[doc. web n. 10085707]

Parere sullo schema di deliberazione dell’Autorità di regolazione per energia reti e ambiente – ARERA recante “Messa a disposizione dei dati di misurazione dell’energia elettrica e del gas naturale dei clienti finali alle parti terze da essi autorizzate e aggiornamento dell’area privata del Portale consumi” - 14 novembre 2024

Registro dei provvedimenti
n. 695 del 14 novembre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il d.lgs. 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali” (di seguito, Codice);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

L’Autorità di regolazione per energia reti e ambiente (di seguito, ARERA), con nota del 30 aprile 2024, ha trasmesso al Garante la deliberazione 23 aprile 2024, n. 158/2024/R/com, con cui ha dato avvio al procedimento per le definizione delle regole per la messa a disposizione dei dati di immissione e prelievo dell’energia elettrica e del gas naturale, in favore delle terze parti autorizzate dai clienti finali, nonché delle prime modalità attuative dell’elenco delle terze parti e del registro degli accessi, prevedendo, tra le altre cose, che tale procedimento si concluda entro il 30 novembre 2024.

A seguito dello svolgimento di apposita consultazione pubblica, disposta dall’ARERA con delibera del 23 luglio 2024, n. 316/2024/R/com, nonché di numerose interlocuzioni con l’Ufficio del Garante (avvenute sia prima che dopo la predetta consultazione), la menzionata Autorità ha sottoposto al Garante, con note del 15 ottobre e 5 novembre 2024, lo schema di deliberazione recante “Messa a disposizione dei dati di misurazione dell’energia elettrica e del gas naturale dei clienti finali alle parti terze da essi autorizzate e aggiornamento dell’area privata del Portale consumi”, comprensiva di due allegati (che ne costituiscono parte integrante) e attuativa dell’art. 9, commi 3, lett. d), e 3-bis, del d.lgs. 4 luglio 2014, n. 102, al fine di acquisirne il parere di competenza.

1. Il quadro normativo

L’art. 1-bis del d.l. 8 luglio 2010, n. 105, convertito, con modificazioni, dalla l. 13 agosto 2010, n. 129, ha istituito presso l'Acquirente unico S.p.A. (di seguito, Gestore) il Sistema informativo integrato per la gestione dei flussi informativi relativi ai mercati dell'energia elettrica e del gas, basato su una banca dati dei punti di prelievo e dei dati identificativi dei clienti finali (di seguito, SII), rimettendo all’ARERA il compito di emanare i criteri generali sul funzionamento del sistema medesimo.

Il SII è stato successivamente arricchito di funzionalità da parte del legislatore, che, dopo avervi ricompreso anche i dati sulle misure dei consumi di energia elettrica e di gas (cfr. art. 22 del d.l. 24 gennaio 2012, n. 1, convertito, con modificazioni, dalla l. 24 marzo 2012, n. 27), ha previsto l’introduzione di un’interfaccia che permettesse ai clienti finali di accedere ai dati riguardanti i propri consumi (cfr. art. 1, comma 8, della l. 27 dicembre 2017, n. 205).

A quest’ultimo riguardo, l’ARERA, mediante la deliberazione del 25 giugno 2019, n. 270/2019/R/com – su cui il Garante si è pronunciato con provv. n. 131 del 20 giugno 2019 (disponibile sul sito istituzionale www.garanteprivacy.it, doc. web n. 9123551) – ha approvato il regolamento che disciplina la realizzazione, all’interno del SII, del “Portale dei consumi” (di seguito, Portale).

Il legislatore, con il d.lgs. 4 luglio 2014, n. 102, nel dare attuazione ad apposita regolazione di matrice europea, ha inoltre introdotto forme di accessibilità, da parte di soggetti terzi, ai dati riferiti ai clienti finali contenuti nel SII (cfr. art. 9).

