I 26 milioni e mezzo di euro comminati a titolo di sanzione a Enel Energia S.p.a. – da parte del Garante per la protezione dei dati personali con sua ordinanza pubblicata il 19 gennaio – fanno intendere la gravità della perduranti violazioni in corso, da parte di molte imprese, in ambito telemarketing (cioè quello telefonico). Difatti il provvedimento è incentrato su centinaia di lamentele degli utenti, bersagliati da telefonate promozionali di tutti i tipi, sul mancato od ostacolato esercizio dei diritti degli interessati. Il Garante ha rilevato che “il fenomeno del telemarketing nel settore energetico, con l’approssimarsi della scadenza per il passaggio dal mercato tutelato dell’energia elettrica e del gas al mercato libero, abbia registrato un netto e preoccupante incremento”.
Una constatazione allarmante da parte di un’autorità e che testimonia l’inefficacia delle procedure e normative in essere, forse persino della propria capacità dissuasiva quale ente di controllo. Ricordiamo che non mancano casi di sanzioni per condotte telemarketing di simile aggressività, per importi rilevanti.
Indice degli argomenti
Perché il Garante privacy ha multato Enel
Nel caso di Enel il Garante si è attestato su un 5% della sanzione massima edittale, in linea con casi precedenti analoghi: a questo punto, si può dubitare della proporzionalità e dissuasività del criterio, pur tenendo conto “della prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento” e volendo “limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società”.
E si assiste a tutto ciò restando in attesa di una pluri-rimandata riforma del Registro Pubblico delle Opposizioni (“RPO”) [https://www.cybersecurity360.it/legal/privacy-dati-personali/il-nuovo-registro-delle-opposizioni-contro-gli-abusi-privacy-ecco-lattuale-testo], strumento di difesa da telemarketing per gli utenti che – si auspica dopo la riforma – potrà trovare nuovo slancio nel tamponare queste derive: il testo è in discussione da anni ma solo da poco sembra essersi raggiunta una bozza condivisa dalle autorità coinvolte, come Garante e AGCM. Lo stesso Garante ha di recente rilasciato parere favorevole alle ultime modifiche, estensive dell’opposizione tramite RPO alle chiamate automatizzate, assieme a quelle, già ammesse, con operatori).
Nuove tutele telemarketing, passo verso l’avvio: via libera del Garante privacy
Le violazioni contestate
Vediamo di seguito che cosa ha accertato l’autorità e quali istituti del GDPR e del Codice per la protezione dei dati sono stati coinvolti (ricordiamo che la materia trova una specifica disciplina nel Titolo X del Codice dedicata alle comunicazioni elettroniche, art. 130 sulle comunicazioni indesiderate). Quanto lungamente esaminato dall’autorità copre un lasso di tempo dal 2018 al 2021. Le attività praticate da Enel? Anzitutto telefonate promozionali indesiderate, sia automatizzate che con operatore: nel primo caso il titolare avrebbe avuto potuto operare solo con consenso specifico (assente), nel secondo caso, pur mancante, nel rispetto della disciplina del RPO. Il RPO ammette solo numeri di pubblici elenchi e i cui utenti non abbiano manifestato opposizione iscrivendosi proprio al RPO. Nel caso di Enel le telefonate risultavano dirette anche a numeri riservati (dunque vietati senza consenso, non figurando negli elenchi) che a numeri pubblici ma iscritti per opposizione nel RPO (non si sarebbero dovuti contattare affatto).
Di fronte a tutto questo, il Garante ha contestato a Enel un’impostazione meramente formalistica, per nulla proattiva verso i diritti degli utenti. La società, agli atti, ha spesso negato il proprio coinvolgimento, additando terze società, riferendosi a condotte di propri fornitori o ex-fornitori (agenzie, ecc.). Dichiarando “di aver adottato anche con riguardo ai propri partner di vendita, misure tecnico-organizzative adeguate rispetto ai trattamenti di dati personali coinvolti in tali processi”, oltre ad avere conoscenza “della frequenza di un uso abusivo del suo nome da parte di terzi, che attraverso condotte truffaldine tentano di trarre un vantaggio economico e ne minano la consolidata reputazione”: questi terzi sarebbero stati diffidati dalla stessa Enel in merito.
La mancanza di accountability
Il Garante ha ritenuto queste (auto)dichiarazioni insufficienti e non rispondenti ad accountability: Enel non ha fornito elementi puntuali di valutazione a sostegno di quanto affermato, né ha offerto evidenze circa una necessaria attività di verifica di tali numerazioni rispetto alla propria rete di vendita. Anzi, restituendo “una serie di risposte standardizzate per ciascuna delle segnalazioni”. Circa i terzi “truffaldini”, Enel sarebbe comunque colpevole di non aver avviato una efficace azione di contrasto, non avendo comprovato una condotta conforme ai doveri – oltre che di responsabilizzazione – di privacy by design. Il generico richiamo a clausole di responsabilità “scaricabarile” nei contratti con i propri partner/fornitori è stato ritenuto, come in casi analoghi precedenti, del tutto insufficiente: si sarebbe dovuta controllare l’attività dei propri partner commerciali, attraverso misure tecnico-organizzative davvero adeguate (ad es. tramite audit della liceità della fonte dei contatti acquisiti e del primo contatto, misure già consigliate dal Garante in numerosi casi precedenti). Nemmeno le asserite azioni di diffida verso terzi sarebbero state comprovate, ancor più pensando che erano comunque dirette ad arrecare vantaggi, nell’acquisizione di nuovi clienti, a favore di Enel.
Invece, secondo il Garante, Enel avrebbe potuto dare contezza “dell’introduzione di forme di controllo automatiche e stabili nell’ambito dell’organizzazione societaria sia interna (anche con riguardo al personale) che rispetto alla rete di vendita costituita dai propri partner commerciali”, oltre che sui sistemi deputati ad attivare offerte e servizi verso la propria clientela (ad es. si sarebbero potuti “segnalare e bloccare in tempo reale i tentativi di caricamento di contratti di fornitura ottenuti in maniera poco trasparente o comunque all’esito di trattamenti eseguiti in violazione della normativa in materia di protezione dei dati personali”). In breve: attraverso filtri e monitoraggi automatici e azioni di verifica interna ed esterna. Fornendo evidenza di valutazioni complessive svolte sulle caratteristiche dei trattamenti, sui rischi ad essi connessi e sulla efficacia e adeguatezza delle misure adottate caso per caso.
Il nodo del consenso
Quanto al consenso, la società ha precisato di aver implementato il c.d. “Profilo unico”, cioè un account per l’accesso ai portali web e alle app delle società del Gruppo Enel: la registrazione a tale account non obbligava a rilasciare consensi a fini di marketing (era facoltativo) per completare l’iter. Secondo il Garante, le informative fornite erano contraddittorie (ad es. si menzionavano più società contitolari, altrove solo Enel Energia), i dati raccolti ultronei in maniera ingiustificata (richiedendo ben più dei dati basilari per attivare l’account). Parlando di consensi, sono stati ritenuti privi della necessaria granularità: genericamente si riferivano a partner terzi come a società del gruppo Enel, in numero indefinito. Per i terzi destinatari, si sarebbero dovute precisare perlomeno le categorie merceologiche degli stessi. Quanto alle società del gruppo, in ogni caso non poteva raccogliersi consenso unificato con le finalità di Enel stessa.
Attività di spam
Peraltro sono stati rilevati, in aggiunta, casi di email spamming, giustificati dalla società come possibilità di iscriversi a un programma fedeltà, inviato a titolo di “soft spam” trattandosi di “comunicazione afferente a servizi di cui il cliente può beneficiare nell’ambito del servizio di fornitura” in essere, come sostenuto da Enel. Dagli accertamenti non sarebbero emersi né la necessaria informativa in merito né i requisiti di legge (ex art. 130 c. 4 del Codice, per la precisione).
La condotta di mancato rispetto dei diritti degli utenti
In seconda istanza, è stato documentato un mancato e plurimo rispetto dei diritti degli interessati (previsti dagli artt. 15-22 GDPR): non ottemperando alle richieste di riscontro effettuate dagli utenti (ad es. negando di detenere dati personali degli utenti o negando di effettuare chiamate automatizzate – c.d. “robocall” con messaggi registrati). In diversi casi, Enel si è giustificata dichiarando disguidi tecnici, oppure ritardi dovuti a indagini supplementari, ecc. In tutti questi casi il Garante ha ritenuto infondate le motivazioni e ingiustificati i ritardi od omessi riscontri, rivelando condotte spesso inutilmente dilatorie e di mancato rispetto dei diritti fondamentali degli interessati. I quali più volte hanno avuto difficoltà già in fase di tentativo di contatto con la società per interpellarla circa i loro dati personali, spesso non riuscendo a parlare con gli operatori. Le scuse della società imputate alla numerosità di richieste ricevute e disallineamento tra sistemi non paiono sostenibili al Garante, considerato il primario ruolo della società nel settore e la sua conseguente dimensione e capacità organizzativa.
Lo stesso mancato rispetto della disciplina del RPO ha frustrato il diritto di opposizione degli utenti, che pur avendo iscritto la propria numerazione come da procedura, si sono visti ricontattare da Enel per telefonate commerciali.
La condotta procedimentale
Segnaliamo infine che pure la condotta in sede istruttoria, da parte di Enel, è da censurare secondo l’autorità: difatti “i riscontri alle richieste di informazioni provenienti dal Garante andrebbero forniti sin da subito nella maniera più dettagliata e completa possibile e gli elementi utili a definire il quadro di indagine andrebbero, dunque, presentati già in sede istruttoria piuttosto che in una fase difensiva in quanto sollecitati”, rischiando “di determinare proprio quell’allungamento e appesantimento dell’iter procedimentale” da evitarsi. Si è dunque violato il dovere di collaborazione con l’autorità, imposto esplicitamente dal GDPR a carico dei soggetti indagati.
Nella determinazione sanzionatoria del Garante se ne è tenuto conto e dovrebbe indirizzare tutti i titolari a prestare da subito massima collaborazione, invece di adottare condotte dilatorie.
Le determinazioni finali del Garante: non solo sanzioni
A conclusione del provvedimento, oltre alle sanzioni pecuniarie il Garante ha rivolto a Enel ammonimenti ed avvertimenti: anzitutto sul rispetto della disciplina del RPO, considerato che le campagne promozionali tramite teleseller sarebbero riprese a seguito dell’emergenza pandemica e che, pertanto, andranno condotte nel pieno rispetto dei principi di accountability e privacy by design. Anzitutto effettuando le verifiche dovute del RPO e rispettando l’eventuale opposizione degli utenti.
E inoltre sull’adozione delle predette misure tecniche ed organizzative, davvero adeguate, necessarie alla gestione delle istanze di esercizio dei diritti degli interessati – e in particolare il diritto di opposizione alle finalità promozionali – sì da fornire un riscontro puntuale agli interessati, nelle tempistiche di legge.
Il calcolo della sanzione
Nella determinazione delle sanzioni, invece, si è tenuto conto tra l’altro della “particolare pervasività dei contatti illeciti effettuati in nome del titolare (lesivi di vari diritti fondamentali e, in particolare, oltre al diritto alla protezione dei dati personali, il diritto alla riservatezza e il diritto alla tranquil-lità individuale), del livello di danno effettivamente subito dagli interessati, che sono stati incessantemente esposti a chiamate di disturbo, delle crescenti difficoltà che gli stessi incontrano per arginare il fenomeno, della molteplicità delle condotte poste in essere”. Aspetti aggravati dalla recidiva di molte delle condotte esposte oltre che dalla negligenza della società (vedi quanto detto circa la scarsa collaborazione con l’autorità).
