g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Areti S.p.A. - 24 novembre 2022 [9832979]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

VEDI NEWSLETTER DEL 22 DICEMBRE 2022

 

[doc. web n. 9832979]

Ordinanza ingiunzione nei confronti di Areti S.p.A. - 24 novembre 2022

Registro dei provvedimenti
n. 390 del 24 novembre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo del 6 marzo 2021 presentato ai sensi dell’art. 77 del Regolamento dal Sig. XX nei confronti di Areti S.p.A.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Il reclamo nei confronti della società.

Con reclamo presentato il 6 marzo 2021, il Sig. XX ha segnalato di essere stato erroneamente qualificato quale ‘cliente moroso’ (nella specie, con riferimento all’applicazione del c.d. indennizzo CMOR), da parte di Areti S.p.A., nell’ambito delle comunicazioni da questa trasmesse all’interno del Sistema informativo integrato (di seguito “SII”), in ragione della partecipazione al Sistema indennitario (cfr. deliberazione dell’Autorità di regolazione per energia reti e ambiente –“ARERA”, del 3 agosto 2017, n. 593/2017/R/com); tutto ciò a causa del trattamento, ad opera del predetto titolare, di dati inesatti e non aggiornati riferiti al reclamante. È stato altresì lamentato l’inidoneo riscontro, da parte di Areti S.p.A., all’istanza di esercizio dei diritti presentata il 21 agosto 2020 dal Sig. XX, ai sensi degli artt. 15-22 del Regolamento.

Il reclamo ha reso necessario esaminare in via preliminare le modalità di funzionamento dei processi automatizzati di interazione tra i sistemi di Areti S.p.A. ed il SII rispetto alle informazioni veicolate nell’ambito del Sistema indennitario; ciò con particolare riferimento alle verifiche richieste, al predetto distributore in fase di switching, sulla presenza di morosità pregresse dei clienti finali (nella specie, l’indennizzo CMOR).

Al riguardo, merita in primis rammentare che il CMOR (ossia ‘Corrispettivo morosità’) –istituito con delibera di ARERA (deliberazione dell’11 dicembre 2009, n. ARG/elt 191/09 e ss.) e regolamentato all’interno del ‘TISIND’ recante il ‘Testo integrato del Sistema indennitario a carico del cliente moroso nei settori dell’energia elettrica e del gas naturale’ (cfr. Allegato A della deliberazione di ARERA n. 593/2017/R/com)– consiste in una specifica voce di spesa fatturata in bolletta al cliente ove quest’ultimo, all’atto del passaggio (c.d. switching) ad altro fornitore di energia nel libero mercato, riporti situazioni di morosità pregresse nei confronti del precedente venditore.

Ai sensi di tale disciplina, si garantisce, al fornitore uscente di energia elettrica, un indennizzo per l’eventuale mancato incasso del credito relativo alle fatture degli ultimi tre mesi di erogazione, prima del passaggio effettivo del cliente al fornitore entrante; ciò per il tramite di un articolato meccanismo di riparto di competenze economiche e di trasmissione di flussi di comunicazione –nell’ambito del Sistema indennitario e attraverso il SII– tra il venditore entrante, il distributore, la Cassa per i servizi energetici e ambientali (di seguito ‘CSEA’) e, infine, il fornitore uscente.

Più nello specifico, quest’ultimo, ove ne ricorrano i presupposti normativi ed entro i termini ivi previsti (artt. 4 e 7 del TISIND), può presentare al SII la richiesta di indennizzo CMOR, che è verificata, per gli aspetti formali, da Acquirente Unico (di seguito ‘AU’), tramite la consultazione del Registro centrale ufficiale presente nel SII (art. 8 del TISIND).

In caso di esito positivo della predetta verifica, AU informa il venditore entrante dell’avvenuta accettazione della pratica, il quale provvede a fatturare l’importo del CMOR al cliente. Trascorsi sette mesi dalla predetta accettazione, AU ne comunica l’esito al distributore, che, a sua volta, fattura l’importo del CMOR al venditore entrante e, ricevuto l’importo inerente al CMOR, lo versa a CSEA (artt. 8 e 9 del TISIND), dandone comunicazione, tramite il SII, ai sensi dell’art. 11, comma 2, del TISIND.

La disciplina del Sistema indennitario, ai fini delle questioni oggetto di contestazione nel caso di specie, deve essere altresì esaminata in combinato disposto con la regolamentazione emanata da ARERA in materia di switching e, più nello specifico, con l’istituto del c.d. switching con riserva.
Trattasi della facoltà, attribuita al venditore entrante, di revocare la richiesta di switching una volta acquisite alcune informazioni relative al cliente in tema di: morosità dello stesso (ossia presenza di una pratica di indennizzo CMOR in corso o di richieste di sospensione della fornitura), di propensione al cambio di fornitore (es. numero di richieste di switching presentate), nonché di altre caratteristiche della fornitura oggetto di switching (cfr. in merito, l’art. dell’art. 6, commi 3 e 4, del TIMOE recante il ‘Testo integrato morosità elettrica’, Allegato A alla deliberazione di ARERA del 29 maggio 2015, n. 258/2015/R/com e ss. aggiornamenti).

In base alla predetta disciplina, dunque, viene consentito al venditore entrante, prima di confermare la propria volontà di acquisire un nuovo cliente nel libero mercato, di valutare la ‘convenienza’ della suddetta acquisizione, sulla base di una serie di informazioni, fornite dal distributore per il tramite del SII, tra cui quelle inerenti all’insistenza, sul relativo POD, di una richiesta di indennizzo CMOR ‘in corso’ (di seguito anche ‘CMOR-SI’) a causa di morosità pregresse con il precedente venditore (v. art. 6, comma 4, lett. b) del TIMOE).

2. L’istruttoria preliminare del Garante e il disallineamento dei sistemi informativi.

A seguito della presentazione del reclamo di cui sopra, l’Ufficio ha avviato un’articolata attività istruttoria, mediante la trasmissione, con nota del 7 aprile 2021, di una richiesta di informazioni -cui è stato reso riscontro con comunicazione del 6 maggio 2021- e per il tramite dello svolgimento di alcuni accertamenti ispettivi presso Areti S.p.A. il 9 e 10 dicembre 2021 nonché il 17 marzo 2022.

Nell’ambito del riscontro sopra indicato e nel corso delle attività ispettive poste in essere dall’Autorità, il titolare ha dichiarato, anche per il tramite di due note integrative rispettivamente del 10 gennaio e del 31 marzo 2022, quanto di seguito più diffusamente riportato.

Con riferimento alle doglianze contenute nel reclamo, Areti S.p.A., successivamente alla presentazione dello stesso, ha fornito un primo riscontro al Sig. XX il 28 agosto 2020, invitando lo stesso a “far riferimento al venditore di competenza al fine di sanare la situazione di morosità, in quanto lo stato di addebito del CMOR può essere modificato solo dal predetto venditore. Successivamente, a seguito di ulteriori approfondimenti e informazioni provenienti dall’interessato, la società ha rilevato un disallineamento dei flussi informatici fra i propri sistemi e il Sistema informativo integrato, provvedendo a rettificare la posizione del Sig. XX, presso il Sistema indennitario (…) ad aprile 2021. La società, infatti, in data 20 aprile 2021, ha inviato al SII una richiesta di modifica dell’indicazione inerente al CMOR (CMOR NO) [attribuito al POD afferente al reclamante], che ha avuto esito positivo” (v. verbale del 9 dicembre 2021, pag. 3).

In ordine al predetto ‘disallineamento’, la Società ha rappresentato che lo stesso sarebbe derivato dall’applicazione, nel periodo ricompreso tra dicembre 2016 e gennaio 2022, di un’erronea regola (di seguito anche “query”) di estrazione, dai propri data base, dell’informazione inerente alla presenza di un indennizzo CMOR in corso a carico del reclamante (v. verbale del 9 dicembre 2021, pag. 4 e verbale del 10 dicembre 2021, pag. 2). Tutto ciò a seguito delle diverse attività di adeguamento dei propri sistemi e processi, poste in essere da Areti S.p.A., al fine di conformarsi alle modifiche normative che hanno interessato, negli ultimi anni, la disciplina afferente al Sistema indennitario. Nello specifico sono state individuate dalla Società quattro distinte fasi di intervento, come di seguito esplicitate.

Una prima fase, precedente al dicembre 2016, ove la gestione delle pratiche concernenti il Sistema Indennitario “si basava (…) sulla ‘Tabella Richiesta_Indennizzo’ che memorizzava le pratiche lavorate fino a fine novembre 2016, [mediante aggiornamento del relativo] campo ‘stato’ [riportante le variazioni delle pratiche di CMOR]. Quando la pratica veniva avviata, lo ‘stato’ era posto in ‘AMMESSA’ [corrispondente ad un ‘CMOR-SI’], mentre al sopraggiungere della richiesta di Annullamento [del CMOR] lo ‘stato’ veniva posto in ‘ANNULLATA’ [indicativo di un ‘CMOR-NO’]” (v. nota integrativa del 10 gennaio 2022, pagg. 8-10). La regola di estrazione del valore inerente alla presenza di una morosità pregressa (in termini di ‘CMOR-SI’) si basava su una query che “andava (..) a cercare, relativamente al POD comunicato nello switching, la presenza di un’occorrenza nella ‘Tabella Richiesta_Indennizzo’, che presentasse [il campo] ‘stato’ uguale ad ‘AMMESSA’” (v. nota integrativa del 10 gennaio 2022, pagg. 8-10). A fronte di tale corretta applicazione della regola sopra descritta “la richiesta di switching del sig. XX, giunta il 9 novembre 2016, [a differenza di quanto è avvenuto successivamente] aveva [regolarmente] ricevuto una risposta ‘CMOR NO’ poiché la riga relativa al suo POD era presente nel database, ma presentava lo stato ‘ANNULLATO’” (v. nota integrativa del 10 gennaio 2022, pagg. 8-10).

Una seconda fase, relativa al periodo ricompreso tra dicembre 2016 e novembre 2018, ha riguardato una revisione dei sistemi applicativi della Società, avvenuta nel dicembre 2016. In tale occasione è stata creata una nuova tabella -denominata tabella ‘Pratica_Indennizzo’- nella quale sono state migrate le pratiche, inerenti al Sistema indennitario, presenti nella precedente tabella ‘Richiesta_Indennizzo’; ciò con la regola di migrazione in base alla quale, “per ogni occorrenza, si è riportato lo ‘stato’ in ‘AMMESSA’ e, in presenza di un Annullamento, sarebbe stato valorizzato il campo ‘STATO_INVIO_ANNULLAMENTO’ con il valore ‘INVIATA’. Contestualmente, la query di controllo della presenza del CMOR, utilizzata nel processo di switching, veniva aggiornata nel seguente modo: (…) [al fine di verificare la presenza di un indennizzo CMOR-SI] si andava a cercare, relativamente al POD comunicato nello switching, la presenza di un’occorrenza nella tabella ‘Pratica_Indennizzo’ che presentasse lo ‘stato’ uguale ad ‘AMMESSA’ senza tuttavia considerare [il campo] ‘STATO_INVIO_ANNULLAMENTO’ valorizzato con ‘INVIATA’. (..) Pertanto, laddove fosse pervenuta una richiesta di switching, a partire da dicembre 2016 fino alla successiva modifica della regola effettuata il 28 ottobre 2021, (…) in casi analoghi a quello del Sig. XX, l’effetto sarebbe stato quello di restituire un [inesatto] valore del CMOR uguale a SI a causa della non completa interpretazione dei dati da parte della [predetta] regola” (cfr. nota integrativa del 10 gennaio 2022, pag. 8 e pagg. 10-11).

Una terza fase ha interessato il periodo intercorrente tra dicembre 2018 e ottobre 2021: nel dicembre 2018, nell’ambito delle attività di modifica dei sistemi di Areti S.p.A. necessarie per adempiere al passaggio a regime della disciplina del Sistema indennitario (v. Arera, deliberazione del 3 agosto 2017, n. 593/2017/R/com e successive modifiche), “sono state introdotte le tabelle ‘Pratica_Indennizzo_SII’ [che contiene i dati relativi agli indennizzi CMOR dal 1° dicembre 2018 ad oggi] e ‘Storico_Indennizzo_SII’ [che registra i dati storici relativi alle variazioni di ‘stato’ delle pratiche dal 1° dicembre 2018 ad oggi] e, per una quota di pratiche presenti nella [precedente] tabella ‘Pratica_Indennizzo’, è stata effettuata un’attività di migrazione [delle pratiche] in stato ‘AMMESSA’ o con ammissibilità in corso di verifica” (v. nota integrativa del 10 gennaio 2022, par. B.iii).

Ai fini del calcolo del CMOR in sede di switching, è stata ulteriormente modificata la regola di estrazione del suddetto valore mediante l’implementazione di una query finalizzata ad individuare un’occorrenza che presentasse il campo ‘stato’ uguale ad ‘AMMESSA’ nelle tabelle ‘Pratica_Indennizzo’, ‘Pratica_Indennizzo_SII’ e ‘Storico_Indennizzo_SII’.

In questa circostanza, le problematiche contestate dal Sig. XX in ordine alla restituzione al SII di un’informazione non corrispondente al vero in ordine alla propria condizione di morosità, sono derivate dall’erronea consultazione, ai sensi della predetta regola, di una tabella non aggiornata e non più movimentata (la tabella ‘Pratica_indennizzo’), nonché della tabella ‘Storico_indennizzo_SII’ che, nel riportare i vari passaggi di stato delle pratiche, conteneva sempre al proprio interno, per ogni pratica, lo ‘stato’ di ‘Ammessa’ (ossia ‘CMOR-SI’).  “Per questa ragione si è continuato a restituire il CMOR valorizzato a SI per le pratiche migrate a Dicembre 2016. Pertanto, a fronte di tale regola, al Sig. XX è stato erroneamente restituito il CMOR valorizzato a SI per le richieste formulate nel 2019 e nel 2020” (v. nota integrativa del 10 gennaio 2022, paragrafi B.iii e C).

Con specifico riferimento alle sopra indicate attività di migrazione dei dati afferenti all’applicazione del CMOR dei clienti dalla tabella ‘Pratica_Indennizzo’ alla tabella ‘Pratica_Indennizzo_SII’, è altresì emerso che alle “pratiche migrate si è applicata di default la regola di migrazione che ha previsto la transcodifica dello ‘stato’ da ‘AMMESSA’ a ‘CHIUSA’. (..) Il numero delle pratiche [complessivamente] migrate sulla nuova tabella è stato di 50.737” (v. nota integrativa del 10 gennaio 2022, par. C); di queste “il numero di pratiche che, nella migrazione effettuata a dicembre 2018, pur avendo il campo ‘STATO’ pari ad ‘AMMESSA’ e il campo ‘INVIO_ANNULLAMENTO’ pari a ‘INVIATA’, sono state [erroneamente] migrate con lo ‘stato’ ‘CHIUSA’, è di 39.088, corrispondenti a 34.634 POD, afferenti a 16.186 persone fisiche” (v. verbale del 17 marzo 2022, pag. 4).

L’ultima fase ha riguardato l’intervallo di tempo da ottobre 2021 al 4 gennaio 2022. A partire da ottobre 2021, è stato “svolto un approfondimento sulle regole [di estrazione del dato inerente alla presenza del CMOR] impostate [in precedenza]:  (..) [in un primo momento, ossia fino a dicembre 2021], rimuovendo, dalla regola [ossia la query], la selezione delle righe relative alla tabella ‘Pratica_Indennizzo’”; successivamente, ovvero a partire dal 4 gennaio 2022, il CMOR è stato valorizzato mediante ricerca delle pratiche “in ‘stato’ ‘AMMESSA’ unicamente per [quelle] (…) che rechino questo ‘stato’ nella sola tabella ‘Pratica_Indennizzo_SII’”, rimuovendo pertanto la funzione di ricerca nella tabella ‘Storico_indennizzo_SII’ (v. nota integrativa del 10 gennaio 2022, par. B.iv; cfr. anche verbale del 10 dicembre 2021, pagg. 2-3).

Tanto emerso con riferimento all’estrazione del dato inerente alla morosità del cliente all’interno dei sistemi di Areti S.p.A., sono state fornite anche indicazioni in ordine alle specifiche tecniche relative alla rispondenza del valore ‘CMOR-SI/CMOR-NO’ rispetto al campo ‘stato’ delle pratiche presenti nelle tabelle ‘Pratica_Indennizzo’ e ‘Pratica_Indennizzo_SII’.

Al riguardo la Società ha rappresentato che, in sede di switching, l’informazione inerente a un ‘indennizzo in corso’ ai sensi dell’art. 6, comma 4, lett. b), del TIMOE (c.d. CMOR-SI) in capo al cliente è valorizzata con riferimento al periodo in cui la pratica è registrata nelle predette tabelle con il campo ‘stato’ valorizzato in ‘AMMESSA’ o ‘AMMESSA-ESITATA’ (v. Verbale del 10 dicembre 2021, All. 8). La tabella ‘Pratica_Indennizzo_SII’, inoltre, riporta ulteriori tipologie di campo ‘stato’ volte a tenere traccia delle diverse fasi di avanzamento della pratica all’interno dei sistemi di Areti; gli stessi consistono in: ‘RICHIESTA’ (quando il SII comunica ad Areti S.p.A. l’avvenuta accettazione della pratica; cfr. art. 8, comma 4 del TISIND); ‘IN LAVORAZIONE SAP’ (quando da ‘AMMESSA’ la pratica è inviata al sistema gestionale di fatturazione); ‘FATTURABILE’ (quando la stessa è acquisita dal sistema di fatturazione); ‘CHIUSA’ (quando è stata emessa la fattura nei confronti del venditore entrante); ‘ANNULLATA’ (ove intervenga una successiva richiesta di annullamento ai sensi degli artt. 12-14 del TISIND).

Con l’eccezione dello stato ‘AMMESSA’ e ‘AMMESSA-ESITATA’, i rimanenti ‘stati-pratica’ sono tutti rispondenti ad un valore di ‘CMOR-NO’” (v. nota integrativa del 31 marzo 2022, pagg. 3-4; cfr. Verbale del 10 dicembre 2021, All. 8).

In ordine alla gestione interna dei processi di passaggio di ‘stato’ delle pratiche, la Società ha altresì precisato che “dal 2018, il Distributore quando riceve la pratica dal SII provvede immediatamente alla fatturazione della stessa, in quanto è Acquirente Unico che effettua la comunicazione al Distributore secondo le tempistiche previste normativamente; ne consegue che, da dicembre 2018, il passaggio di stato da ‘AMMESSA’ a ‘CHIUSA’, all’interno della tabella ‘Pratica_Indennizzo_SII’, avviene in genere in un brevissimo lasso di tempo” quantificabile “in alcune ore” (v. verbale del 17 marzo 2022, pag. 5; nota integrativa del 10 gennaio 2022, par. B.iv).

Al riguardo, nel corso degli accertamenti ispettivi condotti dalla scrivente Autorità, è stato “verificato che, nella tabella ‘Pratica_Indennizzo_SII’ non risultano, (..), [alla data del 17 marzo 2022], pratiche con ‘stato’ ‘AMMESSA’ (v. verbale del 17 marzo 2022, pag. 5).

Per quanto concerne i tempi di conservazione delle informazioni presenti nei sistemi di Areti S.p.A. e finalizzati alla gestione delle pratiche del Sistema indennitario, la Società ha dichiarato che le predette pratiche sono conservate in un apposito applicativo, denominato “applicativo PAD”, sottoposto alla policy di data retention predisposta da Areti S.p.A. con riferimento a ”tutti i trattamenti finalizzati alla gestione dei rapporti con la clientela” (v. nota integrativa del 10 gennaio 2022, pag. 23).

La predetta policy “prevede un periodo di conservazione dei dati pari a 10 anni dalla data di cessazione del contratto di fornitura, in linea con il generale termine prescrizionale previsto dall’ordinamento. Tale tempistica è altresì coerente con il ciclo di vita commerciale del POD, nonché con eventuali azioni necessarie e/o richieste dall’utente, quali ad esempio restituzioni di addebiti a favore del cliente, reclami, procedimenti stragiudiziali (conciliazioni) e procedimenti giudiziali (v. nota integrativa del 10 gennaio 2022, pagg. 23 e 24).

Da ultimo, con riferimento alle modalità con cui la Società gestisce i reclami in materia di esercizio dei diritti, Areti S.p.A. ha chiarito che gli stessi “devono essere inviati ad una casella di posta elettronica dedicata, unica per tutte le società del gruppo, preferibilmente mediante la compilazione del modulo predisposto dall’Autorità a tal fine, con allegata copia del documento di identità del reclamante, per scongiurare possibili omonimie. I reclami sono esaminati dal DPO di gruppo che provvede a rapportarsi, di volta in volta, con la società del gruppo destinataria degli stessi reclami. Prima dell’istituzione della casella unica dedicata, i reclami ex art. 7 [del Codice nella previgente disciplina] che pervenivano all’indirizzo generico delle società del gruppo venivano spesso trattati come reclami di altra natura, con il rischio di una gestione non coerente con le tempistiche previste dalla normativa di settore. Per tale motivo, in occasione della ristrutturazione della governance della privacy di gruppo è stata inizialmente predisposta una casella unica per i reclami privacy, al fine di ottimizzarne la gestione. Ad oggi, è all’esame la possibilità di istituire indirizzi email dedicati per singola società” (v. verbale del 9 dicembre 2021, pag. 3).

Relativamente all’istanza presentata dal reclamante, ai sensi dell’art. 15 del Regolamento, il 21 agosto 2020 e regolarizzata il 25 agosto 2020, la Società ha fornito un primo riscontro il 28 agosto 2020 riportando l’elenco delle categorie di informazioni afferenti al Sig. XX.

A seguito di un’ulteriore richiesta di integrazione presentata dal reclamante il 28 settembre 2020, Areti S.p.A., con comunicazione del 7 ottobre 2020, ha fornito un elenco contenente i dati personali, relativi a quest’ultimo, trattati all’interno dei propri sistemi, precisando al contempo di “non [essere] in possesso delle informazioni che hanno consentito l’applicazione di quanto disposto nell’art. 6.3 del TIMOE” (v. verbale del 9 dicembre 2021, All. 3).

3. La notifica delle violazioni e l’apertura del procedimento.

Il 16 giugno 2022 l’Ufficio ha notificato, ai sensi dell’art. 166, comma 5, del Codice, le presunte violazioni del Regolamento riscontrate con riferimento all’art. 5, par. 1, lettere d) ed e) e par. 2, all’art. 24 nonché agli artt.  12 e 15, del Regolamento.

Il 15 luglio 2022 la Società ha inviato i propri scritti difensivi nei quali ha rappresentato che:

a) la durata della violazione, da calcolarsi a partire dal momento in cui il titolare ha avuto contezza degli errori tecnici intercorsi nei propri sistemi, “non può farsi risalire al periodo successivo al dicembre 2016, ma solamente ai circa 16 mesi intercorrenti tra il 21 agosto del 2020 (data di ricevimento dell’istanza del Sig. XX) ed il 9/10 dicembre 2021 (data di avvio delle ispezioni, a valle delle quali la Società ha immediatamente effettuato tutti gli accertamenti necessari” (v. nota di Areti S.p.A. del 15 luglio 2022, pag. 4);

b) a fronte della notifica di violazione ex art. 166, comma 5 del Codice, è stato previsto un termine di conservazione distinto per i dati personali dei clienti afferenti alle pratiche CMOR e relative al Sistema indennitario, che tenesse conto delle peculiarità dello specifico settore di riferimento, nonché delle tempistiche prescrizionali ivi applicabili. “Di conseguenza, l’esigenza di avere a disposizione tutti i dati idonei a poter fornire i dovuti riscontri agli interessati in ipotesi di segnalazioni, reclami o contestazioni e (..) ad esercitare i diritti della Società nelle sedi preposte, ivi inclusa quella giudiziaria, ha portato alla fissazione di un termine di conservazione allineato ai più estesi periodi di prescrizione vigenti ai sensi di legge”; tale termine è stato individuato in 10 anni dalla data di ricezione della richiesta di indennizzo CMOR all’interno dei sistemi di Areti S.p.A., a prescindere dal ciclo di vita del POD interessato (v. nota di Areti S.p.A. del 15 luglio 2022, pag. 5). Del resto, la conservazione decennale dei dati afferenti alle pratiche CMOR è funzionale e necessaria alla corretta gestione del Sistema Indennitario. “Infatti, le richieste di annullamento di pratiche CMOR possono essere presentate alla Società anche dopo [diversi] anni rispetto alla comunicazione della pratica di indennizzo” (v. nota di Areti S.p.A. del 15 luglio 2022, pag. 6);

c) con riferimento al motivo dell’inesatto riscontro fornito all’istanza di esercizio dei diritti ex artt. 15-22 del Regolamento, lo stesso, che riguarda esclusivamente i dati afferenti all’indennizzo CMOR, è da individuarsi nella difficoltà, da parte di Areti S.p.A., di ricostruire puntualmente la posizione del Sig. XX, a causa dell’errata configurazione delle query di estrazione, nonché dell’erronea migrazione avvenuta nei sistemi della Società (v. nota di Areti S.p.A. del 15 luglio 2022, pagg. 6-7);

d) a seguito dello svolgimento degli accertamenti ispettivi del Garante, “è stato intrapreso [da Areti S.p.A.] un percorso di innalzamento dei livelli di compliance alla normativa applicabile” mediante:

‒ modifica della “query/regola di estrazione dati, in linea con la ricostruzione effettuata dall’Autorità, in modo da considerare come momento conclusivo del CMOR la fase di versamento a CSEA” (v. nota di Areti S.p.A. del 15 luglio 2022, pag. 7);

‒  rettifica “dei record che riportano lo stato di ‘CHIUSA’ all'interno della tabella ‘Pratiche Indennizzo SII’, in modo da recepire in maniera corretta e completa l’evento del versamento nella nuova regola” (v. nota di Areti S.p.A. del 15 luglio 2022, pag. 8);

‒ avvio di “una procedura di cancellazione dei dati in linea con le già citate policy di data retention. Tale procedura è stata definita in prima battuta per le richieste di prestazioni relative a POD aventi ultimo contratto di fornitura terminato da oltre 10 anni (…). La predetta procedura sarà estesa anche ai dati relativi al CMOR, in modo da operare la cancellazione dai database per le pratiche con data competenza maggiore di 10 anni” (v. nota di Areti S.p.A. del 15 luglio 2022, pag. 8);

‒ programmazione di “incontri di formazione ed approfondimento tematici, con le singole funzioni coinvolte, volti a dare attuazione a quanto previsto da policy e procedure adottate dalla Società, per non lasciare sprovvisto di adeguato presidio alcuno dei trattamenti svolti” (v. nota di Areti S.p.A. del 15 luglio 2022, pag. 8).

In data 10 ottobre 2022, nel corso dell’audizione richiesta dalla Società e per il tramite della nota integrativa trasmessa il 17 ottobre 2022, quest’ultima, nel richiamare integralmente le memorie sopra citate, ha altresì rappresentato che:

1. Areti S.p.A., in qualità di concessionario di pubblico servizio con compiti di gestione delle reti e di distribuzione e misura di energia elettrica, a differenza delle società di vendita di beni e servizi in favore dei consumatori, non opera secondo logiche di mercato ma al contrario agisce sulla base di “logiche prettamente di neutralità e di imparzialità a tutela di tutti gli operatori (..) A conferma del [predetto] ruolo pubblico esercitato dalla società, i ricavi sono fissati dall’Ente Regolatore di settore, e sono volti a garantire la copertura dei costi di investimento e di esercizio sostenuti dalla società al fine di erogare un servizio in conformità agli standard di regolamentazione”. Sul punto, merita evidenziare che “per alcune partite, Areti svolge un ruolo qualificabile sostanzialmente come sostituto di imposta per conto degli altri Enti di settore, quali ad esempio Terna Spa, Cassa per i servizi elettrici e ambientali, etc.” con effetti rilevanti sulle voci di cui al bilancio di esercizio della Società. In merito, alla luce delle caratteristiche appena illustrate, “si rende necessario fornire una corretta lettura dei ricavi della società riportati nell’ultimo bilancio di esercizio approvato dalla società, relativo all’anno 2021 e pari a 613 milioni di euro. È infatti necessario depurare il predetto dato economico da tutte le partite tariffarie passanti per le quali la Società incassa per poi riversare, senza trattenere alcun margine, ad altri operatori del settore elettrico, da tutti i riaddebiti di costi sostenuti, o rivalse, o partite infragruppo. Pertanto, all’esito dello scorporo di tali partite economiche, si ritiene che l’utile/il ricavo effettivo conseguito dalla Società a fine esercizio 2021 risulti pari a circa 240 Milioni euro” (v. nota integrativa del 17 ottobre 2022, pagg. 1-3 e All. 1);

2. in ordine ai criteri per la quantificazione della sanzione amministrativa pecuniaria, va rilevato il carattere lievemente colposo delle violazioni contestate dell’Autorità, in quanto sostanzialmente determinate da meri errori tecnici che non hanno determinato alcun vantaggio all’attività o ai profitti della Società. Tutto ciò tenuto anche conto della circostanza che le peculiarità e il carattere estremamente tecnico della vicenda oggetto di contestazione, non hanno reso agevole l’adozione da parte del titolare di misure preventive, anche in ragione dello scarso numero di reclami pervenuti in merito alla Società (v. verbale dell’audizione del 10 ottobre 2022, pag. 2);

3. per quanto concerne le azioni che Areti S.p.A. ha avviato al fine di innalzare i livelli di compliance alla normativa di protezione dei dati, si segnalano, in aggiunta alle misure già evidenziate nella memoria del 16 luglio 2022 (pagg. 7-8), le attività di seguito programmate:

a) la definizione di “una procedura di attestazione delle future operazioni di migrazione DB che preveda la certificazione delle azioni compiute comprensive delle fasi di collaudo e di quadratura degli esiti e la conservazione delle logiche/metriche applicate tempo per tempo”; il tutto al fine di “supportare (..) il titolare anche nei casi di outsourcing di dette attività” (v. All. 1 della nota integrativa del 17 ottobre 2022);

b) la predisposizione di “un percorso formativo ad hoc per le risorse addette alla gestione dei processi commerciali che trattano dati personali dei clienti” con lo scopo di “identificare e correggere caratteristiche di sistemi e progetti che si dimostrino ‘deboli’ sui temi trattati e determinare al contempo una maggiore qualità del servizio” (cfr. All. 1 della nota integrativa del 17 ottobre 2022);

c) l’attivazione di un indirizzo email specifico per ogni singola società del gruppo che renda “più intuitivo agli utenti l’accesso al canale per l’esercizio dei diritti di cui agli artt. 15 ess GDPR” (cfr. All. 1 della nota integrativa del 17 ottobre 2022).

4. Osservazioni sulla normativa in materia di protezione dei dati personali rilevante nel caso di specie e violazioni accertate.

In primis si rappresenta che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Tanto doverosamente premesso, all’esito dell’attività istruttoria e dell’esame della documentazione acquisita nel corso della stessa è stato accertato che il trattamento dei dati personali dei clienti, posto in essere da Areti S.p.A. nell’ambito della propria partecipazione al Sistema Indennitario, è avvenuto in violazione dell’art. 5, par. 1, lett. d), del Regolamento; ciò in relazione alle diverse attività di revisione dei propri sistemi, poste in essere dalla Società tra dicembre 2016 e gennaio 2022 (v. infra, paragrafi 4.1- 4.3), che hanno determinato, di fatto, il trattamento, anche mediante comunicazione al SII, di dati inesatti e non aggiornati relativi ai predetti clienti.

Sono altresì emerse le violazioni dell’art. 5, par. 1, lett. e), degli artt. 12 e 15, nonché dell’art. 5, par. 2, e dell’art. 24 del Regolamento (v. infra, paragrafi 4.4-4.6); tutto ciò come di seguito esplicitato.

4.1 Violazione del principio di esattezza per mancato aggiornamento dei dati in ragione dell’erronea applicazione della query di estrazione dell’informazione inerente alla morosità dei clienti finali.

In adempimento all’art. 6, comma 4, del TIMOE, Areti S.p.A., in qualità di distributore assegnatario della gestione della rete elettrica dei comuni di Roma e Formello, trasmette periodicamente al SII le informazioni afferenti alla presenza, in capo a un cliente, di una pratica di indennizzo in corso (‘CMOR-SI’); la predetta valorizzazione è generata mediante estrazione (tramite query) della stessa dallo specifico database in uso presso la Società per la gestione delle pratiche afferenti al Sistema indennitario, ossia, rispettivamente:

• dalla tabella ‘Pratica_Indennizzo’, per il periodo dicembre 2016/novembre 2018;

• dalle tabelle ‘Pratica_Indennizzo’, ‘Pratica_Indennizzo_SII’ e ‘Storico_Indennizzo’ nell’arco temporale tra dicembre 2018/ottobre 2021;

• dalle tabelle ‘Pratica_Indennizzo_SII’ e ‘Storico_Indennizzo’ per il periodo novembre 2021/3 gennaio 2022;

• dalla tabella ‘Pratica_Indennizzo_SII’ dal 4 gennaio 2022 in poi (cfr. supra, par. 2).

Al riguardo, nel corso dell’attività istruttoria e degli accertamenti ispettivi effettuati in loco, è emerso che, a partire da dicembre 2016, le diverse query utilizzate a tal fine da Areti S.p.A. hanno determinato, in ragione di una serie di errori applicativi delle stesse, un’inesatta valorizzazione dell’informazione relativa alla presenza di un ‘CMOR-SI’ in capo ai clienti finali, comportando, di fatto, l’attribuzione a questi ultimi di una condizione di morosità non corrispondente alla reale situazione degli stessi. Sulla base di tale informazione inesatta e non aggiornata, i venditori entranti, di volta in volta designati dal cliente, nell’esercizio della facoltà di switching con riserva, hanno, in più occasioni, rinunciato al perfezionamento dello stesso negando l’attivazione della relativa fornitura di energia.

Più nel dettaglio, è stato accertato che, tra dicembre 2016 e dicembre 2018, la query applicata da Areti S.p.A. ha fornito al SII conferma circa la sussistenza di una condizione di morosità attiva in capo ai clienti finali, senza tener conto dell’eventuale annullamento del CMOR già precedentemente intervenuto a favore degli stessi.

Da dicembre 2018 ad ottobre 2021, la funzione di estrazione dei dati ha erroneamente incluso, tra le tabelle da consultare in ordine alle informazioni relative alla presenza del CMOR, una tabella storicizzata non aggiornata (la tabella ‘Pratica_Indennizzo’), determinando, anche in questo caso, la restituzione di un ‘CMOR-SI’ non rispondente alla effettiva condizione dei predetti clienti.

La durata della violazione, pertanto, a differenza di quanto sostenuto dalla Società (v. supra, par. 3, lett. a) della presente decisione) non può essere limitata al periodo ricompreso tra il ricevimento dell’istanza di reclamo e l’avvio delle ispezioni dell’Autorità (lasso di tempo in cui il trasgressore ha avuto contezza dell’evento dannoso), ma deve calcolarsi tenendo conto dell’effettivo arco temporale in cui la stessa si è verificata.

Le predette erronee estrazioni del valore di CMOR hanno coinvolto, nel periodo sopra richiamato, oltre al Sig. XX, tutti i clienti finali di Areti S.p.A. aventi analoga situazione a quella del reclamante, per un totale di 16.743 soggetti interessati; ciò tenuto anche conto della circostanza che, da ottobre 2021 al 4 gennaio 2022, la query utilizzata, a seguito delle modifiche ulteriormente apportate alla stessa, ha continuato a far riferimento, oltre che alla tabella aggiornata ‘Pratiche_Indennizzo_SII’, anche alla tabella ‘Storico_Indennizzo_SII’, contenente lo storico delle variazioni di stato delle pratiche, con il risultato di fornire -anche nel periodo  novembre 2021/4 gennaio 2022- un esito, in termini di CMOR dei clienti finali, non rispondente allo stato aggiornato delle pratiche presenti nel Sistema Indennitario.
L’inesatta valorizzazione delle informazioni inerenti alla morosità dei clienti finali come sopra esplicitate ha quindi comportato, da parte di Areti S.p.A., nell’arco di tempo sopra considerato (da dicembre 2016 al 4 gennaio 2022), la violazione, dell’art. 5, par. 1, lett. d), del Regolamento con riferimento al trattamento dei dati personali di 16.743 interessati.

A ciò si aggiunga che la conseguenziale comunicazione, in fase di switching, da parte della medesima Società delle predette informazioni inesatte e non aggiornate, ha determinato il mancato perfezionamento, per esercizio del diritto di revoca del venditore entrante, di circa 47.767 richieste di switching.

4.2 Violazione del principio di esattezza a seguito della migrazione di dati nella tabella ‘Pratica_Indennizzo_SII’.

Nel 2018, a seguito dell’adozione da parte di ARERA della delibera n. 593/2017/R/com  con cui si statuiva il passaggio alla disciplina a regime del Sistema indennitario, Areti S.p.A. procedeva, su indicazione di Acquirente Unico (v. verbale del, Allegato n. e-mail del 9.11.2018), a ricodificare le pratiche afferenti al Sistema indennitario, creando a tal fine una nuova tabella -denominata “Pratiche_Indennizzo_SII”- nella quale venivano migrate tutte le pratiche “AMMESSE” o ‘in corso di verifica’ presenti nella precedente tabella ‘Pratiche_Indennizzo’.

A tutte le pratiche oggetto del predetto trasferimento è stata applicata la medesima regola di migrazione che ha previsto la transcodifica del campo ‘stato’ da ‘AMMESSA’ a ‘CHIUSA’, senza alcuna distinzione delle pratiche rispetto alle quali era già intervenuto un annullamento del CMOR.

La regola utilizzata in tale occasione, infatti, non ha tenuto conto della circostanza che, nella precedente tabella ‘Pratiche_Indennizzo’, l’avvenuto annullamento del CMOR fosse valorizzato non nel campo ‘stato’, ma nell’ulteriore campo ‘Invio annullamento’, determinando così l’effetto di riportare nella medesima valorizzazione di pratica ‘CHIUSA’ sia le pratiche rispetto alle quali era ancora presente un CMOR in corso, sia quelle con riferimento alle quali il predetto indennizzo fosse già stato definito in ragione del verificarsi di una causa di annullamento dello stesso e che, pertanto, avrebbero dovuto essere migrate nel diverso ‘stato’ di ‘ANNULLATA’.

Per effetto dell’applicazione di tale imprecisa regola di transcodifica, sono state riportate, nella nuova tabella ‘Pratiche_Indennizzo_SII’, 39.088 pratiche contenenti informazioni inesatte e non aggiornate, con conseguenziale violazione dell’art. 5, par. 1, lett. d), del Regolamento. La predetta violazione ha riguardato i POD afferenti a 16.186 persone fisiche (v. verbale del 17 marzo 2022, pag. 4).

Merita altresì evidenziare che, dalla documentazione in atti, la succitata tabella ‘Pratiche_Indennizzo_SII’ risulta tuttora non correttamente aggiornata, riportando nell’errato stato di ‘CHIUSA’ 38.595 pratiche di CMOR.

4.3 Violazione del principio di esattezza con riferimento al periodo temporale di valorizzazione dell’informazione inerente al ‘CMOR-SI’.

Le sopra richiamate discipline di cui al TISIND e all’art. 6 del TIMOE prevedono, come già esplicitato (v. supra, par. 1 della presente decisione), che l’informazione relativa alla presenza di una richiesta di indennizzo CMOR ‘in corso’ (c.d. CMOR-SI ai sensi dell’art. 6, comma 4, lett. b) del TIMOE) sia valorizzata dal distributore nell’ambito di uno specifico periodo temporale ricompreso tra l’apertura della pratica di CMOR da parte del distributore e la chiusura della stessa per il tramite del versamento dell’importo del predetto CMOR a CSEA.

Più nello specifico, l’intervallo temporale in cui il CMOR dovrebbe essere considerato quale ‘CMOR-SI’ è individuato dalla regolamentazione di settore dal momento in cui “è stata accettata la richiesta di indennizzo di cui all’articolo 7 del TISIND” -ovvero la data in cui AU notifica, tramite il SII, ai sensi dell’art. 8, comma 4 del TISIND, l’avvenuta accettazione della pratica al distributore- al momento in cui quest’ultimo versa l’importo del CMOR a CSEA con relativa comunicazione al SII ai sensi dell’art. 11, comma 2 del TISIND (v. art. 11, comma 1, dell’Allegato A della delibera di Arera del 14 ottobre 2015, n. 487/2015/R/EE e ss. aggiornamenti; cfr. anche art. 6, comma 5 del TIMOE).

Tale lasso di tempo corrisponde, in genere, ad un intervallo di tre/cinque mesi, salvo il sopraggiungere di eventuali annullamenti del predetto CMOR (artt. 12-14 del TISIND).

È stato di contro accertato che Areti S.p.A. applica, a partire da gennaio 2022, una regola di estrazione del valore del ‘CMOR-SI’ che fa decorrere lo stesso non dal momento individuato dalla normativa e richiamato supra (ossia quello in cui la Società riceve la comunicazione di avvenuta accettazione della pratica dal SII  e che corrisponde, nei sistemi della Società, allo ‘stato-pratica’ “RICHIESTA”), ma da un momento successivo (ovvero da quando la predetta pratica acquisisce la qualifica di “AMMESSA”). Parimenti il termine finale di durata della valorizzazione quale ‘CMOR-SI’ della condizione di morosità del cliente, viene fatto coincidere con il passaggio della pratica alla fase “IN LAVORAZIONE SAP” e non con il diverso termine previsto dalla regolamentazione di settore (art. 11, comma 2, del TISIND).

Ne consegue che l’informazione inerente al ‘CMOR-SI’ dei clienti finali è presente nei sistemi di Areti S.p.A. per un lasso di tempo brevissimo (di poche ore); ciò a differenza di quanto diversamente previsto dalla disciplina di riferimento ed effettuato dagli altri distributori di energia partecipanti al Sistema indennitario.

Alla luce delle considerazioni sopra effettuate, pertanto, il trattamento di dati personali dei clienti finali della Società, in relazione all’insistenza sui relativi POD di una morosità attiva in termini di CMOR, è tuttora effettuato in violazione dell’art. 5, par. 1, lett. d), del Regolamento, consistendo nell’elaborazione di informazioni inesatte e non aggiornate.

A riprova di quanto sopra statuito, nel corso delle attività ispettive effettuate presso Areti S.p.A., è stato accertato che, alla data del 17 marzo 2022, non fosse presente, nei sistemi della predetta Società, alcuna pratica di CMOR ‘in corso’ con l’inverosimile risultato di non reperire, in tutta l’area territoriale dei comuni di Roma e Formello di competenza di codesto distributore, nessuna morosità attiva in termini di CMOR-SI.

Tale violazione afferisce ai dati personali dei clienti finali contenuti all’interno delle pratiche CMOR tutt’ora presenti nei sistemi di Areti S.p.A. per un totale che, alla data dell’accertamento ispettivo del 17 marzo 2022, era di 76.696 pratiche di CMOR (v. verbale del 17 marzo 2022, All. 4).

4.4 Violazione del principio di limitazione della conservazione per inesatta definizione dei tempi di conservazione dei dati personali.

In materia di definizione dei tempi di conservazione dei dati inerenti alle pratiche afferenti al Sistema indennitario, dalle dichiarazioni rese dalla Società, è emersa l’applicazione di tempistiche uniche (individuate in 10 anni dalla cessazione del contratto) per tutte le tipologie di trattamento relative ai dati della clientela; ciò non solo con riferimento alle informazioni contenute nelle tabelle ‘Pratica_indennizzo_SII’ e ‘Storico_indennizzo’ attualmente in uso, ma anche con riferimento a quelle presenti nella tabella ‘Pratica_indennizzo’ non più aggiornata né movimentata da dicembre 2018.

Al riguardo merita di contro evidenziare che, ai sensi dell’art. 5, par. 1, lett. e), del Regolamento (c.d. principio di limitazione della conservazione), i dati personali devono essere conservati in modo da consentire l’identificazione dell’interessato per un arco di tempo non superiore a quello necessario a conseguire le finalità del trattamento. Il principio di conservazione, infatti, impone al titolare l’onere di valutare la durata del trattamento in necessaria correlazione con le specifiche finalità prefissate a monte all’atto della raccolta; ciò al fine di “assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario” (v. cons. 39 del Regolamento).

Trattasi, invero, dell’obbligo del titolare di garantire una “corretta” durata del trattamento che, in caso contrario, potrebbe protrarsi oltre il raggiungimento delle specifiche finalità dello stesso con impatto sui principi di liceità, correttezza e trasparenza (art. 5 del Regolamento).

In merito, con particolare riferimento ai dati personali contenuti nelle pratiche inerenti all’indennizzo CMOR e alla luce della sopra richiamata disciplina normativa afferente al Sistema indennitario, non sono state specificatamente indicate dalla Società le ragioni connesse all’applicazione, ai trattamenti sopra individuati, del termine decennale di conservazione decorrente dalla data di cessazione del contratto previsto in linea generale dalla policy interna di Areti S.p.A., né è stata debitamente giustificata la rispondenza di tale previsione di data retention a quanto strettamente necessario al conseguimento delle finalità del trattamento connesso alla gestione del Sistema indennitario (cfr. supra, par. 3, lett. b) della presente decisione).

Tutto ciò considerato in particolare che:

• le informazioni trattate nell’ambito del predetto Sistema sono volte ad assicurare la corretta gestione di un evento (l’applicazione dell’indennizzo CMOR) che riguarda una limitata fase temporale del contratto di somministrazione di energia;

• l’arco di definizione complessivo di una pratica nell’ambito del succitato Sistema gestito da AU tramite il SII è approssimativamente stimabile in 12-14 mesi (ivi compresi i casi di eventuale annullamento o sospensione ai sensi del TISIND);

• la permanenza della stessa, in termini di pratica CMOR ‘in corso’, all’interno dei sistemi interni al distributore, è di circa 3-5 mesi dal momento della notifica di accettazione della stessa, da parte di AU, fino alla comunicazione al SII, ad opera del distributore, del versamento del CMOR a CSEA.

Si rappresenta da ultimo al riguardo, che il dato inerente alla avvenuta applicazione, in capo ad un cliente, dell’indennizzo CMOR, a causa di una morosità pregressa, costituisce un dato personale atto ad evidenziare ‘l’affidabilità’ in termini di puntualità dei pagamenti del cliente medesimo e che, pertanto, le modalità di trattamento dello stesso, ivi compresa l’individuazione dei relativi tempi di conservazione, devono tener conto della particolare natura della predetta informazione; ciò anche in considerazione dell’impatto del relativo trattamento sui diritti e sulle libertà fondamentali dell’interessato.

Per tutte le ragioni sopra espresse, si rileva a carico di Areti S.p.A. la violazione dell’art. 5, par. 1, lett. e), del Regolamento.

4.5 Modalità di riscontro all’istanza di esercizio dei diritti presentata dal reclamante.

Dalla documentazione acquisita agli atti, è emerso che la richiesta di accesso ai propri dati personali, avanzata dal Sig. XX, in data 21 agosto 2020 ed ulteriormente precisata con comunicazione del 28 settembre 2020, è stata riscontrata da Areti S.p.A., per il tramite dell’ufficio del responsabile della protezione dei dati di gruppo, in maniera parziale e inesatta; ciò innanzitutto con la nota del 28 agosto 2020, con cui la Società si è limitata ad elencare le categorie di dati trattate -nella specie “POD, Nome e Cognome dell’intestatario della fornitura, Indirizzo di fornitura, Indirizzo di recapito (...), Telefono (…), Letture e Consumi, Dati tecnici afferenti alla fornitura (potenza, tensione)” (v. in merito, verbale del 9 dicembre 2021, All. 3 -‘28 agosto 2020 – Areti - risposta vs. XX’)- senza riportare il dettaglio dei dati personali afferenti all’interessato.

Successivamente, in data 7 ottobre 2022, è stato fornito un ulteriore riscontro che, pur contenendo un elenco di dati personali relativi al reclamante, non riportava comunque alcuna indicazione in ordine alle informazioni inerenti al CMOR allo stesso attribuito ed espressamente richieste da quest’ultimo (v. verbale del 9 dicembre 2021, All. 3 – ‘7 ottobre 2020 - Acea - 3° risposta vs. XX’); informazioni, di contro, contenute nei sistemi interni ad Areti S.p.A., come verificato nel corso degli accertamenti ispettivi effettuati dal Garante presso la sede della Società (v. verbale del 9 dicembre 2021, pag. 5 e verbale del 10 dicembre 2021, pag. 2).

A nulla rileva in merito quanto sostenuto dalla Società in ordine alle difficoltà, da parte di Areti S.p.A., di ricostruire puntualmente la posizione del Sig. XX (v. supra, par. 3, lett. c) della presente decisione), considerato che, ad ogni modo, Areti S.p.A., in qualità di titolare del trattamento, avrebbe dovuto fornire un riscontro in relazione ad informazioni personali dell’interessato che, per quanto inesatte, erano comunque reperibili all’interno dei propri sistemi.

Merita aggiungere altresì che una trattazione più accurata dell’istanza di esercizio dei diritti dell’interessato avrebbe potuto consentire alla Società di rilevare tempestivamente il mancato aggiornamento dei dati afferenti al reclamante, nonché di intervenire in maniera autonoma al fine di conformare le predette attività al Regolamento.

Tanto doverosamente premesso, alla luce di quanto sopra esposto, risulta accertato che la Società abbia omesso di fornire idoneo riscontro alla richiesta di accesso formulata dal reclamante ai sensi dell’art. 15 del Regolamento, dapprima limitandosi ad indicare esclusivamente l’elenco delle mere ‘categorie’ di informazioni trattate dal titolare, e successivamente omettendo di riportare i dati afferenti all’indennizzo CMOR, come espressamente richiesto dall’istante; tutto ciò in violazione degli artt. 12, par. 3, e 15, del Regolamento.

4.6. Accountability del titolare.

Dall’insieme delle violazioni sopra individuate (nella specie: erronea applicazione della query di estrazione del dato inerente alla morosità del cliente; migrazione di dati non esatti nella tabella ‘Pratica_Indennizzo_SII’; inadeguatezza dei tempi di conservazione dei dati; inesatta identificazione del periodo temporale di valorizzazione dell’informazione inerente al ‘CMOR-SI’; inidoneo riscontro all’esercizio dei diritti dell’interessato) emerge altresì che le misure tecniche e organizzative complessivamente adottate da Areti S.p.A. al fine di conformare i trattamenti al Regolamento, non risultano adeguate alla natura, al contesto, alle finalità e ai rischi del trattamento dedotto in contestazione, configurando, in capo al suddetto titolare, la violazione del principio di “accountability” (art. 5, par. 2 e art. 24 del Regolamento).

Ai sensi del predetto principio, infatti, il titolare è il soggetto cui è attribuita la “responsabilità generale” del trattamento, gravando, pertanto, sullo stesso l’onere di attuare un sistema organizzativo e gestionale contraddistinto da misure reali ed efficaci di protezione dei dati nonché comprovabili (v. anche cons. 74 del Regolamento); ciò non soltanto mediante la corretta e puntuale predisposizione degli adempimenti imposti dal Regolamento (informativa, registro delle attività di trattamento, nomina del responsabile della protezione dei dati ove obbligatoria, valutazione di impatto ove necessaria ecc.), ma soprattutto attraverso l’implementazione di procedure e prassi organizzative atte a conformare i relativi trattamenti alla disciplina di riferimento (es. processi per la corretta gestione dei dati oggetto di trattamento; policy volte ad assicurare l’esattezza delle informazioni trattate; regole per l’attribuzione di responsabilità; programmi di formazione del personale; procedure per la gestione delle richieste di esercizio dei diritti e dei reclami; previsione di audit interni ed esterni con cadenza periodica ecc.; cfr. Gruppo art. 29, WP 173 del 13 luglio 2010- Opinion 3/2010 on the principle of accountability, pagg. 11-12).

Dalle verifiche poste in essere in sede di accertamenti ispettivi, nonché dall’esame della documentazione in atti, di contro, sono emerse diverse carenze nelle privacy policy attuate da Areti S.p.A. nel settore oggetto di attenzione, policy che sono apparse lacunose e poco efficaci soprattutto in termini di garanzia dell’esattezza dei dati trattati (v. supra, paragrafi 4.1, 4.2 e 4.3 della presente decisione), di rispetto del principio di conservazione (v. supra, par. 4.4 della presente decisione), nonché di esatto adempimento agli obblighi del titolare in materia di esercizio dei diritti degli interessati (v. supra, par. 4.5 della presente decisione).

5. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2 del Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria, non consentano di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultino pertanto inidonee a disporre l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dalla Società risulta quindi illecito, nei termini complessivamente sopra indicati, in relazione all’art. 5, par. 1, lettere d) ed e) e par. 2, agli artt. 12 e 15, nonché all’art. 24 del Regolamento.

La violazione delle disposizioni sopra richiamate comporta l’applicazione delle sanzioni amministrative previste dall’art. 83, par. 5, lettere a), b), del Regolamento.

Da ultimo, per quanto concerne l’esercizio dei poteri correttivi di cui all’art. 58, par. 2, del Regolamento, si prende atto della circostanza che Areti S.p.A., nel corso del procedimento:

• si sia impegnata a modificare, entro dicembre 2022, la regola di estrazione dei dati inerenti al CMOR_SI conformandola a quanto supra rilevato;

• abbia dichiarato di voler procedere alla rettifica delle informazioni personali presenti all’interno della tabella Pratiche_Indennizzo_SII’ nell’errato status di “CHIUSA”;

• abbia avviato un processo di cancellazione dei dati presenti nei sistemi della Società in conformità ai termini decennali di conservazione indicati dalle policy interne di data retention;

• abbia individuato, con specifico riferimento ai trattamenti di dati personali posti in essere per le finalità di partecipazione al Sistema indennitario, un termine di conservazione pari a dieci anni decorrente, non dalla data di cessazione del contratto (come previsto in termini generali dalla policy di data retention sopra citata), ma dalla data di ricezione della richiesta di indennizzo CMOR nell’ambito dei sistemi di Areti S.p.A.

Alla luce di quanto sopra riportato, pertanto, si ritiene necessario intervenire, ai sensi dell’art. 58, par. 2 del Regolamento, esclusivamente con riferimento alla violazione di cui al par. 4.2 della presente decisione.

Si rileva infatti che le operazioni, correttamente avviate da Areti S.p.A., inerenti all’aggiornamento dei dati contenuti nelle pratiche erroneamente migrate nel 2018 con lo ‘stato’ di ‘CHIUSA’, debbano essere effettuate tenendo traccia dell’informazione inerente all’evento (l’inesatta migrazione) e del periodo di intervallo intercorso tra il medesimo e l’effettivo aggiornamento del dato; ciò ad esempio mediante apposizione di un’annotazione delle predette circostanze (con l’indicazione di data, modalità e ragioni dell’avvenuta rettifica) a margine delle pratiche interessate dalla sopra richiamata problematica. Tale annotazione dovrà essere visibile in caso di ricerca della pratica per numero della stessa e per POD.

6. Adozione dell'ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali riferito al reclamante, di cui è stata accertata l’illiceità, nei termini sopra esposti.

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nell’ipotesi in esame, sono state tenute in considerazione le circostanze sotto riportate:

a) la rilevante gravità della violazione (art. 83, par. 2, lett. a) del Regolamento), in relazione alla natura -concernente l’inosservanza dei principi del trattamento-, alle modalità -erronea gestione dei processi di elaborazione delle informazioni- e alla durata -quantificabile in circa cinque anni- della stessa. A tal fine, sono state altresì considerate le caratteristiche del trattamento in termini di natura, oggetto e finalità dello stesso, nonché l’elevato numero di interessati coinvolti e la tipologia di danno da questi subito. Tutto ciò ravvisato che:

• le violazioni accertate hanno coinvolto diverse migliaia di soggetti interessati e più nello specifico: 16.743 interessati con riferimento all’inesatta configurazione della query di estrazione (v. supra, par. 4.1 della presente decisione); 16.186 persone fisiche in merito alle operazioni di migrazione di dati non esatti nella tabella ‘Pratica_Indennizzo_SII’ (v. par. 4.2 della presente decisione);

• le operazioni contestate afferiscono al core business dell’attività d’impresa posta in essere dal titolare (l’attività di distribuzione di energia);

• le violazioni emerse hanno determinato a carico del reclamante, oltre al pregiudizio direttamente connesso al trattamento di dati personali inesatti e non aggiornati, anche l’impossibilità, peraltro verificatasi più volte nel caso in esame, di procedere al passaggio ad altro fornitore di energia nel libero mercato (v. supra, par. 4.1 della presente decisione); tutto ciò ha comportato la conseguente perdita per lo stesso, in termini di potenziale risparmio sul prezzo dell’energia, dei vantaggi derivanti dalla liberalizzazione del mercato dell’energia. I medesimi effetti negativi potrebbero essersi verificati anche nei confronti degli altri 16.743 clienti di Areti S.p.A. oggetto di illecito trattamento (v. supra, par. 4.1 della presente decisione);

b) il significativo grado di responsabilità del titolare (art. 83, par. 2, lett. b) e d), del Regolamento) con specifico riferimento alla mancata adozione di misure tecniche e organizzative volte ad assicurare il trattamento di dati personali esatti e aggiornati. Al riguardo, si tiene in particolare conto della circostanza che gli errori tecnici alla base delle predette violazioni hanno riguardato in linea generale le modalità in uso presso la Società per la gestione del Sistema indennitario (estrazione di informazioni dalle tabelle create a tal fine; operazioni di migrazione delle stesse da un database ad un altro, ecc.). I predetti errori, pertanto, lungi dal costituire sporadici ed isolati episodi di disallineamento di singole posizioni individuali, hanno di contro evidenziato carenze di carattere sistemico dell’intero processo di gestione, in capo ad Areti S.p.A., delle pratiche afferenti al Sistema indennitario, con conseguenziale pregiudizio in termini di conformità al Regolamento dei relativi trattamenti di dati personali;

c) la tipologia delle informazioni oggetto di violazione (art. 83, par. 2, lett. g) del Regolamento) che, sebbene non annoverabili nell’ambito dei dati particolari, sono comunque da considerarsi delicate in quanto atte ad evidenziare ‘l’affidabilità’ in termini di puntualità dei pagamenti dei clienti; ciò tenuto conto anche delle possibili conseguenze sul piano economico e sociale che possono derivare, per gli interessati, da un loro illecito trattamento;

d) l’adozione, da parte del titolare, di misure atte a mitigare o ad eliminare le conseguenze della violazione (art. 83, par. 2, lett. c) del Regolamento). Al riguardo va positivamente considerata la circostanza che Areti S.p.A. abbia tempestivamente adottato, una volta avuta contezza della violazione, misure volte ad attenuare gli effetti dell’illecito trattamento, avviando al contempo un’intensa attività di innalzamento dei livelli di compliance al Regolamento; in particolare si fa riferimento a: l’aggiornamento della query di estrazione dati, in linea con la ricostruzione effettuata dall’Autorità; l’avvio delle operazioni di cancellazione dei dati personali presenti all’interno dei sistemi della Società in linea con la policy di data retention; l’individuazione di un termine decennale di conservazione specificatamente riferito ai dati personali trattati nell’ambito delle pratiche afferenti al Sistema indennitario; la programmazione di attività di formazione del personale nonché di incontri di approfondimento per singole tematiche; l’avvio di un intervento di rettifica dei record che riportano lo stato di 'CHIUSA' all’interno della tabella 'Pratiche Indennizzo SII'; la definizione di uno specifico indirizzo email dedicato all’esercizio dei diritti degli interessati; la definizione di procedure volte a certificare le operazioni di migrazione dei dati anche ove esternalizzate ad un responsabile del trattamento (v. supra, par. 3 della presente decisione);

e) la circostanza che la Società abbia attivamente cooperato con l’Autorità nel corso del procedimento (art. 83, par. 2, lett. f) del Regolamento), nonché il fatto che non risultino precedenti violazioni commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e) del Regolamento).

Si ritiene, inoltre, che assumano rilevanza, nel caso di specie, in considerazione dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), le condizioni economiche del contravventore, determinate in base al volume d’affari della Società, riferito al bilancio d’esercizio per l’anno 2021 (ultimo disponibile). A tal fine, in ordine all’individuazione dei ricavi ivi conseguiti da Areti S.p.A., si prende atto di quanto dichiarato dalla stessa in ordine alle partite di bilancio “passanti per le quali la Società incassa per poi riversare, senza trattenere alcun margine, ad altri operatori del settore elettrico” nonché ai “riaddebiti di costi sostenuti, o rivalse, o partite infragruppo” (cfr. nota di Areti S.p.A. del 17 ottobre 2022, pag. 2; v. anche par. 3 del presente provvedimento).

Si rileva altresì che la condotta in esame si colloca nell’ambito di un’attività -la partecipazione al Sistema Indennitario- svolta da Areti S.p.A. in qualità di concessionario di pubblico servizio sulla base di una disciplina regolatoria significativamente complessa e in costante aggiornamento.

In ragione di tutti gli elementi sopra esposti, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 1.000.000 (un milione) per la violazione dell’art. 5, par. 1, lett. a), lett. b), lett. c) e lett. e) e dell’art. 10 del Regolamento, nonché dell’art. 2-octies del Codice.

In tale quadro, anche in considerazione della tipologia di violazione accertata, che ha riguardato i principi di protezione dei dati personali, nonché del consistente numero di interessati coinvolti dalla stessa, si rileva, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, di dover procedere alla pubblicazione del presente provvedimento sul sito internet del Garante.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva, ai sensi degli artt. 57, par. 1, lett. f) e 83, del Regolamento, l’illiceità del trattamento effettuato da Areti S.p.A., con sede in Roma, P.IVA 05816611007, nei termini di cui in motivazione, per la violazione dell’art. 5, par. 1, lettere d) ed e) e par. 2, degli artt. 12 e 15, nonché dell’art. 24 del Regolamento;

ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento alla medesima Areti S.p.A, di pagare la somma di euro 1.000.000 (un milione) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento.

INGIUNGE

a) ai sensi dell’art. 58, par. 2, lett. g) del Regolamento, alla Società di aggiornare, entro il termine di sei mesi dalla notifica della presente decisione, i dati personali contenuti nella tabella ‘Pratiche_Indennizzo_SII’ oggetto di erronea migrazione, procedendo al contempo ad annotare la circostanza inerente alla predetta migrazione nei termini individuati in motivazione;

b) ai sensi dell’art. 58, par. 2, lett. i) del Regolamento, alla Società di pagare la predetta somma di euro 1.000.000 (un milione), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/20129.

Ai sensi del 157 del Codice, richiede ad Areti S.p.A. di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto disposto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato, entro il termine di 6 mesi dalla data della notifica della presente decisione; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. e) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 24 novembre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei