[doc. web n. 10086536]

Provvedimento del 13 novembre 2024

Registro dei provvedimenti
n. 672 del 13 novembre 2024

 
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;
RELATORE il prof. Pasquale Stanzione;

1.    L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1.    Premessa

Con atto del 6 maggio 2024 n. 54793 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente richiamato, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Illumia S.p.A., (di seguito “Illumia” o la “Società” o il “Titolare del trattamento”), in persona del legale rappresentante pro-tempore, con sede legale in Bologna (BO), Via de Carracci n. 69/2, P.IVA 02356770988.

Il procedimento trae origine da una istruttoria avviata dall’Autorità a seguito della ricezione di due separati atti di reclamo proposti nei confronti della Società in materia di trattamento di dati personali per finalità di telemarketing. 

Più in particolare, con reclamo n. 345203 l’interessato lamentava di essere stato contattato, in nome e per conto di Illumia, per finalità promozionali sulla propria utenza mobile, in assenza di un’idonea base giuridica e in costanza dell’iscrizione al Registro Pubblico delle Opposizioni (di seguito anche “RPO”).

Con reclamo n. 352673, invece, l’interessata rappresentava di essere stata contattata sull’utenza mobile del figlio, fornita abitualmente quale recapito di riferimento per la gestione delle forniture della propria abitazione, da un operatore che si era qualificato come “referente dell’ufficio commerciale” di Illumia. Nel corso del collo-quio telefonico, emergeva che l’interlocutore era già a conoscenza dell’avvenuta richiesta di cd. switch verso XX (di seguito anche “XX”) effettivamente sottoscritta dal-la reclamante in relazione alle proprie utenze luce e gas. Nella medesima occasione, l’operatore telefonico informava, altresì, la reclamante che le attivazioni stipulate con XX non sarebbero potute andare a buon fine e che pertanto si rendeva necessario concludere un nuovo contratto con Illumia. 

In entrambi i casi oggetto di doglianza, la numerazione chiamante non risultava iscritta al Registro degli operatori della comunicazione (di seguito “ROC”).

1.2.    Le richieste di informazioni formulate dall’Autorità

L’Ufficio, esaminati entrambi gli atti di reclamo, con due differenti richieste di informazioni formulate ai sensi dell’art. 157 del Codice, invitava Illumia a fornire le proprie osservazioni sull’accaduto e ad illustrare le misure adottate al fine di garan-tire che le attività di telemarketing e teleselling effettuate in nome e per conto della So-cietà, venissero svolte in ottemperanza alla normativa vigente in materia di prote-zione dei dati personali (cfr. Prot. nn. 33832 e 33842 del 18 marzo 2024).

Con due note di riscontro trasmesse in data 5 aprile 2024 (cfr. Prot. nn. 43333 e 43317 dell’8 aprile 2024), Illumia faceva preliminarmente presente che tutte le agenzie appartenenti alla propria rete di vendita, prima dell’inizio di ogni campagna commerciale, sono contrattualmente obbligate a sottoporre alla verifica presso la Fondazione Ugo Bordoni (di seguito anche “FUB”) le numerazioni che intendono contattare.

Con specifico riferimento alle doglianze riportate negli atti di reclamo, la Società dichiarava che i nominativi dei reclamanti non erano presenti sui sistemi informativi aziendali e che le numerazioni chiamanti indicate non rientravano tra quelle utilizzate dai propri partner commerciali, né risultavano essere state oggetto di altre segnalazioni. Inoltre, a seguito di apposite richieste inoltrate mediante posta elettronica certificata alle proprie agenzie, non erano emersi elementi che potevano collegare i contatti riportati nei reclami a Illumia. Per tali ragioni la Società aveva presentato denuncia-querela contro ignoti presso la Polizia Postale.

Con riguardo, invece, alle attività di teleselling, Illumia chiariva di avvalersi di agenzie operanti mediante il canale telefonico e web. Il processo di selezione delle agenzie è formalizzato in un “Disciplinare tecnico”, articolato nelle tre seguenti fasi:

- analisi preventiva mediante l’utilizzo di apposita check-list;

- sottoscrizione del contratto con la previsione di un periodo di prova della durata di sei mesi, volto a monitorare la produttività dell’agenzia;

- mappatura dell’agenzia e delle numerazioni utilizzate per realizzare le attività di telemarketing sui sistemi aziendali, ivi inclusi gli operatori dedicati alla commessa di Illumia e le eventuali sub-agenzie;

In aggiunta, dal 1° gennaio 2024, alle agenzie viene somministrata anche una “Check list GDPR”, allo scopo di verificare l’adozione di adeguati presidi in materia di protezione dei dati personali. Nel caso in cui dalla predetta verifica emergano difformità, all’agenzia viene concesso termine sino alla scadenza del periodo di prova per dimostrare le azioni di remediation eventualmente intraprese.

Illumia ha poi dichiarato di organizzare periodicamente webinar e sessioni formative in materia di
protezione dei dati personali e teleselling rivolti ai propri partner commerciali.

Con la conclusione del contratto, alle agenzie viene anche conferita la nomina a Responsabile del trattamento ex art. 28 del Regolamento, che prevede espressamente la preventiva comunicazione degli eventuali sub-responsabili al fine di provvedere alla loro identificazione e mappatura. In tale ultima evenienza il Responsabile è tenuto, altresì, a stipulare un apposito contratto con il sub-responsabile, con l’effetto di far ricadere anche su tale ultimo soggetto i medesimi obblighi assunti dal Respon-sabile del trattamento nei confronti del Titolare. 

Il contratto di agenzia prevede una clausola risolutiva espressa che consente a Illumia di risolvere il contratto in caso di violazione della normativa in materia di protezione dei dati personali.

Al contratto di agenzia, sono inoltre allegate le “Procedure di controllo delle fonti anagrafiche utilizzate per le campagne di marketing”, la “Dichiarazione di liceità delle liste anagrafiche” e le “Istruzioni operative per il corretto utilizzo delle anagrafiche utilizzate nel corso delle campagne di teleselling”.

Il processo di contrattualizzazione dei clienti attraverso il canale teleselling prevede che le Agenzie contattino gli utenti che hanno rilasciato il consenso e che in caso di interesse alla conclusione del contratto, si proceda alla registrazione del vocal order. Successivamente il cliente riceve via posta ordinaria o elettronica la documenta-zione contrattuale e una check call di verifica e conferma. La fornitura non viene atti-vata nel caso in cui il cliente nel corso della check call non confermi la volontà di ad-divenire alla stipula del contratto oppure nel caso in cui lo stesso risulti irreperibile dopo cinque tentativi di contatto non andati a buon fine. 

Per le Agenzie che operano mediante il canale web e per una sola agenzia operante mediante il canale telefonico, la Società ha adottato un processo di contrattualizzazione che prevede l’utilizzo di una One Time Password (OTP) ricevuta via sms. 

Dopo l’inserimento da parte delle agenzie sulla piattaforma Illumia, i contratti sono sottoposti ai seguenti controlli: controllo automatico pre-check sulla coerenza dei dati fiscali e dei dati di fornitura presenti sul Sistema Informativo Integrato (SII), controllo attendibilità creditizia del cliente, riascolto del Vocal Order e    rilevamento dei numeri e degli indirizzi mail ricorrenti (implementato da gennaio 2024).

Con riferimento invece al sistema di vigilanza sull’operato delle agenzie, Illumia ha dichiarato di effettuare il monitoraggio bimestrale dei disconoscimenti, visite in loco al superamento di una soglia predeterminata di segnalazioni, verifiche di compatibilità tra il tasso di disconoscimenti e una soglia predeterminata di criticità.

Inoltre, in caso di disconoscimento di un contratto per condotta fraudolenta di terzi e a seguito dell’accoglimento del reclamo, la Società provvede alla segregazione della relativa anagrafica cliente, all’eliminazione di ogni precedente consenso al trattamento dei dati personali per finalità di marketing e all’inserimento nella black-list interna.

Illumia effettua, altresì, audit interni e verifiche a campione delle liste di contattabilità, che possono condurre a rilevare “Osservazioni” e “Non conformità”.

La Società ha dichiarato, infine, che attualmente «sono in corso alcune valutazioni di fattibilità in merito alle seguenti misure organizzative e di sicurezza: tracciamento degli accessi al portale (…) per l’inserimento dei contratti; incremento degli audit in loco; estensione della check call a tutti i contratti acquisiti dalle Agenzie WEB».

1.3.    La trattazione congiunta dei reclami.

Considerato che le doglianze di cui ai fascicoli nn. 345203 e 352673 sono rivolte verso lo stesso titolare e vertono su questioni del medesimo tenore, al fine di promuoverne l’esame organico e attuare i principi di economicità e celerità di cui all’art. 9 del regolamento interno n. 1/2019 (in www.gpdp.it, doc. web n. 9107633), si è resa opportuna la trattazione congiunta dei reclami ai sensi e per gli effetti del successivo art. 10 del medesimo regolamento.

Nella fattispecie, inoltre, la trattazione congiunta appariva maggiormente idonea a garantire il diritto di difesa e l’esigenza di non aggravare il procedimento, ciò anche sotto il profilo del minore dispendio di tempo e risorse che la stessa comporta per il titolare del trattamento.

1.4.    Contestazione delle violazioni 

L’Ufficio, all’esito dell’istruttoria, adottava il sopra richiamato atto di contestazione n. 54793/24 nel quale, in primo luogo, si osservava che tutte le circostanze rappresentate da Illumia nelle note di riscontro presentavano indubbia natura documentale e che tuttavia la Società non aveva inteso produrre prova alcuna di tale documentazione, fatta eccezione per due atti di denuncia-querela risalenti a data successiva rispetto alla ricezione delle richieste di informazioni di questa Autorità. Pa-rimenti anche i chiarimenti relativi alla filiera di controlli e misure posti in essere nei confronti dei propri partner commerciali, appariva generica e contraddittoria, tale da non restituire un quadro completo e coerente della governance societaria in materia di protezione dei dati. A parere dell’Ufficio, tali elementi valevano a integrare gli estremi della violazione del principio di accountability sancito dagli artt. 5, par. 2 e 24 del Regolamento, nella parte in cui prevedono che gravi sul titolare l’onere di dimostrare che le operazioni di trattamento dei dati personali siano condotte in ottemperanza alla normativa vigente in materia. Per le medesime ragioni, l’Ufficio riteneva che la documentazione agli atti del procedimento sembrava confermare l’avvenuta violazione degli artt. 5, 6 e 7 del Regolamento e dell’art. 130 del Codice, per come lamentate mediante gli atti di reclamo pervenuti all’attenzione dell’Autorità in relazione alla ricezione di chiamate promozionali, effettuate in nome e per conto di Illumia, in assenza di un’idonea base giuridica e utilizzando numerazioni non iscritte al Registro degli operatori di comunicazione (ROC). 
Con la medesima contestazione, l’Ufficio rilevava altresì numerose criticità in relazione al processo di selezione e monitoraggio delle agenzie deputate allo svolgimento delle attività di teleselling in nome e per conto della Società con specifico rife-rimento agli obblighi posti in capo al titolare del trattamento ai sensi dell’art. 28 del Regolamento (cd. culpa in eligendo e culpa in vigilando). 
Più in particolare, non appariva del tutto aderente al dettato normativo la circostanza che la Società procedesse alla contrattualizzazione delle agenzie, anche in presenza di eventuali disallineamenti rispetto alla normativa in materia di protezio-ne dei dati personali, concedendo tempo sino al termine del periodo di prova per porre in essere eventuali azioni di remediation. Peraltro, stando alle dichiarazioni rese da Illumia, specifici controlli in materia di protezione dei dati personali erano stati implementati soltanto a partire da gennaio 2024 e dunque con notevole ritardo ri-spetto alla data di entrata in vigore del Regolamento.  

La prassi appena illustrata, a parere dell’Ufficio, non era condivisibile per un duplice ordine di aspetti, atteso che l’art. 28 del Regolamento impone al titolare del trattamento di avvalersi unicamente di responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi, fin dall’inizio, i requisiti del Regolamento e garantisca la tutela dei diritti dell'interessato. Inoltre, la risoluzione del contratto per mancato superamento della prova, non impediva che medio tempore venissero effet-tuati contatti telefonici in mancanza di un’idonea base giuridica e introitati gli emo-lumenti delle eventuali attivazioni che ne erano eventualmente derivate. 

Per altro verso, anche le istruzioni operative sull’utilizzo delle anagrafiche asseritamente impartite alle agenzie non sembravano del tutto in linea con le disposizioni contenute nel D.P.R. n. 26/2022 sull’istituzione del Registro pubblico delle opposizioni (RPO). La Società, infatti, aveva dichiarato di avvalersi di agenzie operanti attraverso il web e il canale telefonico, tuttavia imponeva ai partner di consultare «men-silmente, e comunque precedentemente all’avvio di ogni campagna promozionale, il Registro pubblico delle opposizioni». Tale indicazione pareva contrastare con la lettera dell’art. 8 del menzionato decreto nella parte in cui prevede che «La consultazione del registro da parte di ciascun operatore ha efficacia pari a quindici giorni per i trattamenti di dati per fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, mediante l'impiego del telefono, con o senza operatore, e pari a trenta giorni per i trattamenti di dati per le medesime finalità mediante l'impiego della posta cartacea». 

Sempre con riferimento alle attività di controllo e monitoraggio poste in essere dalla Società nei confronti delle agenzie e sulle liste di contattabilità, l’assenza di qualsivoglia indice di natura documentale o comunque probatoria, a parere dell’Ufficio induceva a dubitare dell’effettivo svolgimento di audit o visite in loco e della idoneità dei criteri utilizzati per l’individuazione delle agenzie da sottoporre a verifica. Inoltre, dai riscontri forniti emergeva che la Società aveva omesso di implementare misure idonee a impedire l’attivazione di contratti caricati sui sistemi aziendali a seguito di contatti illeciti e a informarne l’interessato.

Nell’atto di contestazione, infine, si rilevavano ulteriori criticità anche in relazione ai principi di integrità, sicurezza e riservatezza sanciti dagli artt. 5, 25 e 32 del Regolamento, atteso che la Società aveva dichiarato che erano in corso alcune valutazioni di fattibilità in merito all’implementazione di un sistema di tracciamento degli accessi al portale per l’inserimento dei contratti. La mancata implementazione di tale basilare e indispensabile presidio, induceva, infatti, a ritenere da un lato che le ope-razioni di trattamento non venivano effettuate in maniera tale da garantire un’adeguata sicurezza dei dati personali, compresa la protezione da trattamenti non autorizzati o illeciti e un’adeguata sicurezza dalla perdita, dalla distruzione o dal danno accidentali. Dall’altro lato, siffatta grave lacuna, denotava l’assenza di presidi volti a scongiurare il rischio che contratti derivanti da attività di telemarketing selvag-gio potessero entrare nei sistemi, alimentando così l’indotto del cd. “sottobosco” del telemarketing. 

L’Ufficio, pertanto, contestava a Illumia la violazione degli artt. 5, 6, 7, 24, 25, 28 e 32 del Regolamento, nonché dell’art. 130 del Codice, per aver effettuato i sopra descritti trattamenti di dati personali di utenti e contraenti del settore energetico in contrasto con i principi di liceità e responsabilizzazione, in assenza di un’idonea base giuridica e mettendo in atto misure tecniche e organizzative non adeguate per garantire, fin dalla progettazione, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento.

2.    LA DIFESA DEL TITOLARE

2.1 Le istanze prodromiche alla difesa 

Con istanza del 21 maggio 2024 (cfr. Prot. n. 61857 del 22 maggio 2024), Illumia chiedeva una proroga pari a trenta giorni del termine concesso ai fini della trasmissione delle memorie difensive di cui all’art. 166, comma 6 del Codice, rappresentandone la necessità «(…) sulla base della particolare complessità delle questioni sottese al Procedimento, nonché delle numerose valutazioni giuridiche formulate (…)». La Società evidenziava, altresì, che la concessione di una proroga si rendeva opportuna anche in con-siderazione delle caratteristiche operative e dimensionali di Illumia «(…) onde con-sentire alla scrivente Società di fornire a codesta Autorità un quadro informativo e documentale completo, dettagliato ed esaustivo in relazione ai rilievi formulati (…) Illumia, insieme alla holding Tremagi Energia S.r.l., conta circa 200 dipendenti, operanti in diversi dipartimenti, nonché una rete composta da oltre 20 agenzie per i servizi di teleselling e telemarketing che operano in tutto il territorio nazionale». 

Con successiva istanza del 24 maggio 2024 (cfr. Prot. n. 63829 del 27 maggio 2024), la Società chiedeva di prendere visione ed estrarre copia delle segnalazioni pervenute all’Autorità, alle quali l’Ufficio aveva fatto meramente cenno nel corpo della con-testazione ex art. 166, comma 5, del Codice.

Con nota del 29 maggio 2024 (cfr. Prot. n.  65145/24) l’Ufficio forniva riscontro alla citata istanza di proroga e nel richiamare le disposizioni contenute negli artt. 166, comma 6, del Codice e negli artt. 12 e 13 del regolamento interno n. 1/2019, rilevava che « (…) l’istruttoria presenta natura prettamente documentale e verte su questioni obiettivamente circoscritte (i.e. trattamenti di dati personali effettuati in materia di telemarketing e tele-selling), pertanto la concessione di una proroga pari a 30 gg. non appare rispondente ai citati criteri di proporzionalità. Considerato, dunque, il predetto quadro normativo e la prassi costantemente seguita dall’Ufficio nei procedimenti del tutto similari nonché le esigenze di economicità e ragionevole durata del procedimento, si provvede alla concessione di una dilazione pari a 15 giorni (…)».

Con successiva nota dell’11 giugno 2024 (cfr. Prot. n. 70643/24), tenuto conto che «le segnalazioni pervenute all’attenzione dell’Autorità nei confronti di Illumia S.p.A. non sono oggetto dell’istruttoria congiunta sui fascicoli nn. 345203-352673 di cui alla comunicazione di avvio del procedimento del 6 maggio 2024 (cfr. Prot. n. 54793/24) e che pertanto la società non è chiamata a presentare osservazioni in relazione a tali doglianze», l’Ufficio rigettava l’istanza di accesso «per mancanza dell’interesse diretto, concreto e attuale correlato alla documentazione di cui si chiede l’ostensione». 

Nella materia del telemarketing, rispetto alla quale l’Autorità riceve migliaia di doglianze ogni anno, la sussistenza di segnalazioni pervenute nei confronti di un titolare, come avvenuto nel caso di specie, si rivela un indice utile per distinguere i casi di doglianze isolate e dunque riconducibili a fenomeni fisiologici, da quelli sintomatici di una fenomenologia diffusa e patologica. Nel caso in esame, tenuto conto che ai sensi dell’art. 19 del regolamento interno n. 1/2019 «(…) l’Autorità può utilizzare le notizie indicate in eventuali segnalazioni che provengono da un soggetto non identificato, qua-lora ritenga di dover avviare controlli su casi nei quali ravvisa il rischio di seri pregiudizi o di ritorsioni ai danni di soggetti interessati dal trattamento, oppure ricorre comunque un caso di particolare gravità. La segnalazione può essere esaminata dall’Autorità, ma non comporta la necessaria adozione di un provvedimento (…)», considerata altresì l’omogeneità dei temi oggetto di doglianza e che l’istruttoria delle singole segnalazioni non avrebbe consentito il rispetto dei termini di conclusione del procedimento per i reclami che ab origine erano stati istruiti singolarmente, si è ritenuto opportuno procedere all’istruttoria puntuale dei soli reclami.  

2.2 L’esercizio del diritto di difesa ai sensi dell’art. 166, comma 6 del Codice 

Con memorie difensive trasmesse in data 20 giugno 2024 ai sensi dell’art. 166, comma 6 del Codice, Illumia ha preliminarmente evidenziato di avere «(…) interpretato le comunicazioni di codesta Autorità quale semplice richiesta di informazioni, fattispecie che l’art. 157 Codice Privacy distingue dalla richiesta di esibizione documentale» e di provvedere pertanto in tale sede al deposito di tutta la documentazione utile a dimostra-re quanto affermato.

La Società ha poi dichiarato di avvalersi di oltre 200 dipendenti e di una rete commerciale composta da agenzie operanti sull’intero territorio nazionale e che per la gestione di tale rete di agenzie, ha implementato un articolato sistema procedurale basato sul cd. Disciplinare tecnico. Inoltre, dal 1° luglio 2024 la Società è risultata aggiudicataria del Servizio a tutele graduali per Clienti Domestici non vulnerabili predisposto da Arera e pertanto ha ritenuto opportuno evitare di ampliare la propria rete di Agenzie, anche al fine di consolidare le procedure di controllo e monitoraggio nei confronti dei partner già contrattualizzati.

Con specifico riferimento al reclamo n. 345203, la Società nel ribadire le osserva-zioni prospettate in precedenza mediante la nota di riscontro alla richiesta di infor-mazioni ex art. 157 del Codice, da intendersi integralmente richiamate (vd. par. 1.2 del presente provvedimento), ha evidenziato che a seguito di ulteriori approfondi-menti è emerso che il reclamante risulta essere iscritto al RPO in data 7 febbraio 2024, vale a dire il giorno prima della ricezione della comunicazione indesiderata oggetto di doglianza. A parere della Società «risulta quindi evidente che, anche qualora la chiamata fosse stata effettuata per conto di Illumia, il breve lasso di tempo intercorso tra la chia-mata e l’iscrizione al RPO non avrebbe comunque comportato una violazione del D.P.R. n. 26/2022, posto che ai sensi dell’art. 8 “(..) la consultazione del Registro da parte di ciascun ope-ratore ha efficacia pari a quindici giorni per trattamenti di dati per fini di invio di materiale pub-blicitario e vendita diretta (…)”». 

Quanto invece al fascicolo n. 352673, la Società ha preliminarmente eccepito l’irregolarità del reclamo, dal momento che l’utenza telefonica verso la quale è stato effettuato il contatto promozionale indesiderato appartiene al figlio della reclamante e che di conseguenza il reclamo risulta essere stato presentato da un soggetto diver-so rispetto all’interessato. Illumia ha poi osservato che le dichiarazioni della recla-mante in ordine alla sua abitudine di utilizzare il numero telefonico del figlio nell’ambito dei rapporti contrattuali relativi alle utenze luce e gas evidenzia un «(…) macroscopico disallineamento tra l’intestatario del numero di cellulare e l’effettivo contraente (…)» e che la circostanza che il figlio della reclamante lavori presso una società del settore Energia non esclude a priori, la possibilità che i dati della reclamante siano stati forniti dal figlio, ovvero che la chiamata fosse effettivamente indirizzata a quest’ultimo. Poi, nel ribadire le deduzioni già fornite in precedenza, la Società ha ulteriormente evidenziato che a seguito di indagini aggiuntive è emerso che la nu-merazione telefonica utilizzata dalla reclamante risulta essere stata iscritta al RPO in data 15 marzo 2024 e dunque risale a un momento successivo rispetto alla ricezione del contatto telefonico oggetto di doglianza.

In aggiunta, la circostanza che entrambi i reclamanti non abbiano fornito alcuna replica in ordine a quanto rappresentato con le note del 5 aprile 2024, a parere della Società vale a dimostrare la corretta gestione dei fatti oggetto di segnalazione. 

Quanto alle denunce contro ignoti presentate dalla Società presso i competenti organi di Polizia, Illumia ha osservato che la Guardia di Finanza ha ritenuto oppor-tuno sentire il legale interno in qualità di persona informata dei fatti e che tale “inu-suale approccio” tenuto dalle Autorità, vale a provare che la Società rappresenta la parte lesa rispetto alle condotte contestate.

Con riferimento alle attività di telemarketing e teleselling, Illumia ha dichiarato di avvalersi di dieci agenzie e sub-agenzie per il canale telefonico e diciassette agenzie e sub-agenzie operanti nell’ambito del canale web. 

Al fine di garantire che la propria rete di vendita operi in ottemperanza alla nor-mativa sulla protezione dei dati personali, la Società ha in primo luogo approntato un Disciplinare Tecnico Acquisizione Agenzie che individua i requisiti minimi da rispet-tare in fase di recruiting, acquisizione e codifica di una nuova agenzia. Tale discipli-nare, operante dal 2018, è stato sottoposto anche a due attività di audit da parte di organismi indipendenti che si sono conclusi con esiti positivi.

Illumia ha poi chiarito di effettuare una serie di controlli preliminari - sia sotto il profilo contrattuale che sotto il profilo normativo - prodromici alla stipula dell’accordo per lo svolgimento di attività di teleselling. Più in particolare, il Discipli-nare Tecnico (cfr. cap. 4) prevede che con il coinvolgimento delle strutture apicali della Società, vengano in primo luogo acquisite una serie di informazioni e docu-mentazione, tra le quali l’avvenuta iscrizione al Registro degli Operatori della Co-municazione e poi richiesta la compilazione di una check-list. Mediante tale lista di controllo, vengono raccolte informazioni preliminari in ordine alle modalità di ac-quisizione delle liste e ai loro fornitori, agli asset e agli strumenti informatici utilizza-ti e livello di formazione del personale. Inoltre, a far data dal 1° gennaio 2024 Illumia ha implementato un’ulteriore check list di controllo in materia di protezione dei dati personali.

A corredo delle memorie ex art. 166, comma 6 del Codice, Illumia ha prodotto an-che un campione di contratti sottoscritti con talune agenzie recanti dettagliate clau-sole sugli obblighi in materia di data protection e la modulistica annessa.

In relazione al periodo di prova previsto nei richiamati contratti, la Società ha di-chiarato che lo scopo di tale clausola «(…) non è tanto quello di riservarsi uno strumento per terminare il rapporto contrattuale in caso di inadempimenti alle previsioni in materia di tele-selling e data protection (situazioni per le quali è prevista, invece, una clausola risolutiva espressa formulata ad hoc), quanto più quello di conferire alle parti uno strumento per “verifica-re la reciproca convenienza di rendere stabile o risolvere il vincolo contrattuale (…)».

Illumia ha poi illustrato le caratteristiche dei sistemi informatici utilizzati per la gestione della forza vendita, in particolare quelli per la mappatura delle anagrafiche di agenzie, subagenzie e operatori e per il calcolo delle commissioni e ha descritto il sistema deputato al caricamento dei contratti da parte delle agenzie e sub-agenzie, previa abilitazione sia a livello di persona giuridica che di singolo operatore. Per ciascun operatore viene creato un apposito account protetto da password. Sui sistemi aziendali vengono mappate anche le numerazioni utilizzate dai partner per lo svol-gimento di attività di telemarketing. Inoltre, in seguito a un provvedimento emanato dal Garante nei confronti di un altro operatore del medesimo settore, la Società ha implementato anche un sistema di “verifica di eventuali anomalie connesse all’inserimento di numeri di telefono e mail ricorrenti per contratti caricati sul portale delle agenzie”. 

La Società ha poi ribadito che con cadenza almeno semestrale il Dipartimento Af-fari Legali organizza sessioni formative obbligatorie rivolte alle forze vendita.

In merito ai controlli sulle liste di contattabilità utilizzate dai partner commerciali, Illumia ha dichiarato di effettuare attività di verifica con cadenza trimestrale prima dell’avvio di una nuova campagna, nel corso e al termine della stessa. Più in partico-lare, tali controlli sono svolti a campione nei confronti di un’agenzia scelta in base di un approccio risk-based, avendo quale indice di riferimento il numero di contratti fi-nalizzati e gli eventuali disconoscimenti ricevuti. All’esito di tali verifiche viene re-datto un report di sintesi.

In seguito alle attività di controllo Illumia può sollevare Osservazioni e Non Con-formità, oppure indicare all’agenzia azioni rimediali da intraprendere. In tale ultima evenienza, la Società effettua anche successivi audit finalizzati a verificarne l’ottemperanza.