A questo proposito, la l. 30 dicembre 2023, n. 214, ha, da ultimo, modificato il menzionato art. 9 del d.lgs. 102/2014, stabilendo che:

a) l’ARERA definisca le modalità attraverso le quali, “nel caso dell'energia elettrica e del gas naturale, su richiesta del cliente finale, l'Acquirente Unico S.p.A., in qualità di gestore del Sistema informatico integrato di cui all'articolo 1-bis del decreto-legge 8 luglio 2010, n. 105, convertito, con modificazioni, dalla legge 13 agosto 2010, n. 129, per il tramite del Portale dei consumi di energia elettrica e di gas naturale istituito ai sensi dell'articolo 1, comma 8, della legge 27 dicembre 2017, n. 205, metta i dati del contatore di fornitura relativi all'immissione e al prelievo di energia elettrica e al prelievo del gas naturale a disposizione del medesimo cliente finale o, su sua richiesta formale, a disposizione di un soggetto terzo univocamente designato, nel rispetto della normativa in materia di protezione dei dati personali, in un formato facilmente comprensibile che possa essere utilizzato per confrontare offerte comparabili ovvero per l'erogazione di servizi da parte dei predetti soggetti terzi” (art. 9, comma 3, lett. d), del d.lgs. 102/2014);

b) “È istituito presso l'Acquirente Unico S.p.A. un registro informatico recante l'elencazione dei soggetti terzi che accedono ai dati del cliente finale ai sensi del comma 3, lettera d). Il registro di cui al primo periodo garantisce a titolo gratuito la messa a disposizione dei clienti finali di ciascuna informazione concernente gli accessi ai dati da parte dei soggetti terzi, comprese la cronologia di tali accessi e la tipologia di dati consultati […]” (art. 9, comma 3-bis, del d.lgs. 102/2014).

2. Lo schema di deliberazione

Lo schema sottoposto all’esame del Garante prevede l’approvazione della “Disciplina relativa all’accesso di terze parti autorizzate ai dati di misura di energia elettrica e gas naturale” (allegato A) e del nuovo “Regolamento di funzionamento del portale consumi di cui all’articolo 1, comma 8, della legge 205/2017” (allegato B, sostitutivo del precedente del 2019), nonché, tra le altre cose, demanda al Gestore, “affinché possa prevedere, in qualità di autonomo titolare dei dati personali presenti sul SII e sul Portale Consumi, [la] definizione delle specifiche tecniche necessarie all’implementazione di quanto previsto dal presente provvedimento”.

In particolare, viene previsto che il cliente finale possa mettere a disposizione delle terze parti i propri dati di misura esclusivamente per le sole finalità di confronto di offerte comparabili e di erogazione di servizi connessi all’energia, indicando quale delle due con riferimento a ciascuna richiesta di autorizzazione (art. 2 all. A).

Le terze parti a cui il cliente finale può conferire l’autorizzazione all’accesso, previa richiesta di iscrizione ad apposito elenco, sono le imprese di vendita (allo stato già accreditate al SII), nonché ulteriori soggetti che forniscono servizi connessi alle summenzionate finalità – previo accreditamento al SII – e che appartengono a categorie selezionate (quali, ad esempio, società di servizi energetici, comunità energetiche, associazioni di consumatori o di imprese) e siano già identificati presso GSE, Terna, CNCU o CNEL, rimandando a successive valutazioni l’ammissibilità, tra quelli autorizzabili, di soggetti che tipicamente operano al di fuori del contesto energetico e non risultano iscritti in elenchi identificativi (artt. 3 e 4 all. A).

Le tipologie di dati personali oggetto di messa a disposizione delle terze parti comprendono, oltre al POD/PDR della fornitura, solo i dati effettivi direttamente rilevati dagli strumenti di misura (incluso il dato della potenza massima assorbita), validati dalle imprese di distribuzione e disponibili nell’ambito del SII, con l’indicazione della data di rilevazione e della tipologia del dato, escludendo, quindi, dati diversi dalle mere misurazioni, loro elaborazioni e dati propri del contratto (pp. 15 e 16 della deliberazione, art. 6-bis all. B).

Per quanto concerne il periodo di riferimento nel quale i dati sono messi a disposizione delle terze parti, vengono distinti due casi (art. 6-bis all. B): nel caso di autorizzazione concessa per la finalità del confronto di offerte comparabili, tale periodo è compreso tra la data di autorizzazione e i dodici o ventiquattro mesi precedenti, se disponibili, su indicazione del cliente finale; nel caso di autorizzazione concessa per la finalità del confronto di erogazione di servizi energetici, tale periodo è compreso tra dodici mesi precedenti dal primo giorno del mese successivo alla data di autorizzazione, se disponibili, e, secondo indicazioni da parte del cliente, al più ventiquattro mesi dal primo giorno del mese successivo alla data di autorizzazione; la cessazione della messa a disposizione dei dati di misura avviene al raggiungimento del primo termine fra la fine del periodo di riferimento, la data della fine di validità dell’autorizzazione o la data dell’eventuale revoca dell’autorizzazione da parte del cliente.

Nel processo di autorizzazione di ciascuna terza parte da parte del cliente finale – che accede alla propria area privata del Portale previa autenticazione tramite SPID o CIEId di livello 2 – è previsto che:

- i soggetti che intendono essere autorizzati, dopo essere stati iscritti in un apposito elenco, presentino, nell’ambito del SII, la richiesta di autorizzazione alla messa a disposizione dei dati di misura di un cliente finale, indicando codice POD/PDR della fornitura di energia elettrica/gas naturale di cui è titolare il cliente, codice fiscale/partita IVA del cliente, dichiarazione in merito all’esistenza di un contratto/accordo con il cliente finale (che è esterno e preliminare), verificabile su richiesta – comprensiva dell’informativa resa a quest’ultimo, in sede di accordo, in ordine ai trattamenti effettuati per le finalità di cui alla disciplina in esame – e finalità di utilizzo dei dati (comparazione delle offerte commerciali e/o erogazione di servizi connessi all’energia) (art. 5 all. A);

- successivamente, il Gestore, accertata la coerenza delle informazioni riportate, comunichi tale esito alla terza parte richiedente e generi una richiesta di autorizzazione nell’area privata del Portale del corrispondente cliente finale (artt. 6.1 e 6.2 all. A);

- nel caso di cliente finale persona fisica (identificato da codice fiscale, quindi che si tratti di privato cittadino o anche di professionista o imprenditore individuale), l’autorizzazione sia confermata da quest’ultimo entro 3 giorni lavorativi, spirati i quali la richiesta di autorizzazione è cancellata, prevedendo altresì che, qualora vengano formulate da terze parti altre richieste di autorizzazione mentre ve ne sia già una attiva, le altre richieste siano rese visibili al cliente, nella sua area privata, solo quando la prima richiesta sarà stata o confermata o annullata, e comunque una alla volta in ordine di formulazione (artt. 6.3 e 6.4 all. A);

- insieme all’autorizzazione, siano trasmessi alla terza parte anche indicazioni, fornite dallo stesso cliente, in merito alla finalità di utilizzo dei dati di misura, al periodo di riferimento dei dati di misura e dei termini temporali di validità dell’autorizzazione (art. 7 all. A);

Al termine del periodo di efficacia dell’autorizzazione, o alla sua revoca da parte del cliente finale, alla terza parte, all’uopo informata dal Gestore, vengono impediti ulteriori accessi ai dati estratti e fino ad allora messi a disposizione, mentre, con riferimento ai dati precedentemente scaricati, la stessa procede alla loro cancellazione affinché non siano effettuati ulteriori trattamenti; la terza parte risponde del relativo trattamento illecito secondo quanto previsto dalla normativa in materia di trattamento dei dati personali (art. 8 all. A).

È inoltre previsto che il Gestore del SII svolga attività di controllo e monitoraggio sui requisiti delle terze parti verificati in fase di accreditamento (anche al fine di individuare tempestivamente casi di utilizzo improprio delle credenziali di accesso), sulle richieste di autorizzazione (incluse quelle non accettate e quelle revocate, anche al fine di individuare e bloccare tempestivamente eventuali richieste anomale, massive o ripetute) e sul registro informatico degli accessi (anche al fine di individuare eventuali accessi ai dati irregolari o impropri); ciò per consentire al Gestore di porre in essere tutti gli interventi necessari (come la sospensione o la rimozione della terza parte o l’inibizione all’operatività) (art. 9 all. A).

Infine, nella propria area privata del Portale, il cliente finale, oltre ad accedere direttamente ai dati delle proprie forniture di energia, potrà anche gestire le autorizzazioni (e le relative revoche) alla messa a disposizione dei propri dati rilasciate nei confronti delle terze parti (art. 4-bis all. B).

OSSERVA

A partire dall’invio della deliberazione 158/2024/R/com, tra gli Uffici delle due Autorità si è instaurato un confronto volto a prevedere, nei trattamenti in questione, le garanzie necessarie per assicurare la conformità alla disciplina in materia di protezione dei dati personali.

Ciò nella consapevolezza dei rischi elevati connessi all’introduzione di un meccanismo attraverso cui i clienti finali possono consentire, a una potenzialmente vasta platea di terze parti, di accedere alle informazioni relative ai propri consumi energetici.

Rischi che, prima di tutto, attengono all’esigenza di una reale consapevolezza degli interessati in merito alle scelte (e alle relative conseguenze) circa la messa a disposizione di terzi di informazioni che concernono le proprie abitudini energetiche, nonché alla necessità di assicurare, nei fatti, che gli accessi siano limitati ai soli soggetti (e relativi operatori) e per le sole finalità per i quali è stata espressa una specifica volontà, mitigando, dunque, le eventualità che si pongano in essere trattamenti non autorizzati.

In questo quadro, al fine di rendere conformi alla normativa in materia di protezione dei dati personali i trattamenti in esame, in ossequio al principio di privacy by design e by default (art. 25 del Regolamento), lo schema di deliberazione e i relativi allegati tengono conto delle indicazioni fornite dall’Ufficio nel corso delle menzionate interlocuzioni, avendo individuato misure affinché, in particolare:

- l’autorizzazione per la messa a disposizione dei dati personali sia conferita dal cliente finale esclusivamente per le sole finalità determinate, esplicite e legittime (le due tipologie di servizi individuate) previste dalla normativa cui si sta dando attuazione – nonché per un limite temporale scelti dallo stesso – e il Gestore possa verificare presso la terza parte la corrispondenza tra autorizzazione rilasciata e accordo preliminare che ne dovrebbe stare alla base, nel rispetto dei principi di liceità, correttezza e trasparenza e di limitazione della finalità (art. 5, par. 1, lett. a) e b), del Regolamento); quindi una volta scaduta o revocata l’autorizzazione, i dati acquisiti dal SII nel modo ivi descritto dovranno essere cancellati da parte delle medesime terze parti, e gli ulteriori dati non potranno essere più accessibili, nel rispetto del principio di limitazione della conservazione (art. 5, par. 1, lett. e), del Regolamento). Ciò per assicurare che le terze parti, tramite il meccanismo disciplinato dallo schema di deliberazione in esame, possano effettuare, a mezzo dei dati personali acquisiti dal SII, i soli trattamenti necessari per il perseguimento delle predette finalità, senza, dunque, porre in essere trattamenti ulteriori per le medesime finalità (ad esempio, ulteriori comparazioni al di fuori del perimetro temporale dell’autorizzazione) né, tantomeno, per ulteriori e diverse finalità (come il marketing o la profilazione); eventuali trattamenti che, in quanto diversi da quelli ammessi dalla disciplina normativa in esame, dovrebbero essere fondati su autonome e idonee condizioni di liceità (tra quelle previste dall’art. 6 del Regolamento), previa la somministrazione di informazioni adeguate agli interessati (ai sensi degli artt. 12 e 13 del Regolamento), in ogni caso al di fuori dei processi che con lo schema di deliberazione in esame si stanno strutturando;

- siano individuate e rese evidenti agli interessati le categorie di soggetti cui i dati potranno essere messi a disposizione in base alle finalità specificamente perseguite e alle tipologie di servizi offerti, limitando l’ambito di applicazione del procedimento alle sole finalità di confronto di offerte comparabili e di erogazione di servizi energetici ed evitando, allo stato, di consentire l’accesso a categorie di soggetti esterni al settore energetico, nel rispetto dei principi di proporzionalità, di liceità, correttezza e trasparenza, di limitazione della finalità e di minimizzazione dei dati (art. 5, par. 1, lett. a), b) e c), e art. 6, par. 3, del Regolamento);

- le tipologie di dati personali che potranno essere messi a disposizione delle terze parti siano effettivamente limitate a quelle necessarie al perseguimento delle finalità esplicitate, anche con riferimento alla profondità temporale delle informazioni relative ai consumi storici, nel rispetto del principio di minimizzazione dei dati (art. 5, par. 1, lett. c), del Regolamento); in questa prospettiva, sono adottate anche misure tecniche che assicurano una rigorosa separazione con altre porzioni del Portale e, più in generale, del SII, non coinvolte nei processi in esame;

- agli interessati siano attribuiti poteri di controllo sugli accessi alle proprie informazioni e sulle autorizzazioni nei confronti delle terze parti, anche al fine di consentire loro di avere cognizione, gestire e revocare le medesime autorizzazioni, nel rispetto dei principi di liceità, correttezza e trasparenza e di integrità e riservatezza, degli obblighi di sicurezza e con l’obiettivo di assicurare l’esercizio dei diritti (art. 5, par. 1, lett. a) e f), artt. 12 e ss. e art. 32 del Regolamento); in questo ambito, gli interessati vengono adeguatamente informati dal Gestore anche in merito ai trattamenti posti in essere per finalità di messa a disposizione dei dati di misura a terze parti previamente autorizzate;

- siano previsti strumenti di controllo da parte del Gestore, introducendo apposite verifiche periodiche e procedure di audit e monitoraggio al fine di prevenire possibili trattamenti non autorizzati, nel rispetto del principio di integrità e riservatezza e degli obblighi di sicurezza (art. 5, par. 1, lett. f), e art. 32 del Regolamento).

Inoltre, con riferimento alle modalità di autorizzazione, nello schema di deliberazione viene infine previsto che sia la terza parte (previa iscrizione nell’apposito elenco detenuto dal Gestore) a trasmettere una richiesta di conferma dell’autorizzazione al cliente finale (identificato tramite il codice fiscale), specificando le forniture e il periodo temporale per le quali tale conferma è richiesta; spetta poi al cliente confermare esplicitamente, nell’ambito della propria area privata del Portale, la volontà di concedere l’autorizzazione affinché il Gestore possa fornire alla predetta terza parte i dati di misura, selezionando la profondità temporale dei dati storici.

Al riguardo, pur ritenendo maggiormente garantista una diversa opzione basata sull’impulso del cliente finale – che avrebbe dovuto inviare sua sponte l’autorizzazione alla terza parte già individuata in sede di accordo preliminare – le misure introdotte da ARERA appaiono comunque contemperare adeguatamente le esigenze di protezione dei dati personali con quelle di semplificazione dei processi. In particolare, vengono previste le seguenti garanzie:

- la riduzione del rischio che l’autorizzazione venga rilasciata da persona diversa dal cliente finale, grazie all’accesso previo utilizzo di strumenti di autenticazione quali SPID e CIEId di livello 2;

- una maggiore consapevolezza del cliente persona fisica, introducendo la necessità di una conferma dell’autorizzazione rilasciata alla terza parte entro un periodo breve, pari a 3 giorni lavorativi, al termine del quale la richiesta di autorizzazione è cancellata; qualora vengano formulate da terze parti altre richieste di autorizzazione mentre ve ne sia già una attiva, le altre richieste saranno rese visibili al cliente medesimo, nella sua area privata, solo quando la prima richiesta sarà stata o confermata o annullata, e comunque una alla volta in ordine di formulazione.

RITENUTO

Lo schema di deliberazione rimette al Gestore “in qualità di autonomo titolare dei dati personali presenti sul SII e sul Portale Consumi, [la] definizione delle specifiche tecniche necessarie all’implementazione di quanto previsto dal presente provvedimento” (punto 4 del dispositivo); al riguardo, cfr. altresì l’art. 9.1 all. B, laddove stabilisce che “Il Gestore, in qualità di titolare del trattamento dei dati personali disponibili nel Portale Consumi, è tenuto a garantire il rispetto della normativa vigente in materia di protezione dei dati personali ai sensi dell’articolo 24 del GDPR”.

Ciò significa che il Gestore, nel rispetto del principio di accountability, è tenuto a individuare nel dettaglio e adottare le misure tecniche e organizzative necessarie per assicurare, in particolare, un adeguato livello di sicurezza dei trattamenti, ai sensi dell’art. 5, parr. 1, lett. f), e 2, e degli artt. 24, 25 e 32 del Regolamento, tenuto conto dei rischi elevati derivanti, in particolare, dall’ampia platea di terze parti – e dall’ancor più ampio numero di operatori posti sotto la loro autorità – che possono potenzialmente accedere ai dati personali contenuti nel SII; rischi connessi sia ad accessi non autorizzati che ad utilizzi dei dati personali (ancorché lecitamente acquisiti tramite il SII) al di fuori del perimetro dell’autorizzazione rilasciata dal cliente finale nell’ambito della disciplina in esame.

Pertanto, il Gestore, preliminarmente alla definizione delle specifiche tecniche richiamate dallo schema di deliberazione dell’ARERA, è tenuto a effettuare la valutazione di impatto sulla protezione dei dati ai sensi dell’art. 35 del Regolamento, al fine di rilevare i rischi connessi e individuare le misure adeguate per prevenirli, mitigarli e gestirli, fermi restando, all’esito di predetta valutazione, l’eventuale consultazione preventiva del Garante ai sensi dell’art. 36, par. 1, del medesimo Regolamento, nonché il potere dell’Autorità di effettuare verifiche con riguardo all’adozione delle garanzie a tutela dei diritti e delle libertà fondamentali delle persone fisiche.

In tale processo valutativo, il Gestore deve considerare, soprattutto, che se finora l’accesso al SII era limitato alle imprese di vendita di energia elettrica e/o di gas naturale (nonché ai distributori, i quali però non rientrano tra i soggetti autorizzabili ai sensi della disciplina in esame), a questo fine già accreditate e dotate di uno specifico profilo, con la deliberazione in esame l’accesso al SII verrà consentito anche a terze parti ad oggi non censite dal Gestore. Ciò significa che,  in capo alle terze parti autorizzabili – che diverranno autonomi titolari dei trattamenti effettuati al fine di fornire, ai clienti finali, servizi energetici e/o di comparazione di offerte – il Gestore dovrà creare appositi profili coerenti con le specifiche finalità, modalità e limiti dei trattamenti consentiti a tali soggetti, assicurando adeguati meccanismi di attribuzione e gestione delle utenze che ne garantiscano costantemente l’attualità e ne monitorino l’operatività e gli accessi al fine di mitigare i rischi di accessi non autorizzati.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 4, e 58, e par. 3, lett. b), del Regolamento, esprime parere favorevole sullo schema di deliberazione dell’Autorità di regolazione per energia reti e ambiente – ARERA recante “Messa a disposizione dei dati di misurazione dell’energia elettrica e del gas naturale dei clienti finali alle parti terze da essi autorizzate e aggiornamento dell’area privata del Portale consumi”, comprensiva di due allegati che ne costituiscono parte integrante, attuativa dell’art. 9, commi 3, lett. d), e 3-bis, del d.lgs. 4 luglio 2014, n. 102.

Roma, 14 novembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei