[doc. web n. 10145986]

Provvedimento del 29 aprile 2025

Registro dei provvedimenti
n. 248 del 29 aprile 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, Segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE l’avv. Guido Scorza;

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. Premessa

Con atto del 9 dicembre 2024, n. 144777/24 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente riprodotto, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Energia Verde S.p.A., (di seguito “Energia Verde” o “Titolare del trattamento” oppure ancora “Società”), in persona del legale rappresentante pro-tempore, con sede legale in Salerno (SA), Corso Garibaldi, 150, C.F. 05959600650.

Il procedimento trae origine da un’istruttoria avviata a seguito della ricezione di numerosi reclami e segnalazioni proposti nei confronti di Energia Verde, mediante i quali gli interessati lamentavano l’avvenuta ricezione di chiamate indesiderate finalizzate alla promozione di contratti di fornitura energetica realizzate in assenza di un’idonea base giuridica, nonché il mancato e/o inidoneo riscontro alle istanze di esercizio dei diritti da parte degli interessati.

1.2. Le richieste di informazioni formulate dall’Autorità

Con nota dell’11 aprile 2024 (cfr. Prot. n. 45119/24) l’Autorità inviava a Energia Verde una richiesta di informazioni cumulativa, formulata ai sensi degli artt. 157 del Codice e 58, par. 1, lett. a) del Regolamento, utile alla valutazione di numerosi atti di reclamo e segnalazioni (i.e. quasi un centinaio a partire dal mese di giugno 2023, sino all’apertura dell’istruttoria cumulativa) mediante i quali veniva portata all’attenzione dell’Autorità la ricezione di chiamate indesiderate a scopo promozionale, effettuate nell’interesse di Energia Verde, verso utenze iscritte al Registro pubblico delle Opposizioni (di seguito anche “RPO”) e in assenza di un’idonea base giuridica. Nella totalità dei casi, le numerazioni chiamanti indicate nelle richiamate doglianze, non risultavano iscritte al Registro degli Operatori di Comunicazione e postali (di seguito anche “ROC”). Alcuni istanti lamentavano anche il mancato e/o inidoneo riscontro alle istanze di esercizio dei diritti degli interessati presentate ai sensi degli artt. 15 e ss. del Regolamento. Più in particolare, quando gli interessati si erano previamente rivolti al titolare, avevano ottenuto una risposta standardizzata, mediante la quale la Società chiariva di avvalersi di agenzie commerciali esterne e pertanto di non essere in grado di fornire direttamente il riscontro richiesto. In tali casi, Energia Verde comunicava di avere chiesto alle proprie agenzie di eliminare il nominativo dell’interessato dal loro data-base qualora fosse stato presente.

Con la medesima richiesta di informazioni, alla Società veniva chiesto di fornire anche «un elenco delle proposte di acquisto provenienti dalla propria rete di vendita che hanno determinato l'attivazione di servizi energetici nel periodo dal 15 gennaio 2024 al 22 gennaio 2024 compresi» (cd. settimana campione).

Sempre in quell’occasione l’Ufficio rilevava, altresì, che a seguito di un accesso al sito www.energiaverdeitalia.it effettuato nell’ambito dell’istruttoria preliminare, era emerso che la pagina “CONTATTI” conteneva un form utile alle richieste di contatto e assistenza da parte degli utenti. Nella parte inferiore di tale form erano riportate le seguenti diciture «Acconsento al trattamento dei miei dati ai sensi dell'informativa sulla privacy» e «per visualizzare*». Tuttavia cliccando sul comando «per visualizzare*» il relativo link non risultava funzionante e automaticamente compariva una spunta sulla casella presente in corrispondenza della dicitura «Acconsento al trattamento dei miei dati ai sensi dell'informativa sulla privacy». Le informazioni sul trattamento dei dati effettuato nell’ambito delle richieste di ricontatto non risultavano nemmeno reperibili all’interno della “personal data policy” pubblicata sul sito. Così, veniva richiesto al titolare di fornire elementi utili anche in relazione alla gestione del processo di ricontatto degli interessati che avevano chiesto di essere ricontattati utilizzando il form presente sul sito web aziendale.

Con nota Prot. n. 52721 del 30 aprile 2024, la Società preliminarmente dichiarava che «Energia Verde Italia S.p.A. acquisisce l’intero pacchetto dei clienti dalla sua subagenzia, Energia Pulita s.r.l., la quale, a sua volta acquisisce i clienti da vari partner commerciali che lavorano per essa stessa, vendendo il prodotto di Energia Verde Italia».

Con riferimento alle circostanze rappresentate nei reclami e nelle segnalazioni inviate all’Autorità, inoltre, Energia Verde evidenziava che la numerazione telefonica della subagenzia Energia Pulita S.r.l. era stata regolarmente registrata al ROC e che le parole “Energia Verde” erano tra le più cliccate sui motori di ricerca, pertanto si poteva ipotizzare che «molti commerciali telefonici contattino gli utenti per conto di vari gestori e utilizzino il termine "Energia Verde" come punto di forza telefonico per richiamare la purezza dell'energia (che appunto è verde), prodotta da fonti rinnovabili, confondendo di fatto gli utenti».

Quanto, infine, al form di contatto e alle informative presenti sul sito, la Società rilevava che era «stato prontamente posto rimedio all’anomalia segnalataci (…) il testo "Clicca qui", il quale era di colore verde su sfondo verde, è stato modificato in bianco su sfondo verde, in modo da renderlo più visibile al cliente. Il testo della privacy è comprensibile nella formula di contatto, come specificato nella privacy stessa».

A seguito della disamina delle circostanze rappresentate nei riscontri e considerato che medio tempore erano pervenute all’Autorità ulteriori doglianze (cfr. fascicoli nn. 361665 – 364680 – 370093), si rendeva opportuno effettuare un supplemento di istruttoria, rivolgendo a Energia Verde una richiesta di informazioni integrativa ai sensi degli artt. 58 del Regolamento e 157 del Codice (cfr. Prot. n. 64376 del 27 maggio 2024).

A tal fine, in primo luogo l’Ufficio reiterava la richiesta di fornire l’elenco delle proposte di acquisto provenienti dalla propria rete di vendita che avevano determinato la conclusione di contratti di fornitura nel periodo dal 15 gennaio al 22 gennaio 2024 (cd. settimana campione). Con la medesima nota veniva richiesto, poi, di fornire ulteriori elementi in relazione alla gestione del processo di vendita, alla gestione delle richieste di ricontatto effettuate anche mediante il sito web, ai contratti di acquisto delle liste di contattabilità, nonché le informative fornite agli interessati e le modalità di acquisizione dei consensi al trattamento di dati personali. Nella stessa occasione, veniva chiesto alla Società di chiarire la natura dei rapporti intercorrenti tra Energia Pulita S.r.l. e Energia Verde Italia S.p.A..

Contestualmente, a seguito dei primi riscontri forniti da Energia Verde, si rendeva opportuno notificare una richiesta di informazioni anche a Energia Pulita al fine di acquisire elementi utili a illustrare il processo di promozione e stipula dei contratti di fornitura riconducibili a Energia Verde Italia S.p.A. (cfr. Prot. n. 64374/24 del 27 maggio 2024).

Alla scadenza del termine concesso dall’Ufficio, avvenuta in data 17 giugno 2024, nessuna delle due Società faceva pervenire gli elementi richiesti.

Successivamente in data 1° luglio 2024 (cfr. Prot. n. 80489) Energia Verde trasmetteva un’istanza di proroga del termine pari a 30 giorni rappresentandone la necessità in ragione del numero e dell’elevata analiticità delle richieste formulate dall’Autorità.

Con nota Prot. n. 81460 del 3 luglio 2024 l’Ufficio rilevava «preliminarmente che al momento della presentazione dell’istanza di proroga in questione, il termine concesso ai fini del riscontro era da considerarsi già scaduto. Con la riserva espressa di rimandare ogni valutazione in ordine al mancato riscontro da parte della Società, entro il termine previsto, alle citate richieste di informazioni formulate dall’Ufficio, al fine di consentire di acquisire comunque gli elementi utili per l’istruttoria in corso e per dare piena attuazione al principio del contraddittorio (art. 2 del regolamento interno n. 1/2019, disponibile in www.gpdp.it, doc-web n. 9107633), in parziale accoglimento dell’istanza di parte si concede un termine per fornire il riscontro pari a 15 giorni decorrenti dal ricevimento della presente. Il suddetto termine appare proporzionato in relazione alla valutazione della complessità delle questioni oggetto del procedimento e rispondente ai principi di economicità e ragionevole durata del procedimento».

Analogamente anche Energia Pulita, previa motivata richiesta, otteneva la concessione di un nuovo termine ai fini della trasmissione dei riscontri richiesti (cfr. Prot. nn. 82848/24 e 82591/24).

Con nota pervenuta in data 17 luglio 2024 (cfr. Prot. n. 88693 del 18 luglio 2024), Energia Verde trasmetteva l’elenco delle proposte d’acquisto provenienti dalla propria rete di vendita che avevano determinato la conclusione di contratti di fornitura nel periodo dal 15 gennaio 2024 al 22 gennaio 2024, precisando che «le proposte di acquisto sono raccolte da Energia Pulita S.r.l. (…) ad oggi unico soggetto incaricato di svolgere attività promozionale direttamente dalla Società (…) Energia Pulita si è avvalsa, per lo svolgimento dell’incarico affidatogli da Energia Verde, di una rete di soggetti terzi, ma che Energia Pulita è l’unico soggetto dotato dei privilegi/credenziali di accesso necessari ad effettuare il caricamento delle proposte di acquisto sulla piattaforma appositamente dedicata dalla Società».

Nella medesima occasione, quanto alle doglianze pervenute all’attenzione dell’Autorità, la Società ribadiva che presso i teleseller operanti sul mercato era invalsa la pratica illecita di contattare gli interessati utilizzando la dicitura “Verde” al fine di indurli ad acquistare prodotti e servizi «ingenerando la (falsa) percezione di aver ricevuto comunicazioni commerciali aventi a oggetto prodotti e servizi appunto riconducibili a Energia Verde Italia». A tale riguardo, la Società dichiarava, altresì, di avere presentato denuncia alla Procura della Repubblica nei confronti di una Società che era solita spacciarsi per Energia Verde al fine di indurre i clienti a cambiare fornitore.

Energia Verde dichiarava, inoltre, che ad eccezione di tre doglianze (fascicoli nn. 292690, 348610, 344346), nessuno dei segnalanti/reclamanti aveva stipulato un contratto di fornitura con la Società e che nella maggior parte dei casi gli interessati non si erano previamente rivolti direttamente a Energia Verde, fatta eccezione per due istanti. Più in particolare quanto al fasc. n. 344346 - relativo al contatto telefonico realizzato nell’interesse di Energia Verde da un’operatrice che era già a conoscenza dei dati del reclamante e alla successiva istanza di cancellazione - la Società evidenziava che l’interessato, a seguito dell’esercizio del diritto di ripensamento, aveva ricevuto la comunicazione di accoglimento della richiesta di recesso dal contratto. Rispetto al fasc. n. 338898 - mediante il quale l’istante lamentava la ricezione di contatti promozionali su utenza iscritta al RPO e l’inadeguato riscontro alle richieste di esercizio dei diritti - Energia Verde dichiarava che l’interessato aveva esercitato il diritto di accesso e poi ricevuto riscontro dal DPO a mezzo pec del 1° marzo 2024.

Quanto al form utile alle richieste di ricontatto presente sul sito web aziendale, la Società rappresentava di avere dapprima provveduto a «modificare la pagina dedicata alle richieste di contatto per rendere più facilmente identificabile l’informativa sul trattamento dei dati personali» e a «integrare l’informativa privacy esistente allo scopo di meglio precisare agli interessati i termini del trattamento di dati connesso a tale richiesta». Successivamente Energia Verde aveva deciso di disattivare la sezione del sito in parola, stante il limitato utilizzo da parte della clientela. Sul punto Energia Verde precisava che «la procedura di (ri)contatto dei soggetti che rilasciavano i propri dati sul sito era la seguente: l’utente, indicati i dati (nome e numero di telefono/cellulare) nel form dedicato, veniva successivamente contattato alla numerazione telefonica fornita; dopo due tentativi di contatto, in caso di mancata risposta, l’utente non era destinatario di ulteriori contatti e i relativi dati personali venivano definitivamente cancellati».

Energia Verde, poi, chiariva che la promozione dei servizi era interamente affidata ad Energia Pulita, che sino alla data del 15 marzo 2024 aveva svolto l’incarico mediante campagne di telemarketing condotte con il supporto di XX ed XX (cd. Affiliati). Gli Affiliati, a loro volta, si avvalevano di liste di contatto acquisite autonomamente «che non sono state mai fornite ad Energia Pulita né tantomeno a Energia Verde, che con tali soggetti non ha intrattenuto alcun rapporto contrattuale».

Il contratto sottoscritto da Energia Pulita con XX ed XX, aveva lo stesso oggetto e conteneva le medesime clausole di quello sottoscritto con Energia Verde.

Rispetto al ruolo degli Affiliati (dei quali la Società si è avvalsa fino a marzo 2024), Energia Verde dichiarava che «dalle informazioni fornite da Energia Pulita emerge che tali soggetti si sono impegnati nei confronti della stessa Energia Pulita a trattare i dati personali di soggetti a cui fossero state fornite adeguate informazioni ai sensi dell’art. 13 del Regolamento e che avessero fornito i consensi necessari al trattamento dei dati per le finalità oggetto dell’incarico».

Energia Verde rappresentava, inoltre, che a partire dal 15 marzo 2024 Energia Pulita aveva risolto il contratto stipulato con entrambi gli Affiliati ed aveva iniziato a svolgere attività di telemarketing senza avvalersi di soggetti terzi.

La Società dichiarava, dunque, che attualmente Energia Pulita svolge tale attività mediante numerazione telefonica iscritta al ROC e utilizzando liste di contatto previamente verificate presso il RPO. In seguito al contatto telefonico, se il potenziale cliente manifesta interesse per i servizi di Energia Verde, Energia Pulita procede alla raccolta della proposta di acquisto mediante vocal order oppure firma apposta tramite codice OTP. Successivamente, Energia Pulita provvede al caricamento della proposta di contratto sul CRM di Energia Verde, che effettua le verifiche relative alla correttezza della registrazione e alla documentazione contrattuale. Infine, decorsi quindici giorni – corrispondenti al periodo previsto dalla legge ai fini dell’esercizio del diritto di ripensamento - si procede al perfezionamento dell’attivazione dei servizi di fornitura.

Quanto ai contratti di acquisto delle liste di contattabilità stipulati nel biennio 2023-2024, Energia Verde chiariva che nell’ambito del precedente assetto contrattuale Energia Pulita «aveva completa autonomia nella scelta dei contatti da utilizzare per lo svolgimento dell’attività promozionale dei servizi e dei prodotti a marchio Energia Verde. Pertanto, sia la scelta delle tipologie di liste da acquistare, sia le modalità operative con cui svolgere l’attività promozionale dei prodotti e servizi erano gestite, organizzate e regolamentate dal Partner medesimo, in ossequio, tra l’altro, agli impegni e obblighi assunti da questo contrattualmente con la Società».

In seguito alle numerose segnalazioni portate a conoscenza della Società con la richiesta di informazioni notificata dall’Autorità, Energia Verde aveva deciso di mutare l’assetto organizzativo privacy, conferendo la nomina a responsabile del trattamento in favore di Energia Pulita e «imponendo al Partner di attenersi alle proprie istruzioni in merito ai soggetti da contattare e alle modalità di gestione dei contatti nel contesto delle attività di promozione e raccolta delle proposte di acquisto». In tale mutato assetto organizzativo, Energia Pulita utilizza liste di contatto fornite da XX e formate da soggetti terzi (di seguito “Editori”), contenenti dati personali di interessati che hanno prestato il loro consenso per la cessione a terzi.

Quanto alle attività di telemarketing svolte al tempo in cui la Società si avvaleva degli Affiliati (ante marzo 2024), Energia Verde ribadiva che tali operazioni venivano svolte utilizzando liste di contatto reperite autonomamente da tali soggetti e che stante l’avvenuta risoluzione del contratto «ad oggi non è possibile acquisire informazioni in merito alle informative fornite ai soggetti destinatari dei contatti oggetto di segnalazione».

Attualmente, invece, le liste di contatto utilizzate vengono acquisite da Energia Pulita attraverso il list provider XX e il contratto di licenza d’uso di database prevede che le liste rechino «dati personali di interessati che hanno ricevuto una adeguata informativa e hanno prestato agli Editori il loro consenso alla cessione dei propri dati a titolari terzi per finalità di marketing di questi ultimi».

Energia Verde chiariva, infine, che in origine «commissionava l’attività promozionale dei suoi prodotti e servizi a Energia Pulita nell’ambito di un rapporto contrattuale in cui la seconda era incaricata di incrementare le vendite dei servizi e dei prodotti a marchio Energia Verde attraverso la segnalazione di soggetti interessati a fruire delle offerte (…) le due società erano inquadrate come autonomi titolari del trattamento e i nominativi ed i dati dei potenziali clienti venivano reperiti dal Partner; quest’ultimo, pertanto, era tenuto a conformarsi alla normativa vigente in materia di telemarketing e, quindi, a contattare solo soggetti non iscritti al Registro Pubblico delle Opposizioni (RPO) e solo mediante numeri di telefono iscritti al Registro degli Operatori di Comunicazione (ROC)». Inoltre «Energia Pulita aveva affidato le attività di promozione e di raccolta delle proposte di acquisto dei servizi di Energia Verde a vari partner commerciali, anch’essi operanti quali autonomi titolari del trattamento, a cui aveva imposto i medesimi obblighi previsti in capo a Energia Pulita in materia di raccolta dei dati e acquisizione del consenso».

Nell’attuale assetto organizzativo, invece, Energia Pulita ha assunto il ruolo di responsabile del trattamento ai sensi dell’art. 28 del Regolamento e può «avvalersi di soggetti terzi per l’espletamento dell’incarico, a condizione che tali soggetti siano nominati quali ulteriori responsabili ai sensi dell’art. 28 (4) del Regolamento e che siano vincolati contrattualmente al rispetto degli stessi obblighi assunti da Energia Pulita nei confronti del titolare del trattamento. Inoltre, Energia Pulita ha la facoltà di affidare lo svolgimento dell’incarico a ulteriori soggetti terzi solo previa autorizzazione della Società, la quale pertanto può opporsi alla designazione di entità che non possiedano adeguati requisiti di affidabilità e professionalità in materia di protezione dei dati personali».

Rispetto all’utilizzo delle liste di contatto, Energia Verde evidenziava che attualmente Energia Pulita è tenuta a rispettare le istruzioni impartite dalla Società con riferimento alla selezione delle liste acquistabili «i) verificando la correttezza delle informative sul trattamento dei dati e dei consensi eventualmente acquisiti, in caso di liste di consensati (oltre a provvedere, se dovuta, alla verifica con il registro delle Opposizioni), ii) effettuando le verifiche con il Registro delle Opposizioni, in caso di liste di contatto estratte dagli elenchi generali».

Quanto invece alle attività di controllo sull’operato dei partner, Energia Verde rappresentava l’intenzione di implementare controlli attraverso l’utilizzo di numerazioni civetta oppure verifiche a campione sui contatti presenti in lista, nonché il confronto tra i soggetti firmatari delle proposte di acquisto e le anagrafiche presenti all’interno delle liste di contattabilità.

Energia Verde rappresentava, infine, di avere adottato apposite procedure per lo svolgimento delle attività di telemarketing/teleselling e per la gestione delle richieste di esercizio dei diritti da parte degli interessati.

Con nota trasmessa in data 18 luglio 2024 (cfr. Prot. n. 89319 del 19 luglio 2024), in riscontro alla richiesta avanzata dall’Ufficio, Energia Pulita dichiarava di avere ricevuto in data 2 gennaio 2023 l’incarico di incrementare le vendite del marchio Energia Verde attraverso la segnalazione di soggetti interessati a fruire delle offerte promosse dalla omonima Società.

Così, sino al 15 marzo 2024 Energia Pulita aveva svolto tale incarico avvalendosi di XX ed XX (cd. Affiliati), che a loro volta agivano in qualità di autonomi titolari del trattamento, utilizzando liste di contatto acquisite autonomamente. Gli affiliati, in virtù degli impegni contrattualmente assunti, erano tenuti a «trattare i dati personali di soggetti a cui fossero state fornite adeguate informazioni privacy ai sensi dell’art. 13 del Regolamento e che avessero fornito i consensi necessari al trattamento dei dati per le finalità oggetto dell’incarico».  

Successivamente valutate negativamente le prestazioni e i risultati ottenuti, Energia Pulita decideva di risolvere i contratti stipulati con le richiamate Società e dal mese di marzo 2024 svolgeva autonomamente attività di telemarketing nell’interesse di Energia Verde.

Per l’effetto, a partire da marzo 2024 tali attività venivano realizzate utilizzando numerazioni telefoniche regolarmente iscritte al ROC e liste di contatti verificate presso il RPO. Se a seguito del contatto telefonico il potenziale cliente manifestava interesse rispetto ai servizi di Energia Verde, Energia Pulita provvedeva alla raccolta della proposta d’acquisto mediante vocal order o firma apposta mediante codice OTP. Le proposte di acquisto così formulate, poi venivano caricate da Energia Pulita su apposita piattaforma messa a disposizione da Energia Verde, quest’ultima provvedeva alla verifica e formalizzazione dei contratti con i clienti.

Con la medesima nota Energia Pulita evidenziava che, nell’assetto organizzativo precedente, possedeva ampia autonomia nella scelta delle liste di contattabilità e che si avvaleva di Affiliati che «agivano autonomamente sia con riguardo alla scelta delle tipologie di liste da utilizzare sia con riguardo alle modalità operative con cui realizzare l’attività promozionale».

Diversamente con il nuovo assetto organizzativo, Energia Pulita agisce in qualità di responsabile del trattamento e sulla base di istruzioni ricevute da Energia Verde in merito a «i) alle tipologie di dati personali da utilizzare per lo svolgimento delle campagne di telemarketing; ii) alle procedure che la Società deve rispettare nelle operazioni di trattamento compiute per suo conto; iii) alle verifiche da effettuare per garantire che i soggetti destinatari dei contatti telefonici siano legittimamente contattabili».

Nell’ambito di tale riorganizzazione, inoltre, Energia Pulita aveva stipulato un contratto con XX «per la licenza d’uso di database formati da soggetti terzi (di seguito “Editori”) e contenenti dati personali di interessati che hanno prestato il loro consenso alla cessione dei propri dati a titolari terzi. Le liste in questione, utilizzabili per un periodo di 3 mesi, devono essere sottoposte a controllo con il RPO con cadenza almeno quindicinale».

Con specifico riferimento ai contatti telefonici effettuati fino al 15 marzo 2024 nell’interesse di Energia Verde, Energia Pulita riferiva di trovarsi «nella materiale impossibilità di acquisire e dunque fornire a Codesta Autorità le informazioni relative alle informative fornite ai soggetti destinatari dei contatti oggetto di segnalazione».

Con riferimento, invece, alle liste attualmente acquistate direttamente da Energia Pulita, quest’ultima precisava che «ai sensi del contratto attualmente in essere con il list provider, tali liste contengono dati personali raccolti dagli Editori che si riferiscono a interessati che hanno ricevuto una informativa ai sensi dell’art. 13 del Regolamento e che hanno prestato il consenso affinché gli Editori comunicassero i loro dati personali a soggetti terzi per finalità di marketing di questi ultimi».
Energia Pulita, infine, chiariva di svolgere attività promozionale soltanto nell’interesse di Energia Verde.

1.3. La verifica presso il Registro Pubblico delle Opposizioni

Al fine di effettuare i necessari controlli in ordine alla correttezza delle suddette attività di telemarketing, il 12 agosto 2024 (cfr. Prot. n. 98805/24) l’Ufficio inviava alla Fondazione Ugo Bordoni, che gestisce il Registro Pubblico delle Opposizioni, il citato elenco di numerazioni telefoniche oggetto del menzionato riscontro da parte di Energia Verde. In tale ottica, venivano richieste informazioni, ai sensi dell’art. 157 del Codice, per ciascuna numerazione, circa l’eventuale iscrizione al Registro Pubblico delle Opposizioni (RPO) non successiva alla data del 31 novembre 2023.

In data 28 agosto 2024 la citata Fondazione inviava il proprio riscontro (cfr. Prot. n. 101582/24), dall’analisi del quale sono risultate iscritte al Registro Pubblico delle Opposizioni, al tempo delle chiamate promozionali effettuate dalla Società, n. 5 utenze telefoniche, pari a poco più del 6% (6,17 per cento) del numero totale dei contatti telefonici effettuati nel periodo di riferimento (n. 81).

1.4. Contestazione delle violazioni

L’Ufficio, all’esito dell’istruttoria, adottava il sopra richiamato atto di contestazione n. 144777/24 nel quale, in primo luogo, si osservava che Energia Verde non aveva adeguatamente e tempestivamente fornito riscontro alla richiesta di informazioni notificata dall’Autorità ai sensi degli artt. 157 del Codice e 58 del Regolamento e che tale contegno integrava gli estremi di una violazione autonomamente sanzionabile per espressa previsione dell’art. 166, comma 2, del Codice.

A tale riguardo si rilevava altresì, che tale condotta si poneva in aperto contrasto anche con le disposizioni di cui all’art. 31 del Regolamento, che sanciscono un generale obbligo di cooperazione con l’Autorità di controllo gravante sul titolare del trattamento.

Con riferimento allo svolgimento delle attività di telemarketing e teleselling, invece, la documentazione e le osservazioni complessivamente fornite dalla Società sembravano evidenziare rilevanti criticità sia rispetto ai trattamenti di dati personali svolti prima del marzo 2024, sia relativamente all’attuale assetto organizzativo in materia di protezione dei dati personali.

A prescindere dal nomen iuris utilizzato dalle Società contraenti, dalla lettura sistematica delle clausole presenti all’interno del contratto e dal contegno tenuto dalle parti, in relazione alle richiamate attività, Energia Verde sembrava assumere il ruolo di titolare del trattamento ai sensi dell’art. 4, punto 7) del Regolamento, mentre Energia Pulita sembrava svolgere i compiti tipicamente riconducibili al responsabile del trattamento per come definito ai sensi dell’art. 4, punto 8) e 28 del Regolamento.

In tale contesto, dunque, XX ed XX avevano svolto trattamenti di dati personali assumendo il ruolo di sub-responsabili del trattamento. Parimenti, in relazione alle attività svolte in concreto, anche XX. sembrava agire in qualità di sub-responsabile.

Per l’effetto, emergeva che sino al marzo 2024 Energia Verde aveva svolto attività di telemarketing e teleselling, avvalendosi di soggetti esterni, senza la previa e corretta attribuzione dei ruoli soggettivi in materia di protezione dei dati personali e delle responsabilità che ne derivavano, nonché violando i basilari doveri di accountability notoriamente gravanti sul titolare del trattamento.

Ne derivava, altresì, che sino al marzo 2024 Energia Verde si era avvalsa di soggetti esterni per il trattamento dei dati personali, senza il previo conferimento della nomina a responsabile del trattamento e della prescritta autorizzazione rispetto alla nomina di eventuali sub-responsabili, contravvenendo sia ai doveri di diligenza nella scelta e selezione di soggetti che possedessero adeguate competenze in materia di privacy (cd. culpa in eligendo), sia omettendo di vigilare adeguatamente sul loro operato (cd. culpa in vigilando).

L’Ufficio rilevava, inoltre, che anche se nelle more del procedimento il titolare aveva conferito la nomina a responsabile del trattamento nei confronti di Energia Pulita, sembravano sussistere ancora alcune criticità, dal momento che in violazione della prescrizione contenuta all’art. 28, par. 2, del Regolamento e delle previsioni contenute nella richiamata nomina, agli atti del procedimento non risultava pervenuta l’autorizzazione rilasciata da Energia Verde in favore di Energia Pulita in ordine ai trattamenti di dati personali affidati al sub-responsabile XX.

Rispetto alle attività di telemarketing e teleselling svolte sino al mese di marzo 2024, le risultanze emerse dalle numerose doglianze pervenute all’attenzione dell’Autorità, gli esiti delle verifiche condotte presso la FUB rispetto ai contatti realizzati nel corso della cd. settimana campione e le informazioni fornite dalla Società, inducevano a contestare a Energia Verde anche la realizzazione di attività promozionali in assenza di un’idonea base giuridica e utilizzando numerazioni non iscritte al ROC, con conseguente violazione degli artt. 130 del Codice e 5, 6 e 7 del Regolamento.

Tali attività, inoltre, non sembravano essere state precedute nemmeno dal rilascio di un’idonea informativa ai sensi degli artt. 12, 13 e 14 del Regolamento.

Quanto invece all’attuale assetto organizzativo in materia di protezione dei dati personali, pur essendo apprezzabile lo sforzo profuso al fine di adeguare tempestivamente la governance aziendale alla vigente normativa, sembravano permanere alcuni elementi di criticità.

La procedura concernente la realizzazione di attività di telemarketing non contemplava, infatti, lo svolgimento di attività promozionali rivolte agli ex clienti (cd. win back). Inoltre il richiamo all’interesse legittimo, quale base giuridica del trattamento effettuato per finalità di marketing rispetto ai dati personali appartenenti ai «Prospect le cui numerazioni siano presenti negli elenchi generali e non siano iscritte al RPO» (vd. par. 2 Procedura Telemarketing) non appariva del tutto aderente alla vigente normativa.

La procedura di recente approvazione, poi, non contemplava il blocco dell’attivazione della fornitura in caso di anomalie riguardanti la liceità dell’originario contatto e l’interlocuzione con l’interessato per saggiare il permanere della volontà di addivenire alla stipula del contratto.

L’Ufficio rilevava, altresì, che in più di una delle doglianze pervenute all’attenzione dell’Autorità, gli interessati sotto la propria penale responsabilità avevano dichiarato di avere previamente interpellato il titolare del trattamento per l’esercizio dei diritti, ma di avere tuttavia ottenuto riscontri generici e non satisfattivi delle pretese avanzate in aperta violazione degli artt. 12 e da 15 a 22 e ss. del Regolamento.

In aggiunta, si osservava che le attività di ricontatto degli utenti che utilizzano il form pubblicato sul sito web aziendale, continuavano ad essere realizzate senza il previo conferimento di idonea informativa sul trattamento dei dati personali e senza la previa acquisizione di un valido consenso.

Peraltro, il titolare sembrava avere omesso l’implementazione di misure preordinate a verificare l’identità del soggetto che provvedeva al conferimento dei dati, nonché quelle finalizzate a contenere i contatti telefonici entro ragionevoli limiti di tempo e tentativi di contatto.

Per l’effetto, anche sotto tale profilo le attività di telemarketing e teleselling svolte nell’interesse di Energia Verde apparivano realizzate in contrasto con le prescrizioni imposte agli artt. 5, 6 e 7 del Regolamento e 130 del Codice.

L’Ufficio, pertanto, contestava a Energia Verde le seguenti ipotesi di violazione:

a) artt. 157 del Codice, in relazione agli artt. 31 e 58 del Regolamento per l’inadeguato e tardivo riscontro alle richieste di informazioni formulate dall’Autorità;

b) artt. 4, 5, 24 e 28 del Regolamento per lo svolgimento di trattamenti di dati personali in assenza della previa e corretta individuazione dei ruoli soggettivi, nonché per il conseguente inadempimento degli obblighi dagli stessi derivanti;

c) artt. 5, 6, 7, 24 del Regolamento, nonché dell’art. 130 del Codice, per aver effettuato - e continuare ad effettuare - i sopra descritti trattamenti di dati personali di utenti e contraenti del settore energetico in contrasto con i principi di liceità e responsabilizzazione, in assenza di un’idonea base giuridica e mettendo in atto misure tecniche e organizzative non adeguate per garantire, fin dalla progettazione, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento con riferimento all’idoneità della base giuridica e al rilascio di un regolare consenso;

d) artt. 12 e da 15-22 del Regolamento per il mancato e/o inidoneo riscontro alle richieste di esercizio dei diritti da parte degli interessati e l’omessa adozione di misure idonee alla corretta gestione di tali istanze.

2. LA DIFESA DEL TITOLARE

La Società presentava preliminarmente istanza di proroga del termine concesso ai sensi di legge ai fini della trasmissione delle memorie difensive e della richiesta di essere sentiti dall’Autorità. L’Ufficio accoglieva l’istanza, concedendo all’uopo un ulteriore termine pari a 15 giorni (cfr. Prot. 151821 del 31 dicembre 2024).

Successivamente in data 23 gennaio 2025 (cfr. Prot. n. 9120 del 24 gennaio 2025), Energia Verde trasmetteva i propri scritti difensivi, in base a quanto previsto dall’art. 166, comma 6, del Codice e dall’art. 13 del regolamento del Garante n. 1/2019, ma non presentava richiesta di audizione dinanzi all’Autorità.

Con riferimento al tardivo riscontro alla richiesta di informazioni formulata dall’Autorità, Energia Verde rappresentava che «anche se il primo riscontro fornito dalla Società non è risultato completo ed esaustivo (…) la Società, se pure con ritardo, i) ha comunicato all’Autorità tutto quanto richiesto, ii) ha fornito all’Autorità, oltre alle informazioni richieste, anche numerosi documenti non richiesti. Il ritardo con cui un riscontro completo è stato fornito (…) è dipeso esclusivamente dalla difficoltà di reperire tutte le informazioni e la documentazione necessarie», nonché dalla concomitanza tra l’apertura dell’istruttoria e la riorganizzazione societaria.

A parere di Energia Verde «se il termine per il riscontro concesso con la richiesta di informazioni è da intendersi come un termine perentorio, quindi concesso a pena di decadenza, l’Autorità non avrebbe potuto tenere in considerazione gli scritti pervenuti successivamente; diversamente, se tale termine non è da intendersi come perentorio, un riscontro tardivo non può in nessun caso integrare una violazione dell’art. 157 del Codice Privacy, in relazione agli artt. 31 e 58 del Regolamento».

La Società ribadiva, poi, che in seguito ai reclami pervenuti all’Autorità e alle inadempienze contrattuali commesse dagli Affiliati di Energia Pulita, Energia Verde aveva deciso di mutare i propri assetti organizzativi, riportando «la promozione e la vendita dei propri servizi nella propria sfera di controllo, affidando ad Energia Pulita esclusivamente lo svolgimento materiale di tali attività», nonché conferendo a quest’ultima la nomina a responsabile del trattamento ex art. 28 del Regolamento.

Con riferimento ai ruoli soggettivi assunti da Energia Verde ed Energia Pulita prima di marzo 2024, Energia Verde eccepiva che le contestazioni sollevate dall’Ufficio erano basate su elementi fattuali non corrispondenti a quanto emerso nel corso dell’istruttoria e osservava che «L’incarico è stato affidato mediante un contratto di mediazione con il quale Energia Pulita si è impegnata ad incrementare la vendita dei servizi a marchio Energia Verde attraverso la segnalazione di soggetti interessati a fruire delle offerte di quest’ultima (…) nel contratto di mediazione si legge che “l’Ambassador [vale a dire, Energia Pulita] svolgerà la sua attività con piena autonomia di azione, di tempo, di organizzazione, di spese per lo svolgimento dell’incarico (…)” (…). Inoltre, sempre nel contratto di mediazione si legge che “per il caso in cui dovesse rendersi necessario, [Energia Pulita] si atterrà alle eventuali direttive o linee guida impartite da Energia Verde Italia Srl, funzionalmente sia al soddisfacimento delle esigenze di marketing, sia alla tutela della reputazione complessiva di Energia Verde Italia Srl e del marchio, che dovranno sempre essere tutelati”».

Per l’effetto, in base alla tesi difensiva sostenuta dalla Società, «il contratto in essere tra le due società non prevedeva affatto che Energia Verde fornisse istruzioni o linee guida ad Energia Pulita genericamente in merito alle modalità di svolgimento dell’incarico e di trattamento dei dati personali, ma limitatamente a due specifici profili, vale a dire la tutela della reputazione di Energia Verde ed eventuali esigenze di marketing (ad esempio, la definizione del contenuto delle campagne con riferimento agli aspetti commerciali dell’offerta). 33. D’altro canto, nel corso dell’istruttoria non è emersa alcuna evidenza circa eventuali istruzioni o indicazioni fornite da Energia Verde in merito alle modalità di svolgimento dell’incarico e men che meno con riferimento allo specifico profilo del trattamento dei dati personali. 34. Vero è che nel contratto si fa riferimento all’obbligo di Energia Pulita di trattare i dati dei clienti nel rispetto della disciplina applicabile, ma si tratta evidentemente di una generica garanzia circa la correttezza dell’operato del partner commerciale, anche e soprattutto per tutelare l’immagine di Energia Verde nel contesto delle attività promozionali, senza per questo tradursi in istruzioni circa le modalità con cui i dati personali devono essere trattati nel contesto dell’incarico».

A parere della Società «qualora Energia Verde avesse fornito al proprio partner i database contenenti i dati personali dei soggetti da contattare oppure indicazioni specifiche circa la tipologia di dati da trattare o circa le modalità con cui svolgere le campagne (a titolo di esempio, canale da utilizzare, numero di contatti da effettuare, tempistiche, orari del contatto), avrebbe potuto concludersi che Energia Pulita aveva agito sulla base di istruzioni di Energia Verde quale titolare del trattamento».

Energia Verde eccepiva, altresì, che «l’affidamento di una campagna promozionale e di vendita a un soggetto terzo rappresenta un’attività che, di per sé, non è intrinsecamente connessa al trattamento di dati personali», che i «trattamenti di dati realizzati da Energia Pulita nel contesto delle attività promozionali erano volti al perseguimento di una finalità propria di quest’ultima, in quanto la società, che veniva remunerata sulla base delle manifestazioni di interesse di potenziali clienti raccolte (e non dei contatti marketing effettuati) con tali attività, perseguiva un proprio interesse commerciale» e che, inoltre, «Energia Pulita organizzava le proprie risorse in modo indipendente e totalmente autonomo per gestire le campagne promozionali». Parimenti anche la decisione di avvalersi di altri Affiliati e poi di interrompere il rapporto contrattuale, a parere della Società rientrava nell’autonomia gestionale e operativa di Energia Pulita.

Con specifico riferimento a XX, la Società precisava in primo luogo che «XX è titolare di una banca dati costituita e alimentata da soggetti terzi (“Editori”), che viene concessa in licenza d’uso agli operatori commerciali che abbiano interesse ad acquisire liste di contatto per le proprie campagne di marketing. Rispetto a tale banca dati, XX opera quale responsabile del trattamento o quale sub responsabile per conto del concessionario, a seconda del ruolo di quest’ultimo».

Quanto invece alla contestata assenza dell’autorizzazione rispetto alla nomina di un sub responsabile da parte di Energia Pulita, la Società rappresentava che «l’atto di nomina in questione non contiene l’autorizzazione a nominare specifici subresponsabili (come avviene per prassi negli atti di nomina che, avendo un contenuto generale ed astratto ed essendo generalmente preposti a dettare una disciplina anche per casi futuri, non entrano e non possono entrare nel dettaglio dei singoli eventuali subresponsabili di cui in molti casi non si conoscerebbe nemmeno il nome) ma si limita a prevedere genericamente tale facoltà in capo ad Energia Pulita (…) A fronte di tale previsione, che autorizza Energia Pulita a nominare ulteriori responsabili, non si comprende perché l’Autorità abbia concluso per l’assenza di una specifica autorizzazione con riferimento a XX, non avendo acquisito alcuna informazione o evidenza in tal senso».

Rispetto alle contestazioni sollevate in relazione allo svolgimento di attività di telemarketing prima del 15 marzo 2024, la Società richiamando le motivazioni illustrate in precedenza, rappresentava che «Energia Verde non può essere considerata titolare del trattamento dei dati personali relativi alle attività di teleselling oggetto del procedimento, con la conseguenza che le condotte in questione non potranno essere imputate alla Società. Energia Verde, infatti, si è limitata a stipulare contratti di fornitura successivamente alla conclusione delle attività di promozione gestite dal Partner, senza mai intervenire nella gestione delle campagne o nelle scelte strategiche e operative relative al trattamento dei dati personali, né essere in alcun modo coinvolta nella definizione delle modalità con cui le campagne sono state condotte».

Energia Verde ha eccepito, poi, che la settimana campione presa in esame è «un periodo di osservazione così breve (una settimana) da non rappresentare un campione statisticamente rilevante per effettuare proiezioni su periodi più lunghi e non tiene conto di tutta una serie di variabili, quale ad esempio l’andamento e la periodicità delle campagne promozionali» e che in relazione ai contatti telefonici effettuati nella cd. settimana campione «L’iscrizione nel registro tenuto dalla Fondazione Ugo Bordoni (…) vale di per sé ad escludere la contattabilità di numerazioni presenti negli elenchi telefonici generali, mentre non vale ad escludere la contattabilità delle numerazioni per cui sia stato prestato un consenso dagli interessati, eventualmente in seguito all’iscrizione della numerazione all’interno del RPO».

In ordine all’attuale assetto organizzativo, Energia Verde chiariva di effettuare campagne promozionali rivolte esclusivamente ai cd. prospect (i.e. potenziali clienti) e di non effettuare campagne di cd. win-back (i.e. iniziative promozionali rivolte ad ex clienti).

La Società ribadiva, poi, che il legittimo interesse era la base giuridica del trattamento dei dati personali appartenenti ai cd. prospect per finalità di telemarketing, osservando che «l'art. 130, comma 3, del Codice Privacy prevede che le comunicazioni finalizzate all'invio di comunicazioni commerciali attraverso l'utilizzo di sistemi non automatizzati di chiamata sono consentite ai sensi degli artt. 6 e 7 del GDPR; il comma 3-bis, poi, aggiunge che il trattamento dei dati per le finalità suddette, mediante l'impiego del telefono, è generalmente consentito nei confronti di chi non abbia esercitato il diritto di opposizione mediante l'iscrizione della numerazione della quale è intestatario nel RDO».

Sul punto la Società auspicava una valutazione «sostanziale della condotta di Energia Verde» e osservava che «Alla luce della disciplina di cui agli art. 129 e 130 del Codice Privacy nonché del D.P.R. 27 gennaio 2022, n. 26 (…), ai sensi dell'articolo 1, comma 15, della legge 11 gennaio 2018, n. 5, non vi è dubbio che i dati personali degli utenti presenti negli elenchi telefonici generali, che non abbiano esercitato l’opposizione mediante l’iscrizione al RDO, possano essere utilizzati per finalità di marketing per contatti a mezzo telefono con operatore. Tale conclusione è confermata dal fatto che la contestazione dell’Autorità non si riferisce alla valutazione della Società in merito alla utilizzabilità dei dati ma esclusivamente alla individuazione della base giuridica. In tale contesto, la circostanza che, in un documento interno alla Società (quale è la Procedura in materia di telemarketing di Energia Verde), tale trattamento di dati – lecitamente delineato e disciplinato – sia fondato su una base giuridica piuttosto che su un’altra non sembra assumere alcuna rilevanza e non sembra che possa in alcun modo integrare una violazione della disciplina in materia di protezione dei dati personali tale da determinare l’irrogazione di una sanzione».

Rispetto alla mancata previsione all’interno della procedura di recente approvazione di un meccanismo di cd. blocco dei contratti derivanti da contatti illeciti, la Società rappresentava che tale omissione era dovuta alla circostanza che la procedura in questione mira a disciplinare l’attività di telemarketing e non quella successiva concernente la conclusione del contratto di fornitura, pertanto «non esclude, di per sé, che tale tipo di misure siano adottate dalla Società e, pertanto, non può costituire una violazione».

Quanto al form utile alle richieste di ricontatto, Energia Verde precisava che «risultava nuovamente accessibile per un mero disguido e si è provveduto nuovamente a disabilitarlo (…) eventuali richieste di contatto pervenute attraverso il sito non sono state prese in considerazione, per cui non sono stati trattati dati personali acquisiti tramite tale canale».

La Società eccepiva, inoltre, che le disposizioni sui diritti degli interessati non erano applicabili al caso in esame, in quanto la medesima non poteva essere considerata alla stregua di un titolare del trattamento rispetto allo svolgimento delle campagne promozionali oggetto delle segnalazioni e dei reclami pervenuti all’Autorità. Soltanto due richieste erano pervenute direttamente a Energia Verde ed erano state tempestivamente riscontrate dalla medesima Società.

Quanto invece alla procedura per la gestione delle istanze di esercizio dei diritti degli interessati adottata dalla Società in pendenza del procedimento, Energia Verde precisava di avere «scelto di affidare le attività connesse alla gestione delle istanze degli interessati a funzioni diverse dal Data Protection Officer, che vi aveva provveduto fino a tale momento; di conseguenza, si è reso necessario adottare un documento descrittivo del nuovo processo utile a guidare le attività dei soggetti ora incaricati della gestione delle richieste degli interessati. 77. Tale circostanza non implica, di per sé, che prima dell’adozione di tale procedura la Società non fosse organizzata adeguatamente per la gestione delle attività in questione e che le stesse non fossero condotte nel rispetto della disciplina applicabile».

Infine, la Società rappresentava le circostanze da tenere in considerazione nella denegata ipotesi in cui l’Autorità avesse ritenuto opportuno adottare un provvedimento correttivo e sanzionatorio.

3. VALUTAZIONI DELL’AUTORITÀ

Le osservazioni avanzate da Energia Verde nel corso del procedimento non appaiono idonee a escludere la responsabilità della Società in ordine alle violazioni contestate, dal momento che, come si dirà ampiamente infra, si appalesano inconferenti e destituite di fondamento.

In primo luogo si rileva che, nonostante la regolarità delle notifiche, Energia Verde non ha adeguatamente e tempestivamente fornito riscontro alle richieste di informazioni trasmesse dall’Autorità ai sensi degli artt. 157 del Codice e 58 del Regolamento e che tale contegno integra gli estremi di una violazione soggetta all’applicazione della sanzione amministrativa pecuniaria prevista per le violazioni più gravi ai sensi dell’art. 83, par. 5 del Regolamento.

Quanto al primo riscontro fornito in ordine alla richiesta di informazioni formulata dall’Autorità, infatti, la Società aveva completamente omesso di trasmettere le proposte d’acquisto relative alla cd. settimana campione, limitandosi ad avanzare generiche e lacunose osservazioni rispetto ai quesiti posti.

A seguito della richiesta di informazioni integrativa, invece, in un primo momento Energia Verde era rimasta addirittura silente. Successivamente - una volta scaduto il termine perentorio stabilito ai fini del riscontro - la Società si era ravveduta, chiedendo dapprima la concessione di un nuovo termine e poi fornendo gli elementi richiesti.

Tale condotta, determinando di fatto un indebito rallentamento dell’attività amministrativa, si pone in aperto contrasto anche con le disposizioni di cui all’art. 31 del Regolamento, che sanciscono un generale obbligo di cooperazione con l’Autorità di controllo gravante sul titolare del trattamento, sul responsabile e del trattamento e, ove applicabile, anche sul rappresentante.

A tale riguardo la Società ha osservato che il ritardo occorso sarebbe scaturito esclusivamente dalla difficoltà di reperire tutte le informazioni e la documentazione necessaria. Tale tesi non si rivela affatto persuasiva, dal momento che Energia Verde avrebbe per esempio potuto richiedere tempestivamente una proroga del termine concesso e per l’effetto evitare di incorrere nella violazione.

Sul punto non possono trovare accoglimento le eccezioni avanzate dalla Società in ordine alla natura ordinatoria del termine concesso ai fini del riscontro e all’inutilizzabilità della documentazione tardivamente fornita.

L’art. 58, par. 1, lett. a) del Regolamento annovera espressamente tra i poteri di indagine dell’Autorità quello di ingiungere al titolare del trattamento e al responsabile del trattamento di fornirle ogni informazione di cui necessiti per l'esecuzione dei suoi compiti. Parimenti anche l’art. 157 del Codice prevede che il Garante può richiedere al titolare e al responsabile di fornire informazioni, nonchè di esibire documenti anche con riferimento al contenuto di banche di dati.

La violazione delle disposizioni appena citate, inoltre, è già di per sé passibile di sanzione amministrativa pecuniaria, da determinarsi entro il medesimo limite edittale previsto per le violazioni più gravi (cfr. 20 000 000 euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore) ai sensi del combinato disposto degli artt. 166, comma 2 del Codice e 83, par. 5 del Regolamento.

Ne consegue che affrontare la questione della mancata ottemperanza alle richieste di informazioni avanzate dell'Autorità ai sensi degli artt. 157 del Codice e 58, par. 1 lett. a) del Regolamento sotto l’angolo visuale della natura perentoria o ordinatoria del termine si rivela manifestamente fuorviante.
Nell’ambito dell’ordinamento giuridico italiano, la dicotomia tra termini perentori e ordinatori è mutuata dal codice di procedura civile, che all’art. 152 disciplina i termini cd. legali, ovvero quelli espressamente previsti dalla legge, e i termini cd. giudiziali, vale a dire quelli stabiliti dal giudice. Più in particolare i termini legali si distinguono in dilatori, quando fissano il momento prima del quale un atto non può essere compiuto, e termini acceleratori, quando indicano il momento entro il quale un atto può essere o deve essere compiuto. I termini acceleratori, a loro volta, si distinguono in ordinatori, allorquando sono rivolti a regolare l'attività processuale in vista del normale andamento del processo, mentre sono considerati perentori, quando impongono di compiere l’atto entro un determinato termine a pena di decadenza. Proprio in virtù della circostanza che alla scadenza di un termine perentorio, sia correlata la perdita della possibilità di compiere l’atto cui il termine era preordinato, l’art. 152 c.p.c. prevede che siano tali, soltanto i termini che sono espressamente definiti perentori dalla legge.

E’ di palmare evidenza che la ratio testè illustrata e sottesa alla natura perentoria ovvero ordinatoria dei termini previsti dalla disciplina procedurale, si rivela poco aderente alla questione della mancata ottemperanza a una richiesta dell’Autorità, cui l’ordinamento non fa conseguire una decadenza processuale, bensì l’applicazione di una sanzione amministrativa.

Nel contesto della vigente normativa in materia di protezione dei dati personali, infatti, i poteri di indagine riconosciuti all’Autorità sono scevri e svincolati da un riferimento temporale, dal momento che il riscontro alle richieste dell’Autorità non è contemplato alla stregua di una facoltà difensiva riconosciuta in un’ottica di garanzia del contraddittorio e del diritto di difesa, ma è un obbligo, la cui inottemperanza integra gli estremi di un illecito amministrativo omissivo proprio.

Ne consegue che l’illecito si perfeziona quando il soggetto omette di compiere l'azione prescritta e pertanto viene punito, a prescindere dalla circostanza che dalla sua condotta consegua o meno un evento naturalistico (in tal senso vd. Cass. Ord. n. 8942 del 29 marzo 2023 «(…) l'art. 157 Codice Privacy contiene una formula (…) in cui la richiesta del Garante di informazioni o di esibizione di documenti non è integrata da perimetri temporali. Specularmente, l'art. 164 Codice Privacy - che contiene la corrispondente fattispecie sanzionatoria ("Chiunque omette di fornire le informazioni o di esibire i documenti richiesti dal Garante ai sensi dell'art. 150, comma 2, e art. 157 è punito con la sanzione amministrativa del pagamento di una somma da diecimila Euro a sessantamila Euro") - è volta a conferire all'Autorità Garante poteri investigativi necessari, a fini preventivi, nuovamente senza costrizioni temporali. Del resto, interpretando le disposizioni nel loro significato storico-teleologico, la disciplina sul trattamento dei dati personali è stata concepita (…) come strumento per prevenire e contenere il rischio per i diritti e le libertà delle persone: si tratta di un regime normativo di fonte Europea diretto ad assicurare la corretta circolazione delle informazioni riferibili alla persona fisica; informazioni intese non solo quale bene economico, ma soprattutto quale oggetto di un diritto fondamentale (riconosciuto dall'art. 8 della Carta Europea dei Diritti fondamentali e dall'art. 8 della Carta dei Diritti Fondamentali dell'Unione Europea). In tale contesto normativo, l'istituzione dell'autorità nazionale di controllo (…), cui è conferito il potere di eseguire i suoi compiti riconosciuti dalla legge in totale indipendenza in ciascuno Stato membro, è un elemento essenziale della protezione delle persone fisiche con riguardo al trattamento dei loro dati personali. I poteri, dunque, assegnati al Garante (…) sono essenzialmente di indirizzo, controllo preliminare, investigazione e intervento (…). L'originario disegno normativo risulta, peraltro, confermato e rafforzato dal sistema attualmente vigente, il Regolamento UE 2016/679 noto come GDPR, che assegna all'autorità nazionale di controllo poteri di investigazione, controllo e intervento: anche qui è prevista una sanzione amministrativa pecuniaria fino a 20 milioni di Euro (o pari al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore) comminabile a seguito dell'inosservanza di un ordine dell'Autorità di controllo (art. 83, comma 6, GDPR), non temporalmente delimitato. 1.2. La ricostruzione della ratio e finalità della disciplina in esame non consente di configurare il ritardo nel soddisfare le richieste o misure imposte dal Garante: emerge, invece, il carattere continuativo dell'illecito omissivo, "perdurante" fino ai successivi accertamenti»).

L’orientamento sinora esposto è, peraltro, quello costantemente seguito anche dall’Autorità che, in molteplici occasioni, ha comminato sanzioni pecuniarie in relazione al mancato riscontro alle richieste di informazioni ex art. 157 del Codice (ex multis Provv. 15 settembre 2022, n. 301, doc. web n. 9815931; Provv. 24 gennaio 2024, n. 34, doc. web n. 9986304; Provv. 17 ottobre 2024, n. 619, doc. web n. 10072669).

Quanto, invece, allo svolgimento delle attività di telemarketing e teleselling, la documentazione e le dichiarazioni complessivamente fornite dalla Società hanno confermato la sussistenza di rilevanti criticità sia rispetto ai trattamenti di dati personali svolti prima del marzo 2024, sia relativamente all’attuale assetto organizzativo in materia di protezione dei dati personali.

Con riguardo alla compliance aziendale in essere sino a marzo 2024, dalla lettura sistematica delle clausole presenti all’interno del contratto e dal contegno tenuto dalle parti, emerge che ab origine Energia Verde aveva esternalizzato l’attività concernente la promozione di prodotti e servizi, ivi incluse le operazioni riguardanti la conclusione dei contratti con i clienti finali e il susseguente caricamento degli stessi sui sistemi aziendali, affidandone lo svolgimento in via esclusiva a Energia Pulita.

Dal canto suo, Energia Pulita svolgeva attività promozionali e di vendita esclusivamente a favore di Energia Verde, attenendosi alle direttive ed alle linee guida impartite da quest’ultima ed avvalendosi dell’ausilio di ulteriori soggetti terzi.

In tale contesto, dunque, Energia Verde assumeva il ruolo di titolare del trattamento, ai sensi dell’art. 4, punto 7) del Regolamento (cfr. «la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali»), mentre Energia Pulita svolgeva i compiti tipicamente riconducibili al responsabile del trattamento ai sensi degli artt. 4, punto 8) e 28 del Regolamento (cfr. «la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento»).

L’illustrata ricostruzione dei ruoli soggettivi assunti dalle due Società in relazione ai trattamenti di dati personali correlati allo svolgimento di attività di telemarketing e teleselling, risulta confermata sia alla luce dell’attuale assetto normativo sul tema, sia degli elementi fattuali emersi nel corso del procedimento.

Sul tema vale la pena richiamare le Linee guida 07/2020 dell’EDPB sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR nella parte in cui si legge che la titolarità deve essere individuata sulla base di un criterio funzionale, a fronte di un’analisi fattuale piuttosto che formale e che «l’analisi delle clausole contrattuali che disciplinano i rapporti tra le diverse parti coinvolte può facilitare l’individuazione del soggetto (o dei soggetti) che opera(no) in qualità di titolare del trattamento. Anche se il contratto non stabilisce chi è il titolare del trattamento, esso può contenere elementi sufficienti per desumere chi decide in merito alle finalità e ai mezzi del trattamento. Può anche accadere che il contratto preveda un’indicazione esplicita sull’identità del titolare del trattamento. Se non sussiste motivo di dubitare che ciò rispecchi fedelmente la realtà, niente vieta di attenersi alle previsioni del contratto. Tuttavia, queste ultime non sono determinanti in modo assoluto, poiché altrimenti le parti potrebbero attribuire le responsabilità a proprio piacimento. Non è possibile assumere il ruolo di titolare del trattamento né esimersi dagli obblighi in capo al titolare del trattamento semplicemente redigendo il contratto in un determinato modo, laddove ciò non corrisponda alle circostanze di fatto».

Parimenti, sempre secondo le citate Linee Guida «Le due condizioni fondamentali per la qualifica di responsabile del trattamento sono: a) essere un soggetto distinto rispetto al titolare del trattamento; b) trattare i dati personali per conto del titolare del trattamento (...) Il trattamento di dati personali per conto del titolare comporta innanzitutto che il soggetto distinto tratti i dati personali a beneficio del titolare del trattamento (…) il trattamento deve essere effettuato per conto di un titolare, ma non agendo sotto la sua autorità o controllo diretti. Agire «per conto di» significa servire gli interessi di terzi e richiama la nozione giuridica di «delega». Nel caso della normativa in materia di protezione dei dati, il responsabile del trattamento è chiamato a seguire le istruzioni impartite dal titolare almeno per quanto concerne la finalità del trattamento e gli elementi essenziali che ne costituiscono i mezzi (...) Tuttavia, come detto in precedenza, le istruzioni del titolare del trattamento possono lasciare un certo margine di discrezionalità su come servire al meglio i suoi interessi; ciò consente al responsabile del trattamento di scegliere i mezzi tecnici e organizzativi più idonei».

Nel caso in esame, ai fini della corretta qualificazione del ruolo soggettivo ricoperto da Energia Verde assumono rilevanza in primo luogo le disposizioni del contratto concluso tra le parti, avente a oggetto il conferimento dell’incarico di Ambassador, ossia di «incrementare le vendite dei servizi e dei prodotti a marchio Energia Verde Italia tipicamente attraverso la segnalazione di soggetti interessati a fruire delle offerte» (cfr. art. 2 contratto).

Con il richiamato accordo, infatti, le parti hanno previsto che «l’Ambassador (…) si atterrà alle eventuali direttive o linee guida impartite da ENERGIA VERDE ITALIA SRL, funzionalmente sia al soddisfacimento delle esigenze di marketing, sia alla tutela della reputazione complessiva di ENERGIA VERDE ITALIA SRL e del marchio» (cfr. art. 3 del contratto); che «I prezzi e le condizioni di vendita sono quelli stabiliti dalla Preponente ENERGIA VERDE ITALIA SRL e l’Ambassador potrà soltanto riferire a titolo informativo le condizioni di vendita di Prodotti e Servizi, senza alcun potere di intervento ed assumendosi la responsabilità delle informazioni rese in maniera impropria o comunque errata» (cfr. art. 4 del contratto) e che «Al termine del rapporto l’Ambassador dovrà restituire tutto il materiale eventualmente in suo possesso che gli sarà stato fornito dal Preponente e dovrà immediatamente dismettere tale qualifica nei rapporti con il pubblico» (cfr. art. 6 del contratto).
In seconda istanza, si rivela determinante anche il contegno tenuto dalle Società in esecuzione del richiamato accordo. Difatti, per stessa ammissione di queste ultime, Energia Pulita agiva utilizzando il marchio Energia Verde, effettuando attività di telemarketing e teleselling nell’interesse di quest’ultima, ciò a partire dalla promozione telefonica, sino all’eventuale caricamento dei contratti sui sistemi aziendali.

Contrariamente a quanto sostenuto dalla Società, l’affidamento dello svolgimento di attività promozionali nell’interesse di Energia Verde, soggetto che peraltro ne trae diretto beneficio economico, integrava proprio gli estremi tipici del rapporto titolare-responsabile, dal momento che a prescindere dagli spazi di autonomia concessi ai fini dello svolgimento dell’incarico, Energia Pulita agiva nell’interesse di Energia Verde, applicava tariffe eterodeterminate e doveva attenersi alle direttive impartite.

Peraltro anche l’art. 4 del Codice di Condotta in materia di telemarketing (cfr. Provv. 9 marzo 2023, n. 70, doc. web n. 9868813 e Provv. n. 7 marzo 2024, n. 148, doc. web n. 9993808), che indipendentemente dalla effettiva adesione assume, in ogni caso, la valenza di best practices prevede che «A prescindere dalla fonte di provenienza dei dati e indipendentemente dal materiale accesso agli stessi, agisce in qualità di titolare del trattamento, secondo quanto previsto all’art. 4, punto 7), del Regolamento, il soggetto che esegue direttamente o commissiona l’effettuazione tramite il canale telefonico di campagne di telemarketing e teleselling (…) I fornitori di servizi incaricati di svolgere uno o più trattamenti connessi all’esecuzione di campagne di telemarketing e teleselling, o anche di reperire dati dai list provider, operano in qualità di responsabili del trattamento, in virtù di un contratto, o altro atto giuridicamente vincolante ai sensi di legge, che includa tutti gli elementi e disciplini tutti i profili di cui all’art. 28 del Regolamento. Ricadono in tale categoria, fra gli altri, i call center/teleseller e le agenzie incaricate dai committenti dei contatti telefonici».

Sul punto non può trovare accoglimento nemmeno la tesi avanzata da Energia Verde in relazione alla circostanza che i ruoli soggettivi assunti dalle Società dipenderebbero dalla provenienza delle liste di contattabilità.

Da un lato, infatti, la circostanza che Energia Pulita abbia effettuato attività di telemarketing e teleselling sulla base di liste e/o contatti acquisite autonomamente, non fa venire meno la titolarità in capo a Energia Verde dei trattamenti relativi alle operazioni promozionali.

Tutto al più, in caso di liste acquisite autonomamente e sulla base di un processo anteriore e autonomo rispetto alla successiva cessione ai fini marketing, il soggetto che ha formato la lista (cd. Editore) può assumere il ruolo di titolare del trattamento limitatamente alle attività propedeutiche alla formazione della lista, ma tale rilievo non vale a inficiare l’assunto che colui che commissiona la campagna promozionale utilizzando le liste così acquisite e nel cui interesse viene realizzata l’attività commerciale, assuma il ruolo di titolare del trattamento in relazione allo svolgimento delle attività di telemarketing e teleselling (cfr. art. 2 del Codice di Condotta in materia di telemarketing «si intende per (…) “list provider” o “editore”, il soggetto che, anche in via non principale rispetto alla propria attività, operando in qualità di titolare del trattamento, procede, in virtù del consenso degli interessati, alla comunicazione dei dati personali, autonomamente raccolti, a soggetti terzi per finalità di teleselling e telemarketing»).

Dall’altro, non vale a escludere la titolarità in capo a Energia Verde nemmeno il rilievo sui margini di autonomia lasciati a Energia Pulita, dal momento che la definizione di titolare del trattamento fa perno sul potere decisionale del soggetto in ordine alla finalità e ai mezzi del trattamento, ben potendo accadere che vengano lasciati al responsabile del trattamento ampi spazi di autodeterminazione o addirittura che il titolare non venga nemmeno mai in possesso dei dati personali trattati per suo conto (cfr. Linee Guida n. 7/2020, par. 45 «Non è necessario che il titolare abbia effettivamente accesso ai dati oggetto del trattamento. Un soggetto che esternalizzi un’attività di trattamento e in tal modo eserciti un’influenza determinante sulla finalità e sui mezzi (essenziali) del trattamento stesso (ad esempio configurando i parametri di un servizio in modo tale da definire quali dati personali debbano essere trattati) è da ritenersi il titolare del trattamento anche se non avrà mai accesso effettivo ai dati»).

Sul tema, la Società ha eccepito che i trattamenti realizzati da Energia Pulita nel contesto delle attività promozionali erano volti al perseguimento di una finalità propria, dal momento che quest’ultima veniva remunerata sulla base delle manifestazioni di interesse di potenziali clienti raccolte (e non dei contatti marketing effettuati) con tali attività.

Tale osservazione non può essere condivisa, poiché non tiene conto della distinzione esistente tra finalità del trattamento dei dati personali e il fine prettamente economico correlato all’esercizio dell’attività di impresa.

Per le medesime ragioni sinora esposte, si osserva che XX ed XX, le due società di cui Energia Pulita si è avvalsa per lo svolgimento dell’incarico affidatole da Energia Verde, di fatto, hanno svolto trattamenti di dati personali in assenza della prescritta nomina e autorizzazione ad agire in qualità di sub-responsabili del trattamento.

La configurazione dei ruoli soggettivi appena descritta, peraltro, appare confacente anche rispetto all’attuale assetto organizzativo e condivisa dalla Società, considerato che le modalità e le finalità dei trattamenti svolti da Energia Pulita nell’interesse di Energia Verde sono di fatto rimaste le medesime, l’originario contratto non ha subito modifiche e la nomina a responsabile del trattamento conferita nelle more del procedimento richiama testualmente l’oggetto dell’originario accordo.

Parimenti anche XX sembrerebbe attualmente assumere il ruolo e le responsabilità ricollegabili alla figura del sub-responsabile.

Ne consegue che sino al marzo 2024 Energia Verde ha svolto attività di telemarketing e teleselling, avvalendosi di soggetti esterni, senza la previa e corretta attribuzione dei ruoli soggettivi in materia di protezione dei dati personali e delle responsabilità che ne derivavano, in assenza del conferimento delle prescritte nomine ex art. 28 del Regolamento, nonché violando i basilari doveri di accountability notoriamente gravanti sul titolare del trattamento.

In altri termini Energia Verde sino al marzo 2024 si è avvalsa di soggetti esterni per il trattamento dei dati personali, senza il previo conferimento della nomina a responsabile del trattamento e della prescritta autorizzazione rispetto alla nomina di eventuali sub-responsabili, contravvenendo sia ai doveri di diligenza nella scelta e selezione di soggetti che possedessero adeguate competenze in materia di privacy (cd. culpa in eligendo), sia omettendo di vigilare adeguatamente sul loro operato (cd. culpa in vigilando).

Tali violazioni risultano, peraltro, accertate anche alla luce delle dichiarazioni fornite dalla Società in ordine all’assenza di controlli e direttive sull’operato del responsabile e dei sub-responsabili, all’impossibilità di fornire elementi in ordine alla provenienza delle liste utilizzate, alle informative conferite e ai consensi acquisiti.

Dalla documentazione agli atti del procedimento è emersa la sussistenza di talune criticità anche rispetto all’attuale assetto organizzativo.  

Difatti, Energia Pulita nell’ambito dello svolgimento di trattamenti di dati personali per conto di Energia Verde, si è avvalsa di XX in assenza delle prescritte autorizzazioni e in violazione dei doveri di informazione gravanti sul responsabile del trattamento. Anche sotto tale profilo, pertanto, emerge la perdurante assenza di controllo da parte di Energia Verde sull’operato dei propri partner commerciali, la mancanza di un effettivo governo della filiera del trattamento e la tendenza all’adempimento meramente formale degli obblighi imposti dalla vigente normativa in materia di protezione dei dati personali.

Ai sensi dell’art. 28, par. 2 del Regolamento, infatti, «Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l'opportunità di opporsi a tali modifiche».

Energia Verde ha recepito la citata prescrizione, prevedendo all’interno della nomina conferita a Energia Pulita in primo luogo un generale divieto di affidamento di trattamenti di dati personali a eventuali subfornitori, salvo il caso di rilascio di un’autorizzazione specifica da parte del titolare del trattamento. Contestualmente, nella medesima nomina, è stata previsto anche che in caso di autorizzazione generale, il responsabile avrebbe dovuto informare il titolare dell’intenzione di modificare la platea di sub-responsabili, dando così l’opportunità a Energia Verde di opporsi.

Nonostante l’odierno procedimento ab inizio si sia incentrato anche sull’individuazione dei ruoli soggettivi e le plurime richieste di informazioni avanzate dall’Autorità, Energia Verde non ha mai prodotto alcuna documentazione riguardante il rilascio della citata autorizzazione, ciò nemmeno a seguito della contestazione e nonostante l’onere della prova circa l’ottemperanza alla vigente normativa gravi sul titolare del trattamento ai sensi degli artt. 5, par. 2 e 24 del Regolamento. Agli atti del procedimento sussiste soltanto una nomina ex art. 28 del Regolamento che pone, al contrario, un generale divieto di affidamento a terzi delle operazioni di trattamento (Sic!).

Dall’originaria errata qualificazione dei ruoli soggettivi, nel caso di specie è derivato anche l’inadempimento degli obblighi strettamente correlati a tali qualificazioni, con particolare riferimento alla realizzazione di attività di telemarketing e teleselling svolte nell’interesse di Energia Verde.

A tale riguardo, assumono particolare rilevanza probatoria le risultanze emerse all’esito della disamina delle segnalazioni e dei reclami pervenuti all’attenzione dell’Autorità. Le doglianze in parola sono numerose (quasi un centinaio) e tutte concordanti tra loro nel delineare l’avvenuta realizzazione di telefonate promozionali utilizzando numerazioni non iscritte al ROC ed effettuate nei confronti di soggetti interessati che avevano manifestato la loro opposizione mediante l’iscrizione nel Registro Pubblico delle Opposizioni.

La sussistenza delle violazioni contestate risulta accertata, inoltre, anche all’esito della verifica condotta in ordine ai contratti stipulati nell’arco della cd. settimana campione. Dalla verifica in parola è emerso, infatti, che nel 6% dei casi (i.e. 5 su totali 81), le numerazioni destinatarie dei contatti promozionali, che hanno poi condotto alla stipula di un contratto di fornitura, erano iscritte al RPO al tempo della realizzazione della chiamata promozionale. Tale dato, che prima facie potrebbe apparire esiguo, se contestualizzato nell’ambito del volume d’affari dell’odierno titolare, appare particolarmente significativo. Difatti da un lato, proiettando le risultanze della cd. settimana campione a un intero anno solare, emerge che Energia Verde ha verosimilmente incamerato all’anno i proventi di circa 250 contratti di forniture derivanti da contatti ab origine illeciti. Peraltro, quelli appena richiamati sono soltanto i contatti telefonici andati a buon fine, in quanto hanno generato l’attivazione di una fornitura, tuttavia i contatti promozionali effettivamente realizzati in assenza dei presupposti di legittimità sono stati verosimilmente molti più numerosi.

D’altro lato, la percentuale in discorso esprime - in proporzione al volume d’affari della Società - il medesimo trend registrato in procedimenti del tutto similari, celebrati nei confronti di titolari operanti nel settore energetico (cfr. 7% - Provv. 11 aprile 2024, n. 204, doc-web n. 10008019, 6% - Provv. 11 aprile 2024, n. 205, doc-web n. 1000807, 6, 7% - Provv. 6 giugno 2024, n. 342, doc-web n. 10029424).

Sul punto la Società ha contestato la correttezza della metodologia utilizzata ai fini della citata verifica a campione, eccependo l’esiguità del lasso di tempo preso in considerazione e che la medesima non tiene in considerazione l’andamento o la periodicità delle campagne promozionali.

Invero, l’Autorità sta da tempo utilizzando il criterio della cd. settimana campione, che in molteplici procedimenti del tutto analoghi ha consentito di ottenere risultanze probatorie determinanti, che hanno confermato le circostanze portate all’attenzione dell’Autorità mediante le segnalazioni e i reclami presentati dall’Autorità. Peraltro, il lasso di tempo preso in considerazione appare del tutto congruo, dal momento che contempla l’intero arco di una settimana e per l’effetto tiene conto anche delle peculiarità connesse alle giornate del sabato e della domenica. Al contrario, prendere in considerazione un arco di tempo più lungo, potrebbe rendere eccessivamente difficoltosa e onerosa l’attività difensiva del titolare, che sarebbe costretto a rinvenire e produrre una gravosa mole di documentazione, con le evidenti difficoltà che tale onere comporterebbe.

Rispetto alle risultanze emerse dalla verifica a campione, nel merito Energia Verde si è limitata a eccepire genericamente che la riscontrata iscrizione al RPO delle numerazioni contattate, non vale a escludere che i contatti siano stati effettuati sulla base di un consenso raccolto successivamente all’iscrizione.

Tuttavia, non può ritenersi sufficiente richiamare la base giuridica del consenso per invocare la legittimità dei trattamenti effettuati.

Ai sensi degli artt. 4, punto 11), 6 e 7 del Regolamento, il consenso è valido qualora l’interessato sia stato posto in condizione di esprimere la propria volontà in maniera informata, libera, specifica e inequivocabile. Tuttavia, Energia Verde ha genericamente rappresentato di non trovarsi nella materiale disponibilità della documentazione concernente le liste utilizzate sino al marzo 2024 e pertanto non ha addotto alcun elemento idoneo a documentare l’avvenuta acquisizione di un valido consenso degli interessati, il conferimento di idonee informative, nè le verifiche condotte presso la FUB prima dell’inizio di ogni campagna.

Si rileva, inoltre, che anche i trattamenti di dati personali per finalità di telemarketing e teleselling svolti sulla base dei dati raccolti mediante il form pubblicato sul sito web aziendale, erano realizzati al di fuori dei prescritti requisiti di liceità.

Al tempo della notifica della prima richiesta di informazioni da parte dell’Autorità, infatti, il link utile alla consultazione dell’informativa non risultava correttamente configurato e funzionante, con evidenti ricadute sulla validità dei consensi eventualmente prestati e sulla correttezza e trasparenza dei trattamenti di dati personali svolti nell’interesse della Società.

Successivamente, nemmeno la configurazione adottata in concomitanza alla notifica dell’atto di avvio del procedimento appariva in linea con il vigente assetto normativo, sotto un duplice ordine di aspetti.

Da un lato l’informativa era del tutto carente in termini di chiarezza e trasparenza, dal momento che non consentiva di distinguere agevolmente le basi giuridiche riferibili alle varie finalità del trattamento. Dall’altro i moduli di consenso presenti in calce al form di contatto (cfr. «Acconsento al trattamento dei miei dati personali da parte di Energia Verde Italia SPA per le finalità di cui al punto 5 dell'informativa» e «Acconsento al trattamento dei miei dati personali da parte di Energia Verde Italia SPA per le finalità di cui al punto 6 dell’informativa»), non rispettavano il principio di specificità e granularità del consenso, tenuto conto che all’interno delle sezioni 5 e 6 dell’informativa sul trattamento di dati personali erano riportate numerose e diverse finalità del trattamento (p.e. trattamenti dati correlati alla navigazione sul sito, marketing, profilazione, gestione ordini di acquisto ecc.).

Pertanto, i dati personali raccolti mediante tali form venivano trattati in assenza di un’idonea base giuridica, nonchè in violazione dei principi di correttezza e trasparenza.

Inoltre, il titolare del trattamento non aveva implementato nemmeno misure preordinate a verificare l’identità del soggetto che provvede al conferimento dei dati e/o all’inoltro delle richieste di ricontatto, di guisa che anche sotto tale profilo le attività di telemarketing e teleselling svolte nell’interesse di Energia Verde appaiono realizzate in contrasto con le prescrizioni imposte agli artt. 5, 6 e 7 del Regolamento e 130 del Codice.

Quanto all’attuale assetto organizzativo in materia di protezione dei dati personali, pur essendo apprezzabile lo sforzo profuso al fine di adeguare tempestivamente la governance aziendale alla vigente normativa, si ritiene che sussistano ancora alcuni elementi di criticità.

In primo luogo, non appare aderente alla vigente normativa il richiamo all’interesse legittimo, quale base giuridica del trattamento effettuato per finalità di marketing rispetto ai dati personali appartenenti ai «Prospect le cui numerazioni siano presenti negli elenchi generali e non siano iscritte al RPO» (vd. par. 2 Procedura Telemarketing).

Il trattamento di dati personali per finalità di marketing è disciplinato dall’art. 130 del Codice che ha recepito e dato attuazione nell’ordinamento italiano all’art. 13 della Direttiva 2002/58/CE in materia di comunicazioni indesiderate effettuate mediante strumenti di comunicazione elettronica. Tra tali strumenti può certamente essere ricompreso il mezzo telefonico che, in base alla modalità di veicolazione del messaggio (con o senza operatore), può ricadere nelle fattispecie disciplinate dall’art. 130 del Codice. Più in particolare, se la telefonata è effettuata senza l’intervento di un operatore (con sistemi automatizzati di chiamata), si applica la disposizione contenuta nell’art. 130, comma 1, del Codice; se il contatto è realizzato con l’intervento di un operatore, trovano applicazione il comma 3 e 3 bis, del medesimo articolo. Tale interpretazione risulta coerente con l’impianto del citato art. 13 della Direttiva 2002/58/CE in base al quale i contatti effettuati mediante sistemi automatizzati di chiamata senza intervento di un operatore sono consentiti solo con il consenso dell’interessato o dell’utente. Solo nello specifico caso in cui il contatto venga realizzato utilizzando il canale telefonico con operatore, gli Stati membri hanno la facoltà di scegliere se mantenere la base giuridica del consenso (opt-in) oppure ritenere liberamente effettuabili tali chiamate in assenza di un espresso diniego (opt-out) che, in Italia, è possibile esercitare mediante l’iscrizione dell’utenza al Registro Pubblico delle Opposizioni. È pertanto evidente che il trattamento di dati personali per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, può essere realizzato solo previa acquisizione di un valido consenso da parte dell’interessato e che l’ipotesi disciplinata all’art. 130, comma 3-bis del Codice costituisce un’eccezione alla regola generale del consenso.

Peraltro, contrariamente a quanto sostenuto da Energia Verde, la corretta individuazione della base giuridica del trattamento non rappresenta una questione meramente teorica, ma assume estrema rilevanza, dal momento che costituisce la condizione di liceità del trattamento e deve essere indicata nell’informativa conferita all’interessato. Dalla base giuridica utilizzata, inoltre, dipendono da un lato il diverso atteggiarsi degli obblighi gravanti sul titolare del trattamento e dall’altro i diritti spettanti al soggetto interessato.

Nel caso di specie, pur invocando il legittimo interesse, la Società non ha nemmeno dedotto, né documentato la sussistenza delle condizioni prescritte ai fini dell’utilizzo della base giuridica in questione, quali l’individuazione del legittimo interesse perseguito, le valutazioni sulla necessità del trattamento ai fini della realizzazione del legittimo interesse perseguito e il bilanciamento effettuato rispetto ai diritti e alle libertà fondamentali degli interessati (cfr. Guidelines 1/2024 on processing of personal data based on Article 6(1)(f)).

Si osserva, altresì, che tra le misure di recente implementazione in ordine ai controlli sull’operato dei Responsabili del trattamento, pure indicate all’interno della procedura in parola, non è stata contemplata quella del blocco dell’attivazione della fornitura in caso di anomalie riguardanti la liceità dell’originario contatto e di interlocuzione con l’interessato per saggiare il permanere della volontà di addivenire alla stipula del contratto (cfr. art. 16, comma 6 del Codice di condotta in materia di telemarketing «Il committente sviluppa i propri processi affinché i contratti stipulati a seguito di attività di teleselling avvengano in presenza di un inequivocabile consenso al contatto originario, salvi i casi ricadenti nell’ambito di applicazione dell’art. 130, comma 3-bis del Codice. In sede di prima applicazione del presente Codice di condotta e ad esclusiva tutela dell’interessato, nel caso a seguito dei controlli emergano contratti per i quali risulti viziato il primo contatto, detti contratti possono continuare ad avere esecuzione purché il committente informi l’interessato dell’origine viziata del contratto e che lo stesso interessato confermi la volontà di volerlo mantenere, fatti salvi i casi residuali in cui il cliente non dia seguito a comprovati tentativi di contatto del committente»).

In relazione a tale profilo, Energia Verde anche dopo la contestazione non ha fornito alcun elemento idoneo a illustrare i controlli implementati al fine di verificare la liceità di tutto il processo che dal contatto, consente di addivenire al contratto, limitandosi a eccepire in maniera del tutto generica che la mancata previsione all’interno della procedura dedicata alle attività di telemarketing, non vale a escludere che tali adempimenti vengano posti in essere e che tale mancanza sarebbe dovuta alla volontà di disciplinare soltanto la fase relativa al contatto promozionale e non quella prettamente correlata all’attivazione del contratto. L’eccezione non si rivela persuasiva, dal momento che la procedura in discorso fa ripetutamente riferimento anche al teleselling e alla fase successiva al caricamento delle proposte sui sistemi aziendali.

Sotto altro e diverso profilo, infine, si rileva che in più di una delle doglianze pervenute all’attenzione dell’Autorità, gli interessati sotto la propria penale responsabilità hanno dichiarato di avere previamente interpellato il titolare del trattamento per l’esercizio dei diritti, ma di avere tuttavia ottenuto riscontri generici e non satisfattivi delle pretese avanzate (cfr. fascicolo n. 338898 «siamo spiacenti. Energia Verde Italia si avvale di agenzie commerciali esterne, pertanto non è in grado di sodarne l'operato in linea diretta. Provvediamo ad inviare loro una pec indicando di eliminare il Suo nominativo dal database» e ancora fascicolo n. 326006 «Gentile Utente, Energia Verde Italia si avvale di agenzie commerciali esterne, quindi non siamo in grado di fornirle questa informazione direttamente. Tuttavia, abbiamo provveduto ad inviare una PEC a tutte le nostre agenzie commerciali, indicando loro di eliminare il suo nominativo dal loro database qualora fosse stato presente»).

I rilievi forniti dagli interessati, peraltro sorretti anche dalla pertinente documentazione, se considerati congiuntamente all’avvenuta adozione di una procedura aziendale per la gestione delle istanze di esercizio dei diritti degli interessati con notevole ritardo rispetto all'entrata in vigore del regolamento, rendono necessario attribuire alla Società anche l’avvenuta violazione degli artt. 12 e da 15 a 22 e ss. del Regolamento.

Deve quindi confermarsi la responsabilità di Energia Verde in ordine a tutte le violazioni contestate.

4. CONCLUSIONI

Per quanto sopra esposto si ritiene accertata la responsabilità di Energia Verde in ordine alle seguenti violazioni:

a) artt. 157 del Codice, in relazione agli artt. 31 e 58 del Regolamento per l’inadeguato e tardivo riscontro alle richieste di informazioni formulate dall’Autorità;

b) artt. 5, 24 e 28 del Regolamento, anche in relazione all’art. 4 del medesimo Regolamento, per lo svolgimento di trattamenti di dati personali in assenza della previa e corretta individuazione dei ruoli soggettivi, nonché per il conseguente inadempimento degli obblighi dagli stessi derivanti;

c) artt. 5, 6, 7, 24 del Regolamento, nonché dell’art. 130 del Codice, per aver effettuato i sopra descritti trattamenti di dati personali di utenti e contraenti del settore energetico in contrasto con i principi di liceità e responsabilizzazione, in assenza di un’idonea base giuridica e mettendo in atto misure tecniche e organizzative non adeguate per garantire, fin dalla progettazione, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento con riferimento all’idoneità della base giuridica e al rilascio di un regolare consenso;

d) artt. 12 e da 15-22 del Regolamento per il mancato e/o inidoneo riscontro alle richieste di esercizio dei diritti da parte degli interessati e l’omessa adozione di misure idonee alla corretta gestione di tali istanze.

Accertata, altresì, l’illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, si rende necessario:

- imporre a Energia Verde, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore trattamento dei dati appartenenti ai segnalanti e ai reclamanti sopra individuati;

- ingiungere a Energia Verde, ai sensi dell’art. 58, par. 2, lett. d) ed e) del Regolamento, di comunicare ai 5 interessati, i cui dati anagrafici sono confluiti nei sistemi della Società a seguito di contatti illeciti, gli esiti dell’odierno procedimento in base ad un testo da concordare con l’Autorità in sede di applicazione del presente provvedimento;

- ingiungere a Energia Verde, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di predisporre adeguati controlli presso la propria rete di vendita e adeguate implementazioni dei sistemi, al fine di escludere che possano entrare nel patrimonio aziendale contratti generati da contatti illeciti;

- ingiungere a Energia Verde, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di predisporre adeguate misure, al fine di conoscere l’identità e il ruolo assunto da tutti i soggetti appartenenti alla propria rete di vendita, conferendo anche le nomine e autorizzazioni previste dalla normativa sulla protezione dei dati personali;

- ingiungere a Energia Verde, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, qualora in futuro intenda svolgere attività promozionali utilizzando i dati personali raccolti mediante form on line, di implementare adeguate formule per l’acquisizione del consenso e idonee informative, nonché misure preordinate a garantire l’identità dei soggetti che conferiscono tali dati personali;

- adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Energia Verde della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento.

5. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Energia Verde della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento (pagamento di una somma fino a € 20.000.000,00 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore).

Per la determinazione del massimo edittale della sanzione pecuniaria, occorre pertanto fare riferimento al fatturato di Energia Verde, come ricavato dall’ultimo bilancio d’esercizio disponibile (2023) in accordo con i precedenti provvedimenti adottati dall’Autorità, e quindi si determina tale massimo edittale, nel caso in argomento, in euro € 20.000.000,00.

Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento;

Nel caso in esame, assumono rilevanza:

1) la gravità delle violazioni, tenuto conto dell’oggetto e delle finalità dei dati trattati, riconducibili al fenomeno complessivo del telemarketing, in ordine al quale l’Autorità ha adottato, oltre al citato Codice di Condotta in materia di telemarketing, in particolare negli ultimi cinque anni, numerosi provvedimenti che hanno compiutamente preso in esame i molteplici elementi di criticità fornendo ai titolari numerose indicazioni per adeguare i trattamenti alla normativa vigente e per attenuare l’impatto delle chiamate di disturbo nei confronti degli interessati (art. 83, par. 2, lett. a) del Regolamento);    

2) quale fattore attenuante l’avvenuta implementazione, già in pendenza del procedimento, di misure correttive al fine di migliorare la compliance della Società in tema di protezione dei dati personali (art. 83, par. 2, lett. k) del Regolamento).

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative e funzionali della Società, si ritiene debba applicarsi a Energia Verde la sanzione amministrativa del pagamento di una somma di 100.000,00 (centomila,00), pari allo 0,5% della sanzione massima edittale.

Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della natura dei trattamenti e delle condotte della Società, nonché degli elementi di rischio per i diritti e le libertà degli interessati.

In attuazione dei principi di cui all’art. 83 del Regolamento, l’irrogazione di tale sanzione accessoria appare ragionevole e proporzionata in relazione alla durata e alla gravità della violazioni, avuto anche riguardo in particolare al mancato adempimento di quelle prescrizioni che devono ritenersi indispensabili e basilari ai fini della tenuta di qualsiasi impianto privacy, quali appunto la cooperazione nei confronti dell’Autorità di controllo, nonchè la corretta individuazione dei ruoli soggettivi e della base giuridica del trattamento.

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. a), del Regolamento, dichiara illecito, nei termini di cui in motivazione, il trattamento effettuato da parte di Energia Verde S.p.A., con sede legale in Salerno (SA), Corso Garibaldi, 150, P.IVA 05959600650;

b) impone a Energia Verde, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore trattamento dei dati appartenenti ai segnalanti e ai reclamanti;

c) ingiunge a Energia Verde, ai sensi dell’art. 58, par. 2, lett. d) ed e) del Regolamento, di comunicare ai 5 interessati, i cui dati anagrafici sono confluiti nei sistemi della Società a seguito di contatti illeciti, gli esiti dell’odierno procedimento in base ad un testo da concordare con l’Autorità in sede di applicazione del presente provvedimento;

d) ingiunge a Energia Verde, ai sensi dell’art. 58, par. 2, lett. d) di predisporre adeguati controlli presso la propria rete di vendita e adeguate implementazioni dei sistemi, al fine di escludere che possano entrare nel patrimonio aziendale contratti generati da contatti illeciti;

e) ingiunge a Energia Verde, ai sensi dell’art. 58, par. 2, lett. d) di predisporre adeguate misure, al fine di conoscere l’identità e il ruolo assunto da tutti i soggetti appartenenti alla propria rete di vendita, conferendo anche le nomine e autorizzazioni previste dalla normativa sulla protezione dei dati personali;

f) ingiunge a Energia Verde, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, qualora in futuro intenda svolgere attività promozionali utilizzando i dati personali raccolti mediante form on line, di implementare adeguate formule per l’acquisizione del consenso e idonee informative, nonché misure preordinate a garantire l’identità dei soggetti che conferiscono tali dati personali;

g) ingiunge a Energia Verde, ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel termine di trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alla misura imposta; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

ORDINA

a Energia Verde S.p.A., in persona del legale rappresentante pro-tempore, con sede legale in Salerno (SA), Corso Garibaldi, 150, P.IVA 05959600650, di pagare la somma di euro 100.000,00 (centomila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 100.000,00 (centomila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

a) la pubblicazione del presente provvedimento, ai sensi degli artt. 154-bis del Codice e 37 del Regolamento n. 1/2019;

b) l’applicazione della sanzione accessoria della pubblicazione sul sito del Garante della presente ordinanza di ingiunzione, come previsto dagli artt. 166, comma 7 del Codice e 16 del Regolamento del Garante n. 1/2019;

c) l’annotazione del presente provvedimento nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 29 aprile 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE REGGENTE
Filippi