VEDI ANCHE Comunicato stampa del 7 maggio 2025

 

[doc. web n. 10127964]

Provvedimento del 10 aprile 2025

Registro dei provvedimenti
n. 229 del 10 aprile 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il Dott. Claudio Filippi - Segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018 n. 101, recante disposizioni per l'adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

Il Garante, nell’esercizio dei poteri di cui agli artt. 157 e 158 del Codice, ha svolto attività ispettive di concerto con il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, a seguito di un esposto che il medesimo Nucleo ha ricevuto da parte di un redattore del programma televisivo “Striscia la notizia”, il sig. XX.

In estrema sintesi, nell’esposto è stato descritto un fenomeno già noto all’Autorità, ovvero quello delle attività di call-center abusivi (perché operanti in assenza di formale incarico da parte dei committenti e spesso non censiti presso il Registro degli operatori di comunicazioni – ROC, obbligo invece previsto per tutti gli operatori di call-center) in possesso di liste anagrafiche di soggetti da contattare telefonicamente per proporre l’attivazione di forniture di servizi telefonici o energetici (gas e luce) anche mediante il passaggio da un gestore all’altro.

In particolare, partendo dalle informazioni ricevute da un ex operatore di uno dei call-center coinvolti nella presente istruttoria, nell’esposto sono state portate alla luce le pratiche scorrette per il procacciamento di contratti nel settore dell’energia e del gas attuate dalle imprese M.G. Company s.r.l., con sede legale in Fiumicino e sedi operative in Roma, Fiumicino, Ladispoli e Terracina, e Diemme Group di Di Vico Luigi. Con riferimento a M.G. Company, l’ex operatore di call-center - che ha fornito le informazioni oggetto della denuncia in forma anonima - ha riferito di essere stato un collaboratore della stessa società e di aver ricevuto, per le proprie prestazioni, emolumenti da parte di Diemme Group.

Lo schema operativo utilizzato da M.G. Company per far sottoscrivere contratti di forniture a potenziali clienti è stato così descritto:

a) utilizzo di liste di contatto: gli operatori dei call-center di M.G. Company disponevano di elenchi di clienti che avevano effettuato il passaggio della propria utenza luce e/o gas da un gestore ad un altro (cd. liste di clienti switch-out) e procedevano a contattarli per convincerli a sottoscrivere un nuovo contratto con la compagnia energetica committente di turno (nel caso di specie, Acea Energia S.p.A.);

b) prospettazione di inesistenti disguidi tecnici nel passaggio dal gestore “uscente” al gestore “entrante”: per vincere la diffidenza e indurre i soggetti contattati ad attivare una fornitura con Acea Energia, gli operatori del call-center rappresentavano al potenziale cliente che l’operazione di cambio fornitore, che lo stesso aveva da poco realizzato, avrebbe determinato l’insorgere di disguidi, in particolare perché i due gestori coinvolti nel cambio della fornitura avrebbero richiesto al “titolare dei contatori”, a dire degli operatori Acea Energia, di fornire il dettaglio dei consumi del medesimo mese. Ciò, sempre nella prospettazione degli operatori, avrebbe determinato una doppia fatturazione da parte delle due compagnie coinvolte (quella in disattivazione e la nuova in via di attivazione) in danno del cliente;

c) prospettazione della soluzione: l’operatore di call-center prospettava quindi al cliente la soluzione di un “rientro tecnico” in Acea Energia “per il tempo necessario a sistemare il disguido e allineare le forniture”. Tale rientro sarebbe avvenuto a condizioni tariffarie estremamente vantaggiose (con il 40% di sconto) in ragione dei disagi patiti;

d) invio di un agente porta-a-porta per la sottoscrizione della proposta di contratto: una volta convinto il potenziale cliente ad aderire alla soluzione proposta, l’operatore del call-center fissava un appuntamento con quello che veniva definito un “incaricato Acea”. Questi si recava quindi presso l’abitazione del cliente, non prima di aver ricevuto tramite WhatsApp dall’operatore il file audio delle conversazioni telefoniche realizzate, e lì provvedeva all’annullamento di tutti i contratti attivi e alla sottoscrizione di un nuovo contratto con Acea Energia. L'invio del file audio aveva proprio lo scopo di rendere edotto il runner (vale a dire il venditore porta-a-porta) delle argomentazioni fittizie utilizzate al telefono per convincere il potenziale cliente al fine di adottare interlocuzioni più credibili nel corso della visita a domicilio.

L’attività così descritta, per il tramite della Ditta Individuale Stefanelli Federica (formalmente il punto di contatto con Acea Energia), ha portato a registrare sui sistemi di Acea Energia S.p.A. un volume di contratti pari a circa 11.500 punti di fornitura nel 2022, a circa 13.700 nel 2023 e a circa 1.330 nei primi tre mesi del 2024, generando provvigioni per circa 480.000 euro per il 2022 e per circa 1.500.000 euro nel 2023.

Dagli approfondimenti effettuati dalla Guardia di Finanza sono emersi intrecci e connessioni fra diverse imprese commerciali (non limitate a quelle indicate nell’esposto) e persone fisiche che sono apparse univocamente riconducibili alle attività di procacciamento di contratti per l’attivazione di forniture di servizi energetici in favore di diverse compagnie.

Alla luce delle informazioni raccolte, il Garante ha disposto lo svolgimento di accertamenti ispettivi nei confronti dei seguenti soggetti (attività ispettive svolte in contemporanea il 26 marzo 2024 da parte di personale della Guardia di finanza e del Garante):

1) M.G. Company s.r.l., nella sede legale di Fiumicino (via dei Delfini 1, presso il negozio a insegna “Energia e non solo…”) e nelle sedi operative di Latina (piazza dell’Agorà, locali ad insegna M.G. Company s.r.l.), Terracina (piazza Gregorio Antonelli 14/16) e Ladispoli (via delle Rose 12-14-16);

2) Diemme Group di Di Vico Luigi, presso il negozio a insegna “Energia e non solo…” sito in Roma, via Carlo Zucchi n. 13/15, i cui locali sono di proprietà della società Elanim s.r.l., il cui socio unico è il sig. Di Vico Luigi, locali che risultano affittati alla società M.G. Company s.r.l., che a sua volta ne ha concesso l’uso a Diemme Group;

3) Ditta Individuale Stefanelli Federica, con domicilio fiscale in Terracina e luogo di esercizio delle attività in Fiumicino, via Brunelleschi 47, ove ha sede legale anche la Elanim s.r.l., società il cui socio unico è il sig. Di Vico Luigi (titolare anche della Diemme Group). La sig.ra Stefanelli ha dichiarato di effettuare contatti promozionali mediante “mandato porta a porta per conto di Acea dal 4 luglio 2022 ad oggi”;

4) M&M s.r.l.s., con sede legale e operativa in Terracina, piazza Gregorio Antonelli 14/16, anche sede operativa di M.G. Company s.r.l.;

5) Ditta Individuale XX, negli uffici di Torino, che non sono risultati operativi: XX risultava legato operativamente sia alla M.G. Company s.r.l. che a Di Vico Luigi, dai quali ha ricevuto emolumenti nell’ambito dell’attività di “procacciatore d’affari senza prevalenza”;

6)    Acea Energia S.p.A., nella sede legale di piazzale Ostiense n. 2, Roma.

Sulla base dei riscontri emersi nel corso delle attività del 26 marzo 2024 presso la società M.G. Company, il Garante ha disposto di svolgere ulteriori accertamenti nei confronti delle società Fer-Energy Call s.r.l. e Fer-Energy s.r.l., attività ispettive svoltesi il 29 marzo 2024, rispettivamente, presso le sedi di Roma, viale Palmiro Togliatti n. 1613 e di Civitavecchia, via delle Azalee snc.

2. LA CONTESTAZIONE DELLE VIOLAZIONI

2.1. Panoramica generale

Il complesso degli accertamenti ha portato a considerare le attività svolte dai diversi soggetti ispezionati e dai numerosi collaboratori che ruotano attorno ad essi, come univocamente indirizzate a realizzare un massivo procacciamento di contratti di fornitura di servizi energetici con modalità illecite.

Tali contratti sono risultati in gran parte veicolati verso la compagnia energetica Acea Energia S.p.A., che ha potuto avvalersi, dal 2020 al 2021, della collaborazione di M.G. Company s.r.l. L’interruzione del rapporto di collaborazione con M.G. Company, avvenuta formalmente nel marzo del 2021, è di fatto ripreso nella seconda metà del 2022 attraverso la Ditta Individuale Stefanelli Federica (la cui titolare è stata collaboratrice di M.G. Company dal 2019 al 2022) la quale, fra il 2022 e il 2024, ha trasmesso alla compagnia energetica Acea un volume di contratti relativi a circa 27.000 punti di fornitura fatturando oltre due milioni di euro per provvigioni.

Nonostante l’indicato avvicendamento nei rapporti di collaborazione formale con Acea Energia, gli accertamenti ispettivi hanno consentito di rilevare la sostanziale continuità delle attività di procacciamento di contratti, attività che ha avuto il suo centro organizzativo negli uffici della M.G. Company siti in Terracina, piazza Gregorio Antonelli 14/16.  

Va altresì rappresentato che quanto emerso dagli accertamenti ispettivi è apparso riconducibile ad una collaudata organizzazione capace di individuare specifici punti di vulnerabilità del sistema di controllo delle attività di telemarketing e di rendere maggiormente complessa l’attività di ricostruzione della catena di responsabilità in ragione della commistione di ruoli, di figure, di competenze, di aziende, di punti-vendita e di sedi, in base alla quale ogni luogo che ha formato oggetto di attività ispettiva è risultato ospitare più ditte aventi ruoli differenti anche se spesso costituite dalle medesime persone.

Ciò rende ancor più allarmante il fenomeno se si considera che i dati personali di ciascun cliente, che riteneva in buona fede di sottoscrivere un contratto con una delle strutture commerciali di una determinata compagnia energetica, sono transitati fra più soggetti, per lo più sprovvisti dei principali presidi di sicurezza idonei a garantire la riservatezza di informazioni di particolare rilevanza, quali ad esempio, quelle relative alle modalità di pagamento.

Quanto emerso dagli accertamenti ispettivi svolti dalla Guardia di Finanza, inoltre, ha consentito di delineare un quadro estremamente grave e allarmante in relazione al complesso di attività svolte dalle società M.G. Company s.r.l., dalla D.I. Stefanelli Federica, da Diemme Group di Di Vico Luigi e da Fer-Energy s.r.l., attività che si sono concretizzate nella promozione dei servizi di compagnie energetiche (in particolare, per la parte che qui interessa, Acea Energia S.p.A.).

In relazione alla società Fer-Energy Call s.r.l., invece, pur non essendo stato evidenziato il coinvolgimento nel sistema sopra descritto, è stato comunque accertato un utilizzo illecito delle liste di switch-out che l’altra società del gruppo, la Fer-Energy s.r.l., provvedeva a reperire con modalità illecite e a comunicare alle diverse società coinvolte. In tali ultimi rapporti, è emersa la figura del sig. XX come soggetto che teneva i contatti con i personaggi che, a richiesta, provvedevano a fornire le liste dei clienti in switch-out. Al tempo delle verifiche ispettive, il sig. XX ricopriva il ruolo di procuratore speciale di Fer-Energy s.r.l. e quello di rappresentante legale di Fer-Energy Call s.r.l.

L’Ufficio, in data 4 ottobre 2024, ha provveduto, pertanto, ad inviare la comunicazione di avvio del procedimento ex art. 166 del Codice Privacy (di seguito “atto di contestazione”) n. 116132/24, prospettando per le società M.G. Company s.r.l., Fer-Energy s.r.l., Fer-Energy Call s.r.l. e per le Ditte Individuali Stefanelli Federica e Diemme Group, specifiche ipotesi di violazione meglio dettagliate di seguito. Si precisa che, limitatamente a Diemme Group, la notifica dell’atto di contestazione è stata rinnovata in data 31 ottobre 2024 a causa della irreperibilità del titolare nei luoghi precedentemente individuati. L’atto di contestazione deve intendersi qui integralmente riportato.

2.2. M.G. Company S.r.l.

Alla società sono state contestate le violazioni degli artt. 5, par. 1, lett. a) e par. 2, artt. 6, 13 e 14 del Regolamento, nonché dell'art. 130, comma 3 del Codice in quanto è emerso che la stessa fosse il centro organizzativo e decisionale di un’organizzazione tesa a realizzare un rilevante numero di chiamate promozionali, con conseguenti attivazioni contrattuali, utilizzando liste anagrafiche di provenienza illecita in assenza di idonea base giuridica per il relativo trattamento dei dati personali. Non è, infatti, risultato documentato che gli interessati, le cui anagrafiche erano presenti in dette liste, avessero espresso - sin dal momento della raccolta - un idoneo consenso per i trattamenti aventi finalità promozionali e per la comunicazione dei propri dati a terzi e nessun'altra base giuridica è risultata applicabile nel caso descritto, né è risultato che, quantomeno al momento del contatto promozionale, gli interessati avessero ricevuto dalla società una idonea informativa sui trattamenti di dati svolti e da svolgere.

Alla società sono state contestate anche le violazioni degli artt. 5, par. 1, lett. f), 28 e 32 del Regolamento in quanto, da un lato, nonostante i trattamenti svolti in relazione al contratto di agenzia in essere fra Acea Energia e la Ditta Individuale Stefanelli Federica e quelli delegati ai propri collaboratori (dipendenti e Diemme Group di Di Vico Luigi), non sono risultati in essere atti di designazione quale responsabile del trattamento. Dall’altro, è risultato che M.G. Company ha avuto accesso ai database aziendali di Acea Energia S.p.A. in assenza di specifiche credenziali di accesso attribuitele in ragione del proprio ruolo e della propria attività di trattamento; tali accessi erano svolti dai diversi operatori dei call-center utilizzando un'unica credenziale di accesso non propria ma riferita a soggetti qualificati come agenti della Stefanelli (come ad es. XX).

2.3. Ditta individuale Stefanelli Federica

L’Autorità ha, in primo luogo, contestato alla D.I. Stefanelli Federica la violazione dell’art. 157 del Codice in relazione all’art. 58, par. 1, lett. a) e all’art. 31 del Regolamento, in quanto la sig.ra Stefanelli ha affermato che in nessun caso le attività di procacciamento di clienti per conto di Acea Energia fossero da lei effettuate mediante canali di vendita diversi dal “door-to-door”, nonostante fosse emerso che la stessa D.I. Stefanelli Federica avesse sottoscritto mandati con call-center che svolgevano esclusivamente attività di contatto mediante il mezzo telefonico (peraltro in forma illecita).

Inoltre, anche alla D.I. Stefanelli Federica sono state contestate le violazioni degli artt. 5, par. 1, lett. f) 28 e 32 del Regolamento, in quanto, da un lato non sono risultate esservi state designazioni quali responsabili esterni o sub-responsabili delle aziende e delle persone che hanno svolto in concreto le attività di procacciamento di clienti trattando i relativi dati personali; dall’altro, la D.I. Stefanelli Federica ha permesso a soggetti non autorizzati di accedere ai database aziendali di Acea Energia S.p.A. attraverso credenziali di autenticazione del portale XX che sono risultate attribuite formalmente a propri agenti.

2.4. Fer-Energy s.r.l.

Alla società Fer-Energy s.r.l. è stata contestata la violazione degli artt. 2, 5, parr. 1, 6, 7 e 13 del Regolamento per aver acquistato liste di anagrafiche senza aver accertato la corretta raccolta dei dati personali in esse presenti, nonché per aver trasferito tali dati a M.G. Company s.r.l. e all’altra società del gruppo (Fer-Energy Call s.r.l.), senza aver preventivamente reso agli interessati la necessaria informativa e acquisito dai medesimi il prescritto consenso alla comunicazione dei dati.

2.5. Diemme Group di Di Vico Luigi

L’Autorità ha contestato alla società Diemme Group di Di Vico Luigi la violazione degli artt. 2, 5, parr. 1, 6, 7 e 13 del Regolamento per aver trattato dati personali inseriti in liste anagrafiche di clienti del marcato energetico - coinvolti in operazioni di switch-out - in assenza di una idonea base giuridica e di una preventiva informativa agli interessati.

2.6. Fer-Energy Call s.r.l.

Anche in riferimento a Fer-Energy Call s.r.l., l’Autorità ha contestato la violazione degli artt. 2, 5, parr. 1, 6, 7 e 13 del Regolamento per aver trattato dati personali inseriti in liste anagrafiche di clienti del marcato energetico - coinvolti in operazioni di switch-out - in assenza di una idonea base giuridica e di una preventiva informativa agli interessati.

3. LE DIFESE DELLE SOCIETÀ

Quasi tutte le imprese coinvolte (ad eccezione di Diemme Group) hanno esercitato il rispettivo diritto di difesa mediante deposito di memorie difensive e, in alcuni casi, anche chiedendo di accedere agli atti istruttori, di ottenere una proroga dei termini per le difese e di essere ascoltati in apposite audizioni.

Più in particolare la società M.G. Company, dopo aver preso visione degli atti istruttori e aver ottenuto la richiesta proroga dei termini per il deposito delle memorie, ha articolato le proprie difese con nota del 15 novembre 2024 (prot. n. 135122/24 del 18 novembre 2024) con la quale la società ha rappresentato quanto segue:

- in riferimento alla violazione degli artt. 5, par. 1, lett. a), 6, 7 e 13 del Regolamento, nonché 130 del Codice: la società ha dichiarato che “le liste di contatto non sono altro che elenchi di nominativi estratti da pubblici elenchi, pertanto alcuna violazione al GDPR può sussistere”;

- in riferimento alla violazione degli artt. 5, par. 1, lett. a), 6, 7, 28 e 29 del Regolamento: la società ha chiarito che “tra la Federica Stefanelli e MG Company in data 01/1/24 venivano sottoscritti regolare contratto di mandato e nomina a responsabile del trattamento dei dati”;

- in riferimento alla violazione dell’art. 28 del Regolamento: la società ha rilevato la genericità della contestazione formulata dall’Autorità, precisando, in ogni caso, l’esistenza della “nomina di incaricato del trattamento dei dati del 01/1/24” in relazione al mandato con altra compagnia energetica;

- in riferimento alla violazione degli artt. 5, par. 1, lett. f) e 32 del Regolamento: la società ha affermato, in primo luogo, che “in ragione del contratto sottoscritto tra la Federica Stefanelli e MG Company in data 01/1/24 nessun accesso non consentito ai sistemi di Acea sarebbe stato compiuto da parte della MG Company” e, inoltre, che “la MG Company di fatto mai ha compiuto accessi al database di Acea e neanche ciò emerge dall’attività ispettiva svolta dalla GdF”.

In data 11 dicembre 2024, si è svolta la richiesta audizione della parte nella quale la società ha voluto meglio chiarire e precisare alcune circostanze - allegando documentazione comprovante le dichiarazioni rese - e, in particolare:

- che Acea Energia S.p.A. ha continuato a intrattenere rapporti diretti con M.G. Company nella persona della sig.ra XX, Responsabile Vendite Mass Market di Acea Energia, anche dopo la cessazione del rapporto contrattuale di agenzia avvenuta nel 2021;

- che la società ha acceduto al CRM di Acea Energia utilizzando le credenziali che, formalmente, erano state rilasciate alla D.I. Stefanelli Federica e tale circostanza era nota alla stessa compagnia energetica;

- che Acea Energia era, altresì, a conoscenza dell’utilizzo delle liste di switch-out da parte di M.G. Company, liste che sono facilmente reperibili in rete tanto da aver fatto ritenere - alla stessa M.G. Company - non illecito il relativo utilizzo;

- che la D.I. Stefanelli non era a conoscenza delle modalità con cui M.G. Company, attraverso i propri call-center, operava per la conclusione dei contratti poi caricati sul portale di Acea Energia;

- che dopo la notizia delle attività ispettive, alla società è stata tolto l’unico mandato in essere e, di conseguenza, la stessa si trova in uno stato di inoperatività con grave impatto patrimoniale;

- che, preso atto della situazione emersa dalla presente istruttoria, si è rivolta ad uno studio di consulenza per modificare le proprie modalità operative e renderle conformi alla normativa vigente.

La D.I. Stefanelli Federica ha depositato le proprie difese con nota del 4 novembre 2024 (prot. n. 129019/24) con le quali:

- in riferimento alla violazione dell’art. 31 del Regolamento: ha sostenuto di aver fornito “ogni chiarimento richiesto come da verbale”;

- in riferimento alla violazione dell’art. 28 del Regolamento: ha rilevato la genericità della contestazione formulata dall’Autorità, precisando, in ogni caso, che con “la MG Company SRL in data 01/1/24 venivano sottoscritti regolare contratto di mandato e nomina a responsabile del trattamento dei dati personali”;

- in riferimento alla violazione degli artt. 5, par. 1, lett. f) e 32 del Regolamento: ha chiarito di avere “regolare mandato da Acea Energia S.p.A. ed era autorizzata ad accedere ai loro sistemi informatici per l’inserimento dei dati contrattuali”.

Inoltre, la D.I. Stefanelli Federica ha contestato il passaggio dell’atto di avvio del procedimento in cui si afferma quanto segue: “Significativo, sotto questo profilo, che la sig.ra Stefanelli abbia chiesto che le attività ispettive potessero essere svolte “presso gli uffici della MG Company S.r.l. siti in Terracina (LT) in piazza Gregorio Antonelli n. 14”. Sul punto ha chiarito che “quella mattina si è scelto, in accordo con gli operanti della GdF, di recarci presso gli uffici della MG Company […] per il fatto che lì potevo essere sentita ed al contempo poteva essere redatto il verbale con il computer”.
Infine, in merito alle modalità con le quali la M.G. Company contattava gli utenti (mediante i propri call-center), la D.I. Stefanelli Federica ha dichiarato di non esserne a conoscenza “in quanto la sottoscritta ha svolto solo vendita porta a porta”.

Inoltre, in data 11 dicembre 2024, si è svolta la richiesta audizione della parte nella quale la sig.ra Stefanelli ha voluto meglio chiarire e precisare alcune circostanze e, in particolare:

- di non aver mai ricevuto una formazione in materia di protezione dei dati personali da parte di Acea;

- di aver sempre svolto attività porta a porta e “di nulla conoscere dell’attività di teleselling e telemarketing che erano svolte, per quanto a sua conoscenza dalle risultanze delle attività ispettive del 26 marzo 2024, da MG Company con la quale la compagnia energetica Acea aveva rapporti diretti”. Ciò anche in relazione alle attività svolte nella sede di Latina di M.G. Company gestita dal proprio collaboratore sig. XX; infatti, in considerazione delle piccole dimensioni della propria ditta e delle proprie condizioni personali, la sig.ra Stefanelli non ha mai potuto seguire le attività svolte dal sig. XX che operava in quanto libero professionista dotato di una considerevole esperienza nel settore;

- in merito all’inidoneo riscontro alle richieste di informazioni, la sig.ra Stefanelli ha fornito dettagliati chiarimenti e ha documentato la propria situazione personale che, all'epoca dell'accertamento ispettivo, aveva potuto far apparire alcune dichiarazioni come non completamente esaustive. La parte ha quindi ribadito di non aver avuto alcuna intenzione di nascondere nulla o di ostacolare le operazioni della Guardia di Finanza;

- di aver chiuso la propria attività (con chiusura della P.IVA) successivamente alle ispezioni del marzo 2024 e di essere attualmente occupata come collaboratrice di un centro sportivo.

La società Fer-Energy ha depositato la propria nota difensiva il 4 novembre 2024 (prot. n. 129426/24 del 5 novembre 2024) affermando, in via generale, che le condotte contestate non erano a lei ascrivibili e argomentando in particolare che:

- le attività descritte nell’atto di avvio del procedimento non rientravano nel proprio oggetto sociale;

- il “trasferimento delle liste” - che da quanto acquisito in atti è risultato essere operato dal sig. XX - era una attività “ad esclusivo vantaggio della Fer-Energy Call S.r.l.”, nonostante lo stesso fosse alle dipendenze della società Fer-Energy. Infatti, secondo la parte, “le attività di invio svolte dal Sig. XX […] non rientravano nelle mansioni che la Società Fer-Energy S.r.l. gli aveva affidato. Tanto più che, all’interno della “Nomina incaricato al trattamento dei dati personali ai sensi e per gli effetti del Regolamento (UE) 679/2016” (prodotta in sede di ispezione), le operazioni di trattamento affidategli e autorizzate riguardano Fer-Energy s.r.l. le mansioni da lui svolte e, segnatamente, esclusivamente le attività di back office di cui sopra”;

- “deve escludersi il carattere programmatico e sistematico dell’invio di liste anagrafiche effettuato in favore della M.G. Company (principale società coinvolta, assieme alla Diemme Group di Di Vico Luigi, nelle asserite attività di attivazioni “coatte” delle forniture Acea Energia). Come accertato dall’Autorità stessa, infatti, il volume esiguo e occasionale degli scambi intrattenuti con la M.G. Company (pari a 3 e-mail) testimonia di per sé la non partecipazione della Società all’asserito sistema di trasferimento di liste, in cui operano gli altri attori coinvolti nell’attività ispettiva”;

- le dichiarazioni rilasciate dalla sig.ra XX (rappresentante legale di M-G. Company) in merito “ad un invio periodico di liste in suo favore, non trova alcun riscontro nelle evidenze rinvenute da codesta Autorità”.

Anche la società Fer-Energy Call s.r.l. ha depositato la propria nota difensiva il 4 novembre 2024 (prot. n. 129520/24 del 5 novembre 2024) affermando che:

- il coinvolgimento della società Fer-Energy Call nelle attività di M.G. Company sarebbe dovuto ad un equivoco legato al “fatto che la stessa risultava operare nel medesimo edificio della M.G. Company (sede di Ladispoli). Tale circostanza avrebbe potuto suggerire l’esistenza di un coinvolgimento della Società nell’attività contestata”;

- la società “non dispone di call center operativi ad eccezione di quello di Roma, sito in viale Palmiro Togliatti 1613 e dunque non prestava la propria attività in locali diversi da quelli sopracitati, tantomeno in prossimità dei locali della M.G. Company siti a Ladispoli”;

- “la Fer-Energy Call non intratteneva alcun rapporto di sub-agenzia con la M.G. Company e diversamente non potrebbe essere, stante il fatto che le due società operavano nell’ambito dello stesso settore commerciale”;

- la società “non ha mai operato per conto di Acea Energia S.p.A.”;  

- “appare pacifico che la Società non ha mai partecipato, in alcun modo, né ha “apportato il proprio contributo” (cfr. Comunicazione, pag. 16, par. 3, primo capoverso), nemmeno in minima parte, alle attività di procacciamento e sottoscrizione forzata di contratti, portata all’attenzione di codesta Autorità con l’esposto di cui in premessa”.

Da ultimo, risulta che la D.I. Diemme Group di Di Vico Luigi non ha depositato alcuna memoria difensiva, nonostante la rituale notifica dell’atto di contestazione.

4. VALUTAZIONI DELL’AUTORITÀ

Le argomentazioni difensive esposte dalle parti coinvolte nell’istruttoria non consentono di escludere (ad eccezione di alcune violazioni limitate di seguito indicate) la responsabilità delle stesse in ordine alle violazioni contestate a ciascuna di loro per i seguenti motivi, da considerare in uno con le osservazioni già espresse nel richiamato atto di contestazione.

4.1 M.G. Company S.r.l.

Le attività istruttorie svolte da questa Autorità hanno permesso di accertare il ruolo centrale della società M.G. Company la quale, utilizzando liste di utenti di provenienza illecita reperite grazie ai rapporti in essere con il sig. XX, ha svolto attività di contatto telefonico con finalità di marketing e teleselling con modalità truffaldine e ingannevoli. Grazie a tali modalità operative, la società ha indotto gli ignari interessati a sottoscrivere un numero elevato di contratti che, per il tramite della ex collaboratrice sig.ra Stefanelli Federica, sono stati caricati sui sistemi di Acea Energia S.p.A. per un totale di circa 11.500 punti di fornitura nel 2022, circa 13.700 nel 2023 e circa 1.330 nei primi tre mesi del 2024. L’Ufficio ha potute verificare, a campione, che effettivamente alcuni dei nominativi inseriti nelle liste acquisite presso la società in sede di ispezione sono stati registrati nei sistemi di Acea.

Inoltre, proprio la commistione di attività e il passaggio di alcuni collaboratori della società alle “dipendenze” della D.I. Stefanelli Federica, delineano una sostanziale continuità dell’attività di M.G. Company nel procacciamento di contratti per Acea Energia; in definitiva, dopo l’interruzione del rapporto formale con Acea Energia, la società ha potuto beneficiare del mandato acquisito dalla sua ex dipendente (la sig.ra Stefanelli, appunto), coordinando poi le attività degli agenti “passati a collaborare” - solo formalmente - con la D.I. Stefanelli Federica.    

In tale scenario si inquadra anche il ruolo di due dei “collaboratori” della D.I. Stefanelli Federica (ovvero la sig.ra XX e il sig. XX) che al momento delle ispezioni operavano come responsabili di due call-center di M.G. Company (rispettivamente a Ladispoli e Latina).  

4.1.1 Liste di contatto

I trattamenti dei dati personali degli utenti posti in essere dalla società sono risultati in violazione dell'art. 5, par. 1, lett. a), e par. 2, degli artt. 6, 13 e 14 del Regolamento, nonché dell'art. 130, comma 3 del Codice.

Infatti, dalle evidenze raccolte in sede ispettiva è emerso che la società fosse il centro organizzativo e decisionale di un rilevante numero di chiamate promozionali, con conseguenti attivazioni contrattuali, utilizzando liste di provenienza illecita e in assenza di idonea base giuridica.

In primo luogo, è stato verificato che le liste venivano inviate (da parte del sig. XX, dipendente di Fer Energy s.r.l., su incarico del titolare dell’epoca, sig. XX) ad alcuni collaboratori di M.G. Company senza che ne fosse stata dimostrata né accertata la liceità della provenienza; le stesse modalità con cui le liste sono state trasmesse da un soggetto all'altro - prima via email e poi, a seguito di un audit da parte di una società committente, via Telegram - sono anch'esse sintomo della scarsa trasparenza di tali operazioni, scarsa trasparenza che peraltro risulta comprovata dalle argomentazioni fittizie utilizzate dagli operatori di call-center per convincere gli utenti a sottoscrivere i contratti, oltre al fatto che le numerazioni utilizzate per realizzare i contatti promozionali non risultavano iscritte al Registro degli Operatori di Comunicazione (ROC), istituito presso il l’Autorità per le Garanzie nelle Comunicazioni (AGCOM), adempimento necessario per tutti i call-center che intendano svolgere attività di telemarketing o teleselling.

In particolare, la sig.ra XX, rappresentante legale e amministratrice di M.G. Company s.r.l., ha specificato che la società ha svolto attività di contatto telefonico con finalità promozionali sulla base di liste di contatto di utenti del mercato energetico che avevano da poco effettuato il passaggio da un operatore all’altro (liste di switch-out). Tali liste erano fornite, come detto, dal titolare della società Fer-Energy s.r.l., sig. XX per il tramite di un collaboratore, il sig. XX, che le “girava” ad alcuni referenti dei call-center di M.G. Company di Latina e di Ladispoli, per le successive attività di contatto telefonico. La fornitura di liste veniva retribuita a Fer-Energy s.r.l. con operazioni di scambio di collaboratori e storno delle provvigioni, modalità tutt’altro che convenzionali.

Sotto il profilo della provenienza, la sig.ra XX ha testualmente dichiarato che “sulla provenienza di queste liste il Signor XX ha sempre tenuto la massima riservatezza, dicendomi che le stesse provenivano da una persona di cui non si poteva pronunciare il nome [poi individuato nel sig. XX, operante nel settore energetico]. In quel momento ho preso coscienza che la lavorazione delle predette liste non era del tutto lecita”.

Nonostante la consapevolezza della provenienza illecita delle liste, la società ha continuato ad utilizzare le stesse operando contatti telefonici con modalità che, come meglio si vedrà in seguito, si sono rivelate truffaldine ed ingannevoli.

Le liste, acquisite nel corso degli accertamenti(1), riportano informazioni degli utenti quali numero di telefono, codice fiscale, numero del POD, del PDR e della matricola del contatore, nonché modalità di pagamento delle bollette.

Tali evidenze, che per una parte provengono proprio dalla società M.G. Company per il tramite del rappresentante legale, smentiscono in radice l’affermazione presente nelle difese della medesima società secondo cui le liste sarebbero di provenienza lecita in quanto derivanti da pubblici elenchi. È evidente, a tacer d’altro, che la maggior parte delle informazioni presenti nelle liste (a partire dal numero del POD, del PDR e della matricola del contatore, fino a giungere alle informazioni sulle modalità di pagamento indicate dai clienti in sede di attivazione dei contratti di fornitura) non sono liberamente disponibili, bensì conosciute solo da una ristretta cerchia di soggetti (società di distribuzione dell’energia competenti per territorio e compagnie energetiche presso le quali sono stati attivati i contratti di fornitura) in quanto necessarie per l’esecuzione dei contratti stessi.    

Peraltro, anche nel caso in cui le liste fossero state effettivamente prese da pubblici elenchi (circostanza smentita per tabulas), l’attività di trattamento posta in essere dalla società non sarebbe stata comunque lecita, sia per i contenuti fraudolenti delle chiamate (in merito, risultano acquisite agli atti oltre 7.300 registrazioni di chiamate effettuate dagli operatori di M.G. Company che attestano le modalità truffaldine sopra indicate), sia per la mancanza delle informazioni ex art. 13 e 14 del Regolamento.

Sotto altro profilo, non risulta documentato che gli interessati, le cui anagrafiche erano presenti in dette liste, avessero espresso - sin dal momento della raccolta - un idoneo consenso per finalità promozionali e per la comunicazione a terzi e nessun'altra base giuridica risulta applicabile nel caso descritto. Anzi, le modalità di effettuazione delle chiamate hanno restituito la ragionevole certezza che i contatti pubblicitari siano stati originati da trattamenti non sorretti da alcuna base giuridica. Allo stesso modo non risulta che, quantomeno al momento del contatto promozionale, gli interessati avessero ricevuto dalla società una idonea informativa sui trattamenti di dati posto che gli script informativi di contatto, rinvenuti nei call-center di M.G. Company, sono risultati del tutto ingannevoli e inidonei a far comprendere agli interessati, non solo la reale portata del complessivo trattamento dei dati, ma anche la stessa necessità di procedere con l'attivazione di un contratto con Acea Energia. Del resto, una corretta informativa avrebbe disvelato la natura radicalmente illecita dei trattamenti svolti (mediante l’acquisizione di liste anagrafiche di ignota origine e contenenti informazioni in ordine alle operazioni di switch-out che la società non poteva lecitamente conoscere) ed è quindi ragionevole ritenere che anche per questa ragione M.G. Company abbia omesso tale adempimento.

In relazione ai citati script, infatti, nel corso dell’accertamento ispettivo presso il call-center di M.G. Company s.r.l. di Latina, sono state rinvenute sui tavoli degli operatori alcune copie del citato documento utilizzato per interloquire con i potenziali clienti. Dalla lettura di tali script si evince che le chiamate promozionali venivano impostate dagli operatori del call-center rappresentando al cliente che l’operazione di cambio fornitore (switch-out) richiesta aveva determinato l’insorgenza di fantomatici disguidi: “la stiamo contattando dalla distribuzione di Roma Acea, per quanto riguarda il passaggio da... a... Ok, immagino le abbiano riferito anche che nel mercato libero c’è una tempistica di 60 giorni che deve essere rispettata chiaramente dalla società con cui lei va a stipulare il contratto. Noi ad oggi la stiamo contattando signora perché questa tempistica non è stara rispettata dal gestore entrante che ha mandato la richiesta dei consumi qui in distribuzione prematuramente già nella mensilità di ... quando lei chiaramente era ancora attiva con… Capisce bene signora che in quanto distribuzione e proprietari dei contatori non possiamo emettere due bollette inerenti ad una stessa mensilità né tantomeno lei in quanto cliente può andare a pagare lo stesso consumo con entrambe le società. Mi segue? In questi casi a tutela del cliente interviene proprio il distributore, quindi Acea. Per risolvere dobbiamo ripristinare la fornitura le spiego come andiamo a lavorare la pratica […] affinché tutta questa situazione venga ripristinata è necessario che l’Acea prenda la fornitura in carico, quindi bisogna riportare la fornitura direttamente all’origine, direttamente in distribuzione Acea, le verrà in questo caso attivata una tariffa al minimo statale, quindi una tariffa non vendibile al pubblico, è proprio un’offerta Acea Start, come vede dal nome è una tariffa di partenza, si parla di 0,10 € per la luce e 0,35 € per il gas […]. Per poter inserire la pratica Acea signora, quindi il contratto Acea lei non deve fare nulla la seguirò io […] deve fornirmi solo la sua mail, la foto del documento d’identità o patente fronte retro in maniera leggibile ed il POD così verifico anche la luce […]. Dopo l’accettazione del contratto (via mail o sms) riceveranno una chiamata dallo 06 direttamente da Acea, è una chiamata registrata, devono dire sempre di sì, anche se viene chiesto se siamo andati lì sul posto”. Sul punto il sig. XX, presente nella sede di Latina della società, ha confermato che lo stesso script era in uso presso il call-center anche se in corso di aggiornamento per realizzarne una “versione commercialmente più idonea”.

Inoltre, le attività di accertamento hanno consentito di acquisire un rilevante numero di registrazioni delle telefonate realizzate presso i call-center di M.G. Company di Latina e Ladispoli, che sono risultate archiviate presso le singole postazioni degli operatori, unitamente alle liste di contatto sopra descritte. L’esame a campione dei file audio acquisiti in atti (oltre 7.300) ha permesso di confermare che il tenore delle chiamate promozionali seguiva il canovaccio descritto nello script e ha anche evidenziato come una notevole quantità di contatti promozionali si trasformasse rapidamente in telefonata di molestie e di insulti nei confronti di quei clienti che si mostravano scettici o comunque non propensi ad aderire alle soluzioni prospettate dall’operatore.

Quanto alle modalità operative per realizzare i contatti telefonici promozionali, presso il call-center di Ladispoli è stato accertato l'utilizzo della medesima numerazione uscente - 06/81925747 - utilizzata dal call-center di Latina e fornita dalla società RebelNet). Inoltre, alcune chiamate venivano effettuate dal call-center di Ladispoli tramite utenze cellulari assegnate ad alcuni operatori e segnatamente 3500079114, 3505906224. Come detto, tutte le numerazioni indicate non sono risultate iscritte al ROC.

All’esito dal contatto telefonico, gli utenti che si dimostravano disposti alla sottoscrizione del nuovo contratto venivano raggiunti a domicilio dai c.d. runner (operatori che si presentavano fisicamente dell’utente con le modalità descritte in premessa) per la relativa finalizzazione, trasformando così una vendita di fatto telefonica in una “porta a porta”.

Da quanto appreso nel corso degli accertamenti in loco, tale modalità di vendita “porta a porta”, era stata affiancata, in un secondo momento, dalla conclusione del contratto direttamente al telefono. Ciò era possibile in quanto la responsabile del call-center di Ladispoli (sig.ra XX, e prima di lei tale sig. XX fino alla fine del 2023) disponeva di un account personale per accedere al sistema XX di Acea Energia, con possibilità di avviare la procedura diretta di attivazione del contratto; tale procedura prevedeva che l’utente comunicasse via Whatsapp all’operatore del call-center il codice OTP ricevuto sul proprio cellulare e il proprio documento di identità.

Nel corso di tali accertamenti sono stati ascoltati gli stessi operatori del call-center presenti nelle sedi ispezionate che, opportunamente identificati, hanno confermato quanto sopra e, in particolare, di utilizzare le argomentazioni fittizie descritte e di presentarsi altresì con nomi di fantasia.

È stato altresì possibile verificare come le attivazioni dei contratti di fornitura, in alcuni casi siano state effettuate dal medesimo operatore a brevissima distanza di tempo, nonostante tali attivazioni riguardassero clienti diversi ubicati a grande distanza l’uno dall’altro. Ciò a riprova che le attività di cui sopra non venissero effettuate in modalità “porta-a-porta” ma a distanza, in violazione delle disposizioni contrattuali che legavano il committente con l’agenzia.

4.1.2 Designazione a responsabile/sub-responsabile del trattamento

Le attività finalizzate alla conclusione di contratti in favore di Acea Energia da parte di M.G. Company sono state poste in essere in assenza di una designazione a responsabile/sub-responsabile del trattamento e, dunque, in violazione degli artt. 5, par. 1, lett. a), 6, 7, 28 e 29 del Regolamento.

Infatti, è emerso che M.G. Company ha operato, di fatto, in qualità di sub-agente in relazione al contratto di agenzia stipulato fra Acea Energia e la D.I. Stefanelli Federica. Rispetto a tale rapporto di sub-agenzia, e ai correlati trattamenti di dati personali, M.G. Company non ha ricevuto una rituale designazione né ha designato a sua volta i propri collaboratori (dipendenti e Diemme Group di Di Vico Luigi) in base a quanto previsto dagli artt. 28 del Regolamento e 2-quaterdecies del Codice.

Sul punto, nonostante le dichiarazioni contrarie di Acea Energia, è emerso che proprio quest'ultima intratteneva rapporti diretti con M.G. Company per il tramite della propria dipendente sig.ra XX, tanto da fornire ai collaboratori di M.G. Company credenziali di accesso ai sistemi di Acea Energia e tesserini identificativi riferibili sempre alla compagnia energetica, il tutto per il tramite formale della D.I. Stefanelli. Acea Energia ha ammesso soltanto di essere stata a conoscenza del fatto che un certo numero di dipendenti di M.G. Company, dopo l’interruzione del rapporto contrattuale con la stessa (circostanza solo riferita ma non dimostrata), fossero diventati runner (collaboratori) della D.I. Stefanelli Federica e tra questi erano ricompresi anche la sig.ra XX e il sig. XX che, al momento delle ispezioni, operavano all’interno delle strutture di M.G. Company come responsabili di due call-center. Tali mancate designazioni, lungi dal costituire un mero inadempimento formale, rappresentano la cornice di liceità del trattamento dei dati degli interessati che, nel caso concreto, è risultata del tutto assente. Inoltre, tali omissioni hanno originato la situazione di confuso inquadramento delle responsabilità nell’ambito del trattamento, funzionale a rendere le attività illecite dei vari soggetti coinvolti nella vicenda difficilmente individuabili e controllabili da parte degli interessati e anche dai committenti.

Sul punto, la M.G. Company ha dichiarato che il rapporto con la D.I. Stefanelli Federica era regolato da un contratto sottoscritto anno per anno a partire dal 2022 fino al 2024, con connessa nomina a responsabile del trattamento dei dati. Quanto ai rapporti con la Diemme Group di Di Vico Luigi, M.G. Company ha contestato, in prima battuta, una asserita genericità di quanto rilevato dall’Autorità tanto “da non consentire alla sottoscritta di esercitare il proprio diritto di difesa”, in quanto non sarebbe stato chiaro “in concreto il soggetto “titolare e/o responsabile del trattamento”, al quale il GPDP si riferisce”.

A ciò la stessa M.G. Company ha aggiunto che, in ogni caso, “risulta la nomina di incaricato del trattamento dei dati del 01/1/24 in relazione al mandato” di altra compagnia energetica.

Quanto riportato nelle difese della società risulta inconferente rispetto alla contestazione di questa Autorità. Sotto il primo profilo, va chiarito che, a prescindere dalla titolarità dei trattamenti, che è comunque da imputare alle società nel cui interesse i contratti sono stipulati (in tal senso si veda il provvedimento n. 230 del 15 giugno 2011, in www.gpdp.it, doc. web, n. 1821257), ciò che rileva, in questo caso, è che M.G. Company non sia stata individuata quale sub-agente con atto giuridico dal medesimo contenuto di quello che legava Acea Energia e la D.I. Stefanelli Federica e che di tale circostanza non abbia formalmente preso atto Acea Energia, titolare del trattamento. Inoltre, sebbene lo stesso “incarico per procacciamento di affari” siglato da M.G. Company con la D.I. Stefanelli Federica delineasse taluni marginali aspetti di protezione dei dati personali (art. 9) prospettando una futura designazione di M.G. Company “a responsabile esterno del trattamento”, in realtà tale designazione non risulta essersi mai concretizzata.

Infatti l’unico atto collegato al contratto citato risulta essere un documento intitolato “Nomina di incaricato del trattamento di dati personali ai sensi del d.l.vo n. 196/2003”, vale a dire un atto previsto dalla normativa antecedente all’entrata in vigore del Regolamento e riferito ad una persona fisica (nel caso di specie alla sig.ra XX, all’epoca rappresentante legale di M.G. Company) e non alla Società.

Inoltre, nella misura in cui i contratti sono sottoscritti nell’interesse di Acea Energia, eventuali designazioni a responsabile del trattamento da parte di società energetiche diverse da questa (nel caso di specie si è riferito di un mandato con altra compagnia energetica, competitor di Acea Energia) non potevano legittimare la società a svolgere lecitamente i trattamenti contestati nel corso della presente istruttoria.  

4.1.3 Accesso ai sistemi Acea

M.G. Company risulta aver violato le disposizioni in materia di sicurezza, di cui agli artt. 5, par. 1, lett. f) e 32 del Regolamento in quanto ha realizzato accessi ai sistemi di Acea Energia, utilizzando credenziali di accesso attribuite in realtà alla D.I. Stefanelli Federica o, meglio, a collaboratori che Acea aveva censito come appartenenti alla D.I. Stefanelli Federica.

Infatti, M.G. Company s.r.l., come già rappresentato e come confermato dalla stessa società in sede di audizione, risulta aver avuto accesso ai database aziendali di Acea Energia S.p.A. pur in assenza di un rapporto contrattuale con tale società e senza essere stata censita dalla medesima quale responsabile o sub-responsabile del trattamento. Risulta agli atti che gli operatori di M.G. Company erano abilitati ad inserire autonomamente i dati degli interessati (illecitamente contattati) senza avere ricevuto credenziali personali collegate a M.G. Company, utilizzando invece le credenziali attribuite da Acea Energia ad altri soggetti.

Sotto un primo profilo, ciò è confermato dalle stesse dichiarazioni rese in sede ispettiva dalla responsabile del call-center di Ladispoli di M.G. Company (XX) in relazione ai contratti stipulati dai clienti coinvolti nelle operazioni di switch-out la quale ha dichiarato che “la stipula/conclusione del contratto non avviene più in modalità cartacea ma inserendo i dati dei clienti direttamente nel citato portale di Acea, che per validare il predetto inserimento invia un OTP direttamente al numero di cellulare fornito al cliente. Preciso che l'inserimento dei dati avviene in contemporanea con la chiamata effettuata dall'operatore tramite il CRM di M.G. Company S.r.l., sul quale sono presenti i dati dei soggetti da contattare, che vengono caricati dalla sottoscritta e/o da XX dalla sede di Latina. I documenti di identità dei clienti vengono inviati, da questi ultimi, tramite whatsapp, alle utenze mobili di servizio degli operatori per il successivo caricamento nel portale ACEA”.

Anche gli operatori presenti nel call-center, pur non avendo proprie credenziali di accesso al portale Acea Energia, hanno confermato che “se il cliente è interessato, […], gli propongo di sottoscrivere una PDC [proposta di contratto] con Acea. Per finalizzare la PDC, carico i dati del cliente nel back-office di Acea, con OTP di conferma inviata da Acea sul cellulare del cliente. Carico anche la copia del documento di identità del cliente, che mi invia via whatsapp sul numero di cellulare di servizio”; “durante le telefonate ho sentito che gli operatori, presentandosi come Acea Distribuzione, parlano di problemi sui contatori per l'attivazione del contratto da parte del venditore entrante, che avrebbero causato un blocco di fatturazione, risolvibile solo da Acea. Ho visto che i contratti possono essere attivati dall'agenzia inserendo i dati nel back office di Acea e la copia del documento di riconoscimento, inviato via whatsapp del cliente sul numero di cellulare di servizio, con OTP sul cellulare del cliente”.

Inoltre, presso la sede di Ladispoli sono stati rinvenuti nelle diverse postazioni di differenti operatori un totale di 10.312 screenshot relativi alle verifiche effettuati da ciascuno di essi circa il punto di fornitura e l'affidabilità dei clienti; tale operazione era materialmente realizzata accedendo alla piattaforma “aceaspa.force.com” non con credenziali proprie dei singoli operatori, bensì mediante l’utilizzo sempre dello stesso account riferito al sig. XX.  

Tale circostanza comprova che M.G. Company, pur non avendo rapporti contrattuali in essere con Acea Energia per attività di procacciamento di contratti e data entry, così come confermato dalla stessa titolare della società (“La nostra Società ha svolto questa attività per XX da ottobre 2021 fino alla fine del 2022. Successivamente, da gennaio 2023 fino ad ora, con XX”), ha effettuato sistematici accessi al portale clienti di Acea Energia tra la primavera del 2021 e la primavera del 2024, per inserire contratti, confermare le attivazioni e inserire le copie dei documenti d’identità fornite dai clienti, utilizzando in modo improprio e diffuso le credenziali di autenticazione attribuite da Acea Energia a singoli operatori.

4.2 Ditta individuale Stefanelli Federica

Le attività istruttorie svolte da questa Autorità in relazione alla D.I. Stefanelli Federica hanno consentito di accertare il ruolo di terminale di un sistema gestito con le modalità sopra indicate per il tramite principale di M.G. Company. Tali attività hanno permesso alla D.I. Stefanelli Federica di caricare sul portale Acea un volume di contratti pari a circa 11.500 punti di fornitura nel 2022, a circa 13.700 nel 2023 e a circa 1.330 nei primi tre mesi del 2024, per un ammontare di provvigioni ricevute da Acea Energia S.p.A. pari a circa euro 485.000 nel 2022 e a circa 1.500.000 di euro nel 2023.

Si evidenzia, inoltre, che per l’anno 2023 le provvigioni riconosciute da Acea Energia costituivano proprio i ricavi totali della D.I. Stefanelli Federica. Tale circostanza fa dedurre che la D.I. Stefanelli Federica non svolgesse alcuna attività economica ulteriore rispetto all'attività commissionata da Acea Energia. Da ultimo, in sede di audizione, la sig.ra Stefanelli ha rappresentato di:

- aver ricevuto da Acea Energia, prima, la sospensione della propria posizione di agente e, successivamente, nell’aprile del 2024 il recesso dal contratto per giusta causa;

- aver cessato l’attività economica prima svolta (come da documentazione depositata agli atti e attestante la chiusura della P.IVA) informando l’Ufficio che attualmente è impiegata, come dipendente, presso una struttura sportiva.

4.2.1 Cooperazione con l’Autorità di controllo

Dalle evidenze raccolte in fase istruttoria è emerso che le dichiarazioni della D.I. Stefanelli Federica in relazione alle modalità di conclusione dei contratti Acea Energia con modalità “door-to-door” siano in contrasto con quanto emerso dalle verifiche operate presso M.G. Company e in particolare in merito alla conoscenza dell’utilizzo delle liste di contatto in uso per la contrattualizzazione degli utenti in fase di cambio operatore. Ne consegue che la condotta tenuta dalla parte integra la violazione dell’art. 157 del Codice in relazione all’art. 58, par. 1, lett. a) e all’art. 31 del Regolamento.

La sig.ra Stefanelli ha infatti affermato, nel corso degli accertamenti ispettivi, che in nessun caso le attività di procacciamento di clienti per conto di Acea Energia fossero state effettuate mediante canali di vendita diversi dal “door-to-door” o fossero state precedute da contatti telefonici, mentre è emerso con evidenza che la D.I. Stefanelli Federica aveva sottoscritto mandato con M.G. Company che svolgeva esclusivamente attività di contatto mediante il mezzo telefonico (peraltro nelle forme illecite sopra descritte).

In particolare, la stessa sig.ra Stefanelli ha dichiarato che “l’individuazione della società è effettuata in base alla conoscenza che il cliente può avere di un determinato fornitore nella zona in cui svolge l’attività. Il mandato è “door-to-door” quindi né io né i miei collaboratori presenti, nonché XX (P.IVA XX) e XX (P.IVA XX), ci avvaliamo di alcun call center per l’individuazione delle società o dei soggetti per la realizzazione dei contratti, bensì effettuiamo la ricerca porta a porta”.

Ebbene, dalle verifiche istruttorie è emerso che per la conclusione dei contratti in favore di Acea Energia la D.I. Stefanelli Federica si facesse coadiuvare, tra gli altri, anche dalla società M.G. Company e dal sig. XX, così come emerge dai contratti per procacciamento di affari stipulati dalla ditta individuale nell’ambito propria attività di agente diretto di Acea Energia.

Il sig. XX, presente nella sede di Latina della società M.G. Company all’atto delle attività ispettive del 26 marzo 2024, ha dichiarato di essere “il responsabile di questa sede di Latina che effettua attività di telemarketing. Opero qui in virtù del mandato sottoscritto con la signora Stefanelli Federica”. Inoltre, ha precisato che “con riferimento al call center di questa sede di Latina, posso fornire una stima approssimativa relativa all’attività dell’ultimo anno: le chiamate mensili sono circa 6.000 e i contratti stipulati sono circa 150/200 al mese” e che “I collaboratori del call center, al primo contatto, si presentano qualificandosi come soggetti che chiamano per conto della compagnia energetica committente”.

Inoltre, nella sede di Fiumicino della società M.G. Company, la sig.ra XX ha confermato che “l’attività si basa sulla proposta di offerte Acea Energia o XX, tramite contatti telefonici”, precisando, altresì, che “la stipula/conclusione del contratto non avviene più in modalità cartacea ma inserendo i dati dei clienti direttamente nel citato portale ACEA, che per validare il predetto inserimento invia un OTP direttamente al numero di cellulare fornito al cliente”.  

Le dichiarazioni della sig.ra Stefanelli, inoltre, contrastano con la circostanza che presso le sedi della M.G. Company sono state rinvenute liste di contatto utenti, nonché con quanto emerso durante l’ispezione effettuata dalla Guardia di Finanza che ha reperito “indicazioni utili al fine di ritrovare nel “Google Drive” della ditta individuale, condiviso tra gli operatori, il Sig. XX e la sig.ra Stefanelli, liste di utenti che hanno effettuato lo switch out da un operatore energetico ad un altro”.

Se ne ricava che, nell’ambito del contratto di agenzia con Acea Energia, i contratti conclusi per il tramite della D.I. Stefanelli Federica sono risultati essere stati conclusi con modalità telefoniche attraverso le attività di call-center svolte da M.G. Company, anche per il tramite del sig. XX, collaboratore diretto della D.I. Stefanelli Federica, e della sig.ra XX. Tale conclusione, inoltre, è confermata dalle verifiche a campione effettuate dall’Ufficio in merito ai nominativi riportati nelle liste di contatto rinvenute presso M.G. Company; in particolare, come già affermato, una significativa porzione di tali nominativi sono stati ritrovati nelle proposte di contratto prodotti da Acea Energia e caricate nei sistemi nell’ambito del contratto di agenzia con la D.I. Stefanelli.

A fronte di tali evidenze, durante la richiesta audizione la sig.ra Stefanelli ha fatto riferimento a vicende personali che, “nell’ultimo periodo di attività”, non le hanno consentito di “essere completamente lucida e presente sul lavoro”, impedendole di controllare l’effettivo operato dei propri collaboratori e di M.G. Company.

Le dichiarazioni della D.I. Stefanelli Federica, seppure utili a fornire un quadro più chiaro di quanto accaduto, non consentono all’Autorità di poter superare completamente la contestata violazione dell’art. 157 del Codice in relazione all’art. 58, par. 1, lett. a) e all’art. 31 del Regolamento e ciò anche in ragione del fatto che le riferite vicende afferiscono solo ad un periodo dell’attività sotto analisi. Pertanto, si conferma la violazione delle disposizioni da ultimo indicate.

4.2.2 Designazione a responsabile del trattamento

La D.I. Stefanelli Federica ha violato l’art. 28 del Regolamento in quanto non ha provveduto alla designazione quali responsabili esterni o sub-responsabili le aziende e i collaboratori che hanno svolto in concreto le attività di procacciamento di clienti trattando i relativi dati personali. Come rappresentato, le mancanze indicate hanno un impatto - negativo - concreto sulla tutela dei diritti dei singoli interessati.

Sotto tale profilo, da un lato la D.I. Stefanelli Federica non ha prodotto alcun documento di designazione ex art. 28 del Regolamento, dall’altro la circostanza della carenza di tale atto è confermata anche dal sig. XX che ha affermato che “la signora Stefanelli non mi ha mai nominato Responsabile esterno”.

In particolare, risulta che la D.I. Stefanelli Federica sia stata designata quale responsabile del trattamento da parte di Acea Energia S.p.A. ex art. 28 del Regolamento, per il procacciamento di clienti nell’interesse della predetta compagnia. Tuttavia non è emerso che la predetta ditta individuale abbia adempiuto alle disposizioni contrattuali in materia di individuazione dei sub-responsabili: “nel caso in cui l'Agente si avvalga di contratti di subagenzia, esso resterà comunque responsabile del trattamento dei dati, ai sensi dell'art. 28 del GDPR, come da atto di nomina allegato sub B) e sarà tenuto ad imporre a tale ulteriore responsabile, mediante contratto o altro atto giuridico, le medesime obbligazioni in materia di protezione dei dati personali contenute a suo carico nella richiamata nomina”. La ditta individuale ha infatti dichiarato, in sede di accertamento, di non aver “provveduto alla nomina di Responsabile esterno del trattamento dei dati, come previsto dall'incarico nei confronti dei procacciatori d'affari che al momento risultano essere quattro: XX (dal 13 marzo 2024), XX (dal 19 aprile 2023), XX (dal 1° settembre 2022) e XX (dal 13 marzo 2024)”.

Sul punto, con la propria memoria la D.I. Stefanelli Federica ha contestato, in prima battuta, una asserita genericità di quanto rilevato dall’Autorità tanto “da non consentire alla sottoscritta di esercitare il proprio diritto di difesa”, in quanto non sarebbe stato chiaro “in concreto il soggetto “titolare e/o responsabile del trattamento”, al quale il GPDP si riferisce”.

A ciò la stessa D.I. Stefanelli Federica ha aggiunto che, in ogni caso, tra la stessa e la M.G. Company “in data 01/1/24 venivano sottoscritti regolare contratto di mandato e nomina a responsabile del trattamento dei dati personali”.

Quanto riportato nelle difese della D.I. Stefanelli Federica risulta inconferente rispetto alla contestazione di questa Autorità. Sotto il primo profilo, risulta che la D.I. Stefanelli Federica abbia chiaro lo scenario delineato dai vari rapporti contrattuali di cui è parte: da un lato, Acea Energia, in qualità di titolare del trattamento dei dati dei clienti procacciati, ha designato la D.I. Stefanelli Federica quale responsabile del trattamento ex art. 28 del Regolamento; dall’altro, come ha dichiarato la stessa sig.ra Stefanelli, quest’ultima non ha provveduto alle relative nomine dei propri collaboratori e non ha richiesto ad Acea Energia la relativa autorizzazione ad avvalersi di sub-responsabili.

Ritenuta pertanto la complessiva documentazione presente in atti non idonea a comprovare l’avvenuta idonea designazione di sub-responsabili e incaricati del trattamento nelle forme previste dal Regolamento e dal Codice, deve ritenersi confermata la contestazione relativa alla violazione dell’art. 28 del Regolamento a carico della D.I. Stefanelli.

4.2.3 Violazione delle misure di sicurezza

Le evidenze istruttorie hanno consentito di verificare anche la violazione delle disposizioni in materia di sicurezza, di cui di cui agli artt. 5, par. 1, lett. f) e 32 del Regolamento, da parte della D.I. Stefanelli Federica, la quale ha permesso a soggetti non autorizzati di accedere ai database aziendali di Acea Energia S.p.A. attraverso credenziali di autenticazione del portale XX della stessa Acea che, da quanto in atti, risultavano ad essa attribuite.

In particolare, dall’ispezione svolta presso la sede di Fiumicino di M.G. Company, è emerso che gli operatori del call-center, per finalizzare la proposta di contratto con Acea Energia nell’ambito del rapporto di mandato tra la stessa Acea Energia e la D.I. Stefanelli Federica, caricavano i dati del cliente direttamente nel portale di back-office della Compagnia energetica, con OTP di conferma inviato sempre da Acea Energia sul cellulare del cliente finale e comunicato agli operatori stessi. Tali accessi venivano realizzati utilizzando credenziali di autenticazione non attribuite individualmente ai predetti operatori ma assegnate a collaboratori della ditta individuale, nell’ambito del rapporto di agenzia che la ditta medesima aveva instaurato con la Compagnia energetica.

Al riguardo occorre osservare che l’art. 32 del Regolamento prescrive, non solo al titolare del trattamento, ma anche al responsabile, di adottare misure di sicurezza adeguate alla tutela dei dati personali che, nel caso concreto, dovevano realizzarsi mediante l’introduzione di controlli specifici sull’operatività quotidiana affinché i collaboratori della D.I. Stefanelli non fossero indotti a condividere credenziali di autenticazione individuali. È pacifico che ciò non sia avvenuto se è vero quanto dichiarato dagli operatori presenti nel call-center di Ladispoli che hanno descritto come l’accesso al portale di back-office di Acea Energia da parte di soggetti non provvisti di credenziali di autenticazione proprie costituisse una prassi ordinaria.

Pertanto, risulta integrata la violazione delle disposizioni in materia di sicurezza di cui agli artt. 5, par. 1, lett. f) e 32 del Regolamento.

4.3 Fer-Energy s.r.l.

Le attività istruttorie svolte da questa Autorità hanno permesso di accertare il ruolo di Fer-Energy, in primo luogo nella persona del sig. XX, come soggetto in grado di fornire liste di utenti che si trovavano nella fase di cambio fornitore (switch-out), liste che devono ritenersi di provenienza illecita. Le condotte di cui sopra risultano essere state realizzate in violazione della normativa in materia di protezione dei dati personali e hanno alimentato un sistema che, caratterizzato da artifizi e raggiri, ha indotto ignari interessati a sottoscrivere un numero elevato di contratti caricati sui sistemi di Acea Energia S.p.A.

In particolare, le evidenze raccolte in sede ispettiva, nonché la dichiarazione integrativa datata 10 aprile 2024 da parte della stessa Fer-Energy, hanno dimostrato che la predetta società ha trattato i dati degli utenti contenuti nelle liste ricevute da un operatore del settore energetico (tale sig. XX) e ha successivamente comunicato le stesse alla società M.G. Company s.r.l. e a Fer-Energy Call s.r.l. in violazione degli artt. 5, parr. 1 e 2, 6, 7 e 13 del Regolamento.

È necessario chiarire che la circostanza che Fer-Energy fosse asseritamente ignara della concreta operatività di M.G. Company e del sistema sopra rappresentato nel suo complesso non fa venir meno la propria responsabilità, né permette di declassare il ruolo ricoperto dalla medesima ad un profilo marginale. Anzi, a ben vedere, la società costituiva il tassello iniziale che permetteva a M.G. Company di intercettare gli ignari utenti nel passaggio da un fornitore all’altro, concretizzando un vantaggio illecito sotto il profilo delle informazioni da utilizzare per rendere più credibile il contesto oggettivamente ingannevole riportato negli script ritrovati nei call-center, peraltro disconosciuti dalla stessa Acea Energia.

Infatti, la società non è risultata parte di alcun contratto per la fornitura di liste clienti con il sig. XX (né avrebbe potuto viste le informazioni in esse contenute) e, parimenti, alcun contratto la legava con la stessa M.G. Company. In merito a tale ultimo rapporto, e a conferma dell’assenza di formali vincoli contrattuali, si evidenzia la singolarità delle modalità con cui la stessa fornitura di liste veniva remunerata, vale a dire mediante operazioni di scambio di collaboratori e storno delle provvigioni.

Si aggiunga che, proprio tali modalità non convenzionali di pagamento della fornitura di liste sono tali da far sorgere dubbi - ad un operatore del settore - circa la liceità della complessiva operazione.

Come evidenziato nell’atto di contestazione, è emerso che Fer-Energy, il cui procuratore era, all’epoca dell’accertamento, il sig. XX, ha acquistato da un fornitore - persona fisica - liste di anagrafiche senza aver accertato la corretta raccolta dei dati personali in esse presenti ma, anzi, verosimilmente essendo al corrente dell'illiceità dell'operazione, stanti tutte le "cautele" descritte per la veicolazione e l'utilizzo di tali liste. La Società trasferiva poi tali dati sia a Fer-Energy Call s.r.l., appartenente al medesimo gruppo societario, sia a M.G. Company s.r.l. e ciò, sotto il profilo privacy, senza aver preventivamente reso agli interessati la necessaria informativa e acquisito dai medesimi il prescritto consenso per la comunicazione dei dati a terzi.

La società ha svolto i trattamenti in questione senza aver ricevuto, dalle società citate, formali designazioni quale responsabile o sub-responsabile del trattamento. Le designazioni presentate da Fer-Energy all’esito delle attività ispettive, infatti, risultano disciplinare altri rapporti contrattuali per committenti diversi da Acea Energia S.p.A. e comunque deve osservarsi che, risultando la complessiva condotta illecita in radice, anche una corretta distribuzione delle responsabilità nell’ambito del trattamento, non avrebbe potuto in alcun modo sanare i profili di violazione contestati.

Il trasferimento dei dati risulta pertanto essere stato effettuato quale autonomo titolare del trattamento, in assenza di uno specifico consenso sul punto e anche di altra idonea base giuridica.

Sul punto le difese della società si focalizzano, in primo luogo, sul negare l'attribuzione alla medesima delle condotte contestate, per il solo fatto che le stesse condotte sono fuori dal proprio oggetto sociale. In particolare, la Fer-Energy afferma che “appare già evidente come gli obiettivi e le strategie aziendali della Fer-Energy siano radicalmente distanti dagli scopi materialmente perseguiti dagli altri attori nell’ambito dell’asserito generale sistema illecito rilevato dall’Autorità e finalizzato alla conclusione di contratti per conto del fornitore di servizio finale, che individua, nelle modalità di telemarketing e teleselling, il principale veicolo”.

A sostegno di quanto dichiarato, la società conclude che “dalle dichiarazioni sopra riportate e dalle risultanze ispettive appare pertanto di immediata evidenza che sia Fer-Energy Call S.r.l., call center abilitato alla realizzazione del contatto a distanza, ad essere il principale destinatario nonché beneficiario delle liste (segnatamente, nella persona di XX, proprietaria del computer su cui sono state rinvenute le liste). A conferma di ciò, la circostanza secondo cui le liste di cui era in possesso il Sig. XX risultavano essere soltanto comprensive di clienti gas[…] Può dunque concludersi che è la Fer-Energy Call S.r.l. la società interessata al trasferimento delle liste e che il sig. XX, pur essendo inserito nel contesto aziendale della Scrivente, svolgesse tale attività ad esclusivo vantaggio della Fer-Energy Call S.r.l. stessa”.

Inoltre, la Fer-Energy ha affermato che “a riprova dell’estraneità della scrivente rispetto al contesto oggetto del procedimento, deve escludersi il carattere programmatico e sistematico dell’invio di liste anagrafiche effettuato in favore della M.G. Company […] infatti, il volume esiguo e occasionale degli scambi intrattenuti con la M.G. Company (pari a 3 e-mail) testimonia di per sé la non partecipazione della Società all’asserito sistema di trasferimento di liste, in cui operano gli altri attori coinvolti nell’attività ispettiva. Quanto dichiarato dalla Sig. XX, la quale faceva riferimento ad un invio periodico di liste in suo favore, non trova alcun riscontro nelle evidenze rinvenute da codesta Autorità”.

Le difese di Fer-Energy non sono idonee a far superare le contestazioni formulate dall’Autorità e, in ogni caso, si fondano su una errata interpretazione di quanto contestato.

Deve infatti ribadirsi che i trattamenti realizzati da Fer-Energy, costituiti dalla raccolta, conservazione e comunicazione di dati personali tratti da liste di switch-out del mercato energetico, risultano illeciti in radice per la natura e l’origine dei dati trattati, oltre che per il mancato adempimento alle disposizioni in tema di informativa e consenso, e sotto tale profilo, non risulta di alcuna rilevanza la circostanza che la società fosse o meno a conoscenza delle finalità ultime di utilizzo dei dati personali trasmessi, o che la stessa facesse parte o meno del sistema sopra descritto e portato in evidenza dagli accertamenti.

Infatti, ciò che rileva nel caso in argomento è che Fer-Energy, per il tramite del sig. XX prima, e del sig. XX poi, ha acquisito le liste degli utenti in fase di switch-out dal sig. XX; tali liste sono state successivamente comunicate ad altre società.

Più in particolare, le dichiarazioni del sig. XX, dipendente di Fer-Energy s.r.l., hanno fornito conferme in ordine alla provenienza illecita delle liste: “io lavoro come semplice dipendente presso questa società, le liste trovate attraverso le ricerche da voi effettuate, sono liste che mi sono state inviate esclusivamente dal Sig. XX. Il Sig. XX mi invia liste di questo genere periodicamente, quasi mensilmente, dal 2021 ad oggi. Il mio datore di lavoro, il Sig. XX, mi ha invitato a suo tempo a contattarlo e a farmi inviare le liste che avete trovato. Lui stesso, per le vie brevi, mi indica a chi reinoltrarle. Custodisco le liste in una cartella, nel mio computer, sempre come dal mio titolare indicatomi. Ho inviato le liste a tutte le persone che avete trovato come destinatari nelle mail. Le liste delle quali sono in possesso sono esclusivamente di clienti gas”.

Inoltre, la sig.ra XX, rappresentante di M.G. Company, ha testualmente dichiarato che “da ottobre 2021 abbiamo iniziato a fare chiamate sulla scorta delle liste fornite da Fer Energy incentrate sui clienti che stavano effettuando uno switch out (ALL. 2 – Cartella “Mail” con all’interno una sottocartella denominata “XX” contenente le liste da cui inviate)”. Ha anche aggiunto quanto segue: “Ho avuto un rapporto molto confidenziale con XX di Fer Energy. Chiedevo a lui, in virtù del nostro rapporto interpersonale, le liste. Lui non mi ha mai inviato le liste direttamente, ma incaricava un suo collaboratore in azienda, appunto XX, che inviava periodicamente le liste alla Signora XX. Invio tutt'ora in essere. La Signora XX, su mio incarico, provvede a girarle al Signor XX (responsabile del punto telemarketing di Latina), che le carica sul CCRM aziendale tramite passaggio su Google drive. Gli operatori telefonici presso i punti di telemarketing di Ladispoli e di Latina sono dei miei collaboratori nominati con lettera d'incarico […]. Le liste, oltre che per il nostro rapporto molto confidenziale, venivano da me pagate al Signor XX con uno storno sui contratti fatti da noi. Alcuni miei agenti, pur lavorando sempre per me, erano codificati per la sua agenzia (Fer Energy s.r.l.). I contratti da loro effettuati portavano a lui delle provvigioni che avrebbe dovuto girare a me in virtù di un accordo privato. Di queste provvigioni tratteneva circa il venti per cento a me mai corrisposto. Questo avveniva per ogni lista che mi veniva inviata e successivamente lavorata. Le liste fino al mese di giugno 2022 mi sono arrivate via mail […]. Poi, per sua ammissione, è passato a farle inviare via telegram in ragione di audit interno ricevuto da XX. […] Sulla provenienza di queste liste il Signor XX ha sempre tenuto la massima riservatezza, dicendomi che le stesse provenivano da una persona di cui non si poteva pronunciare il nome. In quel momento ho preso coscienza che la lavorazione delle predette liste non era del tutto lecita”.

Tali circostanze sono state anche comprovate dalle evidenze raccolte dall’Autorità e in ogni caso non sono state contestate da Fer-Energy che, come indicato, si è limitata ad affermare la propria estraneità al sistema finalizzato alla realizzazione di chiamate pubblicitarie in favore, tra gli altri, di Acea Energia.

Quanto all’asserita assenza di sistematicità degli invii a cui fa riferimento la società - ricordando che i soggetti coinvolti hanno dichiarato che gli invii erano mensili e che molti scambi erano effettuati via Telegram per cautela, dovendo di conseguenza considerare molto sottostimato il volume degli scambi accertato in atti - è il caso di rilevare che presso la stessa Fer-Energy sono state rinvenute 761 email inviate o ricevute dal dipendente sig. XX e in particolare:

- 334 scambiate con XX, indicato negli atti e riconosciuto dalla stessa Fer-Energy come il procacciatore delle liste di switch-out;

- 424 scambiate con XX, responsabile della sede di Fer-Energy Call s.r.l. in viale Palmiro Togliatti, Roma, per la richiesta e/o ricezione di liste, anche relative a procedure di switch out, di anagrafiche da contattare;

- 3 scambiate con XX di M.G. Company s.r.l. relativamente a contratti effettuati.

Sono stati rinvenuti anche 2792 file .excel/.csv/.pdf contenenti per la maggior parte liste di utenti e 2 chat Telegram, tra il titolare della azienda sig. XX e un altro operatore, sempre per scambio liste.

Inoltre, quanto sostenuto da Fer-Energy è poi decisamente smentito dalle evidenze raccolte presso la M.G. Company dove sono state rinvenute 79 e-mail intercorse tra il sig. XX di Fer-Energy e la sig.ra XX di M.G. Company tra l’ottobre 2021 e il novembre 2022 in ordine allo scambio delle liste di switch-out.

Inoltre, che l’oggetto sociale di Fer-Energy fosse estraneo alle operazioni oggetto di valutazione dell’Autorità non è argomento sufficiente ad escludere, di per sé, la responsabilità per i trattamenti sopra indicati e posti in essere in violazione del Regolamento e del Codice ma, semmai, contribuisce a connotare la condotta ancor più in termini illeciti.

In sintesi, come chiarito in precedenza, le evidenze raccolte hanno confermato che Fer-Energy ha trattato dati personali contenuti nelle liste di anagrafiche senza aver accertato la corretta raccolta dei dati personali in esse presenti, in carenza di una base di liceità del trattamento e avendo conoscenza della provenienza illecita di dette liste, nonché per aver trasferito tali dati a M.G. Company s.r.l. e a Fer-Energy Call s.r.l., senza alcun idoneo presupposto giuridico e con aggravio delle conseguenze pregiudizievoli per gli interessati.

4.4 Fer-Energy Call s.r.l.

Le attività istruttorie svolte da questa Autorità hanno permesso di accertare il coinvolgimento di Fer-Energy Call, nella persona del sig. XX, come soggetto che, sebbene non impegnato alla finalizzazione di contratti nell’interesse di Acea Energia S.p.A., ha comunque utilizzato liste di utenti di provenienza illecita per le proprie attività di business in violazione della normativa in materia di protezione dei dati personali.

In particolare, le evidenze raccolte in sede ispettiva hanno dimostrato che la società ha trattato i dati degli utenti coinvolti in operazioni di switch-out in violazione degli artt. 5, parr. 1 e 2, 6, 7 e 13 del Regolamento.

Infatti, nel corso degli accertamenti ispettivi sono state trovate, nei dispositivi in uso presso la società, le liste anagrafiche di clienti del mercato energetico, alcune delle quali espressamente richieste dalla responsabile del call-center al sig. XX di Fer-Energy. Di tali liste non è stato comprovato da parte della società né la lecita acquisizione e trattamento, né l’eventuale informativa resa agli interessati coinvolti.

Le difese della società hanno evidenziato come “codesta Autorità abbia esteso la propria attenzione alla Fer-Energy Call soltanto in considerazione del fatto che la stessa risultava operare nel medesimo edificio della M.G. Company (sede di Ladispoli)”.

Inoltre, ad ulteriore supporto della propria asserita estraneità al “sistema” all'attenzione di questa Autorità, la società ha precisato che “la Fer-Energy Call non intratteneva alcun rapporto di sub-agenzia con la M.G. Company e diversamente non potrebbe essere, stante il fatto che le due società operavano nell’ambito dello stesso settore commerciale (segnatamente, svolgevano entrambe attività di telemarketing)”.

Anche in questo caso, le difese di Fer-Energy Call sono inconferenti e frutto di una non corretta interpretazione di quanto contestato da questa Autorità.

Sotto un primo profilo, il coinvolgimento della società è conseguenza di quanto emerso dalle dichiarazioni di M.G. Company e dal coinvolgimento in prima persona del sig. XX (al tempo, procuratore speciale di Fer-Energy e rappresentante legale di Fer-Energy Call), circostanze tutte confermate, successivamente, da quanto emerso dalle ispezioni condotte in loco e dalle evidenze raccolte.

In secondo luogo, il trattamento dei dati personali presenti nelle liste in questione - a partire già dalla “semplice” conservazione - pone in capo a Fer-Energy Call una serie di obblighi (già sopra richiamati, in tema di base giuridica e informativa) che, nel caso di specie, non sono stati rispettati, determinando, di conseguenza, le violazioni contestate ed accertate, e ciò, indipendentemente dalla propria estraneità o meno al sistema.

4.5 Diemme Group di Di Vico Luigi

Le attività istruttorie svolte da questa Autorità hanno permesso di accertare, infine, le violazioni degli artt. 5, parr. 1 e 2, 6, 7 e 13 del Regolamento anche da parte della ditta individuale Diemme Group di Di Vico Luigi.

In particolare, la indicata ditta individuale ha dichiarato di svolgere attività di procacciamento di clienti per conto della società M.G. Company s.r.l., ma senza effettuare attività di telemarketing. Tuttavia, nella sede di Diemme Group sono state rinvenute liste anagrafiche di clienti del mercato energetico coinvolti in operazioni di switch-out e di tali liste il titolare della ditta individuale non ha saputo comprovare la lecita provenienza, né l’avvenuto rilascio di una corretta informativa a ciascuno degli interessati.

Va inoltre osservato che Diemme Group, benché ritualmente raggiunta dall’atto di avvio del procedimento, non ha ritenuto di esercitare il proprio diritto di difesa, e non ha quindi fornito alcuna valida giustificazione alla detenzione dei dati tratti dalle liste di switch-out, alle modalità della raccolta e alle finalità dei connessi trattamenti.

Trovano pertanto conferma le osservazioni svolte dall’Ufficio in sede di contestazione.   

5. COLLABORAZIONE CON ALTRE AUTORITÀ AMMINISTRATIVE INDIPENDENTI

Ai sensi dell’art. 154 comma 4 del Codice, l’Autorità provvede a trasmettere il presente provvedimento all'Autorità per la concorrenza ed il mercato (AGCM) e all’Autorità per le garanzie nelle comunicazioni (AGCOM) in ragione della rilevanza delle condotte negli ambiti di rispettiva competenza.

6. CONCLUSIONI

Per quanto sopra esposto si ritiene accertata la responsabilità della D.I. Stefanelli Federica, di M.G. Company s.r.l., di Fer-Energy s.r.l., di Fer-Energy Call s.r.l. e di Diemme Group di Di Vico Luigi in ordine, rispettivamente, alle seguenti violazioni:

a) D.I. Stefanelli Federica - art. 157 del Codice, art. 58, par. 1, lett. a) e art. 31 del Regolamento, per aver omesso di fornire un completo riscontro ad una richiesta di informazioni ed esibizione di documenti formulata dall’Autorità per il tramite della Guardia di finanza, dimostrando, così, non piena cooperazione con l’Autorità di controllo;

b) D.I. Stefanelli Federica - art. 28 del Regolamento, per avere omesso le rituali designazioni quali responsabili del trattamento dei dati personali e per non aver comunicato al titolare l’individuazione dei propri sub-agenti quali sub-responsabili del trattamento;

c) D.I. Stefanelli Federica - artt. 5, par. 1, lett. f) e 32 del Regolamento, per avere permesso di realizzare accessi non consentiti ai sistemi informatici di Acea Energia S.p.A.

d) M.G. Company s.r.l. – artt. 5, par. 1, lett. a), 6, 7 e 13 del Regolamento, nonché 130 del Codice, per avere realizzato contatti telefonici promozionali, utilizzando liste di anagrafiche acquisite in assenza di uno specifico consenso e in assenza del rilascio di una preventiva informativa, liste per le quali non risultano comprovate le lecite modalità di raccolta dei dati e di acquisizione del consenso per finalità commerciali e promozionali;

e) M.G. Company s.r.l. – artt. 5, par. 1, lett. a), 6, 7, 28 e 29 del Regolamento, per avere proceduto a far sottoscrivere ai clienti proposte di contratto per Acea Energia S.p.A., pur essendo priva di designazione quale responsabile o sub-responsabile del trattamento;

f) M.G. Company s.r.l. - art. 28 del Regolamento, per avere omesso le rituali designazioni quali responsabili del trattamento dei dati personali e per non aver comunicato al titolare e/o al responsabile del trattamento l’individuazione di Diemme Group di Di Vico Luigi quale sub-responsabile;

g) M.G. Company s.r.l. - artt. 5, par. 1, lett. f) e 32 del Regolamento, per avere realizzato accessi non consentiti ai sistemi informatici di Acea Energia S.p.A.;

h) Fer-Energy s.r.l.  - artt. 5, parr. 1 e 2, 6, 7 e 13 del Regolamento per aver acquisito liste anagrafiche senza aver accertato la corretta raccolta dei dati personali in esse presenti e il rilascio da parte degli interessati del necessario consenso alla comunicazione dei propri dati a terzi, nonché per aver comunicato tali dati a più soggetti, senza aver preventivamente reso agli interessati la necessaria informativa;

i) Fer-Energy Call s.r.l. e Diemme Group di Di Vico Luigi - per aver acquisito liste di anagrafiche senza aver accertato la corretta raccolta dei dati personali in esse presenti e il rilascio da parte degli interessati del necessario consenso al trasferimento dei propri dati a terzi e senza aver preventivamente reso agli interessati la necessaria informativa, in violazione degli artt. 5, parr. 1 e 2, 6, 7 e 13 del Regolamento;

Con riguardo ad Acea Energia, si precisa che essa è stata destinataria di un autonomo procedimento.

Inoltre, giova svolgere alcune considerazioni in merito ad un “sistema” che, dagli accertamenti ispettivi svolti dalla Guardia di Finanza e dalle successive attività istruttorie, ha consentito di delineare un quadro estremamente grave e allarmante in relazione al complesso di attività svolte dalle società M.G. Company s.r.l., da Diemme Group di Di Vico Luigi e da Fer-Energy s.r.l. finalizzate al reperimento, utilizzo, diffusione di liste di utenti di provenienza illecita, nonché alla promozione dei servizi di compagnie energetiche (in particolare, per la parte che qui interessa, Acea Energia S.p.A.).

Tali attività sono risultate poste in essere con una costante inosservanza delle disposizioni in materia di protezione dei dati personali, cosicché l’intero impianto dei trattamenti svolti dalle sopra indicate società è risultato del tutto inidoneo a consentire agli interessati di esercitare il necessario controllo sui propri dati, violando peraltro i fondamentali principi di correttezza e trasparenza posti a tutela di qualsiasi trattamento.

Le attività come sopra descritte sono state poste in essere in spregio delle disposizioni che consentono di arginare il fenomeno del telemarketing selvaggio e di far emergere il cd. “sottobosco” che opera ai margini delle reti di vendita ufficiali delle compagnie energetiche, posto che i rapporti fra le diverse società sono risultati indeterminati, fumosi e privi di riferimenti univocamente corretti alle modalità di distribuzione delle responsabilità del trattamento che il Regolamento impone ai sensi degli artt. 28 e 29.

Ne consegue che informazioni personali di estrema rilevanza siano passate di mano in mano, senza alcuna garanzia sulla correttezza dell’operato dei numerosi soggetti coinvolti e sulla sicurezza dei dati trattati, andando quindi ad alimentare ulteriormente le fonti di approvvigionamento del telemarketing selvaggio e generando un circuito vizioso di telefonate di disturbo e di contatti illeciti - caratterizzati dall'ingannevolezza e talvolta anche facendo uso di minacce e di insulti - del tutto avulso dall’intento di proporre al cliente servizi economicamente vantaggiosi e legato solo all’esigenza di aumentare i numeri delle chiamate, dei contratti sottoscritti e dei profitti realizzati dalle società.

Accertata dunque l’illiceità delle condotte della D.I. Stefanelli Federica, di M.G. Company s.r.l., di Fer-Energy s.r.l., di Fer-Energy Call s.r.l. e di Diemme Group di Di Vico Luigi con riferimento ai trattamenti presi in esame, si rende necessario:

- imporre alla D.I. Stefanelli Federica, a M.G. Company s.r.l., a Fer-Energy s.r.l., a Fer-Energy Call s.r.l. e a Diemme Group di Di Vico Luigi, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni trattamento dei dati contenuti nelle liste rinvenute presso le diverse sedi oggetto di ispezione nonché, qualora esse intendano proseguire l'attività economica descritta, il divieto di utilizzare liste di contatto di cui non possano comprovare la liceità della realizzazione e la presenza di un idoneo consenso per la comunicazione a terzi per finalità promozionali; la conservazione di dette liste è comunque consentita per il tempo strettamente necessario alla realizzazione di altre finalità come l'esercizio del diritto di difesa;

- adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti della D.I. Stefanelli Federica, di M.G. Company s.r.l., di Fer-Energy s.r.l., di Fer-Energy Call s.r.l. e di Diemme Group di Di Vico Luigi della sanzione amministrativa pecuniaria prevista dall’art. 58, par. 2, lett. i) e dell'83, parr. 3 e 5, del Regolamento.

Si precisa che, constatata l’interruzione del contratto di agenzia tra Acea e la D.I. Stefanelli e la cessazione delle conseguenti attività connesse, si ritiene non più opportuno, nel caso di specie, ingiungere a D.I. Stefanelli Federica e a M.G. Company s.r.l., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di provvedere alla designazione e alle connesse comunicazioni di cui all’art. 28 del Regolamento in relazione, rispettivamente, al contratto con Acea Energia S.p.A. e con Diemme Group di Di Vico Luigi.

In ragione di quanto disposto dall’art. 154-bis, comma 3 del Codice, si procede alla pubblicazione del presente provvedimento sul sito internet dell’Autorità (cfr. anche art. 37 del regolamento interno del Garante n. 1/2019).

Si rileva inoltre che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Si ricorda infine che, ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto del trattamento è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e) del Regolamento.

7. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

In base a quanto sopra rappresentato, risultano violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti della medesima specie effettuati dalla D.I. Stefanelli Federica, dalla M.G. Company s.r.l., dalla Fer-Energy s.r.l., dalla Fer-Energy Call s.r.l. e dalla Diemme Group di Di Vico Luigi per cui trova applicazione l'art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare o un responsabile viola, con dolo o colpa, varie disposizioni del Regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Ne consegue che nel caso in argomento deve trovare applicazione, per ciascuno dei soggetti indicati, la sanzione prevista dall’art. 83, par. 5, del Regolamento.

Ai fini della quantificazione della sanzione amministrativa il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese con oltre 500 milioni di euro di fatturato, nel 4% del medesimo, specifica le modalità di quantificazione della predetta sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.

In adempimento di tale previsione, sulla base delle informazioni rinvenibili negli ultimi bilanci disponibili, ovvero dalle informazioni reddituali ricavate, ricorre la prima ipotesi prevista dal citato art. 83, par. 5 e pertanto il massimo edittale della sanzione prevista per ciascuno dei soggetti sopra indicati è quantificato in 20 milioni di euro.

Per la quantificazione delle rispettive sanzioni sono state considerate le circostanze di seguito descritte.

7.1 D.I. Stefanelli Federica

Aggravanti:

1. la durata e la gravità delle violazioni, dal momento che la ditta individuale indicata ha posto in essere le violazioni sopra riportate dal 2022 al 2024 (art. 83, par. 2, lett. a), del Regolamento);

2. il carattere gravemente negligente delle violazioni, dal momento che la ditta individuale ha dimostrato di non aver posto in essere i doverosi controlli sulle attività dei propri partner, finalizzate all’acquisizione di contratti di fornitura energetica in totale violazione della normativa sulla protezione dei dati personali (art. 83, par. 2, lett. b), del Regolamento);

3. il grado di responsabilità della D.I. Stefanelli Federica, tenuto conto della totale assenza di misure adeguate a garantire la correttezza del trattamento effettuato e il rispetto dei basilari diritti degli interessati (art. 83, par. 2, lett. d), del Regolamento);

4. le categorie di dati interessati dalla violazione dal momento che le liste scambiate e utilizzate per finalità promozionali, pur non contenendo particolari categorie di dati, erano comunque ricche di informazioni sulla fornitura di energia elettrica e sui metodi di pagamento che avrebbero potuto rendere potenzialmente realizzabile anche l'attivazione di contratti senza il coinvolgimento e la consapevolezza degli utenti, a maggior danno di questi ultimi (art. 83, par. 2, lett. g) del Regolamento);

5. i benefici economici diretti della D.I. Stefanelli Federica, tenuto conto che il sistema di trattamenti illeciti dei dati ha permesso di caricare sui sistemi di Acea Energia S.p.A. un volume di contratti pari a circa 11.500 punti di fornitura nel 2022, a circa 13.700 nel 2023 e a circa 1.330 nei primi tre mesi del 2024 per un valore economico di circa 480.000 euro di provvigioni nel 2022 e di circa 1.500.000 euro nel 2023 (art. 83, par. 2, lett. k), del Regolamento);

6. la maniera con cui l’Autorità ha preso conoscenza delle violazioni, tenuto conto che l’istruttoria è nata da una denuncia sporta avanti le Autorità di Pubblica Sicurezza (art. 83, par. 2, lett. h), del Regolamento).

Attenuanti:

1. assenza di precedenti violazioni pertinenti commesse dalla D.I. Stefanelli Federica (art. 83, par. 2, lett. e), del Regolamento);

2. del fatto che, a seguito della descritta istruttoria, l'attività della ditta è definitivamente cessata e la sig.ra Stefanelli ha intrapreso un'attività lavorativa del tutto diversa non essendo possibile la reiterazione della condotta (art. 83, par. 2, lett k) del Regolamento).

7.2 M.G. Company s.r.l.

Aggravanti:

1. la durata e la gravità delle violazioni, dal momento che la società indicata ha posto in essere le violazioni sopra riportate per la durata di diversi anni (art. 83, par. 2, lett. a), del Regolamento);

2. il numero di interessati lesi dal trattamento e l'elevato livello di danno da essi subito, non solo per i toni minacciosi o di scherno utilizzati dagli operatori verso gli utenti che rifiutavano le offerte, ma anche per la prospettazione non veritiera di problematiche connesse all'attivazione dei contratti per spingere gli interessati ad accettare la sottoscrizione di servizi immotivatamente presentati come più vantaggiosi (art. 83, par. 2, lett. a), del Regolamento);

3. il carattere doloso delle violazioni, dal momento che la società ha dimostrato di aver scientemente trattato i dati personali, illecitamente acquisiti, per indurre, con raggiri ed artifizi, gli interessati alla conclusione di nuovi contratti di fornitura di energia elettrica (art. 83, par. 2, lett. b), del Regolamento);

4. le misure adottate dalla società per attenuare il pregiudizio nei confronti degli interessati, che sono state del tutto e volutamente assenti determinando per essi i danni derivanti dalla conclusione di contratti non necessariamente vantaggiosi dal punto di vista economico (art. 83, par. 2, lett. c), del Regolamento);

5.  le categorie di dati interessati dalla violazione dal momento che le liste scambiate e utilizzate per finalità promozionali, pur non contenendo particolari categorie di dati, erano comunque ricche di informazioni sulla fornitura di energia elettrica e sui metodi di pagamento che avrebbero potuto rendere potenzialmente realizzabile anche l'attivazione di contratti senza il coinvolgimento e la consapevolezza degli utenti, a maggior danno di questi ultimi (art. 83, par. 2, lett. g) del Regolamento);

6. i benefici economici della società, tenuto conto che il sistema di trattamenti illeciti dei dati ha permesso di caricare sui sistemi di Acea Energia S.p.A., per il tramite della D.I. Stefanelli Federica, un volume di contratti pari a circa 11.500 punti di fornitura nel 2022, a circa 13.700 nel 2023 e a circa 1.330 nei primi tre mesi del 2024 (art. 83, par. 2, lett. k), del Regolamento);

7. la maniera con cui l’Autorità ha preso conoscenza delle violazioni, tenuto conto che l’istruttoria è nata da una denuncia sporta avanti le Autorità di Pubblica Sicurezza (art. 83, par. 2, lett. h), del Regolamento).

Attenuanti:

1. grado di cooperazione con l'Autorità di controllo, dato che la società ha dimostrato la propria collaborazione nel chiarire le origini delle liste illecitamente acquisite nonché i rapporti diretti intercorsi con Acea Energia nonostante la formale assenza di rapporti contrattuali (art. 83, par. 2, lett. f), del Regolamento);

2. assenza di precedenti violazioni pertinenti commesse dalla M.G. Company (art. 83, par. 2, lett. e), del Regolamento);

3. il fatto che, a seguito della descritta istruttoria, la Società ha registrato rilevanti perdite derivanti dall'interruzione delle commesse (art. 83, par. 2, lett k) del Regolamento).

7.3 Fer-Energy s.r.l.

Aggravanti:

1. la durata e la gravità delle violazioni, dal momento che la società indicata ha posto in essere le violazioni sopra riportate per la durata di diversi anni (art. 83, par. 2, lett. a), del Regolamento);

2. il carattere doloso delle violazioni, dal momento che la Fer-Energy s.r.l. ha dimostrato sistematica disapplicazione della normativa in materia di trattamento dei dati personali e, in modo particolare, era consapevole della provenienza illecita delle liste utenti nonché delle conseguenze derivanti dalla messa a disposizione di tali liste ad M.G. Company e Fer-Energy Call (art. 83, par. 2, lett. b), del Regolamento);

3. le misure adottate dalla società che sono state del tutto assenti (art. 83, par. 2, lett. c), del Regolamento);

4. le categorie di dati interessati dalla violazione dal momento che le liste scambiate e utilizzate per finalità promozionali, pur non contenendo particolari categorie di dati, erano comunque ricche di informazioni sulla fornitura di energia elettrica e sui metodi di pagamento che avrebbero potuto rendere potenzialmente realizzabile anche l'attivazione di contratti senza il coinvolgimento e la consapevolezza degli utenti, a maggior danno di questi ultimi (art. 83, par. 2, lett. g) del Regolamento);

5. il grado di responsabilità della società, tenuto conto dell'assenza di misure adeguate a garantire la correttezza del trattamento effettuato e il rispetto dei basilari diritti degli interessati (art. 83, par. 2, lett. d), del Regolamento);

6. la maniera con cui l’Autorità ha preso conoscenza delle violazioni, tenuto conto che l’istruttoria è nata da una denuncia sporta avanti le Autorità di Pubblica Sicurezza (art. 83, par. 2, lett. h), del Regolamento).

Attenuante:

1. assenza di precedenti violazioni pertinenti commesse dalla Fer-Energy s.r.l. (art. 83, par. 2, lett. e), del Regolamento).

7.4 Fer-Energy Call s.r.l.

Aggravanti:

1. la durata e la gravità delle violazioni, dal momento che la società indicata ha posto in essere le violazioni sopra riportate per la durata di diversi anni (art. 83, par. 2, lett. a), del Regolamento);

2. il carattere colposo delle violazioni, dal momento che la Fer-Energy Call s.r.l. ha dimostrato negligenza nel trattamento dei dati personali e, in modo particolare, nel reperimento di liste utenti di provenienza illecita (art. 83, par. 2, lett. b), del Regolamento);

3. il grado di responsabilità della società, tenuto conto dell'assenza di misure adeguate a garantire la correttezza del trattamento effettuato e il rispetto dei basilari diritti degli interessati (art. 83, par. 2, lett. d), del Regolamento);

4. le categorie di dati interessati dalla violazione dal momento che le liste scambiate e utilizzate per finalità promozionali, pur non contenendo particolari categorie di dati, erano comunque ricche di informazioni sulla fornitura di energia elettrica e sui metodi di pagamento che avrebbero potuto rendere potenzialmente realizzabile anche l'attivazione di contratti senza il coinvolgimento e la consapevolezza degli utenti, a maggior danno di questi ultimi (art. 83, par. 2, lett. g) del Regolamento);

5. la maniera con cui l’Autorità ha preso conoscenza delle violazioni, tenuto conto che l’istruttoria è stata estesa alla società grazie alle verifiche effettuate presso altre realtà economiche (art. 83, par. 2, lett. h), del Regolamento).

Attenuante:

1. assenza di precedenti violazioni pertinenti commesse dalla Fer-Energy Call s.r.l. (art. 83, par. 2, lett. e), del Regolamento).

7.5 Diemme Group di Di Vico Luigi

Aggravanti:

1. la durata e la gravità delle violazioni, dal momento che la ditta indicata ha posto in essere le violazioni sopra riportate per la durata di diversi anni (art. 83, par. 2, lett. a), del Regolamento);

2. il carattere colposo delle violazioni, dal momento che Diemme Group di Di Vico Luigi ha dimostrato negligenza nel trattamento dei dati personali e, in modo particolare, nel reperimento di liste utenti di provenienza illecita (art. 83, par. 2, lett. b), del Regolamento);

3. il grado di responsabilità dell’impresa individuale, tenuto conto dell'assenza di misure adeguate a garantire la correttezza del trattamento effettuato e il rispetto dei basilari diritti degli interessati e considerato che nessuna giustificazione è stata fornita in merito al possesso e alla provenienza delle liste rinvenute nel corso dell'accertamento (art. 83, par. 2, lett. d), del Regolamento);

4. la maniera con cui l’Autorità ha preso conoscenza delle violazioni, tenuto conto che l’istruttoria è stata estesa alla società grazie alle verifiche effettuate presso altre realtà economiche (art. 83, par. 2, lett. h), del Regolamento).

Attenuante:

1. assenza di precedenti violazioni pertinenti commesse dalla Diemme Group di Di Vico Luigi (art. 83, par. 2, lett. e), del Regolamento).

***

In una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa occorre valutare prudentemente i suindicati criteri, anche al fine determinare una sanzione proporzionata, adeguata e dissuasiva.

Pertanto si ritiene che - in base al complesso degli elementi sopra indicati - debba applicarsi:

-    alla D.I. Stefanelli Federica la sanzione amministrativa del pagamento di una somma di euro 45.000,00 (quarantacinquemila/00) pari allo 0,225% della sanzione edittale massima di 20 milioni di euro. La sanzione applicata tiene anche conto che la stessa, in ragione della cessazione della ditta individuale, incide direttamente su una persona fisica;

- alla M.G. Company s.r.l. la sanzione amministrativa del pagamento di una somma di euro 200.000,00 (duecentomila/00) pari allo 1% della sanzione edittale massima di 20 milioni di euro;

- alla Fer-Energy s.r.l. la sanzione amministrativa del pagamento di una somma di euro 500.000,00 (cinquecentomila/00) pari allo 2,5% della sanzione edittale massima di 20 milioni di euro;

- alla Fer-Energy Call s.r.l. la sanzione amministrativa del pagamento di una somma di euro 75.000,00 (settantacinquemila/00) pari allo 0,375% della sanzione edittale massima di 20 milioni di euro;

- alla Diemme Group di Di Vico Luigi la sanzione amministrativa del pagamento di una somma di euro 30.000,00 (trentamila/00) pari allo 0,15% della sanzione edittale massima di 20 milioni di euro. La sanzione applicata tiene anche conto che la stessa incide, di fatto, su una ditta individuale.

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16 del regolamento interno del Garante n. 1/2019, si debba procedere per tutti all’applicazione della sanzione accessoria della pubblicazione della presente ordinanza ingiunzione sul sito Internet del Garante, in ragione della gravità e del disvalore delle condotte, nonché per i potenziali danni arrecati ad una vasta platea di interessati, circostanza che rende necessaria la più ampia diffusione del provvedimento.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. a) e h), del Regolamento, dichiara illeciti i trattamenti descritti nei termini di cui in motivazione effettuati dalla D.I. Stefanelli Federica, dalla M.G. Company s.r.l., dalla Fer-Energy s.r.l., dalla Fer-Energy Call s.r.l. e dalla Diemme Group di Di Vico Luigi; di conseguenza:

a) impone alla sig.ra Stefanelli Federica (nella sua qualità di rappresentante legale pro-tempore, della omonima ditta individuale), a M.G. Company s.r.l., a Fer-Energy s.r.l., a Fer-Energy Call s.r.l. e a Diemme Group di Di Vico Luigi, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni trattamento dei dati contenuti nelle liste rinvenute presso le diverse sedi oggetto di ispezione nonché, qualora esse intendano proseguire l'attività economica descritta, il divieto di utilizzare liste di contatto di cui non possano comprovare la liceità; la conservazione di dette liste è comunque consentita per il tempo strettamente necessario alla realizzazione dell'esercizio del diritto di difesa;

b) ingiunge alla sig.ra Stefanelli Federica (nella sua qualità di rappresentante legale pro-tempore, della omonima ditta individuale), a M.G. Company s.r.l., a Fer-Energy s.r.l., a Fer-Energy Call s.r.l. e a Diemme Group di Di Vico Luigi, ai sensi dell’art. 157 del Codice e 58, par. 1, lett. a) del Regolamento, di comunicare all’Autorità, nel termine di trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure ingiunte; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento.

ORDINA

alla sig.ra Stefanelli Federica, (C.F. XX), nella sua qualità di rappresentante legale pro-tempore, della omonima ditta individuale, di pagare la somma di euro 45.000,00 (quarantacinquemila/00);

a M.G. Company s.r.l., (P.IVA 14169931004), con sede legale in Fiumicino alla Via dei Delfini n. 1, in persona del suo legale rappresentante, di pagare la somma di euro 200.000,00 (duecentomila/00);

a Fer-Energy s.r.l., (P.IVA 12923641000), con sede legale in Roma alla Via Vito Giuseppe Galati n. 100, in persona del suo legale rappresentante, di pagare la somma di euro 500.000,00 (cinquecentomila/00);

a Fer-Energy Call s.r.l., (P.IVA 14514361006), con sede legale in Roma alla Via della Giustiniana n. 990, in persona del suo legale rappresentante, di pagare la somma di euro 75.000,00 (settantacinquemila/00);

a Diemme Group di Di Vico Luigi, (P.IVA 02837820600), con sede legale in Ceccano (Fr) alla Viale Bruno Buozzi n. 7, in persona del suo legale rappresentante, di pagare la somma di euro 30.000,00 (trentamila/00),

TUTTI a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che i contravventori, ai sensi dell’art. 166, comma 8, del Codice, hanno facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata

INGIUNGE

a ciascuno dei soggetti indicati, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma per ciascuno sopra indicata, secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

a) ai sensi degli artt. 154-bis del Codice e 37 del regolamento interno del Garante n. l/20l9, la pubblicazione del presente provvedimento sul sito web del Garante;

b) ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del regolamento interno del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito web del Garante;

c) ai sensi dell’art. 17 del regolamento interno del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate;

d) ai sensi dell’art. 154 comma 4 del Codice, la trasmissione del presente provvedimento all'Autorità per la concorrenza ed il mercato (AGCM) e all’Autorità per le garanzie nelle comunicazioni (AGCOM) in ragione della rilevanza delle condotte negli ambiti di rispettiva competenza.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 10 aprile 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE REGGENTE
Filippi

 

______

1) Presso gli uffici di Terracina della società M.G. Company s.r.l. sono state rinvenute complessivamente 149.592 anagrafiche relative ad operazioni di passaggio da un gestore ad un altro, 171.571 anagrafiche di utenti del mercato energetico, senza l’indicazione del gestore di appartenenza, 16.489 anagrafiche con l’indicazione del gestore. Presso il call-center di Latina sono state rinvenute e acquisite agli atti dell’accertamento liste comprendenti 10.595.233 utenti coinvolti in procedure di switch-out, 97.551 anagrafiche di utenti del mercato energetico, con l’indicazione della compagnia di riferimento e 119.264 prive di tale indicazione. Nella sede di Ladispoli sono state rinvenuti n. 140 file .excel/.csv/.txt contenenti liste di utenti switch out, per un totale di 1.216.954 anagrafiche; n. 34 file .excel/.csv/.txt contenenti liste di utenti con l'indicazione dell'operatore energetico di appartenenza, per un totale di 1.012.436 anagrafiche; n. 128 file .excel/.csv/.txt contenenti liste di utenti senza l'indicazione di alcun operatore energetico, per un totale di 87.701 anagrafiche; il tutto in relazione a contatti telefonici avvenuti a far data dell'anno 2022 nei confronti di utenti residenti nelle regioni del Lazio e della Campania e nella provincia di Torino. Sono stati altresì rinvenuti n. 381 file .excel/word contenenti liste di appuntamenti presi per i runner, per un totale di 60.978 anagrafiche di possibili clienti, relativi agli anni 2022 e 2023 e alla città di Roma (solo alcuni file sono relativi all'anno 2024 e alle città di Torino e Latina); n. 41 file .excel/word contenenti liste di clienti inseriti nei portali Acea Energia S.p.A., XX e XX, per un totale di 8.466 anagrafiche, relativi agli anni 2023 e 2024 e a residenti nella regione del Lazio, in particolare nella provincia di Roma; n. 770 file immagine ricevuti via whatsapp nell'anno 2024 e relativi ai documenti di riconoscimento di 386 clienti; n. 74 file .excel contenenti gli esiti dei contatti telefonici avvenuti nell'anno 2023, per un totale di circa 26.970 anagrafiche di utenti residenti principalmente nelle province dì Roma e di Torino; n. 11 file .excel relativi agli esiti dei contatti telefonici "switch out" avvenuti negli anni 2022, 2023 e 2024, per un totale di circa 5.080 anagrafiche di utenti; n. 30 file .excel riportanti gli esiti degli appuntamenti tenuti dai runner negli anni 2022, 2023 e 2024, per un totale di circa 34.015 anagrafiche di soggetti residenti nelle regioni del Lazio e della Campania e nella provincia di Torino; n. 10.312 screenshot relativi alle verifiche del punto di fornitura e dell'affidabilità del cliente ("Check Cerved") sulla piattaforma "ACEASPA.FORCE.COM". Nella sede legale di Fiumicino sono stati rinvenuti n. 1.842 file .pdf relativi a contratti stipulati per conto di Acea Energia S.p.A., XX, XX e XX e ad allegati documenti di riconoscimento dei clienti; n. 17 file .pdf contenenti liste di appuntamenti presi per i runner, per un totale di 328 anagrafiche di possibili clienti; n. 20 file .pdf relativi ai documenti di riconoscimento di 400 clienti; n. 6 file .excel/.csv/.txt contenenti liste di utenti switch out, per un totale di 1.256 anagrafiche; n. 4 file .exceli.csv/.txt contenenti liste di utenti con l'indicazione dell'operatore energetico di appartenenza, per un totale di 2.164 anagrafiche; n. 23 file .excel/. csvi.txt contenenti liste di utenti senza l'indicazione di alcun operatore energetico, per un totale di 7.330 anagrafiche.