VEDI COMUNICATO STAMPA DEL 9 GIUGNO 2023

[doc. web n. 9894631]

Provvedimento del 14 aprile 2023

Registro dei provvedimenti
n. 182 del 14 aprile 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1 Premessa

Con atto n. 0010911/21 del 23 febbraio 2021 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente riprodotto, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Green Network S.p.a. (di seguito “Green Network“, “la Società” o “GN”, per brevità) in persona del legale rappresentante pro-tempore presso la sede legale della Società in Roma, Via Giulio Vincenzo Bona n. 101 (cap. 00156), C.F. 074551521004.

Il procedimento, da contestualizzarsi nella più ampia attività del Garante finalizzata al contrasto del telemarketing illegale nel settore energetico, trae origine da un’istruttoria condotta unitariamente e cumulativamente dall’Autorità, ai sensi ai sensi degli artt. 10, comma 4 e 20, comma 2, del regolamento interno del Garante n. 1/2019 (rinvenibile nel sito www.gpdp.it). Ciò a seguito di due reclami ed alcune segnalazioni da parte di interessati, i quali lamentavano (come si vedrà meglio infra par. 1.2) la ricezione di telefonate con finalità promozionali da parte della Società, in alcuni casi su utenze riservate e in altri su utenze iscritte nel Registro pubblico delle opposizioni.

1.2. La richiesta di informazioni ed esibizione di documenti, ai sensi dell’art. 157 del Codice e il riscontro fornito da Green Network

Nel contesto sopra richiamato, Green Network  S.p.a., in data 7 ottobre 2020, è stata destinataria di una richiesta di informazioni cumulativa, ai sensi del combinato disposto di cui agli artt. 58, par. 1, lett. a) RGPD e dell’art. 157 del Codice, (infra par. 1.2), con riguardo complessivamente a 5 fascicoli  (nn. 138510, 140542, 136536, 138871, 138907) nei quali venivano lamentati contatti telefonici indesiderati per conto della Società.

Con nota del 26 ottobre 2020 (prot. 0040112/20 del 27 ottobre 2020) la Società ha fornito un riscontro, ricostruendo le vicende che hanno interessato i reclamanti e i segnalanti.  In via preliminare la Società ha inteso richiamare l’attenzione sulle policies specifiche che i partner commerciali sono tenuti a rispettare quando operano per conto di Green Network, nonché sulla prassi, adottata da quest’ultima, di fornire tempestivo riscontro a tutte le segnalazioni che pervengono in materia di contatti promozionali indesiderati.

La Società ha altresì precisato che all’interno delle proprie banche dati non sono mai stati presenti dati personali degli interessati che avevano segnalato le chiamate illecite, fatta eccezione per coloro i quali avevano inviato dei reclami direttamente alla stessa (fasc. 138510 e fasc. 140542).

Con riguardo alle specifiche doglianze pervenute al Garante, Green Network ha quindi evidenziato come nella totalità dei casi in cui gli interessati hanno fornito il numero dal quale è pervenuto il contatto (fascicoli 138510, 140542, 136536), le verifiche interne condotte hanno consentito di rilevare che tutte le predette numerazioni non risultano essere state autorizzate dalla Società.

Più in generale e in riferimento a tutti gli interessati, la Società ha rappresentato che deve parimenti escludersi che “gli interessati siano stati contattati legittimamente (per nostro conto) da quest’ultimi [i partner commerciali, n.d.r]”.

Rispetto al reclamo di cui al fasc. 138510, la Società ha rappresentato di aver provveduto all’inserimento della numerazione in black list, il giorno successivo alla ricezione della richiesta da parte dell’interessato.

Con riguardo al reclamo di cui al fasc. 140542, Green Network ha richiamato l’attenzione dell’Autorità sui riscontri forniti direttamente agli interessati, ivi compresa una comunicazione del 17 luglio 2019, nella quale si evidenziava come il numero utilizzato per il contatto promozionale indesiderato non fosse riferibile alla Società né ai suoi partner.

Infine, la Società ha inteso rimarcare il suo impegno prioritario volto a contrastare “il fenomeno delle chiamate da numerazioni non autorizzate di soggetti terzi” che dichiarano di agire per suo conto; fenomeno che, a detta Società, le arrecherebbe numerosi danni, non solo di immagine.

1.3 Chiusura dell’istruttoria e avvio del procedimento per l’adozione dei provvedimenti correttivi

Esaminati i riscontri forniti dalla Società, l’Ufficio, come sopra accennato, ha adottato in data 23 febbraio 2021, ai sensi dell’art. 166, comma 5, del Codice, l’atto di avvio del procedimento richiamato in premessa, con il quale ha contestato alla Società la violazione delle seguenti disposizioni e per le seguenti ragioni:

1) Artt. 5, par. 2, e 25, par. 1 del Regolamento (Principio di responsabilizzazione e privacy by design), per non aver intrapreso, rispetto al fenomeno degli indebiti contatti promozionali effettuati in suo nome, una efficace azione di contrasto, esercitando (e potendo comprovare) in maniera piena e consapevole, le proprie attribuzioni, alle quali corrispondono i doveri di accountability e di privacy by design (attraverso elementi di prevenzione, funzionalità, sicurezza, trasparenza del trattamento e centralità dell’interessato).

La mera non riferibilità delle numerazioni chiamanti alla rosa di quelle in uso da parte della Società e dei propri partner commerciali, presentata da Green Network (in 8 casi su 9) come elemento di risposta alla richiesta inviata dal Garante, si pone in chiave critica in ragione di quell’ottica proattiva che definisce il principio di responsabilizzazione del titolare del trattamento che permea tutto il nuovo assetto normativo di data protection.

La circostanza, infatti, per cui i contatti telefonici vengono effettuati in nome e per conto di Green Network ne rendevano necessaria ed imprescindibile una puntuale e costante opera di vigilanza e di monitoraggio.

Ad avviso di questa Autorità, appare irragionevole ritenere che l’attività lamentata – conosciuta, peraltro, da Green Network, come la Società stessa ha dichiarato nel riscontro fornito all’Autorità– venga posta in essere utilizzando (presumibilmente con rilevanti esborsi) un’articolata tipologia di dati con l’esclusivo intento di danneggiarla e di esporla a provvedimenti sanzionatori dell’Autorità o ad analoghe iniziative di altre istituzioni, in ragione degli illeciti contestati.

Né dal contesto rappresentato sono emersi elementi idonei ad escludere con certezza che da tale attività, parallela ed esterna a Green Network e apparentemente caratterizzata da una certa sistematicità, non possano derivare vantaggi per quest’ultima in termini di attivazione di servizi o sottoscrizione di nuovi contratti.

Nel riscontro fornito dalla Società, non vi è stata alcuna evidenza – a parte un generico riferimento all’impegno assunto per contrastare questa pratica – circa l’adozione da parte della Società, di misure tecniche ed organizzative idonee a contrastare il lamentato fenomeno.

Né tantomeno Green Network ha mostrato di aver espletato i menzionati doveri di accountability e di privacy by design, in particolare attraverso l’introduzione di forme di controllo nell’ambito dell’organizzazione societaria sia interna (anche con riguardo al personale) che rispetto alla rete di vendita (partner), nonché sui sistemi deputati ad attivare offerte e servizi verso la propria clientela.

2. OSSERVAZIONI DIFENSIVE E VALUTAZIONI DELL’AUTORITÀ

2.1. Memoria difensiva ed audizione di Green Network S.p.A.

Nelle more della presentazione della memoria difensiva, GN ha inviato al Garante, in data 11 marzo 2021, una richiesta di proroga del termine per la presentazione delle suddette memorie, unitamente ad un’istanza di accesso ai documenti amministrativi (prot. 0013753/21 del 12 marzo 2021) riferito a “tutta la documentazione che ha dato origine al procedimento”.

In data 23 marzo 2021 l’Autorità (prot. 0015647/21), ha comunicato l’accoglimento dell’istanza di accesso, pur specificando che la documentazione rilevante relativa al procedimento in questione risultava già nella completa disponibilità della Società, essendo stata interamente allegata alla richiesta di informazioni formulata dall’Ufficio il 7 ottobre 2020. È stata comunque concessa, anche in ragione della emergenza epidemiologica ancora in atto all’epoca, una proroga di 15 giorni per la produzione delle memorie difensive.

In data 8 aprile 2021 Green Network ha fatto pervenire una memoria difensiva all’Autorità, corredata da alcuni allegati, ai sensi dell’art. 166, comma 6, del Codice. In base alla medesima disposizione, il 13 aprile 2021 si è svolta, in videoconferenza, l’audizione richiesta dalla parte di cui è stato redatto apposito verbale. Entrambi i documenti sono da intendersi qui, a tutela della parte, integralmente richiamati e riprodotti, unitamente agli allegati alla memoria difensiva.  Se ne riportano, in ogni caso, gli elementi salienti:

1) Con riferimento alla contestazione di cui al numero 1 del par. 1.3 in relazione al principio di responsabilizzazione e privacy by design (Artt. 5, par. 2, e 25, par. 1 del Regolamento), Green Network, tanto nella memoria quanto in audizione, ha contestato di essere incorsa in tale violazione e ha chiesto l’archiviazione dell’intero procedimento, per le ragioni che seguono, sintetizzabili in tre elementi difensivi:

a) completa estraneità della Società alle chiamate indesiderate oggetto delle doglianze presentate al Garante e assenza di sistematicità nella condotta (Punto II della memoria difensiva) - La Società ha precisato che nelle proprie banche dati non sono mai stati presenti dati personali dei soggetti reclamanti e segnalanti (se non quelli ricevuti per effetto dei reclami stessi) e che i numeri chiamanti indicati nei reclami non corrispondono a numerazioni autorizzate da GN (punto 9 e più ampiamente anche  punti 21-22 della memoria). In aggiunta a ciò GN ha sottolineato come l’esiguo numero di reclami/segnalazioni (cinque) e l’ampio arco di tempo in cui essi sono stati presentati debbano portare ad escludere quel carattere di sistematicità contestato dall’Autorità;

b) presenza di un pregiudizio derivante a Green Network dalle condotte contestate e assenza di vantaggi per la Società (Punto III della memoria difensiva) – Premesso che, secondo la Società, non è corretto contestare violazioni del Regolamento per il solo fatto che gli interessati hanno denunciato contatti telefonici asseritamente effettuati in nome e per conto di Green Network, la Società riporta una serie di casi – uno di questi già noto all’Autorità – in cui il nome della Società è stato confuso con quello, simile, di altri operatori del mercato; nel merito, GN ha criticato l’impostazione generale delle contestazioni formulate dall’Autorità, ritenendole del tutto ipotetiche e prive di elementi “probatori e neppure indiziari”. In particolare è stata sottolineata l’impossibilità per GN di dimostrare una “circostanza negativa” ovverosia l’assenza di vantaggio proveniente per la Società dalle chiamate indesiderate (punto 13 memoria difensiva).

Tanto nella memoria quanto in audizione, la Società ha rappresentato come gli effetti di tali pratiche commerciali non possano essere percepite come vantaggiose per Green Network, dal momento che, oltre ad un danno in termini di reputazione e immagine, la conclusione di un contratto illecito e la sua successiva rescissione sono interamente a carico della Società, senza contare i costi per la gestione dei reclami e il rischio per eventuali procedimenti sanzionatori.

La Società inoltre ha tenuto ad evidenziare alcune iniziative autonomamente intraprese, al fine di combattere il fenomeno richiamato, quali la raccolta di informazioni e segnalazioni utili che vengono poi scambiate anche con altri operatori del mercato, la partecipazione a tavoli di lavoro cui siedono i vari attori del settore energetico nonché la cooperazione con associazioni di imprese e consumatori. Infine, GN ha richiamato anche la segnalazione effettuata, in un caso specifico, all’AGCM e all’ARERA, nonché una denuncia per reato di sostituzione di persona nei confronti di “soggetti che si erano presentati come Green network” (punto 14 memoria difensiva).

c) adozione di misure idonee da parte di Green Network per contrastare le pratiche richiamate (Punto IV della memoria difensiva) – la Società ha illustrato una serie di misure che, a suo avviso, smentirebbero l’affermazione dell’Autorità circa l’assenza di evidenza comprovante l’adozione di misure tecniche ed organizzative idonee a contrastare il fenomeno lamentato.

In primo luogo, GN ha richiamato la centrale rilevanza del proprio modello di “contratto di agenzia” come “prima misura adottata per contrastare il fenomeno” (Punto 16 memoria difensiva e all. 12 alla memoria, il quale però contiene solo una parte del contratto di agenzia).

È stato riferito che l’agente, quando opera per conto di GN ed è nominato responsabile del trattamento, prima di utilizzare qualunque contatto con finalità promozionale è tenuto a:

- “verificare che i contatti non siano inseriti nel Registro Pubblico delle Opposizioni e deve dare evidenza a Green Network dell’avvenuta verifica;

- verificare che il numero non sia presente nelle liste di opposizione (c.d. blacklist) di Green Network, utilizzando gli appositi strumenti messi a disposizione da quest’ultima, in particolare filtrando le liste di contatti tramite l’apposito tool.”

Inoltre GN ha ribadito che “Per contattare gli interessati, l’agente è tenuto ad utilizzare esclusivamente numerazioni iscritte al Registro degli Operatori di Comunicazione; le numerazioni devono essere leggibili dall’interessato, ricontattabili e idonee a identificare il soggetto chiamante e la motivazione della chiamata. L’agente è inoltre tenuto a comunicare a Green Network le numerazioni utilizzate per contattare gli interessati, adoperando e aggiornando l’apposito tool (il c.d. “Tool Numerazioni”).”(Par. 16 memoria difensiva).

Tali verifiche sono previste per le attività di teleselling (clienti prospect) e per il canale di vendita fisica (clienti prospect con presa appuntamento) sia sulle liste cd. “fornite” [dal titolare ovvero GN, n.d.r.] sia sulle liste cd. “procacciate” autonomamente dall’agenzia (si parla in questo caso di autoapprovvigionamento), come si evince dal modello allegato alle memorie (all. 12, tabella ivi contenuta).

Sempre con riferimento alla relazione con le agenzie, la Società ha precisato che ciascun agente è tenuto ad osservare quanto disposto dal “Codice di comportamento per gli operatori che gestiscono i contatti con la clientela finale di Green Network” (all. 13 alla memoria difensiva), il quale è allegato al contratto stesso. Inoltre l’agenzia è tenuta a non utilizzare sistemi automatizzati di contatto (clausola 17.8 dell’allegato 11 alla memoria). Sono altresì previste sanzioni a carico dell’agente in caso di violazione delle disposizioni contrattuali.
Inoltre la violazione del divieto di ricorrere all’utilizzo di soggetti partner (Società, agenzie/o reti di agenti/agenzie, etc), subagenti, ausiliari e di qualsiasi altro collaboratore senza previa autorizzazione scritta di GN è ragione di risoluzione del contratto (clausola 14, all. 11 alla memoria difensiva).

In secondo luogo, premesso che, come scelta aziendale, GN ha stabilito di limitare l’impiego di sub-agenzie, quest’ultime, ove presenti, devono essere preventivamente autorizzate da Green Network, devono essere localizzate esclusivamente e stabilmente in Italia e “per esse viene attivato un autonomo pannello al fine di permettere a GN di risalire direttamente al loro operato” (Punto 17 della memoria).

Quanto alle richiamate misure per verificare l’operato delle agenzie, GN ha espressamente dichiarato che esiste la possibilità per la Società, in qualsiasi momento, di “risalire al soggetto che provvede al caricamento dei contratti sui propri sistemi, bloccando qualsiasi attivazione non conforme.”(Punto 17 della memoria).

Le caratteristiche di tali misure sono state parzialmente chiarite in sede di audizione, dove la Società ha specificato che sarebbe impossibile per eventuali sub-agenzie trasferire alla Società proposte contrattuali tramite l’interfaccia di un’agenzia con cui Green Network ha stabilito un rapporto contrattuale. Ogni sub-agenzia dispone di “un pannello autonomo di caricamento che consente di effettuare i necessari controlli.” (verbale di audizione del 13 aprile 2021).

Nella medesima sede, la Società ha inoltre specificato di effettuare un controllo incrociato dei seguenti dati che devono tra loro necessariamente corrispondere: a) la numerazione telefonica utilizzata per contattare il potenziale nuovo cliente; b) la numerazione telefonica relativa all’agenzia che effettua l’upload della nuova proposta contrattuale nel sistema Green Network.  
Il controllo incrociato, che nel momento in cui tali dichiarazioni sono state rese, avveniva a campione e soltanto in una fase successiva alla stipula del contratto, avverrà in futuro, secondo quanto riportato “tramite un meccanismo automatizzato che confronterà il numero comunicato dal cliente nel vocal order registrato con quello inserito manualmente dall’agenzia che caricherà la proposta di contratto: nel caso in cui tale numero dovesse risultare non autorizzato dalla Società, la proposta contrattuale caricata verrà automaticamente respinta, senza alcun seguito ulteriore.”.

Il nuovo sistema, stando a quanto dichiarato dalla Società solo in sede di audizione (13 aprile 2021), sarebbe stato completato e reso pienamente operativo entro settembre 2021.

Venendo alle verifiche preliminari alla conclusione del contratto con l’utente, è prevista una chiamata da parte di un soggetto terzo (check call) oppure la sottoscrizione del contratto con firma elettronica validata con OTP, e ciò al fine di evitare l’attivazione di contratti la cui origine non sia stata verificata (Punto 17 della memoria).

Così come la Società riferisce che il proprio reparto Sales Quality Control svolge con cadenze periodiche controlli a campione sui contratti caricati: ”contattando telefonicamente gli interessati e chiedendogli di indicare la numerazione dalla quale hanno ricevuto la chiamata/le chiamate che hanno portato alla registrazione della proposta contrattuale; e, conseguentemente, nel caso in cui la numerazione riferita dal cliente non corrisponda a quelle in uso all’agenzia, richiedendo alla stessa il log della chiamata effettuata verso quel cliente con data, ora e numero chiamante utilizzato, in maniera tale da contestare ogni eventuale discrepanza riscontrata.” (sempre Punto 17 della memoria).

In sintesi la Società dichiara di aver approntato strumenti di verifica in capo sia alla funzione del Controllo di Gestione sia a quella del Sales Quality Control al fine di monitorare le attività delle agenzie. Eventuali anomalie rispetto a dei parametri prestabiliti verrebbero prontamente segnalate come potrebbe accadere, per esempio, al raggiungimento di determinate soglie quale quella costituita dal tasso di disconoscimento dei contratti.

Da ultimo, sempre in relazione all’attività delle agenzie, GN ha rappresentato che vengono svolte visite periodiche da parte di suoi incaricati presso le agenzie. In quella sede, gli incaricati GN controllano e verificano che i numeri chiamati siano previamente filtrati, in modo tale da escludere quelli che sono inseriti nel registro delle opposizioni.

È stato rappresentato che delle 674 attività di verifica effettuate da Green Network attraverso lo strumento “controlla numero” (sul sito www.greennetworkenergy.it) negli anni 2019, 2020 e 2021, soltanto una è risultata effettivamente iscritta nel registro delle opposizioni.

Infine, la Società ha rappresentato di aver attivato, sin dal 2015, un servizio di assistenza al consumatore tramite la pagina “Green Network Ti Tutela” presente sul proprio sito internet. Su tale pagina è possibile verificare se il numero dal quale l’utente è stato contattato è autorizzato per campagne commerciali di Green Network ed è altresì possibile segnalare qualsiasi problematica relativa al processo di vendita e formulare l’eventuale richiesta di cancellazione e/o opposizione al trattamento dati personali nei confronti della Società.

Sebbene la parte si sia riservata, in sede di audizione, di inviare tutta la documentazione aggiuntiva a supporto di quanto rappresentato proprio in quella stessa sede, alcuna successiva comunicazione aggiuntiva risulta pervenuta all’Autorità.

2.2 Considerazioni in fatto ed in diritto

Le argomentazioni difensive esposte da Green Network e sopra richiamate non consentono di escludere del tutto la responsabilità della Società in ordine alle violazioni contestate per i seguenti motivi, da considerare in uno con le osservazioni già espresse nel richiamato atto di contestazione:

1) con riferimento alle contestazioni formulate dal Garante con riguardo ai profili di responsabilizzazione del titolare e del rispetto del principio di privacy by design (artt. 5, par. 2, e 25, par. 1 del Regolamento), così come richiamate all’interno del numero 1) del par. 1.3, le argomentazioni presentate dalla Società, sebbene in parte rilevanti, non valgono a superare completamente i rilievi dell’Autorità.

Le argomentazioni della Società a difesa della propria posizione, attraverso il richiamo alla completa estraneità alle condotte e all’esistenza di un pregiudizio per la Società stessa derivante da comportamenti scorretti altrui (si veda supra lettere a) e b), numero 1, par. 2.2), non risultano supportate da elementi concreti idonei ad escludere la responsabilità del titolare e rimangono, in quanto tale, una mera ipotesi. Ciò principalmente perché in nessuno dei passaggi argomentativi sviluppati è stata comprovata in maniera solida, convincente e incontrovertibile la pur grave ed impegnativa dichiarazione circa l’attività di competitor volti ad acquisire clienti presentandosi espressamente come Green Network. Né può soddisfare tale esigenza probatoria il riferimento ad un unico caso in cui GN sarebbe autonomamente riuscita a risalire ad un soggetto autore di pratiche commerciali ingannevoli a suo danno e la cui attività è stata segnalata anche ad AGCM e ARERA. Parimenti non sono in grado di spiegare il fenomeno nel suo complesso i pochi casi segnalati in memoria, basati su non riscontrate segnalazioni di utenti nelle quali è verosimile che l’interessato possa essere incorso in imprecisioni nel riferire fatti, circostanze e soggetti coinvolt.  Tali segnalazioni, peraltro, non risulta siano state prioritariamente comunicate al Garante dalla compagnia, nonostante in esse si riferisse di illeciti trattamenti di dati personali.

In assenza dei suddetti elementi e in considerazione delle istanze degli interessati pervenute all’Autorità, i quali hanno riferito di contatti indesiderati da parte della Società, ovvero della sua rete di vendita, con dichiarazioni in ordine alle quali rispondono anche sotto il profilo penale ai sensi dell'art. 168 del Codice, deve ricondursi a Green Network la titolarità dei trattamenti in esame e, conseguentemente, la responsabilità per le condotte in violazione della protezione dei dati personali.

Venendo alle argomentazioni esposte circa le misure adottate dalla Società per contrastare il fenomeno (supra lett. c), punto 1, par. 2.2), occorre prima di tutto rilevare che l’affidarsi al solo strumento contrattuale rispetto al corretto operato delle agenzie, seppur fondamentale, non è sufficiente a comprovare il rispetto degli obblighi del Regolamento. I vincoli contrattuali tra Società ed Agenti, infatti, se applicati in via esclusiva quale unico strumento di governo e controllo non valgono a contrastare il fenomeno, perché non improntati alla protezione dati personali, perché limitati, per se, ad un’azione sulla sola rete di vendita ufficiale e perché, infine, facilmente aggirabili.

A tal proposito è necessario ricordare che le disposizioni regolamentari (artt. 5, par. 2, e 25, par. 1 del Regolamento) delineano un preciso quadro di responsabilità generale gravante sul titolare del trattamento, non solo nel senso di imporre a quest’ultimo l’adozione di misure adeguate ed efficaci per assicurare il rispetto della disciplina in materia di protezione dei dati personali ma anche nel senso di esigere che il titolare dimostri, in concreto e con elementi probatori rilevabili a sistema (come indicato nell’art. 24 del Regolamento) e quindi costantemente monitorabili dal titolare medesimo, la conformità di qualsiasi attività di trattamento che abbia effettuato direttamente o che altri abbiano effettuato per suo conto (si veda anche considerando 74, RGPD). Si tratta, dunque, di un approccio proattivo che impegna ogni titolare in attività di maggiore incisività proprio nel momento in cui si evidenziano nuovi elementi idonei a comprovare la realizzazione di trattamenti illeciti per conto o utilizzando il nome del titolare medesimo. 

È necessario, dunque, fornire evidenza e prova documentata di valutazioni complessive svolte costantemente sulle caratteristiche dei trattamenti, sui rischi ad essi connessi e sulla efficacia e adeguatezza delle misure adottate caso per caso. Efficacia ed adeguatezza che debbono essere dimostrate con chiarezza attraverso strutturati e sistematici meccanismi di rendicontazione, previsione del rischio e verifica su tutti gli “anelli” – anche quelli intermedi quali, ad esempio, agenzie o sub-agenzie – della catena del trattamento, dal titolare fino all’interessato.

In tale contesto, è innegabile che deponga a favore della Società la richiamata ed asserita esistenza di un sistema di controllo tra il circuito del teleselling e quello del caricamento della proposta contrattuale, perché le dichiarazioni rese da GN dimostrano che la Società ha correttamente “intercettato” il problema e ne ha colto i profili di maggiore nocività per gli interessati. Per tali ragioni, ha cominciato ad approntare una serie di misure – pur ancora incomplete e imperfette – volte a verificare la corrispondenza tra l’origine dei dati personali funzionali alla finalità promozionale e l’effettiva finalizzazione del contratto.

Così come la scelta aziendale di limitare al minimo l’utilizzo delle sub-agenzie, unitamente alla previsione, a decorrere dal settembre 2021, di automatizzare il richiamato meccanismo di controllo tra numerazioni chiamanti e agenzie che materialmente caricano la proposta contrattuale, pare rivelare un approccio sensibile alla intangibilità della sfera di riservatezza degli individui, cercando di evitare al minimo le possibili occasioni di disturbo a danno degli interessati, nonché è indice di una certa attenzione nei confronti del principio di liceità in materia di protezione dei dati personali. 

Tuttavia, permangono due importanti elementi, che concorrono a confermare la sussistenza delle violazioni contestate in capo a GN, pur con delle circostanze attenuanti.

In primo luogo non vi è evidenza documentale alcuna né nelle dichiarazioni difensive né nella documentazione prodotta di un riferimento specifico nell’ambito delle chiamate di controllo, né in quelle precontrattuali né in quelle “a campione” su attività di verifica univocamente indirizzate alla liceità dell’originaria acquisizione del dato e/o del primo contatto, focalizzandosi le stesse piuttosto sulla sola verifica della regolarità dei profili contrattuali e della numerazione dalla quale il cliente ha ricevuto la chiamata che ha portato alla registrazione della proposta contrattuale.

Al contrario, la Società ha dimostrato documentalmente che viene delegata in toto alle agenzie l’attività di controllo preventivo sulla liceità del primo contatto (punto 17.3 del Modello di contratto, di cui all’allegato 11 della memoria), non adempiendo dunque pienamente né all’obbligo di comprovare il rispetto del Regolamento né ad una predeterminazione delle misure tecniche ed organizzative adeguate volte ad attuare in modo efficace i principi di protezione dei dati.

Qualsiasi chiamata di verifica, se relativa ai soli aspetti della volontà a contrarre, non appare di per sé sufficiente a comprovare la liceità dell’origine del dato sin dal primo contatto con i potenziali clienti e rivela, su questo versante, una impostazione meramente formalistica e conservativa basata su una valutazione attinente al solo ambito civilistico del contratto e delle sue caratteristiche, senza che emerga un approccio proattivo a tutela del complesso dei diritti non solo del consumatore ma anche dell'interessato. In altre parole un “quality check” che non contempli anche uno specifico e completo passaggio di vero e proprio “privacy check” non può dirsi una misura idonea ed adeguata ad attuare in modo efficace i principi di protezione dei dati né a garantire il soddisfacimento dei requisiti regolamentari ovvero a tutelare i diritti degli interessati. La previsione circa la richiesta del numero chiamante e il successivo controllo rappresenta un punto di partenza ma non appare di per sé sufficiente ad assicurare appieno il controllo sulla liceità del primo contatto.

In secondo luogo, dalla documentazione fornita dalla Società ed esaminata dal Garante, non emergono con univoca chiarezza le caratteristiche delle modalità di accesso ai sistemi deputati all’attivazione delle offerte e dei servizi, attraverso cui le agenzie possono veicolare il risultato delle proprie attività. Al contrario, risultano delle incoerenze tra quanto dichiarato nella memoria e in sede di audizione e quanto, invece, si ricava dalla lettura degli allegati alla memoria, su tutti il già richiamato modello contrattuale di cui all’allegato 11.

Difatti, nel testo della memoria difensiva e in sede di audizione, GN ha dichiarato che per le sub-agenzie viene attivato un autonomo pannello al fine di permettere a GN di risalire direttamente al loro operato (Punto 17 della memoria) e che esiste la possibilità per la Società, in qualsiasi momento, di “risalire al soggetto che provvede al caricamento dei contratti sui propri sistemi, bloccando qualsiasi attivazione non conforme.” (sempre Punto 17 della memoria).

Tuttavia, le dichiarazioni non risultano confermate da alcuna documentazione illustrativa e, al contrario, dalla documentazione prodotta la Società, infatti, risulta delegare alle agenzie il controllo e la prevenzione dell’utilizzo improprio e/o non autorizzato dei sistemi informativi da essa stessa resi disponibili (tra cui impiego delle credenziali di accesso ai sistemi informativi di GN da parte di utenti non autorizzati; Punto 5.8 del Modello di contratto, di cui all’allegato 11 della memoria).

Peraltro all’interno del medesimo modello contrattuale si ricava chiaramente una sorta di manleva a favore di GN dove si legge “L’Agente sarà inoltre tenuto a manlevare e tenere indenne GN da ogni conseguenza che derivi dal mancato rispetto in relazione alle garanzie sopra prestate” [in materia di protezione dei dati personali, n.d.r., clausola 17.3)].

Questo impianto non appare coerente con l’obbligo di comprovare il rispetto delle disposizioni del Regolamento, avendo la Società offerto un quadro complessivo ove, sebbene siano presenti elementi positivi, la dimostrazione documentale tecnico-organizzativa appare ancora generica, insufficiente e meramente indicativa. 

Al contempo in un sistema siffatto, stando a quanto prodotto in atti, non sembra che il titolare del trattamento abbia provveduto ad integrare in ogni passaggio del trattamento quelle garanzie al fine di soddisfare i requisiti del regolamento e tutelare, conseguentemente, i diritti degli interessati.

È proprio sul controllo relativo alla piattaforma di caricamento delle proposte contrattuali che dovrebbero concentrarsi i controlli preventivi e successivi da parte del titolare, soprattutto in un sistema commerciale che prevede il ricorso ad una rete di vendita esterna e non può ritenersi rispondente ad una logica di accountability né di privacy by design il demandare tale controllo, per il tramite di un vincolo avente natura civilistica, alle sole agenzie.

Il principio di accountability, principale novità del nuovo quadro regolamentare, impone tra le altre cose, come più volte sostenuto dal Garante, una serie di controlli successivi da parte del titolare del trattamento proprio nella fase di caricamento delle proposte contrattuali ovvero dei meccanismi di verifica approntati dal titolare, spiegabili e dimostrabili all’Autorità di controllo, al fine di comprovare il rispetto della normativa e la responsabilità del titolare stesso. In altre parole se l’attività promozionale (genericamente e comunemente indicata come rientrante nel settore del cd. “contact”) è apparentemente diversa e scissa da quella di data entry, a ben guardare questi due distinti momenti sono legati tra loro da una successione non solo temporale ma anche teleologica.

Il fenomeno del telemarketing “selvaggio”, infatti, non si alimenta solo attraverso il ricorso a liste con numerazioni prive di consenso, partner commerciali scorretti o oscuramento delle numerazioni chiamanti; esso trae linfa vitale e presupposto giustificativo dall’assenza di controlli sulla liceità dell’acquisizione del dato nel momento della formalizzazione del vincolo contrattuale così come dalla mancanza di procedure standardizzate e rigorosamente predefinite in grado di tutelare i dati personali dei potenziali clienti nel momento della formulazione della proposta contrattuale, sia essa veicolata attraverso un’unica piattaforma plurimandataria o più piattaforme monomandatarie. In altre parole, fino a quando nei sistemi delle compagnie committenti sarà tecnicamente possibile inserire proposte contrattuali e attivare servizi scavalcando la filiera ufficiale di vendita e inserendo nel patrimonio informativo delle compagnie medesime dati personali raccolti illecitamente dai quali sono originati contatti non consentiti, il c.d. “sottobosco” del telemarketing avrà sempre una possibilità di finalizzare le proprie attività e realizzare i propri indebiti guadagni economici, maturando le previste provvigioni.

In virtù del principio di responsabilizzazione e di quello di privacy by design, il titolare del trattamento dovrebbe approntare delle misure idonee a garantire, in qualsiasi momento e, a maggior ragione, su richiesta dell’Autorità di controllo, la tracciabilità di tutte le operazioni svolte su tali piattaforme. A titolo meramente esemplificativo tali misure potrebbero essere individuate in  procedure di autenticazione che: a) impediscano l’accesso alla piattaforma per il caricamento delle proposte contrattuali con le medesime credenziali da più postazioni; b) impediscano l’accesso effettuato da indirizzi IP diversi o attraverso modalità di autenticazione non conformi a quelle autorizzate per ciascun call center/teleseller o agenzia all’atto dell’attribuzione delle credenziali ovvero di designazione a responsabile del trattamento; c) attribuiscano credenziali di autenticazione individuali per ciascun operatore autorizzato a svolgere le operazioni di inserimento; d) consentano l’identificazione dell’operatore autorizzato anche in caso di contatto telefonico con il servizio di assistenza.

Solo misure di questo tipo, unitamente alla possibilità di identificare con univoca chiarezza il soggetto o l’agenzia che ha raccolto l’adesione dell’utente alla proposta contrattuale (circostanza che GN ha dichiarato ma non dimostrato), rappresentano valide misure volte a comprovare il rispetto delle disposizioni regolamentari da parte del titolare nello svolgimento della sua attività economica. 

Il Regolamento impone, dunque, una visione più complessiva e unitaria, piuttosto che formalista e parziale, del percorso che seguono i dati personali dei potenziali clienti a partire dal primo contatto sino a giungere alla sottoscrizione della vera e propria proposta contrattuale.

Infine, sempre in tema di misure di controllo e verifica, non si comprende esattamente a cosa si riferisca la richiamata affermazione di GN circa “lo strumento controlla numero”, il quale appare riferibile al numero di telefono chiamante e non alla numerazione su cui viene ricevuta la comunicazione indesiderata. Solo a quest’ultima, infatti, è riferibile l’iscrizione o meno al Registro delle opposizioni. Il dato numerico segnalato da GN al punto 23 della memoria, dunque, in astratto significativo, non risulta comprensibile e in ogni caso appare molto ridotto l’effetto di controllo svolto, sull’arco di tre anni, da poco più di 650 attività di verifica a fronte di circa 300 mila clienti in tutta Italia.

3. CONCLUSIONI

Per quanto sopra esposto, si ritiene accertata la responsabilità di Green Network S.p.a. in ordine alle seguenti violazioni: artt. 5, par. 2, e 25, par. 1 del Regolamento, per le motivazioni descritte al numero 1 del precedente paragrafo 2.2;

Pertanto, tutto quanto considerato e accertata l’illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, si rende necessario:

a) ingiungere a Green Network S.p.a, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adeguare ogni trattamento svolto dalla propria rete di vendita a modalità e misure idonee a prevedere e comprovare che l’attivazione di offerte e servizi e la successiva registrazione di contratti avvenga solo a seguito di contatti promozionali che, qualora siano stati operati mediante il mezzo telefonico, siano stati effettuati dalla suddetta rete di vendita attraverso numerazioni telefoniche censite e iscritte al ROC – Registro degli Operatori di Comunicazione e nel rispetto delle disposizioni di cui all’art. 130 del Codice;

b) ingiungere a Green Network S.p.a., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adottare misure tecnico-organizzative idonee ed univoche a stabilire chiari e costanti meccanismi di controllo circa le modalità di utilizzo e accesso alla piattaforma informatica deputata all’attivazione dei contratti e messa nella disponibilità delle agenzie e di blocco o sospensione delle proposte contrattuali frutto di contatti promozionali illeciti;

c) richiedere a Green Network S.p.a. di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato, ai sensi dell’art. 157 del Codice, entro il termine di giorni 40 dalla notifica del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

d) adottare un’ordinanza-ingiunzione per l’applicazione di una sanzione amministrativa pecuniaria ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981.
Ricorrono, infine, i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

4. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Green Network S.p.a. della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3, 4 e 5, del Regolamento (pagamento di una somma fino a € 20.000.000, ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore).

Per la determinazione del massimo edittale della sanzione pecuniaria, occorre pertanto fare riferimento al fatturato di Green Network S.p.A., come ricavato dall’ultimo bilancio ordinario d’esercizio pubblicato nel sistema informativo delle Camere di commercio, in accordo con i precedenti provvedimenti adottati dall’Autorità, e quindi si determina tale massimo edittale, nel caso in argomento, in euro 47.561.905,00.

Ai fini della determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento;

Nel caso in esame, assumono rilevanza:

1) la gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento) – con riferimento alle contestazioni di cui al numero 1 del par. 2.2.2, in ragione della pervasività dei contatti illeciti effettuati in nome del titolare (lesivi di vari diritti fondamentali e, in particolare, oltre al diritto alla protezione dei dati personali, il diritto alla riservatezza e il diritto alla tranquillità individuale), del livello di danno effettivamente subito dagli interessati, che sono stati esposti a chiamate di disturbo e delle crescenti difficoltà che gli stessi incontrano per arginare il fenomeno;

2) quale fattore aggravante, la durata delle violazioni (art. 83, par. 2, lett. a) del Regolamento), in ragione del carattere ripetuto delle violazioni di cui al numero 1;

3) quale fattore attenuante il non elevato numero dei soggetti coinvolti (art. 83, par. 2, lett. a) del Regolamento) che nel caso di specie si riferisce principalmente ai 5 interessati che hanno rivolto le proprie doglianze;

4) quale fattore attenuante, il carattere meramente colposo delle condotte (art. 83, par. 2, lett. b) del Regolamento);

5) quale fattore attenuante, l’adozione di misure, parzialmente chiarite in sede di audizione, volte a mitigare le conseguenze delle violazioni (art. 83, par. 2, lett. c) del Regolamento), con riferimento, in particolare all’adozione di un sistema di controllo tra il circuito di teleselling e quello di caricamento della proposta contrattuale; tali misure, sebbene tecnicamente non meglio dettagliate e, a quanto consta, dichiaratamente in corso di adozione durante la fase difensiva, testimoniano una certa consapevolezza circa l’esistenza del fenomeno del telemarketing selvaggio;

6) quale fattore attenuante, la collaborazione mostrata dalla Società nei confronti del Garante, testimoniata anche in sede di audizione, tramite interventi puntuali; 

7) quali fattori ulteriori da tenere in considerazione per parametrare la sanzione (art. 83, par. 2, lett. k) del Regolamento), l’ampio margine temporale concesso a tutti i titolari del trattamento al fine di consentire loro un compiuto e coerente adeguamento dei sistemi e delle procedure alla nuova normativa europea, in vigore già dal 25 maggio 2016 e pienamente applicabile dal 25 maggio 2018; la particolare attenzione che il legislatore ha dedicato alla regolamentazione del fenomeno del telemarketing, anche con interventi normativi di recente adozione (ad es., legge n. 5/2018) nonché l’ampia attività provvedimentale di riferimento prodotta dal Garante; le considerazioni in ordine al valore economico complessivo della Società.

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società, si ritiene debba applicarsi a Green Network S.p.a. la sanzione amministrativa del pagamento di una somma di euro 237.800,00 pari allo 0,5% della sanzione massima edittale.

Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto dei rischi derivanti dai trattamenti presi in esame che incombono sui diritti e le libertà degli interessati;

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

a) ingiunge a Green Network S.p.a.,  ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adeguare ogni trattamento svolto dalla propria rete di vendita a modalità e misure idonee a prevedere e comprovare che l’attivazione di offerte e servizi e la successiva registrazione di contratti avvenga solo a seguito di contatti promozionali che, qualora siano stati operati mediante il mezzo telefonico, siano stati effettuati dalla suddetta rete di vendita attraverso numerazioni telefoniche censite e iscritte al ROC – Registro degli Operatori di Comunicazione e nel rispetto delle disposizioni di cui all’art. 130 del Codice;

b) ingiunge a Green Network S.p.a., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adottare misure tecnico-organizzative idonee ed univoche a stabilire chiari e costanti meccanismi di controllo circa le modalità di utilizzo e accesso alla piattaforma informatica deputata all’attivazione dei contratti e messa nella disponibilità delle agenzie e di blocco o sospensione delle proposte contrattuali frutto di contatti promozionali illeciti;

c) richiede a Green Network S.p.a. di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato, ai sensi dell’art. 157 del Codice, entro il termine di giorni 40 dalla notifica del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

ORDINA

a Green Network S.p.a., in persona del legale rappresentante pro-tempore, con sede legale in sede legale in Roma, Via Giulio Vincenzo Bona n. 101 (cap. 00156), C.F. 074551521004, di pagare la somma di euro 237.800,00 (duecentotrentasettemilaottocento/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 237.800,00 (duecentotrentasettemilaottocento/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

L’applicazione della sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la sede il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 14 aprile 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL VICE SEGRETARIO GENERALE
Filippi