[doc. web n. 10146517]

Provvedimento del 29 aprile 2025

Registro dei provvedimenti
n. 249 del 29 aprile 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, Segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il prof. Pasquale Stanzione;

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. Premessa

Con atto del 9 dicembre 2024, n. 144776/24 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente riprodotto, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Energia Pulita S.r.l., (di seguito “Energia Pulita”, “Responsabile del trattamento” oppure ancora “Società”), in persona del legale rappresentante pro-tempore, con sede legale in Scafati (SA), Via Passanti, 50, P.IVA 06000500659.

Il procedimento trae origine da un’istruttoria avviata dall’Autorità, a seguito della ricezione di numerosi reclami e segnalazioni proposti nei confronti di Energia Verde S.p.A. (di seguito anche “Energia Verde” o “Titolare del trattamento”), mediante i quali gli interessati lamentavano l’avvenuta ricezione di chiamate indesiderate finalizzate alla promozione di contratti di fornitura energetica realizzate in assenza di un’idonea base giuridica, nonché il mancato e/o inidoneo riscontro alle istanze di esercizio dei diritti da parte degli interessati.

Nel corso dell’istruttoria, poi, è emerso che Energia Verde aveva affidato lo svolgimento di attività di telemarketing e teleselling ad Energia Pulita, società operante nel campo dei servizi di call center e contact center.

1.2. Le richieste di informazioni formulate dall’Autorità

Con nota dell’11 aprile 2024 (cfr. Prot. n. 45119/24) l’Autorità inviava a Energia Verde una richiesta di informazioni cumulativa, formulata ai sensi degli artt. 157 del Codice e 58, par. 1, lett. a) del Regolamento, utile alla valutazione di numerosi atti di reclamo e segnalazioni (i.e. quasi un centinaio a partire dal mese di giugno 2023, sino all’apertura dell’istruttoria cumulativa) mediante i quali veniva portata all’attenzione dell’Autorità la ricezione di chiamate indesiderate a scopo promozionale, effettuate nell’interesse di Energia Verde, verso utenze iscritte al Registro pubblico delle Opposizioni (di seguito anche “RPO”) e in assenza di un’idonea base giuridica. Nella totalità dei casi, le numerazioni chiamanti indicate nelle richiamate doglianze, non risultavano iscritte al Registro degli Operatori di Comunicazione e postali (di seguito anche “ROC”). Alcuni istanti lamentavano anche il mancato e/o inidoneo riscontro alle istanze di esercizio dei diritti degli interessati presentate ai sensi degli artt. 15 e ss. del Regolamento.

Con la medesima richiesta di informazioni, ad Energia Verde veniva chiesto di fornire anche «un elenco delle proposte di acquisto provenienti dalla propria rete di vendita che hanno determinato l'attivazione di servizi energetici nel periodo dal 15 gennaio 2024 al 22 gennaio 2024 compresi» (cd. settimana campione).

Sempre in quell’occasione l’Ufficio rilevava, altresì, che a seguito di un accesso al sito www.energiaverdeitalia.it effettuato nell’ambito dell’istruttoria preliminare, era emerso che la pagina “CONTATTI” conteneva un form utile alle richieste di contatto e assistenza da parte degli utenti. Nella parte inferiore di tale form erano riportate le seguenti diciture «Acconsento al trattamento dei miei dati ai sensi dell'informativa sulla privacy» e «per visualizzare*». Tuttavia cliccando sul comando «per visualizzare*» il relativo link non risultava funzionante e automaticamente compariva una spunta sulla casella presente in corrispondenza della dicitura «Acconsento al trattamento dei miei dati ai sensi dell'informativa sulla privacy». Le informazioni sul trattamento dei dati effettuato nell’ambito delle richieste di ricontatto non risultavano nemmeno reperibili all’interno della “personal data policy” pubblicata sul sito. Così, veniva richiesto al titolare di fornire elementi utili anche in relazione alla gestione del processo di ricontatto degli interessati che avevano chiesto di essere ricontattati utilizzando il form presente sul sito web aziendale.

Con nota Prot. n. 52721 del 30 aprile 2024, Energia Verde preliminarmente dichiarava che «Energia Verde Italia S.p.A. acquisisce l’intero pacchetto dei clienti dalla sua subagenzia, Energia Pulita s.r.l., la quale, a sua volta acquisisce i clienti da vari partner commerciali che lavorano per essa stessa, vendendo il prodotto di Energia Verde Italia».

Con riferimento alle circostanze rappresentate nei reclami e nelle segnalazioni inviate all’Autorità, inoltre, Energia Verde evidenziava che la numerazione telefonica della subagenzia Energia Pulita S.r.l. era stata regolarmente registrata al ROC e che le parole “Energia Verde” erano tra le più cliccate sui motori di ricerca, pertanto si poteva ipotizzare che «molti commerciali telefonici contattino gli utenti per conto di vari gestori e utilizzino il termine "Energia Verde" come punto di forza telefonico per richiamare la purezza dell'energia (che appunto è verde), prodotta da fonti rinnovabili, confondendo di fatto gli utenti».  

Quanto, infine, al form di contatto e alle informative presenti sul sito, il titolare rilevava che era «stato prontamente posto rimedio all’anomalia segnalataci (…) il testo "Clicca qui", il quale era di colore verde su sfondo verde, è stato modificato in bianco su sfondo verde, in modo da renderlo più visibile al cliente. Il testo della privacy è comprensibile nella formula di contatto, come specificato nella privacy stessa».

A seguito della disamina delle circostanze rappresentate nei riscontri e considerato che medio tempore erano pervenute all’Autorità ulteriori doglianze (cfr. fascicoli nn. 361665 – 364680 – 370093), si rendeva opportuno effettuare un supplemento di istruttoria, rivolgendo a Energia Verde una richiesta di informazioni integrativa ai sensi degli artt. 58 del Regolamento e 157 del Codice (cfr. Prot. n. 64376 del 27 maggio 2024).

A tal fine, in primo luogo l’Ufficio reiterava la richiesta di fornire l’elenco delle proposte di acquisto provenienti dalla propria rete di vendita che avevano determinato la conclusione di contratti di fornitura nel periodo dal 15 gennaio al 22 gennaio 2024 (cd. settimana campione). Con la medesima nota veniva richiesto, poi, di fornire ulteriori elementi in relazione alla gestione del processo di vendita, alla gestione delle richieste di ricontatto effettuate anche mediante il sito web, ai contratti di acquisto delle liste di contattabilità, nonché le informative fornite agli interessati e le modalità di acquisizione dei consensi al trattamento di dati personali. Nella stessa occasione, veniva chiesto a Energia Verde di chiarire la natura dei rapporti intercorrenti con Energia Pulita S.r.l..

Contestualmente, a seguito dei primi riscontri forniti da Energia Verde, si rendeva opportuno notificare una richiesta di informazioni anche a Energia Pulita al fine di acquisire elementi utili a illustrare il processo di promozione e stipula dei contratti di fornitura riconducibili a Energia Verde Italia S.p.A. (cfr. Prot. n. 64374/24 del 27 maggio 2024).

Alla scadenza del termine concesso dall’Ufficio, avvenuta in data 17 giugno 2024, nessuna delle due Società faceva pervenire gli elementi richiesti.

Successivamente in data 4 luglio 2024 (cfr. Prot. n. 82848/24) Energia Pulita trasmetteva un’istanza di proroga del termine pari a 15 giorni rappresentandone la necessità in ragione del numero e dell’elevata analiticità delle richieste formulate dall’Autorità.

Con nota del 4 luglio 2024 (cfr. Prot. n. 110878/24) l’Ufficio rilevava «preliminarmente che al momento della presentazione dell’istanza di proroga in questione, il termine concesso ai fini del riscontro era da considerarsi già scaduto. Con la riserva espressa di rimandare ogni valutazione in ordine al mancato riscontro da parte della Società, entro il termine previsto, alla citata richiesta di informazioni formulata dall’Ufficio, al fine di consentire di acquisire comunque gli elementi utili per l’istruttoria in corso e per dare piena attuazione al principio del contraddittorio (art. 2 del regolamento interno n. 1/2019, disponibile in www.gpdp.it, doc-web n. 9107633), in accoglimento dell’istanza di parte si concede un termine per fornire il riscontro pari a 15 giorni decorrenti dal ricevimento della presente».

Analogamente anche Energia Verde, previa motivata richiesta, otteneva la concessione di un nuovo termine ai fini della trasmissione dei riscontri richiesti (cfr. Prot. nn. 80489/24 e 81460/24).

Successivamente, con nota pervenuta in data 17 luglio 2024 (cfr. Prot. n. 88693 del 18 luglio 2024) Energia Verde trasmetteva l’elenco delle proposte d’acquisto provenienti dalla propria rete di vendita che avevano determinato la conclusione di contratti di fornitura nel periodo dal 15 gennaio 2024 al 22 gennaio 2024, precisando che «le proposte di acquisto sono raccolte da Energia Pulita S.r.l. (…) ad oggi unico soggetto incaricato di svolgere attività promozionale direttamente dalla Società (…) Energia Pulita si è avvalsa, per lo svolgimento dell’incarico affidatogli da Energia Verde, di una rete di soggetti terzi, ma che Energia Pulita è l’unico soggetto dotato dei privilegi/credenziali di accesso necessari ad effettuare il caricamento delle proposte di acquisto sulla piattaforma appositamente dedicata dalla Società».

Nella medesima occasione, quanto alle doglianze pervenute all’attenzione dell’Autorità, Energia Verde ribadiva che presso i teleseller operanti sul mercato era invalsa la pratica illecita di contattare gli interessati utilizzando la dicitura “Verde” al fine di indurli ad acquistare prodotti e servizi «ingenerando la (falsa) percezione di aver ricevuto comunicazioni commerciali aventi a oggetto prodotti e servizi appunto riconducibili a Energia Verde Italia». A tale riguardo, Energia Verde dichiarava, altresì, di avere presentato denuncia alla Procura della Repubblica nei confronti di una Società che era solita spacciarsi per Energia Verde al fine di indurre i clienti a cambiare fornitore.

Energia Verde dichiarava, inoltre, che ad eccezione di tre doglianze (fascicoli nn. 292690, 348610, 344346), nessuno dei segnalanti/reclamanti aveva stipulato un contratto di fornitura e che nella maggior parte dei casi gli interessati non si erano previamente rivolti direttamente a Energia Verde, fatta eccezione per due istanti. Più in particolare quanto al fasc. n. 344346 - relativo al contatto telefonico realizzato nell’interesse di Energia Verde da un’operatrice che era già a conoscenza dei dati del reclamante e alla successiva istanza di cancellazione - il titolare evidenziava che l’interessato, a seguito dell’esercizio del diritto di ripensamento, aveva ricevuto la comunicazione di accoglimento della richiesta di recesso dal contratto. Rispetto al fasc. n. 338898 - mediante il quale l’istante lamentava la ricezione di contatti promozionali su utenza iscritta al RPO e l’inadeguato riscontro alle richieste di esercizio dei diritti - Energia Verde dichiarava che l’interessato aveva esercitato il diritto di accesso e poi ricevuto riscontro dal DPO a mezzo pec del 1° marzo 2024.

Quanto al form utile alle richieste di ricontatto presente sul sito web aziendale, Energia Verde rappresentava di avere dapprima provveduto a «modificare la pagina dedicata alle richieste di contatto per rendere più facilmente identificabile l’informativa sul trattamento dei dati personali» e a «integrare l’informativa privacy esistente allo scopo di meglio precisare agli interessati i termini del trattamento di dati connesso a tale richiesta». Successivamente Energia Verde aveva deciso di disattivare la sezione del sito in parola, stante il limitato utilizzo da parte della clientela. Sul punto Energia Verde precisava che «la procedura di (ri)contatto dei soggetti che rilasciavano i propri dati sul sito era la seguente: l’utente, indicati i dati (nome e numero di telefono/cellulare) nel form dedicato, veniva successivamente contattato alla numerazione telefonica fornita; dopo due tentativi di contatto, in caso di mancata risposta, l’utente non era destinatario di ulteriori contatti e i relativi dati personali venivano definitivamente cancellati».

Energia Verde, poi, chiariva che la promozione dei servizi era interamente affidata ad Energia Pulita, che sino alla data del 15 marzo 2024 aveva svolto l’incarico mediante campagne di telemarketing condotte con il supporto di XX ed XX (cd. Affiliati). Gli Affiliati, a loro volta, si avvalevano di liste di contatto acquisite autonomamente «che non sono state mai fornite ad Energia Pulita né tantomeno a Energia Verde, che con tali soggetti non ha intrattenuto alcun rapporto contrattuale».

Il contratto sottoscritto da Energia Pulita con XX ed XX, aveva lo stesso oggetto e conteneva le medesime clausole di quello sottoscritto con Energia Verde.

Rispetto al ruolo degli Affiliati (dei quali la Società si è avvalsa fino a marzo 2024), Energia Verde dichiarava che «dalle informazioni fornite da Energia Pulita emerge che tali soggetti si sono impegnati nei confronti della stessa Energia Pulita a trattare i dati personali di soggetti a cui fossero state fornite adeguate informazioni ai sensi dell’art. 13 del Regolamento e che avessero fornito i consensi necessari al trattamento dei dati per le finalità oggetto dell’incarico».

Energia Verde rappresentava, inoltre, che a partire dal 15 marzo 2024 Energia Pulita aveva risolto il contratto stipulato con entrambi gli Affiliati ed aveva iniziato a svolgere attività di telemarketing senza avvalersi di soggetti terzi.

Energia Verde dichiarava, dunque, che attualmente Energia Pulita svolge tale attività mediante numerazione telefonica iscritta al ROC e utilizzando liste di contatto previamente verificate presso il RPO. In seguito al contatto telefonico, se il potenziale cliente manifesta interesse per i servizi di Energia Verde, Energia Pulita procede alla raccolta della proposta di acquisto mediante vocal order oppure firma apposta tramite codice OTP. Successivamente, Energia Pulita provvede al caricamento della proposta di contratto sul CRM di Energia Verde, che effettua le verifiche relative alla correttezza della registrazione e alla documentazione contrattuale. Infine, decorsi quindici giorni – corrispondenti al periodo previsto dalla legge ai fini dell’esercizio del diritto di ripensamento - si procede al perfezionamento dell’attivazione dei servizi di fornitura.

Quanto ai contratti di acquisto delle liste di contattabilità stipulati nel biennio 2023-2024, Energia Verde chiariva che nell’ambito del precedente assetto contrattuale Energia Pulita «aveva completa autonomia nella scelta dei contatti da utilizzare per lo svolgimento dell’attività promozionale dei servizi e dei prodotti a marchio Energia Verde. Pertanto, sia la scelta delle tipologie di liste da acquistare, sia le modalità operative con cui svolgere l’attività promozionale dei prodotti e servizi erano gestite, organizzate e regolamentate dal Partner medesimo, in ossequio, tra l’altro, agli impegni e obblighi assunti da questo contrattualmente con la Società».

In seguito alle numerose segnalazioni portate a conoscenza del titolare con la richiesta di informazioni notificata dall’Autorità, Energia Verde aveva deciso di mutare l’assetto organizzativo privacy, conferendo la nomina a responsabile del trattamento in favore di Energia Pulita e «imponendo al Partner di attenersi alle proprie istruzioni in merito ai soggetti da contattare e alle modalità di gestione dei contatti nel contesto delle attività di promozione e raccolta delle proposte di acquisto». In tale mutato assetto organizzativo, Energia Pulita utilizza liste di contatto fornite da XX e formate da soggetti terzi (di seguito “Editori”), contenenti dati personali di interessati che hanno prestato il loro consenso per la cessione a terzi.

Quanto alle attività di telemarketing svolte al tempo in cui Energia Verde si avvaleva degli Affiliati (ante marzo 2024), la medesima ribadiva che tali operazioni venivano svolte utilizzando liste di contatto reperite autonomamente da tali soggetti e che stante l’avvenuta risoluzione del contratto «ad oggi non è possibile acquisire informazioni in merito alle informative fornite ai soggetti destinatari dei contatti oggetto di segnalazione».

Attualmente, invece, le liste di contatto utilizzate vengono acquisite da Energia Pulita attraverso il list provider XX e il contratto di licenza d’uso di database prevede che le liste rechino «dati personali di interessati che hanno ricevuto una adeguata informativa e hanno prestato agli Editori il loro consenso alla cessione dei propri dati a titolari terzi per finalità di marketing di questi ultimi».

Energia Verde chiariva, infine, che in origine «Energia Verde commissionava l’attività promozionale dei suoi prodotti e servizi a Energia Pulita nell’ambito di un rapporto contrattuale in cui la seconda era incaricata di incrementare le vendite dei servizi e dei prodotti a marchio Energia Verde attraverso la segnalazione di soggetti interessati a fruire delle offerte (…) le due società erano inquadrate come autonomi titolari del trattamento e i nominativi ed i dati dei potenziali clienti venivano reperiti dal Partner; quest’ultimo, pertanto, era tenuto a conformarsi alla normativa vigente in materia di telemarketing e, quindi, a contattare solo soggetti non iscritti al Registro Pubblico delle Opposizioni (RPO) e solo mediante numeri di telefono iscritti al Registro degli Operatori di Comunicazione (ROC)». Inoltre «Energia Pulita aveva affidato le attività di promozione e di raccolta delle proposte di acquisto dei servizi di Energia Verde a vari partner commerciali, anch’essi operanti quali autonomi titolari del trattamento, a cui aveva imposto i medesimi obblighi previsti in capo a Energia Pulita in materia di raccolta dei dati e acquisizione del consenso».

Nell’attuale assetto organizzativo, invece, Energia Pulita ha assunto il ruolo di responsabile del trattamento ai sensi dell’art. 28 del Regolamento e può «avvalersi di soggetti terzi per l’espletamento dell’incarico, a condizione che tali soggetti siano nominati quali ulteriori responsabili ai sensi dell’art. 28 (4) del Regolamento e che siano vincolati contrattualmente al rispetto degli stessi obblighi assunti da Energia Pulita nei confronti del titolare del trattamento. Inoltre, Energia Pulita ha la facoltà di affidare lo svolgimento dell’incarico a ulteriori soggetti terzi solo previa autorizzazione della Società, la quale pertanto può opporsi alla designazione di entità che non possiedano adeguati requisiti di affidabilità e professionalità in materia di protezione dei dati personali».

Rispetto all’utilizzo delle liste di contatto, Energia Verde evidenziava che attualmente Energia Pulita è tenuta a rispettare le istruzioni impartite dal titolare con riferimento alla selezione delle liste acquistabili «i) verificando la correttezza delle informative sul trattamento dei dati e dei consensi eventualmente acquisiti, in caso di liste di consensati (oltre a provvedere, se dovuta, alla verifica con il registro delle Opposizioni), ii) effettuando le verifiche con il Registro delle Opposizioni, in caso di liste di contatto estratte dagli elenchi generali».

Quanto invece alle attività di controllo sull’operato dei partner, Energia Verde rappresentava l’intenzione di implementare controlli attraverso l’utilizzo di numerazioni civetta oppure verifiche a campione sui contatti presenti in lista, nonché il confronto tra i soggetti firmatari delle proposte di acquisto e le anagrafiche presenti all’interno delle liste di contattabilità.

Energia Verde rappresentava, infine, di avere adottato apposite procedure per lo svolgimento delle attività di telemarketing/teleselling e per la gestione delle richieste di esercizio dei diritti da parte degli interessati.

Con nota trasmessa in data 18 luglio 2024 (cfr. Prot. n. 89319 del 19 luglio 2024), in riscontro alla richiesta avanzata dall’Ufficio, Energia Pulita dichiarava di avere ricevuto in data 2 gennaio 2023 l’incarico di incrementare le vendite del marchio Energia Verde attraverso la segnalazione di soggetti interessati a fruire delle offerte promosse dalla omonima Società.

Così, sino al 15 marzo 2024 Energia Pulita aveva svolto tale incarico avvalendosi di XX ed XX (cd. Affiliati), che a loro volta agivano in qualità di autonomi titolari del trattamento, utilizzando liste di contatto acquisite autonomamente. Gli affiliati, in virtù degli impegni contrattualmente assunti, erano tenuti a «trattare i dati personali di soggetti a cui fossero state fornite adeguate informazioni privacy ai sensi dell’art. 13 del Regolamento e che avessero fornito i consensi necessari al trattamento dei dati per le finalità oggetto dell’incarico».

Successivamente valutate negativamente le prestazioni e i risultati ottenuti, Energia Pulita decideva di risolvere i contratti stipulati con le richiamate Società e dal mese di marzo 2024 svolgeva autonomamente attività di telemarketing nell’interesse di Energia Verde.

Per l’effetto, a partire da marzo 2024 tali attività venivano realizzate utilizzando numerazioni telefoniche regolarmente iscritte al ROC e liste di contatti verificate presso il RPO. Se a seguito del contatto telefonico, il potenziale cliente manifestava interesse rispetto ai servizi di Energia Verde, Energia Pulita provvedeva alla raccolta della proposta d’acquisto mediante vocal order o firma apposta mediante codice OTP. Le proposte di acquisto così formulate, poi venivano caricate da Energia Pulita su apposita piattaforma messa a disposizione da Energia Verde, quest’ultima provvedeva alla verifica e formalizzazione dei contratti con i clienti.

Con la medesima nota Energia Pulita evidenziava che, nell’assetto organizzativo precedente, possedeva ampia autonomia nella scelta delle liste di contattabilità e che si avvaleva di Affiliati che «agivano autonomamente sia con riguardo alla scelta delle tipologie di liste da utilizzare sia con riguardo alle modalità operative con cui realizzare l’attività promozionale».

Diversamente con il nuovo assetto organizzativo, Energia Pulita agisce in qualità di responsabile del trattamento e sulla base di istruzioni ricevute da Energia Verde in merito a «i) alle tipologie di dati personali da utilizzare per lo svolgimento delle campagne di telemarketing; ii) alle procedure che la Società deve rispettare nelle operazioni di trattamento compiute per suo conto; iii) alle verifiche da effettuare per garantire che i soggetti destinatari dei contatti telefonici siano legittimamente contattabili».

Nell’ambito di tale riorganizzazione, inoltre, Energia Pulita aveva stipulato un contratto con XX «per la licenza d’uso di database formati da soggetti terzi (di seguito “Editori”) e contenenti dati personali di interessati che hanno prestato il loro consenso alla cessione dei propri dati a titolari terzi. Le liste in questione, utilizzabili per un periodo di 3 mesi, devono essere sottoposte a controllo con il RPO con cadenza almeno quindicinale».

Con specifico riferimento ai contatti telefonici effettuati fino al 15 marzo 2024 nell’interesse di Energia Verde, Energia Pulita riferiva di trovarsi «nella materiale impossibilità di acquisire e dunque fornire a Codesta Autorità le informazioni relative alle informative fornite ai soggetti destinatari dei contatti oggetto di segnalazione».

Con riferimento, invece, alle liste attualmente acquistate direttamente da Energia Pulita, quest’ultima precisava che «ai sensi del contratto attualmente in essere con il list provider, tali liste contengono dati personali raccolti dagli Editori che si riferiscono a interessati che hanno ricevuto una informativa ai sensi dell’art. 13 del Regolamento e che hanno prestato il consenso affinché gli Editori comunicassero i loro dati personali a soggetti terzi per finalità di marketing di questi ultimi».

Energia Pulita, infine, chiariva di svolgere attività promozionale soltanto nell’interesse di Energia Verde.

1.3. La verifica presso il Registro Pubblico delle Opposizioni

Al fine di effettuare i necessari controlli in ordine alla correttezza delle suddette attività di telemarketing, il 12 agosto 2024 (cfr. Prot. n. 98805/24) l’Ufficio inviava alla Fondazione Ugo Bordoni, che gestisce il Registro Pubblico delle Opposizioni, il citato elenco di numerazioni telefoniche oggetto del menzionato riscontro da parte di Energia Verde. In tale ottica, venivano richieste informazioni, ai sensi dell’art. 157 del Codice, per ciascuna numerazione, circa l’eventuale iscrizione al Registro Pubblico delle Opposizioni (RPO) non successiva alla data del 31 novembre 2023.

In data 28 agosto 2024 la citata Fondazione inviava il proprio riscontro (cfr. Prot. n. 101582/24), dall’analisi del quale sono risultate iscritte al Registro Pubblico delle Opposizioni, al tempo delle chiamate promozionali effettuate dalla Società, n. 5 utenze telefoniche, pari a poco più del 6% (6,17 per cento) del numero totale dei contatti telefonici effettuati nel periodo di riferimento (n. 81).

1.4. Contestazione delle violazioni

L’Ufficio, all’esito dell’istruttoria, adottava il sopra richiamato atto di contestazione n. 144776/24 nel quale, in primo luogo, si osservava che Energia Pulita non aveva tempestivamente fornito riscontro alla richiesta di informazioni notificata dall’Autorità ai sensi degli artt. 157 del Codice e 58 del Regolamento e che tale contegno integrava gli estremi di una violazione autonomamente sanzionabile per espressa previsione dell’art. 166, comma 2, del Codice.

Tale condotta si poneva in aperto contrasto anche con le disposizioni di cui all’art. 31 del Regolamento, che sanciscono un generale obbligo di cooperazione con l’Autorità di controllo gravante sul titolare e sul responsabile del trattamento.

Con riferimento allo svolgimento delle attività di telemarketing e teleselling, invece, l’Ufficio osservava che la documentazione e le osservazioni complessivamente fornite dalla Società sembravano evidenziare rilevanti criticità sia rispetto ai trattamenti di dati personali svolti prima del marzo 2024, sia relativamente all’attuale assetto organizzativo in materia di protezione dei dati personali.

A prescindere dal nomen iuris utilizzato dalle Società contraenti, dalla lettura sistematica delle clausole presenti all’interno del contratto e dal contegno tenuto dalle parti, Energia Verde sembrava assumere il ruolo di titolare del trattamento ai sensi dell’art. 4, punto 7) del Regolamento, mentre Energia Pulita sembrava svolgere tutti quei compiti tipicamente riconducibili al responsabile del trattamento per come definito ai sensi dell’art. 4, punto 8) e 28 del Regolamento.

La configurazione dei ruoli soggettivi appena descritta, a parere dell’Ufficio, appariva confacente sia rispetto all’assetto organizzativo originario, sia rispetto alla riorganizzazione societaria operata in pendenza del procedimento. Nell’ambito di tale ricostruzione, XX ed XX avevano svolto trattamenti di dati personali in qualità di sub-responsabili del trattamento. Parimenti XX sembrava assumere il ruolo e le responsabilità ricollegabili alla figura del sub-responsabile.

Per l’effetto, sino al marzo 2024 Energia Pulita aveva svolto attività di telemarketing e teleselling nell’interesse di Energia Verde, senza la previa e corretta attribuzione dei ruoli soggettivi in materia di protezione dei dati personali e delle responsabilità che ne derivavano.

Peraltro, anche a seguito dell’avvenuto conferimento della nomina a responsabile in favore di Energia Pulita, l’Ufficio rilevava la sussistenza di talune lacune.

In violazione dell’art. 28, par. 2, del Regolamento e delle previsioni contenute nella richiamata nomina, infatti, Energia Pulita aveva affidato lo svolgimento di alcuni trattamenti di dati personali al sub-responsabile XX, senza la previa autorizzazione del titolare del trattamento.

L’Ufficio, pertanto, contestava a Energia Pulita le seguenti ipotesi di violazione:

a) artt. 157 del Codice, 31 e 58 del Regolamento per l’inadeguato e tardivo riscontro alle richieste di informazioni formulate dall’Autorità;

b) artt. 4 e 28 del Regolamento per lo svolgimento di trattamenti di dati personali in assenza della previa e corretta individuazione dei ruoli soggettivi, nonché per il conseguente inadempimento degli obblighi dagli stessi derivanti.

2. LA DIFESA DEL TITOLARE

La Società presentava preliminarmente istanza di proroga del termine concesso ai sensi di legge ai fini della trasmissione delle memorie difensive e della richiesta di essere sentiti dall’Autorità. L’Ufficio accoglieva l’istanza, concedendo all’uopo un ulteriore termine pari a 15 giorni (cfr. Prot. 151817 del 31 dicembre 2024).

Successivamente in data 23 gennaio 2025 (cfr. Prot. n. 9121 del 24 gennaio 2025), Energia Pulita trasmetteva i propri scritti difensivi, in base a quanto previsto dall’art. 166, comma 6, del Codice e dall’art. 13 del regolamento del Garante n. 1/2019, ma non presentava richiesta di audizione dinanzi all’Autorità.

Con riferimento al tardivo riscontro alla richiesta di informazioni formulata dall’Autorità, Energia Pulita rappresentava che il ritardo era «esclusivamente riconducibile alle oggettive difficoltà incontrate nel reperire tutte le informazioni e la documentazione necessarie» e che «seppur con un ritardo contenuto e che non ha compromesso in alcun modo il regolare e tempestivo svolgimento dell’istruttoria, abbia: i) comunicato all’Autorità tutte le informazioni richieste e ii) trasmesso, oltre a queste, numerosi documenti ulteriori non espressamente richiesti, circostanza, quest’ultima, che rende evidentemente infondata la contestazione relativa alla presunta inadeguatezza del riscontro fornito da Energia Pulita».

A parere di Energia Pulita «se il termine per il riscontro concesso con la richiesta di informazioni è da intendersi come un termine perentorio, quindi concesso a pena di decadenza, l’Autorità non avrebbe potuto tenere in considerazione gli scritti pervenuti successivamente; diversamente, se tale termine non è da intendersi come perentorio, la condotta di Energia Pulita non può in nessun caso integrare una violazione dell’art. 157 del Codice Privacy, in relazione agli artt. 31 e 58 del Regolamento.».

La Società rappresentava, poi, che Energia Verde aveva di recente nominato Energia Pulita responsabile del trattamento dei dati trattati nell’ambito dell’attività di promozione e vendita, in quanto «nel corso del 2024 (…) Energia Verde ha intrapreso una riorganizzazione delle proprie relazioni commerciali con Energia Pulita, con l’obiettivo di riportare sotto il proprio diretto controllo le attività di promozione e vendita dei propri servizi. In questa nuova configurazione, Energia Pulita non gode più dell’autonomia contrattuale e operativa precedentemente attribuitale, ma opera esclusivamente in conformità alle istruzioni e direttive impartite da Energia Verde per la promozione e la vendita dei suoi prodotti e servizi».

Energia Pulita contestava la ricostruzione dei ruoli soggettivi operata dall’Ufficio, assumendo che tale valutazione appariva «basata, da un lato, su elementi fattuali non rispondenti a quanto effettivamente emerso nel corso dell’istruttoria e, dall’altro, su valutazioni giuridiche prive di un fondamento concreto sia nella normativa in materia di protezione dei dati personali sia nella disciplina contrattuale che regola i rapporti tra le parti».

Sul tema, la Società rilevava che dall’analisi delle clausole contrattuali e dal significato sostanziale degli obblighi da esse derivanti, emergeva che Energia Pulita aveva agito in qualità di autonomo titolare, dal momento che l’accordo stabiliva che «l’Ambassador [vale a dire, Energia Pulita] svolgerà la sua attività con piena autonomia di azione, di tempo, di organizzazione, di spese per lo svolgimento dell’incarico (…)».

In base alla tesi difensiva avanzata dalla Società, «la clausola del contratto secondo cui “per il caso in cui dovesse rendersi necessario, [Energia Pulita] si atterrà alle eventuali direttive o linee guida impartite da Energia Verde Italia Srl, funzionalmente sia al soddisfacimento delle esigenze di marketing, sia alla tutela della reputazione complessiva di Energia Verde Italia Srl e del marchio, che dovranno sempre essere tutelati” (cfr. art. 3 del contratto di mediazione)» si riferiva «esclusivamente a indicazioni funzionali a garantire che nessuna condotta posta in essere da Energia Pulita, nell’ambito delle attività di marketing, potesse danneggiare l’immagine o il marchio di Energia Verde».

Energia Pulita ribadiva, inoltre, che «nel corso dell’istruttoria non è emersa alcuna evidenza che dimostri l’esistenza di istruzioni o indicazioni impartite da Energia Verde alla Società riguardo alle modalità di esecuzione dell’incarico, tanto meno con specifico riferimento al trattamento dei dati personali» e che il riferimento all’obbligo di Energia Pulita di trattare i dati dei clienti in conformità alla normativa applicabile contenuto nel contratto, non poteva «essere interpretata come un’istruzione o una direttiva sulle modalità di trattamento dei dati personali, ma piuttosto come una generica garanzia a favore di Energia Verde, volta ad assicurare la correttezza dell’operato della Società».

La Società osservava, altresì, che «dalla lettura sistematica delle clausole contrattuali (…) emerge chiaramente che, fino alla revisione dei rapporti contrattuali di cui si è riferito, Energia Pulita: i) non ha ricevuto da Energia Verde alcun database contenente i dati personali dei soggetti da contattare, né ha avuto accesso a informazioni dirette relative ai dati da trattare; ii) non ha ricevuto da Energia Verde alcuna indicazione specifica circa le tipologie di dati personali da trattare, né ha ricevuto alcuna specifica indicazione in merito alle categorie di dati da utilizzare nel contesto delle attività svolte; iii) non ha ricevuto da Energia Verde alcuna direttiva, istruzione operativa o indicazione dettagliata da parte di Energia Verde circa le modalità con cui procedere al trattamento dei dati personali dei soggetti da contattare, restando pertanto libera di gestire tali attività in completa autonomia, senza vincoli tipici del rapporto tra titolare e responsabile del trattamento. iv) non ha ricevuto alcuna indicazione o istruzione da parte di Energia Verde sulla creatività dei messaggi da utilizzare nello svolgimento della propria attività».

Nell’ambito del precedente assetto organizzativo, Energia Pulita «aveva scelto di delegare le attività di promozione e raccolta delle proposte di acquisto dei servizi di Energia Verde agli Affiliati, che, operando come titolari autonomi del trattamento, svolgevano l’attività promozionale utilizzando liste di contatto acquisite in modo indipendente».

Gli Affiliati erano, dunque, responsabili in ordine all’adempimento degli obblighi derivanti dalla vigente normativa in materia di protezione dei dati personali.

Sino al 20 maggio 2024, Energia Pulita aveva effettuato trattamenti di dati personali «esclusivamente per proprie finalità commerciali, in quanto interessata a procacciare potenziali clienti interessati ai servizi di Energia Verde, che remunerava i servizi della Società in base alle proposte di acquisto dei servizi (e non in base ai contatti effettuati) (…) Energia Pulita esercitava pieno controllo nella selezione dei dati da utilizzare per le attività promozionali dei servizi e prodotti a marchio Energia Verde, con piena libertà sia nella scelta delle liste da acquisire sia nella determinazione delle modalità operative per la realizzazione delle campagne promozionali. Non esisteva alcun vincolo diretto da parte di Energia Verde sulle operazioni di trattamento dei dati; ii) determinava autonomamente, senza alcuna interferenza esterna, la tipologia di dati da trattare e le modalità con cui effettuare i contatti, senza che fosse necessaria alcuna approvazione o supervisione da parte di Energia Verde in merito a tali scelte; iii) selezionava, con totale indipendenza, i soggetti terzi ai quali affidare l’esecuzione delle campagne promozionali».

Con specifico riferimento a XX, la Società precisava in primo luogo che «mentre la nomina di Energia Pulita a responsabile del trattamento è datata 20 maggio 2024, quella di XX a subresponsabile del trattamento è avvenuta il 29 maggio 2024».

Energia Pulita contestava, poi, il rilievo sollevato dall’Autorità sul tema, richiamando le previsioni contenute nell’atto di nomina a responsabile ricevuto, nella parte in cui prevede che «Il Responsabile si impegna a non affidare alcun trattamento di dati connesso all’esecuzione del Contratto ad eventuali subfornitori, se non in presenza di previa autorizzazione specifica di Energia Verde. In tal caso, sarà cura del Responsabile concludere, ai sensi dell’art. 28, par. 4, del Regolamento, un accordo con il quale tali subfornitori siano vincolati al rispetto degli stessi obblighi in materia di protezione dei dati personali applicabili al Responsabile in virtù del presente accordo e, ovviamente, della normativa di volta in volta vigente».

A tale riguardo, la Società eccepiva che «non esiste alcuna norma che imponga l’obbligo di includere un’autorizzazione, generale o specifica, nell'atto di nomina del responsabile del trattamento, né tantomeno l’obbligo di procedere con tale autorizzazione contestualmente alla nomina» e che in ogni caso la circostanza che Energia Pulita formalmente designato XX costituiva di per sé un elemento di prova circa la sussistenza dell’autorizzazione concessa da Energia Verde.

Infine, la Società rappresentava le circostanze da tenere in considerazione nella denegata ipotesi in cui l’Autorità avesse ritenuto opportuno adottare un provvedimento correttivo e sanzionatorio.

3. VALUTAZIONI DELL’AUTORITÀ

Le osservazioni avanzate da Energia Pulita nel corso del procedimento non appaiono idonee a escludere la responsabilità della Società in ordine alle violazioni contestate, dal momento che, come si dirà ampiamente infra, si appalesano inconferenti e destituite di fondamento.

In primo luogo si rileva che, nonostante la regolarità della notifica, Energia Pulita non ha tempestivamente fornito riscontro alla richiesta di informazioni trasmessa dall’Autorità ai sensi degli artt. 157 del Codice e 58 del Regolamento e che tale contegno integra gli estremi di una violazione soggetta all’applicazione della sanzione amministrativa pecuniaria prevista per le violazioni più gravi ai sensi dell’art. 83, par. 5 del Regolamento.

A seguito della richiesta di informazioni, infatti, in un primo momento Energia Pulita era rimasta completamente silente. Successivamente - una volta scaduto il termine perentorio stabilito ai fini del riscontro - la Società si era ravveduta, chiedendo dapprima la concessione di un nuovo termine e poi fornendo gli elementi richiesti.

Tale condotta, determinando di fatto un indebito rallentamento dell’attività amministrativa, si pone in aperto contrasto anche con le disposizioni di cui all’art. 31 del Regolamento, che sanciscono un generale obbligo di cooperazione con l’Autorità di controllo gravante sul titolare del trattamento, sul responsabile e del trattamento e, ove applicabile, anche sul rappresentante.

A tale riguardo la Società ha osservato che il ritardo occorso sarebbe scaturito esclusivamente dalla difficoltà di reperire tutte le informazioni e la documentazione necessaria. Tale tesi non si rivela affatto persuasiva, dal momento che Energia Pulita avrebbe - per esempio - potuto richiedere tempestivamente una proroga del termine concesso e per l’effetto evitare di incorrere nella violazione.

Sul punto non possono trovare accoglimento le eccezioni avanzate dalla Società in ordine alla natura ordinatoria del termine concesso ai fini del riscontro e all’inutilizzabilità della documentazione tardivamente fornita.

L’art. 58, par. 1, lett. a) del Regolamento annovera espressamente tra i poteri di indagine dell’Autorità quello di ingiungere al titolare del trattamento e al responsabile del trattamento di fornirle ogni informazione di cui necessiti per l'esecuzione dei suoi compiti. Parimenti anche l’art. 157 del Codice prevede che il Garante può richiedere al titolare e al responsabile di fornire informazioni, nonchè di esibire documenti anche con riferimento al contenuto di banche di dati.

La violazione delle disposizioni appena citate, inoltre, è già di per sé passibile di sanzione amministrativa pecuniaria, da determinarsi entro il medesimo limite edittale previsto per le violazioni più gravi (cfr. 20 000 000 euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore) ai sensi del combinato disposto degli artt. 166, comma 2 del Codice e 83, par. 5 del Regolamento.

Ne consegue che affrontare la questione della mancata ottemperanza alla richiesta di informazioni avanzata dell'Autorità ai sensi degli artt. 157 del Codice e 58, par. 1 lett. a) del Regolamento, sotto l’angolo visuale della natura perentoria o ordinatoria del termine si rivela manifestamente fuorviante.

Nell’ambito dell’ordinamento giuridico italiano, la dicotomia tra termini perentori e ordinatori è mutuata dal codice di procedura civile, che all’art. 152 disciplina i termini cd. legali, ovvero quelli espressamente previsti dalla legge, e i termini cd. giudiziali, vale a dire quelli stabiliti dal giudice. Più in particolare i termini legali si distinguono in dilatori, quando fissano il momento prima del quale un atto non può essere compiuto, e termini acceleratori, quando indicano il momento entro il quale un atto può essere o deve essere compiuto. I termini acceleratori, a loro volta, si distinguono in ordinatori, allorquando sono rivolti a regolare l'attività processuale in vista del normale andamento del processo, mentre sono considerati perentori, quando impongono di compiere l’atto entro un determinato termine a pena di decadenza. Proprio in virtù della circostanza che alla scadenza di un termine perentorio, sia correlata la perdita della possibilità di compiere l’atto cui il termine era preordinato, l’art. 152 c.p.c. prevede che siano tali, soltanto i termini che sono espressamente definiti perentori dalla legge.

E’ di palmare evidenza che la ratio sopra illustrata e sottesa alla natura perentoria ovvero ordinatoria dei termini previsti dalla disciplina procedurale, si rivela poco aderente alla questione della mancata ottemperanza a una richiesta dell’Autorità, cui l’ordinamento non fa conseguire una decadenza processuale, bensì l’applicazione di una sanzione amministrativa.

Nel contesto della vigente normativa in materia di protezione dei dati personali, infatti, i poteri di indagine riconosciuti all’Autorità sono scevri e svincolati da un riferimento temporale, dal momento che il riscontro alle richieste dell’Autorità non è contemplato alla stregua di una facoltà difensiva riconosciuta in un’ottica di garanzia del contraddittorio e del diritto di difesa, ma è un obbligo, la cui inottemperanza integra gli estremi di un illecito amministrativo omissivo proprio.

Ne consegue che l’illecito si perfeziona quando il soggetto omette di compiere l'azione prescritta e pertanto viene punito, a prescindere dalla circostanza che dalla sua condotta consegua o meno un evento naturalistico (in tal senso vd. Cass. Ord. n. 8942 del 29 marzo 2023 «(…) l'art. 157 Codice Privacy contiene una formula (…) in cui la richiesta del Garante di informazioni o di esibizione di documenti non è integrata da perimetri temporali. Specularmente, l'art. 164 Codice Privacy - che contiene la corrispondente fattispecie sanzionatoria ("Chiunque omette di fornire le informazioni o di esibire i documenti richiesti dal Garante ai sensi dell'art. 150, comma 2, e art. 157 è punito con la sanzione amministrativa del pagamento di una somma da diecimila Euro a sessantamila Euro") - è volta a conferire all'Autorità Garante poteri investigativi necessari, a fini preventivi, nuovamente senza costrizioni temporali. Del resto, interpretando le disposizioni nel loro significato storico-teleologico, la disciplina sul trattamento dei dati personali è stata concepita (…) come strumento per prevenire e contenere il rischio per i diritti e le libertà delle persone: si tratta di un regime normativo di fonte Europea diretto ad assicurare la corretta circolazione delle informazioni riferibili alla persona fisica; informazioni intese non solo quale bene economico, ma soprattutto quale oggetto di un diritto fondamentale (riconosciuto dall'art. 8 della Carta Europea dei Diritti fondamentali e dall'art. 8 della Carta dei Diritti Fondamentali dell'Unione Europea). In tale contesto normativo, l'istituzione dell'autorità nazionale di controllo (…), cui è conferito il potere di eseguire i suoi compiti riconosciuti dalla legge in totale indipendenza in ciascuno Stato membro, è un elemento essenziale della protezione delle persone fisiche con riguardo al trattamento dei loro dati personali. I poteri, dunque, assegnati al Garante (…) sono essenzialmente di indirizzo, controllo preliminare, investigazione e intervento (…). L'originario disegno normativo risulta, peraltro, confermato e rafforzato dal sistema attualmente vigente, il Regolamento UE 2016/679 noto come GDPR, che assegna all'autorità nazionale di controllo poteri di investigazione, controllo e intervento: anche qui è prevista una sanzione amministrativa pecuniaria fino a 20 milioni di Euro (o pari al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore) comminabile a seguito dell'inosservanza di un ordine dell'Autorità di controllo (art. 83, comma 6, GDPR), non temporalmente delimitato. 1.2. La ricostruzione della ratio e finalità della disciplina in esame non consente di configurare il ritardo nel soddisfare le richieste o misure imposte dal Garante: emerge, invece, il carattere continuativo dell'illecito omissivo, "perdurante" fino ai successivi accertamenti»).

L’orientamento sinora esposto è, peraltro, quello costantemente seguito anche dall’Autorità, che in molteplici occasioni ha comminato sanzioni pecuniarie in relazione al mancato riscontro alle richieste di informazioni ex art. 157 del Codice (ex multis Provv. 15 settembre 2022, n. 301, doc. web n. 9815931; Provv. 24 gennaio 2024, n. 34, doc. web n. 9986304; Provv. 17 ottobre 2024, n. 619, doc. web n. 10072669).

Quanto, invece, allo svolgimento delle attività di telemarketing e teleselling, la documentazione e le dichiarazioni complessivamente fornite dalla Società hanno confermato la sussistenza di rilevanti criticità sia rispetto ai trattamenti di dati personali svolti prima del marzo 2024, sia relativamente all’attuale assetto organizzativo in materia di protezione dei dati personali.

Con riguardo alla compliance aziendale in essere sino a marzo 2024, dalla lettura sistematica delle clausole presenti all’interno del contratto e dal contegno tenuto dalle parti, emerge che ab origine Energia Verde aveva esternalizzato l’attività concernente la promozione di prodotti e servizi, ivi incluse le operazioni riguardanti la conclusione dei contratti con i clienti finali e il susseguente caricamento degli stessi sui sistemi aziendali, affidandone lo svolgimento in via esclusiva a Energia Pulita.

Dal canto suo, Energia Pulita svolgeva attività promozionali e di vendita esclusivamente a favore di Energia Verde, attenendosi alle direttive ed alle linee guida impartite da quest’ultima ed avvalendosi dell’ausilio di ulteriori soggetti terzi.

In tale contesto, dunque, Energia Verde assumeva il ruolo di titolare del trattamento che ai sensi dell’art. 4, punto 7) del Regolamento (cfr. «la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali»), mentre Energia Pulita svolgeva i compiti tipicamente riconducibili al responsabile del trattamento ai sensi degli artt. 4, punto 8) e 28 del Regolamento (cfr. «la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento»).

L’illustrata ricostruzione dei ruoli soggettivi assunti dalle due Società in relazione ai trattamenti di dati personali correlati allo svolgimento di attività di telemarketing e teleselling, risulta confermata sia alla luce dell’attuale assetto normativo sul tema, sia degli elementi fattuali emersi nel corso del procedimento.

Sul tema vale la pena richiamare le Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR nella parte in cui si legge che la titolarità deve essere individuata sulla base di un criterio funzionale, a fronte di un’analisi fattuale piuttosto che formale e che «l’analisi delle clausole contrattuali che disciplinano i rapporti tra le diverse parti coinvolte può facilitare l’individuazione del soggetto (o dei soggetti) che opera(no) in qualità di titolare del trattamento. Anche se il contratto non stabilisce chi è il titolare del trattamento, esso può contenere elementi sufficienti per desumere chi decide in merito alle finalità e ai mezzi del trattamento. Può anche accadere che il contratto preveda un’indicazione esplicita sull’identità del titolare del trattamento. Se non sussiste motivo di dubitare che ciò rispecchi fedelmente la realtà, niente vieta di attenersi alle previsioni del contratto. Tuttavia, queste ultime non sono determinanti in modo assoluto, poiché altrimenti le parti potrebbero attribuire le responsabilità a proprio piacimento. Non è possibile assumere il ruolo di titolare del trattamento né esimersi dagli obblighi in capo al titolare del trattamento semplicemente redigendo il contratto in un determinato modo, laddove ciò non corrisponda alle circostanze di fatto».

Parimenti, sempre secondo le citate Linee Guida «Le due condizioni fondamentali per la qualifica di responsabile del trattamento sono: a) essere un soggetto distinto rispetto al titolare del trattamento; b) trattare i dati personali per conto del titolare del trattamento (...) Il trattamento di dati personali per conto del titolare comporta innanzitutto che il soggetto distinto tratti i dati personali a beneficio del titolare del trattamento (…) il trattamento deve essere effettuato per conto di un titolare, ma non agendo sotto la sua autorità o controllo diretti. Agire «per conto di» significa servire gli interessi di terzi e richiama la nozione giuridica di «delega». Nel caso della normativa in materia di protezione dei dati, il responsabile del trattamento è chiamato a seguire le istruzioni impartite dal titolare almeno per quanto concerne la finalità del trattamento e gli elementi essenziali che ne costituiscono i mezzi (...) Tuttavia, come detto in precedenza, le istruzioni del titolare del trattamento possono lasciare un certo margine di discrezionalità su come servire al meglio i suoi interessi; ciò consente al responsabile del trattamento di scegliere i mezzi tecnici e organizzativi più idonei».

Nel caso in esame, ai fini della corretta qualificazione del ruolo soggettivo ricoperto da Energia Pulita assumono rilevanza in primo luogo le disposizioni del contratto concluso tra le parti, avente a oggetto il conferimento dell’incarico di Ambassador, ossia di «incrementare le vendite dei servizi e dei prodotti a marchio Energia Verde Italia tipicamente attraverso la segnalazione di soggetti interessati a fruire delle offerte» (cfr. art. 2 contratto).

Con il richiamato accordo, infatti, le parti hanno previsto che «l’Ambassador (…) si atterrà alle eventuali direttive o linee guida impartite da ENERGIA VERDE ITALIA SRL, funzionalmente sia al soddisfacimento delle esigenze di marketing, sia alla tutela della reputazione complessiva di ENERGIA VERDE ITALIA SRL e del marchio» (cfr. art. 3 del contratto); che «I prezzi e le condizioni di vendita sono quelli stabiliti dalla Preponente ENERGIA VERDE ITALIA SRL e l’Ambassador potrà soltanto riferire a titolo informativo le condizioni di vendita di Prodotti e Servizi, senza alcun potere di intervento ed assumendosi la responsabilità delle informazioni rese in maniera impropria o comunque errata» (cfr. art. 4 del contratto) e che «Al termine del rapporto l’Ambassador dovrà restituire tutto il materiale eventualmente in suo possesso che gli sarà stato fornito dal Preponente e dovrà immediatamente dismettere tale qualifica nei rapporti con il pubblico» (cfr. art. 6 del contratto).
In seconda istanza, si rivela determinante anche il contegno tenuto dalle Società in esecuzione del richiamato accordo. Difatti, per stessa ammissione di queste ultime, Energia Pulita agiva utilizzando il marchio Energia Verde, effettuando attività di telemarketing e teleselling nell’interesse di quest’ultima, ciò a partire dalla promozione telefonica, sino all’eventuale caricamento dei contratti sui sistemi aziendali.

Contrariamente a quanto sostenuto dalla Società, l’affidamento dello svolgimento di attività promozionali nell’interesse di Energia Verde, soggetto che peraltro ne trae diretto beneficio economico, integrava proprio gli estremi tipici del rapporto titolare-responsabile, dal momento che a prescindere dagli spazi di autonomia concessi ai fini dello svolgimento dell’incarico, Energia Pulita agiva nell’interesse di Energia Verde, applicava tariffe eterodeterminate e doveva attenersi alle direttive impartite.

Peraltro anche l’art. 4 del Codice di Condotta in materia di telemarketing (cfr. Provv. 9 marzo 2023, n. 70, doc. web n. 9868813 e Provv. n. 7 marzo 2024, n. 148, doc. web n. 9993808), che a indipendentemente dalla effettiva adesione assume, in ogni caso, la valenza di best practices prevede che «A prescindere dalla fonte di provenienza dei dati e indipendentemente dal materiale accesso agli stessi, agisce in qualità di titolare del trattamento, secondo quanto previsto all’art. 4, punto 7), del Regolamento, il soggetto che esegue direttamente o commissiona l’effettuazione tramite il canale telefonico di campagne di telemarketing e teleselling (…) I fornitori di servizi incaricati di svolgere uno o più trattamenti connessi all’esecuzione di campagne di telemarketing e teleselling, o anche di reperire dati dai list provider, operano in qualità di responsabili del trattamento, in virtù di un contratto, o altro atto giuridicamente vincolante ai sensi di legge, che includa tutti gli elementi e disciplini tutti i profili di cui all’art. 28 del Regolamento. Ricadono in tale categoria, fra gli altri, i call center/teleseller e le agenzie incaricate dai committenti dei contatti telefonici».

Sul punto non può trovare accoglimento nemmeno la tesi avanzata da Energia Verde in relazione alla circostanza che i ruoli soggettivi assunti dalle Società dipenderebbero dalla provenienza delle liste di contattabilità.

Da un lato, infatti, la circostanza che Energia Pulita abbia effettuato attività di telemarketing e teleselling sulla base di liste e/o contatti acquisite autonomamente, non fa venire meno la titolarità in capo a Energia Verde dei trattamenti relativi alle operazioni promozionali.

Tutto al più, in caso di liste acquisite autonomamente e sulla base di un processo anteriore e autonomo rispetto alla successiva cessione ai fini marketing, il soggetto che ha formato la lista (cd. Editore) può assumere il ruolo titolare del trattamento limitatamente alle attività propedeutiche alla formazione della lista, ma tale rilievo non vale a inficiare l’assunto che colui che commissiona campagna promozionale utilizzando le liste così acquisite e nel cui interesse viene realizzata l’attività commerciale, assuma il ruolo di titolare del trattamento in relazione allo svolgimento delle attività di telemarketing e teleselling (cfr. art. 2 del Codice di Condotta in materia di telemarketing «si intende per (…) “list provider” o “editore”, il soggetto che, anche in via non principale rispetto alla propria attività, operando in qualità di titolare del trattamento, procede, in virtù del consenso degli interessati, alla comunicazione dei dati personali, autonomamente raccolti, a soggetti terzi per finalità di teleselling e telemarketing»).

Dall’altro, non vale a escludere la titolarità in capo a Energia Verde nemmeno il rilievo sui margini di autonomia lasciati a Energia Pulita, dal momento che la definizione di titolare del trattamento fa perno sul potere decisionale del soggetto in ordine alla finalità e ai mezzi del trattamento, ben potendo accadere che vengano lasciati al responsabile del trattamento ampi spazi di autodeterminazione o addirittura che il titolare non venga nemmeno mai in possesso dei dati personali trattati per suo conto (cfr. Linee Guida n. 7/2020, par. 45 «Non è necessario che il titolare abbia effettivamente accesso ai dati oggetto del trattamento. Un soggetto che esternalizzi un’attività di trattamento e in tal modo eserciti un’influenza determinante sulla finalità e sui mezzi (essenziali) del trattamento stesso (ad esempio configurando i parametri di un servizio in modo tale da definire quali dati personali debbano essere trattati) è da ritenersi il titolare del trattamento anche se non avrà mai accesso effettivo ai dati»).

Sul tema, la Società ha eccepito che i trattamenti realizzati da Energia Pulita nel contesto delle attività promozionali erano volti al perseguimento di una finalità propria, dal momento che quest’ultima veniva remunerata sulla base delle manifestazioni di interesse di potenziali clienti raccolte (e non dei contatti marketing effettuati) con tali attività.

Tale osservazione non può essere condivisa, poiché non tiene conto della distinzione esistente tra finalità del trattamento e il fine prettamente economico correlato all’esercizio dell’attività di impresa. 
Per le medesime ragioni sinora esposte, si osserva che XX ed XX, le due società di cui Energia Pulita si è avvalsa per lo svolgimento dell’incarico affidatole da Energia Verde, di fatto, hanno svolto trattamenti di dati personali in assenza della prescritta nomina e autorizzazione ad agire in qualità di sub-responsabili del trattamento.

La configurazione dei ruoli soggettivi appena descritta, peraltro, appare confacente anche rispetto all’attuale assetto organizzativo e condivisa dalla Società, considerato che le modalità e le finalità dei trattamenti svolti da Energia Pulita nell’interesse di Energia Verde sono di fatto rimaste le medesime, l’originario contratto non ha subito modifiche e la nomina a responsabile del trattamento conferita nelle more del procedimento richiama testualmente l’oggetto dell’originario accordo.

Parimenti anche XX sembrerebbe attualmente assumere il ruolo e le responsabilità ricollegabili alla figura del sub-responsabile.

Ne consegue che sino al marzo 2024 Energia Pulita ha svolto attività di telemarketing e teleselling nell’interesse di Energia Verde, senza la previa e corretta attribuzione dei ruoli soggettivi in materia di protezione dei dati personali e delle responsabilità che ne derivavano.

Sul punto si osserva che l’art. 28 del Regolamento sancisce chiaramente l’obbligo per il Responsabile del trattamento di informare il titolare allorquando un’istruzione violi la vigente normativa, nonché di agire soltanto su istruzione documentata.

Nel caso di specie, dunque, Energia Pulita avrebbe potuto e dovuto efficacemente attivarsi nei confronti del titolare del trattamento, affinché ab origine fossero correttamente individuati tra le parti i ruoli e le responsabilità correlate ai trattamenti di dati personali effettuati nell’interesse di Energia Verde.

Tali violazioni risultano, peraltro, accertate anche alla luce delle dichiarazioni fornite dalla Società in ordine all’assenza di controlli e direttive sull’operato del responsabile e dei sub-responsabili, all’impossibilità di fornire elementi in ordine alla provenienza delle liste utilizzate, alle informative conferite e ai consensi acquisiti.

Dalla documentazione agli atti del procedimento è emersa la sussistenza di talune criticità anche rispetto all’attuale assetto organizzativo.  

Difatti, Energia Pulita nell’ambito dello svolgimento di trattamenti di dati personali per conto di Energia Verde, si è avvalsa di XX in assenza delle prescritte autorizzazioni e in violazione dei doveri di informazione gravanti sul responsabile del trattamento.

Ai sensi dell’art. 28, par. 2 del Regolamento, infatti, «Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l'opportunità di opporsi a tali modifiche».

Energia Verde ha recepito la citata prescrizione, prevedendo all’interno della nomina conferita a Energia Pulita in primo luogo un generale divieto di affidamento di trattamenti di dati personali a eventuali subfornitori, salvo il caso di rilascio di un’autorizzazione specifica da parte del titolare del trattamento. Contestualmente, nella medesima nomina, è stata previsto anche che in caso di autorizzazione generale, il responsabile avrebbe dovuto informare il titolare dell’intenzione di modificare la platea di sub-responsabili, dando così l’opportunità a Energia Verde di opporsi.

Nonostante l’odierno procedimento ab inizio si sia incentrato anche sull’individuazione dei ruoli soggettivi e le plurime richieste di informazioni avanzate dall’Autorità, Energia Pulita non ha mai prodotto alcuna documentazione riguardante il rilascio della citata autorizzazione, ciò nemmeno a seguito della contestazione. Agli atti del procedimento sussiste soltanto una nomina ex art. 28 del Regolamento che pone, al contrario, un generale divieto di affidamento a terzi delle operazioni di trattamento (Sic!).

Deve quindi confermarsi la responsabilità di Energia Pulita in ordine a tutte le violazioni contestate.

4. CONCLUSIONI

Per quanto sopra esposto si ritiene accertata la responsabilità di Energia Pulita in ordine alle seguenti violazioni:

a) artt. 157 del Codice, 31 e 58 del Regolamento per l’inadeguato e tardivo riscontro alle richieste di informazioni formulate dall’Autorità;

b) art. 28 del Regolamento, anche in relazione all’art. 4 del medesimo Regolamento, per lo svolgimento di trattamenti di dati personali in assenza della previa e corretta individuazione dei ruoli soggettivi, nonché per il conseguente inadempimento degli obblighi dagli stessi derivanti.

Accertata, altresì, l’illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, si rende necessario:

- ingiungere a Energia Pulita, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di provvedere alla corretta formalizzazione del ruolo di XX nell’ambito dei trattamenti svolti nell’interesse di Energia Verde;

- adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Energia Pulita della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento.

5. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Energia Verde della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento (pagamento di una somma fino a € 20.000.000,00 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore).

Per la determinazione del massimo edittale della sanzione pecuniaria, occorre pertanto fare riferimento al fatturato di Energia Pulita, come ricavato dall’ultimo bilancio d’esercizio disponibile (2023) in accordo con i precedenti provvedimenti adottati dall’Autorità, e quindi si determina tale massimo edittale, nel caso in argomento, in euro 20.000.000,00.

Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.

Nel caso in esame, assumono rilevanza:

1) la gravità delle violazioni, tenuto conto dell’oggetto e delle finalità dei dati trattati, riconducibili al fenomeno complessivo del telemarketing, in ordine al quale l’Autorità ha adottato, oltre al citato Codice di Condotta in materia di telemarketing, in particolare negli ultimi cinque anni, numerosi provvedimenti che hanno compiutamente preso in esame i molteplici elementi di criticità fornendo ai titolari numerose indicazioni per adeguare i trattamenti alla normativa vigente e per attenuare l’impatto delle chiamate di disturbo nei confronti degli interessati (art. 83, par. 2, lett. a) del Regolamento);    

2) quale fattore attenuante l’avvenuta implementazione, già in pendenza del procedimento, di misure correttive al fine di migliorare la compliance della Società in tema di protezione dei dati personali (art. 83, par. 2, lett. k) del Regolamento).

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative e funzionali della Società, si ritiene debba applicarsi a Energia Pulita la sanzione amministrativa del pagamento di una somma di 10.000,00 (diecimila,00), pari allo 0,05% della sanzione massima edittale.

Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della natura dei trattamenti e delle condotte della Società, nonché degli elementi di rischio per i diritti e le libertà degli interessati.

In attuazione dei principi di cui all’art. 83 del Regolamento, l’irrogazione di tale sanzione accessoria appare ragionevole e proporzionata in relazione alla durata e alla gravità della violazioni, avuto anche riguardo in particolare al mancato adempimento di quelle prescrizioni che devono ritenersi indispensabili e basilari ai fini della tenuta di qualsiasi impianto privacy, quali appunto la cooperazione nei confronti dell’Autorità di controllo, nonchè la corretta individuazione del ruolo soggettivo ricoperto nell’ambito delle attività di trattamento di dati personali.

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. a), del Regolamento, dichiara illecito, nei termini di cui in motivazione, il trattamento effettuato da parte di Energia Pulita S.r.l., con sede legale Scafati (SA), Via Passanti, 50, P.IVA 06000500659;

b) ingiunge a Energia Pulita, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di provvedere alla corretta formalizzazione del ruolo di XX nell’ambito dei trattamenti svolti nell’interesse di Energia Verde;  

c) ingiunge a Energia Pulita, ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel termine di trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alla misura imposta; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

ORDINA

a Energia Pulita S.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Scafati (SA), Via Passanti, 50, P.IVA 06000500659, di pagare la somma di euro 10.000,00 (diecimila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 10.000,00 (diecimila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

a) la pubblicazione del presente provvedimento, ai sensi degli artt. 154-bis del Codice e 37 del Regolamento n. 1/2019;

b) l’applicazione della sanzione accessoria della pubblicazione sul sito del Garante della presente ordinanza di ingiunzione, come previsto dagli artt. 166, comma 7 del Codice e 16 del Regolamento del Garante n. 1/2019;

c) l’annotazione del presente provvedimento nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 29 aprile 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE REGGENTE
Filippi