polizze assicurative, recanti anch’esse firma falsa, correlate ai sopra citati contratti di somministrazione.

Le istanze trasmesse all’Autorità hanno, inoltre, evidenziato le rilevanti difficoltà e i disagi sopportati dai predetti clienti a causa delle attivazioni non richieste subite. Primi tra tutti quelli inerenti alla necessità di avere accesso alla documentazione contrattuale (spesso sollecitata più volte ad Hera Comm S.p.A.), nonché quelli relativi al tempo perso e ai costi affrontati (sia in relazione alle maggiori tariffe sopportate, sia in ordine alla necessità di incaricare un legale) per avviare le azioni amministrative e giudiziarie previste dalla legge a tutela del consumatore (quali, ad esempio, la presentazione di istanze di accesso alla documentazione contrattuale; l’inoltro di reclami al fornitore; l’avvio della procedura di ripristino presso l’Autorità di regolazione per energia, reti e ambiente; le azioni connesse all’annullamento delle polizze assicurative attivate; l’eventuale presentazione di una denuncia penale; ecc.).

Sono inoltre stati presentati alcuni reclami nei confronti della medesima Società in materia di inesatto e/o tardivo riscontro alle richieste di esercizio dei diritti avanzate ai sensi degli artt. 15-22 del Regolamento.

2. L’attività istruttoria.

L’Autorità, in virtù delle molteplici istanze presentate, ha ritenuto di procedere alla riunione dei singoli procedimenti sopra richiamati, al fine di effettuare un esame organico delle questioni ad essi sottese.

Nell’ambito, quindi, della predetta istruttoria sono stati effettuati alcuni accertamenti in loco presso la Società, nello specifico il 17, 18 e 19 aprile 2023.
Successivamente sono stati acquisiti anche ulteriori elementi in ragione della documentazione integrativa, trasmessa da Hera Comm S.p.A. il 19 maggio 2023, a scioglimento delle riserve formulate nel corso dell’attività ispettiva, nonché a fronte della nota inviata dalla Società il 10 novembre 2023, in riscontro ad una richiesta di informazioni dell’Autorità del 23 ottobre 2023.

Nel corso del procedimento, in relazione ai profili evidenziati in premessa, è emerso quanto riportato di seguito.

2.1. Il trattamento dei dati personali dei clienti per il tramite di agenti porta a porta.

Hera Comm S.p.A. è una società che opera, in ambito nazionale, nel settore della vendita a clienti finali di energia elettrica e gas. “Il numero di clienti persone fisiche nel mercato libero, al 31/12/2022, è pari a 769.662 per il settore energia e 944.956 per il settore gas” (v. verbale del 17 aprile 2023, pag. 3).

Le attività di contrattualizzazione della clientela sono effettuate per il tramite di “diversi canali quali: teleselling; agenzie porta a porta; canale “inbound” (call center); contrattualizzazione via web; sportelli Hera Comm (punti fisici gestiti da personale dipendente della Società); Hera Comm point (negozi gestiti da agenzie sul territorio)”. In particolare, “le vendite tramite canali porta a porta e (..) Hera Comm Point sono effettuate mediante il ricorso ad agenzie. Queste ultime “sono designate responsabili ai sensi dell’art. 28 del Regolamento” e, per ogni attività svolta (agente porta a porta o Hera Comm Point), “sottoscrivono un contratto specifico” (v. verbale del 17 aprile 2023, pagg. 3-4).

Più nel dettaglio, le agenzie “operano, per mezzo di un mandato di agenzia, in qualità di plurimandatari con esclusiva per la vendita di servizi di energia elettrica e gas”, mentre gli Hera Comm Point “sono punti vendita aperti in territori di espansione commerciale, la cui gestione è affidata, di norma, alla medesima agenzia che presidia commercialmente [il predetto perimetro]” e “si occupano di acquisizione di nuovi clienti; fornire un supporto post vendita nei conforti dei clienti (..); garantire una presenza permanente sul territorio” (v. nota del 19 maggio 2023, All. 3, pag. 3).

Ai fini della gestione dei dati della clientela così acquisita, la Società si avvale di due sistemi di CRM, rispettivamente basati sulle piattaforme Siebel e Salesforce. Al riguardo, è stato precisato che il CRM Siebel “è in fase di sostituzione a partire da giugno 2022” mediante una “migrazione [dei dati della clientela ivi contenuti] al diverso sistema Salesforce [di recente implementazione]. I dati dei clienti di alcune regioni (Marche e Abruzzo) sono interamente su Salesforce, mentre per i rimanenti clienti, Salesforce è utilizzato nella fase di inserimento della proposta fino alla validazione della stessa; le informazioni inerenti alle fasi successive (precheck, switching, ecc.) sono inserite nel sistema Siebel” (v. verbale del 17 aprile 2023, pag. 6).

La Società “ha stabilito le regole cui devono attenersi gli agenti [porta a porta] in fase di sottoscrizione delle proposte contrattuali, che sono specificate all’interno del contratto di agenzia, nell’allegato denominato “Manuale di vendita” (..). Gli agenti utilizzano esclusivamente modulistica contrattuale cartacea, che il cliente sottoscrive con firma autografa. L’agente acquisisce anche copia del documento di identità e, in alcuni casi, copia dell’ultima bolletta (eventualmente tramite foto con il cellulare dell’agente). L’agente porta quindi il contratto in agenzia, che, tramite la funzione di back-office, procede alla scansione del documento e al caricamento dei dati nel sistema [Customer Relationship Management- di seguito “CRM”], allegando la copia scansionata. Il documento cartaceo viene quindi inviato tramite corriere alla Società. I dati vengono caricati in una verticalizzazione del CRM (..), utilizzata per la funzione di data entry (v. verbale del 17 aprile 2023, pag. 4).

La “proposta contrattuale caricata dall’agenzia nel CRM è sottoposta in primis ad un processo di validazione che si articola in due fasi:

controllo documentale: volto a verificare la completezza e congruità dei dati contrattuali inseriti dalle agenzie. Tale processo, eseguito da personale Hera Comm o da società esterne, prevede che, ove le verifiche di regolarità abbiano esito negativo, il contratto sia restituito all’agenzia per i controlli di specie. In caso di esito positivo, il processo passa alla seconda fase” (v. verbale del 17 aprile 2023, pag. 4);

quality call [di seguito anche “check call”]: Hera Comm S.p.A “provvede ad effettuare, con riferimento a tutte le proposte pervenute, una chiamata di conferma al numero telefonico presente nelle stesse. La Società effettua un massimo di 15 tentativi di contatto, nell’arco di alcuni giorni” (v. verbale del 17 aprile 2023, pagg. 4-5). Qualora l’interessato non risponda alla predetta chiamata di conferma (c.d. esito irreperibile o Not found della quality call), il processo di contrattualizzazione prosegue comunque, con riferimento alle proposte contrattuali procacciate da agenzie, con uno “score di qualità elevato (ovvero superiore all’88% di check call andate a buon fine con esito positivo, nel mese precedente)”; in tali ipotesi, “il processo di contrattualizzazione va dunque avanti e il cliente riceve sms/email sullo stato di avanzamento della pratica”. Diversamente, ove l’agenzia che ha raccolto la proposta contrattuale non raggiunga la percentuale di rating sopra indicata, e sia pertanto sottoposta a c.d. “Monitoraggio attivo”, l’esito irreperibile della check call blocca il predetto processo. E’ stato chiarito al riguardo che il “rating per Agenzia/Agente, [è] dato dal rapporto tra Quality call positive (vale a dire il numero di quality call che hanno dato come esito la conferma del contratto da parte del cliente) rispetto alle Quality call totali andate a buon fine  (vale a dire il numero di quality call che hanno ricevuto risposta da parte del cliente, indipendentemente dalla conferma o meno del contratto) per medesima Agenzia/Agente” (v. nota del 19 maggio 2023, All. 3, par. 6.3). È stato inoltre precisato che il rating delle agenzie volto alla definizione dello score sopra menzionato “non tiene conto di eventuali segnalazioni o reclami successivi né dell’effettiva attivazione della fornitura” (v. verbale del 17 aprile 2023, pag. 5).

La Società, a fronte dell’esito positivo della quality call e prima dello switching, “invia una welcome letter all’indirizzo fisico o all’e-mail forniti dall’agente, al momento di sottoscrizione della proposta. La trasmissione della predetta lettera/e-mail non prevede sistemi di tracciamento volti a fornire conferma del recapito né della ricezione della stessa. A seguito di tale invio sono avviate le attività di switching che si concludono in media nell’arco di 45 giorni dalla welcome letter. Nel corso di tale periodo le informazioni relative allo stato di avanzamento della pratica sono comunicate al cliente via sms/email”. Successivamente allo switching, “la società non effettua ulteriori controlli sulla regolarità della contrattualizzazione (ad. es. [ulteriore] quality call)” (v. verbale del 17 aprile 2023, pag. 5).

Relativamente alle procedure adottate dalla Società in ordine alla verifica dell’esattezza dei dati personali contenuti nelle proposte contrattuali procacciate dalle agenzie, quest’ultima “ha impostato il CRM in modo che non siano accettate proposte contrattuali in cui compaiano un numero di telefono o un’e-mail già presente in 5 schede anagrafiche”.

É inoltre stato rappresentato che “la Società non effettua ulteriori verifiche” in ragione delle quali si generino sistemi di alert sensibili a varie anomalie procedurali, quali ad esempio la difformità fra l’indirizzo di fornitura e quello di contatto del cliente; l’inesattezza o incompletezza dei dati contrattuali acquisiti; il caricamento a sistema di proposte di contratto multiple a nome di un medesimo soggetto; l’eccessiva e inconsueta numerosità di contratti stipulati da ciascun agente; ecc. (v. verbale del 17 aprile 2023, pag. 9 e All. 6).

Con riferimento invece alle verifiche riguardanti l’esattezza dei dati personali dei clienti contenuti nei contratti oggetto di reclamo per attivazione non richiesta, la Società ha implementato una procedura denominata “Procedura gestione non conformità”.

In base alla stessa, Hera Comm S.p.A., ove evidenzi una grave imperfezione nell’acquisizione del contratto, registra una “Non Conformità” a carico dell’agenzia che può comportare anche l’applicazione di penali (cfr. verbale del 18 aprile 2023, All. 11; nota del 19 maggio 2023, All. ti 2 e 3). Sul punto, nel corso degli accertamenti, è stato fatto in particolare presente che, nel caso di “reclamo per attivazione non richiesta, con disconoscimento della firma, la Società invia una PEC all’agenzia per richiedere l’allontanamento dell’agente che ha seguito la sottoscrizione della proposta, e applica lo storno della provvigione ed eventualmente ulteriori sanzioni previste contrattualmente. Qualora il numero di reclami rispetto ai contratti sottoscritti superi una certa soglia [nella specie il 5% di Non conformità registrate nel trimestre precedente], il contratto con l’agenzia viene risolto”. Inoltre, “la Società non effettua verifiche sulle altre e ulteriori proposte contrattuali stipulate dal medesimo agente rispetto al quale è stato presentato un reclamo per attivazione di un contratto non richiesto, volte a controllare la corretta acquisizione dell’adesione, da parte del cliente, alla proposta formulata” (verbale del 17 aprile 2023, pag. 7 e All. 2; cfr. anche verbale del 18 aprile 2023, pagg. 2-3).

Più in generale, in ordine alle modalità di verifica della qualità del processo di contrattualizzazione dei clienti mediante agenzie porta a porta, la Società ha inteso puntualizzare che, a seguito dell’attività di indagine del Garante, nel “mese di settembre 2023 è stato costituito l’ufficio ‘Sales Support & Control’ che (…) ha come obiettivo quello di progettare e realizzare un ‘Sistema di Controllo Interno’ atto a misurare e a contribuire al miglioramento della qualità delle vendite” (v. nota del 10 novembre 2023, pagg. 3 e 4).

Dagli accertamenti ispettivi, ivi compreso l’accesso ai sistemi della Società, è emerso poi che i contratti inerenti ai reclamanti sono stati procacciati da MAS S.r.l. e NTS Group S.r.l., agenzie rispetto alle quali è stata riscontrata la maggiore incidenza di casi di “Non Conformità” (v. verbale del 18 aprile 2023, All. 7), e che, nei confronti degli stessi, è stata riscontrata, da Hera Comm S.p.A., l’avvenuta attivazione di contratti non richiesti (v. verbale del 17 aprile 2023, pagg. 6 e 8).

Da ultimo è stato, altresì, evidenziato che, “con riferimento ai dati dei clienti rispetto ai quali è stato accolto un contratto per attivazione non richiesta, non sono previste modalità di limitazione del trattamento in modo da garantire la segregazione dei suddetti dati rispetto a quelli trattati nell’ambito delle attività di ordinaria gestione della clientela”. Ad ogni modo, “in caso di attivazione non richiesta, i consensi privacy vengono revocati direttamente dalla Società, all’atto della ricezione del reclamo del cliente, e modificati a “consenso NO” nel CRM” (verbale del 17 aprile 2023, pag. 7). 

In merito poi alle tempistiche di conservazione dei dati personali dei clienti, Hera Comm S.p.A. ha rappresentato, con riferimento al sistema Siebel, che “non sono state inserite specifiche tecniche di conservazione in considerazione della complessità e onerosità connessa a tale implementazione”, mentre, in ordine alla piattaforma Salesforce, ha fornito un documento denominato “Hera BBP migrazione e archiviazione”.

In particolare, con specifico riguardo ai dati dei clienti rispetto ai quali è stato accolto un reclamo per attivazione non richiesta, la stessa ha precisato che “sono conservati nel CRM per 10 anni dalla cessazione del contratto, dal momento che la Società non dispone di una specifica policy di data retention in relazione a tale tipologia di informazioni” (v. verbale del 17 aprile 2023, pag. 7 e verbale del 18 aprile 2023, All. 3; cfr. anche nota del 19 maggio 2023, All. 7).

Infine, per quanto concerne le misure adottate da Hera Comm S.p.A. al fine di verificare l’operato delle agenzie quali responsabili del trattamento ai sensi dell’art. 28 del Regolamento, la Società ha dichiarato che “non è svolta alcuna attività di audit [in materia di protezione dei dati personali] sull’operato delle [stesse]” (v. verbale del 17 aprile 2023, pag. 9; v. anche nota del 19 maggio 2023, All. 3, par. 6.1).

Hera Comm S.p.A. ha al contempo rappresentato “l’intenzione di avviare un’attività di audit mediante la somministrazione di una check-list in materia di adempimenti privacy (..) nei confronti delle agenzie, utilizzando la “check-list adempimenti privacy responsabili esterni del trattamento già predisposta” (verbale del 18 aprile 2023, pag. 3).

Parimenti, relativamente alle attività di formazione delle agenzie e dei singoli agenti, la Società ha dichiarato che le stesse sono “incentrate [esclusivamente] sul processo di vendita” e che “non è prevista una formazione specifica in materia di protezione dei dati personali” (v. verbale del 17 aprile 2023, pag. 9; v. verbale del 18 aprile 2023, All. 6; v. nota del 19 maggio 2023, All. 1).  

2.2. I reclami in materia di esercizio dei diritti dell’interessato.

Sono inoltre pervenuti al Garante due reclami, in materia di esercizio dei diritti, aventi ad oggetto l’inesatto e/o tardivo riscontro, da parte di Hera Comm S.p.A., alle istanze di accesso ai propri dati presentate, ai sensi dell’art. 15 del Regolamento, rispettivamente il il 16 novembre 2022 e il 3 gennaio 2023.

In termini generali, dalle verifiche effettuate, è innanzitutto emerso che la Società, al fine di adempiere agli obblighi ex art. 12 del Regolamento, ha adottato una specifica procedura (cfr. verbale del 18 aprile 2023, All. 15, paragrafi 5.2 e 5.4) volta a definire le modalità di gestione di “tutte le tipologie di reclamo/richieste di informazioni ricevute (..) sia per il tramite della struttura Customer Value Management sia per il tramite dell’Ufficio del DPO”.

I reclami sono inseriti in un sistema denominato S.Co.Re. e sono “gestiti, di norma, entro il termine di 30 giorni sulla base della politica aziendale; nello specifico con riferimento ai reclami privacy è previsto che gli stessi debbano essere evasi nell’arco di 30 giorni solari” (v. verbale del 18 aprile 2023, pag. 5).

Inoltre con specifico riguardo ai predetti reclami pervenuti all’Autorità, è stato accertato quanto segue:

l’istanza di accesso ex art. 15 del Regolamento presentata il 16 novembre 2022, è stata trasmessa contestualmente a Hera Comm S.p.A., titolare del trattamento, e a Covisian S.p.A., società incaricata ad operare, in qualità di responsabile del trattamento, per conto del predetto titolare, in forza di specifico contratto sottoscritto ai sensi dell’art. 28 del Regolamento. Covisian S.p.A., con le comunicazioni del 22 novembre e 16 dicembre 2022, in adempimento alle istruzioni fornite dal titolare, ha rappresentato l’esigenza, avanzata da quest’ultimo, di avvalersi dell’istituto della proroga del termine previsto dall’art. 12, par. 3 del Regolamento. Il riscontro alle richieste dell’interessato è stato pertanto fornito, da Hera Comm S.p.A., il 16 gennaio 2023. Nella predetta nota di risposta è stato confermato il ruolo di responsabile ex art. 28 del Regolamento affidato a Covisian S.p.A. e, rispetto alla specifica richiesta di accesso ai dati, è stato rappresentato “che si tratta di dati comuni, cioè Dati identificativi (Nome, Cognome, Codice Fiscale/P. IVA), Dati di contatto (numero telefono fisso/mobile, email, PEC, fax), Indirizzo di residenza/domicilio” (v. nota di riscontro del 16 gennaio 2023, pag. 1). Da ultimo, nell’ambito degli accessi effettuati in loco, “non è stato possibile visualizzare nel sistema [S.Co.Re.] il reclamo, in quanto (..) lo stesso è stato direttamente gestito dall’Ufficio del DPO che ha fornito il relativo riscontro in materia di esercizio dei diritti, attraverso PEC di Hera Comm, il 16 gennaio 2023” (v. verbale del 18 aprile 2023, pag. 6);

l’istanza di accesso, presentata il 3 gennaio 2023, è stata avanzata al fine di “conoscere tutte le informazioni personali trattate da Hera Comm, nonché, più nello specifico, i dati (compresa l’origine degli stessi) utilizzati per lo scoring inerente all’affidabilità creditizia dell’interessato a fronte della richiesta di attivazione di una fornitura di gas e luce”. Rispetto alla stessa, Hera Comm S.p.A., in prima battuta, non ha fornito alcun riscontro. A seguito di sollecito del reclamante (v. istanza di reclamo del 1° marzo 2023, All. 4), il 21 marzo 2023, la Società ha risposto trasmettendo esclusivamente “copia dell'informativa privacy comprensiva dell’informativa privacy ai sensi degli art. 13 e 14 del Regolamento UE n. 2016/679 e dell’art. 6 del codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti” (v. nota del reclamante del 22 marzo 2023, All. 1). Nell’ambito degli accessi effettuati in loco, è emerso che l’istanza dell’interessato “non è risultat[a] presente all’interno di S.Co.Re., ma è stat[a] visualizzat[a] nel CRM Siebel”. In merito, la Società ha infatti precisato che “all’atto della protocollazione del reclamo per un disguido tecnico non è stata creata la riga d’ordine che avrebbe consentito il passaggio su S.Co.Re. La funzione preposta (Customer value management) ha ad ogni modo fornito riscontro (…), dall’indirizzo comunicazioni.crm@gruppohera.it, il 21 marzo 2023; tutto ciò all’esito dei periodici controlli di coerenza di quanto presente su Siebel effettuati per recuperare le pratiche non caricate su S.Co.Re. in ragione di occasionali disallineamenti tra i sistemi” (v. verbale del 18 aprile 2023, pag. 7).

3. La notifica delle violazioni e le memorie difensive.

Con comunicazione del 14 dicembre 2023, l’Ufficio, sulla base della documentazione in atti e degli elementi acquisiti nel corso dell’istruttoria, ha provveduto a notificare a Hera Comm S.p.A. l’avvio del procedimento per l’adozione dei provvedimenti di cui agli artt. 58, par. 2, e 83, del Regolamento in relazione alla violazione dell’art. 5, par. 1, lett. a), b), d), e) ed f), e par. 2; dell’art. 12, par. 3; dell’art. 15; dell’art. 24; dell’art. 28 e dell’art. 32 del Regolamento; ciò in conformità a quanto previsto dall’art. 166, comma 5, del Codice.

Al riguardo, la Società, con comunicazione del 26 gennaio 2024, ha fatto pervenire i propri scritti difensivi, ulteriormente integrati in sede di audizione del 12 marzo 2024 e per il tramite di una nota del 22 marzo 2024, rappresentando, tra l’altro, in tale sede che, in ordine al tardivo riscontro fornito all’istanza di esercizio dei diritti datata 3 gennaio 2023, lo stesso è dipeso “da un disguido tecnico sui sistemi che ha impedito il passaggio del reclamo sulla piattaforma Score, deputata alla gestione di questa tipologia di richieste”.

Ha altresì evidenziato che “è regola che la Società fornisca il riscontro alle richieste di cui all’art. 15 Regolamento indicando in maniera puntuale tutti i dati riferiti all’interessato che sono oggetto di trattamento e non solo le categorie di dati trattati”. Pertanto, “le due richieste [di esercizio dei diritti], rappresentate come difformità, costituiscono un numero veramente esiguo rispetto alla totalità delle pratiche gestite” (v. nota del 26 gennaio 2024, pagg. 7-8).

Ha altresì evidenziato di essersi prontamente attivata, a seguito degli accertamenti ispettivi del Garante e della contestazione della violazione trasmessa dallo stesso, mediante l’adozione delle seguenti misure:

a) in relazione alle modalità di acquisizione di copia del documento d’identità del cliente, ha valutato lo sviluppo di “una app che gestisca l’acquisizione dell’immagine della documentazione e l’invio della stessa verso uno storage aziendale, senza che la stessa immagine sia salvata sul device dell’agente”.  Nelle istruzioni dedicate al canale porta a porta, è stato inoltre espressamente previsto che, “nella fase di acquisizione di copia del documento di identità in corso di validità del cliente e dell’eventuale delegato, munito di apposita delega, qualora l’agente dovesse procedere all’acquisizione fotografica, giusta l’impossibilità di procedere diversamente, dovrà procedere alla cancellazione immediata delle relative immagini dai dispositivi mobili una volta terminato l’invio ad Hera Comm ovvero l’inserimento all’interno del sistema informativo della stessa” (v. nota del 26 gennaio 2024, pag. 8);

b) in relazione alle istruzioni da impartire ai responsabili del trattamento ai sensi dell’art. 28 del Regolamento, la Società, da dicembre 2023, ha introdotto una nuova modulistica inerente al rapporto contrattuale con le agenzie, recante aggiornamenti e integrazioni alle istruzioni fornite agli agenti che prevedono anche “focus specifici su protezione dei dati personali”. Le stesse si distinguono in relazione a ciascun canale di vendita e sono “raccolte nel Manuale di vendita, allegato al contratto”. L’attività di revisione in questione è stata inoltre finalizzata a “impostare un sistema di controlli interno più incisivo ed efficace; (..) aggiornare il sistema sanzionatorio previsto, anche alla luce della giurisprudenza del Garante; prevedere processi di valutazione di agenzie e sub-agenzie (..) che tengano in particolare considerazione i profili inerenti al trattamento dei dati personali; prevedere misure contrattuali per il controllo della catena delle sub-agenzie, in particolare per quanto riguarda i trattamenti di dati personali” (v. nota del 26 gennaio 2024, pagg. 18-20);

c) con riferimento alla formazione delle agenzie, è stato implementato un sistema che prevede la somministrazione di una “prima formazione al momento dell’avvio di un nuovo rapporto di agenzia, [nonché] di sessioni formative periodiche, erogate e rendicontate con cadenza almeno annuale”. Inoltre, “per quanto riguarda le agenzie per le quali è già in essere un rapporto contrattuale, a partire da gennaio 2024 è [stata] prevista l’erogazione di sessioni formative dedicate alla normativa sulla protezione dei dati personali con un focus specifico sulle istruzioni operative previste per le agenzie”. In ordine invece alla formazione erogata dalle agenzie, è stato previsto che la stessa sia “effettuata utilizzando il materiale formativo fornito da Hera Comm” consultabile in un’area appositamente dedicata presente sui sistemi della Società e che l’agenzia debba “documentare l’avvenuta formazione mediante registri presenze firmate da partecipanti e docenti”. Hera Comm S.p.A., inoltre, “attraverso la costruzione di un apposito report, verificherà che le agenzie (almeno un utente per agenzia) effettuino il download dei materiali formativi” (v. nota del 26 gennaio 2024, pagg. 20-21);

d) con riferimento alla trasmissione della welcome letter, “Hera Comm, in ottica di miglioramento dei processi nonché di maggior cautela verso i clienti, ha deciso di implementare [verosimilmente entro il mese di marzo 2024] un sistema di tracciamento volto a fornire conferma del recapito e della ricezione delle welcome letter”. Il sistema prevede nel dettaglio:

in caso di spedizione a mezzo e-mail o con flusso OTP con esito negativo, l’invio della stessa su supporto cartaceo all’indirizzo definito in fase contrattuale o, anche a quello di fornitura, ove diverso dal primo;

in caso di trasmissione con modalità cartacea con esito spedizione negativo, l’invio via e-mail/sms di una notifica recante l’avviso di mancato recapito della documentazione. Qualora non siano presenti i dati di contatto e-mail/sms del cliente, un’agenzia investigativa effettuerà, per conto di Hera Comm S.p.A., la ricerca dell’indirizzo di residenza/sede legale risultante dalla consultazione delle banche dati pubbliche. “Se la ricerca avrà esito positivo, Hera Comm correggerà l’anagrafica del cliente e provvederà a rispedire il plico cartaceo, utilizzando il nuovo indirizzo”. Ove anche tale ultima spedizione dovesse continuare ad avere esito negativo, la gestione della pratica sarà affidata ad una struttura di secondo livello (v. nota del 26 gennaio 2024, pagg. 9-10);

e) in merito al sistema di cd. Monitoraggio attivo delle agenzie, lo stesso è stato sottoposto ad un processo di revisione, all’esito del quale, a partire dal 1° dicembre 2023, sono stati introdotti i parametri di valutazione di seguito indicati:

la “percentuale di chiamate che non ha avuto esito (cd. not found, ossia senza contatto con il cliente)”. La Società ha stabilito che tutti gli agenti che presentino un numero di chiamate not found (ossia irreperibile) superiore ad una determinata soglia (fissata inizialmente all’80% e, da marzo 2024, al 50%) siano direttamente sottoposti a Monitoraggio attivo. Di riflesso, la Società “ha aumentato le casistiche per cui la quality call diviene bloccante (…), alzando ulteriormente i livelli di rating al di sotto dei quali un agente viene posto in Monitoraggio attivo nonché estendendo il Monitoraggio attivo nei confronti di quegli agenti/agenzie per i quali si siano riscontrati eventi ritenuti potenzialmente indicatori di comportamenti scorretti”;

“l’avvenuta acquisizione di segnalazioni o reclami in merito a firma falsa, volontà estorta o contratto non richiesto, nei confronti di un agente che, all’esito dell’istruttoria, si rivelano fondati”. Hera Comm S.p.A. ha stabilito che queste circostanze siano di per sé sufficienti a far sì che l’agente venga sottoposto a “Monitoraggio attivo” (v. nota del 26 gennaio 2024, pagg. 11, 24 e 25; cfr. anche nota del 22 marzo 2024, pag. 3);

f) in ordine alle modalità di verifica dell’operato degli agenti, Hera Comm S.p.A., ha reso operativo un “sistema di controllo e monitoraggio atto a verificare che le agenzie ed il personale di vendita agiscano in ottemperanza alle nuove istruzioni” fornite. Dal mese di settembre 2023 è stato, a tal fine, costituito “l’ufficio Sales Support & Control” con il compito di “progettare e realizzare un Sistema di Controllo Interno di secondo livello finalizzato a misurare e a contribuire al miglioramento della qualità [dell’operato delle agenzie]”. Tale attività si articola, tra l’altro, sull’impiego di uno strumento, denominato “Dashboard”, volto alla “raccolta, a partire dalle basi dati aziendali, di KPI [ossia di] utili indicatori sia per il controllo qualità che per la prevenzione e la scoperta delle frodi”.

Inoltre, la Società, “con l’obiettivo di avere tracciate a sistema tutte le non conformità rilevate nei confronti del singolo agente” da tenere in considerazione “al fine di applicare le sanzioni previste e di decidere se sottoporre l’agente a monitoraggio attivo o se attivare ulteriori controlli”, ha implementato su Salesforce un processo di tracciamento. Lo stesso riguarda “gli esiti del privacy check in termini di modalità di contatto (conforme/non conforme) e di modalità di conclusione del contratto (conforme/non conforme)”, nonché “tutte le non conformità, comprese quelle rilevate in sede di quality call”. Infine, “è stato abbreviato il periodo di apertura delle quality call, da 50 a 30 giorni, con lo scopo di poter estrarre l’elenco delle non conformità con periodicità inferiore” (v. nota del 26 gennaio 2024, pagg. 11, 26 e 27);

g) in relazione all’adozione di sistemi di alert volti a rilevare anomalie procedurali in capo ad agenti e agenzie, Hera Comm S.p.A. ha implementato lo strumento informatico denominato Dashboard (v. supra, lett. f) della presente decisione) “che consente di effettuare una molteplicità di analisi [modulabili] dei dati relativi alle vendite delle Agenzie”; ciò per singola anomalia rilevata, “in base al livello gerarchico e in base ad intervalli temporali predeterminati”. I principali indicatori di anomalia presenti allo stato nella Dashboard sono:

la percentuale di quality call chiuse con esito KO sul totale delle chiamate risposte;

la percentuale di quality call chiuse senza risposta del cliente rispetto al totale delle chiamate attivate;

il numero di contratti stipulati per singolo Agente;

la percentuale di Servizi a Valore Aggiunto venduti rispetto al totale dei contratti di fornitura acquisiti per ciascuna Agenzia;

la percentuale di non conformità in un arco temporale di sei mesi rispetto al totale dei contratti acquisiti in un dato periodo;

il numero di contratti per cui il cliente ha esercitato il diritto di ripensamento;

il caricamento a sistema di proposte di contratto multiple a nome di un medesimo soggetto;

il numero di contratti che presentano una difformità tra l’indirizzo di fornitura e quello di contatto.

L’individuazione dei predetti indicatori di anomalia è comunque oggetto di “continua analisi e di continui affinamenti” da parte della Società. Più nello specifico, per ogni indicatore di nuova implementazione, sono raccolti “una serie di valori che sono poi oggetto di valutazione al fine di definire la soglia limite entro la quale il valore appare congruo/nella media ed oltre la quale vanno invece effettuati opportuni approfondimenti”.

Da ultimo, in relazione all’implementazione di alert di anomalia in ordine all’inesattezza o incompletezza dei dati contrattuali acquisiti dalle agenzie, Hera Comm S.p.A. ha rappresentato che “successivamente al caricamento del contratto da parte dell’agenzia, [la Società] – attraverso la struttura di Sales Support & Control – verifica (…) tutta la documentazione che gli agenti devono obbligatoriamente allegare e che quanto caricato sui sistemi informativi aziendali sia conforme a quanto presente nella richiesta di attivazione contrattuale”; ciò con particolare riferimento ai dati del cliente, alla verifica del documento di identità allegato alla proposta, nonché alla sottoscrizione apposta dal cliente nella modulistica contrattuale (v. nota del 26 gennaio 2024, pagg. 13-16 e nota integrativa del 22 marzo 2024);

h) in materia di data retention e misure di segregazione dei dati, la Società ha rappresentato che, in merito al trattamento delle informazioni “degli interessati rispetto ai quali è stato accolto un reclamo per attivazione non richiesta, la data retention è stata determinata in dieci anni, decorrenti dalla chiusura del reclamo”. Al riguardo, è stato altresì “previsto che tali dati rimangano sul sistema per i primi due anni, dopodiché verranno archiviati in Azure – dunque su un sistema separato e differente – ove rimarranno disponibili per eventuali necessità di consultazione fino al decorrere del termine decennale anzi citato” v. nota del 26 gennaio 2024, pagg. 21-22);

i) sempre con riferimento alle misure di segregazione delle informazioni personali degli interessati per i quali deve essere accolto un reclamo per attivazione non richiesta, Hera Comm S.p.A. ha intenzione di applicare “modalità di limitazione del trattamento in modo da garantire la segregazione [dei predetti dati] (…) rispetto a quelli trattati nell’ambito delle attività di ordinaria gestione della clientela. In particolare, la Società ha definito che la limitazione del trattamento dovrà essere applicata sui sistemi limitando il trattamento dei dati (in termini di accesso e di visibilità) ad un gruppo selezionato di incaricati, in ragione dello specifico ruolo da questi svolto nella gestione delle pratiche relative ad attivazioni non richieste”. Rispetto a tali misure, sono in corso alcune valutazioni di “fattibilità, anche in termine di soluzioni tecniche e di tempistiche di attuazione” (v. nota del 26 gennaio 2024, pagg. 21-22);

j) in ordine allo svolgimento di verifiche e/o approfondimenti sull’esattezza dei dati personali acquisiti con riferimento agli altri contratti stipulati dagli agenti rispetto ai quali erano state evidenziate irregolarità, a prescindere dalla presentazione di un reclamo da parte degli interessati, la Società ha rappresentato l’intenzione di “adottare, entro il primo semestre 2024, le seguenti misure nei confronti degli agenti per i quali sono state rilevate gravi non conformità:

per quanto riguarda i cd. contratti in volo, per i quali l’attività di quality call non è ancora stata avviata, i contratti saranno sottoposti a quality call bloccante;

per quel che concerne, invece, i contratti già attivi, la Società effettuerà delle verifiche, a campione, in merito alla presenza di eventuali ulteriori segnalazioni o reclami” (v. nota del 26 gennaio 2024, pag. 16);

k) relativamente alle procedure concernenti le quality call, Hera Comm S.p.A. ha implementato le seguenti misure volte ad agevolare la finalizzazione delle stesse:

l’invio di e-mail/sms a tutti i clienti, destinatari delle predette chiamate, recante l’avviso “che la Società sta tentando di contattarli per valutare la qualità del contratto, (…) invitare gli stessi a rispondere o, se impossibilitati a farlo, a richiamare [Hera Comm S.p.A.] attraverso un numero verde” dedicato;

l’introduzione di un numero di telefono unico per l’effettuazione delle quality call, “richiamabile dai clienti che, così facendo, possono ricontattare il call center dedicato all’attività e procedere alla conclusione della quality call in fase di ricontatto”;

la previsione della “possibilità di effettuare le attività di verifica della qualità contrattuale anche presso gli Sportelli di Hera Comm” (v. nota 26 gennaio 2024, pagg. 23-24);

l) la Società ha da ultimo rappresentato l’intenzione di realizzare, “entro il primo semestre 2024, (..), all’interno dell’area personale raggiungibile dai Servizi Online e dall’APP, un portale dedicato alla conferma d’ordine e chiusura della quality call, a cui il cliente potrà accedere in autonomia attraverso un link che riceverà via SMS”, nonché di inserire “nello script della quality call dedicata al canale della rete fisica indiretta (Agenzia Door to door, Agente Retail, Master Dealer e HC Point) il cd. passaggio di privacy check”. Tale passaggio si sostanzia in una serie di domande rivolte dall’operatore al cliente al fine di verificare la legittimità o meno delle modalità di contatto o di conclusione del contratto. Il cliente, in tale fase, ha anche la possibilità di confermare, per il tramite della c.d. procedura di sanatoria, la sua volontà a contrarre anche ove sia emersa una non conformità da parte dell’agente (v. nota del 26 gennaio 2024, pagg. 23-26).

4. L’esito dell’istruttoria.

In primis si rappresenta che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Tanto doverosamente premesso, alla luce degli elementi acquisiti nel corso del procedimento nonché delle successive valutazioni svolte da questo Ufficio, anche in ordine agli ulteriori elementi pervenuti successivamente allo svolgimento della predetta attività ispettiva, risulta accertato quanto segue.

4.1. L’illiceità del trattamento dei dati personali dei clienti per il tramite di agenti porta a porta e i reclami in materia di attivazioni non richieste.

Per quanto riguarda i reclami concernenti le attivazioni non richieste, è emerso che il trattamento oggetto di doglianza è stato posto in essere da Hera Comm S.p.A., in qualità di titolare, per il tramite di alcune agenzie porta a porta, designate, ai sensi dell’art. 28 del Regolamento, quali responsabili delle attività di trattamento.

Tutto ciò nel lasso di tempo in cui le predette agenzie hanno operato al fine di procacciare potenziali clienti per conto della Società. Trattasi del periodo ricompreso –sulla base della documentazione agli atti– dal 1° gennaio 2021 al 30 aprile 2023 (v. verbale del 18 aprile 2023, All. 7 e nota del 10 novembre 2023, pag. 2 e All. 1).

Le condotte in esame, per le modalità organizzative e gestionali in essere nell’ambito del sistema di acquisizione di nuovi clienti implementato da Hera Comm S.p.A. –come più dettagliatamente esplicitato nel proseguo–, hanno determinato un’attività di trattamento dei dati personali dei reclamanti e di altri potenziali clienti non conforme alla disciplina vigente in quanto contrario ai principi generali del trattamento di cui all’art. 5 del Regolamento.

Il tutto con particolare riferimento alle specifiche modalità poste in essere da alcuni agenti all’atto della acquisizione di proposte contrattuali mediante il trattamento di dati inesatti e non aggiornati riferiti alla clientela.

L’attività istruttoria ha altresì evidenziato che, sebbene i trattamenti oggetto di reclamo siano stati posti in essere da responsabili ex art. 28 del Regolamento che hanno operato, in qualità di agenti, in violazione delle istruzioni impartite dal titolare (v. verbali del 17, 18 e 19 aprile 2023), le misure tecniche e organizzative adottate da Hera Comm S.p.A., nell’ambito dei processi di acquisizione della clientela per il tramite del canale agenzia door to door, non sono risultate adeguate alla natura, al contesto, alle finalità e ai rischi del suddetto trattamento, configurando una violazione dei principi di “responsabilizzazione” e di “integrità e riservatezza” (art. 5, par. 1, lett. f) e par. 2, art. 24 e art. 32 del Regolamento).

Sul punto, è invero opportuno rilevare che, ai sensi del predetto principio di accountability, il titolare è il soggetto cui è attribuita la “responsabilità generale” del trattamento che egli abbia posto in essere direttamente o che altri abbia effettuato per suo conto, gravando, pertanto, sullo stesso l’onere di attuare un sistema organizzativo e gestionale contraddistinto da misure reali ed efficaci di protezione dei dati nonché comprovabili (v. c. 74 e artt. 5, par. 2 e 24 del Regolamento); ciò non soltanto mediante la corretta e puntuale predisposizione degli adempimenti imposti dalla normativa di protezione dei dati (informativa, registro delle attività di trattamento, nomina del responsabile della protezione dei dati ove obbligatoria, valutazione di impatto ove necessaria, ecc.), ma soprattutto attraverso l’implementazione di procedure e prassi organizzative atte a conformare i relativi trattamenti al medesimo Regolamento (es. processi di mappatura dei trattamenti; regole per l’attribuzione di responsabilità; programmi di formazione del personale; procedure per la verifica dell’operato dei responsabili designati ai sensi dell’art. 28; previsione di audit interni ed esterni con cadenza periodica; ecc.; cfr. Gruppo art. 29, WP 173 del 13 luglio 2010- Opinion 3/2010 on the principle of accountability, pagg. 11-12).

Nello specifico settore dell’energia e del gas, inoltre, il Garante si è già espresso, fin dal dicembre 2019, in ordine alle modalità organizzative e gestionali che un titolare del trattamento, operante quale fornitore di energia nel mercato libero, deve implementare, all’atto dell’acquisizione di nuovi clienti, per garantire ed essere in grado di dimostrare che il trattamento sia effettuato conformemente al Regolamento (cfr. provvedimento dell’11 dicembre 2019, doc. web n. 9244358; ma vedi anche, più di recente, provvedimento del 28 settembre 2023, doc. web n. 9940988 e provvedimento del 12 ottobre 2023, doc. web n. 9965217).

Tali decisioni, per quanto rivolte a specifici operatori, contengono indicazioni di portata generale in relazione alle misure tecnico-organizzative che un fornitore di energia è tenuto ad adottare, nel corso delle operazioni di contrattualizzazione dei propri clienti, al fine di garantire l’esattezza dei dati personali trattati dai responsabili nominati ai sensi dell’art. 28 del Regolamento nonché di verificare il rispetto delle istruzioni agli stessi impartite.

Dalle risultanze emerse nel corso degli accertamenti ispettivi in loco, nonché dall’esame della documentazione in atti, di contro, sono state evidenziate diverse carenze nelle privacy policy attuate da Hera Comm S.p.A. nel settore oggetto di attenzione; policy che sono apparse lacunose e poco efficaci, soprattutto in termini di garanzia dell’esattezza dei dati trattati, di sicurezza del trattamento nonché di controllo dell’operato delle persone all’uopo autorizzate.

L’inadeguatezza e la lacunosità di tali modalità procedurali hanno consentito ad alcuni soggetti (nella specie gli agenti) di operare in violazione delle istruzioni impartite dal titolare con ripercussioni sulla liceità dei relativi trattamenti, in particolare in termini di correttezza degli stessi e di qualità dei dati trattati.

È quanto risulta con evidenza dalle procedure di verifica dell’operato delle agenzie designate responsabili del trattamento, implementate da parte di Hera Comm S.p.A., come dettagliatamente esplicitato nei termini che seguono.

4.2. L’inadeguatezza delle misure tecniche e organizzative adottate dalla Società nell’ambito delle attività di contrattualizzazione dei clienti.

In primis è emerso che la raccolta dei dati personali dei potenziali clienti, da parte degli agenti porta a porta, è effettuata sulla base di istruzioni fornite da Hera Comm S.p.A. ai propri agenti nel “Manuale di vendita” allegato al contratto di agenzia (v. verbale del 17 aprile 2023, All. 2).

Sul punto la Società ha dichiarato che la predetta raccolta avviene esclusivamente attraverso l’utilizzo di modulistica contrattuale cartacea cui deve essere allegata copia del documento di identità del cliente. Il predetto documento può essere acquisito, per il tramite del dispositivo mobile personale dell’agente, anche mediante immagine fotografica (v. verbale del 17 aprile 2023, pag. 4).

Al riguardo, si rileva che le istruzioni impartite dalla Società con il sopra menzionato Manuale non contengono indicazioni dettagliate sulle modalità cartacee di raccolta dei dati personali dei potenziali clienti, né puntuali istruzioni sulle procedure di verifica dell’identità degli stessi, lasciando all’agente eccessivi margini di discrezionalità in ordine agli strumenti da utilizzare a tal fine.

Tale carenza comporta che quest’ultimo possa acquisire −come peraltro dichiarato dalla Società in sede di accertamenti ispettivi (v. verbale del 17 aprile 2023, pag. 4)− copia del documento di riconoscimento dei clienti, anche mediante immagine fotografica, effettuata tramite il proprio dispositivo mobile personale.

La predetta procedura però non appare idonea tenuto conto delle misure che il titolare deve adottare per garantire che il trattamento sia conforme al principio di integrità e riservatezza dello stesso (art. 5, par. 1, lett. f) e art. 32 del Regolamento). La stessa, infatti, non è in grado di assicurare che il dato personale in oggetto sia unicamente trasmesso ai sistemi della Società e che, dopo tale trasmissione, sia immediatamente cancellato dal dispositivo dell’agente.

Tutto ciò comporta il rischio che la predetta documentazione rimanga nella piena disponibilità dell’agente e che la stessa sia quindi utilizzata da quest’ultimo in modo improprio per la futura attivazione di ulteriori contratti non richiesti.

Diversamente, la fornitura agli agenti di apposita strumentazione in grado di permettere agli stessi di caricare direttamente i dati del cliente sul CRM della Società (quali ad esempio tablet o applicazioni mobili da utilizzare in via esclusiva per l’acquisizione delle proposte contrattuali o, quanto meno, per la fase di raccolta di copia del documento di identità del cliente), consentirebbe al titolare di avere maggiore certezza circa la sicurezza del trattamento effettuato dagli agenti per conto di Hera Comm S.p.A.

Con riferimento a tale tematica, si prende atto dell’avvenuta implementazione, da parte di Hera Comm S.p.A., a seguito della notifica di violazione, di un’applicazione mobile (di seguito “App”) volta all’acquisizione dell’immagine contenuta nel documento di riconoscimento del cliente; App che prevede l’invio di quest’ultima ai sistemi della Società, senza il salvataggio della stessa sui dispositivi dell’agente (v. par. 3, lett. a) della presente decisione).

Al riguardo, si rappresenta però che, al fine di prevenire illeciti utilizzi della stessa da parte di agenti (anche eventualmente per il tramite di eventuali sub-agenti), appare necessario adottare una serie di ulteriori misure, quali la previsione che l’App in questione sia scaricabile esclusivamente dagli store ufficiali, che possa essere installata solo sul device univocamente associato all’agente (ad esempio mediante l’invio di un PIN di conferma), e che la stessa sia utilizzabile unicamente per il tramite di un device alla volta.

Al di là dell’implementazione delle predette misure tecniche, la Società è comunque tenuta ad effettuare periodiche verifiche volte a monitorare eventuali usi anomali dell’App (es. eccessivi caricamenti da parte di alcuni agenti rispetto alla media; utilizzo dell’App in orari non convenzionali; accesso simultaneo dallo stesso account; ecc.).

Si osserva altresì che, sul punto, permangono ancora alcune ulteriori criticità, stante la precisazione, fornita da Hera Comm S.p.A. nei propri scritti difensivi, concernente le specifiche istruzioni rese dalla Società in merito al canale porta a porta (v. nota del 26 gennaio 2024, pag. 8). Queste ultime, infatti, continuano a prevedere che l’agente, ove impossibilitato all’utilizzo della predetta App, possa comunque acquisire copia del documento d’identità per il tramite del proprio dispositivo.

Tali istruzioni, invero, nella sopra aggiornata formulazione, non appaiono ancora in linea con quanto richiesto al titolare dagli artt. 5, par. 1, lett. f) e 32 del Regolamento, considerato che, sebbene le stesse stabiliscano che l’agente, nel caso sopra citato, debba tempestivamente procedere alla cancellazione delle immagini acquisite, la Società non ha comunque previsto misure atte a prevenire eventuali utilizzi fraudolenti della predetta documentazione da parte degli operatori (quali ad es. l’uso di software BYOD MDM).

Hera Comm S.p.A. inoltre non ha provveduto a specificare che la sopra menzionata procedura debba costituire una circostanza di carattere eccezionale (limitata, ad esempio, esclusivamente ad anomali malfuzionamenti dell’App), né ha adottato un sistema di specifiche misure organizzative, quali ad esempio verifiche periodiche, volte a valutare che l’acquisizione delle immagini fotografiche per il tramite del dispositivo mobile dell’agente sia stata effettivamente effettuata nei soli casi tassativamente previsti.

Nel corso delle verifiche in loco, è altresì stato constatato che, a seguito della sottoscrizione del plico contrattuale, il processo di acquisizione della clientela da parte delle agenzie door to door prevede una fase di “verifica” della volontà negoziale (e conseguentemente della qualità dei dati trattati ed inseriti dagli agenti nell’applicativo aziendale) basata su una chiamata di conferma, c.d. quality call, al numero telefonico indicato nella proposta.

Al riguardo, si rileva che l’esito irreperibile della predetta check call (ossia l’assenza di risposta da parte del cliente), nella maggior parte dei casi, non interrompe  però il processo di contrattualizzazione che, pertanto, giunge comunque a conclusione, determinando, anche in questa ipotesi, l’attivazione della fornitura di energia.

Difatti, l’irreperibilità del cliente in fase di quality call impedisce il perfezionamento del contratto solo ove “la proposta contrattuale provenga da agenzie sottoposte a c.d. monitoraggio attivo” (cfr. verbale del 17 aprile 2023, pag. 5).

Sul punto, in ordine al processo in base al quale un’agenzia viene sottoposta a c.d. Monitoraggio attivo, merita precisare che il rating –“dato dal rapporto tra Quality call positive (vale a dire il numero di quality call che hanno dato come esito la conferma del contratto da parte del cliente) rispetto alle Quality call totali andate a buon fine (vale a dire il numero di quality call che hanno ricevuto risposta da parte del cliente, indipendentemente dalla conferma o meno del contratto)”− è calcolato “mensilmente dalla Società per medesima Agenzia”.

Laddove “il rating del mese precedente sia stato inferiore alla percentuale definita (88%)”, l’agenzia “viene messa nello stato di Monitoraggio attivo (..) e se il cliente non risponde alla chiamata, il contratto viene annullato per mancata conferma da parte del cliente” (v. nota del 19 maggio 2022, All. 3, par. 6.3; cfr. anche verbale del 17 aprile 2023, pag. 5).

Tale sistema −che tiene conto esclusivamente della proporzione tra le check call, a seguito delle quali è stata confermata l’adesione contrattuale da parte del cliente, e il numero di check call a cui il cliente abbia fornito risposta− non appare sufficiente a prevenire possibili illeciti in quanto sconta il limite di essere impostato su un calcolo parziale.

A titolo esemplificativo, si rileva infatti che, ove ipoteticamente su 1000 quality call eseguite, solo 10 ricevano risposta da parte dei clienti (9 dei quali diano conferma della volontà contrattuale), l’agenzia, in ragione del sistema di rating sopra citato, otterrebbe comunque uno score elevato nonostante il restante numero di quality call effettuate (ben 990) si sia concluso con esito irreperibile.

A fronte pertanto di soli 10 clienti raggiunti dalla quality call, su un numero di 1000 proposte contrattuali complessivamente acquisite dalla medesima agenzia, quest’ultima non rientrerebbe nel c.d. Monitoraggio attivo e il processo di contrattualizzazione proseguirebbe comunque, rispetto alle restanti 990 proposte. Il sistema di verifica predisposto da Hera Comm S.p.A., in ordine alle attività poste in essere dai propri agenti, risulta dunque inefficace; ciò in quanto il processo di rating non prende in considerazione un dato che è significativamente rilevante, nel contesto in esame, ovvero il numero complessivo di check call effettuate dagli operatori, ivi comprese quelle con esito irreperibile.

Check call, quest’ultime, in seguito alle quali, nonostante la mancata risposta da parte del cliente, viene comunque effettuata l’attivazione delle relative forniture, sebbene riferite a proposte contrattuali che potrebbero essere frutto del trattamento illecito dei dati dei potenziali clienti.

A conferma dell’inefficacia di tale sistema, si rileva inoltre che, dalla documentazione acquisita nel corso degli accertamenti ispettivi, nel mese di aprile 2023, a fronte di 176 reclami per attivazione non richiesta, ricevuti dal 1° gennaio al 30 aprile 2023, e di 377 “Non Conformità” riscontrate dalla Società nel medesimo periodo (v. nota del 10 novembre 2023, All. 1), soltanto un’agenzia è risultata sottoposta a “Monitoraggio attivo” (v. verbale del 18 aprile 2023, All. 2).

Si aggiunga altresì che, come espressamente dichiarato dalla Società, sul calcolo del rating delle agenzie non incide né il dato relativo alla ricezione di “eventuali segnalazioni o reclami” aventi ad oggetto contratti procacciati dalla medesima agenzia, né quello concernente “l’effettiva attivazione della fornitura” (v. verbale del 17 aprile 2023, pag. 5).

Sul punto, si osserva che la Società, a seguito della notifica di violazione, ha provveduto ad innalzare l’efficacia del sistema di “Monitoraggio attivo” degli agenti, introducendo in primis un ulteriore parametro di anomalia consistente nell’avvenuta acquisizione di segnalazioni o reclami aventi ad oggetto eventuali non conformità nei confronti di un agente (ove fondati) e rivedendo, al contempo, il processo di calcolo del rating (cfr. in tal senso, il par. 3, lett. e), della presente decisione).

Tali modifiche tuttavia non configurano ancora misure sufficientemente adeguate in termini di accountability, dal momento che Hera Comm S.p.A. non ha implementato un sistema di quality call bloccante (ossia tale da interrompere la prosecuzione del processo di contrattualizzazione) in tutti i casi in cui il cliente non abbia risposto ai tentativi di chiamata effettuati dalla Società (c.d. esito “not found” della chiamata di verifica).

La predetta misura appare di contro necessaria, considerato che, ove la quality call non sia andata a buon fine a causa dell’irreperibilità del cliente, il trattamento dei relativi dati personali non è conforme ai principi di liceità, correttezza ed esattezza dei dati personali del cliente; ciò in quanto non è stata fornita alcuna conferma da parte di quest’ultimo della volontà di aderire al contratto (e, quindi, di riflesso anche dell’esattezza delle informazioni personali raccolte dall’agente in sede di proposta).

Si rileva peraltro che l’adozione della predetta misura organizzativa è già stata oggetto di prescrizione, proprio nel contesto di attivazioni di contratti di fornitura nel settore dell’energia, da parte del Garante nelle decisioni dell’11 dicembre 2019 e del 28 settembre 2023 sopra menzionate.

Si osserva da ultimo che la Società ha rappresentato, inoltre, l’intenzione di introdurre, nello script della quality call, una specifica fase, denominata “privacy check”, che si sostanzia in una serie di domande rivolte dall’operatore al cliente al fine di verificare la legittimità o meno delle modalità di contatto o di conclusione del contratto.

Tale fase prevede, tra l’altro, la possibilità per l’interessato, ove emerga una presunta non conformità da parte dell’agente, di confermare, nel corso della predetta chiamata, per il tramite della c.d. procedura di sanatoria, la sua volontà a contrarre comunque con Hera Comm S.p.A. (v. par. 3, lett. l) della presente decisione).

La suddetta previsione non appare però conforme al Regolamento, in quanto la quality call, consistente per sua natura in una chiamata volta a verificare la validità della volontà contrattuale dell’interessato (e di riflesso l’esattezza dei dati raccolti dall’agente), deve essere effettuata esclusivamente per il perseguimento di tale specifica finalità e a tutela dei diritti degli interessati e non può costituire un’ulteriore occasione per trattare i dati di quest’ultimi −verosimilmente illecitamente acquisiti dall’agente− al fine di veicolare proposte contrattuali a nuovi potenziali clienti.  

È stato inoltre accertato che, a seguito della quality call, il processo di contrattualizzazione prosegue mediante l’invio, prima dello switching, di una welcome letter all’indirizzo e-mail o fisico indicato dal cliente in fase di sottoscrizione del contratto (v. verbale del 17 aprile 2023, pagg. 5, 6 e 8).

Il sistema così concepito, però, in quanto basato unicamente su recapiti acquisiti dall’agente, non fornisce sufficiente certezza della corrispondenza di questi ultimi con l’effettivo utilizzatore dell’utenza; così facendo Hera Comm S.p.A. accetta, senza introdurre adeguate misure di contenimento, il rischio di acquisire contratti non richiesti contenenti dati personali inesatti e non aggiornati.

Si rileva altresì, in merito, che la trasmissione della predetta welcome letter non è effettuata per il tramite di modalità che consentano al titolare di avere evidenza dell’effettiva ricezione di tale documentazione da parte del cliente (quali ad esempio l’utilizzo di messaggi di conferma di ricezione e di lettura del contenuto della comunicazione), con la possibilità che essa, ove trasmessa ad un indirizzo non appartenente al potenziale cliente, non venga dallo stesso mai effettivamente visionata.

Al riguardo, si osserva pertanto che la previsione di un diverso sistema di comunicazione con l’interessato (quale ad esempio la trasmissione della proposta contrattuale, oltre che al recapito presente nel contratto, anche via posta all’indirizzo corrispondente al POD/PDR insistente sulla fornitura mediante un servizio di tracciamento dell’avvenuta consegna) potrebbe consentire di avere maggiore certezza dell’esatto recapito della documentazione in oggetto, rendendo possibile intercettare l’anomalia riscontrata a carico delle agenzie interessate, in una fase ancora precedente all’attivazione dei relativi contratti, limitando le conseguenze negative per gli interessati.

Da ultimo, è emerso che Hera Comm S.p.A. non si è dotata, ai fini della verifica dell’esattezza dei dati personali contenuti nei contratti procacciati dalle agenzie, di sistemi di alert sensibili a varie anomalie procedurali (quali ad esempio la difformità fra l’indirizzo di fornitura e quello di contatto del cliente; l’anomalo numero di quality call con esito irreperibile; l’inesattezza o incompletezza dei dati contrattuali acquisiti; il caricamento a sistema di proposte di contratto multiple a nome di un medesimo soggetto; l’eccessiva e inconsueta numerosità di contratti stipulati da ciascun agente; ecc.; cfr. verbale del 17 aprile 2023, pag. 9 e All. 6).

Parimenti non sono state fornite dalla Società evidenze circa lo svolgimento di verifiche e/o approfondimenti (nemmeno a campione) sull’esattezza dei dati personali acquisiti con riferimento agli altri contratti stipulati dagli agenti rispetto ai quali erano state evidenziate irregolarità, a prescindere dalla presentazione di un reclamo da parte degli interessati (ad esempio mediante un’attività di customer caring dei clienti contrattualizzati dai medesimi incaricati, volta ad accertare l’effettiva legittimità dei contratti ivi attivati e dei trattamenti effettuati; v. verbale del 17 aprile 2023, pag. 7 e All. 2; cfr. anche verbale del 18 aprile 2023, pag. 2-3).

Sul punto, si osserva che, le misure adottate dalla Società a seguito della notifica di violazione, non appaiono del tutto conformi a quanto ivi contestato, considerato che le stesse prevedono, per quanto concerne i contratti già attivi, che le verifiche a campione siano limitate esclusivamente alla “presenza di eventuali ulteriori segnalazioni o reclami” (cfr. in tal senso, il par. 3, lett. j), della presente decisione).

Le misure adottate da Hera Comm S.p.A. ai fini della verifica dell’esattezza dei dati trattati dall’agente, come complessivamente sopra descritte, appaiono, pertanto, in considerazione dei rischi connessi al trattamento posto in essere, nonché della natura e del contesto dello stesso, sostanzialmente inadeguate a rendere conforme quest’ultimo a quanto previsto dal Regolamento; ciò considerato peraltro che il fenomeno delle attivazioni non richieste, specialmente per il tramite delle modalità concretamente utilizzate nei casi in esame, era già pienamente conosciuto da anni nel settore di riferimento, come testimoniato non solo dal provvedimento del Garante dell’11 febbraio 2019 sopra citato, ma anche dalle diverse e numerose decisioni adottate da altre Autorità nei rispettivi ambiti di competenza in relazione a condotte illecite finalizzate alla conclusione di contratti all’insaputa dei potenziali clienti (cfr. tra i tanti, AGCM, provvedimenti del 21 dicembre 2016, rif. PS6259, PS10114 e PS10338; AGCM, provv. del 13 dicembre 2022, n. 30422).

Tanto complessivamente rilevato, ne consegue quindi la violazione, da parte di Hera Comm S.p.A., delle disposizioni di cui all’art. 5, par. 1, lett. a), d) e f), e par. 2; all’art. 24 e all’art. 32 del Regolamento.

4.3. Inosservanza degli obblighi di vigilanza sull’operato delle agenzie.

Per quanto concerne gli agenti incaricati, ai sensi dell’art. 28 del Regolamento, allo svolgimento di attività di trattamento di dati personali da parte di Hera Comm S.p.A., si fa presente che la Società, in qualità di titolare, è tenuta ad “impiegare unicamente responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate” a conformare il trattamento al Regolamento (art. 28, par. 1 del Regolamento).

Tale previsione, come evidenziato dallo stesso Comitato europeo per la protezione dei dati (cfr. EDPB, Linee guida del 7 luglio 2021, n. 07/2020 sui “concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, di seguito “Linee guida 7/2020”), assume le caratteristiche di “un obbligo permanente” a fronte del quale il titolare deve, “ad intervalli adeguati, (..) verificare le garanzie offerte dal responsabile del trattamento” (cfr. EDPB, Linee guida 07/2020, paragrafi 94, 99 e 114, cit.).

Tutto ciò sia −come già richiamato supra (v. par. 4.2. della presente decisione)− attraverso l’assunzione di comportamenti proattivi atti ad individuare tempestivamente eventuali situazioni patologiche del processo di contrattualizzazione (e dunque delle attività di trattamento che ne conseguono), sia per il tramite della previsione di audit periodici volti al controllo dell’operato delle agenzie incaricate e alla verifica del corretto e puntuale adempimento dei compiti ad esse affidati (v. art. 5, par. 2, art. 24 e art. 28, par. 3, lett. h) del Regolamento).

Sul punto, si osserva che tali audit devono essere svolti in adempimento ad un programma predefinito di controlli, da effettuarsi a cadenza periodica, concernenti il rispetto della normativa di protezione dei dati personali e devono ricomprendere attività di verifica documentale, nonché ispezioni in loco. A ciò si aggiunga che l’esito delle stesse deve, inoltre, essere dettagliatamente documentato dal titolare, mediante la redazione di report al riguardo contenenti, altresì, le eventuali misure correttive (e/o preventive) da adottare.

Parimenti, l’applicazione delle medesime disposizioni normative (art. 24, par. 1 e art. 28, paragrafi 1 e 3, del Regolamento) comporta altresì per il titolare, in osservanza del principio di accountability, la necessaria predisposizione, a cadenza regolare, di sessioni formative, dirette ai responsabili nominati ai sensi dell’art. 28 del Regolamento, atte a garantire la corretta comprensione e la puntuale applicazione delle specifiche istruzioni impartite a questi ultimi (cfr. EDPB, Linee guida 07/2020, par. 19, cit.).

Rispetto agli adempimenti sopra richiamati, dagli accertamenti in loco, è invece emerso che la Società non ha svolto, fino ad ora, alcuna attività di audit volta a verificare l’operato delle agenzie designate responsabili del trattamento in ordine agli adempimenti di cui al Regolamento (v. verbale del 17 aprile 2023, pag. 9; v. anche nota del 19 maggio 2023, All. 3, par. 6.1).

Analogamente, Hera Comm S.p.A. non ha posto in essere specifiche iniziative, al di là di quelle di portata più generale incentrate sul processo di vendita, finalizzate alla formazione in materia di protezione dei dati personali delle agenzie e dei singoli agenti (v. verbale del 17 aprile 2023, pag. 9; v. verbale del 18 aprile 2023, All. 6; v. nota del 19 maggio 2023, All. 1).

Si osserva da ultimo che, sebbene la Società, a seguito della notifica di violazione, abbia rappresentato l’intenzione di voler potenziare le attività di controllo nei confronti delle agenzie per valutarne l’operato (v. par. 3, lett. f), della presente decisione), la stessa non ha, allo stato, fornito idonee assicurazioni in ordine all’implementazione in futuro, con riferimento ai sopra citati responsabili del trattamento, di audit in materia di protezione dei dati personali, non avendo trasmesso alcuna documentazione al riguardo, atta a descrivere la struttura e le tempistiche del programma di audit da svolgere e la metodologia impiegata a tal fine.

La mancata assunzione degli obblighi complessivamente menzionati determina, a carico della Società, la violazione dell’art. 5 par. 2, dell’art. 24 e dell’art. 28 del Regolamento.

4.4. Le violazioni in materia di esercizio dei diritti degli interessati.

In ordine ai reclami pervenuti in materia di esercizio dei diritti ex artt. 15-22 del Regolamento, in base agli elementi in atti e a quelli successivamente acquisiti nel corso dell’attività ispettiva, risulta accertato che Hera Comm S.p.A. ha fornito, in entrambi i casi, un riscontro inadeguato rispetto alle istanze di accesso ai propri dati presentate dagli interessati.

Difatti, in ordine alle richieste di cui all’istanza del 16 novembre 2022, la Società si è limitata ad elencare le categorie di dati trattate −nella specie: “dati identificativi (Nome, Cognome, Codice Fiscale/P. IVA), Dati di contatto (numero telefono fisso/mobile, email, PEC, fax), Indirizzo di residenza/domicilio” (v. nota di riscontro del 16 gennaio 2023, pag. 1)− senza riportare il dettaglio dei dati personali afferenti all’interessato, reperibili all’interno dei propri sistemi.

Per quanto concerne l’istanza avanzata il 3 gennaio 2023, la Società ha fornito un riscontro tardivo, in quanto pervenuto oltre due mesi dopo la presentazione della stessa e solo a seguito del sollecito del reclamante, e comunque inadeguato.

Tutto ciò, tenuto conto della circostanza che la Società non ha reso all’interessato le informazioni richieste, limitandosi esclusivamente a trasmettere la documentazione recante copia dell’informativa ex art. 13 del Regolamento.

Al riguardo, merita evidenziare che il diritto di accesso ex art. 15 del Regolamento è principalmente concepito quale strumento volto a consentire, in linea generale, all’interessato di esercitare il “controllo” sui dati personali che lo riguardano, assicurando allo stesso piena consapevolezza delle informazioni oggetto di trattamento e delle effettive modalità di quest’ultimo.

Lo scopo del diritto di accesso, invero, è primariamente quello di rendere noti “quali” dati e “come” siano stati trattati dal titolare al fine di fornire all’interessato gli strumenti per “conoscere e verificare la liceità e l’esattezza del trattamento” allo stesso riferito (v. cons. 63 del Regolamento; EDPB, “Guidelines 01/2022 on data subject rights - Right of access”, adottate il 28 marzo 2023, paragrafi 10-13).

Ai sensi dell’art. 15 del Regolamento, pertanto, il titolare, in riscontro ad un’istanza di accesso, non può limitarsi a rilasciare “una descrizione generale dei dati [o] un semplice riferimento alle categorie di dati personali trattate”, né può omettere informazioni in suo possesso ove riferibili all’interessato; al contrario è piuttosto tenuto a fornire “l'accesso a tutti i dati personali afferenti all’interessato” effettivamente oggetto di trattamento.

Tali informazioni “devono essere complete, corrette e aggiornate, corrispondenti il più possibile allo stato di trattamento dei dati al momento della ricezione della richiesta” e devono essere fornite “in forma concisa, trasparente, intelligibile e facilmente accessibile” a quest’ultimo (EDPB, “Guidelines 01/2022 on data subject rights - Right of access”, cit., paragrafi 34-35; art. 12, par. 1 del Regolamento).

Si tenga altresì conto che il riscontro, nei termini di cui sopra, deve essere fornito dal titolare del trattamento senza giustificato ritardo e comunque al più tardi entro un mese dal ricevimento della richiesta (art. 12, par. 3 del Regolamento).

Stante l’inosservanza da parte di Hera Comm S.p.A. delle disposizioni sopra richiamate −come emerge in maniera inequivocabile dalla documentazione agli atti e dalle verifiche effettuate in sede ispettiva− non può essere accolta, ai fini dell’archiviazione della contestazione concernente tale specifica fattispecie di violazione, l’argomentazione addotta al riguardo dalla Società.

La stessa infatti, nei propri scritti difensivi, si è limitata sul punto a rappresentare che i riscontri oggetto di doglianza costituiscono un caso isolato rispetto “alla totalità delle pratiche gestite” da Hera Comm S.p.A. (cfr. par. 3 della presente decisione).

Parimenti, con specifico riguardo all’istanza di esercizio dei diritti datata 3 gennaio 2023, non rileva quanto sostenuto dalla Società in ordine alla circostanza che la tardività del riscontro reso sia dipesa da un disguido di natura prevalentemente tecnica (v. nota del 26 gennaio 2024, pag. 7). Al riguardo si rappresenta, infatti, come già sopra evidenziato, che il riscontro in questione non è comunque risultato adeguato.

Ne consegue pertanto, nei casi di specie, la violazione da parte di quest’ultima dell’art. 15 e dell’art. 12, par. 3 del Regolamento.

Ad ogni buon conto, le sopra menzionate circostanze, saranno oggetto di considerazione, nell’ambito della quantificazione della sanzione amministrativa pecuniaria, quali fattori attenuante ai sensi dell’art. 83, par. 2 del Regolamento.

4.5. Ulteriori profili di violazione.

Nel corso dell’istruttoria, sono stati riscontrati ulteriori profili di violazione concernenti le modalità e i tempi di conservazione dei dati della clientela, come di seguito esplicitati.

Per quanto concerne le policy adottate dalla Società in materia di data retention dei dati dei clienti presenti nel CRM, dalle dichiarazioni rese dalla Società, è emerso che, rispetto al sistema Siebel, non sono stati previsti specifici tempi di conservazione dei dati trattati da Hera Comm S.p.A. (v. verbale del 17 aprile 2023, pag. 7).

È stato altresì accertato che i dati più risalenti contenuti nel predetto CRM sono quelli relativi ad un ex cliente, il cui contratto è cessato il 23 ottobre 1984, e ad un soggetto prospect (ovvero un interessato che non è mai stato cliente della Società), il cui ultimo contatto è del 1° settembre 2004 (v. nota del 19 maggio 2023, All. 7).

Tale periodo di conservazione (di 39 anni nel primo caso e di 19 nel secondo) −di fatto adottato dalla Società rispetto a suddetti dati personali− appare sproporzionato rispetto alle finalità dei trattamenti effettivamente posti in essere e pertanto non “limitato al mimino necessario” come previsto dall’art. 5, par. 1, lett. e) del Regolamento (v. in merito il cons. 39 del Regolamento); ciò in considerazione del notevole lasso di tempo trascorso, nel primo caso dalla cessazione del contratto, nel secondo in ragione della finalità precontrattuali per cui è stato raccolto.

Diversamente, rispetto alla piattaforma Salesforce, la Società ha individuato alcune tempistiche nel documento denominato “Hera BBP migrazione e archiviazione” (verbale del 18 aprile 2023, All. 3, par. 4.4.3).

Al riguardo, si osserva però che il quadro ivi fornito non appare sufficientemente chiaro, né esaustivo, in quanto lo stesso si limita all’elencazione di una molteplicità di categorie (c.d. entità funzionali) alle quali sono associati vari termini di conservazione, senza che sia possibile identificare i dati personali e i trattamenti ivi ricompresi, né i criteri in base ai quali viene effettuata tale associazione.

In tale documento, la Società, infatti, ha esclusivamente indicato un termine decennale per i dati dei clienti senza alcuna distinzione che tenga conto delle finalità di volta in volta perseguite (ad es. marketing, profilazione, esecuzione del contratto, ecc.), nonché ulteriori termini di conservazione di 10 e 4 anni riferiti a categorie indeterminate, denominate “RDS/RDO/Case/Order” e “RDS/Case (richiesta informazioni)”.

A conferma della lacunosità della policy di data retention sopra menzionata, rileva altresì la circostanza –accertata nel corso delle attività ispettive– che Hera Comm S.p.A. non dispone di tempistiche specifiche in ordine alla conservazione dei dati degli interessati rispetto ai quali sia stato accolto un reclamo per attivazione non richiesta, applicando agli stessi il termine decennale genericamente previsto per i trattamenti dei dati della clientela (v. verbale del 17 aprile 2023, pag. 7).

Al riguardo, merita invero evidenziare che l’art. 5, par. 1, lett. e) del Regolamento prevede che i dati personali devono essere conservati in modo da consentire l’identificazione dell’interessato per un arco di tempo non superiore a quello necessario a conseguire le finalità del trattamento.

Il principio di limitazione della conservazione, infatti, impone al titolare l’onere di valutare la durata del trattamento in necessaria correlazione con le specifiche finalità prefissate a monte all’atto della raccolta; ciò al fine di “assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario” (v. cons. 39 del Regolamento).

Trattasi, invero, dell’obbligo del titolare di garantire una “corretta” durata del trattamento che, in caso contrario, potrebbe protrarsi oltre il raggiungimento delle specifiche finalità dello stesso con impatto sui principi di liceità, correttezza e trasparenza (art. 5 del Regolamento).

Alla luce di quanto supra rilevato, ne consegue che i trattamenti posti in essere da Hera Comm S.p.A. appaiono in contrasto con il principio di limitazione della conservazione in considerazione della accertata mancata previsione di tempistiche di conservazione dei dati personali registrati nel CRM Siebel, nonché dell’inadeguatezza della policy di data retention prevista per il sistema Salesforce.

Tale inadeguatezza permane in ragione della mancata riformulazione, da parte della Società, della policy di data retention a fronte dei rilievi sollevati nell’atto di contestazione.

Tutto ciò considerato che la stessa si è limitata, a seguito della notifica di violazione, a introdurre la sola previsione riguardante il termine decennale di conservazione dei dati degli interessati rispetto ai quali è stato accolto un reclamo per attivazione non richiesta, decorrente dalla data di definizione dello stesso.

Da ultimo, nel corso degli accessi effettuati in loco, è emerso che i dati personali dei clienti, il cui contratto è cessato a seguito di reclamo per attivazione non richiesta, sono risultati presenti nel CRM di Hera Comm S.p.A., senza l’introduzione di alcuna misura, quale la segregazione fisica e logica delle predette informazioni, volta a garantire la limitazione del relativo trattamento al fine di distinguerli da quelli oggetto delle attività di ordinaria gestione della clientela (art. 5, par. 1, lett. b) e par. 2; art. 24 del Regolamento).

La Società, inoltre, non ha fornito evidenze in ordine all’implementazione di un sistema idoneo a prevedere, nelle more della definizione di un reclamo per contratto non richiesto, la tempestiva limitazione, in attesa di successivi controlli, di ogni ulteriore e diversa attività di trattamento dei dati dei clienti al fine di sospendere in via precauzionale eventuali trattamenti illeciti dei predetti dati (ad es. l’accesso da parte di personale interno o esterno abilitato ad operare sul CRM per finalità di ordinaria gestione della clientela); misura quest’ultima peraltro già espressamente indicata dal Garante nei sopra citati provvedimenti dell’11 dicembre 2019, del 28 settembre 2023 e del 12 ottobre 2023.

Dall’esame della documentazione acquisita è stato in particolare constatato che, dal 1° gennaio 2021 alla data del 30 aprile 2023, il numero di interessati rispetto ai quali non sono state previste le predette misure di segregazione dei relativi dati personali è stato di 2309 (v. verbale del 18 aprile 2023, All. 7 e nota del 10 novembre 2023, All. 1, documenti da cui risultano complessivamente 713 “Reclami” e 1596 “Non Conformità”).

Da ultimo, con specifico riferimento alle modalità introdotte dalla Società, a seguito della notifica della violazione, per implementare le sopra menzionate misure di limitazione dei dati (v. supra, par. 3, lett. h) della presente decisione), si osserva che le stesse non appaiono del tutto idonee a conformare le attività di trattamento in questione al Regolamento.

Si fa in particolar modo riferimento alle informazioni degli interessati rispetto ai quali è stato accolto un reclamo per attivazione non richiesta e che, in base a quanto introdotto di recente dalla Società, non vengono tempestivamente archiviate in un sistema separato dal CRM, ma restano invece ivi disponibili per la durata di due anni (v. nota del 26 gennaio 2024, pagg. 21-22).

Al riguardo merita di contro evidenziare che il titolare, con riferimento a tali informazioni −inerenti ad interessati i cui dati erano stati illecitamente trattati ab origine dall’agente− è tenuto ad assicurare un’effettiva segregazione logica e fisica (i dati, ovvero, devono essere immediatamente contrassegnati e trasferiti in un altro sistema).

5. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Alla luce di quanto complessivamente rilevato, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria, non consentano di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultino pertanto inidonee a disporre l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato da Hera Comm S.p.A., nell’ambito delle attività di contrattualizzazione dei clienti per il tramite delle agenzie door to door, risulta infatti illecito, nei termini su esposti, in quanto posto in essere in violazione dell’art. 5, par. 1, lett. a), b), d), e) ed f), e par. 2; dell’art. 12, par. 3; dell’art. 15; dell’art. 24; dell’art. 28 e dell’art. 32 del Regolamento.

La violazione delle disposizioni sopra richiamate comporta l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 4, lett. a) e par. 5, lett. a) e b) del Regolamento.

Per quanto concerne l’esercizio dei poteri correttivi di cui all’art. 58, par. 2, del Regolamento, si prende atto della circostanza che Hera Comm S.p.A., nel corso del procedimento, ha provveduto ad adottare alcune prime misure volte ad allineare, in conformità al quadro normativo sopra descritto, il trattamento dei dati dei clienti al Regolamento come dettagliatamente riportate nella presente decisione (v. supra, par. par. 3, lettere b), c), f), g) e k) della presente decisione).

Si tiene conto altresì delle dichiarazioni rese da Hera Comm S.p.A., nell’ambito delle memorie difensive, in ordine alla prossima adozione di alcune misure rispetto alle quali sono in corso valutazioni di fattibilità anche di natura tecnica (v. par. 3, lettere d) e i) della presente decisione).

Tenuto pertanto conto di quanto sopra indicato e ferme restando le summenzionate azioni già avviate dalla Società, si ritiene ad ogni modo necessario, alla luce delle ulteriori criticità rilevate a carico del titolare del trattamento, ingiungere allo stesso, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, le seguenti misure correttive:

a) in merito alle sopra menzionate misure in corso di adozione da parte della Società (v. par. 3, lettere d) e i) della presente decisione), dare conferma della loro definitiva implementazione, fornendo al riguardo un riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice;

b) con riferimento all’App introdotta ai fini dell’acquisizione dell’immagine della documentazione contrattuale da parte degli agenti, adottare misure volte a prevenire illeciti utilizzi della stessa, quali, ad esempio, la previsione che l’App sia scaricabile esclusivamente dagli store ufficiali, che possa essere installata solo sul device univocamente associato all’agente (ad esempio mediante l’invio di un PIN di conferma), e che la stessa sia utilizzabile per il tramite di un device alla volta. La Società deve inoltre effettuare periodiche verifiche nell’ottica di monitorare eventuali usi anomali di tale applicazione (es. eccessivi caricamenti da parte di alcuni agenti rispetto alla media; utilizzo dell’App in orari non convenzionali; accesso simultaneo dallo stesso account; ecc.);

c) valutare l’opportunità di mantenere, nell’ambito delle istruzioni impartite da Hera Comm S.p.A. ai propri agenti porta a porta, l’indicazione della facoltà di acquisire l’immagine del documento di riconoscimento del cliente sul proprio dispositivo personale e non per il tramite dell’App a tal fine deputata (v. nota del 26 gennaio 2024, pag. 8). Al riguardo, qualora la Società ritenga di confermare la predetta indicazione, si ritiene necessario che le relative istruzioni specifichino al loro interno la natura eccezionale di tale procedura (esemplificando le limitate casistiche in cui è possibile farvi ricorso). La Società inoltre dovrebbe adottare un sistema di verifiche periodiche volte a valutare l’effettivo impiego in via residuale della stessa rispetto all’App, nonché introdurre misure atte specificatamente a prevenire eventuali utilizzi fraudolenti (quali ad es. l’uso di software BYOD MDM), da parte degli agenti porta a porta, del documento di riconoscimento del cliente così acquisito;

d) adottare un sistema di quality call bloccante (ossia tale da interrompere la prosecuzione del processo di contrattualizzazione) in tutti i casi in cui il cliente non abbia risposto ai tentativi di chiamata effettuati dalla Società (c.d. esito “not found” della chiamata di verifica);

e) prevedere regole procedurali in relazione alle quali, a fronte della ricezione di volumi anomali di proposte contrattuali, disconoscimenti, reclami per attivazione non richieste relative a contratti procacciati da un’agenzia, sia previsto lo svolgimento, da parte di Hera Comm S.p.A., di specifiche attività di verifica sulla generalità delle operazioni di contrattualizzazione poste in essere dalla predetta agenzia (ad esempio mediante l’esame delle proposte caricate dagli stessi agenti e/o dalla medesima agenzia interessata dal reclamo nel medesimo periodo di riferimento, nonché attraverso lo svolgimento di un’attività di caring nei confronti degli altri clienti procacciati dai medesimi agenti rispetto ai quali erano state evidenziate irregolarità). Tutto ciò al fine di disporre di strumenti in grado di contribuire ad assicurare l’esattezza dei dati personali acquisiti nell’ambito delle predette proposte contrattuali, a prescindere dalla presentazione di un reclamo o di una segnalazione da parte degli interessati. La soglia di anomalia volta a determinare l’avvio della sopra descritta attività di controllo, potrebbe essere individuata tenendo conto, ad esempio, della media del numero di proposte procacciate dalle singole agenzie e della media dei reclami/disconoscimenti della medesima natura ricevuti semestralmente dalla Società. La predetta attività potrebbe essere svolta a campione o comunque con modalità poco invasive per il cliente (ad esempio, mediante un avviso posto sulla bolletta);

f) individuare adeguate tempistiche di conservazione dei dati della clientela, distinte per categorie di dati e per specifiche finalità dei trattamenti posti in essere; ciò in linea con il principio di limitazione della conservazione sancito dall’art. 5, par. 1, lett. e) del Regolamento;

g) eliminare dallo script della quality call il riferimento, nell’ambito della fase di “privacy check”, alla c.d. procedura di sanatoria che consente alla Società, ove emerga una presunta non conformità da parte dell’agente, di acquisire, nel corso della medesima chiamata, comunque la sua volontà a contrarre con Hera Comm S.p.A.;

h) con riferimento al trattamento dei dati dei clienti rispetto ai quali, all’esito delle diverse verifiche preventive sopra descritte, appaia opportuno in via precauzionale interrompere la procedura di contrattualizzazione o rispetto ai quali sia stato accolto un reclamo per attivazione non richiesta, implementare un sistema che preveda la tempestiva limitazione di ogni ulteriore attività di trattamento dei dati medesimi; ciò adottando misure adeguate a garantire l’immediata segregazione dei suddetti dati rispetto a quelli trattati nell’ambito delle attività di ordinaria gestione della clientela. Tale misura, come già rappresentato (v. supra, par. 4.5. della presente decisione), non può essere efficacemente realizzata con le modalità proposte da Hera Comm S.p.A., richiedendo che l’oscuramento dei dati e la segregazione logica e fisica degli stessi avvenga immediatamente e non, come previsto dalla Società, a seguito del decorso di due anni (i dati, ovvero, devono essere immediatamente contrassegnati e trasferiti in un altro sistema);

i) prevedere audit periodici per la valutazione dell’operato delle agenzie incaricate, ai sensi dell'art. 28 del Regolamento, ad effettuare il trattamento dei dati dei clienti per finalità di contrattualizzazione.

Da ultimo, con riferimento ai dati personali inerenti ai 2309 clienti come individuati al par. 4.5. della presente decisione, si dispone ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, la limitazione definitiva di ogni ulteriore attività di trattamento degli stessi diversa da quella inerente alla sopra menzionata segregazione delle predette informazioni.

La suddetta prescrizione si rende necessaria anche in relazione ai dati personali dei clienti contenuti nelle eventuali ulteriori proposte contrattuali acquisite tramite il canale porta porta nel periodo ricompreso tra il 1° maggio 2023 e la data di notifica della presente decisione rispetto alle quali sia stato nel frattempo presentato un reclamo per attivazione non richiesta e lo stesso sia stato accolto con conseguenziale cessazione del relativo contratto.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83 del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali posto in essere da Hera Comm S.p.A., di cui è stata accertata l’illiceità, nei termini sopra esposti.

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nell’ipotesi in esame, sono state tenute in considerazione le circostanze sotto riportate:

la rilevante gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento), in relazione alla natura (concernente l’inosservanza dei principi del trattamento di cui all’art. 5 del Regolamento), alle modalità (la pluralità di condotte illecite ripetute nel tempo) e alla durata della stessa (circa due anni). Si considerano altresì rilevanti, a tal fine, le caratteristiche del trattamento in termini di finalità e ampia portata dello stesso, nonché di elevato numero di interessati coinvolti e di tipologia di danno da questi subito. Tutto ciò ravvisato che: le operazioni oggetto di contestazione sono state poste in essere al fine di concludere contratti di somministrazione di energia nel libero mercato, attività economica che rientra nel core business del titolare; le condotte illecite accertate hanno riguardato 2309 interessati; le criticità riscontrate in materia di protezione dei dati fanno riferimento ai processi e alle politiche implementate dal titolare per lo svolgimento delle operazioni di contrattualizzazione dei clienti tramite il canale agenzia, evidenziando carenze e inadeguatezze di carattere sistemico dei predetti processi e non potendo essere pertanto riferite a sporadici episodi di disallineamento degli stessi; le violazioni accertate hanno determinato a carico dei potenziali clienti sopra indicati, oltre a pregiudizi direttamente connessi al furto d’identità da questi subito, anche la conclusione a loro insaputa di contratti non richiesti nel mercato libero dell’energia (unitamente all’attivazione di polizze assicurative correlate agli stessi) con conseguente necessità per gli stessi di farsi carico dei relativi oneri amministrativi connessi all’instaurazione delle azioni (giudiziarie e/o amministrative) previste in tali casi a tutela del consumatore;

il comportamento significativamente negligente e il rilevante grado di responsabilità del titolare in ordine alle misure tecniche e organizzative messe in atto (art. 83, par. 2, lett. b) e lett. d) del Regolamento); ciò con specifico riferimento all’inadeguatezza delle politiche di protezione dei dati attuate da Hera Comm S.p.A. nel settore oggetto di attenzione ed esplicitate nel dettaglio ai paragrafi 4.1.-4.5. della presente decisione, nonché alla luce delle indicazioni già da tempo fornite dal Garante in ordine alle modalità organizzative e gestionali che un titolare del trattamento, operante quale fornitore di energia nel mercato libero, deve implementare, all’atto dell’acquisizione di nuovi clienti, per conformarsi al Regolamento (v. provvedimenti dell’11 dicembre 2019, del 28 settembre 2023 e del 12 ottobre 2023, cit.);

l’adozione, da parte del titolare, di misure atte a mitigare o a eliminare le conseguenze della violazione (art. 83, par. 2, lett. c) del Regolamento). Al riguardo va positivamente considerata la circostanza che Hera Comm S.p.A. abbia tempestivamente adottato, una volta avuta contezza delle violazioni, alcune prime misure per attenuare gli effetti dell’illecito trattamento; misure che, per quanto solo parzialmente sufficienti ad eliminare i rischi, possono essere ritenute ragionevoli;

la circostanza che la Società abbia attivamente cooperato con l’Autorità nel corso del procedimento (art. 83, par. 2, lett. f) del Regolamento);

il fatto che non risultino precedenti violazioni commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e) del Regolamento);

altri fattori attenuanti (art. 83, par. 2, lett. k) del Regolamento). A tal fine rileva, rispetto alla violazione accertata al par. 4.4. della presente decisione, che il tardivo riscontro fornito, dalla Società, all’istanza di esercizio dei diritti datata 3 gennaio 2023, è dipeso prevalentemente “da un disguido tecnico sui sistemi che ha impedito il passaggio del reclamo sulla piattaforma Score, deputata alla gestione di questa tipologia di richieste” (v. nota del 26 gennaio 2024, pag. 7). Si tiene conto altresì della circostanza che l’inadeguatezza dei riscontri forniti nelle fattispecie oggetto di reclamo appaiono, come sostenuto dalla Società, dei casi isolati rispetto alla totalità delle pratiche complessivamente gestite da quest’ultima (cfr. par. 4.4. della presente decisione).

Si ritiene inoltre che assumano rilevanza nell’ipotesi di specie, in ragione dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), le condizioni economiche del contravventore, determinate in base al volume d’affari della Società, di cui al bilancio d’esercizio per l’anno 2023 (ultimo disponibile). Al riguardo si rappresenta che, in ragione della natura dei trattamenti oggetto di reclamo, è stato preso in considerazione a tal fine esclusivamente il volume d’affari inerente alla vendita di energia elettrica e gas.

Da ultimo, si tiene conto dei costi che la Società è tenuta ad affrontare per adempiere alle prescrizioni di cui al punto 5 della predetta decisione, nonché dell’entità delle sanzioni irrogate dal Garante in casi analoghi.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Hera Comm S.p.A. la sanzione amministrativa del pagamento di una somma pari ad euro 5.000.000,00 (cinquemilioni/00).

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante. Ciò in considerazione della tipologia delle violazioni accertate che hanno interessato i principi generali del trattamento, in particolare i principi di liceità, correttezza, trasparenza, esattezza ed accountability. Si tiene conto, altresì, a tal fine del rilevante pregiudizio subito dagli interessati a seguito della conclusione di contratti non richiesti nel mercato libero dell’energia (spesso unitamente all’attivazione di polizze assicurative correlate agli stessi) con conseguente necessità per gli stessi di farsi carico di tutti gli oneri amministrativi anche connessi all’instaurazione delle azioni giudiziarie e/o amministrative previste in tali casi a propria tutela.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

a) ai sensi degli artt. 57, par. 1, lett. f) e 83, del Regolamento, rileva l’illiceità del trattamento effettuato da Hera Comm S.p.A., con sede in Imola (BO), p. iva n. 02221101203 nei termini di cui in motivazione, per la violazione dell’art. 5, par. 1, lett. a), b), d), e) ed f), e par. 2; dell’art. 12, par. 3; dell’art. 15; dell’art. 24; dell’art. 28 e dell’art. 32 del Regolamento;

b) ai sensi dell'art. 58, par. 2, lett. d) del Regolamento ingiunge alla summenzionata Società di conformarsi, entro tre mesi dalla data della notifica del presente provvedimento, alle prescrizioni formulate al par. 5, lett. a) della presente decisione, richiedendo al contempo alla stessa di fornire, entro il predetto termine, un riscontro adeguatamente documentato ai sensi dell'art. 157 del Codice; l’eventuale mancato riscontro può comportare l'applicazione della sanzione amministrativa pecuniaria prevista dall'art. 83, par. 5, lett. e) del Regolamento;

c) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento ingiunge alla summenzionata Società di conformarsi, entro nove mesi dalla data della notifica del presente provvedimento, alle prescrizioni formulate al par. 5, lettere da b) a i) della presente decisione, richiedendo al contempo alla stessa di comunicare quali iniziative intende intraprendere al fine di dare attuazione a quanto disposto e di fornire, entro il predetto termine, un riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. e) del Regolamento;

d) ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, dispone, nei confronti di Hera Comm S.p.A., la limitazione definitiva di ogni ulteriore attività di trattamento dei dati dei clienti come individuati al par. 5 della presente decisione e nei termini ivi previsti;

e) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

ORDINA

a) ai sensi dell’art. 58, par. 2, lett. i) del Regolamento alla medesima Hera Comm S.p.A., di pagare la somma di euro 5.000.000,00 (cinquemilioni/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento.

INGIUNGE

b) quindi a Hera Comm S.p.A. di pagare la predetta somma di euro 5.000.000,00 (cinquemilioni/00), secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall'art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento -sempre secondo le modalità indicate in allegato- di un importo pari alla metà della sanzione irrogata entro il termine di cui all'art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

c) la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 17 luglio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei