VEDI ANCHE Comunicato stampa del 7 maggio 2025

 

[doc. web n. 10127930]

Provvedimento del 10 aprile 2025

Registro dei provvedimenti
n.  228 del 10 aprile

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi - Segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018 n. 101, recante disposizioni per l'adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTE Linee guida 07/2020 sui “concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, versione 2.0, adottate dall’European Data Protection Board il 7 luglio 2021 (di seguito anche “Linee Guida 07/2020”)

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

Il Garante, nell’esercizio dei poteri di accertamento e controllo di cui agli artt. 157 e 158 del Codice, ha svolto alcune attività ispettive di concerto con il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, a seguito di un esposto che il medesimo Nucleo ha ricevuto da parte di un redattore del programma televisivo “Striscia la notizia”, sig. XX.

In estrema sintesi, nell’esposto è stato riportato un fenomeno già noto all’Autorità, ovvero quello delle attività di call-center abusivi (privi di formale incarico da parte dei committenti e non censiti presso il Registro degli operatori di comunicazioni – ROC – istituito presso l’Autorità per le garanzie nelle comunicazioni – AGCOM) in possesso di liste anagrafiche di soggetti da contattare telefonicamente per proporre l’attivazione di forniture di servizi telefonici o energetici (gas e luce) anche mediante il passaggio da un gestore all’altro.

In particolare, partendo dalle informazioni ricevute da un ex operatore di call-center, nell’esposto sono state denunciate le pratiche scorrette per il procacciamento di contratti in favore di Acea Energia S.p.A. (di seguito anche solo “Acea” o “Acea Energia” o la “Società”) attuate principalmente dalla società M.G. Company s.r.l., con sede legale in Fiumicino e sedi operative in Roma, Fiumicino, Ladispoli e Terracina.

M.G. Company non era formalmente inserita nella filiera commerciale di Acea ma si avvaleva di una agenzia direttamente contrattualizzata con Acea, la ditta individuale Stefanelli Federica (di seguito, "Stefanelli o la "ditta"). Essa, per far sottoscrivere contratti di forniture luce e gas a potenziali clienti, utilizzava il seguente schema operativo:

a) utilizzo di liste con dati di utenti che avevano di recente effettuato il passaggio da un gestore luce e/o gas ad un altro (cd. liste “switch-out”);

b) prospettazione di inesistenti disguidi tecnici nel passaggio dal gestore “uscente” al gestore “entrante” per vincere la diffidenza e indurre i soggetti contattati ad attivare una fornitura con Acea, paventando l'inesistente rischio di ricevere una doppia fatturazione da parte delle due compagnie (quella disattivata e la nuova in via di attivazione) con conseguenti danni economici per il cliente;

c) prospettazione della soluzione: l’operatore di call-center prospettava quindi al cliente la soluzione di un “rientro tecnico” in Acea “per il tempo necessario a sistemare il disguido e allineare le forniture”. Tale rientro sarebbe avvenuto a condizioni tariffarie estremamente vantaggiose (con il 40% di sconto) in ragione dei disagi patiti;

d) invio di un agente porta-a-porta per la sottoscrizione della proposta di contratto: una volta convinto il potenziale cliente ad aderire alla soluzione proposta, l’operatore del call-center fissava un appuntamento con quello che veniva definito un “incaricato Acea”. Questi si recava quindi presso l’abitazione del cliente, non prima di aver ricevuto tramite WhatsApp dall’operatore il file audio delle conversazioni telefoniche realizzate, e lì provvedeva a far sottoscrivere un nuovo contratto con Acea. L'invio del file audio aveva proprio lo scopo di rendere edotto il runner (vale a dire il venditore porta-a-porta) delle argomentazioni fittizie utilizzate per convincere il potenziale cliente al fine di adottare interlocuzioni più credibili nel corso della visita a domicilio.

In altre parole, i contratti, frutto di illeciti contatti promozionali telefonici realizzati da M.G. Company, nel corso dei quali venivano peraltro veicolate informazioni ingannevoli e spesso con toni aggressivi e intimidatori, confluivano in Acea per il tramite della Ditta Individuale Stefanelli Federica, facendo apparire tali contratti come realizzati nell’ambito di ordinarie promozioni porta-a-porta e tentando quindi di restituire, con questa operazione, un’apparente cornice di legalità alla complessiva iniziativa, viziata in radice dall’illecito traffico di liste di switch-out.

Ricevuto l’esposto, la Guardia di finanza ha provveduto a svolgere approfondimenti mediante la consultazione delle banche dati in uso al Corpo, l’acquisizione di informazioni da fonti aperte e i sopralluoghi.

Sulla scorta di quanto rappresentato dalla Guardia di finanza, e ritenuto che con ogni probabilità le attività di procacciamento di contratti, come illustrate nell’esposto, fossero riconducibili al fenomeno del telemarketing selvaggio, il Garante ha disposto lo svolgimento di accertamenti ispettivi nei confronti dei seguenti soggetti (attività ispettive svolte in contemporanea il 26 marzo 2024 da parte di personale della Guardia di finanza e del Garante):

1) M.G. Company s.r.l., nella sede legale di Fiumicino (via dei Delfini 1, presso il negozio a insegna “Energia e non solo…”) e nelle sedi operative di Latina (piazza dell’Agorà, locali ad insegna M.G. Company s.r.l.), Terracina (piazza Gregorio Antonelli 14/16) e Ladispoli (via delle Rose 12-14-16);

2) Diemme Group di Di Vico Luigi, presso il negozio a insegna “Energia e non solo…” sito in Roma, via Carlo Zucchi n. 13/15, i cui locali sono di proprietà della società Elanim s.r.l., il cui socio unico è il sig. Di Vico Luigi, locali che risultano affittati alla società M.G. Company s.r.l., che a sua volta ne ha concesso l’uso a Diemme Group;

3) Ditta Individuale Stefanelli Federica, con domicilio fiscale in Terracina e luogo di esercizio delle attività in Fiumicino, via Brunelleschi 47, ditta che ad oggi risulta non più operante;

4) M&M s.r.l.s., con sede legale e operativa in Terracina, piazza Gregorio Antonelli 14/16, anche sede operativa di M.G. Company s.r.l.;

5) Ditta Individuale XX, negli uffici di Torino, che non sono risultati operativi: XX risultava legato operativamente sia alla M.G. Company s.r.l. che a Di Vico Luigi, dai quali ha ricevuto emolumenti nell’ambito dell’attività di “procacciatore d’affari senza prevalenza”;

6) Acea Energia S.p.A., nella sede legale di piazzale Ostiense n. 2, Roma.

Sulla base dei riscontri emersi nel corso delle attività del 26 marzo 2024, il Garante ha disposto di svolgere ulteriori accertamenti presso le sedi di Fer-Energy Call s.r.l., atteso che tale società è risultata operare presso la sede di Ladispoli (via delle Rose 12-14-16), presso la quale era presente anche un call-center di M.G. Company s.r.l., e di Fer-Energy s.r.l. Nei confronti di tali ulteriori società, le attività ispettive si sono svolte il 29 marzo 2024, rispettivamente, presso le sedi di Roma, viale Palmiro Togliatti n. 1613, e di Civitavecchia, via delle Azalee snc.

Da tutte le attività ispettive è stato possibile acquisire una notevole mole di informazioni e documenti, che sono stati messi a disposizione dell’Autorità da parte della Guardia di finanza con note acquisite in atti e protocollate il 19 aprile 2024 e 29 maggio 2024.

L’Ufficio ha richiesto ad Acea alcune informazioni integrative (cfr. prot. n. 107799/24 del 13 settembre 2024, riscontrata da Acea con prot. n. 225799/24 del 4 ottobre 2024)), focalizzando l’attenzione sui rapporti con M.G. Company, con i rappresentati legali della stessa società o con dipendenti o collaboratori di questa, richiedendo anche di fornire le proposte di contratti caricate sui sistemi Acea da parte di due operatori, i cui nomi erano emersi durante le ispezioni presso M.G. Company.

All’esito delle attività istruttorie indicate, limitatamente alla posizione di Acea, l’Autorità ha provveduto a notificare alla Società l’atto di avvio del procedimento ex art. 166, comma 5 del Codice; la Società, da parte sua, ha prima richiesto ed ottenuto accesso agli atti istruttori, e successivamente ha depositato le proprie merie difensive, illustrando ulteriormente la propria posizione durante l’audizione tenutasi il 4 marzo 2025.   

2. LA CONTESTAZIONE DELLE VIOLAZIONI

Come anticipato, l’Ufficio ha inviato ad Acea l’atto di avvio del procedimento ex art. 166, comma 5 del Codice (prot. 8687/25 del 23 gennaio 2025), che qui si intende integralmente richiamato, con il quale ha contestato la possibile violazione degli artt. 5, par. 1, lett. a), 6, 7, 13, 24, 25, 28 e 32 del Regolamento e art. 130 del Codice in relazione al trattamento dei dati personali posti in essere dalla allora D.I. Stefanelli Federica e dalla M.G. Company per conto di Acea e alla mancata adozione di adeguate misure di sicurezza ed organizzative.

Ciò in ragione del fatto che i mancati controlli sul responsabile del trattamento e sulla propria filiera commerciale, nonché l'inadeguatezza delle misure di sicurezza adottate avevano permesso l'effettuazione, per lungo tempo, di chiamate promozionali indesiderate, utilizzando dati di illecita provenienza, senza alcun consenso da parte degli interessati che, ignari di qualsiasi informazione sul trattamento, avevano anche subito potenziali danni economici derivanti dalla distorsione della loro volontà contrattuale.

Inoltre, l’Ufficio ha analizzato, a campione, le liste di contatto illecitamente acquisite presso la M.G. Company e ha rinvenuto fra esse numerosi nominativi presenti nella documentazione prodotta da Acea nell’ottobre 2024 relativa alle proposte di contratto registrate nei propri sistemi aziendali.

Con riferimento al rapporto con la Ditta Individuale Stefanelli Federica è stata altresì evidenziata l'assenza di adeguati controlli da parte di Acea sull’assetto dell’impresa e sull’organizzazione delle attività di commerciali, controlli che dovevano essere indirizzati a verificare che un’agenzia che garantiva un volume di contratti pari a poco meno del 10% del volume d’affari door-to-door di Acea non ottenesse tali risultati ponendo  in essere condotte contrarie alle istruzioni ricevute anche avvalendosi del supporto commerciale di terzi non autorizzati da Acea.

Nello specifico, sono state contestate le seguenti violazioni:

a) artt. 5, par. 1, lett. a), 6, 7 e 13 del Regolamento, nonché 130 del Codice, per aver permesso di realizzare contatti telefonici promozionali, utilizzando liste di anagrafiche acquisite in assenza di uno specifico consenso e in assenza del rilascio di una preventiva informativa, liste per le quali non risultavano comprovate le lecite modalità di raccolta dei dati e di acquisizione del consenso per finalità commerciali e promozionali. Sul punto preme precisare che la consapevolezza imputata ad Acea era, fattualmente, declinata come conoscenza di determinate circostanze da parte della responsabile dell’Unità Vendite Mass Market della società, sig.ra XX, così come rappresentate e descritte in fase difensiva dalla M.G. Company, nei confronti della quale l'Ufficio aveva avviato uno specifico procedimento;

b) artt. 5, par. 1, lett. a) e 28 del Regolamento, per aver fattualmente affidato a M.G. Company s.r.l. il trattamento dei dati dei clienti contrattualizzati, in assenza di regolare designazione quale responsabile o sub-responsabile del trattamento;

c) artt. 5, par. 1, lett. f) e 32 del Regolamento, per avere consentito a dipendenti di M.G. Company di accedere ai sistemi informatici di Acea Energia S.p.A. in assenza delle designazioni indicate al punto precedente;

d) artt. 24 e 25 del Regolamento, per avere omesso di porre in essere misure organizzative, verifiche e controlli, idonei a verificare che le attività di marketing realizzate dalla Ditta Individuale Stefanelli Federica, anche in ragione del numero dei contratti sottoscritti, si svolgessero in aderenza con il mandato di vendita “door-to-door” e con la normativa vigente in materia di protezione dei dati personali.

3. LE DIFESE DI ACEA

La Società, dopo aver effettuato accesso alla documentazione in atti a fini difensivi, ha depositato proprie memorie (prot. nn. 23935/25 e 24074/25 del 24 febbraio 2025), che qui si intendono integralmente richiamate, osservando quanto di seguito sinteticamente si riporta:

- sulla presunta consapevolezza della sig.ra XX (Responsabile dell’Unità Vendite Mass Market) in merito all’utilizzo di liste di switch-out da parte della M.G. Company, la Società ha depositato una dichiarazione della stessa al fine di chiarire il contenuto dell'audio riportato dall’Ufficio nell’atto di contestazione. Sul punto la sig.ra XX ha negato di essere a conoscenza dell'utilizzo di liste non autorizzate da parte di M.G. Company/D.I. Stefanelli, precisando che “nella conversazione riportata il termine “liste” si riferisce a contratti che sono andati KO dal distributore dopo contrattualizzazione con Acea Energia” in relazione ai quali era stata richiesta una nuova lavorazione per non perdere le relative provvigioni;

- sulla presunta consapevolezza della sig.ra XX in merito alle attività commerciali svolte dalla sig.ra XX, dalla citata dichiarazione depositata emerge che la sig.ra XX ha chiarito di aver fornito alla sig.ra XX (indicata come supporto amministrativo della D.I. Stefanelli) suggerimenti in merito alle politiche di c.d. Commissioning, vale a dire alle modalità di incasso delle provvigioni, negando che le indicazioni avessero natura commerciale nei confronti dei clienti finali. La stessa dichiarazione, inoltre, contiene precisazioni in merito all’introduzione di un limite massimo di produzione per ogni agenzia, denominato "CAP" e al fatto che “l'agenzia Stefanelli, manifestò malcontento per il proprio CAP assegnato, inferiore rispetto alla produzione storica”. La sig.ra XX, per ovviare a “tale malcontento comunicavo che rispetto al “cap” originario quest’ultimo era stato innalzato a + 400 contratti trimestrali abbassandolo dal “cap” di un’altra struttura”. Alla luce di quanto chiarito, Acea ha negato che, nelle conversazioni contenute nei file audio, la propria dipendente abbia inteso fornire indicazioni afferenti attività di natura commerciale e ha anche tenuto a precisare che “a seguito di una ulteriore verifica puntuale interna è emerso che la detta numerica per l’anno 2022 non è pari a 17.000 punti di fornitura bensì a 11.585 punti di fornitura”;

- sull’“aver fattualmente affidato a MG Company s.r.l. il trattamento dei dati dei clienti contrattualizzati, in assenza di regolare designazione quale responsabile o sub-responsabile del trattamento” (artt. 5, par. 1, lett. a) e 28 del Regolamento), Acea ha affermato di non essere stata a conoscenza di sub-responsabili della Ditta Individuale Federica Stefanelli, designata Responsabile del Trattamento, in quanto la stessa non ne aveva dichiarato la presenza all’interno del questionario allegato all’atto di designazione. Inoltre, “la Scrivente chiarisce che l’assenza di specifiche designazioni quali responsabili o sub-responsabili del trattamento in rapporto alle sig.re XX e XX è dovuta al fatto che le stesse figuravano, per quanto a conoscenza della Scrivente, nell’organico amministrativo della D.I. Stefanelli, la quale avrebbe dovuto procedere alla designazione delle XX, quali soggetti incaricati al trattamento, ai sensi dell’art. 29 del Regolamento, e non come sub-responsabili”. Nelle difese depositate, dunque, Acea ha sostenuto che la D.I. Stefanelli abbia proceduto in maniera autonoma, e senza la dovuta comunicazione, all’utilizzo di personale della M.G. Company per lo svolgimento delle attività oggetto del mandato e, pertanto, “non essendo stato informato circa la presenza di un sub-responsabile, non era nelle condizioni di intervenire preventivamente in quanto del tutto estraneo e privo di qualsiasi potere di incidenza sull’impiego dei dipendenti/collaboratori della D.I. Stefanelli per l’espletamento degli accordi lavorativi, così come sull’effettiva attività da questi eseguita, non conforme a quanto stipulato tra Acea Energia e D.I. Stefanelli”;

- sull’“aver consentito a dipendenti di M.G. Company di accedere ai sistemi informatici di Acea Energia in assenza delle designazioni indicate al punto precedente” (artt. 5, par. 1, lett. f) e 32 del Regolamento), Acea ha descritto le procedure di assegnazione delle credenziali ai runner associati alle proprie agenzie, precisando che per ciascuna agenzia le credenziali sono differenziate tra credenziali di back office e credenziali del runner. “In specie, per il door-to-door cartaceo i runner non hanno credenziali di accesso al sistema di XX e le Proposte di Contratto (di seguito anche “PdC”) sono caricate da utenze di back office attribuite a personale della medesima agenzia; al contrario per il processo door-to-door digitale ai runner sono attribuite credenziali di accesso alla XX poiché il caricamento avviene da parte degli stessi in fase di proposizione contrattuale; vi sono altresì, alcune figure in azienda che hanno un’utenza abilitata sia al caricamento di PdC digitale sia al caricamento in back office di PdC cartacea”. Inoltre, dopo aver riportato le procedure predisposte per la creazione di un profilo di utenza e per evitare un utilizzo non autorizzato, Acea ha concluso affermando che “per quanto a conoscenza della Scrivente, coloro che operavano per conto della D.I. Stefanelli trattavano i dati personali in qualità di incaricati del trattamento ai sensi dell’art. 29 del Regolamento della D.I. Stefanelli. Ne consegue che le credenziali non sono state mai consegnate da Acea Energia alla M.G. Company, bensì alla Stefanelli”;

- sull’aver omesso di porre in essere misure organizzative, verifiche e controlli, idonei a verificare che le attività di marketing realizzate dalla Ditta individuale Stefanelli Federica, anche in ragione del numero di contratti sottoscritti, si svolgessero in aderenza con il mandato di vendita “door-to-door” e con la normativa vigente in materia di protezione dei dati personali, senza quindi avvalersi di telemarketing e teleselling (artt. 24 e 25 del Regolamento), Acea ha indicato tutte le verifiche espletate per la valutazione della D.I. Stefanelli, precisando che, in relazione alle attività di “telemarketing” realizzata in modo occulto da tale agenzia, la Società non ha svolto alcun controllo in quanto l’attività non era oggetto del mandato stipulato tra le parti.

Infine, nelle memorie difensive e nel corso dell'audizione, la Società ha illustrato le misure correttive implementate dopo l’ispezione del marzo 2024, precisando le attività pianificate e non ancora completate nonché il programma di auditing pianificato. In particolare, Acea ha innanzitutto ricordato che le attività di promozione e vendita dei propri servizi sono effettuate prevalentemente tramite il canale door to door, avendo essa già da tempo escluso le attività di telemarketing e teleselling su prospects (tali attività sono rimaste per la veicolazione di promozioni solo nei confronti della customer base o verso utenti che abbiano chiesto il ricontatto attraverso moduli sul web).

Inoltre, Acea ha descritto le seguenti misure di garanzie successivamente adottate:

a) da ottobre 2024, controllo automatizzato e puntuale (prima era a campione) sulla geolocalizzazione dell'agente di vendita al momento della creazione della PDC (proposta di contratto) per verificarne la conformità all'indirizzo del cliente contrattualizzato;

b) dal 1° luglio 2024, blocco automatico in caso di accesso in multisessione con stesse credenziali al sistema aziendale XX;

c) dal 1° luglio 2024, blocco automatico nei sistemi in caso di attivazione di contratti a utenti ultrasettantacinquenni;

d) dal 1° luglio 2024, introduzione dell'accesso al sistema XX con autenticazione multi-fattore;

e) dall'11 luglio 2024, monitoraggio automatico di tutti i contratti digitali sottoscritti dal canale door to door, con imposizione di una soglia di 5 PDC giornaliere per agente, al fine di individuare livelli di produttività non congruenti con quanto normalmente atteso;

f) dall'11 luglio 2024, introduzione del processo di gestione delle anagrafiche degli agenti al fine di automatizzare alcuni controlli sull'operato di ogni singolo agente per far emergere eventuali condotte non corrispondenti alle istruzioni impartite ai responsabili del trattamento e per bloccare la codifica di autorizzazioni ad agenti già cessati per malpractice.

Da ultimo la Società ha ricordato che ogni PDC originata dal canale porta a porta viene seguita da una quality call, effettuata da un call center di Acea, per verificare l'effettiva volontà del cliente e per avere conferma del corretto operato dell'agente; riguardo a quest'ultimo aspetto, la Società ha precisato che con la chiamata di controllo veniva richiesto al cliente di confermare che l'agente si fosse recato fisicamente al suo domicilio e, più di recente, è stata introdotta anche una specifica domanda volta a verificare che la visita domiciliare non fosse stata preceduta da un contatto telefonico non autorizzato.

4. VALUTAZIONI DELL’AUTORITÀ

4.1. Panoramica generale

Prima di entrare nel merito delle singole violazioni accertate, appare opportuno delineare un breve quadro del sistema portato alla luce dall’Ufficio con la collaborazione della Guardia di Finanza. In particolare, il complesso degli accertamenti indicati porta a considerare le attività svolte dai diversi soggetti richiamati al precedente punto 1 e dai numerosi collaboratori che ruotavano attorno ad essi, come univocamente indirizzate a realizzare un massivo procacciamento di contratti di fornitura di servizi energetici con modalità illecite.

Tali contratti sono risultati in gran parte veicolati verso la compagnia energetica Acea Energia S.p.A., che ha potuto avvalersi, dal 2020 al 2021, della collaborazione diretta di M.G. Company. All’interruzione del rapporto formale con M.G. Company, avvenuta nel marzo del 2021, le attività di procacciamento di contratti per conto di Acea Energia sono proseguite con la Ditta Individuale Stefanelli Federica (la cui titolare è stata collaboratrice di M.G. Company dal 2019 al 2022) la quale, fra il 2022 e il 2024, ha trasmesso alla compagnia energetica un volume di contratti relativi a circa 27.000 punti di fornitura, incassando oltre due milioni di euro per provvigioni.

Va evidenziato che, nonostante l’avvicendarsi di soggetti diversi nei rapporti di collaborazione formale con Acea Energia, gli accertamenti ispettivi hanno consentito di rilevare la sostanziale continuità delle attività di procacciamento di contratti in favore di Acea Energia, e ciò nell’ambito di un sistema che ha avuto il suo centro organizzativo negli uffici della M.G. Company. Inoltre, nonostante il mandato conferito alla D.I. Stefanelli fosse formalmente limitato al “door-to-door”, l’operatività concreta con cui i contratti per Acea venivano conclusi rientrava in una attività di teleselling (per di più, illecito e con l’utilizzo di modalità truffaldine).  

Come accennato, Acea ha interrotto formalmente la collaborazione con M.G. Company nel marzo 2021 e, successivamente nell’agosto 2022, ha affidato il medesimo mandato (già di M.G. Company) alla D.I. Federica Stefanelli, ex collaboratrice della stessa M.G. Company, che si è avvalsa del personale e dei call-center di M.G. Company per le attività commerciali di conclusione delle proposte di contratto per conto di Acea.

Ciò posto, l’Autorità, in base alle specifiche osservazioni difensive, è chiamata principalmente a valutare se la dichiarata non conoscenza di uno stato fattuale da parte di Acea, che ha beneficiato del trattamento illecito, realizzato su vasta scala, con mezzi fraudolenti dai suoi partner, e che sia conseguenza di condotte omissive da parte della stessa, sia in qualche modo giustificabile ovvero se tale situazione, per le caratteristiche del caso di specie, sia, invece, da ritenere non scusabile e, dunque, rilevante sotto il profilo della responsabilità nel quadro della normativa in materia di protezione dei dati personali.

In altri termini, è necessario in primo luogo valutare se l'illiceità delle condotte poste in essere dalla ditta Stefanelli e, per suo tramite, da M.G. Company - asseritamente realizzate in difformità dalle istruzioni impartite da Acea nonché da quanto pattuito contrattualmente - siano imputabili anche ad Acea stessa, non solo in ragione del beneficio economico ottenuto, ma anche in considerazione dell'adeguatezza delle misure di controllo adottate dalla committente al fine di prevenire, per quanto noto allo stato dell'arte e sulla base della diligenza professionale attesa, la realizzazione di condotte del tipo di quelle poste in essere nel caso di specie.

Inoltre, nel particolare contesto delle forniture energetiche, caratterizzato dalla presenza di un ampio “sottobosco” di agenzie che operano illecitamente contattando telefonicamente, più volte al giorno, milioni di clienti e che poi tentano di sanare tale pratica deteriore facendo apparire i relativi contratti come realizzati da attività porta-a-porta, la domanda che deve porsi è se un attore di primaria grandezza come Acea Energia avesse o meno consapevolezza di tale imponente fenomeno, che si affronta costantemente in dibattiti, iniziative parlamentari e anche nelle attività di almeno quattro autorità amministrative indipendenti (Garante, AGCOM, AGCM, ARERA), e avesse sviluppato i necessari “anticorpi” da attivare proprio in presenza di pratiche e volumi d’affari sospetti.

La risposta che, già prima dell’analitico esame delle specifiche contestazioni, può ricavarsi è che Acea Energia, pur consapevole dei rischi insiti in una capillare attività promozionale realizzata attraverso una vasta rete di agenzie esterne, non è stata in grado di intercettare un fenomeno di enormi dimensioni i cui profittevoli esiti sono confluiti nei propri sistemi aziendali, fenomeno che, va ricordato, ha tratto origine dall’illecita acquisizione di liste di switch-out, è poi proseguito con il massivo contatto telefonico di decine di migliaia di clienti ai quali venivano paventati danni economici se non avessero aderito alle offerte, e si è concluso con la realizzazione di quasi 30.000 contratti di fornitura in favore di Acea nel breve volgere di un anno e mezzo, formalmente veicolati da una ditta individuale che risultava avere in forza un solo addetto.  

4.2. Colpa “in eligendo” e “in vigilando”

Come anticipato, le argomentazioni difensive esposte da Acea Energia non consentono di escludere la responsabilità della stessa in ordine alle violazioni contestate per i seguenti motivi, da considerare in uno con le osservazioni già espresse nel richiamato atto di contestazione.

Tutta la linea difensiva di Acea si articola sulla mancata conoscenza del coinvolgimento di M.G. Company nel trattamento dei dati, dovuta alla circostanza che la D.I. Stefanelli non aveva correttamente indicato la società come propria sub-responsabile; tale situazione, inoltre, avrebbe ingenerato in Acea la convinzione che tutti i collaboratori della D.I. Stefanelli, compresi il rappresentate legale di M.G. Company e 16 suoi dipendenti e collaboratori, fossero inseriti nella struttura della medesima agenzia e, dunque, ricadenti nell’operatività dell’art. 29 del Regolamento.  

Inoltre, Acea ha dichiarato anche di non avere conoscenza delle attività di teleselling poste in essere per la conclusione delle proposte di contratto caricate dalla D.I. Stefanelli.

Per le violazioni che sono riconducibili a tale profilo Acea, con le proprie memorie ha affermato che “è di tutta evidenza che Acea Energia non era in alcun modo a conoscenza dell’esistenza di un sub-responsabile della D.I. Stefanelli in quanto mai comunicato dalla ditta né preventivamente in sede di stipula del contratto, né nel corso dell’esecuzione dello stesso. A conferma di ciò, la Scrivente chiarisce che l’assenza di specifiche designazioni quali responsabili o sub-responsabili del trattamento in rapporto alle sig.re XX e XX è dovuta al fatto che le stesse figuravano, per quanto a conoscenza della Scrivente, nell’organico amministrativo della D.I. Stefanelli, la quale avrebbe dovuto procedere alla designazione delle XX, quali soggetti incaricati al trattamento, ai sensi dell’art. 29 del Regolamento, e non come sub-responsabili”.

Pertanto, da un punto di vista sistematico si ritiene opportuno affrontare tale tema (scusabilità dell’eventuale “non conoscenza” delle condotte dei propri partner), prima di procedere a specifiche valutazioni relative alle risultanze dell’istruttoria, che includono anche l’ampia documentazione circa i rapporti diretti fra Acea e M.G. Company.

In primo luogo, occorre valutare l’adeguatezza delle verifiche poste in essere da Acea per addivenire al convincimento che la D.I. Stefanelli presentasse quelle garanzie sufficienti di cui parla l’art. 28 del Regolamento.

Sotto tale profilo la Società ha affermato che “A titolo esemplificativo, Acea Energia svolge, in linea con le proprie procedure interne, una verifica di onorabilità sui potenziali BP nonché sui relativi amministratori/soci utilizzando una piattaforma messa a disposizione da Cerved, che restituisce un dato sintetico con evidenza di eventuali elementi di criticità (c.d. red flags) in base alle informazioni raccolte in termini di tipologia di struttura societaria, presenza di soggetti esposti politicamente, presenza di eventuali procedimenti o condanne a carico del BP o di suoi esponenti. Al riguardo si segnala che, prima di procedere alla contrattualizzazione della Ditta Stefanelli (avvenuta nel mese di agosto 2022), Acea Energia ha svolto la suddetta verifica e la piattaforma non ha restituito evidenze come da report archiviati presso la scrivente Società”.

Eppure, da quanto emerso, tra la documentazione raccolta e valutata da Acea manca la visura camerale del proprio agente dalla cui consultazione si poteva facilmente apprendere che, in relazione agli anni 2022-2024, la D.I. Stefanelli aveva impiegato 1 solo addetto nell’attività, vale a dire la stessa titolare Stefanelli. Inoltre, le verifiche che Acea ha dichiarato di effettuare sono unicamente volte ad appurare una generica conformità a requisiti di onorabilità e all'assenza di pregressi reati della controparte contrattuale; profili che hanno di certo rilevanza nella selezione di un qualunque fornitore ma che non danno particolari informazioni in merito all'idoneità del partner a ricoprire il ruolo di responsabile nello specifico trattamento posto in essere.

Sul punto giova richiamare le Linee Guida 07/2020, secondo le quali “94. Il titolare del trattamento ha il dovere di impiegare «unicamente responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate», in modo tale che il trattamento soddisfi i requisiti del GDPR, anche in merito alla sicurezza dello stesso, e garantisca la tutela dei diritti degli interessati. Il titolare del trattamento è pertanto responsabile della valutazione dell’adeguatezza delle garanzie presentate dal responsabile del trattamento e dovrebbe essere in grado di dimostrare di aver preso in seria considerazione tutti gli elementi di cui al GDPR.

95. Le garanzie «presentate» dal responsabile del trattamento sono quelle che il responsabile del trattamento è in grado di dimostrare in modo soddisfacente al titolare del trattamento, essendo queste le uniche che possono essere effettivamente prese in considerazione da detto titolare nel valutare l’adempimento dei suoi obblighi. Spesso ciò richiederà uno scambio di documentazione pertinente (ad esempio, politica in materia di privacy, condizioni di erogazione del servizio, registro delle attività di trattamento, meccanismi di gestione dei log, politica in materia di sicurezza delle informazioni, relazioni di audit esterni sulla protezione dei dati e certificazioni internazionali riconosciute, come la serie ISO 27000). […]

97. Il titolare del trattamento dovrebbe tenere conto dei seguenti elementi, al fine di valutare l’adeguatezza delle garanzie: le conoscenze specialistiche (ad esempio, le competenze tecniche in materia di misure di sicurezza e di violazione dei dati), l’affidabilità e le risorse del responsabile del trattamento”.

Dalle evidenze raccolte è emerso, invece, che la D.I. Federica Stefanelli fosse sostanzialmente priva di una struttura e di risorse proprie tanto che, per svolgere l’attività commerciale “door-to-door” per conto di Acea, si avvaleva di collaboratori e strutture della società M.G. Company, come emerge dagli incarichi in essere tra le due società dal 2022 al 2024 e dal fatto che, 18 collaboratori indicati ad Acea come propri erano, in realtà, dipendenti, collaboratori e addirittura rappresentanti legali di M.G. Company.

Acea ha dunque affidato il trattamento di dati personali dei propri clienti alla D.I. Stefanelli che, per dimensione e esperienza nel settore, non presentava garanzie sufficienti a mettere in atto misure tecniche e organizzative adeguate a garantire l’applicazione delle tutele prescritte dal Regolamento; né, del resto, risulta che Acea abbia mai effettuato attività di audit sul proprio partner, né in fase di selezione, né successivamente.

In merito ai rapporti con dipendenti e collaboratori di M.G. Company, la stessa Acea, con nota del 3 ottobre 2024, ha rappresentato di aver continuato “ad intrattenere rapporti di natura commerciale con i seguenti nominativi […] si tratta, infatti, di runner/collaboratori che, dopo aver lavorato per MG Company s.r.l., hanno operato in qualità di runner per la ditta Stefanelli Federica […]”.

I nominativi indicati sono 16 a cui vanno aggiunti quelli delle sig.re XX e XX che, nonostante i rispettivi ruoli di rappresentante legale, la prima, e precedente rappresentate legale, la seconda, di M.G. Company, secondo quanto sostenuto da Acea, avrebbero dovuto porre in essere unicamente “attività di carattere amministrativo (a titolo esemplificativo, invito a fatturare, applicazione delle penali, ecc.) e di back office, nonché finalizzate al recruiting dei runner e comunque non svolgevano attività di vendita” per conto della Ditta Stefanelli.

Sul punto, in primo luogo, si rappresenta che Acea non ha fornito alcuna evidenza di quanto appena riportato, né in merito alla richiesta del proprio agente, né soprattutto del ruolo meramente amministrativo delle sig.re XX. In fase di audizione, sul punto, Acea ha affermato che “Sapevamo invece che la Stefanelli si sarebbe avvalsa delle sorelle XX in ragione della loro esperienza e in ragione della minore esperienza della Stefanelli stessa, in una logica di tutoraggio, di attività di back-office e di supporto amministrativo. E ciò era anche plausibile in ragione del costante utilizzo della mail della Stefanelli e non di quelle di MG Company”.  

Tra l'altro, dalle conversazioni tra la XX e la sig.ra XX, responsabile dell’Unità Vendite Mass Market di Acea, conversazioni acquisite agli atti a seguito di audizione dei M.G. Company, emerge che la rappresentante della predetta società aveva un ruolo decisionale che andava ben oltre la mera effettuazione di attività amministrative per Stefanelli potendo concordare, in prima persona, e ottenere dalla XX: l'ampliamento del numero di contratti effettuabili (cd. CAP); la formazione commerciale del personale; l'intervento e il verosimile “accomodamento” sui blocchi causati dalle instant call (chiamate di verifica della presenza del venditore door-to-door nel domicilio del cliente – cfr. file “WhatsApp Audio 2024-12-05 at 14.36.262 nel quale XX rassicura XX "adesso ho trovato una soluzione solo...per i tuoi e basta” oppure cfr. file “WhatsApp Audio 2024-12-05 at 14.29.15” in cui XX si rivolge a XX dicendo “io sto alle instant pure per pararvi il culo”); inoltre, dal file “WhatsApp Image 2024-12-05 at 15.15.42 (1)” emerge che, alle rimostranze di XX per il riconoscimento delle provvigioni, XX rispondeva “Dimmi tu. Io ti ho consigliato. Poi se non vuoi più andare avanti è un'altra cosa. Io ti supporto al massimo più del dovuto”.

A fronte di tali risultanze, che tra l’altro rafforzano la non idoneità della D.I. Stefanelli, in relazione a quanto previsto dall’art. 28 del Regolamento, è emerso per tabulas che:

- come, anticipato, dalla visura camerale della D.I. Stefanelli, la stessa dal 2022 al 2024 ha impiegato solo 1 addetto, vale a dire la stessa titolare della ditta. Ciò implica che tutti i collaboratori associati alla stessa ditta individuale non potevano che essere soggetti esterni alla medesima struttura il cui effettivo inquadramento doveva essere oggetto di specifiche verifiche da parte di Acea;

- dalla visura camerale di M.G. Company, la sig.ra XX era ed è la rappresentante legale della stessa M.G. Company dunque il suo inserimento quale collaboratrice subordinata nella struttura della D.I. Stefanelli non sembra aderente alla realtà documentale, tenuto conto del peso, in termini commerciali e di esperienza, della M.G. Company rispetto alla D.I. Stefanelli e del fatto che le due entità aziendali operavano nel medesimo contesto avvicendandosi nella realizzazione della medesima attività commerciale.

Entrambe le circostanze erano piuttosto agevoli da verificare con una semplice consultazione delle informazioni disponibili nel Registro delle imprese e con un preliminare audit presso la sede legale della Stefanelli ma, dalle dichiarazioni di Acea, non risulta alcuna verifica di tal tipo. Nel caso di specie, inoltre, la pregressa conoscenza del ruolo di rappresentante legale di M.G. Company della sig.ra XX da parte di Acea avrebbe dovuto rendere doveroso ogni controllo volto ad accertare che presso la M.G. Company non si svolgessero, come in passato, attività di telemarketing per conto della ditta individuale Stefanelli, e quindi di Acea, e avrebbe dovuto far emergere la necessità di un riscontro sulla reale consistenza aziendale della predetta ditta individuale, anche al fine di accertare se XX, e la sorella XX, precedente titolare di M.G. Company, fossero effettivamente dei meri collaboratori della sig.ra Stefanelli, ovvero rivestissero il ruolo di titolare occulto della complessiva attività imprenditoriale.

Si deve infatti precisare che M.G. Company e le sue rappresentanti legali erano ben note ad alcuni referenti aziendali di Acea che, in ragione del proprio ruolo, avevano stabilito con esse contatti diretti e protratti nel tempo. Inoltre, da quanto emerso dalla parallela istruttoria e dal procedimento avviato nei confronti di M.G. Company, la frequentazione fra la referente di Acea, sig.ra XX, e le sorelle XX, anche in costanza di contratto con la D.I. Stefanelli, era costante ed esulava anche dal semplice contesto meramente lavorativo.

Una maggiore cautela, inoltre, doveva essere suggerita anche dalle criticità, ormai ben note, del mercato energetico e dello stesso fenomeno del c.d. sottobosco nonché dell'utilizzo di liste di illecita provenienza che, da quanto dichiarato da Acea, la compagnia energetica ben conosceva tanto da aver anche sporto denuncia del 2021, indicando proprio la sig.ra XX come persona a conoscenza della pratica indicata.

In base alle considerazioni di cui sopra, emerge con evidenza come l’asserita inconsapevolezza di Acea in ordine alle pratiche scorrette in uso presso la D.I. Stefanelli anche per il tramite di M.G. Company, non possa essere ragionevolmente invocata, poiché la compagnia energetica aveva a disposizione tutti gli elementi conoscitivi necessari per avviare un processo di verifiche e controlli nei confronti dei suoi partner volto ad accertare la reale natura delle loro attività, verifiche e controlli che da quanto emerso in istruttoria non risulta siano stati posti in essere all’epoca dei fatti.

Sulla base delle osservazioni di cui sopra è quindi possibile analizzare i profili di responsabilità relativi alle singole contestazioni formulate nell’atto di avvio del procedimento.

a) artt. 5, par. 1, lett. a), 6, 7 e 13 del Regolamento, nonché 130 del Codice;

Per affermare la sussistenza della violazione in epigrafe si deve, in primo luogo, osservare che costituisce riscontro esterno ineludibile la circostanza che la responsabile commerciale di Acea, sig.ra XX, in pendenza di mandato con la D.I. Stefanelli, ha svolto attività di formazione commerciale a personale asseritamente appartenente alla Stefanelli ma, di fatto, reclutato da M.G. Company (tra il materiale agli atti - fornito anche ad Acea in fase difensiva - risulta ad esempio la locandina di un corso di formazione organizzato a Pomezia il 14 ottobre 2022 dove il logo di M.G. Company appare assieme a quello di Acea Energia).

Inoltre, sempre in merito all'organizzazione di detto corso, è risultato che la sig.ra XX formulasse specifiche richieste alla XX perché dovevano “scendere anche quelli di Torino”. Dalle verifiche ispettive effettuate, i collaboratori di Torino sono collegati ad un’altra società del c.d. sottobosco identificata, nello specifico, come Ditta Individuale XX, legata operativamente sia alla M.G. Company s.r.l. che a Diemme Group di Di Vico Luigi. Dal tenore delle interlocuzioni riportate agli atti, si evince che la sig.ra XX era a conoscenza di quanto oggetto di conversazione, avendo essa aderito alle richieste della XX per tenere conto anche delle rappresentate esigenze di “quelli di Torino”.

Ne consegue che, nonostante la formale interruzione dei rapporti con M.G. Company, questa in concreto - dalla seconda metà del 2022 alla primavera del 2024 - era invece pienamente attiva nel procacciamento e nella conclusione di contratti per conto di Acea, e ciò è avvenuto senza che la compagnia energetica avesse adottato adeguati presidi di sicurezza per intercettare e rilevare tale attività.   

D’altra parte, è indubbio che i trattamenti svolti dai call-center di M.G. Company siano da attribuire alla titolarità di Acea e che gli stessi trattamenti abbiano generato, fra il 2022 e il 2024, contratti per circa 27.000 punti di fornitura, garantendo provvigioni alla Ditta Stefanelli, erogati da Acea, per oltre due milioni di euro.

Le modalità operative accertate prevedevano, come accennato, l’utilizzo di liste “non consensate” e di provenienza verosimilmente illecita, la mancata comunicazione dell’informativa agli interessati e l’utilizzo di artifizi al fine di indurre gli interessati a sottoscrivere il contratto di fornitura con Acea, condotte che M.G. Company ha potuto concretizzare per due anni proprio in ragione della sostanziale acquiescenza della compagnia energetica che, attraverso la costante interlocuzione della sig.ra XX ha fornito un esplicito avallo a tutte le pratiche condotte in prima persona da M.G. Company, fino ad arrivare, come dimostrano i contenuti delle chat esibite proprio da M.G. Company, ad intercedere presso i soggetti esterni responsabili delle attività di controllo mediante le cd. instant call, a sbloccare pratiche evidentemente ritenute non conformi.

Giova specificare che le instant call venivano svolte per comprovare che il contratto di fornitura venisse sottoscritto nell’abitazione del cliente e quindi in modalità door-to-door mentre l’intervento della sig.ra XX getta un’ombra sulla procedura di effettivo controllo, posto che un funzionario del settore commerciale di Acea interveniva personalmente presso i soggetti esterni deputati al controllo.

In tale contesto, l’approccio passivo di Acea, che si è limitata ad affermare che la D.I. Stefanelli avesse nascosto il coinvolgimento di M.G. Company, rappresenta un'applicazione meramente formalistica della protezione dei dati che finisce per deresponsabilizzare il titolare, e ciò in totale contrasto con i principi del Regolamento e con i provvedimenti adottati dal Garante sul tema. Le attività di marketing effettuate da soggetti terzi – e la correlata responsabilità dei committenti - sono state oggetto di pronunce del Garante così numerose e costanti da potersi ormai considerare consolidate soprattutto fra gli operatori economici di grandi dimensioni che si avvalgono di tali canali in maniera massiva(1). Più volte il Garante ha ricordato che l’intero impianto del Regolamento si sostiene sulla accountability del titolare del trattamento. Questi, acquisendo nei propri sistemi i dati personali dei soggetti che, dopo essere stati contattati hanno aderito alle offerte proposte, dovrebbe adottare misure di particolare garanzia al fine di comprovare che tali contratti siano originati da contatti effettuati nel pieno rispetto delle disposizioni in materia di protezione dei dati personali, in particolare quelle di cui agli artt. 5, 6 e 7 del Regolamento relative al consenso, nonché di quanto previsto dall'art. 130 del Codice.

Secondo la costante interpretazione di questa Autorità, i soggetti che agiscono per conto del preponente, ingenerando un legittimo affidamento nei destinatari delle comunicazioni circa l’effettiva titolarità del contatto promozionale, sono qualificati responsabili del trattamento. E tale qualificazione in ordine ai rapporti giuridici fra le parti si può ritenere esistente anche nel caso in cui il soggetto che materialmente effettua il contatto, pur rimanendo ignoto al titolare del trattamento, realizza di fatto un rapporto contrattuale analogo a quello in essere con i partner contrattualizzati direttamente.

Tale indirizzo è stato elaborato con riguardo soprattutto al contesto del marketing telefonico e automatizzato tenendo conto dell'elevato livello di rischio determinato dalle numerose illiceità generate dal mancato controllo della filiera, come accertato in anni di attività di verifiche. Il medesimo ragionamento è comunque mutuabile anche nel caso delle attività di promozione porta-a-porta che presentano criticità, anch'esse ben note sia al mercato che alle autorità di controllo, criticità che, come detto, in gran parte derivano dalla circostanza che l’attività al domicilio del cliente è sovente preceduta da contatti telefonici promozionali illeciti.

In tale contesto, difficilmente può essere accolta la giustificazione di un committente del calibro di Acea Energia basata unicamente sull'asserita ignoranza di condotte che invece era tenuto a controllare, dal momento che gli illeciti emersi dalla presente istruttoria avrebbero dovuto essere considerati tra le circostanze prevedibili: il "rafforzamento" dei risultati del porta a porta attraverso preliminari e non autorizzati contatti telefonici è una condotta già emersa nel settore; tale eventualità doveva essere messa in conto ed evitata attraverso ordinari mezzi di controllo dei risultati realizzati dagli agenti, soprattutto nel caso in cui questi fossero particolarmente distanti da quanto ragionevolmente atteso.

b) artt. 5, par. 1, lett. a) e 28 del Regolamento;

Richiamando le osservazioni già espresse nella sezione relativa alla colpa “in eligendo” e “in vigilando” deve ribadirsi che la circostanza che Acea non fosse a conoscenza della situazione fattuale o che, addirittura, fosse convinta che le sig.re XX fossero “nell’organico amministrativo della D.I. Stefanelli”, dimostra che le misure organizzative per le verifiche richieste dall’art. 28 del Regolamento non erano adeguate, soprattutto al cospetto di un fenomeno piuttosto esteso come quello in esame.

A tale mancanza si aggiunge anche la carenza di un piano di auditing delle società designate responsabili del trattamento, come emerge dalle dichiarazioni rese da Acea in sede di ispezione. 

c) artt. 24 e 25 del Regolamento;

La circostanza che Acea non conoscesse le reali circostanze del trattamento dei dati effettuato per suo contro e il coinvolgimento di M.G. Company, peraltro per carenze alla stessa imputabili, non fanno venir meno la responsabilità della Società la quale è tenuta all’adozione di misure idonee a prevenire tali accadimenti. Pertanto, a fronte della predisposizione di procedure e misure ritenute dalla Società idonee ed adeguate, si sono realizzate nella pratica condotte non conformi al dettato normativo, poste in essere da soggetti che, anche laddove “sconosciuti” ad Acea, hanno operato nell’interesse di quest’ultima.

A tal proposito, sotto un profilo sistematico, è necessario ribadire che le disposizioni regolamentari (artt. 24 e 25 del Regolamento) delineano un preciso quadro di responsabilità generale gravante sul titolare del trattamento, non solo nel senso di imporre a quest’ultimo l’adozione di misure adeguate ed efficaci per assicurare il rispetto della disciplina in materia di protezione dei dati personali ma anche nel senso di esigere che il titolare dimostri, in concreto e con elementi probatori, la conformità di qualsiasi attività di trattamento che abbia effettuato direttamente o che altri abbiano effettuato per suo conto (si veda anche il “considerando” n. 74 del Regolamento). È necessario, dunque, fornire evidenza di valutazioni complessive svolte sulle caratteristiche dei trattamenti, sui rischi ad essi connessi e sulla efficacia e adeguatezza delle misure adottate caso per caso. Efficacia ed adeguatezza che non possono che essere testate e dimostrate se non attraverso strutturati e sistematici meccanismi di verifica e di audit che, nel caso di specie e per stessa ammissione di Acea, non erano stati implementati.

La ratio delle disposizioni sopra richiamate risiede nella necessità di far sì che il complesso degli adempimenti in materia di protezione dei dati personali non si riduca ad un assemblaggio meramente cartolare, come già sopra menzionato, e che la “filiera” delle responsabilità nell’ambito del trattamento non preveda indebiti “scaricabarile” ma sia sempre, da ultimo, riconducibile al titolare. Questi, infatti, è il primario motore dei complessi meccanismi che determinano la compatibilità delle varie attività svolte con le disposizioni del Regolamento e del Codice volte a consentire all’interessato il pieno governo dei propri dati e il compiuto esercizio dei propri diritti e delle proprie libertà.

Il principio di responsabilizzazione, dunque, delineato sia in una prospettiva giuridica (art. 5, par. 2 e art. 24) sia in una più moderna dimensione tecnologica (art. 25) comporta il superamento di una logica esclusivamente formalistica ma imponendo al titolare del trattamento di approntare sistematici meccanismi di verifica, anche ex ante ed ex post, del rispetto della normativa in materia di protezione dei dati personali da parte di tutti i soggetti coinvolti nella filiera dei trattamenti che lo riguardano, che possono essere ad esso riconducibili o che possono recare vantaggi anche di carattere economico al titolare.

Lo scenario ricostruito all’esito delle attività istruttorie dal Garante ha permesso di portare alla luce un sistema di trattamento illecito dei dati personali che, per diversi aspetti, era conosciuto o, quantomeno, conoscibile da parte della stessa Acea e delle sue articolazioni commerciali e che, in ultima analisi, ha determinato vantaggi economici ad Acea a discapito della tutela dei diritti degli interessati.

In tale contesto, dunque, sussistono elementi fattuali sintomatici che Acea non è riuscita ad intercettare, ai quali si aggiungono ulteriori circostanze che rafforzano il convincimento che Acea fosse consapevole del coinvolgimento di M.G. Company nella sottoscrizione delle proposte di contratto, almeno nella persona della sig. XX.

Infatti, benché Acea e la sig.ra XX abbiamo chiarito alcuni degli aspetti contestati (il contenuto di alcune chat relative ad asserite attività di commissioning), è emerso che quest’ultima contattasse direttamente la sig.ra XX per questioni relative:

- ai volumi della produzione, indicando “dobbiamo aumentare i numeri XX” oppure che i contratti che stava facendo era troppi e che “[…] se a luglio tu mi fai il top, io quei 400 pezzi [n.d.r. i contratti] che so’ riuscita a darti col sudore tu li bruci tutti […] per agosto spero hai altre strategie […]”;

- ai volumi contrattuali oggetto del contratto di agenzia (“ho fatto i salti mortali per farti dare i pezzi” e ancora “[…] ti ho dato pure 400 pezzi di un’altra agenzia […]”);

- alla natura dell’attività da svolgere (“fai il porta a porta anche” – frase riferita alla necessità di fatturare gli introiti nel loro complesso, inserendo “anche” le attività door-to-door, che invece avrebbero dovuto essere l’esclusiva fonte di remunerazione);

- al fatto che ci fossero “Agenti nuovi che stanno andando in giro senza tesserino”;

- al negozio di M.G. Company e al numero riportato sulla vetrina (“Il numero sulla vetrina. Stanno controllando tutto. Per favore fallo cambiare se puoi”), in data successiva all’ispezione e ai servizi televisivi del marzo 2024.

Inoltre, risultano numerosi scambi in cui si coglie la confidenzialità tra gli interlocutori che rende difficile poter sostenere una totale non conoscenza del coinvolgimento di M.G. Company.

Pertanto, l’Autorità ritiene che Acea avrebbe potuto e dovuto conoscere del coinvolgimento di M.G. Company nella gestione dei dati dei propri clienti e dei contratti conclusi nel proprio interesse, ma anche che essa avrebbe potuto evitare, attraverso opportuni processi (connessi agli obblighi previsti dai citati artt. 24 e 25 del Regolamento), l'effettuazione di attività di teleselling non autorizzato. La mancata attivazione di tali processi, perpetratasi dal 2022 al 2024, rappresenta una circostanza non scusante: Acea, infatti, avrebbe potuto superare le criticità che la collaborazione con M.G. Company e la Ditta Stefanelli poteva determinare adoperando la diligenza richiesta, dal caso di specie, ad una primaria realtà nazionale.

Tale approccio interpretativo pare anche in linea con la costante giurisprudenza della Suprema Corte, con riferimento al principio in base al quale “ciascuno è responsabile della propria azione od omissione, cosciente e volontaria, sia essa dolosa o colposa”, come indicato dall’art. 3 della L. 689/81: tale consolidato indirizzo afferma che “la norma pone una presunzione di colpa in ordine al fatto vietato a carico di colui che lo abbia commesso, riservando poi a questi l’onere di provare di aver agito senza colpa” (cfr. Cass. 10508/1995; n. 7143/2001; n. 8343/2001; n. 14107/2003; n. 5304/2004; n. 15155/2005; n. 20930/2009; 9546/2018; n. 1529/2018; n. 4114/2016). L’Autorità non ritiene che Acea abbia adempiuto al richiamato onere probatorio, rafforzato dalle specifiche disposizioni in tema di accountability e privacy by design previste dal Regolamento.

d) artt. 5, par. 1, lett. f) e 32 del Regolamento;

Le risultanze dell’istruttoria portano a ritenere che specifici elementi connessi alla corretta configurazione dei sistemi informatici di Acea sotto il profilo della sicurezza, successivamente adottati, avrebbero potuto essere predisposti al fine di impedire che le attività non consentite realizzate dalla Ditta Stefanelli e da M.G. Company (e potenzialmente anche da altri soggetti), determinassero la conclusione di contratti di fornitura poi riversati nel patrimonio di dati personali della compagnia energetica.

Acea ha infatti dichiarato di aver abilitato, in qualità di runner, 16 dipendenti provenienti da M.G. Company sul presupposto che questi appartenessero alla struttura della D.I. Stefanelli e senza verificare che tali soggetti fossero effettivamente ricompresi nella struttura aziendale della ditta e autorizzati al trattamento dei dati personali.

Non risulta nemmeno che tali soggetti avessero ricevuto una specifica formazione in materia di protezione dei dati per conto di Acea e per il corretto l’utilizzo delle proprie piattaforme informatiche. Due di questi runner associati da Acea alla D.I. Stefanelli non solo lavoravano, invece, presso M.G. Company ma gestivano addirittura i call-center di due delle sedi della indicata società e provvedevano a concludere i contratti per conto di Acea operando come telesellers per poi caricare le proposte di contratto sui sistemi di Acea dedicati al door-to-door. In particolare, tra i runner della D.I. Stefanelli - che Acea ha censito nei propri sistemi - figuravano il sig. XX e la sig.ra XX. Ebbene, dalle ispezioni condotte dalla Guardia di finanza e dall’Ufficio presso le sedi di M.G. Company e della D.I. Stefanelli è emerso che:

- il sig. XX gestiva il call-center di Latina di M.G. Company in qualità di collaboratore della D.I. Stefanelli Federica;

- la sig.ra XX gestiva il call-center di Ladispoli di M.G. Company in qualità di collaboratrice della stessa M.G. Company.

Inoltre, tra i runner della D.I. Stefanelli figurava anche il sig. XX che, sempre dalle attività ispettive condotte il 26 marzo 2024 presso le sedi di M.G. Company, è stato indicato come precedente responsabile del call-center di Ladispoli di M.G. Company.  

Dunque, Acea ha abilitato i dipendenti e i collaboratori di M.G. Company, ritenendoli runner della D.I. Stefanelli, all’accesso ai propri sistemi nonostante gli stessi operassero per un soggetto (M.G. Company, appunto) non inserito formalmente nella propria filiera commerciale e, dunque, non autorizzato all’accesso. Inoltre, è stato verificato che anche i singoli operatori di call-center di M.G. Company (e non i runners) accedevano ai sistemi di Acea con un medesimo account rilasciato da Acea ai soggetti accreditati (ad esempio, l’account utilizzato dai diversi operatori di call-center era quello di XX, uno dei runner della D.I. Stefanelli) e ciò è stato possibile anche per l’assenza, all'epoca dei fatti, di misure di controllo degli accessi e del divieto di accesso in multisessione con lo stesso account, circostanza confermata anche da Acea in sede difensiva.

Oltre a quanto sopra, in fase ispettiva è emerso anche un’ulteriore significativa circostanza che avrebbe potuto indicare una modalità di conclusione dei contratti diversa dal door-to-door: in particolare, accedendo ai sistemi di Acea e attivando una semplice query è stato rilevato che uno dei runner della D.I. Stefanelli era riuscito a concludere due contratti in sei minuti (il primo alle 9.14, il secondo alle 9.20 del giorno 26 marzo 2024) in relazione a due clienti distanti oltre 100 km l’uno dall’altro, per poi rientrare nel breve lasso di dieci minuti nella sede di Ladispoli di M.G. Company, dove si svolgevano le attività ispettive.

Tali indicazioni temporali e geografiche non sono risultate oggetto di analisi da parte di Acea, né di alert da parte dei sistemi; diversamente, un’analisi di tali elementi avrebbe potuto permettere di verificare la correttezza dei trattamenti effettuati dai runner e della rispondenza dei medesimi con la tipologia di contratto (teleselling oppure door-to-door) in essere con la specifica agenzia.

Ciò posto, l’Autorità non può che accogliere con favore tutte le iniziative e le implementazioni delle procedure di controllo che Acea ha indicato nelle proprie difese e in sede di audizione (riportate al precedente punto 3) e che, però, sono tutte successive ai fatti contestate e, pertanto, possono costituire valido elemento attenuante nella commisurazione della sanzione da irrogare.

Va però sottolineato che, tra quelle descritte, l’unica misura indicata da Acea e già presente dal 2023 era quella relativa al confronto manuale e a campione tra indirizzo di geolocalizzazione del luogo dal quale avviene il caricamento della proposta di contratto e alla sede del cliente; tale misura, tuttavia, non ha permesso ad Acea di intercettare alcune delle anomalie sopra indicate e, infatti, è stata oggetto di revisione da parte della Società che, ad oggi, effettua tali controlli in maniera automatizzata.

5. CONCLUSIONI

Per quanto sopra esposto si ritiene accertata la responsabilità di Acea Energia S.p.A. in ordine alle seguenti violazioni:

a) artt. 5, par. 1, lett. a), 6, 7 e 13 del Regolamento, nonché 130 del Codice, per aver permesso a terzi di realizzare contatti telefonici promozionali, utilizzando liste di anagrafiche acquisite in assenza di uno specifico consenso e in assenza del rilascio di una preventiva informativa, liste per le quali non risultavano comprovate le lecite modalità di raccolta dei dati e di acquisizione del consenso per finalità commerciali e promozionali;

b) artt. 5, par. 1, lett. a) e 28 del Regolamento, per aver fattualmente affidato a M.G. Company s.r.l. il trattamento dei dati dei clienti contrattualizzati, in assenza di regolare designazione quale responsabile o sub-responsabile del trattamento;

c) artt. 5, par. 1, lett. f) e 32 del Regolamento, per avere consentito a dipendenti di M.G. Company di accedere ai sistemi informatici di Acea Energia S.p.A. in assenza delle designazioni indicate al punto precedente;

d) artt. 24 e 25 del Regolamento, per avere omesso di porre in essere misure organizzative, verifiche e controlli, idonei a verificare che le attività di marketing realizzate dalla Ditta Individuale Stefanelli Federica, anche in ragione del numero dei contratti sottoscritti, si svolgessero in aderenza con il mandato di vendita “door-to-door” e con la normativa vigente in materia di protezione dei dati personali, senza quindi l’utilizzo di strumenti illeciti di telemarketing e teleselling.

Inoltre, giova svolgere alcune considerazioni in merito ad un “sistema” che, dagli accertamenti ispettivi svolti dalla Guardia di Finanza e dalle successive attività istruttorie, ha consentito di delineare un quadro estremamente grave e allarmante in relazione al complesso di attività che, da ultimo, era alimentato dalle provvigioni corrisposte dalla stessa Acea.

Tali attività sono risultate poste in essere con una costante inosservanza delle disposizioni in materia di protezione dei dati personali, cosicché l’intero impianto dei trattamenti svolti dalle società coinvolte è risultato del tutto inidoneo a consentire agli interessati di esercitare il necessario controllo sui propri dati, violando peraltro i fondamentali principi di correttezza e trasparenza posti a tutela di qualsiasi trattamento. Inoltre, le attività sono risultate svolte in spregio delle disposizioni che consentono di arginare il fenomeno del telemarketing selvaggio e di far emergere il cd. “sottobosco” che opera ai margini delle reti di vendita ufficiali delle compagnie energetiche e che le stesse hanno dimostrato di non essere in grado di affrontare.

Ne consegue che informazioni personali di estrema rilevanza siano passate di mano in mano, senza alcuna garanzia sulla correttezza dell’operato dei numerosi soggetti coinvolti e sulla sicurezza dei dati trattati, andando quindi ad alimentare ulteriormente le fonti di approvvigionamento del telemarketing selvaggio e generando un circuito vizioso di telefonate di disturbo e di contatti illeciti - talvolta anche con toni di minaccia e di insulti - del tutto avulso dall’intento di proporre al cliente servizi economicamente vantaggiosi e legato solo all’esigenza di aumentare i numeri delle iniziative promozionali, dei contratti sottoscritti e dei profitti realizzati dalle società.

Accertata dunque l’illiceità delle condotte di Acea Energia con riferimento ai trattamenti presi in esame, si rende necessario:

- ingiungere a Acea Energia, ai sensi dell’art. 58, par. 2, lett. d) ed e) del Regolamento, di comunicare ai tutti gli interessati, i cui dati anagrafici sono confluiti nei sistemi della Società a seguito delle illecite acquisizioni da parte della D.I. Stefanelli e da M.G. Company s.r.l., gli esiti dell’odierno procedimento in base ad un testo da concordare con l’Autorità in sede di applicazione del presente provvedimento;

- ingiungere a Acea Energia, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di controllare idoneamente che le agenzie stipulino con eventuali sub-agenti contratti del tutto conformi al contratto standard stipulato fra Acea Energia e le agenzie medesime e nei quali sia chiaramente esplicitata la distribuzione delle responsabilità nel trattamento dei dati personali come indicata dall’art. 28 del Regolamento;

- adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Acea Energia della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento

6. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Acea Energia della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento (pagamento di una somma fino a € 20.000.000,00 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore);

Per la determinazione del massimo edittale della sanzione pecuniaria, occorre pertanto fare riferimento al fatturato di Acea Energia, come ricavato dall’ultimo bilancio d’esercizio disponibile (31 dicembre 2023) in accordo con i precedenti provvedimenti adottati dall’Autorità, e quindi si determina tale massimo edittale, nel caso in argomento, in euro 91.000.983.270 euro.

Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento;

Nel caso in esame, assumono rilevanza:

- la gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento), tenuto conto dell’oggetto e delle finalità dei dati trattati, riconducibili al fenomeno complessivo dei contatti promozionali indesiderati, in ordine al quale l’Autorità ha adottato, in particolare negli ultimi cinque anni, numerosi provvedimenti che hanno compiutamente preso in esame i molteplici elementi di criticità fornendo ai titolari numerose indicazioni per adeguare i trattamenti alla normativa vigente e per attenuare l’impatto delle chiamate di disturbo nei confronti degli interessati; tenuto conto altresì del numero dei soggetti coinvolti (in ragione dei circa 27.000 punti di distribuzione interessati dai contratti veicolati dalla Ditta Individuale Stefanelli e da M.G. Company) e della durata delle attività illecite (dal 2022 fino al marzo 2024, attività interrotte solo a seguito delle attività ispettive effettuate dall’Autorità);

- quale fattore aggravante, il carattere gravemente negligente delle violazioni, frutto di condotte omissive operate con coscienza e volontà che hanno di fatto indebolito le misure di sicurezza e il sistema dei controlli e di responsabilizzazione dei diversi soggetti operanti nella rete di vendita di Acea Energia, tenuto conto del livello di diligenza professionale che era lecito attendersi da un titolare del calibro di Acea Energia (art. 83, par. 2, lett. b) del Regolamento);

- quale fattore aggravante, il grado di responsabilità del titolare del trattamento (art. 83, par. 2, lett. d) del Regolamento) in ragione dell’inefficacia delle misure tecniche e organizzative, che non hanno consentito di intercettare le illecite attività poste in essere dalla Ditta Stefanelli e da M.G. Company e che, in alcuni casi ne hanno consentito il consolidamento, nonché in ragione del primario ruolo che Acea Energia assume nel mercato energetico italiano;

- quale fattore attenuante, la circostanza che Acea Energia abbia introdotto, a seguito degli accertamenti che l’hanno coinvolta, una rilevante serie di misure (art. 83, par. 2, lett. c) del Regolamento), che hanno interessato la fase della gestione dei singoli runners, la sicurezza informatica e l’individuazione della filiera di responsabilità dal primo contatto al contratto finale;

- quale fattore attenuante, la significativa collaborazione con l’Autorità, sia nel corso delle attività ispettive, sia nel prosieguo dell’istruttoria e del procedimento, che induce a considerare con favore l’impegno della compagnia energetica nella adozione di efficaci future misure volte a contrastare il fenomeno dei contatti promozionali illeciti (art. 83, par. 2, lett. f) del Regolamento).

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative e funzionali della Società, si ritiene debba applicarsi a Acea Energia la sanzione amministrativa del pagamento di una somma di euro 3.000.000, pari al 3,26% della sanzione massima edittale e allo 0,13% del fatturato annuo.

Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della particolare gravità delle violazioni e del disvalore delle condotte sia con riferimento all’elusione della normativa a contrasto dei contatti promozionali indesiderati, sia per ciò che riguarda il numero di soggetti coinvolti e il potenziale danno economico da questi subito.

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. a) e h), del Regolamento, dichiara illeciti i trattamenti descritti nei termini di cui in motivazione effettuati da Acea Energia S.p.A., con sede legale in Roma, piazzale Ostiense n. 2, p. iva 07305361003 e, di conseguenza:

a) ingiunge a Acea Energia, ai sensi dell’art. 58, par. 2, lett. d) ed e) del Regolamento, di comunicare ai tutti gli interessati, i cui dati anagrafici sono confluiti nei sistemi della Società a seguito delle illecite acquisizioni da parte della D.I. Stefanelli e da M.G. Company s.r.l., gli esiti dell’odierno procedimento in base ad un testo da concordare con l’Autorità in sede di applicazione del presente provvedimento;

b) ingiunge a Acea Energia, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di controllare idoneamente che le agenzie stipulino con eventuali sub-agenti contratti del tutto conformi al contratto standard stipulato fra Acea Energia e le agenzie medesime e nei quali sia chiaramente esplicitata la distribuzione delle responsabilità nel trattamento dei dati personali come indicata dall’art. 28 del Regolamento;

c) ingiunge a Acea Energia, ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel termine di trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento.

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, ad Acea Energia S.p.A., in persona del legale rappresentante pro-tempore, con sede legale in Roma, piazzale Ostiense n. 2, C.F. 07305361003, di pagare la somma di euro 3.000.000,00 (tremilioni/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 3.000.000,00 (tremilioni/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

a) la pubblicazione del presente provvedimento, ai sensi degli artt. 154-bis del Codice e 37 del Regolamento n. 1/2019, nonché l’applicazione della sanzione accessoria della pubblicazione sul sito del Garante della presente ordinanza di ingiunzione, come previsto dagli artt. 166, comma 7 del Codice e 16 del Regolamento del Garante n. 1/2019;

b) l’annotazione del presente provvedimento nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 10 aprile 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE REGGENTE
Filippi

 

 

 

-----------

1) Cfr., ad esempio, in www.garanteprivacy.it provv. 15 giugno 2011, doc. web n. 1821257; provv. 9 luglio 2020, doc. web n. 9435753; provv. 12 novembre 2020, doc. web n. 9485681; provv. 25 marzo 2021, doc. web n. 9570997; provv. 13 maggio 2021, doc. web n. 9670025; provv. 16 dicembre 2021, doc. web n. 9735672; provv. 11 aprile 2024, doc. web n. 1008019; provv. 11 aprile 2024, doc. web n. 1008076; provv. 6 giugno 2024, doc. web n. 10029424.