VEDI COMUNICATO STAMPA DEL 9 GIUGNO 2023

[doc. web n. 9893693]

Provvedimento del 14 aprile 2023

Registro dei provvedimenti
n. 181 del 14 aprile 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1  Premessa

Con atto n. 10907/21 del 23 febbraio 2021 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente riprodotto, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Sorgenia S.p.a. (di seguito “Sorgenia“ o “la Società”) in persona del legale rappresentante pro-tempore presso la sede legale della Società in Milano, Via Alessandro Algardi, n. 4 (cap. 20148), C.F. 07756640012.

Il procedimento, da contestualizzarsi nella più ampia attività del Garante finalizzata al contrasto del telemarketing illegale nel settore energetico, trae origine da un’istruttoria condotta unitariamente e cumulativamente dall’Autorità, ai sensi ai sensi degli artt. 10, comma 4 e 20, comma 2, del regolamento interno del Garante n. 1/2019 (rinvenibile nel sito www.gpdp.it). Ciò a seguito di un reclamo ed alcune segnalazioni da parte di interessati, i quali lamentavano (come si vedrà meglio infra par. 1.2) la ricezione di telefonate con finalità promozionali da parte della Società, in alcuni casi su utenze riservate e in altri su utenze iscritte nel Registro pubblico delle opposizioni, oltre che, talvolta, il mancato riscontro all’esercizio dei diritti da parte della Società.

1.2. La richiesta di informazioni ed esibizione di documenti, ai sensi dell’art. 157 del Codice e il riscontro fornito da Sorgenia

Nel contesto sopra richiamato, Sorgenia S.p.a., in data 7 ottobre 2020, è stata destinataria di una richiesta di informazioni cumulativa, ai sensi del combinato disposto di cui agli artt. 58, par. 1, lett. a) RGPD e dell’art. 157 del Codice, (infra par. 1.2), con riguardo complessivamente a 9 fascicoli  (nn. 132135, 137322, 139511, 139794, 140489, 142840, 143671, 153721, 155380).

Con nota del 26 ottobre 2020 Sorgenia ha fornito un riscontro, ricostruendo le vicende che hanno interessato il reclamante e i segnalanti.  In via preliminare la Società ha inteso richiamare l’esistenza di un fenomeno quale quello dei contatti telefonici effettuati nei confronti dell’utenza da parte di soggetti estranei al fornitore del servizio, ma in nome e per conto di quest’ultimo, sulla base della conoscenza non solo dei dati anagrafici e di contatto degli interessati, ma anche, in alcuni casi, di quelli di fornitura (POD, PDR, indirizzo di fornitura). A detta della Società, nel corso delle telefonate tali soggetti si presenterebbero agli utenti come “ufficio tariffe” o “ufficio utenti” della Società fornitrice del servizio energetico, motivando il contatto con la riduzione del costo della fornitura.

Sempre nel medesimo riscontro, la Società ha altresì voluto rappresentare di aver svolto una attività di sensibilizzazione della propria clientela fornendo strumenti per riconoscere e tutelarsi rispetto al menzionato fenomeno, nonché di aver informalmente segnalato il problema all’Autorità di regolazione per Energia Reti e Ambiente (ARERA).

Con riguardo alle specifiche doglianze pervenute al Garante la Società ha  quindi evidenziato come, nella quasi totalità dei casi (specificamente con riguardo ai fasc. fascicoli 132135, 137322, 139511, 139794, 140489, 142840, 143671, 155380), dalle verifiche interne condotte, tutte le numerazioni da cui sono stati effettuati i contatti indesiderati non fossero “né direttamente né indirettamente riferibili a Sorgenia né a soggetti terzi operanti su mandato dalla scrivente” e come dagli accertamenti circa la provenienza delle numerazioni chiamanti, attraverso le interrogazioni del R.O.C. (Registro Operatori della Comunicazione), non fosse stato possibile individuare tali numerazioni.

Rispetto, in particolare, ad una segnalazione (fasc. 139511) la Società ha invece rappresentato che il mancato riscontro all’esercizio del diritto di cancellazione dei dati e del diritto di opposizione fosse ascrivibile alla circostanza che la mail del segnalante non fosse stata assegnata al reparto competente a causa di un inconveniente tecnico, impedendone una tempestiva gestione e che comunque, anche in questo caso, l’utenza del segnalante non fosse stata utilizzata per effettuare contatti telefonici né da parte di Sorgenia né da parte dei suoi partner.

Con riguardo ad altra e differente segnalazione (fasc. 143671), la Società ha ribadito come, seppure il numero utilizzato per i ripetuti contatti indesiderati non fosse riferibile né alla Società né ai suoi partner, la mail di opposizione al trattamento dei dati e di richiesta di cancellazione, inoltrata alla Società e correttamente ricevuta, non avrebbe ricevuto il dovuto riscontro a causa di un inconveniente tecnico. Inoltre le verifiche interne sui sistemi di posta elettronica della Società non hanno potuto fornire utili elementi di ricostruzione della vicenda in ragione dell’automatica cancellazione dei log del sistema di posta elettronica una volta decorso un periodo di 90 giorni.

Rispetto, infine, a quanto lamentato in una ulteriore segnalazione (fasc.153721) è stato evidenziato che, benché il numero utilizzato per il contatto telefonico fosse risultato riferibile ad una Società regolarmente nominata responsabile del trattamento dei dati da Sorgenia, l’utenza contattata non era risultata essere mai stata inserita nel Registro pubblico delle opposizioni, anche rispetto alle verifiche effettuate in relazione alle specifiche date dei lamentati contatti telefonici, e che, in assenza di tale iscrizione, essendo la numerazione presente nell’elenco abbonati, la stessa fosse liberamente utilizzabile. La Società ha comunque dato atto di aver registrato l’opposizione della segnalante al trattamento per finalità di marketing diretto.

1.3 Chiusura dell’istruttoria e avvio del procedimento per l’adozione dei provvedimenti correttivi

Esaminati i riscontri forniti dalla Società, l’Ufficio, ai sensi dell’art. 166, comma 5, del Codice, ha adottato, in data 23 febbraio 2021, l’atto di avvio del procedimento richiamato in premessa, con il quale ha contestato alla Società le violazioni delle seguenti disposizioni:

1) Artt. 5, par. 2, e 25, par. 1 del Regolamento (Principio di responsabilizzazione e privacy by design), per non aver intrapreso, rispetto al fenomeno degli indebiti contatti promozionali effettuati in suo nome, una efficace azione di contrasto, esercitando (e potendo comprovare) in maniera piena e consapevole, le proprie attribuzioni, alle quali corrispondono i doveri di accountability e di privacy by design (attraverso elementi di prevenzione, funzionalità, sicurezza, trasparenza del trattamento e centralità dell’interessato).

La mera non riferibilità delle numerazioni chiamanti alla rosa di quelle in uso da parte della Società e dei propri partner commerciali, presentata da Sorgenia (in 8 casi su 9) come elemento di risposta alla richiesta inviata dal Garante, si pone in chiave critica in ragione di quell’ottica proattiva che definisce il principio di responsabilizzazione del titolare del trattamento e che permea tutto il nuovo assetto normativo di data protection.  La circostanza, infatti, per cui i contatti telefonici vengono effettuati in nome e per conto di Sorgenia ne rendevano necessaria ed imprescindibile una puntuale e costante opera di vigilanza e di monitoraggio.

Dal contesto rappresentato non sono emersi elementi idonei ad escludere con certezza che da tale attività, parallela ed esterna a Sorgenia e apparentemente caratterizzata da una certa sistematicità, non possano derivare vantaggi per quest’ultima in termini di attivazione di servizi o sottoscrizione di nuovi contratti.

Peraltro, la peculiarità dei dati di cui i suddetti terzi sembrano essere a conoscenza (POD o PDR e indirizzo di fornitura), come richiamato anche dalla stessa Società nel suo riscontro, non può non implicare una attività di puntuale indagine e di vigilanza al fine di individuare possibili responsabilità e pratiche scorrette e di porre in essere tutte le cautele previste dal quadro normativo e deontologico di riferimento.

2) Artt. 12, par. 3, 17 e 21 del Regolamento per non aver adempiuto all’obbligo di fornire riscontro a richieste di esercizio dei diritti degli interessati, formulate ai sensi degli artt. 17 e 21 del Regolamento, pur essendo dovere del titolare valutare la corretta ricezione delle istanze degli interessati e il corretto riscontro alle richieste ricevute.

La Società ha motivato il mancato riscontro all’esercizio del diritto di cancellazione dei dati e del diritto di opposizione con il verificarsi di inconvenienti tecnici occorsi nell’ambito della propria rete organizzativa interna ma tale circostanza, tuttavia, non risulta sufficiente, secondo il Garante, a sollevare Sorgenia dai menzionati obblighi nei confronti degli interessati.

2. OSSERVAZIONI DIFENSIVE E VALUTAZIONI DELL’AUTORITÀ

2.1. Memoria difensiva ed audizione di Sorgenia S.p.A.

In data 23 marzo 2021 Sorgenia ha fatto pervenire una memoria difensiva all’Autorità, corredata da alcuni allegati, ai sensi dell’art. 166, comma 6, del Codice. In base alla medesima disposizione, il 7 aprile 2021 si è svolta, in videoconferenza, l’audizione richiesta dalla parte di cui è stato redatto apposito verbale. Entrambi i documenti sono da intendersi qui, a tutela della parte, integralmente richiamati e riprodotti, unitamente agli allegati alla memoria difensiva. 

1) Con riferimento alla contestazione di cui al numero 1 del par. 1.3 in relazione al principio di responsabilizzazione e privacy by design (Artt. 5, par. 2, e 25, par. 1 del Regolamento), Sorgenia, tanto nella memoria quanto in audizione, ha sostenuto la propria completa estraneità alle chiamate indesiderate oggetto delle doglianze presentate al Garante e sottolineato che proprio in quanto del tutto estranea al fenomeno, essa non disponeva di alcun potere di verifica e di vigilanza.

La Società ha tenuto preliminarmente a precisare che la sua politica commerciale nel periodo di riferimento (e in essere al momento delle dichiarazioni) si basa su due differenti modalità di acquisizione della clientela in relazione al segmento di riferimento: a) il settore “residenziale”; b) il settore “business”. Al primo sono riconducibili tutte le persone fisiche, al secondo tutti i soggetti che agiscono nell’ambito di un’attività economica (aziende, liberi professionisti, lavoratori autonomi con partita IVA).

Nel caso sub a), la Società ha specificato, ribadendolo anche in sede di audizione, che il canale di acquisizione è esclusivamente digitale (Canale digital): il potenziale cliente (prospect), tramite il sito internet www.sorgenia.it, chiede l’attivazione di una fornitura, inserendo tutte le informazioni e fornendo tutti i dati necessari al perfezionamento della richiesta. Tale modalità, definita da Sorgenia “pull” ovvero, in sede di audizione, “non-push”, non prevede, a detta della Società, alcuna attività commerciale telefonica.

La Società ha così affermato che il cento per cento dei clienti del settore residenziale nel periodo da gennaio 2019 a ottobre 2020 proviene dal canale digital.

Sorgenia ha inoltre rappresentato di avvalersi dei servizi dei cd. “comparatori” ovverosia alcuni siti web che aiutano gli utenti a comparare le diverse offerte fornite dai fornitori di energia. In alcuni casi tali comparatori offrono anche un servizio di assistenza telefonica agli utenti, i quali vengono ricontattati a tale scopo. In particolare, la Società ha specificato che negli accordi commerciali stipulati con tali soggetti, è previsto che questi possano supportare i clienti prospect che intendono attivare la fornitura elettrica con Sorgenia. A tal fine gli utenti possono contattare telefonicamente i comparatori e, viceversa, su richiesta dell’utente, quest’ultimo può essere ricontattato dagli operatori dei siti web.

Quanto all’acquisizione di nuovi clienti nel settore “business” (sub b), Sorgenia ha dichiarato di avvalersi sia di agenzie e agenti incaricati di svolgere attività di “proposizione fisica” sia di teleseller che svolgono attività di vendita tramite canale telefonico. Quanto all’impiego di teleseller, la Società ha poi fornito alcuni chiarimenti circa il funzionamento di tale canale di vendita, riportando come tale attività, nel periodo preso a riferimento dall’istruttoria, abbia coinvolto complessivamente 8 fornitori, tutti selezionati anche con riferimento alle garanzie offerte in termini di compliance con la disciplina in materia di protezione dei dati personali.

La Società ha altresì specificato che le liste di contattabilità, acquisite sia da Sorgenia sia direttamente dai teleseller, vengono sottoposte ad un meccanismo di verifica circa la provenienza, i contenuti dell’informativa rilasciata da chi ha raccolto i dati e relativamente alla formula del consenso per la cessione a terzi per finalità di marketing e alla verifica dello stesso. Inoltre, secondo la Società, viene effettuata una verifica a campione circa “le modalità con le quali è stato raccolto e documentato il consenso” (pag. 3 della memoria). In un secondo momento i dati vengono confrontati con quelli contenuti nelle liste di non-contattabilità di Sorgenia e, se i dati derivano dal DBU dei contraenti dei servizi di telefonia, allora si procede anche tramite confronto con il Registro delle opposizioni.

La Società ha inoltre specificato che sono state fornite indicazioni ai teleseller nel senso di “non utilizzare numerazioni non presenti nelle liste consensate e previamente verificate” (pag. 3 memoria). A riprova di ciò, Sorgenia ha inteso evidenziare che solo lo 0,2 per cento dei contratti attivati nel periodo di riferimento è riconducibile a contatti in liste non consensate. Tale percentuale – secondo la Società da considerarsi “fisiologica” – si spiega perché spesso chi riceve, in prima battuta, la telefonata promozionale non è colei o colui che ha effettivo potere decisionale sulle varie offerte di fornitura e pertanto fornisce al teleseller il contatto di un secondo soggetto.

Nell’evidenziare come, ad eccezione di un solo caso, nessuno dei reclamanti/segnalanti pare rientrare nella fattispecie del business, Sorgenia ha fatto presente di aver implementato, anche per i clienti prospect appartenenti al ramo business, un sistema di “quality check” che subordina l’attivazione del contratto alla verifica della volontà del nuovo cliente ad attivare la fornitura tramite una “chiamata di verifica”. Nel caso il cliente non sia reperibile dopo sei tentativi, allora si procede con il riascolto del vocal order e solo in caso di verifica positiva si procede con l’attivazione della fornitura.

Sorgenia ha infine ribadito la sua completa estraneità al fenomeno oggetto dell’istruttoria del Garante e ha evidenziato:

a) l’assenza di rapporti contrattuali con i soggetti terzi che effettuano le chiamate indesiderate così come l’assenza di qualsivoglia beneficio economico in termini di sottoscrizione di contratti nel segmento “residenziale”; al contrario la Società ritiene di subire un grave danno all’immagine della Società a causa “dell’uso illegittimo del proprio brand”;

b) la non riconducibilità ad alcuno dei partner di Sorgenia delle numerazioni da cui sono partite le telefonate;

c) l’esclusivo impiego, da parte dei propri teleseller, solo di numerazioni regolarmente presenti nel ROC;

d) in ogni caso, la compilazione delle liste consensate impiegate per l’attività di teleselling solo con dati di contatto e non anche con dati specifici di fornitura (POD o PDR, per esempio).

Trattandosi di utenti prospect, quindi solo potenziali, i dati di fornitura sono nella esclusiva responsabilità del fornitore del cliente e della Società di distribuzione.

Secondo la Società, dunque, il fenomeno delle chiamate indesiderate sarebbe riconducibile a soggetti che agiscono “in spregio alle leggi” e che la danneggiano tramite pratiche commerciali scorrette e attraverso una illecita spendita del nome. Tutte queste circostanze sono state oggetto di denunce presentate da Sorgenia tra marzo e dicembre 2020 alle competenti autorità di polizia giudiziaria (cfr. all. A alla memoria).

Oltre a tale tutela legale, la Società ha dichiarato di aver avviato iniziative informative volte a sensibilizzare i propri clienti circa il fenomeno tramite una sezione del sito appositamente dedicata ove è stato messo a disposizione dei clienti anche un form di segnalazione.

A riprova di quanto sostenuto nella memoria difensiva, i rappresentanti della Società hanno altresì prodotto, in sede di audizione, quattro registrazioni fornite da clienti Sorgenia, proprio al fine di denunciare pratiche commerciali scorrette e un utilizzo illecito dei dati personali di clienti dell’azienda da parte di soggetti che si identificano come “distributori locali”, “autorità”, “agenzia pubblica”, “associazione dei consumatori” o che richiamano in vario modo nominativi di grandi operatori del servizio di fornitura dell’energia elettrica e del gas.

In sede di audizione, svoltasi il 7 aprile 2021, Sorgenia ha infine rivendicato l’applicazione delle più rigorose misure di sicurezza e tecnico-organizzative a tutela del database dei suoi clienti residenziali, ivi compreso un rigoroso servizio di monitoraggio della rete informatica (SOC – Service Operating Center - che utilizza un sistema SIEM per un monitoraggio dell’infrastruttura 24 ore su 24). È, dunque, ipotizzabile, a detta della Società, che esista un problema di pratiche scorrette da parte di qualche altro soggetto coinvolto nel flusso di dati dei clienti all’interno della filiera di settore (ad esempio i distributori locali o altri soggetti coinvolti nella fornitura che pure dispongono dei dati di fatturazione e del POD dei clienti). Tuttavia, non potendo suffragare tali affermazioni con prove dirette e documentate, la parte si è limitata a ribadire la dannosità e gravosità del fenomeno e la sua estraneità ad esso. 

A supporto di quanto affermato nel corso dell’audizione, la Società ha successivamente trasmesso a mezzo pec (in data 12 aprile 2021; prot. 0019988/21) le quattro menzionate registrazioni prodotte in sede di audizione (oltre ad altre registrazioni del medesimo tenore),  esempi di segnalazioni inerenti telefonate indesiderate inviate via e-mail da utenti alla Società e, infine, alcuni fac-simile di allegati in bolletta relativi alla campagna informativa e screen shot dell'app Sorgenia che presenta lo spazio informativo dedicato.

2) In relazione alle contestazioni delle violazioni di cui al n. 2 del par. 1.3 in materia di esercizio dei diritti degli interessati, Sorgenia ha sostenuto di aver avuto disponibilità dei dati dei segnalanti solo a seguito delle singole segnalazioni o della richiesta di informazioni formulata dall’Autorità. Ritiene pertanto immotivate e insussistenti le contestazioni circa la violazione degli articoli 17 e 21 del Regolamento, non disponendo in origine dei dati dei segnalanti.

La Società ha affermato di aver comunque proceduto a registrare la volontà dei segnalanti, inserendone i dati personali all’interno della propria lista di non contattabilità.

Quanto al mancato riscontro all’esercizio del diritto di accesso (fasc. 139511 e 143671), Sorgenia si è detta consapevole di non aver rispettato le previsioni di cui all’art. 12, par. 3. Richiamando quanto già affermato in sede di riscontro alla richiesta di informazioni formulata dal Garante, la Società ha imputato tale mancato riscontro a “situazioni specifiche” e ha sottolineato il carattere isolato della condotta, a fronte delle numerose richieste pervenute nel periodo di riferimento (più di 800 a detta della Società) tutte gestite correttamente nei tempi previsti dal Regolamento.

2.2 Considerazioni in fatto ed in diritto

Le argomentazioni difensive esposte da Sorgenia non consentono di escludere del tutto la responsabilità della Società in ordine alle violazioni contestate per i seguenti motivi:

1) con riferimento alle contestazioni formulate dal Garante con riguardo ai profili di responsabilizzazione del titolare e del rispetto del principio di privacy by design (artt. 5, par. 2, e 25, par. 1 del Regolamento), così come richiamate all’interno del numero 1) del par. 1.3, le argomentazioni presentate dalla Società non risultano pienamente convincenti e non valgono a superare completamente i rilievi dell’Autorità.

La principale argomentazione addotta dalla Società a difesa della propria posizione, attraverso il richiamo ad una indebita spendita del suo nome, non risulta supportata da elementi concreti idonei ad escludere la responsabilità del titolare e rimane, in quanto tale, una mera ipotesi. Ciò principalmente perché in nessuno dei passaggi argomentativi sviluppati è stata comprovata in maniera solida, convincente e incontrovertibile la pur grave ed impegnativa dichiarazione circa l’attività di competitor volti ad acquisire clienti presentandosi espressamente come Sorgenia.

In assenza dei suddetti elementi e in considerazione delle istanze degli interessati, i quali hanno riferito di contatti indesiderati da parte della Società, ovvero della sua rete di vendita, con dichiarazioni in ordine alle quali rispondono anche sotto il profilo penale ai sensi dell'art. 168 del Codice, deve ricondursi a Sorgenia la titolarità dei trattamenti in esame e, conseguentemente, la responsabilità per le condotte in violazione della protezione dei dati personali.

A tal proposito è necessario ricordare che le disposizioni regolamentari (artt. 5, par. 2, e 25, par. 1 del Regolamento) delineano un preciso quadro di responsabilità generale gravante sul titolare del trattamento, non solo nel senso di imporre a quest’ultimo l’adozione di misure adeguate ed efficaci per assicurare il rispetto della disciplina in materia di protezione dei dati personali ma anche nel senso di esigere che il titolare dimostri, in concreto e con elementi probatori, la conformità di qualsiasi attività di trattamento che abbia effettuato direttamente o che altri abbiano effettuato per suo conto (si veda anche considerando 74, RGPD). È necessario, dunque, fornire evidenza e prova documentata di valutazioni complessive svolte sulle caratteristiche dei trattamenti, sui rischi ad essi connessi e sulla efficacia e adeguatezza delle misure adottate caso per caso. Efficacia ed adeguatezza che debbono essere comprovate attraverso strutturati e sistematici meccanismi di rendicontazione, previsione del rischio e verifica su tutti gli “anelli” – anche quelli intermedi quali, ad esempio, agenzie o sub-agenzie - della catena del trattamento, dal titolare fino all’interessato.

Invero la scelta aziendale di promuovere, a partire dal 2016 la propria attività nel settore “Residenziale” esclusivamente attraverso il canale digitale e attraverso la modalità definita “pull” o “non-push” – basata, a quanto è dato capire, sull’interesse che il potenziale utente dimostra nei confronti della Società e non viceversa – pare rivelare un approccio sensibile alla intangibilità della sfera di riservatezza degli individui, evitando, in origine, di creare occasioni di disturbo a danno degli interessati, nonché indicare una certa attenzione nei confronti dei principi di liceità, correttezza e trasparenza, da un lato, e di minimizzazione dei dati, dall’altro.  

In tale contesto, è innegabile che deponga a favore della Società la richiamata ed asserita circostanza per cui il cento per cento dei contratti nel ramo “residenziale” sia stato stipulato tramite canale digital. Ciò, sebbene in maniera sintetica, non solo conferma quanto appena sostenuto circa la peculiare scelta dello strumento promozionale ma dimostra, in effetti, anche una certa volontà e conseguente capacità da parte del titolare del trattamento di verificare la corrispondenza tra l’origine dei dati personali funzionali alla finalità promozionale e l’effettiva finalizzazione del contratto, con conseguente evidente vantaggio economico per la Società.

Tuttavia, l’eliminazione del canale di vendita promozionale telefonica nel settore residenziale e la predilezione per il canale digital non è esente da problematicità in materia di protezione dati.  Il contatto del cliente successivo alla compilazione di un form on-line non dovrebbe avvenire se non a seguito di una effettiva verifica della volontà ad essere contattato Tale verifica andrebbe assicurata tramite una procedura volta ad accertare che l’utente che inserisce i dati all’interno del form sia effettivamente il soggetto interessato a  ricevere il contatto, come, per esempio , potrebbe realizzarsi attraverso un meccanismo di conferma da attuarsi con l’invio di un link sul recapito (indirizzo di posta elettronica o numero di cellulare) indicato dall’interessato in sede di compilazione del form o tramite altra modalità di controllo successivo, generalizzato o a campione, sui contatti recuperati tramite il form on line.

Per quanto riguarda, invece, più ampiamente il settore “Business”, nell’ambito del quale il titolare, dichiaratamente, si avvale ancora di agenzie e teleseller, non solleva Sorgenia dalla responsabilità derivante dalle menzionate disposizioni regolamentari l’aver previsto semplicemente un’attività di “Quality check” che, da quanto emerso nel corso della istruttoria, non contiene riferimenti specifici rispetto alla verifica della liceità dell’originaria acquisizione del dato e/o del primo contatto. L’attività di “Quality check” svolta dalla Società appare, infatti, focalizzata piuttosto sulla sola verifica della regolarità dei profili contrattuali, al fine di ottenere una conferma della volontà del nuovo cliente business ad ottenere la fornitura. Tale circostanza, se conferma l’espressione di una volontà di carattere contrattuale e civilistica, non pare sufficiente a suffragare la liceità e legittimità del trattamento dal punto di vista della disciplina di protezione dati. 

Qualsiasi chiamata di verifica, se relativa ai soli aspetti della volontà a contrarre, non appare di per sé sufficiente a comprovare la liceità dell’origine del dato sin dal primo contatto con i potenziali clienti e rivela, su questo versante, una impostazione meramente formalistica e conservativa basata su una valutazione attinente al solo ambito civilistico del contratto e delle sue caratteristiche, senza che emerga un approccio proattivo a tutela del complesso dei diritti non solo del consumatore ma anche dell'interessato. In altre parole un “quality check” che non contempli anche uno specifico passaggio di vero e proprio “privacy check” non può dirsi una misura idonea ed adeguata ad attuare in modo efficace i principi di protezione dei dati né a garantire il soddisfacimento dei requisiti regolamentari ovvero a tutelare i diritti degli interessati.

Né, può valere come circostanza esimente o attenuante il fatto, pur richiamato dalla Società, per cui, salvo un caso (fasc. 153721), nessuno dei segnalanti pare essere immediatamente riconducibile al settore business. Peraltro in altri tre casi (fasc. 137322, 139794 e 142840) i riferimenti presenti nei moduli di segnalazione al Garante (in particolare gli indirizzi e-mail) o le comunicazioni inviate via posta elettronica (recanti in allegato i moduli di segnalazione) rivelano che molto probabilmente anche queste utenze – al di là della qualificazione comunicata dai segnalanti nei singoli moduli – possano essere riconducibili al settore business, il quale, dunque, è quello che rimane meno controllato e più esposto.

Tali argomentazioni non hanno rilievo dal momento che non è la natura giuridica del soggetto ad essere dirimente né il numero di doglianze ricevuto dall’Autorità di controllo quanto piuttosto la prospettazione fatta dalla Società di un sistema di gestione delle attività promozionali non pienamente conforme alle menzionate disposizioni regolamentari.

Sempre in merito al segmento business, dalla documentazione fornita dalla Società ed esaminata dal Garante, si evince solo un fugace e alquanto sintetico riferimento alle modalità di accesso ai sistemi deputati all’attivazione delle offerte e dei servizi da parte dei partner della Società. Nella memoria, infatti, si legge che. “le numerazioni utilizzate ai fini della realizzazione dei lamentati contatti non sono riferibili ad alcuno dei partner di Sorgenia, i quali sono gli unici che, relativamente al cd. segmento business, avrebbero potuto dare seguito all’attivazione della fornitura essendo abilitati ad accedere ai sistemi per l’inserimento di tali richieste” (evidenza aggiunta).

Il principio di accountability, principale novità del quadro regolamentare, impone, come più volte sostenuto dal Garante, una serie di controlli successivi da parte del titolare del trattamento proprio nella fase di caricamento delle proposte contrattuali ovvero dei meccanismi di verifica approntati dal titolare, spiegabili e dimostrabili all’Autorità di controllo, al fine di comprovare il rispetto della normativa e la responsabilità del titolare stesso. In altre parole se l’attività promozionale (genericamente e comunemente indicata come rientrante nel settore del cd. “contact”) è apparentemente diversa e scissa da quella di data entry, a ben guardare questi due distinti momenti sono legati tra loro da una successione non solo temporale ma anche teleologica.

Il fenomeno del telemarketing “selvaggio”, infatti, non si alimenta solo attraverso il ricorso a liste con numerazioni prive di consenso, partner commerciali scorretti o oscuramento delle numerazioni chiamanti; esso trae linfa vitale e presupposto giustificativo dall’assenza di controlli sulla liceità dell’acquisizione del dato nel momento della formalizzazione del vincolo contrattuale così come dalla mancanza di procedure standardizzate e rigorosamente predefinite in grado di tutelare i dati personali dei potenziali clienti nel momento della formulazione della proposta contrattuale, sia essa veicolata attraverso un’unica piattaforma plurimandataria o più piattaforme monomandatarie.

In virtù del principio di responsabilizzazione e di quello di privacy by design, il titolare del trattamento dovrebbe approntare delle misure idonee a garantire, in qualsiasi momento e, a maggior ragione, su richiesta dell’Autorità di controllo, la tracciabilità di tutte le operazioni svolte su tali piattaforme. A titolo meramente esemplificativo tali misure potrebbero essere individuate in  procedure di autenticazione che: a) impediscano l’accesso alla piattaforma per il caricamento delle proposte contrattuali con le medesime credenziali da più postazioni; b) impediscano l’accesso effettuato da indirizzi IP diversi o attraverso modalità di autenticazione non conformi a quelle autorizzate per ciascun call center/teleseller o agenzia all’atto dell’attribuzione delle credenziali ovvero di designazione a responsabile del trattamento; c) attribuiscano credenziali di autenticazione individuali per ciascun operatore autorizzato a svolgere le operazioni di inserimento; d) consentano l’identificazione dell’operatore autorizzato anche in caso di contatto telefonico con il servizio di assistenza.

Solo misure di questo tipo, unitamente alla possibilità di identificare con univoca chiarezza il soggetto o l’agenzia che ha raccolto l’adesione dell’utente alla proposta contrattuale, rappresentano valide misure volte a comprovare il rispetto delle disposizioni regolamentari da parte del titolare nello svolgimento della sua attività economica. 

Il Regolamento impone, dunque, una visione più complessiva e unitaria, piuttosto che formalista e parziale, del percorso che seguono i dati personali dei potenziali clienti a partire dal primo contatto sino a giungere alla sottoscrizione della vera e propria proposta contrattuale.

Nel caso del settore business di Sorgenia, emerge proprio l’assenza di un concreto collegamento fra le informazioni relative alle attività promozionali che vengono poste in essere, con qualunque modalità e in ogni forma, in base ai differenti canali di vendita, da Sorgenia e la piattaforma deputata alla validazione e alla registrazione dei contratti, cosicché le due differenti fasi (quella promozionale e quella contrattuale) rimangono sostanzialmente separate e ciò rende possibile, da parte di agenti, anche eventualmente non appartenenti alla reste di vendita diretta ed ufficiale – che intendano veicolare le proposte contrattuali a vantaggio della Società – inserire le stesse anche in caso di contatto promozionale illecito o comunque indesiderato. Si tratta del cd, fenomeno dei procacciatori non ufficiali, più volte richiamato dal Garante (Provvedimenti nei confronti di Vodafone Italia S.p.A. doc. web n. 9485681, Fastweb S.p.A. doc. web n. 9570997).

Infine, nonostante la scelta societaria di focalizzarsi, quanto al settore residenziale, solo sulla modalità di acquisizione telematica dei clienti, Sorgenia non ha fornito evidenza di aver valutato il rischio né di aver approntato tutte le opportune misure volte ad evitare che le Agenzie e i partner attivi nel settore business non abbiano alcun genere di coinvolgimento con le operazioni di caricamento delle proposte contrattuali riferibili al settore residenziale. Misure e accorgimenti di questo tipo scongiurerebbero qualsiasi tipo di contaminazione nella gestione delle attività promozionali nel settore residenziale e in quello business.

2) In relazione alle contestazioni delle violazioni di cui al n. 2 del par. 1.3 in materia di esercizio dei diritti degli interessati, Sorgenia ha sostenuto di aver avuto disponibilità dei dati dei segnalanti solo a seguito delle singole segnalazioni o della richiesta di informazioni formulata dall’Autorità. La Società ha affermato di aver comunque proceduto a registrare la volontà dei segnalanti, inserendone i dati personali all’interno della propria lista di non contattabilità. Con riguardo limitatamente ai profili connessi agli artt. 17 e 21, il Garante prende atto delle spiegazioni fornite da Sorgenia in fase difensiva e ritiene che gli elementi raccolti siano pertinenti e idonei a sollevare la Società da responsabilità circa un mancato rispetto del disposto di tali articoli.

Quanto al mancato riscontro all’esercizio del diritto di accesso (fasc. 139511 e 143671), Sorgenia si è detta consapevole di non aver rispettato le previsioni di cui all’art. 12, par. 3. Richiamando quanto già affermato in sede di riscontro alla richiesta di informazioni formulata dal Garante, la Società ha genericamente imputato i mancati riscontri a “situazioni specifiche” e a “circostanze eccezionali, senza, tuttavia, fornire alcun elemento circoscritto e di dettaglio volto a spiegare e giustificare tali circostanze. Né può essere valutata come circostanza esimente quanto la Società sottolinea ovvero il carattere isolato della condotta, a fronte delle numerose richieste pervenute nel periodo di riferimento (più di 800), tutte gestite correttamente nei tempi previsti dal Regolamento, stando a quanto riportato. 

3. CONCLUSIONI

Per quanto sopra esposto, mentre può ritenersi superata la contestazione delle violazioni degli artt. 17 e 21 (numero 2 del par. 2.2.), si ritiene accertata la responsabilità di Sorgenia in ordine alle seguenti violazioni:

1) artt. 5, par. 2, e 25, par. 1 del Regolamento, per le motivazioni descritte al numero 1 del precedente paragrafo 2.2;

2) art. 12, par. 3 del Regolamento, per le motivazioni descritte al numero 2 del precedente paragrafo 2.2;
Pertanto, tutto quanto considerato e accertata l’illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, si rende necessario:

a) rivolgere nei confronti di Sorgenia S.p.a. un avvertimento, ai sensi dell’art. 58, par. 2, lett. a), al fine di evitare che le Agenzie e i partner attivi nel settore “business” abbiano alcun genere di coinvolgimento con le operazioni di caricamento delle proposte contrattuali riferibili al settore residenziale;

b) ingiungere a Sorgenia S.p.a., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adottare, nella fase di raccolta dei dati dei potenziali utenti nel settore residenziale (modalità cd. “no-push”), misure idonee ad ottenere l’effettiva verifica della volontà ad essere contattati; tale verifica andrebbe assicurata tramite una procedura volta ad accertare che l’utente che inserisce i dati all’interno del form sia effettivamente il soggetto interessato a ricevere offerte commerciali; in attuazione del principio di responsabilizzazione, il titolare potrà individuare queste o altre misure idonee a raggiungere la finalità di autenticazione;

c) ingiungere a Sorgenia S.p.a., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adeguare ogni trattamento svolto dalla propria rete di vendita nel segmento “business” a modalità e misure idonee a prevedere e comprovare che l’attivazione di offerte e servizi e la successiva registrazione di contratti avvenga, come evidenziato nel precedente par. 2.2, n. 1) solo a seguito di contatti promozionali che, qualora siano stati operati mediante il mezzo telefonico, siano stati effettuati dalla suddetta rete di vendita attraverso numerazioni telefoniche censite e iscritte al ROC – Registro degli Operatori di Comunicazione e nel rispetto delle disposizioni di cui all’art. 130 del Codice;

d) ingiungere a Sorgenia S.p.a., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adottare, con riferimento al settore business, misure tecnico-organizzative idonee ed univoche a stabilire chiari e costanti meccanismi di controllo circa le modalità di utilizzo e accesso alla piattaforma informatica deputata all’attivazione dei contratti e messa nella disponibilità delle agenzie e di blocco o sospensione delle proposte contrattuali frutto di contatti promozionali illeciti;

e) ingiungere a Sorgenia S.p.a., ai sensi dell’art. 58, par. 2, lett. d), di implementare tutte le ulteriori misure tecniche ed organizzative necessarie alla gestione delle istanze di esercizio dei diritti degli interessati che consentano di dare tempestivo e completo riscontro agli interessati;

f) richiedere a Sorgenia S.p.a. di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato, ai sensi dell’art. 157 del Codice, entro il termine di giorni 40 dalla notifica del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

g) adottare un’ordinanza-ingiunzione per l’applicazione di una sanzione amministrativa pecuniaria ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981.

4. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Sorgenia S.p.a. della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3, 4 e 5, del Regolamento pagamento di una somma fino a € 20.000.000, ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore).

Per la determinazione del massimo edittale della sanzione pecuniaria, occorre pertanto fare riferimento al fatturato di Sorgenia S.p.A. rilevabile dall’ultimo bilancio ordinario d’esercizio pubblicato nel sistema informativo delle Camere di commercio, in accordo con i precedenti provvedimenti adottati dall’Autorità, e quindi si determina tale massimo edittale, nel caso in argomento, in euro 135.391.320.

Ai fini della determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento;

Nel caso in esame, assumono rilevanza:

1) la gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento) – con riferimento alle contestazioni di cui ai numeri 1 e 2, in ragione della pervasività dei contatti illeciti effettuati in nome del titolare (lesivi di vari diritti fondamentali e, in particolare, oltre al diritto alla protezione dei dati personali, il diritto alla riservatezza e il diritto alla tranquillità individuale), del livello di danno effettivamente subito dagli interessati, che sono stati esposti a chiamate di disturbo, in alcuni casi ripetute, e delle crescenti difficoltà che gli stessi incontrano per arginare il fenomeno;

2) quale fattore aggravante, la durata delle violazioni (art. 83, par. 2, lett. a) del Regolamento), in ragione del carattere ripetuto delle violazioni di cui al numero 1, della durata superiore a sei mesi della violazione di cui al numero 2, se si considera che le segnalazioni riferiscono di istanze su esercizio dei diritti avanzate nel 2019 e mai evase, quantomeno fino al 2021 a seguito delle richieste del Garante;

3) quale fattore attenuante il non elevato numero dei soggetti coinvolti (art. 83, par. 2, lett. a) del Regolamento) che nel caso di specie si riferisce principalmente ai 9 interessati che hanno rivolto le proprie doglianze;

4) quale fattore attenuante, il carattere meramente colposo delle condotte (art. 83, par. 2, lett. b) del Regolamento);

5) quale fattore attenuante, l’adozione di misure, prospettate nella memoria e in sede di audizione, volte a mitigare le conseguenze delle violazioni (art. 83, par. 2, lett. c) del Regolamento), con riferimento, in particolare: a) iniziative informative volte a sensibilizzare i propri clienti circa il fenomeno del telemarketing selvaggio tramite una sezione appositamente dedicata del sito web, ove è rinvenibile anche un form di segnalazione; b) l’applicazione di misure di sicurezza e tecnico-organizzative a tutela del database dei suoi clienti residenziali, ivi compreso un servizio di monitoraggio della rete informatica; c) preliminarmente e in origine, scelte aziendali che, così come prospettate dalla Società nelle proprie memorie difensive e in sede di audizione oltre che supportate da specifici elementi probatori, testimoniano un’attenzione al fenomeno del telemarketing selvaggio;

6) quale fattore attenuante, la collaborazione mostrata dalla Società nei confronti del Garante, testimoniata anche in sede di audizione, tramite interventi puntuali e specifici nonché mediante la successiva produzione, a mezzo pec (in data 12 aprile 2021), di ulteriore utile documentazione probatoria (registrazioni, esempi di segnalazioni inerenti telefonate indesiderate inviate via email da utenti alla Società, fac-simile di allegati in bolletta relativi alla campagna informativa e screenshot dell'app Sorgenia che presenta lo spazio informativo dedicato); 

7) quali fattori ulteriori da tenere in considerazione per parametrare la sanzione (art. 83, par. 2, lett. k) del Regolamento), l’ampio margine temporale concesso a tutti i titolari del trattamento al fine di consentire loro un compiuto e coerente adeguamento dei sistemi e delle procedure alla nuova normativa europea, in vigore già dal 25 maggio 2016 e pienamente applicabile dal 25 maggio 2018; la particolare attenzione che il legislatore ha dedicato alla regolamentazione del fenomeno del telemarketing, anche con interventi normativi relativamente recenti  (ad es., legge n. 5/2018) nonché l’ampia attività provvedimentale di riferimento prodotta dal Garante; le considerazioni in ordine al valore economico complessivo della Società.

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società, si ritiene debba applicarsi a Sorgenia S.p.a. la sanzione amministrativa del pagamento di una somma di euro 676.956,00 pari allo 0,5% della sanzione massima edittale.

Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto dei rischi derivanti dai trattamenti presi in esame che incombono sui diritti e le libertà degli interessati;

Ricorrono, infine, i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

a) rivolge nei confronti di Sorgenia S.p.a. un avvertimento, ai sensi dell’art. 58, par. 2, lett. a), al fine di evitare che le Agenzie e i partner attivi nel settore “business” abbiano alcun genere di coinvolgimento con le operazioni di caricamento delle proposte contrattuali riferibili al settore residenziale;

b) ingiunge a Sorgenia S.p.a., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adottare, nella fase di raccolta dei dati dei potenziali utenti nel settore residenziale (modalità cd. “no-push”), misure idonee ad ottenere l’effettiva verifica della volontà ad essere contattati. Tale verifica andrebbe assicurata tramite una procedura volta ad accertare che l’utente che inserisce i dati all’interno del form sia effettivamente il soggetto interessato a ricevere offerte commerciali. In attuazione del principio di responsabilizzazione, il titolare potrà individuare queste o altre misure idonee a raggiungere la finalità di autenticazione;

c) ingiunge a Sorgenia S.p.a., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adeguare ogni trattamento svolto dalla propria rete di vendita nel segmento “business” a modalità e misure idonee a prevedere e comprovare che l’attivazione di offerte e servizi e la successiva registrazione di contratti avvenga, come evidenziato nel precedente par. 2.2, n. 1) solo a seguito di contatti promozionali che, qualora siano stati operati mediante telefono, siano stati effettuati dalla suddetta rete di vendita attraverso numerazioni telefoniche censite e iscritte al ROC – Registro degli Operatori di Comunicazione e nel rispetto delle disposizioni di cui all’art. 130 del Codice;

d) ingiunge a Sorgenia S.p.a., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adottare, con riferimento al settore business, misure tecnico-organizzative idonee ed univoche a stabilire chiari e costanti meccanismi di controllo circa le modalità di utilizzo e accesso alla piattaforma informatica deputata all’attivazione dei contratti e messa nella disponibilità delle agenzie e di blocco o sospensione delle proposte contrattuali frutto di contatti promozionali illeciti;

e) ingiunge a Sorgenia S.p.a., ai sensi dell’art. 58, par. 2, lett. d), di implementare tutte le ulteriori misure tecniche ed organizzative necessarie alla gestione delle istanze di esercizio dei diritti degli interessati che consentano di dare tempestivo e completo riscontro agli interessati;

f) richiede a Sorgenia S.p.a. di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato, ai sensi dell’art. 157 del Codice, entro il termine di giorni 40 dalla notifica del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

ORDINA

a Sorgenia S.p.a., in persona del legale rappresentante pro-tempore, con sede legale in Milano, via Alessandro Algardi n. 4, C.F. 07756640012, di pagare la somma di euro 676.956,00 (seicentosettantaseimilanovecentocinquantasei/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 676.956,00 (seicentosettantaseimilanovecentocinquantasei/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

L’applicazione della sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la sede il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 14 aprile 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL VICE SEGRETARIO GENERALE
Filippi