Provvedimento dell'11 aprile 2024 [10008076]
Provvedimento dell'11 aprile 2024 [10008076]
Condividi
VEDI ANCHE Newsletter del 21 maggio 2024
[doc. web n. 10008076]
Provvedimento dell'11 aprile 2024
*Il provvedimento è stato impugnato. Il giudizio di impugnazione avverso il presente provvedimento si è concluso con sentenza favorevole immediatamente esecutiva n. 3745/2025 emessa e pubblicata in data 08/05/2025 dal Tribunale di Milano, Prima Sezione Civile nel procedimento iscritto al n. di R.G. 18762/2025.
Registro dei provvedimenti
n. 205 dell'11 aprile 2024
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;
RELATORE il dott. Agostino Ghiglia;
1. L’ATTIVITÀ ISTRUTTORIA SVOLTA
1.1. Premessa
Con comunicazione prot. n. 167943 del 19 dicembre 2023 (notificata in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente riprodotta, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Facile.Energy S.r.l. (di seguito “Facile.Energy” o “la Società”), in persona del legale rappresentante pro-tempore, con sede legale in Milano (MI), Via Uberto Visconti di Modrone n. 34, P.IVA 05175670289.
Il procedimento trae origine da una istruttoria avviata dall’Autorità, a seguito di 56 segnalazioni e di 2 reclami nei confronti della Società, in ordine alla ricezione di chiamate promozionali indesiderate effettuate senza la previa acquisizione del consenso dell’interessato oppure utilizzando numerazioni iscritte al Registro Pubblico delle Opposizioni (di seguito, “RPO”), che hanno dato origine all’attivazione non richiesta di forniture energetiche.
1.2. Lo svolgimento dell’istruttoria e le richieste di informazioni formulate dall’Autorità
1.2.1. La richiesta di informazioni ex art. 157 del Codice
Con nota del 31 marzo 2023 l’Autorità ha inviato a Facile.Energy una richiesta di informazioni cumulativa, formulata ai sensi dell’art. 157 del Codice (iscritta al protocollo con n. 55173/23), utile alla valutazione delle 56 segnalazioni e dei 2 reclami pervenuti all’Autorità nel periodo compreso fra gennaio 2022 e marzo 2023, inerenti, in massima parte, la materia del telemarketing. Con la medesima nota è stato richiesto alla Società di «fornire un elenco delle proposte di acquisto provenienti dalla propria rete di vendita che hanno determinato l'attivazione di servizi energetici nel periodo dal 6 marzo 2023 al 13 marzo 2023 compresi, suddivise fra “residenziali” e “business”».
Con istanza prot. 63947/23 del 18 aprile 2023 la Società ha dapprima chiesto la proroga del termine concesso ai fini del riscontro e poi con nota prot. 66331 del 21 aprile 2023, ha fornito l’elenco delle proposte di acquisto richieste, segnalando che «i recapiti telefonici dei clienti sono reperiti da parte dei teleseller tramite la consultazione di liste da questi reperite sotto propria personale responsabilità».
Con istanza del 26 aprile 2023 (prot. 68168), poi sollecitata in data 9 maggio 2023 (prot. 74272), Facile.Energy ha chiesto anche la proroga del termine concesso al fine di fornire le osservazioni e la documentazione utile alla disamina dei reclami e delle segnalazioni pervenuti all’Autorità. Facendo seguito alla richiamata istanza e preso atto delle motivazioni addotte, l’Ufficio ha concesso la proroga richiesta (cfr. nota prot. n. 75630/23 del 11 maggio 2023).
Così, con nota trasmessa in data 18 maggio 2023 (prot. n. 79936/23) la Società ha preliminarmente ribadito che «i nominativi ed i dati dei potenziali clienti sono reperiti da parte dei fornitori del servizio di teleselling i quali, pertanto, hanno l’onere e l’obbligo di contattare solo soggetti non iscritti al registro delle opposizioni e solo mediante numeri di telefono iscritti al ROC» ed ha evidenziato la lettera dell’art. 2, paragrafo 4, del contratto di appalto tipo stipulato con i teleseller nella parte in cui prevede che «2.4 L’Appaltatore provvederà a reperire a propria cura, responsabilità e spese le liste dei potenziali clienti da chiamare, provvedendo, laddove necessario secondo la normativa vigente, direttamente o tramite terzi autorizzati, alla registrazione presso il Registro pubblico dei contraenti che si oppongono all’utilizzo dei propri dati personali e del proprio numero telefonico per vendite o promozioni commerciali, ai sensi dell’articolo 1, comma 15, della legge 11 gennaio 2018, n. 5. (di seguito “Registro”) ex DPR 27 gennaio 2022, n. 26 a comunicare allo stesso Registro le liste dei nominativi/numeri di telefono che intende contattare per l’attività di teleselling oggetto del presente Contratto e a recuperare dal suddetto Registro le liste “pulite” dai nominativi iscritti al Registro delle Opposizioni. Allo stesso modo sarà a carico dell’Appaltatore e/o terzi autorizzati la conservazione, modifica, aggiornamento o integrazione costante delle liste, garantendo e manlevando in ogni caso il Committente in ordine al rispetto di quanto previsto dalle vigenti disposizioni in tema privacy».
Nella medesima occasione, con riferimento alle doglianze di cui ai fascicoli nn. 224989 - 182209 - 182891 - 183776 – 183137, Facile.Energy ha chiarito che «ove richiesto dall’istante, il Vocal Order è stato fornito e laddove domandata la cancellazione dei dati o manifestata l’opposizione al trattamento, la scrivente ha dato seguito alle richieste di cancellazione o di opposizione al trattamento in congruità con quanto domandato e nel rispetto della normativa».
In relazione alle circostanze rappresentate mediante le segnalazioni nn. 177320 – 184725 – 182272 -182775- 183715, la Società ha osservato che le stesse «non recano traccia di istanze o doglianze inerenti al trattamento dei dati».
Infine, con riferimento al fasc. n. 217004, Facile.Energy ha rilevato che «pur non avendo tale protocollo e la relativa richiesta di chiarimenti attinenza alcuna con il trattamento dei dati personali, si precisa che le fatture richieste furono, nuovamente, inviate allo studio legale del richiedente ed il reclamo definito».
1.2.2. La verifica presso il Registro Pubblico delle Opposizioni
Al fine di effettuare i necessari controlli in ordine alla correttezza delle suddette attività di telemarketing, il 14 luglio 2023 (protocollo n. 108700) l’Ufficio ha inviato alla Fondazione Ugo Bordoni, che gestisce il Registro Pubblico delle Opposizioni, il citato elenco di numerazioni telefoniche oggetto del menzionato riscontro da parte di Facile.Energy. In tale ottica, sono state richieste informazioni, ai sensi dell’art. 157 del Codice, per ciascuna numerazione, circa l’eventuale iscrizione al Registro Pubblico delle Opposizioni (RPO) non successiva alla data del 31 gennaio 2023.
In data 21 luglio 2023 la Fondazione ha inviato il proprio riscontro (protocollo n. 111770/23), dall’analisi del quale sono risultate iscritte al Registro Pubblico delle Opposizioni, al tempo delle chiamate promozionali effettuate dalla Società, n. 106 utenze telefoniche, pari al 6 % del numero totale dei contatti telefonici dai quali sono stati stipulati contratti, effettuati nel periodo di riferimento (n. 1768).
1.2.3. Supplemento dell’istruttoria
Nelle more dell’istruttoria, sono pervenute alla scrivente Autorità ulteriori segnalazioni nei confronti della Società di analogo tenore e relative alla medesima fattispecie (chiamate indesiderate e attivazioni non richieste: fasc. nn. 322107 – 324778 - 322765).
Nonostante le doglianze di cui ai fascicoli nn. 322107 e 324778 fossero indirizzate anche a Facile.Energy, non risulta agli atti che la Società abbia fornito alcun riscontro.
Diversamente, nell’ambito dei chiarimenti forniti direttamente all’interessato in relazione alla segnalazione n. 322765, la Facile.Energy ha rilevato che i dati dei clienti sono trasmessi dall'appaltatore, tenuto a garantirne la bontà e la trasparenza e che «Il conferimento di tali dati e la garanzia rilasciata dal procacciatore/agente/appaltatore circa la corretta provenienza dei dati, costituiscono la base giuridica del trattamento operato da Facile.Energy».
1.3. Contestazione delle violazioni
L’Ufficio, all’esito dell’istruttoria, ha adottato la richiamata comunicazione di avvio del procedimento ai sensi dell’art. 166, comma 5 del Codice (prot. n. 167943 del 19 dicembre 2023), nella quale ha rilevato preliminarmente la violazione del principio di accountability e delle norme in materia di sicurezza del trattamento, anche in relazione alla mancata adozione di presidi idonei a prevenire e contrastare il fenomeno del telemarketing selvaggio.
Dalla documentazione prodotta dalla Società, è emerso inoltre un sostanziale disinteresse da parte del titolare del trattamento in ordine all’origine dei dati e delle liste di contattabilità.
La contestazione verteva anche sulla erronea individuazione dei ruoli soggettivi e sul conseguente inadempimento degli obblighi di vigilanza e controllo gravanti sul titolare del trattamento, nonché sulla carenza di misure di sicurezza in relazione alla intera filiera commerciale e gestionale che originandosi dal “contatto”, consente di giungere al “contratto”, nonostante la società fosse già a conoscenza del fenomeno.
Nella fattispecie la gravità delle condotte oggetto di contestazione era resa ancora più manifesta dalle circostanze rappresentate mediante le doglianze pervenute all’Ufficio. In numerosi casi, infatti, i soggetti interessati hanno lamentato di aver subito pregiudizi di natura patrimoniale e non patrimoniale proprio in ragione dell’illegittimo trattamento dei propri dati personali, dal quale era scaturita l’attivazione non richiesta di forniture energetiche.
In aggiunta, anche l’aver contattato 106 numerazioni telefoniche nell’ambito delle attività di telemarketing svolte nel periodo febbraio-marzo 2023, pari a poco più che il 6% del numero totale dei contatti telefonici dai quali sono scaturite attivazioni di forniture, in costanza dell’iscrizione delle medesime utenze all’RPO - e quindi del meccanismo di opt-out determinato dalla vigente normativa, è parso confermare la fondatezza delle circostanze rilevate nelle numerose segnalazioni e reclami pervenuti all’Autorità.
L’Autorità rilevava, infine, che dalla documentazione in atti e dalle motivazioni addotte dalla Società emergevano significativi dubbi in ordine alla assimilazione del nuovo quadro regolamentare da parte del titolare del trattamento.
L’Ufficio, pertanto, contestava a Facile.Energy la possibile violazione degli artt. artt. 5, par. 1, lett. a) e lett. f), 5, par. 2, 6, par. 1, lett. a), 24 par. 1, 25, 28 e 32 del Regolamento, nonché dell’art. 130, commi 3 e 3 bis, del Codice, per aver effettuato trattamenti di dati personali di utenti e contraenti del settore energetico in contrasto con i principi di liceità e responsabilizzazione, in assenza di un’idonea base giuridica e mettendo in atto misure tecniche e organizzative inidonee a garantire, fin dalla progettazione, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento.
2. LA DIFESA DEL TITOLARE
Con istanza datata 2 gennaio 2024 (prot. n. 556), la Società ha richiesto l’accesso a tutti gli atti e documenti contenuti nel fascicolo. Con nota trasmessa in data 11 gennaio 2024 (prot. n. 3817) l’Ufficio ha accolto tale istanza evidenziando che tutta la documentazione relativa all’istruttoria era già nella piena disponibilità della Società, fatta eccezione per la richiesta di informazioni ex art. 157 del Codice inviata alla FUB in relazione all’elenco di numerazioni telefoniche oggetto del riscontro da parte della stessa Facile Energy e di cui comunque erano state già condivise le risultanze, sotto forma di allegato alla comunicazione di avvio del procedimento.
Successivamente, con note trasmesse in data 18 gennaio 2024 (cfr. prot. nn. 6831 e 6952) Facile.Energy ha chiesto la proroga del termine di cui all’art. 166, comma 6, del Codice nonché di essere sentita dall’Autorità, entrambe le istanze hanno trovato accoglimento con conseguente proroga del termine per la trasmissione delle memorie difensive e convocazione per l’audizione fissata al successivo 13 febbraio 2024.
Con memoria difensiva trasmessa in data 2 febbraio 2024 (protocollo n. 13893) la Società ha preliminarmente rappresentato che «il professionista ha implementato e sta ulteriormente implementando una serie di misure tecnico gestionali anche alla luce delle linee guida estrapolabili dal provvedimento di codesto Garante dell’11 dicembre 2019, doc. web n. 9244358».
La Società ha poi eccepito l’infondatezza dell’addebito riguardante i contestati pregiudizi patrimoniali e non patrimoniali subiti dai soggetti interessati evidenziando che in base al disposto della delibera ARERA n. 302/2016, è possibile effettuare uno switch anche in pendenza di fatture non saldate, senza che il precedente fornitore abbia modo di opporsi e che ai sensi all’art. 66 sexies del Codice del Consumo in caso di pratiche commerciali scorrette, il fornitore è tenuto a rinunciare ad ogni pretesa economica nei confronti del consumatore.
In relazione alle 106 utenze telefoniche contattate nell’arco della cd. “settimana campione” in costanza dell’iscrizione al RPO, la Società ha rilevato che «Tale addebito è errato e fuorviante. A mero titolo di esempio, una ricerca effettuata presso la fondazione U. Bordoni le seguenti utenze che codesto Garante segnala essere state contattate quando le stesse avrebbero registrato la loro opposizione, risultavano liberamente contattabili tra febbraio e marzo 2023 in quanto i titolari si iscrissero successivamente al mese di marzo 2023 al registro delle opposizioni>>.
Con specifico riferimento alla scelta dei partner commerciali, Facile.Energy ha dichiarato che i teleseller sono nominati responsabili del trattamento e sono «contrattualmente tenuti a raccogliere il consenso del potenziale cliente contattato al fine di ottenere una base giuridica del trattamento» e che «in sede di stipula, viene verificato che i fornitori del servizio abbiano un adeguato assetto organizzativo anche in materia GDPR mediante compilazione di questionari (allegato B) e interviste ai legali rappresentanti ed al personale operativo degli stessi teleseller. Inoltre, la società Facile.Energy effettua ispezioni randomizzate onde verificare il rispetto delle disposizioni contrattuali, di legge e del GDPR. Di tali ispezioni, in corso, ci si riserva di produrre copia dei verbali. A far data dal 2023 sono contrattualizzati in qualità di fornitori del servizio di teleselling solo società di capitali con struttura patrimoniale solida, oggetto di monitoraggio».
La Società ha poi fornito maggiori informazioni in relazione alle procedure prodromiche alla attivazione delle singole forniture, evidenziando che «Le operazioni di stipula sono condotte solo tramite OTP in modo da poter identificare univocamente il cliente, dopo averne raccolto il consenso al trattamento dei dati. A tutela del cliente, lo stesso è identificato tramite recapito cellulare e IP internet poi riportati sul contratto (allegato B) unitamente ai dati del soggetto che ha materialmente operato il contatto, nominato responsabile del trattamento dei dati da Facile.Energy. Le procedure aziendali prevedono lo scarto automatico dei contratti che riportino IP o recapito cellulare ripetuti più di due volte, ciò a tutela del consumatore. (allegato C) Tutta la corrispondenza verso i clienti finali è canalizzata tramite XX e tracciata».
Infine, Facile.Energy ha rappresentando che dal mese di ottobre 2023, prima di procedere all’attivazione della fornitura, la Società provvede a controllare la residenza di ogni singolo potenziale cliente tramite un’applicazione XX - Anagrafica/Residenza e che in caso di anomalie la procedura di attivazione non viene proseguita.
Successivamente, in accoglimento dell’istanza trasmessa dalla Società, l’audizione di cui all’art. 166, comma 6 del Codice, è stata rinviata alla data del 27 febbraio 2024.
In occasione della richiamata audizione, Facile.Energy ha preliminarmente evidenziato l’impegno profuso dalla Società per adeguarsi al Codice di condotta telemarketing e che a tal fine ha deciso di investire nell’implementazione di un nuovo CRM per la gestione dei dati e della documentazione aziendale.
La Società ha rappresentato, altresì, che i teleseller sono selezionati esclusivamente tra società di capitali e tramite una procedura standardizzata, previa somministrazione di un questionario di autovalutazione.
In relazione ai controlli effettuati sull’operato dei teleseller, la Società ha dichiarato di effettuare verifiche a campione (10%-15%) sui contratti perfezionati con i clienti, al fine di accertare la liceità del trattamento: nel caso in cui i teleseller non forniscano le evidenze di una corretta base giuridica gli stessi possono essere estromessi dalla rete di vendita di Facile.Energy e il contratto viene comunque scartato.
La Società ha poi dichiarato di avere modificato da circa due mesi le prassi aziendali con la previsione di un doppio riscontro presso il Registro delle opposizioni.
Più in particolare, la prima verifica si articola a sua volta in due fasi e viene svolta direttamente dal teleseller, nei due giorni antecedenti il contatto. Successivamente, nell’arco di tempo intercorrente tra il contatto e l’attivazione del servizio, i numeri vengono nuovamente verificati presso la FUB, pertanto se medio tempore il soggetto interessato si è iscritto al RPO, il contratto viene scartato.
Con riferimento a tali misure, Facile.Energy ha chiarito che sono state adottate per ridurre i reclami e che sono necessarie in virtù delle previsioni contenute all’interno del codice del consumo, nella parte in cui prevedono che in caso di attivazione non richiesta, il consumatore finale non sia tenuto a pagare la fornitura (cfr. pag. 2 verbale audizione «In pratica Facile.Energy conferisce alla revoca del consenso espressa presso il Registro delle opposizioni in prossimità della sottoscrizione di un contratto energetico valore non dissimile al diritto di ripensamento, nell’ottica della massima tutela della volontà dell’interessato»).
La Società ha poi evidenziato che anche al momento della registrazione del contratto presso il Sistema Informativo Integrato viene effettuata un’ulteriore verifica presso la FUB e che in caso di iscrizione della numerazione al RPO, la procedura viene bloccata, atteso che «Tale controllo consente di saggiare la permanenza del consenso del soggetto interessato, tuttavia deve essere tenuto in considerazione che l’agenzia matura la sua provvigione a prescindere dalla prosecuzione o meno della procedura di attivazione» (cfr. pag. 2 verbale audizione).
Facile.Energy ha poi rilevato che al fine di arginare le criticità relative alla raccolta dei dati e alla sottoscrizione del contratto, ha deciso di procedere alla stipula dei contratti esclusivamente mediante sottoscrizione digitale, previo invio di una one time password (OTP). Allo stato, dunque, la stipula tramite vocal order è stata totalmente dismessa e viene registrata, previa acquisizione del consenso, l’indicazione da parte dell’utente del numero di cellulare presso il quale inviare l’OTP.
La Società ha dichiarato, inoltre, di provvedere all’invio della documentazione contrattuale sia direttamente sul cellulare del cliente tramite apposito link, sia alla residenza mediante tracciamento della spedizione fino all’esito del recapito.
Con riferimento ai ruoli soggettivi, Facile.Energy ha rappresentato di conferire ai teleseller la nomina a responsabile del trattamento e di avvalersi soltanto di soggetti che abbiano provveduto alla nomina del DPO.
In ordine alla data retention, la Società ha evidenziato che in caso di esercizio del diritto di cancellazione, l’istanza viene evasa, salvo il caso in cui sia necessario conservare i dati ai fini contabili e amministrativi. L’unico caso in cui, dopo la segregazione del dato è possibile ri-accedervi è quello in cui sia il cliente a ricontattare la società. La società non effettua profilazione, né cede i dati a terzi.
In aggiunta, la Società ha rilevato che le agenzie accedono ai sistemi aziendali mediante username e password personale, aggiornate periodicamente. Nella fattispecie, ogni agenzia ha un singolo accesso (cd. sala) e indica gli operatori che vi accedono. Questi ultimi provvedono al caricamento dei dati del cliente e della registrazione della chiamata di primo contatto relativa alla comunicazione della numerazione telefonica di contatto per inviare l’OTP. Il sistema provvede, poi, automaticamente a filtrare i contratti e, in caso di anomalie (es. doppio contratto, vpn sospetta, ecc.), l’agente riceve la notizia di scarto e può ricontattare il cliente per risolvere la problematica.
Infine, Facile.Energy si è riservata di produrre entro la data del 13 marzo una memoria riepilogativa, nonché la nomina a responsabile del trattamento, la check list di prequalifica dei responsabili e i verbali di audit richiamati negli scritti difensivi.
Da ultimo, con note autorizzate trasmesse in data 13 marzo 2024, la Società ha dichiarato di aver adottato una configurazione dei propri sistemi tali da “scartare” i contratti stipulati mediante sistemi che non consentono di accertare l’identità del soggetto stipulante (p.e. VPN che celino l’esatto IP del soggetto sottoscrittore ad esempio), le stipule molteplici con il medesimo recapito (ad oggi possono essere stipulati al massimo due contratti con una sola numerazione telefonica) e le sottoscrizioni effettuate mediante operatori telefonici virtuali o sim di non tracciabile reperimento ( es. XX etc).
Con la medesima nota, la Società ha evidenziato che «effettua controlli periodici a campione presso i teleseller circa la natura del consenso prestato dai soggetti contrattualizzati ed in alcuni casi non contrattualizzati in quanto oggetto di scarto in quanto non conformi alle linee guida (allegato 10) Inoltre la società effettua audit periodici presso le singole strutture, senza preavviso, verbalizzando le risultanze dell’ispezione (allegato 11). Particolare attenzione viene posta nella verifica dell’origine delle liste con i dati dei consumatori da contattare, utilizzate dai teleseller. Facile.Energy non si limita a verificare che le liste siano acquistate da fornitori italiani responsabili della creazione, gestione e filtro delle stesse ma chiede, altresì, la consegna di copia del contratto di acquisto con gli allegati onde consentire i necessari controlli circa la provenienza dei dati e la loro corretta raccolta e gestione (allegato 12)».
Infine, la Società ha rappresentato la volontà di organizzare in collaborazione con l’associazione XX incontri formativi anche in materia di privacy rivolti sia ai propri dipendenti, sia al personale delle strutture di vendita.
3. VALUTAZIONI DELL’AUTORITÀ
Gli elementi e i documenti complessivamente acquisiti nel corso dell’istruttoria, restituiscono un preoccupante quadro di non conformità con riferimento alla normativa sulla tutela dei dati personali risalente all’epoca dei fatti oggetto di contestazione e ad oggi non del tutto risolto, reso ancora più grave e manifesto se considerato alla luce del costante orientamento espresso dall’Autorità nell’ambito dei numerosi provvedimenti adottati in materia di telemarketing.
La difesa della Società si è concentrata quasi esclusivamente sull’allegazione e l’analitica descrizione di una serie di misure e processi che - seppur in parte, meritevoli di apprezzamento – sono stati di fatto implementati soltanto nelle more del procedimento e che dunque non fanno venire meno le violazioni oggetto di contestazione.
Invero, l’odierna istruttoria trae la sua origine dalle numerose doglianze pervenute all’Autorità, anche per il tramite di talune Associazioni di consumatori, che in maniera analitica e concordante documentavano un preciso modus operandi riconducibile a Facile.Energy, finalizzato alla pur legittima massimizzazione del profitto, ma in dispregio di qualsivoglia presidio di liceità in materia di protezione dei dati personali.
Delle numerose segnalazioni e reclami emerge una prassi operativa nelle attività di acquisizione della clientela che appare costante e ripetuta: l’utente di regola riceve una telefonata da un operatore che non si qualifica e che appare in possesso di tutti i dati personali dell’interlocutore e delle informazioni inerenti alla fornitura. Realizzata, spesso all’insaputa del cliente, l’attivazione della fornitura, quest’ultimo si rende conto del contratto in essere solo a seguito del recapito di fatture di allarmante entità, quando oramai è troppo tardi per l’esercizio del diritto al ripensamento. In numerosi casi, gli interessati lamentano anche la manipolazione dei vocal order, richiesti per comprovare la corretta attivazione del contratto.
In relazione all’origine dei dati, la Società ha rilevato che «la scrivente Facile.Energy riceve i dati dei potenziali Clienti da parte degli operatori teleselling e, più in generale, da parte della rete commerciale (agenti, procacciatori etc). Tale dato, raccolto ed utilizzato dal teleseller non è quindi reperito da Facile.Energy ma viene dalla stessa ricevuto in forza di un contratto di teleselling (nel caso di specie) o di agenzia o di procacciamento senza possibilità di verificare, a monte, la bontà del dato stesso utilizzato dalla rete vendita che è composto da soggetti giuridicamente distinti rispetto a Facile.Energy». Ma la circostanza che le liste di contattabilità provengano da soggetti terzi, non impedisce alla Società – come in effetti dovrebbe fare – di verificare per es. attraverso idonea e compiuta documentazione, l’origine dei dati e la base giuridica del trattamento.
Sul punto Facile.Energy si è limitata a richiamare gli obblighi gravanti sui teleseller in virtù del contratto di appalto che all’art. 2.4 prevede che «L’Appaltatore provvederà a reperire a propria cura, responsabilità e spese le liste dei potenziali clienti da chiamare, provvedendo, laddove necessario secondo la normativa vigente, direttamente o tramite terzi autorizzati, alla registrazione presso il Registro pubblico dei contraenti che si oppongono all’utilizzo dei propri dati personali e del proprio numero telefonico per vendite o promozioni commerciali, ai sensi dell’articolo 1, comma 15, della legge 11 gennaio 2018, n. 5. (di seguito “Registro”) ex DPR 27 gennaio 2022, n. 26 a comunicare allo stesso Registro le liste dei nominativi/numeri di telefono che intende contattare per l’attività di teleselling oggetto del presente Contratto e a recuperare dal suddetto Registro le liste “pulite” dai nominativi iscritti al Registro delle Opposizioni. Allo stesso modo sarà a carico dell’Appaltatore e/o terzi autorizzati la conservazione, modifica, aggiornamento o integrazione costante delle liste, garantendo e manlevando in ogni caso il Committente in ordine al rispetto di quanto previsto dalle vigenti disposizioni in tema privacy».
Tale clausola già di per sé rivela una confusione di fondo tra la disciplina sul Registro Pubblico delle Opposizioni e quella sul diritto all’opposizione di cui all’art. 21 del Regolamento.
Ai sensi dell’art. 1, comma secondo, della L. n. 5/2018 «Possono iscriversi, a seguito di loro specifica richiesta, anche contemporaneamente per tutte le utenze telefoniche, fisse e mobili, loro intestate, anche per via telematica o telefonica, al registro pubblico delle opposizioni istituito ai sensi del comma 1 dell'articolo 3 del regolamento di cui al decreto del Presidente della Repubblica n. 178 del 2010, tutti gli interessati che vogliano opporsi al trattamento delle proprie numerazioni telefoniche effettuato mediante operatore con l'impiego del telefono». E poi ai sensi del successivo comma 5 «Con l'iscrizione al registro di cui al comma 2 si intendono revocati tutti i consensi precedentemente espressi, con qualsiasi forma o mezzo e a qualsiasi soggetto, che autorizzano il trattamento delle proprie numerazioni telefoniche fisse o mobili effettuato ((...)) per fini di pubblicità o di vendita ovvero per il compimento di ricerche di mercato o di comunicazione commerciale ed è altresì precluso, per le medesime finalità, l'uso delle numerazioni telefoniche cedute a terzi dal titolare del trattamento sulla base dei consensi precedentemente rilasciati».
Diversamente l’art. 21, par. 2, del Regolamento riconosce all’interessato il diritto di opporsi al trattamento dei propri dati personali per finalità di marketing diretto.
In primo luogo ne consegue che mentre l’iscrizione al RPO ha efficacia di revoca del consenso erga omnes, l’esercizio del diritto di opposizione sortisce invece un’efficacia limitata al singolo titolare del trattamento oppure tutt’al più si estende anche nei confronti degli eventuali altri destinatari cui i dati sono stati eventualmente ceduti.
In secondo luogo, dagli istituti in commento scaturiscono obblighi di natura diversa in capo al titolare.
Difatti ai sensi dell’art. 1, comma 12 della L. n. 5/2018 «Gli operatori che utilizzano i sistemi di pubblicità telefonica e di vendita telefonica o che compiono ricerche di mercato o comunicazioni commerciali telefoniche ((con o senza l'intervento di un operatore umano)) hanno l'obbligo di consultare mensilmente, e comunque precedentemente all'inizio di ogni campagna promozionale, il registro pubblico delle opposizioni e di provvedere all'aggiornamento delle proprie liste». Diversamente, in seguito alla ricezione di un’istanza di opposizione, il titolare è tenuto ai sensi dell’art. 12 del Regolamento ad agevolarne l’esercizio, a dare seguito all’istanza senza ingiustificato ritardo e comunque entro un mese dal ricevimento. In nessun caso, dunque, grava sul titolare o sul responsabile l’obbligo di provvedere alla formazione e all’aggiornamento delle utenze iscritte nel RPO, trattandosi di una prerogativa riservata soltanto all’interessato.
La richiamata clausola contrattuale, inoltre, non può valere a manlevare il titolare del trattamento dagli obblighi e dalle responsabilità sancite dalla normativa vigente in materia di protezione dei dati personali. Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, Facile.Energy, in qualità di titolare del trattamento e in virtù del principio di accountability, ai sensi dell’art. 24 del Regolamento è tenuta a porre in essere misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente alla normativa vigente in materia di protezione dei dati personali.
Peraltro, quale logico precipitato del richiamato principio di accountability, l’art. 28 del Regolamento impone da un lato che qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorra unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato (cd. culpa in eligendo). Dall’altro lato, la norma in parola pone in capo al titolare anche una serie di obblighi di vigilanza e controllo sull’operato del responsabile del trattamento (cd. culpa in vigilando).
Nella fattispecie, l’inadempimento dei predetti obblighi da parte di Facile.Energy emerge chiaramente non solo dalle circostanze analiticamente riportate nelle numerose doglianze pervenute al Garante, ma risulta altresì confermata dalla stessa difesa della Società, che pretende di essere esonerata dagli obblighi in materia di data protection soltanto in virtù di una clausola di manleva e della circostanza che il reperimento delle liste di contattabilità fosse asseritamente rimesso ai teleseller.
La tesi illustrata non può trovare accoglimento, giacché pare ripudiare proprio i principi cardine dell’attuale assetto normativo, improntato su un sistema di esatta definizione di ruoli e responsabilità, nonché di valori imprescindibili cui le attività di trattamento devono necessariamente conformarsi. Il riferimento è senz’altro al disposto degli artt. 24, 25 e 28 del Regolamento, nonché ai principi di liceità, correttezza, sicurezza e trasparenza sanciti dall’art. 5 del Regolamento.
La Società, inoltre, era perfettamente a conoscenza e dunque nelle condizioni di arginare il fenomeno, atteso che nel dicembre 2022 era già stata destinataria di un provvedimento sanzionatorio da parte dell’AGCM proprio in relazione ad attivazioni non richieste e che la quasi totalità delle segnalazioni e dei reclami pervenuti al Garante sono stati trasmessi anche a Facile.Energy direttamente dagli stessi interessati.
La condotta posta in essere dalla Società deve poi essere senz’altro valutata anche alla luce delle circostanze addotte proprio dai segnalanti e dai reclamanti, che valgono non solo a confermare la fondatezza dei rimproveri sollevati, ma anche a denotarne la rilevante gravità.
Nella quasi totalità delle doglianze, infatti, gli interessati rappresentano di aver subito una serie di pregiudizi sia economici, che di natura non patrimoniale strettamente correlati all’illecito trattamento dei loro dati personali effettuato nell’ambito delle attività di telemarketing e alle conseguenti attivazioni non richieste. Sotto il primo profilo gli istanti lamentano la perdita di tariffe più vantaggiose applicate dal precedente gestore e la ricezione di fatture di ammontare sproporzionato. In alcuni casi (fasc.li nn. 177320 – 184725 – 182272 -182775) gli interessati – pur disconoscendo il contratto con la Società e avendo tempestivamente esercitato il diritto di ripensamento – avrebbero parzialmente o interamente pagato le fatture emesse a loro carico e, in un caso, l’interessato ne avrebbe ricevute delle altre alle quali sono seguite le diffide al pagamento da parte di Facile Energy. In un altro caso ancora (fasc. n. 183715), la segnalante ha dichiarato di aver finanche subito una sospensione dell’erogazione dell’energia elettrica, per il mancato pagamento alle fatture addebitatele da Facile.Energy. Con riguardo, infine, al fascicolo n. 217004, l’interessato ha lamentato la pretesa di pagamento di fatture rimaste insolute senza tuttavia averle mai in precedenza ricevute. In relazione al secondo profilo, in numerosi casi i segnalanti e i reclamanti rappresentano l’ansia e la preoccupazione di non sapere chi e come sia venuto in possesso dei propri dati e cosa intenda farne, nonché la frustrazione di pagare somme non dovute oppure affrontare la minaccia del possibile distacco di una fornitura notoriamente essenziale.
Sul punto Facile.Energy osserva «Tale addebito è smentito dalla delibera ARERA 302/2016 la quale prevede che un operatore possa fornire un punto semplicemente operando uno switch in senza che il precedente fornitore abbia modo di opporsi. Nessun danno esistenziale e - tantomeno - nessun danno patrimoniale può essere arrecato al consumatore il quale, correttamente, è tutelato dalla normativa vigente e dal codice del consumo, in particolare laddove subisce una pratica commercialmente scorretta: in tal caso, infatti, il codice citato all’articolo 66 sexies prevede che il fornitore sia obbligato a rinunciare ad ogni pretesa economica nei confronti del consumatore il quale, pertanto, risulterà in ogni caso ampiamente ristorato di eventuali danni subiti». Tale rilievo non può essere condiviso, atteso che le richiamate difficoltà in ordine al cambio gestore possono sorgere nel caso, ad esempio, di fatture rimaste insolute perché mai recapitate o oggetto di contestazione tra le parti per attivazione non richiesta (circostanze rilevate nelle doglianze confluite nella presente istruttoria). Inoltre. la tutela di cui all’art. 66 sexies del codice del consumo non è affatto automatica e non può prescindere né dalla prova dell’avvenuta attivazione di una fornitura non richiesta, né dalla declaratoria da parte dell’Autorità competente.
Parimenti, anche le risultanze emerse dalla verifica condotta presso la FUB in relazione alla lista di contatti telefonici effettuati nell’arco della cd. settimana campione, che hanno generato la stipula di altrettanti contratti a favore della società, valgono a comprovare l’attribuzione in capo alla stessa del persistente svolgimento di attività di telemarketing e teleselling in aperto contrasto con gli obblighi sanciti dalla normativa vigente.
L’avere contattato 106 numerazioni telefoniche nell’ambito delle attività di telemarketing (dato limitato, si ribadisce, alle sole chiamate dalle quali ha tratto origine l’attivazione di un servizio, non esteso quindi ai ben più numerosi contatti non andati a buon fine) svolte nel periodo febbraio-marzo, in costanza dell’iscrizione delle medesime utenze all’RPO - e quindi del meccanismo di opt-out determinato dalla vigente normativa - comporta la violazione dell’art. 130, commi 3 e 3-bis, del Codice, riguardante le comunicazioni elettroniche, nonché, più in generale, degli artt. 5, par. 1, lett. a) e 6, par. 1, lett. a) del Regolamento, con riguardo al principio di liceità e alla necessità della base giuridica del consenso per legittimare il trattamento dei dati in questione per fini promozionali.
Sul punto la Società si è limitata laconicamente ad osservare che «Tale addebito è errato e fuorviante. A mero titolo di esempio, una ricerca effettuata presso la fondazione U. Bordoni le seguenti utenze che codesto Garante segnala essere state contattate quando le stesse avrebbero registrato la loro opposizione, risultavano liberamente contattabili tra febbraio e marzo 2023 in quanto i titolari si iscrissero successivamente al mese di marzo 2023 al registro delle opposizioni» e a riportare un elenco di sole 16 numerazioni che sarebbero state registrate al RPO successivamente al mese di marzo 2023. Facile.Energy ribadisce poi che «I singoli teleseller sono nominati responsabili del trattamento (allegato A), sono contrattualmente tenuti a raccogliere il consenso del potenziale cliente contattato al fine di ottenere una base giuridica del trattamento».
L’eccezione è del tutto priva di fondamento e pertanto non può trovare accoglimento. Al riguardo, vale la pena preliminarmente rammentare che le risultanze emerse dalla verifica presso la FUB, provengono dall’Istituzione deputata alla regolare tenuta del Registro e che pertanto se la Società avesse voluto confutarne il contenuto, avrebbe dovuto procedere all’analitica rendicontazione degli eventuali errori riscontrati, evidenziando l’asserita correttezza dell’operato dei teleseller sia sotto il profilo dell’acquisizione del consenso per il trattamento avente finalità promo-pubblicitarie, sia sotto il profilo del puntuale utilizzo di liste di contatto debitamente riscontrate presso la predetta Fondazione.
Il rilievo, poi, non è condivisibile nemmeno in punto di merito. L’Ufficio ha chiesto alla FUB di indicare «per ciascuna numerazione, circa l’eventuale iscrizione al Registro Pubblico delle Opposizioni non successiva alla data del 31 gennaio 2023, ovvero l’indicazione delle iscrizioni automatiche, che al 31 gennaio riguardano le numerazioni travasate dal vecchio al nuovo RPO il 27 luglio e che gli utenti non hanno rinnovato, per le quali i consensi non sono stati annullati». Tale circostanza, peraltro, è ben nota alla Società che ha chiesto e ottenuto l’accesso a tutti gli atti istruttori del procedimento.
Il richiamato elenco di (16 su 106) numerazioni appare essere invece una lista di rinnovi di iscrizione al RPO effettuati in data successiva al marzo 2023 e pertanto non vale affatto a sconfessare la fondatezza degli addebiti nei confronti della Società, ma semmai a evidenziare che i contraenti di cui al predetto elenco hanno confermato la propria intenzione di opporsi a qualunque trattamento dei propri dati personali per finalità di marketing. Ma se anche ipoteticamente si volesse accogliere l’eccezione in parola, risulterebbe che la Società di fatto nell’arco della cd. settimana campione ha effettuato almeno 90 contatti telefonici (limitatamente alla porzione di essi che hanno poi determinato l’attivazione di una fornitura) in assenza di un’idonea base giuridica.
Peraltro, anche il riferimento alla necessaria acquisizione del consenso, induce a ritenere che le attività di telemarketing e teleselling della Società vengano effettuate nell’erronea interpretazione e applicazione del dettato normativo, anche in relazione alle disposizioni di cui agli artt. 129 e 130 del codice sui dati presenti all’interno dei pubblici registri.
I rilievi fin qui emersi, dunque, restituiscono un quadro di non completa efficacia dei controlli e delle misure di sicurezza sull’intera filiera che dal “contatto”, consente di giungere al “contratto”.
La predisposizione di controlli, come risulta agli atti, di carattere solo formale ed ex ante sulle agenzie partner denota, infatti, un recepimento solo formalistico dei principi regolamentari ed espone la società al rischio concreto di inefficacia delle misure previste, come in effetti è avvenuto.
Ne deriva un giudizio di complessiva carenza con riferimento al rispetto dei principi posti a tutela della responsabilità e della responsabilizzazione del titolare del trattamento, nonché delle norme specifiche in materia di sicurezza del trattamento (cfr. artt. 5, par. 1 lett. f), 5 par. 2, 24, par. 1, 25, par. 1 e 32 del Regolamento).
Tali tipologie di controllo sono previste anche dall’art. 16 del Codice di condotta per le attività di telemarketing e teleselling (consultabile sul sito www.garanteprivacy.it doc-web n. 9868813 - Provv. GPDP n. 70 del 9 marzo 2023 – in GU n.73 del 27-3-2024), che a prescindere dall’adesione, presenta un’indubbia valenza in termini di best practies, nella parte in cui prevede che «1. I titolari del trattamento adottano procedure organizzative e/o tecniche finalizzate a comprovare che i dati dell’interessato/contraente/utente siano stati acquisiti nel rispetto dei principi di cui all’art. 5, par. 1, del Regolamento; in particolare, tenuto conto del principio di proporzionalità, mediante misure by default, gli stessi implementano nei sistemi apposite procedure che individuino le campagne promozionali, le liste di contatto e gli operatori coinvolti in ogni contratto concluso a distanza e siano in grado di comprovare la correttezza delle informazioni di cui sopra. Tali procedure impediscono la registrazione di contratti dei quali le predette informazioni non siano rinvenibili (…). 2. Gli aderenti al presente Codice di condotta assicurano che tutta la filiera tratti i dati esclusivamente sulla base di un idoneo consenso al trattamento per finalità di telemarketing e teleselling che sia chiaramente distinto dalla manifestazione della volontà negoziale. (..) 6. Il committente sviluppa i propri processi affinché i contratti stipulati a seguito di attività di teleselling avvengano in presenza di un inequivocabile consenso al contatto originario, salvi i casi ricadenti nell’ambito di applicazione dell’art. 130, comma 3-bis del Codice. In sede di prima applicazione del presente Codice di condotta e ad esclusiva tutela dell’interessato, nel caso a seguito dei controlli emergano contratti per i quali risulti viziato il primo contatto, detti contratti possono continuare ad avere esecuzione purché il committente informi l’interessato dell’origine viziata del contratto e che lo stesso interessato confermi la volontà di volerlo mantenere, fatti salvi i casi residuali in cui il cliente non dia seguito a comprovati tentativi di contatto del committente (..)».
Anche sotto tale profilo, le valutazioni sulla condotta posta in essere dalla Società non possono prescindere dalle necessarie considerazioni in ordine alle dimensioni del fenomeno e alle sue conseguenti ricadute economiche. Se si provasse a moltiplicare i 106 contatti telefonici illeciti effettuati nell’arco della cd. settimana campione per le complessive settimane di operatività annuale dei teleseller, si potrebbe giungere alla conclusione che con ogni probabilità la Società ha stipulato oltre 5.000 contratti all’anno a seguito di contatti telefonici realizzati in assenza di un’idonea base giuridica e di conseguenza ha introitato le utilità derivanti da altrettanti contratti che non avrebbero mai dovuto essere stati stipulati. Si ribadisce ancora una volta, peraltro, che i richiamati 106 contatti telefonici effettuati nella cd. settimana campione sono solo quelli andati a buon fine (vale a dire che hanno condotto all’attivazione della fornitura), di guisa che i contatti illeciti effettivamente realizzati nell’arco della settimana campione, sono stati verosimilmente molto più numerosi.
Ai fini delle determinazioni del procedimento, devono senz’altro essere tenute in debita considerazione anche il grado di cooperazione con l’Autorità e le azioni rimediali poste in essere dalla Società in pendenza dell’istruttoria preliminare.
Dalla disamina degli scritti difensivi e dalla documentazione in atti, emerge che Facile.Energy, in pendenza del procedimento, ha avviato una radicale riorganizzazione delle attività di telemarketing e teleselling improntata a un maggiore adeguamento alla normativa in materia di protezione dei dati personali (p.e. nuova configurazione del CRM, controllo a campione dei contratti, audit e questionari per i responsabili del trattamento, verifiche presso la FUB, esclusione delle società di persone dai partner commerciali, stipula dei contratti mediante OTP e tracciamento del recapito del plico contrattuale in forma cartacea, corsi di formazione in materia di privacy per dipendenti e teleseller).
Sebbene meritevoli di pregio, le iniziative elencate non sono del tutto idonee a garantire un sufficiente livello di adeguamento alla normativa vigente e paiono confermare anche sotto tale profilo, la non completa assimilazione o comunque l’erronea interpretazione della stessa.
In relazione alle liste di contattabilità, non pare emergere che la Società abbia implementato una procedura atta a saggiare la sussistenza di un’idonea base giuridica del trattamento, essendosi limitata a strutturare un sistema di verifica circoscritto esclusivamente alla provenienza dei dati (cfr. «i teleseller agiscono su liste di origine certa, preferibilmente formata dai medesimi. Facile.Energy verifica che la lista non sia acquistata da un fornitore straniero o da un terzo, escludendo quindi l’ipotesi di un doppio passaggio di titolarità»).
Con specifico riferimento alle verifiche effettuate presso la FUB, le prassi di recente implementazione descritte nel corso dell’istruttoria, rivelano da un lato l’erronea interpretazione degli artt. 129 e 130 de Codice, dall’altro che la Società non opera una corretta distinzione tra il conferimento del consenso al trattamento dei dati ai fini marketing e il consenso prodromico alla stipula del contratto.
Facile.Energy sul punto ha chiarito che «La Società inoltre provvede ad effettuare un doppio riscontro presso il Registro delle opposizioni. Il primo viene svolto direttamente dal teleseller, nei due giorni antecedenti il contatto. Prima dell’attivazione del servizio i numeri vengono verificati nuovamente presso la FUB, perciò se medio tempore la persona si è iscritta al FUB, il contratto viene scartato (…). Una seconda verifica presso la FUB avviene automaticamente al caricamento del contratto da parte del teleseller. Successivamente viene effettuata una terza verifica presso la FUB al momento della registrazione del contratto presso il SII».
Le modalità di verifica appena descritte appaiono inconferenti e, ictu oculi, eccedenti, atteso che la normativa vigente impone che tutte le numerazioni debbano essere sottoposte ad una preventiva verifica presso la FUB, al fine di impedire il realizzarsi di contatti illeciti, e che l’iscrizione della propria numerazione al RPO intervenuta in un momento successivo rispetto a un contatto lecito, ma prima dell’attivazione della fornitura, non può valere a inficiare né la bontà del contatto a monte, né la liceità del contratto a valle.
Difatti una volta instaurata la relazione di clientela con la stipula del contratto e limitatamente a quel rapporto contrattuale, il trattamento dei dati personali dell’interessato fuoriesce dall’ambito di applicazione degli artt. 129 e 130 – ad accezione dell’ipotesi del cd. soft spam - per rientrare in quello degli artt. 6, 7 e 21 del Regolamento (i.e. basi giuridiche e diritto di opposizione).
Con riferimento agli script trasmessi in allegato alle note autorizzate del 13 marzo 2024 (cfr. all. 3 ter), occorre rilevare che sebbene contengano una sintetica informativa al trattamento dei dati personali non sembrano contemplare la previa acquisizione del consenso alla registrazione, né indicare all’interessato le modalità di consultazione dell’informativa completa.
Ai sensi e per gli effetti dell’art. 83 del Regolamento un rilievo deve essere mosso anche in relazione al contegno e al grado di cooperazione con l’Autorità tenuto dalla Società nel corso del procedimento. Facile.Energy si è mostrata, infatti, particolarmente incurante delle norme sui procedimenti del Garante aventi rilevanza esterna da un lato chiedendo molteplici proroghe, alle quali poi di fatto non sono derivati particolari seguiti istruttori, dall’altro mancando di esercitare il diritto di difesa nei modi e tempi previsti dalla legge. Il riferimento è senz’altro all’art. 166, comma 6 del Codice nella parte in cui prevede che entro 30 gg. dal ricevimento della comunicazione di avvio del procedimento, il contravventore può inviare al Garante scritti difensivi e documenti e può chiedere di essere sentito. In dispregio della norma in commento, invece, la Società ha dapprima prodotto le memorie difensive e alcuni documenti, poi in sede di audizione ha chiesto nuovamente la concessione dell’ennesimo termine per note autorizzate e documenti. Ma la Società ha finito per sfruttare artatamente lo spirito garantista dell’Ufficio, cercando di eludere i termini di legge al fine di introdurre nel procedimento documentazione prodotta ad hoc e in data successiva alla stessa audizione (cfr. all. 11 note autorizzate del 13 marzo 2024 - verbale ispezione datato 11 marzo 2024).
Infine, allo scopo di una corretta modulazione dei provvedimenti correttivi da adottare, devono senz’altro essere tenute in considerazione anche le indicazioni contenute nel cap. 7 delle Guidelines 04/2022 on the calculation of administrative fines under the GDPR (disponibili per la consultazione sul sito www.edpb.europa.eu).
Per le ragioni ampiamente illustrate, deve quindi confermarsi la responsabilità di Facile.Energy in ordine alle violazioni contestate mediante la comunicazione di avvio del procedimento ai sensi dell’art. 166, comma 5, del Codice del 19 dicembre 2023.
4. CONCLUSIONI
Per quanto sopra esposto, ritenuto che nei confronti di Facile.Energy sono pervenuti all’Autorità 2 reclami e 56 segnalazioni relative a contatti indesiderati e conseguenti attivazioni non richieste; ritenuto altresì che anche a seguito di una verifica a campione sono emersi contatti illeciti che hanno interessato, nell’arco di una settimana, 106 soggetti che hanno poi concluso un contratto con la Società, preso atto delle considerazioni difensive, si ritiene accertata la responsabilità di Facile.Energy in ordine alle seguenti violazioni:
a) degli artt. 5, par. 1, lett. a) e lett. f), 5, par. 2, 6, par. 1, lett. a), 24 par. 1, 25, 28 e 32 del Regolamento per la mancata predisposizione di idonee misure di sicurezza tecniche e organizzative e di controlli nei confronti della filiera commerciale e dei partner;
b) dell’art. 130, commi 3 e 3-bis, del Codice per degli artt. 5, par. 1, lett. a) e 6, par. 1, lett. a) del Regolamento per avere contattato 106 numerazioni telefoniche nell’ambito delle attività di telemarketing, in costanza dell’iscrizione delle medesime utenze all’RPO - e quindi del meccanismo di opt-out - determinato dalla vigente normativa.
Accertata, altresì, l’illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, si rende necessario:
- imporre a Facile.Energy, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore trattamento dei dati dei segnalanti e dei reclamanti;
- ingiungere a Facile.Energy, ai sensi dell’art. 58, par. 2, lett. d) ed e) del Regolamento, di comunicare ai 106 interessati, i cui dati anagrafici sono confluiti nei sistemi della Società a seguito di contatti illeciti, gli esiti dell’odierno procedimento in base ad un testo da concordare con l’Autorità in sede di applicazione del presente provvedimento;
- ingiungere a Facile.Energy, ai sensi dell’art. 58, par. 2, lett. d) di predisporre adeguati controlli presso la propria rete di vendita e adeguate implementazioni dei sistemi, al fine di escludere che da contatti illeciti operati da soggetti esterni ad essa possano conseguire attivazioni di servizi energetici;
- adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Facile.Energy della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento.
5. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA
Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Facile.Energy della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento (pagamento di una somma fino a € 20.000.000,00 ovvero, per le imprese con oltre 500.000.000 di euro di fatturato, fino al 4% del fatturato mondiale annuo dell’esercizio precedente).
Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.
Nel caso in esame, assumono rilevanza:
1) la gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento), tenuto conto dell’oggetto e delle finalità dei dati trattati, riconducibili al fenomeno complessivo del telemarketing, in ordine al quale l’Autorità ha adottato, in particolare negli ultimi tre anni, numerosi provvedimenti che hanno compiutamente preso in esame i molteplici elementi di criticità fornendo ai titolari numerose indicazioni per adeguare i trattamenti alla normativa vigente e per attenuare l’impatto delle chiamate di disturbo nei confronti degli interessati;
2) quale fattore attenuante, (art. 83, par. 2, lett. e) del Regolamento) la circostanza che Facile.Energy non risulta essere stata destinataria di provvedimenti correttivi e/o sanzionatori da parte del Garante;
3) quale fattore parzialmente attenuante (art. 83, par. 2, lett. f) del Regolamento) le azioni rimediali adottate nel corso del procedimento, tenuto conto della circostanza che sebbene si riveli meritevole di apprezzamento lo sforzo profuso dal titolare nel corso del procedimento in ordine all’adeguamento dell’assetto aziendale alla disciplina in materia di protezione dei dati, per le ragioni illustrate nella parte motiva le azioni intraprese non sono ancora sufficienti a garantire un adeguato livello di tutela e appaiono in parte contrarie ai principi e allo spirito informatore della vigente normativa;
4) quale fattore aggravante (art. 83, par. 2, lett. k) del Regolamento) la non piena collaborazione fornita dal titolare nel corso del procedimento.
In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative e funzionali della Società, si ritiene debba applicarsi a Facile.Energy la sanzione amministrativa del pagamento di una somma di euro 100.000,00 pari allo 0,5% della sanzione massima edittale, conformemente con i pertinenti precedenti.
Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della natura dei trattamenti, nonché degli elementi di rischio per i diritti e le libertà degli interessati.
Ricorrono, infine, i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
TUTTO CIO’ PREMESSO IL GARANTE
a) impone a Facile.Energy, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore trattamento dei dati dei segnalanti e dei reclamanti;
b) ingiunge a Facile.Energy, ai sensi dell’art. 58, par. 2, lett. d) ed e) del Regolamento, di comunicare ai 106 interessati, i cui dati anagrafici sono confluiti nei sistemi della Società a seguito di contatti illeciti, gli esiti dell’odierno procedimento in base ad un testo da concordare con l’Autorità in sede di applicazione del presente provvedimento;
c) ingiunge a Facile.Energy, ai sensi dell’art. 58, par. 2, lett. d) di predisporre adeguati controlli presso la propria rete di vendita e adeguate implementazioni dei sistemi, al fine di escludere che da contatti illeciti operati da soggetti esterni ad essa possano conseguire attivazioni di servizi energetici;
d) ingiunge a Facile.Energy, ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel termine di 30 giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;
ORDINA
a Facile.Energy S.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Milano (MI), Via Uberto Visconti di Modrone n. 34, P.IVA 05175670289, di pagare la somma di euro 100.000,00 (centomila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.
INGIUNGE
alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 100.000,00 (centomila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.
DISPONE
L’applicazione della sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dagli artt. 166, comma 7 del Codice e 16 del Regolamento del Garante n. 1/2019, e l’annotazione del medesimo nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso.
Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la sede il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.
Messina, 11 aprile 2024
IL PRESIDENTE
Stanzione
IL RELATORE
Ghiglia
IL SEGRETARIO GENERALE
Mattei
Scheda
10008076
11/04/24