La Società ha dichiarato di effettuare, altresì, l’attività di monitoraggio sui contrat-ti acquisiti mediante agenzia. Sul punto il Disciplinare tecnico e le procedure azien-dali prevedono che l’attività di verifica si articoli in due fasi: verifica formale dei contratti e confirmation call. Quest’ultima viene effettuata su tutti i contratti acquisiti mediante il canale telefonico, utilizzando uno script predefinito e in caso di esito ne-gativo, la fornitura non viene attivata. Rispetto ai contratti conclusi tramite il canale web, invece, attualmente la confirmation call viene effettuata a campione, ma è inten-zione della Società estenderla alla totalità degli accordi.

Illumia ha configurato un’apposita sezione del sito che consente agli utenti di ve-rificare se il numero chiamante rientra tra quelli utilizzati dalla propria rete di ven-dita, che può comportare anche l’applicazione della Procedura denunce numeri non in chiaro. 

Quanto alle attività di monitoraggio sulla rete di vendita, il titolare del trattamen-to ha evidenziato di avere costituito un Comitato Monitoraggio Qualità della Vendita, composto da figure aziendali apicali, con la funzione di «monitoraggio sulla qualità del-la rete commerciale di Illumia e sulla conformità alla regolazione di settore dei processi di con-trattualizzazione e della relativa documentazione» e con il compito «analizzare i processi di vendita delle reti outbound, verificare la difettosità dei contratti e la numerosità e gravità dei re-clami pervenuti». Tale comitato possiede, altresì, «il potere di disporre audit presso le agen-zie e avviare nei confronti dei partner commerciali meno virtuosi procedimenti sanzionatori che possono concludersi, nei casi più gravi, con la risoluzione dei contratti di agenzia».

Per la gestione delle segnalazioni da parte degli interessati, la Società ha messo a disposizione degli utenti vari canali e implementato un’apposita procedura (Proce-dura gestione per l’esercizio dei diritti in materia di protezione dei dati personali). Nel caso in cui un interessato lamenti la ricezione di una chiamata indesiderata a scopo promo-zionale, i relativi dati di contatto sono inseriti in una black list, poi condivisa con le Agenzie con cadenza settimanale.

Se gli esiti negativi della confirmation call e le segnalazioni provenienti dagli utenti raggiungono una predeterminata soglia critica, la Società è legittimata a intraprende-re talune misure che vanno dalla mera diffida, alla visita in loco e anche alla risolu-zione del contratto.

Le numerazioni oggetto di segnalazione, inoltre, sono soggette ad un ulteriore controllo, di guisa che se rientrano tra quelle in uso presso la rete di vendita condu-cono all’attuazione della Procedura monitoraggio vendite ex post appena descritta, in ca-so contrario la Società procede al deposito una denuncia-querela presso la Polizia Postale.

Illumia ha dichiarato di effettuare anche audit in loco su Agenzie selezionate in ba-se al principio risk based, che considera il numero dei contratti conclusi e gli esiti del-le attività di monitoraggio. Gli audit, condotti mediante apposita check-list, hanno lo scopo di verificare lo stato di compliance delle agenzie con la normativa in materia di protezione dei dati personali. 

Infine la Società ha rappresentato di avere intrapreso un progetto per l’ottenimento della certificazione ISO 9001 e per l’adesione al Codice di condotta in ma-teria di telemarketing e teleselling. 

Il titolare non ha presentato richiesta di audizione dinanzi all’Autorità ai sensi degli artt. 166, comma 6, del Codice e dall’art. 13 del regolamento interno n. 1/2019. 

3.    VALUTAZIONI DELL’AUTORITÀ

Va preliminarmente osservato che, contrariamente a quanto sostenuto dalla Socie-tà, le richieste di informazioni formulate dall’Autorità non lasciavano alcun margine interpretativo in merito al tenore dei riscontri richiesti.

Le citate istanze, infatti, sono state formulate ai sensi dell’art. 157 del Codice e tale riferimento normativo era contenuto tanto nell’oggetto, quanto nel corpo della co-municazione. 

Inoltre, tenuto conto che la stessa rubrica e la lettera dell’art. 157 del Codice fanno testuale riferimento anche all’esibizione di documenti e che in base al combinato di-sposto degli artt. 5, par. 2 e 24 del Regolamento, per il principio di accountability gra-va sul titolare l’onere di dimostrare che le operazioni di trattamento dei dati perso-nali siano condotte in ottemperanza alla normativa vigente in materia, non appare verosimile che la Società possa essere incorsa in qualsivoglia fraintendimento o in-colpevole errore interpretativo.

In secondo luogo non possono trovare accoglimento nemmeno le eccezioni avan-zate con specifico riferimento ai reclami oggetto del procedimento. In relazione al reclamo n. 345203 la Società ha osservato che l’interessato si sarebbe iscritto al RPO soltanto in data 7 febbraio 2024, vale a dire il giorno prima della ricezione della co-municazione indesiderata. Tuttavia considerato che dalla documentazione prodotta da Illumia non è possibile appurare se trattasi di una prima iscrizione o di un rinno-vo e che lo stesso interessato ha dichiarato nell’atto di reclamo, sotto la propria pena-le responsabilità di avere aderito al RPO «in data 27/7, a seguire ai primi di Gennaio, e successivamente ieri 7/02/2024», tale eccezione non può trovare accoglimento.

Illumia ha poi contestato la regolarità del reclamo n. 352673 per violazione dell’art. 77 del Regolamento, sostenendo che la doglianza doveva essere presentata direttamente dal figlio della reclamante nella sua qualità di intestatario dell’utenza destinataria della chiamata indesiderata e che non può escludersi a priori che il con-tatto fosse destinato a raggiungere quest’ultimo. 

Sul punto è opportuno evidenziare che la reclamante ha lamentato che l’operatore telefonico era conoscenza della richiesta di switch effettivamente avanzata dalla medesima per le utenze luce e gas della propria abitazione e perfino dell’operatore prescelto. Pertanto, considerato il tenore della telefonata e che l’interessata ha dichiarato di utilizzare abitualmente il numero del figlio quale con-tatto di riferimento, non v’è dubbio che la telefonata fosse rivolta proprio alla recla-mante e che per il chiamante quel numero di telefono costituisse un’informazione utile a identificare univocamente l’interessata, indipendentemente dall’effettiva tito-larità dell’utenza telefonica. 

Il concetto di dato personale, infatti, per come sancito dal Regolamento, non fa tanto e soltanto perno sulla natura del dato in sé, ma piuttosto sul suo potere identi-ficativo, inteso come l’effettiva possibilità di rivelare univocamente l’identità dell’interessato.

Tanto è vero che l’art. 4 punto 1) del regolamento definisce il dato personale come «qualsiasi informazione riguardante una persona fisica identificata o identificabile («inte-ressato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di iden-tificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteri-stici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» e che il considerando n. 26 chiarisce che «È auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile. I dati personali sot-toposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l'utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile. Per stabilire l'identificabilità di una persona è opportuno considerare tutti i mezzi, come l'individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ra-gionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l'insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l'identifi-cazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli svi-luppi tecnologici (…)».

Applicando tali principi al caso di specie, è oltremodo evidente che in base alle dichiarazioni rese nell’atto di reclamo, l’operatore era in possesso di una serie di informazioni (indirizzo, numero di telefono, richiesta di switch, operatore prescelto) che, utilizzate congiuntamente, erano riferibili esclusivamente alla reclamante, ne consegue che la doglianza risulta contenere tutti i requisiti di forma e sostanza pre-visti dall’art. 77 del Regolamento.

A ciò deve aggiungersi che destinatario di tutela nei trattamenti di dati per fi-nalità di telemarketing non è solo il “contraente” di un rapporto di fornitura di servizi telefonici, ma anche l’ “utente”, inteso come “qualsiasi persona fisica che utilizza un servi-zio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata”, così come specificato dall’art. 121, comma 1-bis, lett. g) del Codice.

In relazione al reclamo n. 352673, poi, si appalesano del tutto irrilevanti le os-servazioni avanzate dalle Società in merito all’avvenuta iscrizione al RPO, dal mo-mento che la reclamante non ha lamentato la ricezione di una chiamata promoziona-le verso una numerazione iscritta, bensì di avere ricevuto una telefonata a scopo promozionale in assenza di un’idonea base giudica effettuata da un operatore ille-gittimamente in possesso di una serie di informazioni riferibili alla sua persona. 

Non può essere condivisa nemmeno la convinzione del titolare in merito alla cir-costanza che la mancata presentazione di osservazioni da parte dei reclamanti, valga a dimostrare “la corretta gestione dell’episodio”, trattandosi di una mera facoltà concessa agli interessati, il cui mancato esercizio non equivale certamente a rinuncia dell’istanza, né ad acquiescenza rispetto ai riscontri forniti dalla Società.

Con riferimento agli obblighi gravanti sul titolare del trattamento ai sensi dell’art. 28 del Regolamento e alle misure di sicurezza poste in essere dalla Società, dalla di-samina della documentazione e delle allegazioni complessivamente trasmesse emerge un quadro della governance privacy non completamente aderente e aggiornato rispetto alla vigente normativa.

Peraltro, tale rilievo assume particolare gravità se considerato alla luce della cir-costanza che l’attività di teleselling, per stessa ammissione della Società, è interamente affidata in outsourcing ad un cospicuo insieme di agenzie e sub-agenzie. Con questo non volendosi certo intendere che l’affidamento in outsourcing o la numerosità dei partner costituiscano di per sé indice di violazione, ma piuttosto che la scelta di affi-dare un ramo del proprio business a una serie di soggetti esterni dovrebbe affiancarsi anche all’implementazione di adeguati accorgimenti atti a scongiurare il rischio di attività illegittime.

Rispetto alle attività di teleselling, la compliance aziendale in materia di protezione dei dati personali fa perno sul Disciplinare tecnico Acquisizione Agenzie, il cui ultimo aggiornamento risale al 3 aprile 2020. 

La disamina di tale disciplinare e delle procedure annesse, confermano piena-mente la culpa in eligendo e le contestazioni sollevate in relazione al processo di sele-zione dei fornitori.

Fatta eccezione per l’acquisizione della documentazione comprovante l’iscrizione al ROC e per un isolato riferimento all’acquisto di liste “fubbate”, sino al dicembre 2023 gli unici requisiti valutati dalla Società nella fase di recruiting delle agenzie in applicazione del disciplinare e mediante l’utilizzo della Check list acquisizione agenzia, concernevano di fatto caratteristiche meramente dimensionali e l’affidabilità econo-mica della Società. Infatti, per stessa ammissione di Illumia, soltanto dal primo gen-naio 2024 è stata implementata anche un’apposita Check list privacy. Peraltro soltanto alcune delle attuali agenzie – sei agenzie su diciassette – sono state contrattualizzate nel 2024, di guisa che le restanti sono state selezione e continuano a effettuare trat-tamenti di dati personali in assenza di una previa e attenta valutazione ai sensi dell’art. 28 del Regolamento.

A tale omissione, peraltro, non può nemmeno sopperire la previsione di un pe-riodo di prova e di clausole risolutive espresse in caso di violazioni della normativa sulla protezione dei dati personali.
La lettera e il tenore della clausola inserita nella modulistica contrattuale sul pe-riodo di prova (cfr. art. 10.2 del contratto di agenzia «Al fine di verificare la reciproca convenienza di rendere stabile o di risolvere il presente vincolo contrattuale, le Parti concordano nel convenire un periodo di prova della durata di sei mesi. Tale periodo decorrerà dal primo me-se successivo alla trasmissione da parte dell’Agente di 50 contratti ILLUMIA e, in costanza di esso e sin dalla data di sottoscrizione del presente contratto, ciascuna delle parti può, in ogni momento, recedere ad nutum dal rapporto senza alcun obbligo di preavviso o indennità sostitu-tiva. In caso di scadenza del periodo di prova nell’ultimo trimestre dell’anno, la scadenza del pe-riodo di prova viene prorogata automaticamente al 15 gennaio dell’anno successivo»), riman-dano manifestamente ed esclusivamente a un concetto di convenienza economica. Ma pur volendo accogliere un’interpretazione più ampia, una clausola siffatta non potrebbe in alcun modo valere ad assolvere all’obbligo gravante sul titolare di avva-lersi soltanto di soggetti qualificati in abito privacy, poiché palesemente inidonea a scongiurare il rischio che trattamenti di dati personali effettuati in nome e per conto di Illumia vengano medio tempore realizzati da soggetti che non possiedono adeguate capacità e che non hanno implementato idonee misure di sicurezza.

Parimenti anche la circostanza che soltanto nel 2023 l’applicazione della summen-zionata clausola abbia comportato la risoluzione di cinque contratti, è un indice sin-tomatico dell’inadeguatezza del processo di selezione e valutazione dei fornitori.

Con specifico riferimento alle contestazioni relative all’obbligo di vigilanza e mo-nitoraggio sull’operato dei responsabili del trattamento (cd. culpa in vigilando), la So-cietà ha illustrato gli adempimenti contrattualmente imposti alle agenzie e ha di-chiarato di effettuare a campione audit in loco e verifiche documentali. Ma per le ra-gioni di cui si dirà ampiamente infra, gli accorgimenti pur meritevolmente adottati, non si rivelano pienamente aderenti all’attuale quadro normativo, né sufficienti in relazione ai rischi per i diritti e le libertà degli interessati.

In primo luogo, sul tema corre l’obbligo osservare che la mera previsione formale di istruzioni operative, obblighi e clausole di manleva non può valere quale adem-pimento degli obblighi gravanti sul titolare del trattamento, allorquando non sia ac-compagnata da periodiche ed efficaci iniziative di vigilanza e verifica. Inoltre, non appare condivisibile la scelta di effettuare le attività di monitoraggio utilizzando cri-teri che si risolvono nell’individuazione di un numero eccessivamente ristretto di soggetti o correlati alla mera insorgenza di anomalie e segnalazioni. 

Con l’entrata in vigore del Regolamento Europeo, nell’ordinamento giuridico ita-liano, tra le altre cose, è stato introdotto il concetto di accountability, un principio dal-le molteplici ricadute e per molti versi dirompente. Tale richiamato principio, che risente indubbiamente dell’influenza degli ordinamenti di common low, si rivela del tutto innovativo. Con il Legislatore italiano, infatti, il cittadino è abituato a conoscere esattamente la portata degli obblighi e dei divieti normativamente imposti. Diver-samente il principio di acccountability conferisce al titolare del trattamento un’ampia libertà di scelta rispetto alla implementazione della propria governance in materia di protezione dei dati, alla quale è intimamente correlato un complesso concetto di re-sponsabilità. Prova di tale innovativa visione della materia è la stessa formulazione delle norme sulla sicurezza, che non elencano più le misure minime da adottare, ma impongono al titolare di valutare e individuare gli accorgimenti adeguati in relazio-ne al contesto, allo stato dell’arte e ai rischi.

Nell’ambito di tale nuova concezione del ruolo stesso del titolare, il principio di accountability deve necessariamente essere considerato alla stregua di un fil rouge che informa l’interpretazione e l’applicazione di tutte le norme e i principi contenuti all’interno del Regolamento e quindi un imprescindibile canone ermeneutico. 

Per l’effetto, gli obblighi gravanti sul titolare del trattamento ai sensi dell’art. 28 del Regolamento, se interpretati alla luce del principio di responsabilizzazione, non possono ritenersi efficacemente assolti dalla mera previsione di clausole di stile o da interventi realizzati soltanto ex post al verificarsi di un’anomalia, ma impongono un quid pluris, vale a dire l’effettiva governabilità della filiera di trattamento e l’aggiornamento periodico delle stesse misure tecniche e organizzative implementa-te per realizzarla. 

Peraltro, ferma restando la validità del ricorso a un approccio risk-based, nel caso di specie appaiono censurabili i criteri utilizzati per identificare il campione di sog-getti da sottoporre a scrutinio. Tenuto conto che soltanto una minima parte degli in-teressati solitamente è propensa ad inviare segnalazioni e che l’interessato potrebbe non rendersi conto di avere stipulato un contratto sulla base di un contatto illecito, di fatto i criteri utilizzati da Illumia si rivelano inefficaci e fuorvianti, giacché condu-cono a identificare un numero eccessivamente ristretto di soggetti da sottoporre a scrutinio.  

Anche la scelta di Illumia di attivarsi soltanto al raggiungimento di una prede-terminata soglia di anomalie non appare del tutto condivisibile. Gli illustrati obbli-ghi e responsabilità sussistenti in capo al titolare del trattamento impongono, infatti, di attivarsi anche in presenza di un solo episodio anomalo o di un’isolata segnala-zione. 

D’altro canto anche gli obblighi e le istruzioni conferite ai responsabili del tratta-mento confermano una non completa assimilazione degli adempimenti imposti dal-la vigente normativa e che talune attività di teleselling sono svolte in assenza di un’idonea base giuridica e delle condizioni previste dalla legge. 

Le istruzioni allegate al contratto di agenzia nella parte in cui prevedono che «(…) L’Agente ha l’obbligo di consultare mensilmente, e comunque precedentemente all’avvio di ogni campagna promozione, il Registro delle Opposizioni, e di provvedere all’aggiornamento delle proprie liste, verificando che le anagrafiche da contattare non abbiano inserito il/i proprio/i con-tatto/i telefonico/i nello stesso, istituito con il D.P.R. n. 178 del 2010, ed esteso inoltre alle nu-merazioni mobili con la L. n. 5/2018, al fine di evitare di formulare offerte a chi risulti presente nel Registro stesso; L’Agente riconosce ed accetta che la consultazione del Registro delle Oppo-sizioni di cui sopra ha efficacia pari a quindici giorni (…)», si rivelano contraddittorie e in ogni caso non tengono conto della diversa valenza temporale delle consultazioni presso il RPO prevista dalla legge a seconda del mezzo utilizzato per la realizzazio-ne delle attività di marketing (i.e. telefono, mail, posta cartacea ecc.). Parimenti anche le Procedure di controllo delle fonti delle anagrafiche utilizzate per campagne di marketing hanno dichiaratamente lo scopo di «accertare che ciascun numero di telefono presente nella lista di contattabilità acquistata dall’Agente si riferisca ad una persona che abbia validamente acconsen-tito alla comunicazione del proprio dato di recapito ed al suo successivo utilizzo ai fini commer-ciali e di marketing» e, da un lato non operano alcun distinguo tra prospect, clienti ed ex clienti e dall’altro non contemplano la casistica dei dati provenienti dai pubblici re-gistri (cfr. artt. 129 e 130 del Codice e all’art. 1 della L. n. 5/2018).

Dalla documentazione e dalle informazioni complessivamente acquisite, appare infine acclarata anche l’avvenuta violazione dei principi di integrità, sicurezza e ri-servatezza sanciti agli artt. 5, 25 e 32 del Regolamento. 

Pur essendo meritevole di pregio l’avvenuta proceduralizzazione di un sistema di caricamento dei contratti basato sulla creazione di profili personalizzati gestiti dai singoli operatori e protetti da password, la Società non ha fornito alcun elemento ido-neo a comprovare l’adozione di misure atte a scongiurare il rischio dell’attivazione di contratti originati da un contatto illecito. Più in particolare, se è pur vero che Il-lumia sembra essere in grado di risalire a ritroso dal contratto all’operatore che l’ha inserito nei sistemi aziendali, allo stesso tempo ha omesso di implementare misure e accorgimenti che ne impediscano a monte l’ingresso (p.e. istruzioni sulla gestione delle password, misure atte a impedire l’utilizzo contestuale dell’account da più sog-getti, misure idonee a rivelare accessi anomali per orario, numerosità o area geogra-fica ecc.). 

A tale riguardo, la stessa Società ha dichiarato che sono in corso alcune valutazio-ni di fattibilità in merito all’implementazione di un sistema di tracciamento degli ac-cessi al portale per l’inserimento dei contratti. Ma tenuto conto delle peculiarità del-la filiera di vendita di Illumia ed alla luce dell’attuale contesto storico-sociale, dello stato dell’arte e dei principi costantemente sanciti mediante i provvedimenti delibe-rati dal Garante, la mancata implementazione di tale basilare e indispensabile presi-dio, vale a confermare che le operazioni di trattamento non vengano effettuate in maniera tale da garantire un’adeguata sicurezza dei dati personali, compresa la pro-tezione da trattamenti non autorizzati o illeciti, la perdita, la distruzione o il danno accidentali. 
Per le ragioni ampiamente illustrate, in definitiva, deve confermarsi la responsa-bilità di Illumia in ordine alle violazioni contestate mediante la comunicazione di avvio del procedimento ai sensi dell’art. 166, comma 5 del Codice.

4.    CONCLUSIONI

Per quanto sopra esposto si ritiene accertata la responsabilità di Illumia in ordine alle seguenti violazioni:

a) artt. 5, par. 2 e 24 del Regolamento per non avere compiutamente adempiuto nell’ambito dell’istruttoria preliminare del presente procedimento all’onere di dimostrare che le operazioni di trattamento siano condotte in ottemperanza alla normativa sulla protezione dei dati personali; 

b) artt. 5, 6 e 7 del Regolamento, nonché 130 del Codice, per aver effettuato i contatti promozionali oggetto di doglianza in assenza di un’idonea base giuridica;

d) artt. 5, par. 2, 24 e 28 del Regolamento per la mancata implementazione di misure e procedure idonee a fare in modo che in caso di svolgimento di trattamenti in outsourcing, vengano selezionati soltanto soggetti che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato (cd. culpa in eligendo);

e) artt. 5, par. 2, 24 e 28 del Regolamento per la mancata implementazione di istruzioni, misure e procedure pienamente aderenti alla disciplina applicabile e idonee e garantire l’efficace vigilanza sull’operato dei Responsabili del trattamento (cd. culpa in vigilando);

f) artt. 5, 25 e 32 del Regolamento per la mancata implementazione di misure di sicurezza tecniche e organizzative idonee a scongiurare il rischio dell’attivazione di contratti originati da un contatto illecito, nonché dell’accesso ai sistemi aziendali da parte di soggetti non autorizzati.

Accertata altresì l’illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, si rende necessario: 

- rivolgere a Illumia un ammonimento ai sensi dell’art. 58, par. 2, lett. b) per non avere compiutamente adempiuto nell’ambito dell’istruttoria preliminare del presente procedimento all’onere di dimostrare che le operazioni di trattamento siano condotte in ottemperanza alla normativa sulla protezione dei dati personali;

-    imporre a Illumia, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore trattamento dei dati appartenenti ai reclamanti;

-    ingiungere a Illumia, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adottare misure tecniche e organizzative idonee ad assicurare il pieno rispetto degli obblighi gravanti sul titolare del trattamento ai sensi dell’art. 28 del Regolamento;

-    ingiungere a Illumia, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento di adottare misure tecniche e organizzative idonee a scongiurare il rischio dell’attivazione di contratti originati da un contatto illecito e dell’accesso ai sistemi aziendali da parte di soggetti non autorizzati;

-    adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Illumia della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento.

5.    ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Illumia della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento (pagamento di una somma fino a € 20.000.000,00 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore).

Per la determinazione del massimo edittale della sanzione pecuniaria, occorre pertanto fare riferimento al fatturato di Illumia, come ricavato dall’ultimo bilancio d’esercizio disponibile (marzo 2023) in accordo con i precedenti provvedimenti adottati dall’Autorità, e quindi si determina tale massimo edittale, nel caso in argomento, in euro 27.155.872,00.

Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento;

Nel caso in esame, assumono rilevanza:

1)    la gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento), tenuto conto dell’oggetto e delle finalità dei dati trattati, riconducibili al fenomeno complessi-vo del telemarketing, in ordine al quale l’Autorità ha adottato, in particolare negli ultimi tre anni, numerosi provvedimenti che hanno compiutamente preso in esa-me i molteplici elementi di criticità fornendo ai titolari numerose indicazioni per adeguare i trattamenti alla normativa vigente e per attenuare l’impatto delle chiamate di disturbo nei confronti degli interessati;    

2)    quale fattore attenuante, ai sensi dell’art. 83, par. 2, lett. d) le misure tecniche e or-ganizzative già implementate dal titolare del trattamento ai sensi dell’art. 25 e 32 del Regolamento, quali in via esemplificativa l’utilizzo dal primo gennaio 2024 di un’apposita check list privacy per la selezione delle agenzie, l’implementazione di un sistema di controlli a campione sulle liste utilizzate e sui contratti, la creazione di account personali e protetti da password per l’acceso ai sistemi da parte di terzi.

In base al complesso degli elementi sopra indicati, e ai principi di effettività, pro-porzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto con-to del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative e funzionali della Società, si ritiene debba applicarsi a Illumia la sanzione amministra-tiva del pagamento di una somma di euro 678.897,00, pari al 2,5% della sanzione massima edittale.

Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della natura dei trattamenti e delle condotte della Società, nonché degli ele-menti di rischio per i diritti e le libertà degli interessati.

In attuazione dei principi di cui all’art. 83 del Regolamento, l’irrogazione di tale sanzione accessoria appare ragionevole e proporzionata in relazione alla gravità e al particolare disvalore delle condotte oggetto di censura con specifico riferimento alla durata delle violazioni accertate e al numero di soggetti coinvolti. 

L’implementazione di una procedura di selezione dei fornitori che contempli an-che il tema della protezione dei dati personali con notevole ritardo rispetto all’emanazione del Regolamento, che peraltro concedeva due ulteriori anni ai titolari ai fini dell’adeguamento, rivela una colpevole e perdurante insensibilità alla mate-ria.

Inoltre, considerata la durata delle violazioni, il cospicuo numero di agenzie di cui la Società si avvale per lo svolgimento di attività di telemarketing, nonché la loro capillare diffusione su tutto il territorio nazionale, la platea di soggetti a vario titolo coinvolti nell’ambito della violazione appare particolarmente ampia.   

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concer-nente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

a)    rivolge a Illumia un ammonimento ai sensi dell’art. 58, par. 2, lett. b) per non avere compiutamente adempiuto nell’ambito dell’istruttoria preliminare del presente procedimento all’onere di dimostrare che le operazioni di trattamento siano condotte in ottemperanza alla normativa sulla protezione dei dati personali;

b)    impone a Illumia, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore trattamento dei dati appartenenti ai reclamanti;

c)    ingiunge a Illumia, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adottare misure tecniche e organizzative idonee ad assicurare il pieno rispetto degli obblighi gravanti sul titolare del trattamento ai sensi dell’art. 28 del Regolamento;

d)    ingiunge a Illumia, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento di adottare misure tecniche e organizzative idonee a scongiurare il rischio dell’attivazione di contratti originati da un contatto illecito e dell’accesso ai sistemi aziendali da parte di soggetti non autorizzati;

e)    ingiunge a Illumia, ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel termine di trenta giorni dalla notifica del presente provvedi-mento, le iniziative intraprese al fine di dare attuazione alla misura imposta; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

ORDINA

a Illumia S.p.A., in persona del legale rappresentante pro-tempore, con sede legale in Bologna (BO), Via de Carracci 69/2,  P.IVA 02356770988, di pagare la somma di euro 678.897,00 (seicentosettantantomila897/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 678.897,00 (seicentosettantantomila897/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

L’applicazione della sanzione accessoria della pubblicazione sul sito del Garante dell’ordinanza di ingiunzione ai sensi degli artt. 166, comma 7 del Codice e 16 del Regolamento del Garante n. 1/2019, e l’annotazione del medesimo nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso.

La pubblicazione del presente provvedimento ai sensi degli artt. 154-bis del Codice e 37 del citato Regolamento n. l/20l9.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la sede il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso. 

Roma, 13 novembre 2024 

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei