Provvedimento del 17 luglio 2025 [10176077]
Provvedimento del 17 luglio 2025 [10176077]
Condividi[doc. web n. 10176077]
Provvedimento del 17 luglio 2025
Registro dei provvedimenti
n. 437 del 17 luglio 2025
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, segretario generale reggente;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale reggente ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il prof. Pasquale Stanzione;
1. L’ATTIVITÀ ISTRUTTORIA SVOLTA
1.1. Premessa
Con atto Prot. n. XX del XX (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente riprodotto, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Eni Plenitude S.p.A. Società Benefit, (di seguito “Eni Plenitude” o “Società”), in persona del legale rappresentante pro-tempore, con sede legale in Milano (MI), via Giovanni Lorenzini n. 4, P.IVA 12300020158.
Il procedimento trae origine da una istruttoria avviata dall’Autorità, a seguito della ricezione di un reclamo proposto da XX, in proprio e in qualità di procuratore speciale della XX. Con il reclamo si rappresentava che XX in data XX aveva sottoscritto un contratto di fornitura con Eni Plenitude, indicando come dati di contatto (mail e telefono) quelli di XX e che in quella occasione non aveva conferito alcun consenso al trattamento dei dati personali per «1) future iniziative promozionali curate da Plenitude; 2) analisi e ricerche di mercato effettuate direttamente da Plenitude o attraverso società terze; 3) future iniziative promozionali curate da altre imprese».
Considerato che nonostante il mancato conferimento dei consensi, i sigg.ri XX avevano ricevuto comunicazioni indesiderate realizzate nell’interesse di Eni Plenitude e di SKY Italia S.r.l., i reclamanti ritenevano che tali Società non avessero posto in essere condotte conformi alle disposizioni del Regolamento e pertanto richiedevano l’intervento dell’Autorità.
1.2. La richiesta di informazioni formulata dall’Autorità
Con reclamo trasmesso in data XX (cfr. Prot. n. XX del XX), poi successivamente regolarizzato in data XX (cfr. Prot. n. XX), XX, in proprio e in qualità di difensore della XX, rappresentava che la propria assistita in data XX aveva sottoscritto un contratto di fornitura con Eni Plenitude, senza fornire il consenso al trattamento dei dati personali per «1) future iniziative promozionali curate da Plenitude; 2) analisi e ricerche di mercato effettuate direttamente da Plenitude o attraverso società terze; 3) future iniziative promozionali curate da altre imprese». In tale reclamo si precisava, altresì, che al momento della stipula del contratto XX aveva fornito i dati di contatto (cellulare e e-mail) del XX. Successivamente all’attivazione della richiamata fornitura e precisamente a partire dal mese di maggio, gli interessati ricevevano numerose chiamate promozionali realizzate nell’interesse di Eni Plenitude e di Sky Italia S.r.l., nonché due e-mail concernenti la valutazione del servizio.
I reclamanti, al fine di ottenere gli opportuni chiarimenti, si rivolgevano alla Società, che con nota del XX rappresentava che «Per i clienti aderenti all’offerta “Fixa Time” (…) Eni Plenitude ha indetto un’operazione a premio in associazione con Sky Italia S.r.l. (…). Dalle verifiche effettuate consultando i nostri sistemi di controllo che tracciano le telefonate effettuate dai nostri partner, risulta che nel mese di maggio sono state effettuate delle telefonate verso il numero (…) con riferimento alla suddetta promozione in un’ottica di assistenza al cliente, al fine di ricordare l’esistenza del premio e consentire di riscattare il codice promozionale per godere dello stesso. Premesso quanto sopra, Le confermiamo che il Suo numero di telefono non sarà più oggetto di trattamento da parte di Eni Plenitude o dei suoi partner se non per necessità legate a specifici obblighi normativi o contrattuali. Le confermiamo inoltre che tutti i consensi al trattamento dei dati personali della cliente per la ricezione di comunicazioni aventi ad oggetto (i) iniziative promozionali di Eni Plenitude; (ii) ricerche di mercato di Eni Plenitude; (iii) iniziative promozionali di terzi, risultano valorizzati in “non concesso”. Per quanto riguarda le mail ricevute all’indirizzo (…), si tratta di una survey effettuata al fine di verificare la semplicità di accesso ai nostri servizi legati alla sottoscrizione dei contratti di fornitura; ciò per permetterci di migliorare il servizio offerto ai nostri clienti».
Nelle more dell’istruttoria preliminare, a integrazione dell’originario reclamo, gli interessati rappresentavano, altresì, che «in data XX la soc. Eni-Plenitude, nonostante la richiesta di interrompere l'illecito trattamento dei dati personali, continua ad inviare e-mail con cui, nel caso di specie, chiede di lasciare un feedback su Trustpilot; dunque, continua l'illecito trattamento dei dati personali dello scrivente» (cfr. Prot. n. XX del XX).
Esaminata tutta la documentazione pervenuta, con nota del XX (cfr. Prot. n. XX), l’Ufficio ai sensi dell’art. 11, comma 1, lett. d) del reg. interno n. 1/2019 (disponibile per la consultazione sul sito www.gpdp.it, doc-web n. 9107633) comunicava alle parti l’archiviazione parziale della doglianza relativamente alle chiamate promozionali realizzate in nome e per conto di Eni Plenitude S.p.A. Società Benefit e di Sky Italia S.r.l., in quanto le questioni prospettate erano già state esaminate con provvedimento prescrittivo e sanzionatorio n. 342 del 6 giugno 2024 (in www.gpdp.it, doc. web. n. 10029424). Contestualmente l’Ufficio notificava alla Società una richiesta di informazioni ai sensi degli artt. 157 del Codice e 58 del Regolamento UE n. 2016/679 con riferimento alle comunicazioni elettroniche (e-mail) finalizzate a saggiare il livello di soddisfazione dei clienti e a quelle recanti l’invito a rilasciare una recensione on-line su una piattaforma appartenente a terzi.
Con nota Prot. n. XX del XX i reclamanti ribadivano che «Nonostante il sottoscritto provvedeva a contattare svariate volte la soc. Eni Plenitude, chiedendogli espressamente di interrompere quello che apparrebbe un illecito trattamento di dati personali, a seguito delle diverse richieste / segnalazioni, precisamente in data XX, la predetta società continuava – imperterrita – ad inviare e-mail sull’indirizzo dello scrivente (…), ove – nello specifico - chiedeva di “lasciare una recensione su Trustpilot”».
Con riscontro Prot. n. XX del XX, in relazione alle comunicazioni elettroniche finalizzate a saggiare il livello di soddisfazione dei clienti, la Società evidenziava che la base giuridica del trattamento era «l’esecuzione del contratto di fornitura ai sensi dell’art. 6, par. 1, lett. b) GDPR, trattandosi di comunicazioni di puro caring, vale a dire volte a comprendere se il servizio offerto, che ha caratteristica continuativa, risponde alle esigenze del cliente o se sia necessario introdurre eventuali correttivi su suggerimento del cliente stesso, senza alcuna proposta commerciale e nemmeno elaborazione a successivi fini commerciali, tramite la richiesta di compilazione facoltativa da parte della clientela di un breve questionario». Nella fattispecie, Eni Plenitude aveva inviato le e-mail in discorso «il giorno successivo alla sottoscrizione del contratto di fornitura da parte della XX, al fine di raccogliere il feedback dei clienti per misurare il gradimento e raccogliere gli eventuali spunti di miglioramento del processo di sottoscrizione dei contratti di fornitura; e − dopo i primi mesi dalla sottoscrizione del contratto, per verificare l’andamento dell’esperienza della clientela e raccogliere gli eventuali spunti di miglioramento relativi al servizio reso».
Nella medesima occasione la Società chiariva che anche la base giuridica del trattamento relativo alla trasmissione di e-mail finalizzate a invogliare il cliente alla pubblicazione di recensioni on-line su piattaforme appartenenti a terzi «è l’esecuzione del contratto di fornitura ai sensi dell’art. 6, par. 1, lett. b) GDPR, trattandosi di comunicazioni volte a misurare il livello di soddisfazione della clientela e migliorare il servizio offerto (c.d. caring). Lo scopo di queste comunicazioni, anche in questo caso del tutto prive di qualsiasi contenuto commerciale o promozionale, è quello di invitare il cliente da poco passato a Plenitude a rilasciare facoltativamente una recensione sul profilo Plenitude di Trustpilot e consentire alla Società di raccogliere spunti per migliorare il proprio servizio anche alla luce di quanto segnalato dagli utenti».
Eni Plenitude dichiarava, altresì, che l’informativa ex art. 13 del Regolamento era stata resa in varie fasi (i.e. multi-layer), sicché all’art. 18 delle Condizioni generali di contratto era presente una prima informativa sintetica che conteneva anche un rinvio all’informativa estesa pubblicata sul sito web della Società. Inoltre, il link a tale ultima informativa era presente sia nel footer del sito, che in calce alle e-mail ricevute dai reclamanti.
Infine, la Società dichiarava che «essendo la base giuridica delle predette comunicazioni l’esecuzione del contratto ai sensi dell’art. 6, par. 1, lett. b) GDPR, non è possibile per gli interessati esercitare il diritto di opposizione alla ricezione di queste comunicazioni ai sensi dell’art. 21 GDPR. Tuttavia, considerando che si tratta di attività facoltative per il cliente, viene garantita la possibilità per i clienti di bloccare la ricezione delle comunicazioni in esame: i) nelle comunicazioni volte a sondare il livello di soddisfazione della clientela di cui al punto a) è presente un link per la disiscrizione, che consente al cliente di non ricevere ulteriori comunicazioni da XX (l’applicativo utilizzato da Plenitude per l’invio delle predette comunicazioni); e ii) nelle comunicazioni relative a Trustpilot, è presente un link per richiedere di non ricevere più comunicazioni via e-mail da parte di Plenitude».
Eni Plenitude evidenziava che nel caso di specie, XX non aveva utilizzato i link utili alla disiscrizione, ma che tuttavia la Società aveva «provveduto in tal senso sulla base di quanto da quest’ultimo segnalato nel Reclamo».
Con nota Prot. n. XX del XX, i reclamanti precisavano ulteriormente di avere inviato a mezzo posta elettronica certificata l’atto di messa in mora con cui si richiedeva di interrompere il trattamento illecito di dati personali. A parere dei reclamanti, inoltre, le argomentazioni fornite dalla Società con la nota del XX e quelle rese nel corso del procedimento, apparivano in contraddizione tra loro e la base giuridica del trattamento non era quella di cui all’art. 6, par. 1, lett. b) del Regolamento. Gli interessati osservavano, infine, di avere continuato a ricevere le comunicazioni indesiderate, nonostante la Società avesse garantito l’interruzione del trattamento.
1.3. Contestazione delle violazioni
L’Ufficio, all’esito dell’istruttoria, adottava il sopra richiamato atto di contestazione n. 3472/25 nel quale, in primo luogo, si osservava che in relazione alle comunicazioni volte a saggiare il livello di soddisfazione del cliente ed a quelle finalizzate a indurlo alla pubblicazione di una recensione on-line, non appariva condivisibile la tesi sostenuta dalla Società sulla riconducibilità delle medesime alla base giuridica del contratto.
Si rilevava, infatti, che l’art. 6, par. 1, lett. b) del Regolamento deve essere interpretato e applicato alla luce del Considerando 44 e dei più generali principi di liceità, correttezza, trasparenza e minimizzazione (cfr. art. 5 del Regolamento).
Ne consegue che il trattamento di dati personali può basarsi sull’art. 6, par. 1, lett. b) del Regolamento soltanto se il medesimo soddisfa il requisito della necessità in ordine alla conclusione ovvero all’esecuzione del contratto.
A contrariis, se il contratto può essere concluso e avere efficacia senza la realizzazione di taluni trattamenti di dati personali, il fondamento normativo e legittimante dei trattamenti dei dati ritenuti non indispensabili alla conclusione dell’accordo doveva essere individuato aliunde in un’altra delle basi giuridiche previste dall’ordinamento.
Nel caso in esame, invece, le comunicazioni oggetto di doglianza, se considerate nel contesto delle circostanze delineate dalle parti e delle finalità dichiaratamente perseguite dalla Società, sembravano estranee al nucleo essenziale dei diritti e degli obblighi strettamente correlati all’esecuzione del contratto di fornitura.
Peraltro anche la presenza del link utile alla disiscrizione in calce alle e-mail oggetto di doglianza, induceva a ritenere che tale tipologia di comunicazioni non fosse reputata essenziale all’esecuzione del contratto anche nell’ambito delle valutazioni realizzate dalla medesima Società.
L’Ufficio osservava, altresì, che l’errata individuazione della base giuridica in ordine ai trattamenti oggetto di doglianza sollevava criticità anche sotto il profilo della chiarezza e trasparenza del trattamento ai sensi degli artt. 5 e da 12 a 14 del Regolamento, poiché anche nell’informativa resa dalla Società i trattamenti in contestazione risultavano sorretti dal presupposto contrattuale, ingenerando quindi nell’interessato la convinzione che tali trattamenti fossero necessari, indispensabili e inevitabili.
Inoltre le informazioni complessivamente fornite all’interessato attraverso le informative multilayer e i disclaimer presenti in calce alle e-mail, nella fattispecie avevano reso difficoltosa l’individuazione degli strumenti messi a disposizione dell’interessato per l’esercizio dei diritti e per esprimere compiutamente la propria volontà in ordine ai trattamenti dei dati personali effettuati da Eni Plenitude.
L’Ufficio, pertanto, contestava a Eni Plenitude le seguenti ipotesi di violazione:
a) artt. 5 e 6 del Regolamento per avere trattato i dati personali dei reclamanti ai fini dell’inoltro di e-mail volte a saggiare il livello di soddisfazione del cliente e ad indurlo a pubblicare una recensione on-line, senza la previa corretta valutazione e individuazione della base giuridica del trattamento;
b) artt. 5, 12, 13 e 14 del Regolamento per avere trattato i dati personali dei reclamanti in assenza del previo conferimento di un’idonea informativa.
2. LA DIFESA DEL TITOLARE
Con memorie difensive trasmesse in data XX (cfr. Prot. n. XX del XX), Eni Plenitude presentava preliminarmente istanza di accesso alle informazioni e ai documenti non condivisi con Plenitude [cfr. pag. 7 «Dal punto di vista fattuale, la valutazione dei diritti, delle libertà e degli interessi dei clienti è confermata dal fatto che la Società nell’ultimo anno ha ricevuto in tutto due soli reclami, di cui uno di XX. Questo perlomeno, secondo le informazioni nella disponibilità di Plenitude e condivise dal Garante nell’ambito del presente procedimento (si intende che, qualora l’Autorità disponesse di informazioni o documenti non condivisi con Plenitude, la presente memoria varrebbe anche come istanza di accesso agli atti)»].
Con nota Prot. n. XX del XX l’Ufficio, richiamando il disposto dell’art. 2, comma 2, del regolamento interno n. 1/2006 (in www.gpdp.it, doc .web n. 1320021) e dell’art. 22, comma 1, lett. a) e b) della L. n. 241/1990, rigettava l’istanza di accesso per mancanza dell’interesse diretto, concreto e attuale correlato alla documentazione di cui si chiedeva l’ostensione, rappresentando che «le ulteriori doglianze pervenute all’attenzione dell’Autorità nei confronti di Eni Plenitude non sono oggetto della presente istruttoria e che pertanto la società non è chiamata a presentare osservazioni in relazione a tali doglianze».
Con la trasmissione delle richiamate memorie difensive, quanto all’inoltro di comunicazioni volte a saggiare il livello di soddisfazione della clientela, Eni Plenitude ribadiva preliminarmente che al momento della richiesta di informazioni notificata dall’Autorità, la base giuridica era individuata nell’esecuzione del contratto di fornitura ai sensi dell’art. 6, par. 1, lett. b) del Regolamento. La Società, infatti, riteneva che tale trattamento «rispondesse a esigenze di caring della clientela e, precisamente, all’esigenza di raccogliere informazioni su eventuali problematiche emerse nel corso della sottoscrizione o dell’esecuzione del contratto di fornitura, in modo da introdurre eventuali correttivi su suggerimento dei clienti stessi, senza alcuna proposta commerciale e nemmeno elaborazione delle informazioni fornite dai clienti per successivi fini commerciali».
La Società, poi, evidenziava che nella fattispecie il trattamento aveva avuto un impatto limitato sia sotto il profilo del canale di comunicazione utilizzato (e-mail), sia in considerazione della natura facoltativa della compilazione. Inoltre, in base alla tesi difensiva avanzata da Eni Plenitude, il trattamento in questione era caratterizzato da una finalità compatibile ai sensi dell’art. 6, par. 4, del Regolamento con quella per cui i dati erano stati originariamente raccolti, e pertanto non richiedeva una base giuridica diversa. Tuttavia, ferma tale compatibilità, la Società aveva ritenuto comunque opportuno apporre il link utile alla disiscrizione, in calce alle e-mail oggetto di doglianza.
Eni Plenitude rappresentava, altresì, che pur avendo ritenuto corretta la base giuridica contrattuale ai fini del trattamento in esame, di fatto aveva comunque effettuato un bilanciamento tra i propri interessi e quelli degli interessati, prevedendo la possibilità di discriscriversi utilizzando il link apposto in calce alle mail oggetto di doglianza.
La Società evidenziava, inoltre, che a seguito della notifica della contestazione da parte dell’Ufficio, aveva rivalutato la base giuridica del trattamento correlato all’inoltro di e-mail volte a saggiare il livello di soddisfazione della clientela, individuandola nel «legittimo interesse del Titolare a verificare la qualità del servizio offerto, al fine del miglioramento continuo per assicurare ai clienti il mantenimento e il miglioramento nel tempo della qualità dei propri beni e servizi».
Analogamente, anche con riferimento all’inoltro di e-mail finalizzare a invogliare la clientela alla pubblicazione di recensioni on-line su piattaforme terze, Eni Plenitude rappresentava che originariamente la base giuridica del trattamento era stata individuata nell’esecuzione del contratto ai sensi dell’art. 6, par. 1, lett. b) del Regolamento, dal momento che tali comunicazioni «prive di contenuti commerciali o promozionali, hanno l’unico scopo di invitare gli interessati a rilasciare, in modo del tutto facoltativo, una recensione sul profilo Plenitude di Trustpilot, e di consentire dunque alla Società di valutare il grado di soddisfazione della clientela rispetto ai prodotti e ai servizi offerti e conseguentemente di intervenire al fine di risolvere situazioni problematiche o di disagio segnalate dai clienti».
Sul punto Eni Plenitude precisava, altresì, che nel corso del XX tale trattamento aveva subito variazioni. Segnatamente le comunicazioni in discorso venivano trasmesse soltanto agli utenti che avevano avuto un’interazione con il servizio clienti. Al termine dell’interazione, l’operatore avvisava l’interessato che avrebbe ricevuto un’e-mail contenente il link per valutare sulla piattaforma Trustpilot il proprio gradimento riguardo alla gestione della sua richiesta. Nel fare ciò, l’operatore informava l’interessato anche della possibilità di esercitare il diritto di opposizione cliccando sul link presente in calce alla comunicazione stessa.
Anche rispetto a tali tipologie di trattamento, a seguito dell’avvenuta notifica della contestazione da parte dell’Ufficio, la Società dichiarava di avere individuato il legittimo interesse come base giuridica del trattamento ai sensi dell’art. 6, par. 1, lett. f) GDPR, che «consiste nel monitorare il grado di soddisfazione della clientela, con l’obiettivo di garantire il miglioramento continuo dei propri beni e servizi, assicurare ai clienti standard qualitativi sempre più elevati e, se necessario, intervenire per risolvere situazioni di insoddisfazione».
Rispetto a entrambe le tipologie di trattamento, la Società trasmetteva la documentazione riguardante le valutazioni svolte (i.e. Legitimate Interest Assessment), all’esito delle quali i diritti e le libertà degli interessati erano stati ritenuti adeguatamente bilanciati, avuto riguardo al legittimo interesse avanzato dal titolare del trattamento, anche in ragione della facoltatività per gli interessati di rilasciare le recensioni e della possibilità di esercitare in maniera semplice e immediata il diritto di opposizione.
Nell’ambito dell’illustrata rivalutazione della propria governance in materia di protezione dei dati personali, Eni Plenitude documentava di avere provveduto all’aggiornamento del Registro delle attività di trattamento e dell’informativa privacy destinata ai clienti. Più in particolare, tale informativa era stata integrata, con la previsione di una sezione specifica riguardante l’attività di customer satisfaction e caring, all’interno della quale si chiariva che la medesima comprendeva «la somministrazione di survey e/o di brevi questionari per valutare il livello di soddisfazione rispetto ai Servizi/Prodotti resi, anche tramite piattaforme terze; e ii. l’analisi e la gestione delle recensioni e/o riscontri sulla propria esperienza con Plenitude pubblicati e/o comunicati anche su piattaforme terze (es. social network oppure piattaforme di recensioni online), anche con la finalità di gestire eventuali richieste di servizio e/o supporto. La base giuridica del trattamento è il legittimo interesse di Eni Plenitude a verificare la qualità del servizio offerto al fine del miglioramento continuo per assicurare ai clienti il mantenimento e il miglioramento nel tempo della qualità dei propri beni e servizi. Il Cliente può opporsi in qualsiasi momento al trattamento e chiedere di non ricevere più queste comunicazioni tramite le seguenti modalità: a) cliccando sull’apposito link presente in ogni comunicazione che sarà inviata da Plenitude (opt-out); b) inviando una comunicazione all’indirizzo e-mail privacy@eniplenitude.com; c) rivolgendosi al DPO all’indirizzo e-mail dpo@eni.com. I dati saranno conservati sino all’eventuale opposizione del Cliente».
L’informativa così aggiornata, veniva resa agli interessati mediante i canali in uso presso la Società (i.e. sito web e App; aggiornamento della documentazione contrattuale; comunicazione in bolletta e via e-mail; aggiornamento del testo disponibile presso i canali fisici e presso il servizio clienti Plenitude).
La Società evidenziava, infine, l’insussistenza dei presupposti per l’adozione di un provvedimento sanzionatorio rilevando che «le violazioni contestate non hanno avuto alcuna apprezzabile conseguenza sostanziale in capo agli interessati (cfr. § 14). Inoltre, la governance della Società è altresì già stata oggetto di tempestivo aggiornamento secondo le indicazioni fornite dal Garante nella Contestazione (…). Pertanto, nessuna delle violazioni di cui alla Contestazione può attualmente essere attribuita alla Società» e illustrava le attenuanti invocate nella denegata ipotesi in cui l’Autorità avesse deciso di comminare misure correttive e/o sanzionatorie.
In occasione dell’audizione tenuta in data XX, la Società evidenziava che le comunicazioni oggetto di doglianza, pur avendo natura commerciale, non erano qualificabili alla stregua di marketing diretto. Eni Plenitude ribadiva, altresì, che i trattamenti di dati personali correlati a tali comunicazioni erano compatibili con l’originaria finalità connessa all’esecuzione del contratto e rientravano tra le attività che l’interessato poteva ragionevolmente aspettarsi.
Sul punto il titolare evidenziava, inoltre, che non erano pervenute ulteriori segnalazioni e reclami alla Società vertenti sulle medesime questioni e che ciò valeva a confermare la correttezza dell’operato della Società.
Nella stessa occasione, il titolare chiariva che le mail del tipo “consiglieresti Eni Plenitude a un collega o a un amico”, non implicavano il conferimento di dati personali o di contatto, né generavano alcuna interazione con l’interessato o con eventuali terzi.
La Società riferiva, infine, che rispetto ai potenziali clienti la survey veniva effettuata dopo il primo contatto, vale a dire durante la fase precontrattuale propedeutica alla conclusione del contratto (solitamente entro una settimana). Analogamente anche gli ex clienti, entro pochi giorni dalla cessazione del contratto potevano ricevere la survey finalizzata a comprendere le ragioni del cambio operatore.
3. VALUTAZIONI DELL’AUTORITÀ
Va in primo luogo rappresentato che le osservazioni avanzate da Eni Plenitude non appaiono idonee a escludere la responsabilità della Società con riferimento alle violazioni oggetto di contestazione.
In primo luogo si osserva che in relazione alle comunicazioni volte a saggiare il livello di soddisfazione del cliente ed a quelle finalizzate a indurlo alla pubblicazione di una recensione on-line, non è condivisibile la tesi sostenuta dalla Società sulla riconducibilità delle medesime alla base giuridica del contratto.
Con l’entrata in vigore del Regolamento, tra i vari profili di novità, è senz’altro annoverabile l’avvenuta codificazione di un sistema incentrato sulla coesistenza di una pluralità di basi giuridiche differenti.
Per l’effetto, nell’ambito dei più ampi doveri di accountability, tra le altre cose, spetta al titolare individuare caso per caso, in considerazione delle specificità della propria organizzazione e delle attività espletate, nonchè dei rischi per i diritti e le libertà dell’interessato, il fondamento di legittimità del trattamento preso in esame.
A dispetto della tesi sostenuta dal titolare, la corretta individuazione della base giuridica del trattamento non si risolve in un mero espediente formale, privo di conseguenze giuridiche, ma al contrario influisce sull’ampiezza della tutela approntata dall’ordinamento e sui diritti spettanti ai soggetti interessati.
Tanto è vero che la base giuridica del trattamento costituisce uno degli elementi essenziali delle informative fornite ai soggetti interessati ai sensi degli artt. 13, par. 1, lett. c) e 14, par. 1, lett. c) del Regolamento.
Con riferimento ai trattamenti di dati personali necessari all'esecuzione di un contratto di cui l'interessato è parte o all'adempimento di obblighi precontrattuali su richiesta dello stesso, si osserva che l’art. 6, par. 1, lett. b) del Regolamento deve essere interpretato e applicato alla luce del Considerando n. 44 a tenore del quale «Il trattamento dovrebbe essere considerato lecito se è necessario nell'ambito di un contratto o ai fini della conclusione di un contratto», nonché dei più generali principi di liceità, correttezza, trasparenza e minimizzazione di cui all’art. 5 del Regolamento.
Ai fini che qui rileva si osserva, altresì, che dalle norme testè citate discendono principalmente due corollari. Da un lato, infatti, il principio di correttezza implica il riconoscimento delle ragionevoli aspettative dei soggetti interessati. Dall’altro lato, l’applicazione delle norme in commento impone che il trattamento di dati personali possa legittimamente basarsi sull’art. 6, par. 1, lett. b) del Regolamento soltanto se il medesimo soddisfa il requisito della oggettiva necessità in ordine all’esecuzione del contratto o delle misure precontrattuali.
A contrariis, se il contratto può essere concluso e avere efficacia senza la realizzazione di taluni trattamenti di dati personali, il fondamento normativo e legittimante dei trattamenti dei dati ritenuti non indispensabili alla conclusione del contratto deve essere individuato aliunde in un’altra delle basi giuridiche previste dall’ordinamento.
In tal senso militano anche le Linee guida 2/2019 sul trattamento di dati personali ai sensi dell’articolo 6, paragrafo 1, lettera b), del regolamento generale sulla protezione dei dati nel contesto della fornitura di servizi online agli interessati(1), ove si legge che «Se il trattamento non è considerato «necessario all’esecuzione di un contratto», ossia quando un servizio richiesto può essere prestato senza lo svolgimento del trattamento specifico, il comitato europeo per la protezione dei dati riconosce che può essere applicabile un’altra base giuridica, purché siano soddisfatte le condizioni pertinenti (…) la nozione di ciò che è «necessario all’esecuzione di un contratto» non equivale alla semplice valutazione di ciò che è consentito o previsto nelle clausole di un contratto. La nozione di necessità ha un significato autonomo nel diritto dell’Unione europea, che deve rispecchiare gli obiettivi della normativa in materia di protezione dei dati. Di conseguenza occorre tenere conto anche del diritto fondamentale alla tutela della vita privata e alla protezione dei dati personali, nonché dei requisiti stabiliti dai principi in materia di protezione dei dati e, in particolare, dal principio di correttezza».
Sempre all’interno delle citate Linee Guida viene esaminato anche il caso del trattamento dei dati personali effettuato ai fini del miglioramento dei propri servizi, osservando che «Spesso i servizi online raccolgono informazioni dettagliate sulle modalità di interazione degli utenti con il loro servizio. Nella maggior parte dei casi, la raccolta di dati relativi a parametri organizzativi concernenti un servizio o di dettagli relativi al coinvolgimento degli utenti non può essere considerata necessaria per la prestazione del servizio, in quanto il servizio può essere fornito in assenza del trattamento di tali dati personali. Tuttavia un prestatore di servizi può fondare tale trattamento su basi giuridiche alternative quali il legittimo interesse o il consenso. Il comitato europeo per la protezione dei dati non ritiene che l’articolo 6, paragrafo 1, lettera b), costituisca in via generale una base giuridica appropriata per un trattamento svolto ai fini del miglioramento di un servizio o dello sviluppo di nuove funzioni nel contesto di un servizio esistente. Nella maggior parte dei casi, un utente stipula un contratto per avvalersi di un servizio esistente. Sebbene la possibilità di apportare miglioramenti e modifiche a un servizio sia spesso sistematicamente inclusa nei termini contrattuali, tale trattamento non può essere considerato oggettivamente necessario, in via generale, all’esecuzione del contratto stipulato con l’utente».
Sul punto non può essere accolta nemmeno l’eccezione avanzata dalla Società in ordine alla compatibilità dei trattamenti oggetto di doglianza con l’originaria finalità del trattamento ai sensi e per gli effetti dell’art. 6, par. 4, del Regolamento. La norma invocata dal titolare disciplina l’ipotesi di trattamenti ulteriori e non contemplati al momento dell’originaria raccolta dei dati personali. Nel caso di specie, invece, per stessa ammissione della Società i trattamenti oggetto di doglianza erano già stati contemplati al momento dell’originaria raccolta dei dati e riversati nell’informativa fornita agli interessati, seppure nell’erronea convinzione che i medesimi fossero riconducibili all’esecuzione del contratto.
Nel caso in esame, le comunicazioni oggetto di doglianza, se considerate nel contesto delle circostanze delineate dalle parti e delle finalità dichiaratamente perseguite dalla Società, si rivelano estranee al nucleo essenziale dei diritti e degli obblighi oggettivamente correlati all’esecuzione del contratto di fornitura.
Stando alle dichiarazioni fornite dal titolare, infatti, le comunicazioni volte a saggiare il livello di soddisfazione del cliente non erano finalizzate alla raccolta di ulteriori dati o contatti, bensì miravano alla mera acquisizione di una valutazione del servizio al fine di porre rimedio a eventuali anomalie o difficoltà riscontrate, cogliere spunti di miglioramento e valutare i progressi in termini di gradimento nel tempo (cfr. memorie difensive « Questo processo consente infatti di raccogliere feedback preziosi, assicurando a Plenitude la possibilità di migliorare la qualità dei prodotti e servizi offerti cercando sempre di più di incontrare le esigenze dei clienti. Plenitude, infatti, tramite la raccolta dei feedback monitora i risultati delle indagini di soddisfazione. Si osservi che l’efficacia di questo approccio è dimostrata dall’andamento del punteggio medio delle indagini di soddisfazione che nell’ultimo anno ha rilevato un incremento positivo, a dimostrazione dell’attenzione della Società verso le opinioni della clientela e del suo impegno nel perseguire un continuo miglioramento»). Analogamente anche le comunicazioni fincalizzate a invogliare l’utente alla pubblicazione di una recensione on-line erano meramente preordinate a valutare il grado di soddisfazione della clientela e intervenire in caso di problematiche.
Dalla documentazione fornita dalle parti emerge che in base alle policy attuate dalla Società, il medesimo interessato poteva essere raggiunto anche più di una volta da tale tipologia di comunicazioni, anche a prescindere dalle interazioni dimostrate e in un ristretto lasso di tempo, dal momento che la Società mirava a ottenere tanto le valutazioni riguardanti la fase prodromica all’attivazione del servizio, quanto quelle relative alla concreta esecuzione del contratto e alla sua cessione, nonché a ponderarne le risultanze nel tempo. Tanto è accaduto anche nel caso degli odierni reclamanti, destinatari di tali missive in data 20 marzo, 15 maggio e poi da ultimo in data 25 luglio.
Indubbiamente il perseguimento di un costante miglioramento dei servizi offerti rientra negli interessi di entrambe le parti del contratto. Parimenti, è di palmare evidenza l’utilità sociale ed economica dei sistemi di recensioni on-line che, soprattutto nell’attuale contesto socio-economico, caratterizzato dal largo utilizzo della rete e da una moltitudine di operatori economici, costituiscono un prezioso strumento di ausilio e orientamento per tutti i consumatori. Tuttavia, tale attività di rilevazione e valutazione nel tempo degli indici di gradimento, pur essendo meritevole di tutela, non presenta i requisiti di necessità richiesti dal combinato disposto degli artt. 5 e 6, par. 1, lett. b), in quanto non incide sulle obbligazioni derivanti dall’attivazione di un contratto di fornitura energetica, che possono essere compiutamente adempiute dalle parti anche in assenza e a prescindere da tali interlocuzioni.
Considerate le illustrate modalità e finalità dei trattamenti presi in esame, deve ritenersi che nel caso di specie il fondamento normativo legittimante l’inoltro di comunicazioni volte a saggiare il livello di soddisfazione della clientela o alla pubblicazione di recensioni on-line su una piattaforma terza, sia necessariamente riconducibile al legittimo interesse perseguito dal titolare del trattamento.
Peraltro, ricondurre tali attività di trattamento alla base giuridica del legittimo interesse, nel caso in esame appare maggiormente aderente al dettato normativo anche in virtù della considerazione che in questo modo l’interessato può efficacemente opporsi alla ricezione di una serie di comunicazioni che non riguardano la fisiologica gestione del contratto (Sic!). Diversamente, se tali comunicazioni si fondassero sul vincolo contrattuale, l’utente sarebbe costretto a ricevere periodicamente comunicazioni non indispensabili all’esecuzione dell’accordo, con una conseguente indebita intrusione nella propria sfera personale.
D’altro canto, anche la presenza del link utile alla disiscrizione, apposto in calce alle e-mail oggetto di doglianza, vale a dimostrare che tali tipologie di comunicazioni non erano considerate essenziali all’esecuzione del contratto neanche nell’ambito delle valutazioni realizzate dalla medesima Società.
La tesi sino ad ora prospettata appare corroborata anche dalle più recenti pronunce della Corte di Giustizia, ove si legge che «affinché un trattamento di dati personali sia considerato necessario all’esecuzione di un contratto, ai sensi di tale disposizione, esso deve essere oggettivamente indispensabile per realizzare una finalità che è parte integrante della prestazione contrattuale destinata all’interessato. Il responsabile del trattamento deve, quindi, essere in grado di dimostrare in che modo l’oggetto principale del contratto non potrebbe essere conseguito in assenza del trattamento di cui è causa. La circostanza che un siffatto trattamento sia menzionato nel contratto oppure che esso sia soltanto utile per l’esecuzione di quest’ultimo è, di per sé, irrilevante al riguardo. Infatti, l’elemento determinante ai fini dell’applicazione della giustificazione di cui all’articolo 6, paragrafo 1, primo comma, lettera b), del RGPD è che il trattamento di dati personali effettuato dal titolare del trattamento sia essenziale per consentire la corretta esecuzione del contratto stipulato tra quest’ultimo e l’interessato e, pertanto, che non esistano altre soluzioni percorribili e meno invasive (…) Per quanto riguarda, sotto un secondo profilo, l’articolo 6, paragrafo 1, primo comma, lettera f), del RGPD, esso prevede che un trattamento di dati personali è lecito se è «necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore». Come già giudicato dalla Corte, detta disposizione prevede tre condizioni cumulative affinché i trattamenti di dati personali da essa considerati siano leciti, vale a dire, in primo luogo, il perseguimento di un legittimo interesse del titolare del trattamento o di terzi, in secondo luogo, la necessità del trattamento dei dati personali per la realizzazione del legittimo interesse perseguito e, in terzo luogo, la condizione che gli interessi o i diritti e le libertà fondamentali dell’interessato dalla tutela dei dati non prevalgano sul legittimo interesse del responsabile del trattamento o di terzi (…) riguardo all’obiettivo diretto al miglioramento del prodotto, non si può escludere a priori che l’interesse del titolare del trattamento a migliorare il suo prodotto o servizio al fine di renderlo più performante e quindi più attrattivo possa costituire un legittimo interesse idoneo a giustificare un trattamento di dati personali e che un siffatto trattamento possa essere necessario per il perseguimento di tale interesse» (cfr. sentenza del 4 Luglio 2023, C-252/21).
In aggiunta anche all’interno delle Linee Guida n. 1/2024 sul trattamento dei dati personali effettuato sulla base dell’art. 6, par. 1, lett. (f) del Regolamento(2) – nella versione attualmente pubblicata ai fini della consultazione pubblica – viene specificato che non esiste un elenco esaustivo di interessi che possono essere considerati legittimi e che pertanto in assenza di una definizione di tale nozione all’interno del Regolamento, un’ampia gamma di interessi è, in linea di principio, in grado di essere considerata legittima. A tale riguardo, sia il Regolamento, che la CGUE hanno espressamente riconosciuto come legittimi diversi interessi, quali ad esempio l’accesso alle informazioni on-line, la garanzia del funzionamento continuo di siti web accessibili al pubblico, l'ottenimento dei dati personali di una persona che ha danneggiato la proprietà di qualcuno per poterla citare in giudizio per danni, la protezione della proprietà, della salute e della vita dei comproprietari di un edificio, il miglioramento dei prodotti e la valutazione del merito creditizio delle persone(3).
La lettera dell’art. 6, par. 1, lett. f) del Regolamento, per come interpretata anche alla luce del Considerando n. 47 del Regolamento, chiarisce che per potere invocare il legittimo interesse, devono sussistere contemporaneamente tre condizioni, vale a dire la sussistenza di un interesse legittimo del titolare o di terzi, la necessità del trattamento di dati personali ai fini del perseguimento del legittimo interesse, l’attento bilanciamento tra il legittimo interesse perseguito dal titolare e i diritti e le libertà degli interessati coinvolti nelle operazioni di trattamento (cfr. ex multis Corte giustizia Unione Europea, Sez. IX, Sent. n. 621/22«detta disposizione prevede tre condizioni cumulative affinché i trattamenti di dati personali da essa considerati siano leciti, vale a dire, in primo luogo, il perseguimento di un legittimo interesse del titolare del trattamento o di terzi, in secondo luogo, la necessità del trattamento dei dati personali per la realizzazione del legittimo interesse perseguito e, in terzo luogo, la condizione che gli interessi o i diritti e le libertà fondamentali dell'interessato dalla tutela dei dati non prevalgano sul legittimo interesse del responsabile del titolare del trattamento o di un terzo (…) Per quanto riguarda, in primo luogo, la condizione relativa al perseguimento di un "legittimo interesse", occorre sottolineare che, come già dichiarato dalla Corte, in assenza di definizione di tale nozione da parte del RGPD, un'ampia gamma di interessi può, in linea di principio, essere considerata legittima (…) Tuttavia, sebbene la nozione di "legittimo interesse", ai sensi dell'articolo 6, paragrafo 1, primo comma, lettera f), del RGPD, non sia limitata agli interessi sanciti e determinati da una legge, essa esige che il legittimo interesse invocato sia lecito»).
A tale riguardo, già nel corso del procedimento, la Società ha illustrato le azioni intraprese al fine di porre rimedio alle condotte oggetto di contestazione, trasmettendo la documentazione relativa alla valutazione e al bilanciamento condotto rispetto agli interessi coinvolti (cd. Legitimate Interest Assessment), nonché l’informativa aggiornata resa agli interessati e l’estratto aggiornato del Registro delle attività di trattamento.
Nel caso in esame gli interessi perseguiti dal titolare risultano senz’altro legittimi e meritevoli di tutela, giacché riconducibili alla più ampia libertà d’impresa riconosciuta anche ai sensi dell’art. 41 della Costituzione. Allo stesso tempo, considerato il mezzo prescelto per la trasmissione delle comunicazioni, che non comporta necessariamente il raggiungimento immediato e in maniera sincrona del destinatario, la natura comune dei dati trattati e il limitato impatto sui diritti e le libertà degli interessati, avuto riguardo anche all’agevole possibilità di esercitare il diritto di opposizione utilizzando il link dedicato, si ritiene condivisibile sia il giudizio di necessità, sia il bilanciamento operato dal titolare.
Per tutte le ragioni già ampiamente illustrate, nel caso di specie, l’errata individuazione della base giuridica in ordine ai trattamenti oggetto di doglianza ha determinato talune carenze anche sotto il profilo della chiarezza e trasparenza del trattamento ai sensi degli artt. 5 e da 12 a 14 del Regolamento, poiché nell’informativa originariamente resa dalla Società i trattamenti in contestazione risultavano sorretti dal presupposto contrattuale, ingenerando quindi nell’interessato la convinzione che tali trattamenti fossero necessari, indispensabili e inevitabili.
Inoltre le informazioni complessivamente fornite agli interessati manifestavano un’intrinseca contraddittorietà, dal momento che le informative multilayer rese facevano riferimento alle comunicazioni oggetto di doglianza alla stregua di operazioni correlate alla gestione contrattuale, mentre le diciture poste in calce alle e-mail contenevano il link utile alla disiscrizione. Tale descritta contraddittorietà, di fatto, aveva reso difficoltosa l’individuazione degli strumenti e dei canali messi a disposizione dell’interessato per l’esercizio dei diritti e per esprimere compiutamente la propria volontà in ordine ai trattamenti dei dati personali effettuati da Eni Plenitude.
A tale riguardo, si rivela meritevole di apprezzamento che, già nel corso del procedimento, ai sensi degli artt. 13, par. 1, lett. d) e 14, par. 2, lett. b) il titolare abbia provveduto all’aggiornamento dell’informativa resa agli interessati con la previsione di una sezione dedicata alle attività di customer satisfaction e caring, recante analitiche indicazioni sulle modalità e finalità delle richiamate tipologie di trattamento, sulla base giuridica e sui canali a disposizione degli interessati per chiedere di non ricevere più le comunicazioni in parola (ciò anche in aderenza a quanto previsto all’interno delle citate Linee Guida n. 1/2024 sul trattamento dei dati personali effettuato sulla base dell’art. 6, par. 1, lett. (f) del Regolamento – nella versione attualmente pubblicata ai fini della consultazione pubblica - «Therefore, data subjects should be specifically informed that the processing is based on Article 6(1)(f) GDPR, if the controller intends to rely on this legal basis. Furthermore, when the processing is based on Article 6(1)(f) GDPR, the specific legitimate interest(s) pursued must be precisely identified and communicated to the data subject in accordan-ce with Article 13(1)(d) and 14(2)(b) GDPR»).
4. CONCLUSIONI
Alla luce di tutte le valutazioni esposte, si ritiene accertata la responsabilità di Eni Plenitude in ordine alle seguenti violazioni:
- artt. 5 e 6 del Regolamento per avere trattato i dati personali dei reclamanti ai fini dell’inoltro di e-mail volte a saggiare il livello di soddisfazione del cliente e ad indurlo a pubblicare una recensione on-line, senza la previa corretta valutazione e individuazione della base giuridica del trattamento;
- artt. 5, 12, 13 e 14 del Regolamento per avere trattato i dati personali dei reclamanti in assenza del previo conferimento di un’idonea informativa.
Considerato il carattere di novità delle questioni giuridiche emerse nel corso del procedimento, nonché la natura episodica della doglianza e il limitato impatto sui diritti e le libertà degli interessati, accertata l’illiceità delle condotte di Eni Plenitude con riferimento al trattamento preso in esame, si rende necessario rivolgere alla Società, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, un ammonimento per aver effettuato le descritte attività di trattamento in violazione delle norme sopra richiamate.
A tale riguardo si aggiunga che a seguito della notifica dei precedenti provvedimenti sanzionatori adottati dal Garante (n. 231 e 232 dell’11 dicembre 2019 e n. 342 del 6 giugno 2024), la Società ha definito la controversia con il pagamento in misura ridotta, il che determina, ai sensi dell’art. 8-bis, comma 5, della legge n. 681/1989, la non applicabilità dell’aggravante di cui all’art. 83, par. 2, lett. e) del Regolamento.
Infine, tenuto conto del contegno collaborativo tenuto dal titolare e delle misure di rimediali già adottate nel corso del procedimento, non si ritiene necessario procedere all’adozione di ulteriori provvedimenti di carattere correttivo e sanzionatorio.
TUTTO CIO’ PREMESSO IL GARANTE
rivolge a Eni Plenitude S.p.A. Società Benefit, in persona del legale rappresentante pro-tempore, con sede legale in Milano (MI), via Giovanni Lorenzini n. 4, P.IVA 12300020158, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, un ammonimento per avere trattato i dati personali dei reclamanti ai fini dell’inoltro di e-mail volte a saggiare il livello di soddisfazione del cliente e ad indurlo a pubblicare una recensione on-line, senza la previa corretta valutazione e individuazione della base giuridica del trattamento e in assenza del previo conferimento di un’idonea informativa, determinando la violazione degli artt. 5, 6, 12, 13 e 14 del Regolamento;
DISPONE
la pubblicazione del presente provvedimento, ai sensi degli artt. 154-bis del Codice e 37 del Regolamento n. 1/2019 nel sito web del Garante, e l’annotazione del medesimo nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso.
Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.
Roma, 17 luglio 2025
IL PRESIDENTE
Stanzione
IL RELATORE
Stanzione
IL SEGRETARIO GENERALE REGGENTE
Filippi
1) Cfr. https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-22019-processing-personal-data-under-article-61b_it
2) Cfr. https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202401_legitimateinterest_en.pdf
3) Cfr. «There is no exhaustive list of interests that may be considered as being legitimate. In the absence of a definition of that concept in the GDPR, a wide range of interests is, in princi-ple, capable of being regarded as legitimate. Both the GDPR and the CJEU have expressly recognised several interests as being legitimate, such as having access to information on-line, ensuring the continued functioning of publicly accessible websites, obtaining the personal information of a person who damaged someone’s property in order to sue that person for damages, protecting the property, health and life of the co-owners of a buil-ding, product improvement, and assessing the creditworthiness of individuals, among others».
