- VEDI ANCHE NEWSLETTER DEL 21 MARZO 2025

 

[doc. web n. 10114967]

Provvedimento del 27 febbraio 2025

Registro dei provvedimenti
n. 114 del 27 febbraio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il dott. Agostino Ghiglia;

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. Premessa

Con atto n. 131956 dell’11 novembre 2024 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente riprodotto, l’Ufficio avviava ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Energia Pulita S.r.l. (di seguito “Energia Pulita” o “Società”), in persona del legale rappresentante pro-tempore, con sede legale in Milano (MI), Via Vincenzo Monti, 48, P. IVA 10802400969.

Il procedimento traeva origine da una istruttoria avviata a seguito della ricezione di ottantadue segnalazioni pervenute all’attenzione dell’Autorità in materia di chiamate indesiderate realizzate in assenza di idonea base giuridica.

1.2. Le richieste di informazioni formulate dall’Autorità

Il 26 giugno 2024 l’Ufficio avviava un’istruttoria nei confronti di Energia Pulita S.r.l. (di seguito “Energia Pulita”, “Società” o ancora il “Titolare”), mediante una richiesta di informazioni cumulativa, formulata ai sensi dell’art. 157 del Codice (cfr. Prot. n. 78301/24), utile alla valutazione di numerose altre segnalazioni pervenute all’Autorità nel periodo compreso fra novembre 2023 e giugno 2024, inerenti, in massima parte, la materia del telemarketing.

Con la medesima nota veniva richiesto alla Società di «fornire un elenco delle proposte di acquisto provenienti dalla propria rete di vendita che hanno determinato l'attivazione di servizi energetici nel periodo dal 5 febbraio 2024 al 12 febbraio 2024 compresi, suddivise fra “residenziali” e “business”», nonché di fornire chiarimenti in relazione:

• ai rapporti intercorrenti con le società utilizzatrici di alcune delle numerazioni chiamanti oggetto di segnalazione (cfr. Broker S.r.l., Dialtech S.R.L.S., A1 Service S.r.l.s., Rocket S.r.l.);

• alle istruzioni impartite ai propri fornitori per lo svolgimento delle attività di telemarketing e alle misure implementate ai fini della vigilanza e del monitoraggio sul loro operato;

• alle «modalità di conferimento dell’informativa sul trattamento dei dati personali ai soggetti interessati che inoltrano candidature attraverso il form presente sul sito https://www.energiapulita.energy/lavora-con-noi»;

• alla «natura dei rapporti contrattuali in essere con Green Network S.p.A. luce e gas, Antenore Energia S.r.l. e Metan Alpi Sestriere Teleriscaldamento S.r.l., ivi inclusa l’attribuzione dei ruoli soggettivi e i trattamenti di dati personali svolti da e per conto di tali società, nonchè le misure adottate ai fini della separazione dei data base contenenti i dati della clientela appartenente alle singole società e per scongiurare il rischio di accessi abusivi da parte di soggetti non autorizzati».

Con nota dell’11 luglio 2024 (cfr. Prot. n. 86098 del 12 luglio 2024), fornendo il primo dei riscontri richiesti, la Società dichiarava preliminarmente di avvalersi dei seguenti canali di vendita:

• agenzie di commercio che, in forza di un contratto di agenzia promuovono i prodotti e servizi della Società mediante una o più delle seguenti modalità: «i) attività di teleselling, ii) attività di telemarketing seguita da un contatto fisico del cliente, iii) utilizzo di locali commerciali nella disponibilità dell’agenzia, iv) visite porta a porta dei clienti finali (attività marginale) e v) canale di vendita c.d. “virtual sales outbound rec”»;

• comparatore, che in virtù di un apposito accordo, provvede alla promozione dei prodotti e servizi della Società attraverso la propria piattaforma web e alla successiva conclusione del contratto con il cliente finale, nonché al caricamento sul CRM aziendale;

• lavoratori subordinati e/o collaboratori di Energia Pulita che operano presso sportelli fisici sul territorio.

Con specifico riferimento al canale cd. “virtual sales outbound rec”, la Società evidenziava che in base a tale metodologia di vendita, il venditore contatta telefonicamente il potenziale cliente per saggiare l’interesse ai servizi oggetto della campagna promozionale in corso e provvede all’inserimento della relativa proposta contrattuale sulla piattaforma di customer relationship management (“CRM”) di Energia Pulita. In un secondo momento, al potenziale cliente «viene, dapprima, trasmesso un SMS contenente un codice OTP che consente allo stesso cliente di confermare la propria identità e, successivamente, un link – che il cliente riceve all’indirizzo e-mail – tramite il quale il potenziale cliente può, previo inserimento del suddetto codice OTP, accedere al plico contrattuale di Energia Pulita e confermare la propria volontà di sottoscrivere un contratto con Energia Pulita».

Nella medesima nota, inoltre, Energia Pulita evidenziava che nell’ambito delle attivazioni energetiche riferibili a Switcho S.r.l. «il processo di contrattualizzazione avviene mediante piattaforma web e non vengono effettuate chiamate telefoniche ai potenziali clienti».

Infine, la Società produceva i seguenti elenchi delle proposte di acquisto relative al periodo indicato dal Garante:

• n. 639 proposte nell’ambito del “residenziale teleselling”;

• n. 246 proposte nell’ambito del “residenziale rete fisica”;

• n. 15 proposte nell’ambito del “residenziale comparatori”;

• n. 1328 proposte nell’ambito del “residenziale virtual sales”;

• n. 42 proposte nell’ambito del “business teleselling”;

• n. 51 proposte nell’ambito del “business rete fisica”.

Con successiva nota trasmessa in data 26 luglio 2024 (cfr. Prot. n. 93584 del 29 luglio 2024), Energia Pulita evidenziava che «da nessuno degli 82 contatti contestati con i reclami è mai derivata la conclusione di un contratto con la Società, che, pertanto, non ha in alcun modo beneficiato di tali attività di telemarketing e teleselling. Infatti, nessuno degli 82 reclamanti è presente nel CRM (Customer Relationship Management) di Energia Pulita, salvo 4 casi relativi a soggetti già contrattualizzati da Energia Pulita al tempo della proposizione del reclamo e della chiamata di disturbo».

La Società rappresentava, altresì, che «da novembre 2023, ha avviato un percorso di compliance al codice di condotta per le attività di telemarketing e teleselling (“Codice di Condotta”), volendo adottare, a prescindere dalla effettiva applicabilità del Codice di Condotta e, pur non conoscendo il numero dei reclami ricevuti dall’Autorità, le misure necessarie al fine di garantire la compliance» e che «già da marzo 2024, dopo la fase di gap analysis, la Società ha iniziato ad adottare nuove misure di compliance».

Poi, con specifico riferimento alle segnalazioni pervenute all’Autorità, Energia Pulita disconosceva tutte le numerazioni chiamanti oggetto di segnalazione, fatta eccezione per i fascicoli nn. 323520 e 344211, oggetto di reclami pervenuti anche alla Società e correlati a contatti legittimati dal consenso; il fascicolo n. 357058 con il quale il segnalante aveva lamentato la ricezione di una telefonata indesiderata imputabile a Dialtech S.r.l.s., sub-agenzia di RG Group S.r.l..

Quanto alle quattro segnalazioni indirizzate sia all’Autorità sia ad Energia Pulita e ad una segnalazione inviata a un indirizzo di posta elettronica certificata appartenente ad un’altra società, ma simile a quello di Energia Pulita (cfr. fascicoli nn. 323520 – 367610 – 337805 – 344211 – 353028 - 343273), il Titolare ha rappresentato quanto segue.

Rispetto al fascicolo n. 323520, dopo aver svolto le opportune verifiche interne, la Società dichiarava di avere prontamente riscontrato l’interessato comunicando che la prima chiamata era stata effettuata da una propria agenzia RG Group S.r.l., sulla base di un consenso rilasciato in data successiva rispetto all’iscrizione al RPO, ma che le parole utilizzate nel corso della telefonata e l’avere impiegato una numerazione non iscritta al ROC costituiva una violazione delle previsioni contrattuali. A seguito di tali accadimenti, Energia Pulita aveva preannunciato all’agenzia l’applicazione di «una penale contrattuale che la Società non ha applicato immediatamente in considerazione del fatto che il contatto era comunque avvenuto sulla base del consenso, ma che applicherà in caso di reiterazione della condotta scorretta». In ogni caso il nome del segnalante è stato inserito nella black-list della Società e delle sue agenzie.

Con riguardo alla segnalazione n. 367610, la Società chiariva di avere riscontrato l’interessata comunicando che «non era stato concluso alcun contratto di fornitura; i dati personali della segnalante non erano presenti nel CRM della Società; i dati personali della segnalante non erano presenti nei CRM dei partner di vendita della Società», nonché di avere «disposto in ogni caso l’inserimento della numerazione della segnalante nella black-list della Società e delle sue agenzie».

Con riferimento alla segnalazione n. 337805, Energia Pulita dichiarava di avere riscontrato l’istante, evidenziando che «la chiamata non proveniva da una numerazione ricollegabile alla Società o ai suoi partner (anche in questo caso dunque il nome di Energia Pulita è stato speso illegittimamente); (ii) i suoi dati personali non erano presenti negli archivi della Società né in quelli dei partner; e (iii) i suoi recapiti erano stati inseriti nella black-list della Società e in quella delle proprie agenzie». Anche in questo caso, Energia Pulita aveva effettuato le indagini necessarie presso i propri partner e accertato che il numero chiamante non apparteneva alla propria rete agenziale.

Quanto alla segnalazione n. 344211, la Società aveva fornito riscontro all’utente rappresentando che non era stata attivata alcuna utenza e che i dati personali dell’interessata non erano presenti sui sistemi aziendali, fatta eccezione per quelli attinenti alla gestione del reclamo, nonchè di aver avviato idonee verifiche presso Rocket S.r.l. Da tali indagini era poi emersa la legittimità del contatto da parte della sub-agenzia, sulla base di un consenso fornito in data posteriore rispetto all’iscrizione al RPO e in ogni caso, era stato disposto l’inserimento della numerazione della segnalante nella black-list della Società e delle sue agenzie.

Con riguardo alla segnalazione n. 353028, il titolare chiariva di avere rassicurato l’interessata sul fatto che non vi era stata alcuna attivazione di fornitura e che i dati della segnalante non erano presenti nei database della Società. In ogni caso, la Società aveva disposto l’inserimento della numerazione in questione nella black-list della Società e delle sue agenzie.

Infine, con specifico riferimento al fascicolo n. 343273, Energia Pulita osservava che tale doglianza era stata trasmessa a un indirizzo pec appartenente ad un’altra società. Anche in questo caso, dalle verifiche interne era emerso che non era stato attivato nessun contratto, che i dati personali dell’interessata non erano presenti sui sistemi aziendali e che la numerazione chiamante non era riferibile alla propria rete di vendita.

Con la medesima nota e in riscontro alle richieste formulate dall’Autorità, Energia Pulita forniva «lo standard di contratto (e i relativi script di chiamate allegati) adottato da Energia Pulita prima dell’avvio del percorso di compliance a marzo 2024 (doc. 8); e lo standard di contratto adottato successivamente, già in uso per tutte le nuove agenzie e in corso di estensione alle agenzie già in carica tramite appositi addenda che la Società sta predisponendo, contenente le integrazioni necessarie al fine di garantire una piena conformità al Codice di Condotta (doc. 9) con i relativi script di chiamata utilizzati che la Società ha aggiornato e sta mettendo in uso in questo periodo».

Rispetto ai rapporti intercorrenti con le Agenzie, che previa consultazione del ROC, erano risultate essere le utilizzatrici di alcune delle numerazioni chiamanti oggetto di segnalazione, la Società rappresentava di non avere «alcun rapporto in essere e/o cessato» con Broker S.r.l. e A1 Service S.r.l.s. Sul punto, Energia Verde chiariva, altresì, di avere «acquistato un ramo d’azienda di Green Network S.p.A. (…). Nell’ambito dell’acquisto di tale ramo, era presente anche il contratto tra Green Network, in qualità di preponente, e RG Group S.r.l. (in precedenza Start Group S.r.l.), in qualità di agenzia (doc. 12). A seguito dell’acquisto del ramo, Energia Pulita ha sottoscritto un nuovo atto di nomina a responsabile del trattamento con RG Group S.r.l. (in precedenza Start Group S.r.l.)» e che RG Group S.r.l., a sua volta, aveva nominato Dialtech S.r.l.s. e Rocket S.r.l quali sub-responsabili del trattamento.

La Società aveva poi illustrato le attività di monitoraggio sulla rete delle agenzie svolte sino a marzo 2024, quelle implementate successivamente a tale data e quelle in corso di implementazione.

Più in particolare, sino a marzo 2024 le misure di monitoraggio e controllo poste in essere nei confronti delle agenzie erano principalmente riconducibili alla richiesta di reportistica a campione sulle verifiche effettuate presso la FUB o sulla sussistenza di un’idonea base giuridica per il trattamento dei dati personali ai fini dello svolgimento di attività di marketing (i.e. consensi e informative). Inoltre, la Società prevedeva apposite clausole contrattuali riguardanti l’ottemperanza alla normativa sulla protezione dei dati personali, la cui violazione poteva comportare l’applicazione di una penale oppure il mancato riconoscimento della provvigione. In aggiunta, le proposte contrattuali caricate dalle agenzie sul CRM aziendale erano sottoposte a specifiche verifiche e “Quality Check Call”. Infine, in caso di cessazione del contratto di agenzia, Energia Pulita provvedeva alla “chiusura immediata delle credenziali”.

A partire dal mese di marzo 2024, nell’ambito della realizzazione di un più ampio programma di compliance aziendale, le misure appena descritte erano state integrate con la previsione di talune verifiche relative alle competenze in materia di privacy da effettuare nella fase di selezione degli agenti, l’organizzazione di attività formative rivolte ai dipendenti, la revisione dello standard di contratto in uso per le attività di teleselling.

Rispetto alle modalità di conferimento dell’informativa sul trattamento dei dati personali ai soggetti interessati che inoltrano candidature attraverso il form presente sul sito https://www.energiapulita.energy/lavora-con-noi, la Società evidenziava che «l’informativa è stata caricata sul sito in data 8 luglio 2024 a seguito di una verifica interna e di un conseguente sollecito trasmesso dal compliance officer di Energia Pulita alla funzione competente della gestione del sito già inviato in data 20 giugno 2024. In ogni caso, al momento del colloquio, ai candidati viene sempre fornita un’informativa ad hoc» e che era in previsione un’ulteriore revisione delle informative in uso, inclusa l’informativa ai candidati scaricabile dal sito web.

Infine, Energia Pulita forniva i chiarimenti richiesti in relazione ai rapporti intercorrenti con gli altri operatori energetici indicati all’interno del sito aziendale rappresentando, altresì, che «nella prima pagina di accesso all’area clienti del sito di Energia Pulita viene chiesto al cliente di indicare il brand (tra Green Network, Antenore e Metan Alpi) tramite il quale ha concluso il contratto con Energia Pulita, fermo che l’informativa clienti presente sul sito fa riferimento solo a Energia Pulita come titolare del trattamento».

Più in particolare, la Società evidenziava di avere acquisito «un ramo d’azienda da Green Network S.p.A. (…). Nel ramo d’azienda era incluso il marchio registrato “Green Network” e tutti i suoi derivati (…). Per questo motivo, Energia Pulita utilizza i marchi indicati, ma questo non significa che vi siano diversi titolari o diversi database in relazione ai dati dei clienti finali».

Il titolare ha poi rappresentato di non avere «mai avuto alcun rapporto contrattuale con Metan Alpi Sestriere Teleriscaldamento S.r.l. ma esclusivamente con Metan Alpi Sestriere S.p.A. (…), società che ci risulta partecipata dalla citata Metan Alpi Sestriere Teleriscaldamento S.r.l.». La Società, infatti, «ha acquisito un ramo d’azienda da Metan Alpi Sestriere S.p.A. (…) e (…) ha ottenuto in licenza d’uso, onerosa ed esclusiva, il marchio “METAN ALPI”. Per questo motivo Energia Pulita utilizza tale marchio, ma ciò non comporta che vi siano diversi titolari o diversi database in relazione ai dati dei clienti finali coinvolti nella cessione di ramo».

Antenore Energia S.r.l. (di seguito anche “Antenore”) ed Energia Pulita, invece, avevano stipulato tre contratti per la prestazione di servizi reciproci, in forza dei quali ciascuno ricopre – a seconda di chi presta i servizi - il ruolo di responsabile del trattamento per l’altra parte come specificato nelle apposite nomine sul trattamento dei dati all’interno di ciascun contratto. Nello specifico «Energia Pulita fornisce energia elettrica e gas naturale ad alcuni clienti di Antenore indicati nell’apposito allegato al contratto, provvedendo, altresì, all’emissione e riscossione delle fatture e all’assistenza clienti. A tal fine, Energia Pulita tratta i dati dei clienti di Antenore, che sono contenuti nel CRM di Energia Pulita insieme ai dati dei clienti della Società stessa. La separazione all’interno del CRM è garantita dalle modalità d’accesso allo stesso da parte di Antenore, la quale può accedere esclusivamente ai dati dei propri clienti tramite specifiche credenziali. Si precisa che, per tutta la durata del citato contratto, Antenore Energia S.r.l. ha concesso a Energia Pulita S.r.l., in via esclusiva, la licenza d’uso del marchio “Antenore Energia”». Al contempo «Antenore agisce come agente di commercio – su base esclusiva – per conto di Energia Pulita, ed è pertanto stata nominata a tal fine responsabile del trattamento (…) i contratti conclusi da Antenore per conto di Energia Pulita sono contratti promossi tramite il marchio concesso in licenza d’uso “Antenore Energia”». In aggiunta Antenore effettua servizi di fronting e di outbound, nonché le operazioni di incasso e riscossione di importi con riferimento ai clienti di Energia Pulita S.r.l. procurati da Antenore Energia S.r.l. (…); anche in questo caso, posto che i dati trattati sono afferenti a clienti di Energia Pulita S.r.l., Antenore Energia S.r.l. è stata nominata quale responsabile del trattamento».

1.3. La verifica presso il Registro Pubblico delle Opposizioni

Al fine di effettuare i necessari controlli in ordine alla correttezza delle suddette attività di telemarketing, il 13 agosto 2024 (cfr. Prot. n. 99048) l’Ufficio inviava alla Fondazione Ugo Bordoni, che gestisce il Registro Pubblico delle Opposizioni, il citato elenco di numerazioni telefoniche oggetto del menzionato riscontro da parte di Energia Pulita. In tale ottica, venivano richieste informazioni, ai sensi dell’art. 157 del Codice, per ciascuna numerazione, circa l’eventuale iscrizione al Registro Pubblico delle Opposizioni (RPO) non successiva alla data del 31 dicembre 2023.

In data 27 agosto 2024 la Fondazione inviava il proprio riscontro (cfr. Prot. n. 101580 del 28 agosto 2024), dall’analisi del quale sono risultate iscritte al Registro Pubblico delle Opposizioni, al tempo delle chiamate promozionali effettuate dalla Società, n. 157 utenze telefoniche, pari a poco più del 6,75% del numero totale dei contatti telefonici effettuati nel periodo di riferimento (n. 2.327).

1.4. Supplemento dell’istruttoria

Nelle more dell’istruttoria, pervenivano all’Autorità ulteriori segnalazioni nei confronti della Società con le quali gli interessati lamentavano la ricezione di chiamate indesiderate effettuate in assenza di un’idonea base giuridica e provenienti da numerazioni non iscritte al ROC (cfr. fasc. nn. 381587 – 386244 – 387286 – 387396 – 387909 – 388262 – 390395 – 391357 – 391441 – 397354 – 399349 – 405133 – 405186 – 409771 – 411093 – 411191 – 411222 – 411755 - 411883 – 413466).

Al fine di promuovere l’esame organico di tutte le questioni prospettate, sebbene pervenute in tempi diversi, ai sensi dell’art. 10, comma 4, del regolamento interno n. 1/2019 (disponibile per la consultazione sul sito www.gpdp.it, doc-web n. 9107633) l’Ufficio riteneva opportuno trattare nell’ambito dell’odierno procedimento anche tali segnalazioni.

La riunione dei procedimenti consentiva di dare piena attuazione ai principi di economicità e ragionevole durata del procedimento e di garantire, al contempo, anche il diritto di difesa e di non aggravamento del procedimento riconosciuto dalla legge al titolare del trattamento.

1.5. Contestazione delle violazioni

L’Ufficio, all’esito dell’istruttoria, adottava il sopra richiamato atto di contestazione n. 131956/24 nel quale, in primo luogo, si osservava che l’aver contattato 157 numerazioni telefoniche nell’ambito delle attività di telemarketing svolte nel periodo gennaio - febbraio 2024 (pari a poco più che il 6,7% del numero totale dei contatti telefonici effettuati a fini promozionali, in costanza dell’iscrizione delle medesime utenze all’RPO - e quindi del meccanismo di opt-out determinato dalla vigente normativa) comportava la possibile violazione dell’art. 130 del Codice, nonché più in generale, degli artt. 5, par. 1, lett. a) e 6, par. 1, lett. a) del Regolamento, con riguardo al principio di liceità e alla necessità della base giuridica del consenso per legittimare il trattamento dei dati in questione per fini promozionali.

La sussistenza della violazione in parola, inoltre, sembrava confermata anche dalla moltitudine di segnalazioni che l’Autorità aveva ricevuto e continuava a ricevere in pendenza del procedimento.

A tali rilievi, si aggiungeva poi anche l’incisiva casistica di repentini switch evidenziata dai riscontri forniti sulle segnalazioni. Dalla documentazione trasmessa, infatti, emergeva che in otto casi (sui complessivi 82), i segnalanti avevano attivato una fornitura con Energia Pulita soltanto per un mese o poco più.

Tutte le circostanze appena richiamate, considerate congiuntamente, inducevano a ritenere che in violazione degli obblighi gravanti sul titolare del trattamento ai sensi degli artt. 5, 24, 25, 28 e 32 del Regolamento, la Società avesse omesso il doveroso controllo sull’intera filiera del trattamento e di implementare misure di sicurezza tecniche e organizzative adeguate a scongiurare il rischio di attivazione di forniture derivanti da contatti illeciti, alimentando così l’indotto del cd. sottobosco del telemarketing.

Più in generale, poi, la documentazione e le allegazioni complessivamente acquisite, sembravano restituire un quadro della governance privacy non completamente aderente e aggiornato alla normativa vigente in materia di protezione dei dati personali e ai principi costantemente sanciti anche mediante i provvedimenti dell’Autorità.

Parimenti, anche la circostanza che l’organizzazione di attività formative fosse avvenuta soltanto nel 2024, appariva in contrasto con gli obblighi gravanti sul titolare del trattamento ai sensi dell’art. 29 del Regolamento, che impone non solo di provvedere alla formazione del personale prima o comunque nei periodi iniziali rispetto alla concreta adibizione allo svolgimento di trattamenti di dati personali, ma anche di provvedere a periodiche attività di aggiornamento, personalizzate sulla base delle mansioni svolte in concreto.

Infine anche in relazione al trattamento dei dati personali raccolti mediante i form presenti sul sito aziendale (i.e. candidati e richiesta contatto), si rilevavano taluni profili di criticità sia con riguardo ai principi di chiarezza e trasparenza di cui agli artt. 5, 12 e 13 del Regolamento, sia in relazione alla liceità del trattamento e alla sussistenza di un’idonea base giuridica ai sensi degli artt. 5, 6, 7 e 9 del Regolamento e 111 bis del Codice.

L’Ufficio, pertanto, contestava a Energia Pulita la presunta violazione degli artt. 5, 6, 7, 9, 12, 13, 24, 25, 28, 29 e 32 del Regolamento, nonché degli artt. 111 bis e 130 del Codice, per aver effettuato i sopra descritti trattamenti di dati personali di utenti e contraenti del settore energetico in contrasto con i principi di liceità e responsabilizzazione, in assenza di un’idonea base giuridica e mettendo in atto misure tecniche e organizzative non adeguate per garantire, fin dalla progettazione, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento.

2. LA DIFESA DEL TITOLARE

Con memorie difensive trasmesse in data 11 dicembre 2024 (cfr. Prot. n. 146050 del 12 dicembre 2024) la Società evidenziava preliminarmente che «Energia Pulita è stata costituita nel 2019, poco prima dell’inizio della crisi pandemica, e fino al 2023 la Società aveva solamente 4 agenzie per lo svolgimento dell’attività di teleselling».

Successivamente «Tale attività è stata incrementata solo a partire dal 16 gennaio 2023, quando la Società ha acquisito da Green Network S.p.A. (…), un ramo d’azienda a cui erano riconducibili 26 contratti d’agenzia (4 delle quali svolgevano l’attività di telemarketing/teleselling)».

Energia Pulita chiariva, altresì, che la richiamata cessione del ramo d’azienda - con l’annessa rete commerciale - «ha determinato la necessità di gestire nuove attività di procacciamento di clientela, sia tramite il canale fisico che telemarketing e teleselling». Per tale ragione, a partire da novembre 2023, la Società ha intrapreso un percorso di compliance.

Con riguardo alla governance in materia di protezione dei dati personali anteriore al novembre 2023, Energia Pulita dichiarava che la Società aveva posto in essere le misure di seguito elencate:

i. richiesta di report relativi ai contatti realizzati nei confronti dei potenziali clienti per verificare che i medesimi non fossero iscritti al Registro Pubblico delle Opposizioni (RPO) alla data della sottoscrizione del contratto con la Società, oppure che fosse stato raccolto un consenso privacy dopo tale iscrizione. Inoltre, a campione (oltre 10 contatti per ogni agenzia) «veniva chiesto di allegare le schermate che dimostrassero il controllo effettuato sul RPO, con data e ora della cosiddetta “fubbatura”»;

ii. richiesta di un report bimestrale per dimostrare che i clienti avessero fornito il consenso a essere contattati per finalità di marketing, recante il dettaglio della campagna utilizzata, dell’informativa privacy fornita e eventuali elementi aggiuntivi specifici;

iii. imposizione di obblighi contrattuali concernenti le numerazioni utilizzate, gli orari e le modalità delle chiamate, e la registrazione del diniego del cliente a ricevere contatti commerciali durante la chiamata promozionale o in altre occasioni, con comunicazione a Energia Pulita del relativo diniego;

iv. fornitura di script da utilizzare per la realizzazione di chiamate promozionali;

v. mancato riconoscimento della provvigione all’agente in caso di reclamo per attivazione non richiesta;

vi. imposizione di una penale pari all’8% delle provvigioni complessive maturate negli ultimi dodici mesi per l’agente in caso di reclamo per attivazione non richiesta;

vii. verifiche sulle proposte di contratto caricate dall’agenzia all’interno del CRM della Società;

viii. Quality Check Call obbligatoria per le agenzie di teleselling;

ix. controllo del plico contrattuale;

x. chiusura immediata delle credenziali dell’agenzia per l’accesso al CRM aziendale al momento della cessazione del rapporto contrattuale.

La Società rappresentava, inoltre, di avere avviato a novembre 2023 un «percorso di compliance al Codice di Condotta, volendo adottare, a prescindere dalla effettiva applicabilità del Codice di Condotta e seppur non a conoscenza dei Reclami, le misure necessarie al fine di garantire la conformità della propria governance alle più recenti prescrizioni in materia», pertanto all’inizio del 2024 sono state implementate anche le seguenti misure:

i. richieste di specifiche informazioni alle agenzie durante il processo di selezione;

ii. formazione periodica per i dipendenti della rete agenziale;

iii. modifiche contrattuali (esclusione delle provvigioni in caso di contatti illeciti, oltre che per attivazioni non richieste e previsione di obblighi specifici per le agenzie, comunicazione dei numeri usati, utilizzo di numeri riconoscibili e non clonabili, redazione di report dettagliati delle campagne promozionali, gestione tempestiva dei dinieghi e iscrizione nelle black-list, ecc.);

iv. implementazione del sistema di Multi Factor Authentication (“MFA”) con censimento del secondo dispositivo utilizzato;

v. tracciamento degli indirizzi IP degli agenti autorizzati al caricamento dei contratti per conto di Energia Pulita;

vi. audit periodici sulle agenzie e revisione degli script e delle chiamate di controllo per verificare l’origine dei contatti;

vii. Check call bloccante: la Società verifica la conformità del contatto e la volontà dell’interessato di concludere l’accordo tramite chiamata di controllo. In caso di assenza del cliente o di volontà di non proseguire l’iter contrattuale, il medesimo viene bloccato e viene applicata una penale all’agenzia;

viii. esclusione della provvigione all’agenzia in caso di reclamo per attivazione non richiesta, nonché ogni qualvolta dovesse emergere che il contatto iniziale è stato illecito, oltre all’applicazione di una penale per ogni violazione della normativa privacy.

Con specifico riferimento alle risultanze emerse dalla verifica condotta sulla cd. settimana campione, Energia Pulita in primo luogo eccepiva che le numerazioni iscritte al registro, al netto dei casi di duplicazione, erano novantasei e che pertanto la relativa percentuale diminuiva a 4,13%.

In base alla teoria difensiva prospettata dalla Società, inoltre, tutti i citati contratti si rivelavano legittimi giacché «riconducibili (i) a telefonate effettuate sulla base di consensi al marketing successivi all’iscrizione degli interessati all’RPO o di richieste di ricontatto da parte degli interessati stessi; (ii) al canale fisico, e dunque rispetto ai quali non è necessaria alcuna verifica relativa all’eventuale iscrizione all’RPO; o, infine, (iii) a contratti conclusi direttamente dagli interessati sui siti web dei comparatori, in assenza di alcuna attività di telemarketing da parte della Società e/o del comparatore stesso».

Quanto alle segnalazioni pervenute all’attenzione dell’Autorità, la Società disconosceva tutti i contatti oggetto di doglianza in quanto realizzati utilizzando numerazioni chiamanti estranee alla propria rete di agenzie, fatta eccezione per i tre casi di seguito illustrati.

Con riferimento alla doglianza di cui al fascicolo n. 323520, la Società chiariva che il contatto era stato effettuato da una agenzia della Società (ossia RG Group S.r.l.), sulla base di un consenso rilasciato in data successiva rispetto all’iscrizione al RPO, tuttavia l’agenzia aveva violato le previsioni contrattuali per le parole utilizzate e per l’utilizzo di una numerazione non registrata presso il ROC. Dal momento che il contatto era stato effettuato lecitamente, Energia Pulita aveva rivolto un richiamo e un avvertimento all’agenzia in questione, nonché richiesto di cancellare tutti i dati personali del segnalante. In aggiunta il nominativo del segnalante era stato inserito nella black-list della Società e delle sue agenzie. Successivamente, a partire dal 30 settembre 2024, Energia Pulita aveva interrotto ogni rapporto con tale agenzia.

In relazione al fascicolo n. 344211 – riguardante il caso di un’interessata che lamentava la ricezione di telefonate promozionali provenienti da diverse numerazioni, tra cui una appartenente a Rocket S.r.l., subagenzia di RG Group S.r.l. – la Società evidenziava che nel caso di specie non era stata attivata alcuna utenza e che i dati dell’interessata non erano presenti sui sistemi di Energia Pulita. In ogni caso, la numerazione della segnalante era stata inserita nella black-list della Società e delle sue agenzie. Pertanto la Società sosteneva che «il nome di Energia Pulita è quindi stato speso illegittimamente nella prima chiamata. Per quanto riguarda invece la chiamata riconducibile a Rocket S.r.l., dalle verifiche della Società è stato accertato che il contatto della subagenzia era basato su un consenso valido, rilasciato successivamente all’iscrizione al RPO».

In relazione ai fascicoli nn. 357058 e 391741 - nell’ambito dei quali gli interessati lamentavano la ricezione di chiamate indesiderate effettuate nell’interesse di Energia Pulita – la Società riconosceva che anche tali contatti erano riconducibili a RG Group S.r.l. e ribadiva di avere interrotto qualunque rapporto con la predetta agenzia a partire dal 30 settembre 2024.

La Società ha, poi, evidenziato che da nessuno degli ottantadue contatti contestati mediante le doglianze pervenute all'attenzione dell’Autorità prima dell’apertura dell’istruttoria, né dai venti contatti contestati in pendenza del procedimento «è mai derivata la conclusione di un contratto con la Società, che, pertanto, non ha in alcun modo beneficiato di tali attività di telemarketing e teleselling illecite».

Nel disconoscere i contatti oggetto di doglianza, Energia Pulita ha altresì rappresentato che «il fenomeno del sottobosco nel telemarketing nasce dall’attività di operatori che non sono ufficialmente legati da rapporti contrattuali con operatori energetici e che (…) dichiarano inizialmente di lavorare per un operatore per convincere l’interlocutore a rimanere al telefono e poi offrire un diverso contratto. In questo modo, le agenzie si rendono irreperibili sia agli occhi dell’interlocutore che, di conseguenza, davanti all’Autorità la quale riceve il reclamo nei confronti di una società, in questo caso Energia Pulita, che non ha mai dato mandato a tali agenzie né tantomeno ha beneficiato dal loro operato».

Per le ragioni illustrate «se anche alcuna delle telefonate oggetto di reclamo si fosse tramutata in contratti energetici di Energia Pulita (e così non è stato) per un limitato periodo, ciò rappresenterebbe per Energia Pulita soltanto un costo (e, quindi, un danno economico) e non anche un vantaggio».

Quanto alle misure adottate per attuare gli opportuni controlli sulla filiera di contatto, Energia Pulita ha rappresentato che nel 2023 e poi successivamente nel 2024 con l’acquisizione del ramo di azienda di Green Network S.p.A., la Società aveva avviato un percorso di compliance alla vigente normativa in materia di protezione dei dati personali e al codice di Condotta che ha condotto all’implementazione dei presidi di seguito elencati:

i. nel contesto della procedura di selezione degli agenti viene richiesto se le agenzie abbiano ricevuto reclami o segnalazioni al Garante o ispezioni o provvedimenti di quest’ultimi; come l’agenzia candidata formi le liste di contatti e come queste ultime siano acquistate e controllate; i controlli e gli obblighi contrattuali imposti ai sub-agenti; nonché le istruzioni fornite ai dipendenti/agenti;

ii. formazione degli agenti (svolta a maggio 2024 e poi periodicamente almeno ogni 9 mesi);

iii. modifica dello standard del contratto di agenzia e teleselling in uso, prevedendo il mancato riconoscimento della provvigione non solo in caso di reclamo per attivazione non richiesta, ma anche in caso di contatto iniziale illecito; nonché prevedendo ulteriori obblighi contrattuali in capo alle agenzie (comunicazione delle numerazioni utilizzate; utilizzo di una linea chiamante riconoscibile (con prefisso apposito per i call center o altro numero purché ricontattabile); reportistica sulle campagne promozionali; utilizzo black-list; essere in grado di fornire idonee informazioni agli utenti; utilizzare soluzioni tecnologiche che consentano l’immediata identificabilità);

iv. tracciabilità di tutta la filiera che dal contatto telefonico consente di giungere a contratto (numerazione ROC, IP e nominativo dell’operatore chiamante; date ora del contatto; audit novemestrale degli operatori attivi nell’ambito della rete commerciale (teleselling e rete fisica); integrazione degli script di chiamata; adozione di un sistema di alert e della MFA per gli agenti con censimento del secondo dispositivo; tracciamento IP agenti).

Rispetto alle specifiche contestazioni mosse dall’Autorità, la Società in prima istanza osservava che Energia Pulita svolgeva periodicamente attività di audit presso le proprie agenzie verificando le misure adottate per l’adempimento alla normativa vigente in materia di protezione dei dati personali (p.e. controllo del registro delle attività di trattamento, delle informative conferite ai clienti, delle nomine a responsabile e a persona autorizzata del trattamento; delle procedure privacy; della gestione delle liste; delle attività formative svolte).

Quanto alla procedura di Check Call, poi, la Società chiariva che «la Check Call implementata dalla Società, infatti, comporta l’indagine sulla volontà dell’interessato a concludere il contratto e, in caso negativo, il blocco dell’iter contrattuale. Solo in caso di volontà dell’interessato al proseguimento dell’iter contrattuale la Società procede in tal senso anche in caso di illegittimità del primo contatto, rispettando in questo modo la volontà dell’interessato ma provvedendo al contempo a bloccare l’erogazione della provvigione all’agenzia, oltre ad applicare una sanzione contrattuale».

Energia Pulita ha eccepito che sebbene KWH S.r.l. effettui la Quality Check Call e al contempo operi anche in qualità di agenzia, lo svolgimento di tali attività non risulta ambiguo dal momento che la medesima garantisce la segregazione dei ruoli tra gli incaricati addetti alle attività di telemarketing e teleselling e quelli che si occupano di effettuare le quality call.

Quanto alla contestata violazione della normativa in materia di privacy riconducibile al trattamento dei dati raccolti mediante i form presenti sul sito aziendale, Energia Pulita rappresentava di avere già provveduto all’aggiornamento delle informative presenti sul sito -riconoscendo di avere individuato un’errata base giuridica del trattamento - ma tuttavia eccepiva che si era trattato di una violazione meramente teorica e priva di conseguenze pratiche per gli interessati. La Società ribadiva di avere pubblicato sul sito in data 8 luglio 2024 anche l’informativa aggiornata per i candidati e che tale informativa veniva comunque resa anche in sede di colloquio.

Infine, Energia Pulita richiamava le prescrizioni del Considerando n. 148 del Regolamento e la recente pronuncia della Corte di Giustizia Europea C-768/21 sull’assenza di automatismi nell’applicazione delle misure punitive, allegando al contempo le circostanze attenuanti invocate nell’ipotesi in cui l’Autorità avesse ritenuto di applicare una misura sanzionatoria.

Nel corso dell’audizione tenutasi il 15 gennaio 2025, la Società rappresentava preliminarmente la propria disponibilità alla cooperazione e l’attenzione prestata rispetto alle indicazioni fornite dall’Autorità con l’emanazione di plurimi provvedimenti concernenti lo svolgimento di attività di telemarketing nel settore energetico, nonché a quelle contenute nel codice di Condotta in materia di telemarketing.

Energia Pulita precisava, inoltre, che sebbene al momento della citata acquisizione la Società non avesse ancora formalmente adottato la procedura di controllo Sales Quality Control, molti degli adempimenti attualmente previsti venivano comunque già espletati (p.e. il riascolto delle chiamate, richiedere bimestralmente i consensi privacy alle agenzie), di guisa che con la formalizzazione della procedura, tali controlli erano stati rafforzati.

Con riferimento, invece, ai controlli effettuati sui dati personali provenienti dai portali web e comparatori (cfr. settimana campione) veniva chiarito che la Società si avvale di agenzie che a loro volta acquistano liste di contatti soggette a verifica presso il RPO. Energia Pulita acquisisce, inoltre, copia dei contratti mensili di noleggio ed effettua anche il confronto delle liste di contattabilità, così ottenute, con la black-list interna. Prima di ogni campagna, oltre alla comunicazione ex ante delle liste di contattabilità da parte delle Agenzie - che già avviene – in futuro sarà espletato anche il controllo sulla corrispondenza delle numerazioni presenti nelle liste e quelle indicate negli accordi. Qualora fossero presenti numerazioni fuori lista, i relativi contratti non saranno attivati. Rispetto a tali liste, Energia Pulita provvede anche all’acquisizione delle informative conferite agli utenti e dei moduli utilizzati per l’acquisizione del consenso dai predetti portali web e comparatori.

Sempre a tale riguardo Energia Pulita ha, altresì, chiarito che oltre al canale teleselling, la Società si avvale anche dei cd. comparatori e che vi sono casi in cui è lo stesso cliente a effettuare una richiesta di ricontatto, rilasciando gli appositi consensi. Può anche «accadere che il cliente stipuli il contratto in autonomia, con visibilità dell’accordo prima della sottoscrizione oppure chieda supporto al comparatore per la stipula».

La Società ha poi dichiarato che le richieste di ricontatto (cd. lead caldi) possono essere evase nell’arco di 48 ore, previo rilascio del consenso, e che tali contatti non sono soggetti a verifiche presso il RPO. L’identità del richiedente è garantita mediante l’impossibilità di stipulare un contratto per delega, tale modalità è prevista solo per il canale fisico e previa acquisizione dei documenti del delegante.

Nella medesima occasione, la Società ha evidenziato che a partire dal 2023 è stato istituito un apposito Ufficio Regulatory Affairs & Quality Process che cura l’aggiornamento costante dei processi sulla base delle determinazioni delle Autorità di controllo in materia e delle best practices di settore. Inoltre, la Società ha adottato un «approccio che pone al primo posto l’aspetto regolatorio, rispetto a quello del business (…) Questo percorso porta ad avvalersi di un’unica agenzia di teleselling (…), che non dispone di subagenti».

La Società ha anche chiarito di effettuare un monitoraggio sulle richieste di swicht avanzate dai clienti al fine di individuare eventuali anomalie (procedure ad hoc e mistery-call).

3. VALUTAZIONI DELL’AUTORITÀ

Va preliminarmente rappresentato che gli elementi e la documentazione complessivamente acquisita, non consentono di superare le contestazioni sollevate dall’Autorità.

Le eccezioni avanzate in ordine ai contratti stipulati nell’arco della cd. settimana campione, infatti, non possono trovare accoglimento dal momento che i consensi che Energia Pulita invoca quale base giuridica del trattamento, come si dirà più ampiamente infra, non risultano essere stati validamente acquisiti, stante la mancanza della previa informativa e dei requisiti di libertà, specificità e granularità di cui agli artt. 4, punto n. 11), 6 e 7 del Regolamento e 130 del Codice.

Nella fattispecie, la Società ha in primo luogo rilevato che al netto delle ipotesi di duplicazione, il numero complessivo dei contatti ammontava a novantasei e la percentuale di numerazioni iscritte al registro diminuiva di conseguenza a 4,13%.

A tale riguardo si osserva che il rilievo è solo in parte condivisibile, dal momento che la duplicazione della numerazione è indicativa di ipotesi in cui a fronte di un medesimo contatto, sono stati stipulati accordi per l’attivazione di due diverse forniture e dunque introitati i relativi emolumenti.

In seconda istanza, poi, stando alla difesa avanzata dalla Società i novantasei contatti realizzati nell’arco della cd. settimana campione non erano indicativi dell’avvenuta violazione della normativa vigente, giacché riconducibili a consensi raccolti mediante portali di comparazione (teleselling o virtual sales outbound), al canale fisico o a contratti conclusi direttamente dagli interessati sulla piattaforma Switcho.

Sul punto, è senz’altro opportuno rammentare che il titolare ha chiarito che «il canale di vendita c.d. “virtual sales outbound rec” si articola in due distinte fasi: i) in una prima fase, il venditore contatta telefonicamente il potenziale cliente finale per verificare il suo interesse ai servizi oggetto della campagna promozionale in corso e successivamente inserisce la relativa proposta contrattuale sulla piattaforma di customer relationship management (“CRM”) di Energia Pulita; ii) in una seconda fase, al potenziale cliente finale viene, dapprima, trasmesso un SMS contenente un codice OTP che consente allo stesso cliente di confermare la propria identità e, successivamente, un link – che il cliente riceve all’indirizzo e-mail – tramite il quale il potenziale cliente può, previo inserimento del suddetto codice OTP, accedere al plico contrattuale di Energia Pulita e confermare la propria volontà di sottoscrivere un contratto con Energia Pulita».

Le nozioni di telemarketing e teleselling, da un lato fanno perno sul mezzo utilizzato ai fini della realizzazione delle operazioni di trattamento dei dati personali, dall’altro alla finalità perseguita dal titolare del trattamento. Pertanto, ai fini dell’individuazione della disciplina in concreto applicabile non conta tanto - e non soltanto - il contesto nel quale il contratto è stato concluso, ma rileva anche l’attività prodromica all’effettiva sottoscrizione dell’accordo. Le fattispecie che la Società classifica nell’ambito del canale virtual sales outbound, in quanto sorrette dalla previa attività di contatto telefonico, risultano allora soggette ai medesimi obblighi e responsabilità vigenti in materia di telemarketing e teleselling stricto sensu intese.

In tal senso milita anche la nozione di telemarketing e teleselling di cui all’art. 2 del Codice di Condotta in materia di telemarketing – che a prescindere dall’effettiva adesione, sortisce un’indubbia valenza di best practices – a tenore del quale si intendono per «a) “telemarketing”, le attività di contatto telefonico con operatore effettuate per finalità promozionale attraverso chiamate dirette a numerazioni fisse e mobili nazionali; b) “teleselling”, le attività di contatto telefonico con operatore effettuate per finalità di vendita diretta attraverso chiamate destinate a numerazioni fisse e mobili nazionali».

Tale assunto, peraltro, appare condiviso dalla medesima Società, che pur avendo differenziato i canali di vendita, con riguardo a tali contatti ha rappresentato e documentato di avere acquisito il consenso degli interessati in data successiva rispetto all’iscrizione al RPO.

Tuttavia, tutti i contatti riferibili alla cd. settimana campione ed elaborati attraverso il canale teleselling o virtual sales outbound, a seguito di un accesso ai portali effettuato dall’Ufficio in data successiva rispetto alla notifica della contestazione e alla presentazione delle memorie difensive, non risultano sorretti da un valido consenso.

Più in particolare, in nove casi il contratto risulta riconducibile all’agenzia RG Group S.r.l. e al portale nuoveofferte.com.

A seguito di un accesso a nuoveofferte.com - è emerso che il portale in questione è nella titolarità della società londinese Dynamic Web Europe Ltd e che nella home page presenta un form di raccolta dati utile alla ricezione delle «offerte più vantaggiose».

Sebbene prima facie il form presentitre distinte formule per l’acquisizione del consenso non preselezionate (i.e. quella per l’invio di comunicazioni commerciali da parte di nuoveofferte.com, quella per la cessione a terzi ai fini promozionali e quella per finalità di profilazione), tuttavia quella relativa alla cessione dei dati personali a terzi per scopi di marketing e commerciali, invocata dall’odierno titolare, non consente di conferire un consenso libero, specifico e granulare ai sensi degli artt. 4, punto n. 11), 6 e 7 del Regolamento e di fare venire meno l’opposizione avanzata dagli interessati mediante l’iscrizione al Registro Pubblico delle Opposizioni.

In ragione dell’ampia formulazione utilizzata in ordine alla platea numerosa e indistinta dei cessionari dei dati personali operanti in settori molto differenti tra loro, infatti, l’interessato che voglia ricevere le offerte relative a uno o più delle categorie merceologiche ivi indicate o voglia riceverle tramite uno soltanto dei canali indicati è, di fatto, costretto a conferire un consenso unitario alla cessione indiscriminata dei propri dati a tutti, indistintamente, i soggetti terzi destinatari a scopi promozionali e non è posto nella condizione di esercitare agevolmente i diritti riconosciuti dalla vigente normativa (cfr., al riguardo, la formula utilizzata dalla Società «Acconsento la cessione per scopi di marketing e commerciali, con l’uso del telefono con operatore e/o con sistemi automatizzati (es. email, sms) e/o invio di materiale promozionale a mezzo posta, a terzi soggetti facenti parte delle seguenti categorie economiche e merceologiche: Turistico, tempo libero, High Tech, Moda, Arredamento, Largo Consumo, Food & Beverage, Finanza, Banche, Assicurazioni, Energia, Ambiente, Comunicazione, Media, Entertainment, Real Estate, Farmaceutico, Automobili, Abbigliamento e tessile, Formazione, Energia, Editoria, ICT, Reatail, Sport, Telecomunicazioni, e Servizi in generale (per la lista completa clicca qui)»).

Peraltro, utilizzando il comando “clicca qui” presente all’interno del form appena richiamato, l’utente viene reindirizzato a una pagina recante un elenco ancora più ampio di soggetti terzi destinatari e mezzi di comunicazione (cfr. «Previo Suo consenso, i dati personali raccolti potranno essere comunicati a società, enti o associazioni anche senza scopi di lucro, appartenenti alle seguenti categorie: istituti di credito (tra i quali Banca Progetto SpA, Vivi banca Spa Ibl Banca SpA ), assicurazioni, distributori commerciali, agenzie di comunicazione, aziende attive nel direct marketing, utilities (tra i quali C.I.P. srl), case automobilistiche, broker, società finanziarie (tra i quali Dynamica Retail SpA , Sigla Srl), personal advisor /consulenti finanziari/gestione patrimoniale, fornitori di servizi elettrici e/o energetici (tra i quali Enel Energia SpA, Eni Gas e Luce SpA ,Acea Energia Spa, A2A Spa , Edison SpA, Hera Comm Spa, Iren Luce e Gas SpA, Illumia SpA, Made in Energy SpA, Olimpia Srl, Optima SpA, Iberdrola SpA, Green Network SpA ), fornitori di servizi di telefonia fissa e/o mobile e/o ADSL/Fibra ottica (tra i quali Fastweb SpA, Linkem SpA, Telecom Italia SpA, Vodafone SpA), case editrici, distributori e editori di quotidiani, periodici e libri, fornitori di prodotti enogastronomici, fornitori materiale per ufficio, fornitori di servizi TV digitale e/o satellitare ed emittenti televisive, produttori e/o distributori di articoli per l’infanzia, aziende che operano nell’ambito dei beni di largo consumo, associazioni senza scopo di lucro (ivi compresi organizzazioni, partiti e movimenti politici, sindacali, religiosi, filosofici, associazioni ricreative e sportive) e enti pubblici e privati, società intermediarie. Tali soggetti tratteranno i dati personali in qualità di “autonomi titolari del trattamento” per attività promozionali di marketing, comprese ricerche e sondaggi di opinione, su prodotti e servizi propri o di società terze, attraverso strumenti automatizzati (e-mail, sms, fax, mms, messaggi su social network, whatsapp, messenger, applicazioni di messaggistica istantanea online, notifiche push web e mobile) e non automatizzati (posta cartacea, telefono con operatore). La base giuridica del trattamento dei dati per tale finalità è l’art. 6.1.a) del GDPR»).

L’utilizzo di formule per l’acquisizione del consenso al trattamento dei dati personali per la cessione a terzi ai fini marketing così ampie e generiche, da non permettere all’interessato di esprimere una volontà granulare e differenziata per esempio in relazione alla categoria merceologica delle offerte commerciali che desidera ricevere (i.e. telefonia, forniture energetiche, servizi assicurativi, moda, auto ecc.) o che in ragione delle peculiari configurazioni dei form e delle informative utilizzate, non consenta di manifestare agevolmente anche la propria volontà in ordine agli strumenti attraverso cui veicolare le comunicazioni promozionali, non permette di acquisire una valida, consapevole e inequivocabile manifestazione di volontà dell’interessato, dal momento che finisce per realizzare un’incontrollabile diffusione di dati personali a favore di una platea indistinta di operatori, minando anche la possibilità di esercitare efficacemente i diritti riconosciuti dalla legge a favore dei soggetti interessati.

La manifestazione di volontà in ordine alla cessione dei dati a terzi per finalità di marketing, può considerarsi realmente libera soltanto se all’interessato è garantita una scelta effettiva e il controllo sui propri dati personali (cfr. Linee guida n. 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679, par. 3.1 «L’elemento della manifestazione di volontà “libera” implica che l’interessato abbia una scelta effettiva e il controllo sui propri dati. Come regola generale, il regolamento stabilisce che se l’interessato non dispone di una scelta effettiva o si sente obbligato ad acconsentire oppure subirà conseguenze negative se non acconsente, il consenso non sarà valido. Se il consenso è un elemento non negoziabile delle condizioni generali di contratto/servizio, si presume che non sia stato prestato liberamente. Di conseguenza, il consenso non sarà considerato libero se l’interessato non può rifiutarlo o revocarlo senza subire pregiudizio. Il regolamento generale sulla protezione dei dati ha preso in considerazione anche la nozione di squilibrio tra titolare del trattamento e interessato» e par. 3.1.3 «Se il titolare del trattamento ha riunito diverse finalità di trattamento e non ha chiesto il consenso separato per ciascuna di esse non c’è libertà. La granularità è strettamente correlata alla necessità che il consenso sia specifico, come analizzato nella sezione 3.2. Quando il trattamento di dati mira a perseguire finalità diverse, la soluzione per soddisfare le condizioni per la validità del consenso risiede nella granularità, ossia nella separazione delle finalità e nell’ottenimento del consenso per ciascuna di esse»). Di converso, tale prerogativa risulta frustrata, alla stregua di quanto avvenuto nel caso di specie, mediante l’utilizzo di formule di consenso e accorgimenti grafici che hanno l’effetto di trasferire i dati personali a una platea indistinta di destinatari, operante in settori anche molto diversi tra loro o addirittura a call center plurimandatari.

Invero, l’interessato deve essere posto in condizione di manifestare in maniera libera, granulare e specifica la propria volontà e dunque di potere scegliere anche per macro-categorie rispetto a quali prodotti o servizi, ricevere comunicazioni promozionali (p.e. attraverso l’implementazione di appositi form che consentano di selezionare macro-categorie merceologiche o categorie di destinatari).

A contrariis l’interessato che voglia ricevere per esempio soltanto offerte relative ai servizi di fornitura energetica, è posto dinanzi alla binaria condizione di non conferire alcun consenso oppure di conferirlo e ricevere una moltitudine di comunicazioni commerciali riguardanti anche servizi che nulla hanno a che vedere con l’ambito energetico, con una conseguente e indebita intrusione nella propria sfera di riservatezza e un’irrimediabile perdita di controllo sui propri dati personali.

L’utilizzo di moduli siffatti, peraltro, redendo difficoltoso risalire alla fonte dei dati e al titolare del trattamento, mina la possibilità di esercitare i diritti riconosciuti all’interessato anche in ordine alla scelta dei mezzi utilizzati per la ricezione delle comunicazioni commerciali (cfr. Provv. n. 242/2013 Consenso al trattamento dei dati personali per finalità di "marketing diretto" attraverso strumenti tradizionali e automatizzati di contatto, doc. web. n. 2543820, che sebbene risalente contiene principi di perdurante validità, nella parte in cui prescrive che «dall’informativa risulti, altresì, la possibilità per l’interessato, il quale non intenda prestare il consenso nei termini sopra indicati, di manifestare l’eventuale volontà di ricevere comunicazioni per le suddette finalità esclusivamente attraverso modalità tradizionali di contatto, ove previste; d) tale volontà sia resa esercitabile in maniera agevole e gratuitamente ai sensi del citato art. 7, comma 4, del Codice»).

Parimenti anche i trenta contratti conclusi mediante il portale  offerteenergetiche.it e riconducibili anche essi alla Società RG Group S.r.l., risultano stipulati sulla base di un contatto illecito, giacchè realizzato in assenza della previa acquisizione di un consenso valido ed efficace ai sensi della vigente normativa.

Visitando il richiamato portale, nella titolarità di Skill S.r.l., è visibile un form utile al conferimento dei dati per la fruizione del servizio di «consulenza energetica». In calce al form, è presente soltanto un modulo di acquisizione del consenso, flaggando il quale l’interessato dichiara «PRENDO ATTO del trattamento dei dati personali per l’esecuzione dei servizi richiesti, avendo letto l'Informativa sulla Privacy di Skill s.r.l. (Obbligatorio) clicca qui per visionarli e selezionarli singolarmente».

Soltanto cliccando all’interno del modulo appena richiamato, compaiono ulteriori formule di consenso (cfr. «Confermo presa visione dell’Informativa Privacy e prendo atto che i miei dati saranno trattati da Skill s.r.l. e comunicati alle società partner (Invia una mail a privacy@skillsrl.it per ricevere l’elenco completo dei nostri partner) per essere ricontattato in relazione al prodotto/servizio richiesto (obbligatorio); Confermo presa visione e accettazione delle Condizioni di Utilizzo (obbligatorio); Confermo presa visione delle informative Privacy degli Operatori (dati della/delle società Committenti) e prendo atto dei trattamenti previsti (obbligatorio); Acconsento ai trattamenti di cui all’Informativa Privacy. Questi consensi sono facoltativi clicca qui per visionarli e selezionarli singolarmente Acconsento al trattamento dei dati personali da parte di Skill s.r.l. per l’invio di comunicazioni promozionali e materiale pubblicitario, l’offerta di prodotti e/o servizi propri o di terzi, il compimento di sondaggi e ricerche di mercato, mediante ogni mezzo, tra cui in particolare l’uso di telefono con operatore e/o sistemi automatizzati (es. SMS, MMS, fax, autorisponditori, notifiche push, social media) Punto 2 lett. d) (facoltativo); Acconsento al trattamento dei dati personali da parte di Skill s.r.l. per la profilazione per finalità commerciali e di marketing sulla base delle modalità di utilizzo del sito offerteenergetiche.it Punto 2 lett. e) (facoltativo)»).

E’ di palmare evidenza che siffatte formule non appaiono in linea con la vigente normativa dal momento che non permettono di esprimere un consenso granulare, libero e distinto per le attività di marketing e per la cessione dei dati a terzi ai fini promozionali. Peraltro, anche gli accorgimenti tecnologici utilizzati e il riferimento all’obbligatorietà o meno, appaiono fuorvianti e carenti sotto il profilo della trasparenza.

Rilievi del tutto similari devono essere sollevati anche con riferimento ai venticinque contratti stipulati con l’ausilio del portale tariffiamo.com, nella titolarità di Datalia S.r.l, e riconducibili alle agenzie LC Trade S.r.l. e No&MI S.r.l..

Anche tale portale prima facie sembra acquisire consensi distinti per il trattamento dei dati personali ai fini di marketing e per la cessione dei dati a terzi ai fini promozionali (cfr. «Confermo di aver preso visione dell'Informativa privacy/Comunicazioni promozionali Leggi tutto Acconsento al trattamento dei miei dati per l’invio di comunicazioni promozionali da parte di Datalia srl. Con i seguenti mezzi (telefono con operatore, email, sms, fax, mms, notifiche push, messaggi su social network, autorisponditori, e/o posta cartacea), relative a prodotti e/o servizi di Datalia srl./Cessione dati a terzi Leggi tutto Acconsento di cedere i miei dati a terzi, partner del Titolare, per finalità di promozione commerciale secondo le modalità descritte al paragrafo “d” dell’informativa privacy”. L'elenco delle terze parti a cui possono essere ceduti i dati è presente a questo link:Privacy Terzi»).

Tuttavia consultando la lista dei terzi destinatari, emerge che i dati personali così raccolti sono trasferiti a poco più di trenta soggetti operanti nel campo energetico, telefonico e promozionale in genere (call center).

Allo stesso modo, anche i tre contratti sottoscritti con l’ausilio del portale www.ricercaofferte.com, nella titolarità di Runwhip S.r.l. e riconducibili a LC Trade S.r.l., non sono sorretti da un contatto lecito.

Alla stregua di quanto visto in precedenza, anche nel portale in questione è presente un form utile alla raccolta dei dati personali, al conferimento di un consenso per il marketing e di un consenso distinto per la cessione a terzi dei dati ai fini promozionali. Ciononostante i consensi acquisiti non presentano i prescritti requisiti di libertà, specificità e granularità dal momento che non è possibile scegliere, nè ridurre, la platea dei destinatari dei dati o dei mezzi utilizzati ai fini della veicolazione delle comunicazioni commerciali (cfr. informativa sul trattamento dei dati personali «Con il suo espresso consenso i dati personali possono essere comunicati a società terze clienti, committenti o partner del Titolare affinché procedano all’effettuazione di comunicazioni commerciali e inviate attraverso il web, posta, e-mail, telefono (sms, mms, telemarketing). Tali soggetti terzi (il cui elenco aggiornato è sempre a disposizione richiedendolo al Titolare attraverso la mail privacy@ 3hound.com ) appartengono alle categorie merceologiche sotto indicate: Comunicazioni: prodotti e servizi di comunicazioni e tecnologia etc.; Finanza e settore bancario: entità finanziarie, assicurazioni, investimento, previdenza sociale etc.; Tempo Libero: editoriali, turismo, sport, collezionismo, fotografia, passatempi, comunicazione e entertainment, arte, musica etc.; Distribuzione e commercio: elettronica, informatica, immagine e suono, moda, accessori, abbigliamento, tessile, bazar, cosmesi e igienico sanitario, chimica, farmaceutica e bio-tecnologia, agro-alimentare, supermercati, bevande, materiale di ufficio, arredamento etc.; Automotive: prodotti e servizi relazionati con auto, veicoli industriali, cicli e motocicli, camion, meccanica e metallurgia etc.; Energia e acqua: prodotti relazionati con elettricità, idrocarburi, gas, acqua e utilità etc.; ONG e associazioni: prodotti e servizi relazionati con organizzazioni no profit, fondazioni etc.; Educazione, formazione, istruzione, università etc.; Comunicazione e servizi: agenzie di pubblicità, di marketing, di mobile marketing, di eventi, di consulenza, advertising, PR, concessionarie di pubblicità, centri media, telecomunicazioni, ricerche di mercato etc.; Ecologia e ambiente: aziende che operano nel campo della transizione ecologica, nell'ambientale, eco-green, etc; Edilizia, ingegneria civile e prodotti/servizi immobiliari: costruzioni, decorazioni, casa, design, agenzie immobiliari etc; Fiere e manifestazioni, concerti, eventi etc.; Informatica, Internet, siti di e-commerce etc»).

Un contratto, poi, risulta stipulato mediante l’ausilio della piattaforma offerte-gas-luce.it e riconducibile all’agenzia RG Group S.r.l. Anche in questo caso, non risulta che la piattaforma permetta di conferire consensi che possano essere reputati validi ai sensi della vigente normativa, stante l’omessa pubblicazione sul sito dell’informativa sul trattamento dei dati e di indicazioni utili all’univoca individuazione del titolare del trattamento.

In conclusione, fatta eccezione per i contratti provenienti dal canale fisico o dalla piattaforma Switcho, per le ragioni appena illustrate i restanti 68 contatti effettuati nell’arco della cd. settimana campione non risultano sorretti da una valida base giuridica e valgono a integrare la violazione dell’art. 130 del Codice, nonché più in generale, degli artt. 5, par. 1, lett. a) e 6, par. 1, lett. a) del Regolamento, con riguardo al principio di liceità e alla necessità della base giuridica del consenso per legittimare il trattamento dei dati in questione per fini promozionali.

Pur riconoscendo, infatti, l’innegabile utilità sociale ed economica di siti web e applicazioni che possano aiutare l’utente a orientarsi nella moltitudine di offerte e tariffe presenti sul mercato – soprattutto nell’attuale momento storico caratterizzato dal passaggio al mercato libero nell’ambito delle forniture energetiche – si ritiene che tali legittimi interessi debbano comunque essere garantiti nel necessario bilanciamento col diritto alla riservatezza dell’interessato.

Ne consegue che l’utilizzo di formule per l’acquisizione del consenso al trattamento dei dati personali in ordine alla cessione a terzi per finalità di marketing così ampie e generiche in ordine alla numerosità e alla tipologia di cessionari, pure correttamente configurate in maniera tale da non presentare consensi cd. pre-flaggati, ma che tuttavia non permettano, per esempio, nemmeno di selezionare la categoria merceologica delle offerte commerciali che si desidera ricevere (i.e. telefonia, forniture energetiche, servizi assicurativi, moda, auto ecc.) o che in ragione delle peculiari configurazioni dei form e delle informative ostacolino l’esercizio dei diritti e non consentano di manifestare agevolmente anche la propria volontà in ordine agli strumenti attraverso cui veicolare le comunicazioni promozionali, non possono fare venire meno gli effetti della opposizione manifestata dall’interessato mediante l’iscrizione al Registro Pubblico delle Opposizioni, dal momento che non permettono di esprimere una valida, consapevole e inequivocabile manifestazione di volontà, realizzando invece un’incontrollabile diffusione di dati personali a favore di una platea indistinta di operatori.

In ossequio ai principi sanciti dalla vigente normativa, infatti, l’interessato deve essere posto in condizione di manifestare in maniera libera, granulare e specifica la propria volontà e dunque di potere scegliere anche per macro-categorie rispetto a quali prodotti o servizi, ricevere comunicazioni promozionali (p.e. attraverso l’implementazione di appositi form che consentano di selezionare macro-categorie merceologiche o categorie di destinatari).

In mancanza, all’interessato sarebbe concessa l’unica alternativa di rinunciare in toto alla ricezione di comunicazioni commerciali oppure di ricevere una moltitudine imprevedibile di comunicazioni commerciali, da parte di una indistinta platea di soggetti cessionari dei dati personali operanti in settori molto differenti tra loro (ivi compresi call center), riguardanti anche servizi che nulla hanno a che vedere con il suo ambito di interesse, con una conseguente e indebita intrusione nella propria sfera di riservatezza e un’irrimediabile perdita di governabilità sui propri dati personali.

Parimenti, l’utilizzo di accorgimenti testuali, grafici e tecnologici suscettibili di influenzare il comportamento dell’utente (p.e. sotto il profilo dell’agevole comprensione delle modalità e finalità del trattamento oppure del conferimento/revoca dei consensi) o addirittura preordinati a carpirne la volontà, non possono essere considerati in compliance con l’attuale normativa e influiscono anche sulla legittimità dei trattamenti effettuati utilizzando dati personali raccolti mediante le descritte modalità.

La sussistenza delle violazioni richiamate, risulta poi confermata anche dalla moltitudine di segnalazioni che l’Autorità ha ricevuto prima dell’avvio dell’istruttoria e in pendenza della medesima, circa la ricezione di chiamate promozionali effettuate nell’interesse di Energia Pulita, in assenza della previa acquisizione del consenso e, nella quasi totalità dei casi, utilizzando numerazioni non iscritte al ROC.

La numerosità delle doglianze e il tenore delle circostanze rappresentate, infatti, delineano costantemente un vero e proprio modus operandi ascrivibile al fenomeno del cd. telemarketing selvaggio.

In una nutrita casistica di doglianze, gli interessati lamentano di essere stati contattati non solo in assenza di un’idonea base giuridica, ma anche mediante l’utilizzo di un linguaggio e tecniche commerciali particolarmente insidiose.

Sovente l’operatore telefonico, fingendo di chiamare per conto di un altro titolare del trattamento (competitor oppure uffici amministrativi di fantasia) informa l’utente circa la sussistenza di fantomatici problemi tecnico-amministrativi, bonus oppure ancora rincari di tariffa, per poi proporre l’attivazione di una fornitura energetica proprio con Energia Pulita (cfr. Fascicolo n. 381587 «L'operatrice conosceva il mio nome/cognome e proponeva il passaggio a Energia Pulita per evitare presunti aumenti statali del 30% sulla fornitura di energia elettrica»; Fascicolo n. 331890 «L'operatrice si è prima spacciata per il Servizio Elettrico Nazionale, con cui ho attualmente la fornitura, dicendo che sarei passata ad Energia Pulita dal 1 marzo 2024 automaticamente e chiedendomi di confermare i dati per l'attivazione. Alla mia risposta che so che il passaggio al mercato a tutele graduali è il 1 aprile e che quindi fino a quel momento posso cambiare operatore quando voglio, ha cominciato a diventare aggressiva e poi ho riattaccato»; Fascicolo n. 337805 «Ho parlato con una persona che qualificandosi per dipendente del servizio elettrico nazionale di maggior tutela (con cui io ho un contratto) mi chiedeva dati per poter spostare il mio contratto che per legge è stato ceduto al nuovo gestore individuato (Energia Pulita)»).

Si aggiunga, poi, che dalle verifiche condotte presso il ROC e per stessa ammissione della Società, alcuni contatti oggetto di segnalazione sono risultati riconducibili all’agenzia RG Group S.r.l., alla quale Energia Pulita aveva conferito la nomina a responsabile o alle sue sub-responsabili (i.e. Rocket S.r.l. e Dialtech S.r.l.s).

Peraltro anche l’incisiva casistica di repentini switch richiesti dai clienti ed evidenziata dai riscontri forniti sulle segnalazioni - dai quali emerge che in otto casi, i segnalanti avevano attivato una fornitura con Energia Pulita soltanto per un mese o poco più - costituisce un’ulteriore conferma dell’avvenuta realizzazione di attività promozionali con mezzi e modalità non in linea con la vigente normativa.

Del resto anche la procedura di gestione delle richieste di ricontatto trasmesse dagli interessati compilando i form presenti sul sito web aziendale, non risulta idonea ad assicurare l’esattezza e la legittima provenienza dei dati personali, dal momento che l’unica guarentigia in tal senso approntata dal titolare è quella di impedire la conclusione di contratti mediante delegato nell’ambito dei canali diversi da quelli fisici.

Sotto altro e diverso profilo, le risultanze emerse nel corso del procedimento valgono a ritenere accertata anche l’avvenuta violazione degli obblighi gravanti sul titolare del trattamento ai sensi degli artt. 5, 24, 25, 28 e 32 del Regolamento.

Da un lato, infatti, tutta la documentazione e le deduzioni versate agli atti del procedimento, pur restituendo il quadro di una compagine sociale sensibile alla materia della protezione dei dati personali, denota al contempo un notevole ritardo nell’adeguamento agli obblighi imposti dalla vigente normativa.

Dall’altro, dall’istruttoria espletata è emerso che la Società ha omesso di effettuare doverosi controlli sull’intera filiera del trattamento e di implementare misure di sicurezza tecniche e organizzative adeguate a scongiurare il rischio dell’attivazione di forniture derivanti da contatti illeciti, alimentando così l’indotto del cd. sottobosco del telemarketing.

In prima istanza si rileva che numerose misure e accorgimenti in materia di protezione dei dati personali sono state poste in essere soltanto tra la fine del 2023 e gli inizi del 2024, dunque a distanza di diversi anni dall’entrata in vigore del Regolamento europeo sulla protezione dei dati.

A tale riguardo, nemmeno può essere accolta l’eccezione avanzata dal titolare in base alla quale tale ritardo sarebbe dovuto alle negoziazioni occorse con Green Network S.p.A., dal momento che la Società ha dichiarato che l’acquisizione del ramo d’azienda è avvenuta in data 16 gennaio 2023, mentre il percorso di compliance aziendale – si ribadisce - è stato intrapreso soltanto tra la fine del 2023 e gli inizi del 2024.

Peraltro, in virtù dei principi della privacy by default e della privacy by design, sul titolare del trattamento grava l’obbligo di adottare misure tecniche e organizzative adeguate in relazione ai rischi per i diritti e le libertà degli interessati prima della realizzazione delle operazioni di trattamento e, poi, di aggiornare costantemente il proprio impianto privacy anche in relazione all’evoluzione tecnologica e socio-economica.

Inoltre, prima dell’avvio del richiamato percorso di compliance, la Società non aveva ancora adottato alcune misure minime e indispensabili, che prescindono dalle caratteristiche dimensionali dell’azienda.

Il riferimento è per esempio alla formalizzazione e attuazione di una efficace procedura di selezione di fornitori e agenti, che ai sensi dell’art. 28 del Regolamento assicuri ex ante di avvalersi soltanto di soggetti in possesso di idonee competenze in materia di protezione dei dati personali (cd. culpa in eligendo). Ma simili considerazioni possono essere condotte anche in relazione alla ritardata implementazione di un meccanismo di check call bloccante, che impedisca l’ingresso nei sistemi aziendali di contratti stipulati a valle di contatti illeciti, alla formazione dei collaboratori, alle idonee misure di sicurezza per l’accesso ai sistemi (p.e. MFA e tracciamento IP).

Tanto le risultanze emerse dai controlli effettuati sulla cd. settimana campione, quanto la documentazione agli atti del procedimento, attestano poi anche l’avvenuta – e perdurante - violazione degli obblighi gravanti sul titolare del trattamento in relazione al controllo e alla vigilanza sull’operato dei responsabili del trattamento (cd. culpa in vigilando), correlata alla previsione di adempimenti meramente formali, poi non seguita dall’effettiva realizzazione in concreto di efficaci e penetranti iniziative di verifica anche in loco o a campione.

Difatti numerosi contatti oggetto di doglianza e realizzati in assenza dei presupposti di legittimità, all’esito delle verifiche condotte presso il ROC o per stessa ammissione della Società, sono stati effettuati proprio da agenzie operanti per conto di Energia Pulita.

A tale riguardo assume particolare rilevanza la circostanza che, pur avendo dichiarato di acquisire copia dei contratti di noleggio, il titolare si sia avvalso di liste di contattabilità formate sulla base di dati personali raccolti attraverso portali web che non presentavano idonee garanzie in ordine alla provenienza dei dati personali, alla corretta acquisizione dei consensi degli interessati e al conferimento dell’informativa sul trattamento dei dati personali.

Peraltro, la circostanza che la Società abbia documentato l’effettivo svolgimento di attività di auditing e formazione soltanto a partire dal 2024, anche sotto tale profilo, vale a confermare ulteriormente l’avvenuto inadempimento degli obblighi gravanti sul titolare ai sensi dell’art. 28 del Regolamento.

Infine, con riferimento alle informative presenti sul sito web della società in relazione ai trattamenti effettuati per la gestione dei curricula e delle candidature, pur apprezzando lo sforzo profuso dal titolare in ordine all’aggiornamento delle informative in questione già in pendenza del procedimento, risulta accertata l’avvenuta violazione dei principi di chiarezza e trasparenza di cui agli artt. 5, 12 e 13 del Regolamento, sia in relazione alla liceità del trattamento e sia alla sussistenza di un’idonea base giuridica ai sensi degli artt. 5, 6, 7 e 9 del Regolamento e 111- bis del Codice.

Il trattamento dei dati personali, infatti, è realizzato in ottemperanza a tali basilari e fondamentali principi allorquando l’interessato sia reso adeguatamente edotto circa le finalità e le modalità del trattamento e dunque posto nelle condizioni di conferire in maniera informata e consapevole i propri dati personali.

Ne consegue che in caso di form compilabili on-line, l’informativa deve essere immediatamente disponibile per la consultazione prima dell’effettivo conferimento dei dati, non potendo valere ad assolvere a tale obbligo una declaratoria meramente successiva ed eventuale.

Nel caso di specie il form utile all’inoltro delle candidature era finalizzato alla raccolta dei dati personali appartenenti ai potenziali candidati interessati a collaborare con la Società e a parere di quest’ultima la circostanza che l’informativa venisse resa in sede di colloquio poteva considerarsi equivalente o comunque sufficiente a sopperire al mancato conferimento della stessa in una fase antecedente alla raccolta dei dati.

Tale valutazione non è condivisibile, giacché contraria alla ratio e allo spirito della normativa, ma soprattutto perché in caso di mancato colloquio, di fatto il potenziale candidato finisce per conferire una serie di dettagliate informazioni personali, magari anche di natura particolare in caso (per esempio) di appartenenza a una categoria protetta, senza la possibilità di conoscere le finalità e le modalità del trattamento o i canali messi a disposizione dal titolare per l’esercizio dei diritti riconosciuti all’interessato ai sensi degli artt. 15 e ss. del Regolamento. 

Per altro verso, nelle versioni precedenti delle informative in discorso, il titolare non aveva nemmeno individuato correttamente la base giuridica del trattamento, con conseguenti ricadute sulla liceità e trasparenza dei trattamenti e sui consensi eventualmente prestati.

Sul punto non può essere accolta l’eccezione avanzata dal titolare in relazione alla circostanza che l’errata individuazione della base giuridica non costituisca una violazione rilevante o suscettibile di arrecare nocumento all’interessato, dal momento che la base giuridica è un elemento essenziale dell’informativa e costituisce il fondamento di liceità del trattamento. Inoltre, l’identificazione della base giuridica è strettamente correlata anche all’individuazione dei diritti esercitabili dall’interessato (i.e. opposizione, revoca del consenso). Peraltro le norme sulla protezione dei dati sono preordinate a tutelare un interesse fondamentale della persona, rispetto al quale il Legislatore ha pacificamente approntato una tutela anticipata e indipendente dalla verificazione di un danno patrimoniale o non patrimoniale.

Per tutte le ragioni illustrate, nel caso di specie, non ricorrono i presupposti per ritenere applicabile il regime delle violazioni minori, per come previsto e interpretato anche alla luce del Considerando n. 148 e dei recenti arresti della CGUE,  avuto anche riguardo alla numerosità dei soggetti interessati coinvolti, alla durata della violazione e alla natura particolarmente insidiosa dei mezzi utilizzati per porre in essere le condotte oggetto di accertamento correlata alla pervasività dei portali web e internet, nonché alla circostanza che le misure sino ad ora adottate dal titolare, non sono sufficienti a porre pienamente rimedio alle violazioni accertate.

Deve quindi definitivamente confermarsi la responsabilità di Energia Pulita in ordine alle violazioni contestate.

4. CONCLUSIONI

Per quanto sopra esposto si ritiene accertata la responsabilità di Energia Pulita in ordine alle seguenti violazioni:

a) artt. 5, 6, 7, 24, 32 e 25 del Regolamento, nonché dell’art. 130 del Codice per aver effettuato trattamenti di dati personali in contrasto con i principi di liceità e responsabilizzazione, in assenza di un’idonea base giuridica e mettendo in atto misure tecniche e organizzative non adeguate a garantire, fin dalla progettazione, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento;

b) artt. 5, 24, 25, 28, 29 e 32 del Regolamento per avere effettuato trattamenti di dati personali avvalendosi di soggetti interni ed esterni all’organizzazione aziendale, in violazione degli obblighi gravanti sul titolare del trattamento in ordine all’individuazione, formazione, direzione e monitoraggio sull’operato dei soggetti designati (cd. culpa in eligendo e culpa in vigilando);

c) artt. 5, 6, 7, 9, 12 e 13, nonché dell’artt. 111 bis Codice per avere effettuato trattamenti di dati personali in assenza della previa e corretta individuazione della base giuridica del trattamento e del conferimento della prescritta informativa.

Accertata, quindi, l’illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, si rende altresì necessario:

- imporre a Energia Pulita, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore trattamento dei dati appartenenti ai segnalanti sopra richiamati;

- ingiungere a Energia Pulita, ai sensi dell’art. 58, par. 2, lett. d) ed e) del Regolamento, di comunicare ai 68 interessati, i cui dati anagrafici sono confluiti nei sistemi della Società a seguito di contatti illeciti, gli esiti dell’odierno procedimento in base ad un testo da concordare con l’Autorità in sede di applicazione del presente provvedimento;

- ingiungere a Energia Pulita, ai sensi dell’art. 58, par. 2, lett. d) di predisporre adeguati controlli presso la propria rete di vendita e adeguate implementazioni dei sistemi, al fine di escludere che possano fare ingresso nel patrimonio aziendale contratti generati da contatti illeciti;

- adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Energia Pulita della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento.

5. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Energia Pulita della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento (pagamento di una somma fino a € 20.000.000,00 ovvero, per le imprese con oltre 500.000.000 di euro di fatturato, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore).

Per la determinazione del massimo edittale della sanzione pecuniaria, occorre pertanto fare riferimento al fatturato di Energia Pulita, come ricavato dall’ultimo bilancio d’esercizio disponibile (marzo 2024) in accordo con i precedenti provvedimenti adottati dall’Autorità, e quindi si determina tale massimo edittale, nel caso in argomento, in euro 20.000.000,00.

Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.

Nel caso in esame, assumono rilevanza:

1) la gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento), tenuto conto dell’oggetto e delle finalità dei dati trattati, riconducibili al fenomeno complessivo del telemarketing, in ordine al quale l’Autorità ha adottato, in particolare negli ultimi cinque anni, numerosi provvedimenti, nonché il Codice di Condotta in materia di telemarketing, che hanno compiutamente preso in esame molteplici elementi di criticità fornendo ai titolari numerose indicazioni per adeguare i trattamenti alla normativa vigente e per attenuare l’impatto delle chiamate di disturbo nei confronti degli interessati;    

2) quale fattore attenuante, (art. 83, par. 2, lett. f) del Regolamento) il grado di cooperazione con l’Autorità di controllo al fine di porre rimedio alla violazione.

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative e funzionali della Società, si ritiene debba applicarsi a Energia Pulita la sanzione amministrativa del pagamento di una somma di euro 300.000,00, pari allo 1,5% della sanzione massima edittale.

Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della natura dei trattamenti e delle condotte della Società, nonché degli elementi di rischio per i diritti e le libertà degli interessati.

In attuazione dei principi di cui all’art. 83 del Regolamento, l’irrogazione di tale sanzione accessoria appare ragionevole e proporzionata in relazione alla numerosità dei soggetti interessati coinvolti, alla durata delle violazioni e alla peculiare pericolosità e pervasività delle condotte oggetto di accertamento, correlata all’utilizzo di portali web e internet.

Ricorrono, infine, i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

a) impone a Energia Pulita, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore trattamento dei dati personali appartenenti ai segnalanti sopra richiamati;

b) ingiunge a Energia Pulita, ai sensi dell’art. 58, par. 2, lett. d) ed e) del Regolamento, di comunicare ai 68 interessati, i cui dati anagrafici sono confluiti nei sistemi della Società a seguito di contatti illeciti, gli esiti dell’odierno procedimento in base ad un testo da concordare con l’Autorità in sede di applicazione del presente provvedimento;

c) ingiunge a Energia Pulita, ai sensi dell’art. 58, par. 2, lett. d) di predisporre adeguati controlli presso la propria rete di vendita e adeguate implementazioni dei sistemi, al fine di escludere che possano fare ingresso nel patrimonio aziendale contratti generati da contatti illeciti;

d) ingiunge a Energia Pulita, ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel termine di trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte alle precedenti lettere; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

ORDINA

a Energia Pulita S.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Milano (MI), via Vincenzo Monti, 48, P. IVA 10802400969, di pagare la somma di euro 300.000,00 (trecentocentomila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 300.000,00 (trecentocentomila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

a) la pubblicazione del presente provvedimento, ai sensi degli artt. 154-bis del Codice e 37 del Regolamento n. 1/2019;

b) l’applicazione della sanzione accessoria della pubblicazione sul sito del Garante della presente ordinanza di ingiunzione, come previsto dagli artt. 166, comma 7 del Codice e 16 del Regolamento del Garante n. 1/2019;

c) l’annotazione del presente provvedimento nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 febbraio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei