VEDI ANCHE Newsletter del 31 gennaio 2025

[doc. web n. 10097012]

Provvedimento del 27 novembre 2024

Registro dei provvedimenti
n. 736 del 27 novembre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE l’avv. Guido Scorza;

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. Premessa

Con atto del 13 agosto 2024, n. 98907 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente richiamato e riprodotto, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di E.ON Energia S.p.A. (di seguito “E.ON” o “Società” oppure ancora “Titolare”), in persona del legale rappresentante pro-tempore, con sede legale in Milano (MI), Via dell’Unione n. 1, P.IVA 03429130234.

Il procedimento trae origine da un’istruttoria avviata dall’Autorità, a seguito della ricezione di due separati atti di reclamo proposti nei confronti di E.ON. Più in particolare, con reclamo n. 352614 l’interessata lamentava la ricezione di chiamate indesiderate realizzate nell’interesse della Società e il mancato riscontro all’istanza di esercizio dei diritti di cui agli artt. 15 e ss. del Regolamento. Con reclamo n. 367993 l’interessata segnalava la ricezione di numerose chiamate promozionali da parte di E.ON realizzate in concomitanza all’attivazione di due forniture energetiche e che per stessa ammissione della Società, in sede di caricamento dell’accordo sui sistemi aziendali, i consensi conferiti ai sensi della normativa sulla protezione dei dati personali erano stati valorizzati in maniera difforme rispetto a quanto riportato sul contratto.

1.2. Le richieste di informazioni formulate dall’Autorità

1.2.1. La richiesta di informazioni relativa al reclamo n. 352614

Con atto di reclamo del 13 marzo 2024 (cfr. prot. n. 31258), l’istante lamentava il mancato riscontro da parte di E.ON a una richiesta di esercizio dei diritti di cui agli artt. 15 e ss. del Reg. UE n. 2016/679 avanzata in data 22 gennaio 2024. L’istanza faceva seguito alla ricezione di una chiamata promozionale effettuata in nome e per conto della predetta Società, nel corso della quale l’interessata era venuta a conoscenza che E.ON era in possesso dei suoi dati anagrafici e di contatto, ivi compreso l’indirizzo mail istituzionale. Nel corso del colloquio telefonico, l’operatore aveva riferito che il contatto era stato richiesto dalla stessa interessata attraverso l’adesione ad una campagna pubblicitaria realizzata tramite Facebook, tuttavia la medesima evidenziava di non aver mai attivato alcun account sulla predetta piattaforma social.

Esaminato l’atto di reclamo e tutta la documentazione ivi allegata, con nota del 29 marzo 2024 (cfr. Prot. n. 39774), l’Ufficio notificava alla Società una richiesta di informazioni ai sensi dell’art. 157 del Codice, invitando E.ON a voler fornire le proprie osservazioni in ordine a quanto nello stesso rappresentato e a comunicare se intendesse aderire alle richieste della reclamante.

Successivamente, preso atto che per mero errore materiale la comunicazione non era giunta all’indirizzo della Società, con nota del 27 maggio 2024 (cfr. Prot. n. 64326) l’Ufficio reiterava la richiesta.

Così, con riscontro del 14 giugno 2024 (cfr. Prot. n.  73277 del 17 giugno 2024), E.ON rappresentava preliminarmente che «La richiesta di esercizio dei diritti in materia di protezione dei dati personali da parte della Reclamante seguiva ad un contatto telefonico della medesima con il personale E.ON che, già in data 18 gennaio 2024, offriva alla stessa alcune informazioni rispetto alle attività di trattamento di dati personali poste in essere da E.ON: più in particolare, nel corso di tale colloquio telefonico la Reclamante veniva informata telefonicamente del fatto che i suoi dati personali erano stati raccolti a seguito di una campagna Facebook che si concludeva con la possibilità di compilare un form online per manifestare l’interesse verso i prodotti e servizi oggetto della Società e per richiedere un contatto telefonico con il personale E.ON per maggiori informazioni sugli stessi».

Sul punto la Società evidenziava, altresì, che «sulla base di accordi relativi alle condizioni sulle inserzioni per acquistare nuovi clienti sulla piattaforma Facebook, E.ON ha avviato la campagna pubblicitaria “ClimaSmart Climatizzatore” per la promozione dei propri prodotti e servizi. La campagna prevedeva la compilazione facoltativa di un modulo online sulla piattaforma Facebook in cui poter inserire i dati personali (nome, cognome, e-mail e numero di telefono) e esprimere o negare il consenso. I dati personali della Reclamante venivano trasmessi nel CRM aziendale tramite API e quindi trattati dal personale E.ON, con la finalità di ricontattare l’interessato».

Alla luce dei predetti rilievi, ad avviso della Società i dati della reclamante erano stati verosimilmente inseriti nel form in questione da un soggetto terzo e senza l’autorizzazione dell’interessata.

Quanto al mancato riscontro all’istanza di esercizio dei diritti di cui agli artt. 15 e ss. del Regolamento presentata dalla reclamante, E.ON rilevava che tale omissione era stata cagionata da un errore umano commesso dal fornitore XX, di cui la Società si avvale per «la digitalizzazione di alcuni processi, e, in via generale, per la scannerizzazione delle raccomandate che successivamente sono indicizzate e trasmesse alle competenti funzioni aziendali. Nel caso di specie, il flusso di gestione della posta cartacea non ha correttamente operato e ciò ha comportato il mancato caricamento del documento digitalizzato con la richiesta della Reclamante».

Con riferimento alla più generale gestione delle richieste di esercizio dei diritti, la Società evidenziava di avere messo a disposizione degli interessati «una serie di canali dedicati per consentire un agevole esercizio dei diritti privacy, come indicato anche nell’informativa privacy pubblicata sul sito, alla sezione 11 Modalità di esercizio dei diritti (https://www.eon-energia.com/informazioni-utili/informativa-pri-vacy.html)», di avere implementato apposite procedure interne di gestione delle istanze, nonché di provvedere all’organizzazione di  «periodiche sessioni di formazione, in presenza e con piattaforme digitali, sia per i dipendenti sia per la rete commerciale, personalizzando i contenuti e dando sempre ampia importanza alla corretta gestione dei dati personali».

Infine, con la medesima nota del 14 giugno 2024, il titolare forniva riscontro alle richieste di esercizio dei diritti della reclamante. La reclamante non si avvaleva della facoltà di presentare ulteriori osservazioni e/o istanze.   

1.2.2. La richiesta di informazioni relativa al reclamo n. 367993

Con atto di reclamo del 2 maggio 2024 (cfr. Prot. n. 53146), l’interessata rappresentava di avere sottoscritto due contratti per la fornitura dell’energia elettrica e il gas con E.ON Energia nel mese di novembre 2023. La reclamante lamentava che a partire dal 22 novembre 2023, la stessa era stata destinataria di una moltitudine di telefonate indesiderate a scopo promozionale provenienti «dalle più disparate società che intendono offrirle svariati servizi e prodotti». Tenuto conto che le telefonate erano cominciate proprio in concomitanza con l’attivazione delle forniture da parte di E.ON, l’interessata attribuiva tali contatti a un illecito trasferimento a terzi dei propri dati personali realizzato ad opera della Società.

Così, in data 29 febbraio 2024, la reclamante si era rivolta al titolare al fine di ottenere l’evidenza documentale dei consensi conferiti in relazione al trattamento dei propri dati personali.

Dalla documentazione trasmessa dalla reclamante, emergeva che E.ON aveva riscontrato l’istante in data 27 marzo 2024 rappresentando che «in fase di implementazione ai nostri sistemi dei contratti in questione sono stati riportati, per mero errore materiale, i consensi privacy in modo difforme dalle autorizzazioni da Lei rilasciate in fase di stipula». Nella medesima occasione, la Società rassicurava la reclamante rappresentando di avere provveduto a registrare il diniego sui propri sistemi.

Ciononostante, l’interessata aveva continuato a ricevere molteplici contatti promozionali, pertanto in data 7 aprile 2024 si rivolgeva nuovamente al titolare chiedendo di «attivarvi sollecitamente affinché coloro a cui avete fornito i miei dati personali non si permettano più di telefonarmi», ma la Società non forniva alcun riscontro.

Nell’atto di reclamo, l’interessata peraltro rappresentava che la ricezione di numerose telefonate indesiderate stava creando una serie di disagi alla sua vita personale e professionale, anche in virtù della carica pubblica ricoperta in passato (cfr. «(…) confessa di sentirsi molto a disagio ed eticamente combattuta nel decidere se rispondere o meno a questi numeri di cellulare: infatti potrebbero essere di normali Cittadini che vogliono effettivamente confrontarsi con lei. Per questi motivi spesso richiama gli stessi numeri onde accertarsi che non appartengano davvero a loro» e ancora «Voglia tener conto che i fatti in narrativa hanno abbassato in buona misura la qualità di vita dell’esponente, creandole notevole stress fisico e psicologico. Fra l’altro le telefonate giungono anche nei momenti di riposo, come nelle prime ore pomeridiane»).

Così, esaminate tutte le circostanze dedotte e allegate all’atto di reclamo, con nota del 27 maggio 2024 (cfr. Prot. n. 64362), l’Ufficio notificava alla Società una richiesta di informazioni ai sensi dell’art. 157 del Codice, invitando E.ON a voler fornire le proprie osservazioni in ordine a quanto nello stesso rappresentato e a comunicare se intendesse aderire alle richieste della reclamante.

Successivamente, con riscontro del 14 giugno 2024 (cfr. Prot. n. 73269 del 17 giugno 2024), la Società rappresentava che in seguito alla ricezione delle richieste trasmesse dalla reclamante tra fine febbraio 2024 e i primi di aprile 2024 «il Servizio Clienti di E.ON accedeva ai sistemi IT della Società e verificava che, per mero errore materiale, in fase di trascrizione dei dati della Reclamante sul sistema gestionale CRM Salesforce di E.ON, i consensi rilasciati dalla Reclamante erano stati invertiti rispetto a quelli rilasciati in fase di attivazione dei servizi, risultando, quindi, sui sistemi un consenso rilasciato per la cessione dei dati a partner commerciali di E.ON e non quello alla personalizzazione delle offerte fornito in fase di attivazione dei servizi. Il Servizio Clienti procedeva, quindi, immediatamente a correggere e ad aggiornare le preferenze privacy della Reclamante e darne comunicazione alla stessa», ribadendo che i dati personali in questione non erano «stati condivisi con partner o terze parti per le proprie finalità di marketing o di co-marketing».

La Società precisava, altresì, di aver contattato la reclamante in data 8 novembre 2023 al fine di formalizzare i contratti di fornitura dei servizi e di aver tentato un ulteriore contatto (cd. “caring call”) dopo l’emissione delle fatture per i servizi erogati, quando nei sistemi di E.ON risultava ancora valorizzato il «consenso per “l’invio di comunicazioni di iniziative, offerte commerciali, questionari, sondaggi, survey e ricerche di mercato attraverso lettere ordinarie e/o chiamate telefoniche, e-mail, SMS, MMS, notifiche e newsletter».

Quanto ai contatti utili all’esercizio dei diritti, E.ON evidenziava che «(…) l’informativa privacy è reperibile nella sezione “Privacy e Governance” nel footer del Sito (https://www.eon-energia.com/). L’informativa ha una sezione specificamente dedicata alla “Modalità di esercizio dei diritti”, nella quale sono ripotati i diversi canali istituiti per agevolare l’esercizio dei diritti da parte degli interessati (…)».

Con riferimento, infine, alle misure adottate in relazione allo svolgimento di attività di telemarketing nei confronti dei cd. prospect, E.ON dichiarava che «il Database del fornitore a cui si appoggia la Società è filtrato eliminando clienti già presenti nella customer base di E.ON. ogni 15 giorni viene creata una lista “prospect” per ciascun teleseller. Prima dell’invio, tutte le liste vengono incrociate con il pubblico registro delle opposizioni per eliminare dalle liste i clienti che risultano ivi iscritti. In seguito all’esito della verifica, viene inviata la lista dei soggetti contattabili (quindi non presenti nella customer base della Società e non iscritti al registro delle opposizioni) tramite il sistema denominato SafeFileTransferProtocol (sftp), uno dedicato per ciascun partner. Nei successivi 15 giorni avvengono i tentativi di contatto. Scaduti i 15 giorni, le liste vengono nuovamente depositate in sftp per restituirle al fornitore».

Diversamente, rispetto ai clienti già presenti nella customer base, E.ON rilevava che  «periodicamente (solitamente una volta al mese) viene inviata ai teleseller una lista di contatti scelti tra i clienti che avevano fornito il consenso alle attività di marketing. I tentativi di contatto vengono effettuati entro il successivo mese. Terminato il mese, i clienti vengono classificati come non contattabili per un successivo determinato periodo di tempo».

La reclamante, infine, avvalendosi delle facoltà riconosciute dall’ordinamento, con nota del 26 giugno 2024 (cfr. 78686 del 27 giugno 2024) ribadiva l’avvenuta ricezione di numerose chiamate promozionali ed evidenziava che sebbene possedesse la medesima numerazione telefonica da più di vent’anni, prima di allora non era mai successo di ricevere così tante telefonate promozionali.

1.3. La riunione dei procedimenti

Considerato che le doglianze di cui ai fascicoli nn. 352614 e 367993 sono rivolte verso lo stesso titolare e vertono su questioni del medesimo tenore, al fine di promuoverne l’esame organico e attuare i principi di economicità e celerità di cui all’art. 9 del regolamento interno n. 1/2019 (in www.gpdp.it, doc. web n. 9107633), si è resa opportuna la trattazione congiunta dei reclami ai sensi e per gli effetti del successivo art. 10 del medesimo regolamento.

Nel caso di specie, inoltre, la trattazione congiunta appariva maggiormente idonea a garantire il diritto di difesa e l’esigenza di non aggravare il procedimento, ciò anche sotto il profilo del minore dispendio di tempo e risorse che la stessa comporta per il titolare del trattamento.

1.4. Contestazione delle violazioni

L’Ufficio, all’esito dell’istruttoria, adottava il sopra richiamato atto di contestazione n. 98907/24 nel quale, in primo luogo, si osservava che dai riscontri e dalla documentazione complessivamente acquisita, sembrava emergere una carente consapevolezza in capo alla Società in ordine agli obblighi gravanti sul titolare del trattamento per come sanciti dalla normativa vigente in materia di protezione dei dati personali e, più in particolare, dal principio di cd. accountability di cui agli artt. 5, par. 2 e 24 del Regolamento.

La Società, infatti, nell’ambito dei riscontri forniti alle richieste dell’Autorità, si era limitata ad attribuire le condotte oggetto di doglianza a terzi oppure a errori commessi dai propri collaboratori e partner commerciali, come se potessero costituire un esimente da ogni responsabilità, senza assolvere all’onere di allegare e dimostrare di avere adottato tutte le misure prescritte dalla legge per evitare di incorrere in tali violazioni.

Inoltre, dagli elementi emersi nel corso dell’istruttoria sembrava potersi attribuire a E.ON lo svolgimento di attività di telemarketing e teleselling in assenza di un’idonea base giuridica e dunque in violazione degli artt. 5, 6 e 7 del Regolamento e dell’art. 130 del Codice.
Con specifico riferimento alle attività promozionali effettuate mediante i canali social, infatti, emergeva che la Società aveva utilizzato i dati personali della reclamante senza adottare misure adeguate a verificarne la legittima provenienza, né l’identità dei soggetti che ne effettuavano il conferimento.

Ulteriori profili di criticità, poi, erano emersi anche in relazione ai trattamenti dei dati personali dei clienti effettuati per finalità di marketing con particolare riferimento alle procedure di acquisizione e gestione dei consensi rilasciati dai soggetti interessati.

Con riferimento al reclamo n. 367993, E.ON aveva attribuito le condotte oggetto di doglianza a un mero errore umano incorso nella valorizzazione dei consensi. Ma tale affermazione rivelava un duplice ordine di criticità. Da un lato, infatti, tali dichiarazioni denotavano l’omessa implementazione di misure idonee a verificare ed assicurare la corrispondenza tra i consensi conferiti dagli interessati e le informazioni registrate sui sistemi aziendali, determinando così la realizzazione di attività di telemarketing in assenza di un’idonea base giuridica.

Dall’altro, quanto accaduto sembrava presupporre l’inadempimento degli obblighi di cui all’art. 2 – quaterdecies del Codice sull’individuazione, formazione, direzione e monitoraggio dei soggetti interni all’organizzazione del titolare e che svolgono trattamenti di dati personali in nome e per conto della Società.

Per altro verso anche le dichiarazioni fornite sul mancato riscontro all’istanza di esercizio dei diritti di cui al fascicolo n. 352614, attribuito a un errore commesso da un partner commerciale, lasciava intendere la violazione degli obblighi gravanti sul titolare ai sensi dell’art. 28 del Regolamento (cd. culpa in eligendo e culpa in vigilando).

L’Ufficio, pertanto, contestava a E.ON le seguenti ipotesi di violazione:

a) artt. 5, 6, 7 e 24 del Regolamento, nonché dell’art. 130 del Codice, per aver effettuato trattamenti di dati personali in contrasto con i principi di liceità e responsabilizzazione, in assenza di un’idonea base giuridica e mettendo in atto misure tecniche e organizzative non adeguate a garantire, fin dalla progettazione, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento;

b) artt. 24 e 28 del Regolamento, anche in relazione all’art. 2–quaterdecies del Codice, per avere effettuato trattamenti di dati personali avvalendosi di soggetti interni ed esterni all’organizzazione aziendale, in violazione degli obblighi gravanti sul titolare del trattamento in ordine all’individuazione, formazione, direzione e monitoraggio sull’operato dei soggetti designati;

c) artt. 12 e 15-22 del Regolamento per l’omessa implementazione di procedure aziendali e misure idonee ad assicurare l’adeguato e tempestivo riscontro alle richieste di esercizio dei diritti da parte degli interessati.

2. LA DIFESA DEL TITOLARE

La parte non si è avvalsa della facoltà di essere sentita dall’Autorità, ma ha presentato le proprie memorie e la documentazione difensiva ai sensi dell’art. 166, comma 6 del Codice e dell’art. 13 del regolamento interno n. 1/2019 (cfr. Prot. n. 107276 del 12 settembre 2024).

Nella memoria difensiva appena richiamata, in primo luogo con riferimento al reclamo n. 352614, E.ON ha indicato le misure implementate al fine di migliorare il livello di compliance aziendale nella gestione delle campagne digital. Più in particolare, in base al nuovo sistema «a quanti compileranno il form online con la richiesta di essere contattati per ricevere informazioni sul prodotto/servizio E.ON sarà inviata una e-mail con la quale potranno confermare i propri dati e la volontà espressa online». Le numerazioni saranno sottoposte, inoltre, alla verifica presso il RPO prima del contatto e in ogni caso «prima della raccolta dei dati, tramite il form online, sarà rilasciata un’informativa ad hoc rispetto a tale attività di trattamento e al flusso sopra descritto (compilazione form online, invio di e-mail di recap e conferma dati e volontà di contatto, contatto telefonico E.ON), restando sempre valida la facoltà degli interessati di revocare l’interesse manifestato e confermato, secondo la procedura di cui sopra, prima del contatto effettivo di E.ON potendo a tal fine utilizzare i canali di esercizio dei diritti resi disponibili dalla Società».

Con riguardo al reclamo n. 367993 E.ON ha disconosciuto i contatti telefonici oggetto di doglianza, ribadendo di non avere comunicato a terzi i dati della reclamante e precisando tuttavia di avere contattato la medesima «per due finalità: una prima chiamata (andata buon fine) è stata effettuata per formalizzare i contratti, mentre, gli altri tentativi di contatto telefonico sono avvenuti tra inizio gennaio e inizio febbraio per effettuare la c.d. “caring call di prima bolletta”. Infatti, non avendo raggiunto la Cliente al primo tentativo, come previsto da procedura, sono stati effettuati altri tre tentavi, tutti registrati con esito negativo (“no answer” o “failed”, allegato 1) quando, peraltro, la Signora XX non aveva revocato il proprio consenso ad attività di marketing di E.ON validamente espresso (sia nel contratto di energia elettrica che in quello di fornitura del gas – si vedano gli allegati 2 delle note di replica del 14 giugno 2024 alla nota Prot. n. 64362) e correttamente registrato nei sistemi E.ON».

Nella medesima occasione la Società ha, altresì, precisato che «questo tipo di chiamata c.d. di “caring” è volta esclusivamente a ottenere una conferma che i servizi richiesti siano in linea con le aspettative del Cliente, sia dal punto di vista economico che di chiarezza delle informazioni fornite in fase di attivazione e sottoscrizione degli stessi. In caso di esito negativo della chiamata di “caring” il contatto viene registrato come “irreperibile” (…) ed escluso da contatti telefonici successivi».

La Società ha, poi, osservato che la circostanza dichiarata dalla interessata, circa il fatto che le chiamate oggetto di doglianza fossero finalizzate alla commercializzazione di depuratori dell’acqua, non commercializzati dalla Società, valeva a dimostrare che i contatti in questione non erano ascrivibili ad E.ON (cfr. alla mail del 29 aprile 2024 allegata all’atto di reclamo).

Con riguardo, invece, alle comunicazioni trasmesse da E.ON, la Società osservava che in fase di attivazione dei servizi la reclamante aveva rilasciato un valido consenso per il trattamento dei dati personali per finalità di marketing da potersi svolgere attraverso lettere ordinarie e/o chiamate telefoniche, e-mail, SMS, MMS, notifiche e newsletter.

E.ON ha evidenziato, inoltre, che «secondo le misure tecniche e organizzative di E.ON, i dati personali dei clienti E.ON non risultano accessibili a terzi non autorizzati;  non ci sono integrazioni e automatismi che permettono l’accesso “aperto” alla base dati (CRM) verso sistemi esterni alla Società e per la condivisione di anagrafiche con terzi per finalità di marketing; non risultano accessi non autorizzati o illeciti ai sistemi IT di E.ON contenenti dati personali dei propri clienti, inclusi quelli della reclamante».

Sul punto, la Società ha osservato che il fenomeno delle chiamate sospette è da attribuire a soggetti terzi rispetto all’organizzazione aziendale e che agiscono nell’illegalità, evidenziando l’impegno profuso ai fini della lotta al fenomeno e della sensibilizzazione degli utenti.

Con riferimento, invece, alle modalità di caricamento dei contratti sui sistemi aziendali, E.ON ha evidenziato che sebbene i servizi in favore della reclamante siano stati attivati con il flusso di gestione tradizionale e dunque con  il coinvolgimento del personale incaricato dalla Società, attualmente «è in corso un’attività di digitalizzazione dei processi di acquisizione degli utenti mediante l’impiego di tablet e app dedicata, che consentono all’utente di registrare direttamente le proprie volontà sui sistemi IT di E.ON».

Inoltre, al fine di «garantire ed accrescere la qualità della fase acquisitiva delle attività commerciali dei vari canali di vendita si annovera anche l’istituzione dell’Acquisition Quality Committee, che, tra le attività principali, si occupa anche di: (i) monitorare e controllare l’attuazione delle delibere e dei provvedimenti delle autorità competenti in materia di contratti/servizi/attivazioni non richiesti; (ii) controllare e verificare l’efficacia delle procedure operative implementate per soddisfare le suddette delibere e misure adottate dalla Società; (iii) effettuare comunicazioni (quali segnalazioni, diffide, ecc.) a canali, venditori, associazioni di categorie, enti regolatori e di altro interesse con riferimento a tematiche inerenti processi acquisitivi, (iv) cooperare con i vari dipartimenti aziendali affinché vengano implementate le procedure aziendali preposte per il corretto trattamento dei dati personali».

In aggiunta, sempre in relazione alle doglianze di cui al reclamo n. 367993, E.ON ha ribadito che i contatti indesiderati sono ascrivibili alla condotta di soggetti terzi estranei alla compagine aziendale e che non si può escludere che i dati della reclamante siano in possesso di altri titolari del trattamento, dal momento che il ruolo pubblico rivestito in passato dalla stessa «può averla portata a fornire a vari soggetti i propri dati personali negli oltre vent’anni da cui possiede la numerazione».

Infine, la Società ha rappresentato gli sforzi profusi allo scopo di scongiurare il verificarsi di errori umani anche «mediante l’erogazione di corsi di formazione, il conferimento di puntuali incarichi autorizzativi privacy per il personale aziendale, il rilascio di istruzioni specifiche, l’uso di tablet e app». 

Quanto alle misure adottate in attuazione del principio di cd. accountability (responsabilizzazione), la Società ha dichiarato di avere adottato i seguenti accorgimenti: «- un data protection management system (“DPMS”), oggetto di costante aggiornamento, che include, tra gli altri, linee guida e procedure per la gestione delle richieste degli interessati e la gestione di data breach, informative ex artt. 13 e 14 del Regolamento, tool (come l’Assessment of Data Protection Risks per le attività di valutazione dei rischi ai sensi del Regolamento); - la nomina di un DPO per le società italiane E.ON, che affianca e lavora anche in coordinamento con gli ulteriori organismi di presidio individuati (tra i quali il Cyber Security Manager); - l’individuazione di figure interne con compiti e deleghe specifiche in tema privacy, tra i quali vi sono i data privacy coordinator (alcuni manager aziendali che maggiormente si occupano di temi privacy), e i data protection expert che operano in stretto coordinamento con le competenti figure IT e l’Information Security Officer; - procedure, processi e checklist per l’accreditamento di terze parti (es.: checklist di cyber security, procurement process, allegato 5 ); - template di contratti per il trattamento di dati personali per la gestione dei rapporti privacy con i soggetti che si qualificano come responsabili del trattamento che contiene gli elementi ex art. 28 del Regolamento e indicazioni sulle misure tecniche e organizzative garantite dal responsabile (allegato 6); - autorizzazioni con istruzioni in materia di protezione dei dati personali per il personale E.ON in fase di assunzione (allegato 7); - l’adozione di un pacchetto di linee guida (c.d. People Guidelines) che indicano in concreto come agire in varie occasioni, tra le quali ci sono anche linee guida Data Protection (allegato 8) e di Information security (allegato 8bis) che di fatto sono istruzioni per il personale aziendale; - autorizzazioni per quanti rientrano nel ruolo di amministratori di sistema (allegato 9); - procedure di formazione privacy per il personale aziendale; - registri delle attività di trattamento dei dati personali; - verifiche interne sulla corretta applicazione delle procedure e del GDPR nei processi interni».

E.ON ha poi contestato l’infondatezza, la genericità e la carenza di elementi probatori in relazione alla contestata violazione dell’art. 2 -quaterdecies del Codice, ribadendo che la Società organizza periodiche sessioni di formazione, sia in presenza che da remoto, rivolte ai dipendenti e alla rete commerciale. Più in particolare, la Società ha dichiarato che le policy aziendali prevedono che il personale svolga corsi di formazione in materia di privacy «in fase di assunzione (erogati mediante una piattaforma di e-learning) e nel corso del rapporto, (tendenzialmente la seconda formazione avviene dopo il primo trimestre) sono organizzate sessioni formative ad hoc a cura del Dipartimento Legal & Compliance di E.ON Italia S.p.a. (durante le quali si discute dei ruoli privacy, delle basi legali del trattamento, dei requisiti di validità dei consensi, dei principi applicabili alle attività di trattamento, ecc.). Altre formazioni dedicate sono organizzate con incontri ricorrenti su base mensile, con il personale degli uffici e dipartimenti che più di altri svolgono attività di trattamento di dati personali, come quelli che si occupano delle vendite e del customer care, con i quali sono così condivise ulteriori informazioni e istruzioni (ad esempio, circa le informative privacy da utilizzare, i consensi da valorizzare nei sistemi aziendali, la gestione delle richieste degli interessati). Il materiale formativo è poi sempre accessibile nella intranet aziendale ove si possono consultare le policy, procedure, informative, linee guida e gli altri elementi parte del c.d. Data Protection Management System aziendale».

Il personale, inoltre, riceve un’apposita designazione, recante anche le istruzioni in materia di trattamento dei dati personali e le policy aziendali sono sempre accessibili dall’intranet. Ciascun collaboratore, peraltro, riceve un profilo autorizzativo personalizzato sulla base delle mansioni svolte.

In relazione alla contestata violazione dell’art. 28 del Regolamento, E.ON ha osservato di avere adottato le seguenti misure: «procedura di accreditamento dei fornitori; - utilizzo di checklist di cybersecurity anche per le verifiche ex artt. 24, 25, 28 e 32 GDPR sottoposte ai fornitori in fase di ingaggio e nel corso del rapporto; - la verifica dei contratti di servizi con i proprio fornitori anche con focus privacy, dovendo accertare la necessità o meno di concludere un data processing agreement, oltre che di definire correttamente i ruoli privacy tra le parti e adeguate clausole di audit; - l’impiego di un modello di contratto per il trattamento dei dati personali, che contiene istruzioni specifiche anche rispetto alle misure tecnico organizzative che il responsabile del trattamento deve garantire; - training del personale anche sul processo di contrattualizzazione che prevede l’accettazione del DPA, con le annesse misure di sicurezza, prima della contrattualizzazione del partner».

La Società ha, altresì, dichiarato di vigilare sull’operato dei responsabili esterni anche nel corso del rapporto, in via esemplificativa aggiornando gli accordi conclusi ai sensi dell’art. 28 del Regolamento e sottoponendo nuove e/o ulteriori check-list.

Con specifico riferimento al fornitore XX, il titolare ha chiarito che il medesimo è stato valutato positivamente in virtù delle certificazioni e degli accreditamenti posseduti. E.ON non ha ritenuto opportuno adottare azioni sanzionatorie nei confronti di tale Responsabile dal momento che a «seguito di ulteriori verifiche interne dopo l’invio delle note di replica dello scorso 14 giugno, si è accertato che il mancato riscontro alla richiesta della Signora XX deve imputarsi ad un errore materiale del personale E.ON e non del fornitore esterno. Più in particolare si è accertato che la raccomandata di esercizio dei diritti non è stata consegnata all’ufficio Customer Care, addetto alla gestione dei reclami degli interessati, ma ad un diverso dipartimento che non è stato in grado di indicizzare e indirizzare tempestivamente la richiesta in quanto la raccomandata aveva un generico destinatario». A tale proposito la Società ha evidenziato che si è trattato di un caso isolato dovuto a un errore, che non è stato possibile evitare, nonostante l’applicazione di misure tecniche e organizzative da parte della Società.

Parimenti anche il mancato riscontro all’istanza di esercizio dei diritti ai sensi degli artt. 15 e ss. del Regolamento (cfr. reclamo n. 352614) - rispetto al quale la Società ha ribadito che l’interessata aveva ricevuto informazioni e chiarimenti anche nel corso del colloquio telefonico con il Customer Care – in base alla tesi del titolare deve essere ascritto «ad un errore umano nel processo seguito per la gestione della posta cartacea. Tuttavia, diversamente da quanto già riferito nelle note di replica del 14 giugno 2024 si precisa che lo sbaglio è stato commesso dal personale E.ON e non dal fornitore XX». La Società ha precisato sul punto che il caso deve essere valutato alla stregua di un evento eccezionale, che può verificarsi, nonostante la diligenza impiegata e l’adozione dei seguenti presidi di compliance: «l’implementazione di diversi canali per permettere agli interessati l’esercizio agevole dei propri diritti, 2) la designazione di un responsabile della protezione dei dati e l’assegnazione di specifiche mansioni/ruoli privacy al personale E.ON (i c.d. data privacy coordinator); 3) l’individuazione dei soggetti incaricati di gestire le richieste degli interessati (tutti i reclami privacy vengono gestiti da un team dedicato); 3) impartendo istruzioni periodiche e specifiche al proprio personale, mediante le autorizzazioni privacy, corsi di formazione, incontri, linee guida, ecc., 4) la realizzazione di una procedura dedicata alla gestione delle richieste degli interessati, che fa parte del Data Protection Management System di E.ON disponibile al personale aziendale, 5) la realizzazione di una procedura aziendale per la gestione della posta cartacea».

In conclusione, la Società ha poi manifestato anche l’intenzione di «integrare la procedura aziendale di gestione della posta cartacea; - svolgere ulteriori sessioni formative con il personale aziendale per ricordare ancora l’importanza della corretta valorizzazione delle volontà privacy degli interessati e della necessità di seguire le procedure aziendali; - proseguire con il processo di digitalizzazione mediante l’uso di tablet, app e portali dedicati e superare le procedure analogiche nel corso delle quali possono verificarsi errori materiali del personale aziendale».

3. VALUTAZIONI DELL’AUTORITÀ

Va in primo luogo osservato che le allegazioni e la documentazione complessivamente fornite dalla Società nel corso del procedimento dinanzi all’Autorità, non hanno consentito di superare i rilievi sollevati dall’Ufficio, né permettono di ritenere assolto l’onere di dimostrare l’attuazione di adeguate misure di ottemperanza alle disposizioni in materia di protezione dei dati personali, gravante sul titolare del trattamento ai sensi del combinato disposto degli artt. 5, par. 2 e 24 del Regolamento (sul punto cfr. il Considerando n. 74 del Regolamento in base al quale si rileva che «È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest'ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l'efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche»).

Se è pur vero infatti che, in linea con la sua genesi di matrice europea, la disciplina sulla protezione dei dati personali, salvo alcune eccezioni, non impone particolari formalismi, è altrettanto pacifico che il titolare debba farsi carico dell’onere di essere costantemente in grado di dimostrare l’ottemperanza alla vigente normativa.

Sul punto, l’Autorità è consapevole della difficoltà insita nell’assenza di indici formali - per esempio alla stregua di quanto impone il diritto civile nazionale allorquando disciplina gli elementi essenziali di un negozio giuridico o la forma scritta ad substantiam – che di fatto dà origine a un obbligo particolarmente rigoroso in capo al titolare in ordine alla scelta dei modi e tempi di adempimento.

Tuttavia, l’assenza di particolari formalismi, se da un lato genera una maggiore responsabilizzazione del titolare del trattamento, dall’altro ne garantisce un’ampia libertà di azione e facoltà di scelta.

Logico corollario di tale complessa ricostruzione è che non possa ritenersi esistente una formula universale in ordine al corretto adempimento di tale obblighi e oneri e che per l’effetto, debba essere condotta una valutazione case by case, che tenga in considerazione anche il contesto socio-economico, la compagine aziendale, nonché i rischi per i diritti e le libertà degli interessati.
Nel caso di specie, tale premessa appare doverosa in considerazione della circostanza che dalla disamina degli atti difensivi e della documentazione fornita da E.ON, emerge una non completa assimilazione della ratio e della portata di tali obblighi.

Le circostanze agli atti del procedimento, infatti, se da un lato restituiscono il quadro di un’organizzazione aziendale sensibile alla materia, che come si dirà più ampiamente infra ha implementato una serie di misure e che altre è chiamata ancora ad attuarne, dall’altro hanno evidenziato che il titolare ha fornito dichiarazioni in parte poi ritrattate, nonché prodotto modulistica incompleta e non compilata, per la maggior parte priva di riferimenti temporali.

Tale contegno di fatto non vale ad ottemperare all’onere di dimostrare che le misure e le azioni di attuazione della normativa, seppure in parte teoricamente previste, siano poi effettivamente state poste e in essere e sottoposte a periodico controllo e aggiornamento.

Nel merito, poi, con riferimento a entrambi gli atti di reclamo appare pienamente confermata l’avvenuta violazione degli artt. 5, 6, 7 e 24 del Regolamento, nonché dell’art. 130 del Codice, per aver svolto attività di telemarketing in contrasto con i principi di liceità e responsabilizzazione, in assenza di un’idonea base giuridica e mettendo in atto misure tecniche e organizzative non adeguate a garantire, fin dalla progettazione, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento.

Difatti, rispetto alle campagne promozionali cd. digital, il trattamento di dati personali raccolti attraverso form on-line non può essere considerato legittimo, in assenza dell’implementazione di misure idonee a verificare la fonte e l’identità del soggetto che provvede al conferimento delle informazioni. Tale vizio, insito nella originaria raccolta del dato, inevitabilmente presenta ricadute anche sulle successive operazioni di trattamento effettuate sui medesimi dati personali.

Si osserva, peraltro, che in assenza delle predette misure, tali tipologie di form on-line potrebbero essere surrettiziamente sfruttati per effettuare contatti outbound sotto le mentite spoglie di richieste di ricontatto provenienti dall’interessato.

In altri termini, il conferimento di dati personali illecitamente ottenuti o “non consensati” all’interno di form on-line finirebbe per conferire una parvenza di liceità rispetto al trattamento di dati personali e liste di contattabilità di provenienza illecita, realizzando di fatto un inammissibile riciclaggio di dati personali e alimentando l’indotto del sottobosco del telemarketing.

Peraltro, considerato il pervasivo utilizzo di questa tipologia di form e delle piattaforme social, i soggetti interessati raggiunti da contatti promozionali indesiderati realizzati nell’interesse di E.ON, alla stregua di quanto accaduto nel caso dell’odierna reclamante, potrebbero essere stati molto numerosi.

A tale riguardo, pur comprendendo i costi in termini economici e temporali che l’implementazione di tali misure comporta - cui pure la Società ha fatto cenno - si rappresenta che tali accorgimenti non solo costituiscono il frutto del dovuto bilanciamento tra libertà d’impresa e diritto alla riservatezza, ma si rivelano al contempo utili per il titolare, dal momento che consentono di preservare la liceità e l’esattezza del dato, nonché di effettuare campagne di ricontatto soltanto verso utenti effettivamente interessati ai servizi proposti.

Parimenti, anche le circostanze emerse in relazione alle modalità di ricontatto oggetto del reclamo n. 367993 confermano la sussistenza delle violazioni contestate in relazione agli artt. 5, 6, 7 e 24 del Regolamento, nonché dell’art. 130 del Codice, dal momento che hanno rivelato da un lato la gestione poco lineare dei processi di raccolta del consenso al trattamento per finalità di marketing e caricamento della contrattualistica sui sistemi aziendali, dall’altro i rilievi forniti hanno evidenziato una non completa assimilazione della normativa in relazione ai contatti di cd. customer caring.

A tale riguardo E.ON ha specificato che le campagne di cd. customer caring sono finalizzate esclusivamente a ottenere una conferma che i servizi richiesti siano in linea con le aspettative del cliente.  Ma al netto del rilievo che l’insistenza e la frequenza dei contatti fanno presupporre un secondo fine commerciale, anche tali tipologie di contatto, a prescindere dal mezzo utilizzato (telefono, mail, sms), devono essere realizzati preservando il diritto di opposizione dell’interessato e soprattutto essere contenuti entro ragionevoli limiti temporali e di tentativi. In mancanza di siffatti accorgimenti, lo svolgimento di tali campagne di ricontatto si risolve in un’inammissibile invasione della sfera personale del cliente.

Nel caso del reclamo n. 367993, invece, per stessa ammissione della Società, nei confronti dell’interessata sono stati effettuati quattro tentativi di contatto nell’arco di due settimane e poco meno di una ventina di comunicazioni (mail ed sms) nell’arco dei quattro mesi successivi all’attivazione.

I riscontri forniti dalla Società confermano, inoltre, anche l’avvenuta violazione degli obblighi gravanti sul titolare del trattamento con riferimento all’operato dei soggetti che effettuano trattamenti di dati personali per conto di E.ON, per come interpretati anche alla luce del più generale principio di accountability.

A tale riguardo, in primo luogo si osserva che la ritrattazione effettuata nel corso del procedimento - rispetto al soggetto cui imputare l’asserito errore umano che avrebbe cagionato il verificarsi delle violazioni contestate – denota, già di per sé, una non completa padronanza dei flussi aziendali e dei trattamenti effettuati.

Una corretta gestione della filiera del trattamento, infatti, presuppone che il titolare possa efficacemente e agevolmente ricostruire ruoli e responsabilità, tanto più nei casi in cui l’indagine afferisce alla fisiologica e ordinaria gestione di clienti e cd. prospect.

Inoltre, rispetto all’adempimento degli obblighi gravanti sul titolare del trattamento ai sensi dell’art. 28 del Regolamento (cd. culpa in eligendo e culpa in vigilando), sia con riferimento a XX, sia alla più generale prassi di selezione e monitoraggio dei fornitori, dall’istruttoria espletata emerge da un lato l’omissione delle misure atte ad assicurare la selezione di partner che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell'interessato, dall’altro l’omesso controllo e vigilanza sulle attività di trattamento di dati personali svolte da tali soggetti per conto della Società.

Difatti, rispetto al processo di scelta e contrattualizzazione dei fornitori, E.ON si è limitata a fornire un sintetico schema di gestione, privo di data e dei riferimenti societari e un modello di nomina a responsabile del trattamento, il cui ultimo aggiornamento risale a due anni fa. Parimenti, rispetto al monitoraggio sull’operato dei fornitori, la Società ha fatto meramente cenno all’utilizzo di check list.

Tuttavia tali allegazioni e documenti, di fatto, denotano la tendenza all’assolvimento meramente formale di siffatti obblighi, non accompagnato da un processo sufficientemente performante e strutturato, che consenta ex ante di addivenire alla selezione di fornitori che siano in possesso di adeguate competenze in materia di privacy ed ex post di realizzare la vigilanza e il monitoraggio sul loro operato.

Gli accadimenti oggetto di doglianza e i riscontri forniti dalla Società confermano, invece, l’avvenuto inadempimento degli obblighi relativi alla nomina, direzione e formazione dei soggetti operanti all’interno dell’organizzazione del titolare effettuando trattamenti di dati personali.

In base alla tesi prospettata dalla Società, tali episodi andrebbero attribuiti a presunti errori umani, verificatisi nonostante l’implementazione di misure tecniche e organizzative quali la formazione interna in materia di privacy e il conferimento di istruzioni documentate.

Tuttavia l’assenza di qualsivoglia indice documentale atto a comprovare l’effettivo svolgimento di tale formazione, unitamente al conferimento di istruzioni generiche e datate, se valutate nel contesto dell’ammessa errata gestione di entrambi gli episodi oggetto di doglianza, valgono a dimostrare l'avvenuta violazione delle prescrizioni imposte all’art. 2-quaterdecies del Codice, per come interpretate anche in relazione all’art. 5 del Regolamento.

Sul punto, infatti, si osserva che, a prescindere dalla circostanza che il titolare abbia fornito soltanto un modulo di istruzioni privo di elementi atti a comprovarne l’effettivo utilizzo, il documento in questione contiene riferimenti datati (i.e. riferimento ai dati sensibili e alla figura dell’incaricato del trattamento) e soprattutto privi di alcuna personalizzazione e/o distinzione rispetto alle mansioni svolte in concreto, alle categorie di dati trattati e ai rischi specifici per i diritti i le libertà degli interessati.

Per le ragioni appena esposte deve ritenersi integrata anche la violazione degli art. 12 e 15-22 del Regolamento, non potendo sortire alcuna efficacia esimente l’errore umano invocato dalla Società.

Sul punto, non può essere accolta nemmeno l’eccezione avanzata da E.ON in relazione alla circostanza che l’interessata avesse comunque ottenuto un chiarimento telefonico in relazione alle modalità di raccolta dei suoi dati personali. L’istanza della reclamante avanzata ai sensi degli artt. 15 e ss. del Regolamento, infatti, era stata inoltrata in un momento successivo rispetto al chiarimento telefonico fornito dal Customer Care ed era finalizzata a ottenere informazioni più specifiche e articolate.

Ne consegue che il titolare era tenuto a fornire i riscontri richiesti nei modi e nei termini di cui all’art. 12 del Regolamento, non potendo nemmeno applicarsi per le ragioni appena illustrate, l’eccezione relativa alle richieste manifestamente infondate o eccessive.
Peraltro ai sensi dell’art. 15 del regolamento interno n. 1/2019, ai reclami in materia di diritti devono essere allegate le istanze previamente rivolte al titolare e gli eventuali riscontri ottenuti, di guisa che tale incombenza nel caso di specie costituiva un requisito di procedibilità e ammissibilità della doglianza.

In conclusione, deve definitivamente confermarsi la responsabilità di E.ON in ordine a tutte le violazioni contestate.

4. CONCLUSIONI

Per quanto sopra esposto si ritiene accertata la responsabilità di E.ON in ordine alle seguenti violazioni:

- artt. 5, 6, 7 e 24 del Regolamento, nonché dell’art. 130 del Codice, per aver effettuato trattamenti di dati personali in contrasto con i principi di liceità e responsabilizzazione, in assenza di un’idonea base giuridica e mettendo in atto misure tecniche e organizzative non adeguate a garantire, fin dalla progettazione, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento;

- artt. 24 e 28 del Regolamento, anche in relazione all’art. 2–quaterdecies del Codice, per avere effettuato trattamenti di dati personali avvalendosi di soggetti interni ed esterni all’organizzazione aziendale, in violazione degli obblighi gravanti sul titolare del trattamento in ordine all’individuazione, formazione, direzione e monitoraggio sull’operato dei soggetti designati;

- artt. 12 e da 15 a 22 del Regolamento per l’omessa implementazione di procedure aziendali e misure idonee ad assicurare l’adeguato e tempestivo riscontro alle richieste di esercizio dei diritti da parte degli interessati.

Accertata, altresì, l’illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, si rende necessario:

- imporre a E.ON, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore trattamento dei dati personali delle reclamanti;

- ingiungere a E.ON, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento di aggiornare la modulistica utile per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta, ai sensi dell’art. 2-quaterdecies;

- adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di E.ON della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento.

5. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di E.ON della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento (pagamento di una somma fino a € 20.000.000,00 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore).

Per la determinazione del massimo edittale della sanzione pecuniaria, occorre pertanto fare riferimento al fatturato di E.ON, come ricavato dall’ultimo bilancio d’esercizio disponibile (dicembre 2023) in accordo con i precedenti provvedimenti adottati dall’Autorità, e quindi si determina tale massimo edittale, nel caso in argomento, in euro 89.273.777,20.
Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento;

Nel caso in esame, assumono rilevanza:

1) quale fattore aggravante, ai sensi dell’art. 83, par. 2, lett. a) del Regolamento, la gravità delle violazioni, tenuto conto dell’oggetto e delle finalità dei dati trattati, riconducibili al fenomeno complessivo del telemarketing, in ordine al quale l’Autorità ha adottato, in particolare negli ultimi cinque anni, numerosi provvedimenti che hanno compiutamente preso in esame i molteplici elementi di criticità fornendo ai titolari numerose indicazioni per adeguare i trattamenti alla normativa vigente e per attenuare l’impatto delle chiamate di disturbo nei confronti degli interessati;   

2) quale fattore attenuante, ai sensi dell’art. 83, par. 2, lett. a) del Regolamento, il grado di cooperazione con l’Autorità di controllo anche in ragione dell’impegno profuso al fine di migliorare, già nel corso del procedimento, la compliance aziendale in relazione alla normativa in materia sulla protezione dei dati personali.

In base al complesso degli elementi sopra indicati e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative e funzionali della Società, si ritiene debba applicarsi a E.ON la sanzione amministrativa del pagamento di una somma di euro 892.738,00, pari al 0,04% del fatturato e all’1% della sanzione massima edittale.

Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della natura dei trattamenti e delle condotte della Società, nonché degli elementi di rischio per i diritti e le libertà degli interessati.

In attuazione dei principi di cui all’art. 83 del Regolamento, l’irrogazione di tale sanzione accessoria appare ragionevole e proporzionata in relazione alla gravità e al particolare disvalore delle condotte oggetto di censura, soprattutto avuto riguardo alle criticità riscontrate in relazione alla realizzazione delle cd. campagne digital.

Sul punto, si evidenza la peculiare gravità insita nell’utilizzo dei form di ricontatto al fine di conferire una parvenza di legalità ai dati personali acquisiti illecitamente e al contempo riconducibile anche alla vasta platea di soggetti interessati coinvolti, in virtù del dilagante e pervasivo utilizzo delle piattaforme social.

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

a) impone a E.ON, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore trattamento dei dati personali delle reclamanti;

b) ingiungere a E.ON, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento di aggiornare la modulistica utile per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta, ai sensi dell’art. 2-quaterdecies;

c) ingiunge a E.ON, ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel termine di trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento.

ORDINA

a E.ON Energia S.p.A., in persona del legale rappresentante pro-tempore, con sede legale in Milano (MI), Via d4ell’Unione n. 1, P.IVA 03429130234, di pagare la somma di euro 892.738,00 (ottocentonovantaduemilasettecentotrentotto/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 892.738,00 (ottocentonovantaduemilasettecentotrentotto/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

a) la pubblicazione del presente provvedimento, ai sensi degli artt. 154-bis del Codice e 37 del Regolamento n. 1/2019, nonché l’applicazione della sanzione accessoria della pubblicazione sul sito del Garante della presente ordinanza di ingiunzione, come previsto dagli artt. 166, comma 7 del Codice e 16 del Regolamento del Garante n. 1/2019;

b) l’annotazione del presente provvedimento nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 novembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei