Diritti interna

Doveri interna

ricerca avanzata

Provvedimento correttivo e sanzionatorio nei confronti di Eni Gas e luce S.p.A. - 11 dicembre 2019 [9244365]

VEDI ANCHE Comunicato stampa del 17 gennaio 2020

 

[doc. web n. 9244365]

Provvedimento correttivo e sanzionatorio nei confronti di Eni Gas e luce S.p.A. - 11 dicembre 2019

Registro dei provvedimenti
n. 232 dell'11 dicembre 2019

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che l’Ufficio, con atto n. 28227/19 del 19 agosto 2019 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente riprodotto, con riferimento, tra l’altro, alle specifiche situazioni di illiceità in esso richiamate, ha avviato, ai sensi dell’art. 166, comma 5, del Codice in materia di protezione dei dati personali (d.lgs. n. 196/2003, di seguito “Codice”), un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento generale sulla protezione dei dati (Regolamento (UE) 2016/679, di seguito “Regolamento”) nei confronti di Eni Gas e Luce S.p.A. (di seguito “EGL” o “la Società”), in persona del legale rappresentante pro-tempore, con sede legale in San Donato Milanese (MI), piazza Vanoni n.1, C.F. 12300020158;

RILEVATO che, dall’esame degli atti del procedimento amministrativo, è emerso, in sintesi, quanto segue:

- sono pervenute all’Autorità, nel corso del 2018 e dei primi mesi del 2019, diverse decine di segnalazioni e reclami, in merito alla ricezione di chiamate promozionali per conto di EGL in assenza del consenso degli interessati, oppure successivamente all’esercizio del diritto di opposizione nei confronti della Società, ovvero nonostante l’iscrizione dell’utenza contattata nel Registro pubblico delle opposizioni;

- l’Ufficio ha pertanto avviato un’articolata istruttoria inviando a EGL più richieste di informazioni al fine della trattazione congiunta delle molteplici doglianze e, all’esito dei riscontri, è stata realizzata un’attività ispettiva presso la sede della Società nei giorni 18, 19 e 20 febbraio 2019; la stessa ha inoltre inviato ulteriori informazioni e documentazione, a scioglimento delle riserve espresse in sede ispettiva, da ultimo con nota del 15.3.2019; le informazioni e i documenti raccolti nel corso dell’istruttoria hanno consentito di enucleare un circoscritto numero di segnalazioni rivelatrici di condotte “di sistema” poste in essere dalla Società, nel corso delle attività promozionali, idonee a far emergere gravi criticità relative al generale trattamento di dati personali svolto da EGL;

- in linea generale, è emerso che la Società svolge attività di telemarketing (così definiti i contatti telefonici finalizzati alla fissazione di appuntamenti con i potenziali clienti in relazione all’acquisto di prodotti) e teleselling (contatti telefonici finalizzati alla promozione commerciale di energia elettrica, gas o altri prodotti e servizi EGL destinati alla “clientela retail”) mediante una rete di agenzie designate quali responsabili del trattamento dei dati personali; i contatti telefonici avvengono utilizzando delle liste di anagrafiche presenti nella customer base societaria, ovvero acquistate da list provider (che a loro volta possono acquisirle da soggetti terzi denominati “editori”), oppure auto-generate tramite la compilazione, da parte degli stessi interessati, di appositi form presenti sul sito EGL. Le liste acquistate dai list provider/editori comprendono sia numeri presenti nel DBU (Database Unico degli abbonati ai servizi di telefonia fissa), sia numeri di telefonia mobile. I primi possono essere utilizzati per 15 giorni, gli altri per 45. Le liste acquisite vengono inserite da EGL nel sistema denominato campaign in uso presso la società: le stesse vengono messe a disposizione, unitamente al messaggio di chiamata che deve essere pronunciato dall’operatore di call-center (il cd. “script”), della rete di agenzie di teleselling, nonché filtrate con la black list e la customer base attiva di EGL, al fine di procedere ai contatti promozionali. Le agenzie, che possono accedere al sistema campaign, provvedono a estrarre le liste, a effettuare i contatti commerciali e, successivamente, a registrare i relativi esiti;

- i dati personali presenti nelle liste acquisite tramite i list provider non sono oggetto di controlli, nemmeno a campione, idonei a comprovare il rispetto, in fase di raccolta, delle disposizioni relative al rilascio dell’informativa, all’acquisizione del consenso, e alle verifiche sul Registro pubblico delle opposizioni; al riguardo, EGL ha dichiarato che tali controlli sono demandati agli stessi list provider; la società ha anche dichiarato di non effettuare verifiche granulari in ordine alla corrispondenza tra contratti stipulati e anagrafiche fornite alla rete delle agenzie, limitandosi ad effettuare un controllo in merito al numero dei contratti stipulati da questi ultimi rispetto alla consistenza numerica della lista fornita;

- l’esame puntuale delle diverse doglianze pervenute all’Autorità ha fatto emergere ulteriori caratteristiche del complessivo trattamento di dati personali svolto da EGL con finalità di telemarketing/teleselling, caratteristiche che hanno messo in luce numerose criticità rilevate nell’atto di avvio del procedimento;

- in diverse ipotesi è infatti emerso che dal database CRM della Società il consenso “per iniziative promozionali proprie”, associato alle anagrafiche dei segnalanti che lamentavano la ricezione di telefonate indesiderate, risultava “non concesso” e che pertanto i contatti promozionali nell’interesse di EGL erano stati effettuati in assenza del necessario presupposto di liceità;

- rispetto ad altre segnalazioni, EGL ha invece dichiarato che il contatto telefonico risultava collegato ad un’attività di cd. “caring”, considerata non in contrasto con la volontà espressa dagli interessati di non ricevere comunicazioni promozionali; tuttavia, in nessuna delle diverse occasioni di interlocuzione con EGL, così come nella successiva fase di integrazione documentale, sono emersi elementi di chiarimento circa il contenuto e le modalità dell’asserita attività di caring, né EGL ha esibito copia delle indicazioni operative e dello script di chiamata che avrebbe dovuto fornire ai propri partner commerciali in tale contesto;

- con riferimento poi ai dati personali confluiti in liste di contattabilità di EGL, la cui origine deve farsi risalire a registrazioni sul portale Facile.it (da annoverarsi fra i cd. “editori”), è emerso che tali dati erano stati ceduti da Facile.it S.p.A. alla società C4b s.r.l. in virtù del consenso rilasciato dagli interessati per la cessione dei propri dati ad altri soggetti terzi per finalità di marketing anche rispetto a prodotti e servizi diversi da quelli di intermediazione assicurativa; tale consenso, tuttavia se poteva risultare idoneo a legittimare il trasferimento dei relativi dati personali da Facile.it S.p.A. a C4b S.r.l., nella sua qualità di autonomo titolare del trattamento, non poteva di certo estendere la sua efficacia anche al successivo trasferimento da quest’ultima a EGL, poiché tale comunicazioni di dati non risultava supportata da consenso specifico ed informato rilasciato dagli interessati a C4b;

- con riferimento a tutte le liste pervenute da soggetti terzi (i list provider/editori ovvero talune aziende con le quali EGL ha stipulato un accordo di partnership), è emerso che EGL non ha tenuto conto del diniego del consenso per i trattamenti aventi finalità promo-pubblicitarie risultante nei database di EGL stessa, quando tale diniego risultava essere antecedente ai consensi raccolti dai soggetti terzi ovvero quando si riferiva a clienti ormai “cessati”;

- con riferimento ai dati tratti dal DBU, è emerso che taluni contatti promozionali sono stati effettuati verso numerazioni telefoniche iscritte al Registro pubblico delle Opposizioni;

- ulteriori elementi di criticità sono stati rilevati in ordine alla tempistica con la quale EGL ha recepito la richiesta di taluni interessati di non essere contattati, aggiornando in ritardo i propri database e la propria black-list, nonché ai tempi di conservazione dei dati personali presenti in contratti stipulati da EGL, posto che è emerso che vi sono contratti presenti nei database della Società la cui data di cessazione risale all’anno 1998;

- l’atto di avvio del procedimento ha inoltre evidenziato che l’istruttoria svolta dall’Ufficio ha incontrato numerose difficoltà derivanti dalla circostanza che l’attività di produzione ed integrazio-ne documentale, effettuata da EGL, è stata caratterizzata da una particolare farraginosità e disper-sione delle informazioni in diversi documenti, a volte anche con esiti solo parzialmente coincidenti;

- l’Ufficio pertanto, con riferimento al complesso dei trattamenti svolti da EGL con finalità di telemarketing e teleselling ha accertato la sussistenza di condotte in violazione del Regolamento e del Codice quali: a) l’effettuazione di telefonate pubblicitarie senza il consenso dell’interessato ovvero in presenza di un espresso diniego del consenso formulato nei confronti di EGL; b) la mancata adozione di misure tecnico-organizzative idonee a garantire il recepimento delle espressioni di volontà dell’interessato e quindi del sostanziale rispetto dei principi espressi dal Regolamento in tema di esercizio dei diritti; c) la conservazione dei dati personali contenuti nei contratti per tempi superiori a quelli connessi al perseguimento delle finalità per le quali gli stessi erano trattati; d) la non idonea cooperazione con l’Autorità nel corso dell’istruttoria, attesi i contraddittori riscontri alle richieste di informazioni e di esibizione di documenti;

- dalle condotte di cui sopra discendono, peraltro, ulteriori violazioni connesse al mancato adeguamento di EGL ai principi di responsabilizzazione, nonché di protezione dei dati per impostazione predefinita e attraverso processi di minimizzazione dei dati;

- avendo pertanto rilevato la sussistenza di elementi idonei a configurare la violazione da parte di EGL delle violazioni di cui all’ art. 5, par. 1, lett. a), c) ed e), all’art. 5, par. 2, all’art. 6, par. 1, lett. a), all’art. 7, par. 1, all’art. 25 e all’art. 31 del Regolamento, nonché all’art. 130, comma 3, del Codice, l’Ufficio provvedeva a notificare alla Società il sopra richiamato atto di avvio del procedimento;

RILEVATO che con tale ultimo atto sono state contestate alla Società le sopra indicate violazioni, dalle quali può ricondursi, ai sensi dell’art. 58, par. 2, del Regolamento, l’adozione di provvedimenti correttivi e/o sanzionatori da parte del Garante;

LETTI gli scritti difensivi inviati da EGL il 21 ottobre 2019 e il verbale di audizione della medesima Società redatto il 29 ottobre 2019, che qui si intendono integralmente riportati a garanzia della parte e che, in sintesi rappresentano:

a) l’esiguità del numero (in totale otto) delle persone interessate dalle condotte che l’Autorità considera sospette di possibili violazioni della normativa sulla Privacy;

b) la circostanza che EGL, con riferimento alla successione dei consensi e delle revoche dei medesimi, in assenza di altri riferimenti e quindi in buona fede (traendo spunto da quanto disposto dall’art. 1, comma 6, della legge n. 5/2018 relativa al funzionamento del Registro delle Opposizioni), ha effettivamente ritenuto che dovesse sempre prevalere l’ultima manifestazione di volontà dell’interessato, prevalente anche nei confronti di uno specifico diniego espresso direttamente ad EGL. Da febbraio 2019, la Società ha, autonomamente, deciso di modificare il proprio modus operandi attribuendo prevalenza alla volontà espressa dal cliente nei confronti di EGL di non ricevere informazioni promozionali e commerciali relative a prodotti e servizi di EGL medesima (prova di ciò si ha nella modifica dei criteri di “filtratura” in base ai quali le liste di contattabilità acquisite sul mercato vengono utilizzate esclusivamente per contattare le persone che non sono clienti attivi di EGL e/o ex clienti della stessa);

c) il fatto che EGL, pur non effettuando controlli a campione sulla corretta raccolta dei dati personali da parte dei list provider/editori, svolga una preventiva e approfondita verifica in merito all’adozione da parte dei medesimi di procedure di “compliance privacy” solide ed efficaci, verifica che in futuro sarà affidata ad un Auditor indipendente;

d) la riconducibilità delle chiamate promozionali effettuate verso numerazioni iscritte nel Registro pubblico delle Opposizioni al “comportamento illecito di un Teleseller di un competitor che ‐ fraudolentemente‐ chiama a nome di EGL per, poi, proporre l’offerta di un competitor” ovvero al “comportamento illecito di un Teleseller di EGL (o sub‐teleseller) che, in violazione del contratto chiama numeri fuori lista (intendendosi come “fuori lista” numeri che non fanno parte di liste di contattabilità EGL, che sono le uniche liste che i teleseller sono autorizzati ad utilizzare)”. Sotto questo profilo EGL ha comunicato l’implementazione, da luglio 2019, di controlli automatizzati, con riferimento all’operato dei teleseller, che impediscono l’accettazione di una proposta di contratto ove non vi sia corrispondenza tra il numero di telefono inserito nella proposta di contratto e il numero di telefono presente nella lista di contattabilità utilizzata dal teleseller;

e) l’esistenza di un’attività di cd. “caring”, non ricompresa fra quelle riconducibili al teleselling e al telemarketing, ogniqualvolta si realizza un contatto del cliente finalizzato alla risoluzione di problematiche amministrative, ovvero per la necessità di aggiornare i dati del medesimo, oppure nel caso in cui il cliente abbia contattato per almeno tre volte negli ultimi cinque giorni il call center;

f) la legittimità delle scelte operate da EGL in relazione ai dati raccolti da Facile.it S.p.A. (e da altri editori) la quale, in virtù di un consenso acquisito dagli interessati per la comunicazione dei propri dati a terzi, ha ceduto tali dati ad un list provider (nei casi analizzati dall’Autorità, C4b s.r.l.). Successivamente il list provider ha a sua volta ceduto tali liste a EGL e tale comunicazione deve ritenersi ricompresa nella cornice di legittimità determinata dall’originario consenso rilasciato a Facile.it poiché “appare inequivocabile come l’interessato, che abbia rilasciato il consenso in parola, sia stato reso edotto circa la possibilità che i suoi dati possano essere ceduti anche a list broker i quali, tenuto conto della specificità della propria attività di business, li trasmetteranno alle imprese loro clienti per le finalità di marketing di queste ultime. L’adeguatezza di una simile impostazione appare desumibile anche dal provvedimento del Garante n. 363 del 22 maggio 2018, doc. web n. 8995274 (Garante vs Supermoney)”;

g) la legittimità dell’accordo di partnership con Fastweb S.p.A. sotto il profilo della protezione dei dati personali, in considerazione del fatto che i contatti promozionali relativi a tale partnership venivano operati su liste di dati personali delle quali era titolare proprio Fastweb mentre EGL, in qualità di responsabile del trattamento, si limitava ad effettuare un’attività di filtraggio escludendo dalle liste la propria base clienti. Le liste erano poi consegnate alla rete di agenzie di Fastweb le quali procedevano ad effettuare i contatti promozionali “per conto di Fastweb”;

h) la prossima implementazione di un meccanismo che consentirà al CRM di “dialogare” in automatico con la black list, al fine di allineare le revoche o modifiche dei consensi;

i) il completamento della revisione dei tempi di data retention, realizzato ad agosto 2019, con tempi di conservazione dei dati fissati a 10 anni;

j)  l’assenza di intenzionalità in ordine alle doglianze dell’Ufficio sulla mancata piena cooperazione della Società nell’ambito dell’istruttoria e la decisione, al riguardo, di presentare scritti difensivi in forma di “tabella” con richiami diretti ed esaustivi agli specifici punti dell’atto di avvio del procedimento;

PRESO ATTO di quanto rappresentato da EGL nelle memorie difensive e nell’audizione innanzi all’Autorità, e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, si osserva che:

a) come già evidenziato in premessa, l’istruttoria svolta dall’Ufficio ha consentito di enucleare un circoscritto numero di segnalazioni rivelatrici di condotte “di sistema” poste in essere dalla Società, nel corso delle attività promozionali. In questa ottica appare inconferente il riferimento difensivo relativo al numero limitato di segnalazioni alla base delle contestazioni dell’Autorità, poiché da tali segnalazioni, attraverso un’attività istruttoria ed ispettiva ad ampio raggio, è stato possibile rilevare criticità che hanno avuto dirette ricadute nel complessivo trattamento dei dati personali svolto per finalità di telemarketing e teleselling da parte di EGL, che ha quindi riprodotto le medesime illiceità anche nei confronti di un numero elevatissimo di interessati;

b) il nuovo sistema di filtraggio delle liste di contattabilità, che esclude dalle medesime tutti i clienti attivi e cessati della Società, è stato introdotto soltanto nel febbraio 2019 e quindi non è idoneo a sanare le illiceità realizzate nel periodo antecedente e portate all’attenzione dell’Autorità da segnalazioni e reclami. Al riguardo, deve evidenziarsi che il richiamo alla disciplina in materia di Registro delle Opposizioni, al fine di giustificare il precedente orientamento di EGL in tema di successione dei consensi, appare inconferente posto che tale orientamento metteva indebitamente sul medesimo piano una generica autorizzazione alla comunicazione dei dati personali per finalità di marketing e il diniego del consenso ai trattamenti, aventi le medesime finalità, espresso specificamente nei confronti della Società. Al riguardo giova richiamare l’attenzione al considerando n. 42 del Regolamento, laddove si indica che “l’interessato dovrebbe essere posto a conoscenza almeno dell’identità del titolare del trattamento e delle finalità del trattamento cui sono destinati i dati personali” enfatizzando la prevalenza delle espressioni di volontà connotate da elementi di incontrovertibile specificità, come deve ritenersi essere il diniego del consenso espresso direttamente nei confronti di un titolare. Tale prevalenza, peraltro, è stata anche affermata dal Garante nel provvedimento n. 16 del 19 gennaio 2011, pubblicato nella G.U. n. 24 del 31 gennaio 2011 (in www.gpdp.it, doc. web n. 1784528). Con riferimento alle condotte poste in essere da EGL fino al febbraio 2019, deve pertanto ritenersi sussistente la violazione delle disposizioni di cui all’ art. 5, par. 1, lett. a), all’art. 5, par. 2, all’art. 6, par. 1, lett. a), all’art. 7, par. 1, del Regolamento, nonché all’art. 130, comma 3, del Codice;

c) le procedure indicate da EGL per la selezione dei list provider e degli editori, affinché gli stessi adottino procedure di “compliance privacy” solide ed efficaci, se pure possono empiricamente consentire di ottenere liste di contattabilità correttamente “consensate”, non esonerano la Società dall’osservanza delle disposizioni di cui agli artt. 5, par. 2, e 7, par. 1, del Regolamento che impongono al titolare di comprovare la liceità dei trattamenti e, quindi, nella fattispecie, di dimostrare che l’interessato abbia prestato il proprio consenso libero e specifico. Sotto questo profilo si ravvisa la necessità di impartire una prescrizione alla Società affinché implementi procedure e sistemi, anche prevedendo accessi ad aree dedicate dei database dei list provider e degli editori ovvero l’utilizzo di strumenti di controllo di pari efficacia, al fine di verificare, anche tramite un campione rilevante, prima dell’inizio della campagna promozionale, lo stato dei consensi degli interessati inseriti nelle liste di contattabilità acquisite. Si ritiene altresì sussistente la violazione di cui agli artt. 5, par. 2, e 7, par. 1, del Regolamento;

d) le nuove procedure per la verifica dell’operato dei teleseller, introdotte da EGL a partire da luglio 2019, non sono idonee a escludere, per il passato, condotte illecite da parte dei teleseller con riferimento alle chiamate, oggetto di segnalazioni all’Autorità, effettuate verso numerazioni iscritte nel Registro pubblico delle Opposizioni. Si ritiene, pertanto, in tale caso, sussistente la violazione di cui all’ art. 5, par. 1, lett. a), all’art. 5, par. 2, del Regolamento, nonché all’art. 130, comma 3, del Codice;

e) pur avendo descritto le condizioni e le modalità di svolgimento delle attività di cd. “caring”, EGL non ha chiarito quali di queste attività abbiano specificamente interessato i soggetti che hanno segnalato gli indebiti contatti della Società lamentandone il contenuto promozionale (non sono state infatti indicate se le ragioni del contatto dei due clienti segnalanti siano riconducibili ad attività di gestione dei clienti medesimi: a) in relazione a specifiche lamentele, ovvero b) in relazione alla necessità di aggiornare i dati personali degli stessi, oppure c) a seguito di un triplice contatto da parte dei clienti nell’arco di 5 giorni): deve pertanto ritenersi sussistente anche in questi casi la violazione di cui all’ art. 5, par. 1, lett. a), all’art. 5, par. 2, all’art. 6, par. 1, lett. a), all’art. 7, par. 1, del Regolamento, nonché all’art. 130, comma 3, del Codice;

f) le considerazioni espresse al precedente punto a) con riferimento alla specificità del consenso dell’interessato, in particolare, sotto il profilo della individuazione del titolare e delle finalità del trattamento cui sono destinati i dati personali, permettono di affermare la illiceità delle cessioni di dati personali effettuate da titolari del trattamento che non abbiano acquisito direttamente dagli interessati uno specifico consenso al riguardo. Il complesso delle disposizioni contenute negli articoli 6 e 7 del Regolamento e dei correlati considerando (nn. 42 e 43) mirano a conferire all’interessato il pieno controllo dei trattamenti di dati personali per i quali egli stesso ha prestato il consenso. Tale controllo sarebbe del tutto irrealizzabile se le comunicazioni di dati personali potessero avvenire in assenza di un consenso direttamente riconducibile ad ogni soggetto cedente e fossero solamente ancorate ad una iniziale manifestazione di volontà capace di dispiegare effetti a catena del tutto imprevedibili per l’interessato. Pertanto, le cessioni, da C4b s.r.l. a EGL, nonché i correlati successivi trattamenti da parte di quest’ultima, di liste di contattabilità provenienti da Facile.it S.p.A., le quali non sono sorrette da alcun consenso rilasciato dagli interessati a C4b s.r.l., così come tutte le altre cessioni e i correlati trattamenti di liste provenienti da editori, acquisite da list provider e cedute a EGL senza che i list provider si siano dotati di un consenso specifico alla comunicazione dei dati, sono illeciti e ne deve essere disposto il divieto. Le condotte poste in essere dalla società configurano la violazione delle disposizioni di cui all’ art. 5, par. 1, lett. a), all’art. 5, par. 2, all’art. 6, par. 1, lett. a), all’art. 7, par. 1, del Regolamento;

g) EGL ha fornito ampia documentazione (contratti, designazioni dei responsabili del trattamento, script di chiamata) atta a comprovare che la titolarità dei trattamenti di dati finalizzati al contatto di clienti Fastweb S.p.A. per l’offerta di servizi EGL sia riconducibile proprio a Fastweb, nell’ambito dell’accordo di partnership fra le due società. Richiamando le considerazioni espresse in sede di esercizio del diritto di difesa da parte di EGL, deve pertanto procedersi, in tale caso, all’archiviazione della specifica contestazione;

h) gli episodi di temporaneo disallineamento del CRM e della black list di EGL hanno avuto circoscritte e limitate conseguenze ma configurano, in ogni caso, la violazione delle disposizioni di cui all’art. 5, par. 2 del Regolamento, poiché la Società non è stata in grado di assicurare e comprovare tempistiche e modalità di aggiornamento dello stato dei consensi nel CRM e nella propria black list; deve pertanto altresì prescriversi alla Società di realizzare in tempi certi la definitiva implementazione dei prospettati meccanismi volti a automatizzare i flussi di dati dal CRM alla black list in uso presso la società;

i) prendendo atto della avvenuta riduzione dei tempi massimi di conservazione dei dati contrattuali da parte di EGL, così come indicata nelle memorie difensive, deve comunque ritenersi sussistente, nei casi rilevati in sede di attività ispettiva, nei quali sono stati rilevati tempi di conservazione superiore al termine di prescrizione ordinaria prevista dall’art. 2946 c.c., la violazione di cui all’art. 5, par. 1, lett. c) ed e), all’art. 25 del Regolamento;

j) quanto alle ipotizzate violazioni dell’art. 31 del Regolamento, in considerazione dei riscontri non univoci forniti da EGL in sede di istruttoria preliminare, si deve comunque fare riferimento ad un quadro, così come delineato nei precedenti punti, nel quale le molteplici attività di teleselling e telemarketing sono apparse gravemente lacunose sotto il profilo organizzativo e operativo anche in considerazione della assenza di controlli sull’operato dei teleseller, della mancanza di una procedura che consenta di monitorare in tempo reale lo stato dei consensi acquisiti dai list provider e dagli editori nonché degli orientamenti interpretativi adottati dalla società circa la successione dei consensi, orientamenti che non appaiono giustificabili, attese le diverse pronunce del Garante in materia ed il ruolo di primo piano della Società che le ha consentito diverse interazioni con l’Autorità. Il risultato di tale complesso di attività non ricondotte ad univoche scelte organizzative e operative ha determinato non solo la perdita del controllo dei dati da parte degli interessati che hanno inviato reclami e segnalazioni all’Autorità, ma anche, di tutta evidenza, da parte del medesimo titolare del trattamento che in molteplici occasioni non è stato in grado di fornire all’Autorità riscontri certi;

k) alla luce del quadro sopra delineato, può quindi ritenersi che la mancata piena cooperazione con l’Autorità non sia da ricondursi ad un insieme di condotte poste in essere con la coscienza e la volontà di creare ostacoli alle attività di controllo, considerazione che, ai sensi dell’art. 3 della legge n. 689/1981, impone l’archiviazione della specifica contestazione; le stesse considerazioni che da un lato inducono ad escludere l’intenzionalità di condotte ostruzionistiche da parte della Società nel corso dell’istruttoria, dall’altro evidenzia la gravità delle complessive condotte poste in essere da EGL nell’ambito del telemarketing e del teleselling, laddove una grave disorganizzazione e inefficiente gestione degli adempimenti in materia ha contribuito a determinare non soltanto la realizzazione di condotte in violazione di norme sulla liceità e la correttezza del trattamento, ma anche l’impossibilità di fornire agli interessati un quadro di garanzie trasparente e pienamente fruibile a tutela dei propri dati personali;

l) in conclusione, le sopra indicate violazioni accertate nei confronti di EGL rappresentano la riprova e la conferma dell’allarmante contesto in cui deve inquadrarsi il fenomeno dei contatti illeciti e delle chiamate indesiderate nell’ambito del telemarketing. Tale fenomeno è oggetto, da oltre quindici anni, di allarme sociale da parte dei cittadini e di attenzione da parte del legislatore e del Garante. I numerosi interventi normativi connessi alla regolamentazione del settore sono stati accompagnati dalle costanti attività di controllo da parte dell’Autorità, capillarmente condotte con riferimento a tutti gli aspetti del fenomeno, dai rapporti fra i diversi soggetti coinvolti, alla corretta acquisizione delle liste di interessati contattabili, dalla gestione degli elenchi telefonici e del Registro delle opposizioni, all’utilizzo dei call-center. I numerosi provvedimenti adottati in materia sono stati tutti pubblicati e ripresi con attenzione dai media, senza che ciò abbia comportato un sensibile miglioramento del fenomeno, tanto da indurre l’Autorità, nell’aprile 2019, ad inviare una informativa generale alla Procura della Repubblica presso il Tribunale di Roma volta ad evidenziare le ricadute penali delle attività di telemarketing poste in essere in violazione delle disposizioni in materia di protezione dei dati personali. Anche alla luce di tale contesto, appare non proporzionato alla gravità delle condotte poste in essere il riferimento difensivo al numero delle segnalazioni che, pur apparendo oggettivamente limitato, non è idoneo a far derubricare quanto portato all’attenzione dell’Autorità a episodici disallineamenti legati alla grande mole di contatti operati;

RITENUTO, pertanto, sulla base delle motivazioni di cui sopra, di dover dichiarare l’illiceità delle condotte poste in essere da EGL, in qualità di titolare del trattamento, indicate ai precedenti punti b), c), d), e), f), h) e i);

RITENUTO di dover conseguentemente ingiungere a EGL, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, le seguenti misure correttive:

- entro il termine di giorni 30 dalla notifica del presente provvedimento, di implementare procedure e sistemi, anche prevedendo accessi ad aree dedicate dei database dei list provider e degli editori, ovvero l’utilizzo di strumenti di controllo di pari efficacia, al fine di verificare, anche tramite un campione rilevante, prima dell’inizio delle campagne promozionali, lo stato dei consensi degli interessati inseriti nelle liste di contattabilità acquisite;

- entro il medesimo termine provvedere alla definitiva implementazione dei prospettati meccanismi volti a automatizzare i flussi di dati dal CRM alla black list in uso presso la società;

RITENUTO, inoltre, di dover imporre, ai sensi dell’art. 58, par. 2, lett. f), del Regolamento il divieto del trattamento dei dati personali presenti in liste di contattabilità che EGL ha acquistato da C4b s.r.l. o da altri list provider, provenienti da Facile.it S.p.A. o da altri editori, senza che i predetti list provider si siano dotati di un consenso specifico alla comunicazione dei dati medesimi;

RITENUTO altresì che ricorrono i presupposti di cui all’art. 17, comma 1, del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante medesimo;

RILEVATO, peraltro, che le condotte illecite indicate ai punti b), c), d), e), f), h) e i) impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di EGL della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento;

VISTI gli artt. 166, comma 2, del Codice e 83, parr. 3 e 5, del Regolamento che, per le violazioni sopra richiamate, prevedono l’applicazione della sanzione amministrativa del pagamento di una somma fino a € 20.000.000 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore;

RITENUTO di dover fare riferimento al fatturato di EGL e non a quello del complessivo gruppo ENI, e quindi di dover determinare il massimo edittale della sanzione applicabile, nel caso in argomento, in euro 171,16 milioni;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento;

CONSIDERATO che, nel caso in esame, assumono rilevanza:

1. l’ampia portata dei trattamenti e l’elevato numero dei potenziali interessati coinvolti (art. 83, par. 2, lett. a) del Regolamento) nel complesso delle attività di telemarketing e teleselling oggetto di contestazione;

2. la gravità della violazione (art. 83, par. 2, lett. a) del Regolamento), in ragione della particolare pervasività dei contatti illeciti nell’ambito delle attività di telemarketing e teleselling (potenzialmente lesivi di vari diritti fondamentali e, in particolare, oltre al diritto alla protezione dei dati personali, il diritto alla tranquillità individuale e il diritto alla riservatezza), delle crescenti difficoltà che gli interessati incontrano per arginare tale fenomeno, della molteplicità delle condotte poste in essere da EGL in violazione di più disposizioni del Regolamento e del Codice, delle riscontrate carenze organizzative che hanno determinato una mancata attuazione dei principi di protezione dei dati fin dalla progettazione (privacy by design) e per impostazione predefinita (privacy by default);

3. la durata della violazione (art. 83, par. 2, lett. a) del Regolamento): almeno dall’entrata in vigore del Regolamento fino almeno alla conclusione dell’istruttoria preliminare;

4. il carattere significativamente negligente del trattamento (art. 83, par. 2, lett. b) del Regolamento), con particolare riferimento alla mancata adozione di sistemi di controllo dei consensi e dei telesellers che, per impostazione predefinita avrebbero dovuto garantire la corretta gestione degli stessi, nonché in relazione all’adozione di procedure e orientamenti interpretativi in palese contrasto con l’attuale quadro normativo;

5. la sussistenza di vantaggi economici derivanti dalle attività di telemarketing e teleselling svolte in violazione delle disposizioni del Regolamento e del Codice (art. 83, par. 2, lett. k) del Regolamento) sia con riferimento alla platea complessiva degli interessati, sia avuto riguardo alla posizione dei competitor;

6. la parziale adozione di misure atte a mitigare o a eliminare le conseguenze della violazione (art. 83, par. 2, lett. c) del Regolamento), poiché anche prima dell’avvio del procedimento correttivo e sanzionatorio EGL ha introdotto nuove procedure idonee a ridurre anche se non a eliminare i rischi incombenti sui trattamenti di dati;

7. l’esistenza di una precedente decisione (provvedimento n. 45 del 14 febbraio 2019, in www.gpdp.it, doc. web n. 9102927) con la quale il Garante ha dichiarato che “il trattamento per finalità di marketing dei dati personali [in presenza di una specifica manifestazione di volontà negativa del reclamante rispetto al trattamento dei propri dati per finalità di direct marketing], è avvenuto in violazione dei principi di liceità e correttezza del trattamento” (art. 83, par. 2, lett. e) del Regolamento);

8. le condizioni economiche del contravventore (art. 83, par. 2, lett. k) del Regolamento), tenuto conto del valore della produzione con riferimento al bilancio d’esercizio per l’anno 2018;

CONSIDERATI:

- i parametri di cui sopra ed i principi di effettività, proporzionalità e dissuasività indicati nell’art. 83, par. 1, del Regolamento;

- l’ampio margine temporale concesso a tutti i titolari del trattamento al fine di consentire loro un compiuto e coerente adeguamento dei sistemi e delle procedure alla nuova normativa europea, in vigore già dal 25 maggio 2016 e pienamente operativa dal 25 maggio 2018, adeguamento che EGL non risulta aver effettuato in modo adeguato;

- la particolare attenzione che il legislatore ha dedicato alla regolamentazione del fenomeno del telemarketing, anche con interventi normativi di recente adozione (ad es., legge n. 5/2018);

- la significativa attività provvedimentale e la costante interlocuzione dell’Autorità con i diversi soggetti che operano nell’ambito del telemarketing, in base alle quali deve ritenersi raggiunta da tutti gli operatori del settore una sufficiente consapevolezza dei principi generali che devono essere indefettibilmente osservati al fine di consentire una compiuta tutela dei diritti degli interessati;

- la primaria posizione di mercato del gruppo ENI e, in particolare, di EGL nel settore dell’erogazione dell’energia elettrica e del gas;

RITENUTO che, in base al complesso degli elementi sopra indicati, debba applicarsi ad EGL la sanzione amministrativa del pagamento di una somma di euro 8.500.000,00 (otto milioni e cinquecentomila), pari al 5% della sanzione massima edittale, arrotondato per difetto;

RITENUTO che, in considerazione della estensione dei trattamenti, della numerosità degli interessati potenzialmente coinvolti, dell’allarme sociale che le condotte illecite in ambito di telemarketing suscitano, che ai sensi dell’art. 166, comma 7, del Codice, e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019 si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Augusta Iannini;

TUTTO CIO’ PREMESSO

1. dichiara l’illiceità dei trattamenti di dati personali svolti da Eni Gas e Luce S.p.A. di cui ai sopra riportati punti b), c), d), e), f), h) e i);

2. ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge a Eni Gas e Luce S.p.A.:

- entro il termine di giorni 30 dalla notifica del presente provvedimento, di implementare procedure e sistemi, anche prevedendo accessi ad aree dedicate dei database dei list provider e degli editori, ovvero l’utilizzo di strumenti di controllo di pari efficacia, al fine di verificare, anche tramite un campione rilevante, prima dell’inizio delle campagne promozionali, lo stato dei consensi degli interessati inseriti nelle liste di contattabilità acquisite;

- entro il medesimo termine, di provvedere alla definitiva implementazione dei prospettati meccanismi volti ad automatizzare i flussi di dati dal CRM alla black list in uso presso la Società;

3. ai sensi dell’art. 58, par. 2, lett. lett. f), del Regolamento, impone a Eni Gas e Luce S.p.A. il divieto del trattamento dei dati personali presenti in liste di contattabilità che la Società ha acquistato da C4b s.r.l. o da altri list provider, provenienti da Facile.it S.p.A. o da altri editori, senza che i predetti list provider si siano dotati di un consenso specifico alla comunicazione dei dati medesimi;

4. richiede alla Società di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato, ai sensi dell’art. 157 del Codice, entro il termine di giorni 40 dalla notifica del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

ORDINA

a Eni Gas e Luce S.p.A., in persona del legale rappresentante pro-tempore, con sede legale in San Donato Milanese (MI), piazza Vanoni n.1, C.F. 12300020158, di pagare la somma di euro 8.500.000,00 (otto milioni e cinquecentomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, mediante il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 8.500.000,00 (otto milioni e cinquecentomila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 11 dicembre 2019

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia