Registro dei provvedimenti
n. 431 del 15 dicembre 2022
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;
RELATORE il prof. Pasquale Stanzione;
PREMESSO
1. L’ATTIVITÀ ISTRUTTORIA
Nei giorni 7, 8 e 9 febbraio 2022, avendo questa Autorità ricevuto diversi reclami e segnalazioni, con i quali sono state lamentate comunicazioni promozionali effettuate nell’interesse di Edison Energia S.p.A. (di seguito “Edison” o “Società”), è stato eseguito un accertamento ispettivo presso la sede legale di quest’ultima per verificare, anche a più ampio raggio, i trattamenti dei dati personali posti in essere dalla Società per finalità di marketing e profilazione.
Con riferimento alle specifiche doglianze pervenute all’Autorità è stato effettuato l’accesso ai sistemi informatici della Società e sono stati acquisiti elementi documentali. Ad esito delle verifiche è risultato quanto segue.
Dall’analisi di alcune doglianze (fasc.li nn. 170029, 156738, 174827, 158850, 158736, 168114) è emerso che la numerazione chiamante segnalata non è censita nel Registro degli Operatori di Comunicazione (c.d. ROC), né, quindi, risulta essere immediatamente riconducibile alla rete di vendita della Società che ha lamentato, peraltro, l’indebito utilizzo del nome “Edison” da parte di soggetti non meglio identificati, nell’ambito di pratiche commerciali scorrette. Al riguardo, la Società ha rappresentato anche di aver sporto denuncia all’Autorità giudiziaria al fine di tutelare il proprio buon nome, abusivamente utilizzato da terzi che, attraverso condotte truffaldine, tentano di trarre un vantaggio economico e ne minano la reputazione commerciale.
È stato verificato che alcune utenze sono state legittimamente inserite nella lista di contattabilità della Società sulla base di consensi specifici al marketing e alla comunicazione dei dati a terzi (tra cui è ricompresa Edison) acquisiti da altri soggetti, quali autonomi titolari del trattamento, in occasione della compilazione da parte degli interessati di form di raccolta dati in sede di registrazione ai siti web o della partecipazione a concorsi a premi on-line. Peraltro, le utenze così acquisite non sono risultate presenti nella black list societaria (c.d. “lista di non contattabilità”) (fasc.li nn. 175773, 174566, 166401).
In due casi (fasc.li nn. 152043 e 148318) la Società ha dichiarato che una delle numerazioni chiamanti indicate nelle segnalazioni (n. 09818421192) è riconducibile al call-center XX (di seguito «XX») di cui la medesima si avvale, in qualità di responsabile del trattamento, per attività di marketing. Dalla comunicazione di XX del 10 febbraio 2022, prodotta a scioglimento delle riserve dell’8 febbraio 2022, si evince che tale numerazione sarebbe stata utilizzata “in nome e per conto di Edison Energia S.p.A. dal 22 giugno 2020 al 18 gennaio 2021”. I contatti, lamentati nelle due segnalazioni in parola, sarebbero avvenuti proprio nel periodo sopra indicato e precisamente il 25 giugno 2020, ore 10.06 e il 15 luglio 2020, ore 13.34. Peraltro, uno dei due segnalanti (XX) ha lamentato la ricezione di una telefonata promozionale indesiderata effettuata nell’interesse di Edison tramite la citata utenza in data 11 marzo 2020 ore 19.50, quindi in epoca antecedente all’assegnazione della numerazione a XX.
In un caso (fasc. n. 165162) il contatto lamentato è stato frutto di una condotta - a dire della Società – non corretta dell’operatrice telefonica impiegata presso un call-center di Edison (XX).
Con riguardo al fascicolo n. 170981 (segnalazione XX), è emerso che l’interessato è stato contattato dalla citata XX (anch’essa nominata responsabile del trattamento) – cui è riconducibile la numerazione chiamante lamentata nella doglianza ed iscritta al Registro degli Operatori di Comunicazione (c.d. ROC). Tale contatto sarebbe avvenuto in forza di due distinti consensi al marketing e alla cessione a terzi per proprie finalità promozionali prestati dall’interessato il 10 febbraio 2020 in occasione dell’iscrizione al sito web XX. Dalla documentazione fornita dalla Società, a scioglimento delle riserve dell’8 febbraio 2022, è emerso che il sito internet in parola, di proprietà della XX con sede nella Repubblica Slovacca, sarebbe stato poi ceduto, assieme ai relativi consensi acquisiti, a XX (di seguito «XX») la quale, in ragione della volontà espressa a suo tempo dall’interessato, avrebbe inserito l’utenza di quest’ultimo nella lista di contattabilità, con scadenza 27 novembre 2021, utilizzata per la campagna promozionale da cui sarebbe scaturita la segnalazione in questione. L’utente, alla data di acquisizione dei suoi dati da parte di XX, avrebbe ricevuto una nuova informativa (con indicazione del nuovo titolare), “fermi restando i consensi originariamente prestati al precedente titolare”. Nell’informativa che XX avrebbe fornito agli interessati registrati al sito web XX, Edison è indicata tra i soggetti terzi cessionari dei dati. A seguito del diniego espresso dal segnalante, la numerazione destinataria dei contatti lamentati è stata inserita nella “lista di non contattabilità” e registrata nel sistema aziendale Watson di Edison.
Con riferimento al fascicolo n. 174167, dalla documentazione prodotta a scioglimento delle riserve dell’8 febbraio 2022, è risultato che il reclamante sarebbe stato contattato da un call-center di Edison (XX, quale responsabile del trattamento), in ragione di due specifici consensi al marketing e alla comunicazione a terzi prestati dall’interessato il 21 maggio 2020 in occasione dell’iscrizione del medesimo al sito internet XX gestito da XX (di seguito «XX») in qualità di autonomo titolare del trattamento. Nell’informativa rinvenibile nel citato sito web, Edison è risultata presente nell’elenco delle società terze a cui i dati sono comunicati, accessibile attraverso apposito link.
Nel caso di specie, è emerso che i dati di contatto del reclamante sarebbero stati comunicati, in data 23 dicembre 2020, ad Edison da XX (di seguito «XX»), di cui, tuttavia, non risulta esser stato definito, né documentato, il ruolo nel trattamento in parola: in particolare, Edison sarebbe pertanto divenuta titolare del trattamento “per il solo periodo contrattualmente previsto dalla licenza d’uso prestata dalla società XX […]” (dal 29 dicembre 2020 per 3 mesi). In tal senso, nella comunicazione del 23 dicembre 2021, in riscontro alla richiesta di informazioni dell’interessato, Edison, pur assicurando di aver rimosso la numerazione destinataria dei contatti lamentati dalla lista di contattabilità, ha indicato i recapiti di XX per l’esercizio dei diritti di cui agli artt. 15 – 22 del Regolamento.
Con riferimento alle campagne promozionali realizzate nei confronti di utenti prospect (non clienti), la Società ha dichiarato di non effettuare controlli a campione delle numerazioni presenti nelle liste acquisite dai propri partner (list provider), precisando di svolgere verifiche accurate dei siti web utilizzati per la raccolta dei dati, dell’informativa resa dal fornitore e del consenso per la comunicazione a terzi per finalità di marketing diretto (verbale 7 febbraio 2022, pp. 4 e 5).
Inoltre, le utenze dei soggetti prospect che abbiano manifestato la volontà di non essere più contattati confluiscono in una “lista di non contattabilità” alimentata manualmente e costituita, al momento dell’accertamento, da 29.872 numerazioni di cui 1400 circa riconducibili ad utenze fisse. La lista non contiene l’indicazione della data del diniego, né dell’inserimento in lista, né dell’identità dell’interessato, non consentendo di accertare la liceità dei contatti promozionali e la corretta gestione dell’opposizione effettuata dagli interessati (verbale 8 febbraio 2022, p. 3).
È risultato che la Società – in difformità della propria policy (v. All. 15, al riscontro integrativo 21 febbraio 2022, inviato a scioglimento delle riserve) - conserva attualmente nel CRM, in assenza di una ragione giustificativa e in particolare di una finalità di trattamento attualmente svolta, i dati di alcuni clienti cessati da oltre 11 anni e che non sono stati oggetto del processo di anonimizzazione, in particolare: 6.087, di cui 5.836 PMI e 251 persone fisiche.
Con riferimento al diniego espresso dagli utenti prospect durante le chiamate promozionali, la Società ha fornito riscontri contrastanti, in particolare affermando, in un primo momento, che tale opposizione viene registrata solo per la campagna in corso (di regola di durata di tre mesi) (verbale 7 febbraio 2022 p. 5) per poi dichiarare di inserire le utenze - alle quali il diniego si riferisce - nella “lista di non contattabilità”, al fine di poterle escludere da tutte le successive campagne (verbale 8 febbraio 2022 p. 7).
Dall’analisi della documentazione prodotta dalla Società è emerso che gli utenti contattati nel corso della campagna promozionale che esprimono la volontà di non ricevere ulteriori chiamate pubblicitarie sono contrassegnati con la dicitura “Rif. Legge sulla privacy” che esclude eventuali ulteriori contatti esclusivamente in relazione alla campagna in corso di svolgimento, ma non include anche “la revoca del consenso privacy (il cliente dovrà esprimere in forma scritta la volontà di revoca del consenso ai riferimenti che l’operatore indicherà telefonicamente tramite lo script di vendita associato al fornitore di lista)” (All. 4 al verbale 8 febbraio 2022 – Manuale Watson esito Privacy). Ciò posto, qualora l’interessato intenda non essere più contattato neanche per le successive campagne promozionali, dovrà inviare una comunicazione alla preposta casella di posta elettronica della Società ovvero rivolgersi al list provider che ha acquisito i dati personali, come da script di chiamata prodotti a scioglimento delle riserve.
Nel corso dell’accertamento, simulando la procedura di accesso e navigazione nel sito internet www.edisonenergia.it e nell’App MyEdison (che peraltro presenta la medesima configurazione dell’App Edison MySun, rilasciata sul mercato a gennaio 2022 e al momento dell’accertamento non ancora utilizzata), è risultato che sono richiesti dati anagrafici degli interessati (nome, cognome, codice fiscale, numero di cellulare e indirizzo e-mail), e che viene acquisito il consenso al trattamento dei dati personali “per le finalità di cui alle lettere A e B” dell’informativa privacy, facenti riferimento congiuntamente a finalità promozionali e di profilazione; in particolare, con tale modalità, è stato acquisito il consenso alla profilazione di 50.050 clienti presenti nel sistema CRM (v. All. 13 “Clienti consensati profilazione” a scioglimento della riserva del 9 febbraio 2022). La Società ha rappresentato che il consenso richiesto in fase di iscrizione al sito internet riguarda, in realtà, esclusivamente le finalità legate alla fruizione del servizio e non invece le attività di marketing o di profilazione individuale (dalle quali sono peraltro totalmente esclusi i soggetti prospect). La Società ha precisato, quindi, che la descritta formulazione di acquisizione del consenso è frutto di un refuso, dovendo invece far riferimento esclusivamente alle attività di cui al punto C della citata informativa privacy, rubricato “Finalità di registrazione e accesso all’Area riservata del sito”.
Si è poi rilevato che, qualora si proceda con la sottoscrizione del contratto tramite sito internet, viene fornita l’informativa privacy che individua, tra le finalità del trattamento, il marketing, la profilazione e la comunicazione dei dati a terzi. In tale sede contrattuale, per tali finalità sono richiesti all’interessato i relativi distinti consensi facoltativi, pur avendo la Società dichiarato, anche ai sensi dell’art. 168 del Codice, di non effettuare attualmente attività di profilazione né di comunicazione a terzi per finalità di marketing. In particolare, ha precisato che il consenso alla profilazione è, in realtà, finalizzato a realizzare analisi interne di tipo generale oppure la segmentazione per macro-criteri (geografico, età, contatti disponibili) del CRM aziendale, al fine di evitare invii promozionali massivi (v. verbale 9 febbraio 2022, p. 3; All. 3 “Criteri marketing” al detto verbale), anche perché Edison non dispone di un numero sufficiente di clienti e di dati riferiti alla clientela per effettuare profilazione individuale.
Inoltre, per finalizzare la registrazione al sito internet e all’ App MyEdison, come detto sopra, è necessario fornire il consenso “per le finalità di cui alle lettere A e B” dell’informativa privacy, facenti riferimento a finalità promozionali e di profilazione. Pertanto, l’iscrizione dell’utente parrebbe condizionata al contestuale rilascio di un unico consenso per finalità di marketing e di profilazione, anche se quest’ultima non ancora svolta dalla Società.
2. LA CONTESTAZIONE DELLE VIOLAZIONI
Con nota del 13 maggio 2022 (rif. prot. n. 26377/22) è stato comunicato alla Società l’avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice, per l’adozione di eventuali provvedimenti di cui all’art. 58, par. 2, del Regolamento, con il quale, sulla base degli elementi acquisiti nel corso dell’attività ispettiva e delle successive integrazioni pervenute a scioglimento delle riserve, è stata contestata a Edison la possibile violazione delle seguenti disposizioni del Regolamento:
2.1. (con riguardo al fasc. n. 165162): artt. 6, 7 e 13 del Regolamento nonché 130 del Codice in quanto il contatto è risultato posto in essere in assenza del consenso informato dell’interessato;
2.2. (con riguardo al fasc. n. 170981): artt. 5, par. 2, 24, 14, 6 e 7 del Regolamento nonché 130 del Codice in quanto sono state acquisite anagrafiche da un soggetto terzo (XX), a sua volta già cessionario da XX, in assenza di idoneo consenso degli interessati;
2.3. (con riferimento al fasc. n. 174167): artt. 5, par. 2, 24, par. 1, 14 e 28 del Regolamento, non risultando definito il ruolo privacy di XX (titolare autonomo o responsabile del trattamento) nell’ambito del rapporto con Edison e non risultando rilasciata da quest’ultima la propria informativa all’interessato;
2.4. artt. 5, par. 2, 24, parr. 1 e 2 e 25, par. 1, del Regolamento per aver realizzato campagne promozionali nei confronti di utenti prospect senza effettuare verifiche a campione rispetto alle singole numerazioni e, quindi, senza porre in essere adempimenti in materia di protezione dei dati personali (quali: informativa; consenso; esattezza e qualità dei dati), in contrasto ai principi di privacy by design ed accountability; tali violazioni sono confermate anche in relazione alla non corretta gestione dell’opposizione effettuata dagli utenti prospect inseriti in una “lista di non contattabilità” priva di elementi circostanziati (data del diniego, dell’inserimento in lista, l’identità dell’interessato) che non consentono di ricostruire correttamente modalità e tempi di acquisizione e revoca del consenso;
2.5. art. 5, par. 1, lett. b) e e) del Regolamento per aver conservato nel CRM i dati di clienti cessati da oltre 11 anni e che non sono stati oggetto del processo di anonimizzazione, in possibile contrasto con i principi di finalità e limitazione della conservazione;
2.6. art. 12 parr. 2 e 3, 21, par. 2, del Regolamento per non aver previsto procedure dirette e semplificate per consentire all’interessato di esercitare con immediatezza il proprio diritto di opposizione al trattamento svolto per finalità promozionali”;
2.7. artt. 12, par. 1, e 5, par. 1 lett. a) del Regolamento in quanto alcune delle attività di trattamento descritte nelle informative del sito internet www.edisonenergia.it e dell’App MyEdison (in particolare la comunicazione a terzi per finalità di marketing diretto e la profilazione), non sono risultate concretamente svolte dalla Società, in possibile violazione all’obbligo di fornire un’informativa trasparente ed effettivamente idonea a rendere consapevoli gli interessati di ciò che viene fatto con i loro dati;
2.8. artt. 6 e 7 del Regolamento e 130 del Codice in quanto l’iscrizione dell’utente al sito internet www.edisonenergia.it e all’App MyEdison è risultata subordinata al contestuale rilascio di un unico consenso per finalità di marketing e profilazione; tale consenso, non specifico né libero, non risulta costituire un’idonea base giuridica per i citati trattamenti.
Inoltre, con la medesima comunicazione del 13 maggio 2022, la Società è stata invitata a fornire copia della denuncia all’Autorità giudiziaria nei confronti di quei soggetti che abusivamente avrebbero speso il nome Edison per proprie attività promozionali (v. fasc.li nn. 170029, 156738, 174827, 158850, 158736, 168114), nonché, con riguardo alle utenze contattate dal call-center XX (fasc.li nn. 152043, 148318), a produrre documentazione finalizzata ad accertare gli adempimenti in materia, con particolare riferimento all’origine dei dati personali degli interessati, al consenso da questi rilasciato e all’informativa resa unitamente allo script di chiamata utilizzato in occasione dei contatti lamentati.
3. OSSERVAZIONI DIFENSIVE E VALUTAZIONI DELL’AUTORITÀ
3.1. MEMORIA DIFENSIVA
La Società, nell’esercizio del diritto di difesa, ha fatto pervenire, in data 13 giugno 2022, una memoria con la quale ha replicato ai rilievi sollevati dall’Autorità con l’atto di contestazione.
3.1.1. Preliminarmente Edison ha sostenuto di aver agito in giudizio per la difesa dei propri interessi commerciali, economici e di immagine. Ciò in ragione di un uso abusivo del suo nome da parte di terzi che, attraverso condotte truffaldine, tentano di trarre un vantaggio economico e ne minano la consolidata reputazione. In tal senso Edison, “in qualità di parte lesa da tali condotte, non solo ha istituito un proprio gruppo di lavoro interno, al fine di monitorare ed affrontare il problema”, ma ha anche attivato presso l’Autorità giudiziaria diverse cause, sia di tipo civile che penale, di cui ha fornito documentazione al Garante “già in data 9 febbraio 2022” e che in tale sede si intendono integralmente richiamate. Con la memoria in parola, la Società ha integrato la documentazione precedentemente prodotta con la denuncia avanzata all’Autorità giudiziaria, e depositata il 27 luglio 2018, nei confronti di XX per illegittimo utilizzo del marchio Edison.
3.1.2. In merito ai contatti promozionali effettuati dal call-center XX, in qualità di responsabile del trattamento, la Società ha rappresentato l’impossibilità di fornire le evidenze richieste dall’Autorità (con riferimento all’origine dei dati degli interessati, al consenso da questi rilasciato, all’informativa resa) in quanto, “in coerenza con la Data Retention Policy, da tutti i sistemi aziendali le anagrafiche di utenti prospect che abbiano superato il periodo di conservazione complessivo di 15 mesi risultano essere stati cancellati”. Ha aggiunto che il contatto che ha riguardato il signor XX (fasc. n. 148318) non può attribuirsi a Edison in quanto effettuato da un soggetto terzo estraneo alla rete di vendita ufficiale della Società.
Con riferimento al contatto telefonico avvenuto in assenza del consenso dell’interessato (cfr. punto 2.1 della contestazione), la Società ha confermato la condotta illegittima perpetrata da un soggetto terzo (nello specifico una dipendente del call-center XX, responsabile del trattamento) “al di fuori di qualsiasi delega e/o istruzione ad esso impartita da Edison e/o da XX medesima”. In particolare, ha precisato che tale dipendente, “immediatamente licenziata”, avrebbe utilizzato, per il contatto lamentato, “strumenti del tutto estranei a quelli forniti da Edison […] tra i quali una propria utenza telefonica personale (fornita per il ricontatto ai soggetti chiamanti)”. Ad ogni caso, ha aggiunto Edison, non sarebbe stato possibile attivare eventuali contratti derivanti da contatti c.d. “fuori lista” in quanto rigorosamente inibiti dal sistema tecnico denominato Watson, a disposizione di tutti i call-center operanti per suo conto.
3.1.3. Con riferimento alle anagrafiche acquisite da soggetti terzi cessionari di banche dati in assenza di idoneo consenso degli interessati (cfr. punto 2.2 della contestazione), la Società, nel richiamare il provvedimento n. 460 emanato dall’Autorità il 9 novembre 2017, ha invocato l’esonero di tale base giuridica in quanto il sito internet XX, nonché i dati personali ivi raccolti, “sono stati oggetto di una cessione d’azienda da XX a XX e, pertanto, trovano applicazione gli artt. 2558, 2559 e 2560 del Codice Civile, subentrando l’acquirente per legge nella posizione dell’alienante connessa alla gestione dell’azienda ceduta, senza necessità di alcuno specifico consenso”. La comunicazione ad Edison dei dati da parte di XX, quindi, risulta essere una comunicazione legittima in ragione dell’acquisito consenso al trasferimento dei dati personali a terzi indicato nell’informativa del sito XX “sia come rilasciata da XX, sia come resa successivamente, in totale continuità di fini e modalità, dalla subentrata XX”.
3.1.4. Con riferimento alla contestazione di cui al punto 2.3, la Società ha descritto l’attività di aggregazione di liste, provenienti da differenti fornitori, svolta da XX che, in data 27 febbraio 2020, è stata designata da Edison responsabile esterno del trattamento dei dati personali (di cui è stato prodotto formale atto di nomina). Tale conferimento, nella prospettiva delineata dalla Società, avrebbe spiegato il passaggio dei dati da XX (titolare del sito internet XX dal quale sarebbero stati acquisiti i due distinti consensi al marketing e alla comunicazione a terzi) a Edison per il tramite di XX. In particolare, la Società ha chiarito che “l’attività di aggregazione viene quindi svolta su indicazione e mandato di Edison, la quale riceve […] da XX la lista comprensiva e ripulita [da duplicazioni] per svolgere le proprie attività di marketing”.
3.1.5. La Società, in riscontro alla contestazione di cui al punto 2.4, ha confermato i contenuti espressi in sede di accertamento ispettivo, dichiarando di svolgere verifiche puntuali dei siti web da cui acquisisce i dati personali, con particolare riferimento alle informazioni privacy rilasciate dal fornitore e alla “correttezza dei consensi, al fine di appurare il legittimo trasferimento”, ma di non effettuare controlli a campione delle numerazioni presenti nelle liste fornite da propri partner. Con riguardo a tale ultimo profilo, pur ribadendo di non porre in essere “procedure formali interne specifiche di controllo a campione dei dati oggetto di acquisizione”, ha precisato di aver incaricato contrattualmente, già da dicembre 2021, una società terza di svolgere attività di questo tipo, “in ottica di maggior controllo ed accountability”. A conferma di ciò, ha allegato alla memoria difensiva la relativa documentazione contrattuale.
3.1.6. In merito alla modalità di gestione del diniego espresso dagli utenti prospect nel corso dei contatti promozionali (punto 2.6 della contestazione), la Società ha rappresentato quanto segue:
“Laddove il soggetto interessato segnali la volontà di non essere più contattato da Edison per finalità commerciali, il relativo numero telefonico […] viene riportato sul sistema Watson come “Rif Legge sulla Privacy”. Tale attività comporta che il numero telefonico segnalato non sarà più oggetto di contatto per la campagna in corso di esecuzione”. Tuttavia, al fine di escludere l’utenza interessata anche dalle successive campagne promozionali, la Società, “a partire da metà settembre 2021”, ha previsto di estrarre dal sistema aziendale la lista dei numeri telefonici identificati con la locuzione “Rif Legge sulla Privacy” e farla confluire nella “lista di non contattabilità” “utilizzata per la deduplica delle liste acquisite e finalizzate alle campagne successive”. Inoltre la Società, non registrando alcuna anagrafica di prospect sul proprio sistema aziendale, ha inteso assicurare agli interessati il compiuto esercizio del diritto (“presupponendo che il soggetto […], al momento del diniego non solo non intenda essere contattato nel corso della singola campagna ma che non intenda in generale ricevere ulteriori comunicazioni commerciali da Edison”). Infine, la “lista di non contattabilità” – che, con l’indicazione del solo numero telefonico, garantisce il principio di minimizzazione dei dati – sarà alimentata da informazioni idonee a circoscrivere i dinieghi, grazie ad un ulteriore sistema, al momento in fase sperimentale, che andrà a sostituire quello attuale.
3.1.7. Con riferimento alla contestazione di cui al punto 2.5, la Società ha chiarito le ragioni, perlopiù di natura contenziosa, sottese alla conservazione nel CRM dei dati di clienti cessati da oltre 11 anni, precisando che soltanto 8 di essi saranno oggetto di anonimizzazione a giugno 2022, avendo risolto la propria situazione debitoria.
3.1.8. In riscontro ai rilievi contestati ai punti 2.7 e 2.8, Edison ha ribadito che il consenso richiesto in fase di iscrizione al sito internet www.edisonenergia.it e all’App MyEdison riguarda finalità contrattuali, connesse alla fruizione del servizio, e che l’indicazione, nella sua formulazione, di “finalità di cui alle lettere A e B” dell’informativa privacy, riconducibili ad attività promozionali e di profilazione, sarebbe frutto di un “mero refuso”. Ha evidenziato che il testo del consenso è stato prontamente corretto a seguito della verifica effettuata in sede ispettiva. Peraltro “la dicitura errata è stata presente per un periodo di tempo limitato, dal settembre 2021 al febbraio 2022”. Ad ogni modo, il rilascio del consenso, mediante apposizione del flag a conclusione della procedura di registrazione, non ha prodotto alcun esito nel CRM aziendale.
Inoltre, la Società ha confermato che la profilazione non sarebbe attualmente svolta, in considerazione della scarsità dei dati e dei consensi raccolti, e consisterebbe essenzialmente in un’attività “di analisi basica, segmentando la clientela per macro categoria”. Tuttavia l’eventuale incremento dei dati e dei consensi al marketing consentirebbe a Edison “di svolgere analisi più specifiche e puntuali” al fine “di inviare materiale pubblicitario […] più in linea con le preferenze e le esigenze dei clienti”. Tale impostazione può essere estesa anche alla comunicazione dei dati a soggetti terzi per finalità di marketing diretto della Società in quanto, pur non essendo al momento percorribile “l’attività di partnership commerciale” vista “l’entità dei consensi sino ad oggi raccolti”, “l’obiettivo [di Edison] è quello di costituire una base di consensi di cessione numericamente sufficiente” a tal fine. Pertanto, non sussiste lo scollamento tra il piano formale, relativo ai trattamenti dichiarati nelle informative del sito e dell’App, e quello fattuale che l’Autorità ha ritenuto di contestare.
3.2. VALUTAZIONI DI ORDINE GIURIDICO
Con riferimento ai profili fattuali sopra evidenziati, anche in base alle affermazioni della Società, di cui il dichiarante risponde ai sensi dell’art. 168 del Codice, si formulano le seguenti valutazioni di ordine giuridico.
La principale argomentazione esposta dalla Società a difesa della propria posizione attraverso il richiamo ad una indebita spendita del suo nome (v. punto 3.1.1), risulta supportata dalla documentazione corredata alla memoria del 13 giugno 2022, dalla quale si evince l’attuazione di condotte scorrette da parte di terzi per stornare la clientela di Edison. Nelle circostanze denunciate, agli utenti contattati venivano date informazioni false e ingannevoli in danno di Edison al fine di incentivare il passaggio ad altro fornitore di energia elettrica, con conseguenti ricadute economiche sulla Società, oltre “all’irreparabile lesione della propria immagine e dei propri marchi e segni distintivi”.
Si prende atto di quanto dichiarato e documentato da Edison in relazione ai contatti telefonici effettuati da numerazioni non riconducibili alla rete di vendita ufficiale. Invero, il sistema tecnico denominato “Watson” descritto dalla Società appare idoneo ad arginare il fenomeno dei contatti illeciti e delle chiamate promozionali indesiderate provenienti da soggetti estranei alla rete commerciale di Edison. Tale sistema, “messo a disposizione di tutti i call-center operanti per Edison, […] non consente la contrattualizzazione di soggetti che derivino da chiamate cd. fuori lista”. In definitiva, la centralizzazione dei contratti, appare, almeno astrattamente, idonea a determinare una connessione operativa e logica fra la fase promozionale e la successiva fase di registrazione del contratto e, quindi, ad escludere che da contatti promozionali effettuati fuori dalla rete di vendita della Società possano derivare contratti poi registrati nei database di Edison (v. provv. Sky Italia S.r.l., 16 settembre 2021, n. 332, doc. web n. 9706389).
Con riferimento ai contatti effettuati dal call-center XX (v. punto 3.1.2), si osserva che la mancata disponibilità materiale della Società di documentazione idonea a comprovare gli adempimenti in materia di protezione di dati personali, stante la cancellazione dai database di tutte le anagrafiche che abbiano superato un periodo di conservazione di 15 mesi, non ha consentito a questa Autorità di appurare la base giuridica che avrebbe legittimato le telefonate indesiderate promozionali lamentate nelle segnalazioni. Quindi, alla luce di quanto in atti, non è possibile imputare con certezza una responsabilità oggettiva e soggettiva della condotta lamentata nelle segnalazioni relativamente a profili di liceità del trattamento in parola.
Si ritiene di poter prendere atto di quanto dichiarato dalla Società in merito al contatto telefonico avvenuto in assenza del consenso dell’interessato e frutto di un’autonoma iniziativa perpetrata da un soggetto terzo (punto 3.1.2 delle memorie difensive), rilevando che tale condotta ha riguardato un caso isolato e che la stessa Società ha fornito idonee assicurazioni sull’impossibilità che possano ripetersi casi del genere. avendo implementato un sistema di inibizione di eventuali contratti con i c.d. “fuori lista” nei termini descritti nelle argomentazioni difensive che consente di superare le criticità contestate.
Con riferimento al punto 3.1.3 della memoria difensiva, in base all’analisi della documentazione prodotta con specifico riguardo al sito internet “XX” della società slovacca, XX, poi asseritamente acquisita da XX, si evidenzia quanto segue:
a) con riguardo all’adempimento dell’informativa, da rilasciare ai sensi dell’art. 14 del Regolamento - sulla base dello script telefonico fornito da Edison, completo dei riferimenti all’origine dei dati, alle finalità del trattamento, alle modalità di esercizio dei diritti, ex artt. 15 – 22 del Regolamento, nonché al sito web societario dove rinvenire l’informativa completa - si ritiene di dover archiviare la relativa contestazione;
b) relativamente all’adempimento del consenso, nel primo box proposto all’utente nel relativo form di registrazione è richiesta un’unica manifestazione di volontà per le condizioni contrattuali e, indistintamente, per tutti i vari consensi al trattamento dei dati personali (“Accetto le condizioni di cui al Regolamento e tutti i consensi di cui all’informativa privacy”). Tale formulazione, evidentemente, costringe l’interessato, pur di partecipare all’iniziativa dei buoni-regalo, ad accettare anche i trattamenti per ben quattro diverse finalità (marketing della Società titolare del sito; profilazione da parte della medesima; comunicazione a terzi per le loro finalità promozionali; profilazione da parte dei medesimi terzi), per un totale di cinque consensi, includendo il primo consenso unico. La configurazione in questione, dunque, determina un’acquisizione di dati illegittima in ragione della violazione dell’obbligo di un consenso libero e specifico, non rilevando la raccolta di consensi distinti effettuata mediante i box sottostanti e comunque risultando in contrasto con la prima forma di raccolta;
c) il file di log che la Società ha prodotto a corredo delle memorie difensiva non consente di effettuare una ricostruzione dei consensi tale da superare la criticità evidenziata al punto precedente;
d) peraltro, il vizio dei siffatti consensi, compreso quello relativo alla comunicazione dei dati a soggetti terzi - originariamente acquisiti dalla società XX. – si riverbera sulla validità anche dei trattamenti posti in essere da XX, quale cessionaria di azienda, nonché dei trattamenti effettuati da Edison, quale cessionaria dei dati. Ciò posto, il quadro delineato da Edison risulta privo di ogni fondamento e deve essere confermata la violazione contestata.
Pertanto, nel caso di specie, si rappresenta che l’utilizzo, da parte della Società, di liste di dati personali ottenute da un soggetto terzo, a sua volta cessionario di tali anagrafiche sulla base di un consenso viziato rilasciato all’iniziale titolare del trattamento, avrebbe reso necessario in capo ad Edison la richiesta e l’acquisizione di un nuovo consenso alla propria attività promozionale (v.: Linee guida in materia di attività promozionale e contrasto allo spam – provv. 4 luglio 2013, doc. web n. 2542348; provv. 22 maggio 2018, doc. web n. 8995274; provv. 11 dicembre 2019, doc. web n. 9244365; provv. 12 novembre 2020, doc. web n. 94856801; provv. 13 maggio 2021, doc. web n. 9670025; provv. 16 settembre 2021, doc. web n. 9706389).
Inoltre, si deve rilevare che la condotta di Edison, come prospettato già nella contestazione, risulta in contrasto con il principio di accountability poiché la Società non risulta essersi occupata, come invece necessario, di verificare l’effettiva conformità alla normativa dei consensi acquisiti dal fornitore.
Alla luce di quanto sopra, risulta da confermare la violazione da parte di Edison Energia S.p.A., degli artt. 5, par. 2, 24, 6 e 7 del Regolamento, nonché 130 del Codice; violazione che, peraltro, ha coinvolto un rilevante numero di utenti (ammontante a 66.771).
Con riferimento al punto 3.1.4 della memoria, si deve rilevare che le argomentazioni addotte dalla Società sono basate principalmente sul ruolo rivestito da XX, in qualità di responsabile esterno del trattamento dei dati personali, nel rapporto con Edison. In particolare, XX, nel suo ruolo di aggregatore di liste per conto di Edison, fungerebbe da mero intermediario nel processo di trasmissione dei dati dai vari list provider alla Società. Nell’atto di nomina a responsabile del trattamento, prodotto a corredo della memoria difensiva, è emerso che oggetto di cessione a Edison fossero le anagrafiche acquisite dalle banche dati di aziende terze con le quali XX avrebbe stipulato regolari contratti, di cui tuttavia non è stata prodotta evidenza. Al fine di superare il dato formale e qualificare in concreto ruoli e responsabilità dei soggetti coinvolti, non potendo disporre anche dei contratti sottoscritti da XX con i vari list provider, deve ritenersi sufficientemente chiarita la posizione assunta dalle parti nel trattamento in parola: la comunicazione dei dati a Edison, legittimata dalla base giuridica del consenso degli interessati, viene effettuata da XX, in qualità di autonomo titolare, per il tramite di XX (quale responsabile designato da Edison). Peraltro, nell’informativa rinvenibile nel sito internet XX, gestito da XX, Edison è presente nell’elenco delle società terze a cui i dati sono comunicati.
Ciò significa che il trasferimento delle liste da XX a Edison, attraverso la mediazione di XX, parrebbe evitare il c.d. “doppio passaggio” da un titolare all’altro, che in sede di contestazione si è ritenuto doveroso censurare. Pertanto si accolgono le argomentazioni di Edison nell’ambito dell’esercizio del diritto di difesa, che inducono a procedere all’archiviazione della contestazione medesima in ordine alla violazione degli artt. 5, par. 2, 24, par. 1, 14 e 28 del Regolamento.
Relativamente al punto 3.1.5 della memoria difensiva riguardante l’attività di verifica delle numerazioni presenti nelle liste acquisite dai partner, demandata da Edison ad una società terza, dalla lettura del relativo contratto, avente ad oggetto, in particolare, “la prestazione di servizi professionali di supporto alle attività di controllo su fornitori Teleselling”, è emerso che le verifiche delle numerazioni contattabili fornite dai partner riguarderebbero il “5% della stima dei contratti conclusi tramite operazioni di teleselling (circa 9000), pari ad un massimo di 450 contratti, suddivisi in egual numero tra i Fornitori”. Se ne desume che il controllo sulle utenze da contattare per finalità di marketing viene realizzato solo successivamente all’effettuazione del contatto telefonico e alla sottoscrizione di contratti conclusi tramite operazioni di teleselling.
Pertanto, si conferma l’assenza di verifiche preventive a campione - rispetto alle singole numerazioni – contestata al punto 2.4 del presente provvedimento. La mancanza di tale adempimento e dei correlati controlli sul consenso acquisito dal fornitore, non risulta essere soltanto un’impostazione inidonea a garantire un livello adeguato di conformità alla normativa in materia, in particolare secondo i principi di privacy by design ed accountability, ma solleva dubbi anche in merito alla gestione di tutte le ulteriori utenze acquisite dai fornitori e utilizzate nell’attività promozionale della Società. Invero deve ritenersi che le anomalie e le violazioni come sopra individuate non riguardino episodiche condotte ma impostazioni “di sistema” che si replicano in occasione dei numerosi contatti posti in essere dalla Società, in particolare operati mediante acquisizione di liste di anagrafiche da soggetti terzi e realizzati, quindi, in violazione delle disposizioni in materia di consenso, di accountability e di privacy by design.
La verifica dei siti web da cui vengono raccolti i dati - che la Società sostiene di effettuare costantemente prima di ogni campagna promozionale - pur risultando potenzialmente utile a prevenire la circolazione indebita di dati personali, non può tuttavia surrogare l’assenza di controlli sulle numerazioni fornite dai partner, e quindi non può ritenersi sufficiente per considerare la condotta dalla Società non censurabile. Deve pertanto confermarsi la responsabilità di Edison in ordine alla violazione di cui agli artt. 5, par. 2, 24, parr. 1 e 2 e 25, par. 1, del Regolamento.
Nelle proprie memorie difensive (v. punto 3.1.6) la Società ha manifestato l’impegno di implementare alcune misure correttive, come ad esempio attivare un sistema, al momento in fase di sperimentazione, che consenta di inserire nella “lista di non contattabilità”, oltre al numero telefonico, tutti gli ulteriori elementi informativi idonei a ricostruire correttamente la volontà degli interessati. La lista attualmente costituita dall’indicazione del solo numero telefonico “non contattabile” non risulta essere una soluzione adeguata alla gestione del diritto di opposizione degli interessati e non consente di comprendere quando e come l’interessato abbia espresso il consenso e quando e come lo abbia revocato. La circostanza delineata dalla Società di poter comunque risalire alla data di inserimento dell’anagrafica nella lista in parola, attraverso l’incrocio delle comunicazioni (e-mail) intercorse con gli interessati, oltre a rappresentare una distrazione notevole di tempo e risorse (viste peraltro le 29.872 numerazioni registrate), si pone in contrasto con i richiamati principi di accountability e privacy by design, anche in riferimento alle richieste degli interessati, ai sensi degli artt. 15 – 22 del Regolamento, e/o agli accertamenti operati da questa Autorità.
È stato più volte evidenziato che i nuovi principi dettati del Regolamento inquadrano le competenze del titolare in un’ottica di responsabilizzazione (accountability) ed impongono a tutti gli attori del trattamento dei dati personali comportamenti proattivi e coerenti con la finalità di comprovare, in ogni fase, la liceità dei trattamenti medesimi. Spetta pertanto al titolare adottare misure di particolare garanzia al fine di dimostrare che i contratti e le attivazioni registrati nei propri sistemi siano originati da contatti effettuati nel pieno rispetto delle disposizioni in materia di protezione dei dati personali (v. provv. n. 143 del 9 luglio 2020, doc. web n. 9435753; “Provvedimento in materia di propaganda elettorale e comunicazione politica”, 18 aprile 2019 doc. web n. 9105201; provv. n. 363, 22 maggio 2018, doc. web n. 8995274; provv. gen. spamming, 29 maggio 2003, doc. web n. 29840). Analogamente è obbligo del titolare dimostrare di aver adeguatamente registrato e contestualizzato i dinieghi espressi dagli interessati alla ricezione di ulteriori comunicazioni promozionali; circostanza, questa, che non ricorre nel caso di specie.
Alla luce di quanto sopra, risulta ravvisabile la violazione degli artt. 5, par. 2, 24, parr. 1 e 2 e 25, par. 1, del Regolamento.
La modalità descritta al punto 3.1.6 della memoria difensiva, con la quale viene registrata, in via definitiva, l’opposizione degli interessati ad essere contattati anche per le future campagne promozionali, non appare disciplinata in nessuno dei documenti prodotti dalla Società, sia in fase di accertamento ispettivo, sia successivamente in sede difensiva. La documentazione fornita nel corso dell’ispezione - di cui si dà sinteticamente conto, fatto salvo, tuttavia, il pieno e completo rinvio a quanto già riportato al punto 1 del provvedimento - delinea un quadro diverso rispetto a quanto poi affermato dalla Società nella memoria difensiva: la denominazione “Rif Legge sulla Privacy”, che identifica le utenze associate ai dinieghi espressi, dispiega i propri effetti per la sola durata della campagna promozionale in corso, ben potendo l’interessato opporsi anche alle successive campagne inviando apposita comunicazione a Edison e al titolare che ha acquisito i dati personali, come peraltro confermato dagli script di chiamata prodotti a scioglimento delle riserve. Ciò - non rendendo univoca la richiesta di cancellazione degli interessati ad uno specifico titolare del trattamento e richiedendo in questo senso un doppio passaggio a Edison e al list provider per vedere soddisfatta in via definitiva tale istanza - non consente un agevole e rapido esercizio del diritto di opposizione, come prescritto dall’art. 21, par. 2, del Regolamento. Inoltre, il fatto che le utenze identificate con la denominazione “Rif Legge sulla Privacy” confluiscano nella “lista di non contattabilità” per essere escluse anche dalle successive campagne promozionali rientra in discorso difensivo scevro da riscontri probatori e che non consente di superare le criticità emerse nell’atto di contestazione anche perché tale operazione rende ridondante e sostanzialmente inutile l’impostazione originaria prospettata.
Pertanto, acquisita piena prova della responsabilità di Edison in ordine agli addebiti contestati, si conferma la violazione, di cui al punto 2.6, dell’art. 12, parr. 2 e 3, nonché dell’art. 21, par. 2, del Regolamento.
Con riferimento alla contestazione di cui al punto 2.5, inerente alla conservazione prolungata dei dati di clienti cessati da oltre 11 anni, si accolgono le argomentazioni di Edison nell’ambito dell’esercizio del diritto di difesa e si procede con l’archiviazione in ordine alla violazione dell’art. 5, par. 1, lett. b) e e) del Regolamento.
La Società ha fornito riscontri contrastanti riguardo al trattamento dei dati personali effettuato mediante il sito internet www.edisonenergia.it e l’App MyEdison (punto 3.1.8 della memoria difensiva). In particolare, Edison ha dichiarato, anche ai sensi dell’art. 168 del Codice, che i consensi al marketing e alla profilazione, acquisiti in fase di registrazione al sito, non generano alcun esito nel CRM aziendale. Tale circostanza risulta smentita sia dalle dichiarazioni rese in sede di accertamento ispettivo, sia dalla documentazione prodotta a scioglimento delle riserve. Infatti, nel corso dell’ispezione, una dipendente di Edison per il settore “Canali digitali” ha chiaramente affermato che “il sito per chi non è cliente, non raccoglie il consenso per attività di marketing e profilazione. Tali consensi sono invece raccolti per i clienti della società” rispetto ai quali “la valorizzazione dei consensi è riportata automaticamente nel CRM” (si rinvia per una più completa cognizione al verbale di operazioni compiute del 9 febbraio 2022). Inoltre ammonta a 50.050 “il numero utenti clienti presenti sul sistema CRM che abbiano rilasciato il consenso alla profilazione” (v. allegato n. 13 “clienti consensati profilazione”, a scioglimento della riserva del 9 febbraio 2022), risultando peraltro non condivisibile la circostanza descritta dalla Società relativa all’esiguità dei dati e dei consensi raccolti. Inoltre, in base alle dichiarazioni rese in sede di memoria difensiva, tale finalità risulta potenzialmente perseguibile soltanto a fronte di una disponibilità maggiore di dati corredati da specifici consensi. In altri termini, quindi, allo stato attuale, i dati raccolti da Edison per finalità di profilazione sono utilizzati per realizzare analisi interne di tipo generale e, solo in prospettiva, costituiscono materiale utile per il marketing profilato, a condizione che si registri un incremento delle adesioni.
Analogamente, la comunicazione dei dati a terzi per finalità di marketing diretto, per la quale è richiesto un consenso specifico in occasione della sottoscrizione del contratto tramite sito internet, pur configurando un obiettivo della Società, non risulta attualmente svolta in ragione dell’entità dei consensi sino ad oggi raccolti.
Pertanto, dal momento che, su esplicita ammissione della Società, non risultano perseguite le finalità di profilazione individuale e di comunicazione dei dati a terzi, lo scollamento fra il piano formale - relativo alle informative del sito e dell’App nonché a quelle rilasciate con la sottoscrizione dei contratti di fornitura - e il piano fattuale delle attività, è idoneo ad ingenerare il ragionevole dubbio su quali siano gli effettivi trattamenti svolti da Edison.
Al riguardo, il Garante ha più volte declinato il principio della trasparenza, quale agevole comprensibilità del messaggio informativo con specifico riguardo alle modalità e finalità del trattamento corrispondenti non soltanto con i consensi richiesti ma, ancor prima, con gli scopi effettivamente perseguiti. Sussiste l’esigenza di corrispondenza fra informativa ex art. 13 del Regolamento ed effettività dei trattamenti posti in essere, al fine di dare piena attuazione anche all’art. 12 del Regolamento, vale a dire proprio al principio della trasparenza, che si pone come fondamentale ed innovativo criterio di legittimità dei trattamenti stessi (v. provv. n. 7 del 15 gennaio 2020, doc. web n. 9256486).
Peraltro deve ribadirsi che le disposizioni del Regolamento (art. 4, punto 11 e considerando n. 32), in linea con il precedente assetto normativo, configurano il consenso come una fattispecie complessa nella quale l'elemento dell’espressione della volontà dell'interessato deve necessariamente essere correlato alla completezza delle informazioni sul trattamento rese dal titolare. Ne consegue che in carenza di idonee informazioni sul trattamento, come nel caso di specie rilevato ai paragrafi 2.7 e 2.8, anche l'espressione di volontà degli interessati risulta irrimediabilmente viziata e inidonea a costituire condizione di liceità per il trattamento stesso. Peraltro, la violazione della libertà degli interessati risulta ancor più aggravata dalla circostanza di condizionare l’iscrizione dell’utente al sito internet e all’App MyEdison al rilascio di un unico consenso per finalità di marketing e profilazione (medesima configurazione per l’App Edison MySun, non ancora in uso ma rilasciata sul mercato a gennaio 2022). Operazione, questa, che ha comportato l’acquisizione di un numero elevato di dati personali confluiti nel CRM aziendale (relativi a 50.050 utenti che hanno rilasciato il consenso per la finalità di profilazione).
Occorre ribadire in questa sede che la capacità di autodeterminazione degli utenti non è rispettata quando non si assicuri l’effettiva e consapevole libertà di scelta riguardo ai trattamenti dei propri dati e tale vizio di legittimità rileva ai fini dell’applicabilità delle violazioni della normativa in materia di protezione dei dati (in particolare quella relativa al consenso libero e specifico), a prescindere dall’effettuazione o meno delle attività di trattamento prospettate (v. provv. “Servizi on-line: richiesta di consenso "obbligato" per finalità promozionali” - 27 ottobre 2016, doc. web n. 5687770; provv. 12 giugno 2019, doc. web n. 9120218).
Va inoltre rappresentato che anche la mera conservazione dei dati personali costituisce una compiuta operazione di trattamento, per cui, una volta acquisito il consenso per finalità di marketing e di profilazione e raccolto i relativi dati, il trattamento deve intendersi pienamente posto in essere anche in caso di sola conservazione dei medesimi in attesa che nuove circostanze rendano possibili le ulteriori operazioni finalizzate al marketing e alla profilazione.
Alla luce di quanto sopra, si conferma la sussistenza della contestata violazione degli artt. 12, par. 1 e 5, par. 1, lett. a) del Regolamento.
Si ritiene, altresì, integrata la violazione degli artt. 6, 7 e 12, par. 1, del Regolamento, nonché dell’art. 130 del Codice per non aver acquisito un consenso libero e specifico degli interessati per le diverse attività di trattamento (in particolare marketing e profilazione).
4. CONCLUSIONI
Per quanto sopra esposto si ritiene accertata la responsabilità di Edison in ordine alle seguenti violazioni del Regolamento
- art. 5, parr. 1, lett. a) e 2;
- artt. 6 e 7;
- art. 12, parr. 1, 2 e 3;
- art. 21, par. 2;
- art. 24, parr. 1 e 2;
- art. 25, par. 1,
e la violazione dell’art. 130 del Codice.
Accertata l’illiceità delle sopra descritte condotte della Società, si rende necessario:
- ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, vietare ogni ulteriore trattamento per finalità promozionali effettuato mediante liste di anagrafiche di soggetti terzi che non abbiano acquisito dagli interessati un consenso libero, specifico ed informato alla comunicazione dei propri dati a Edison, ai sensi degli artt. 6 e 7 del Regolamento nonché 130 del Codice;
- ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiungere alla Società, qualora intenda in futuro indirizzare l’attività promozionale verso utenze telefoniche fornite da soggetti terzi, di adottare idonee procedure volte a verificare costantemente, anche mediante adeguati controlli a campione, che i dati personali siano trattati nel pieno rispetto delle disposizioni in materia (acquisizione preventiva di un consenso libero, specifico, inequivocabile, documentato, oltre che informato, degli interessati per l’invio di comunicazioni commerciali), ai sensi degli artt. 6, 7 e 13 del Regolamento nonché 130 del Codice;
- ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiungere a Edison di facilitare l’esercizio dei diritti previsti dalla normativa in materia di protezione dei dati personali e di soddisfare, senza ingiustificato ritardo, le relative istanze, compreso il diritto di opposizione che può essere avanzato “in qualsiasi momento” dall’interessato; di indicare chiaramente, già nello script di chiamata, il titolare a cui dovrà essere indirizzata la richiesta di cancellazione dei dati personali e che vi provvederà in via definitiva, ai sensi degli artt. 6, 7 e 13 del Regolamento nonché 130 del Codice;
- ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, vietare il trattamento dei dati personali raccolti senza che sia stato acquisito il necessario preventivo consenso informato, libero e specifico degli interessati in relazione all’attività di marketing e profilazione, ex artt. 6, 7 e 12 del Regolamento nonché 130 del Codice;
- ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiungere di fornire agli interessati un’idonea informativa nella quale siano indicati le operazioni di trattamento effettivamente svolte da Edison (artt. 12 e 13 del Regolamento);
- con riguardo ai trattamenti già realizzati e con finalità dissuasiva, si ritiene sussistano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi degli artt. 58, par. 2, lett. i) e 83, parr. 4 e 5, del Regolamento.
5. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA
Le violazioni sopra confermate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Edison Energia della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 4 e 5, del Regolamento. Tuttavia, risultando violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati dalla Società a fini di marketing, si ritiene applicabile l’art. 83, par. 3, del Regolamento, in base al quale, “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, assorbendo così le violazioni meno gravi. Nello specifico, le suindicate violazioni - avendo ad oggetto anche l’esercizio dei diritti degli interessati (artt. 12 e 13 del Regolamento) - sono da ricondursi, ai sensi dell’art. 83, par. 3, dello stesso Regolamento, nell’alveo della violazione più grave, con conseguenziale applicazione della sanzione prevista all’art. 83, par. 5, del Regolamento.
Per la determinazione dell’ammontare della sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1), occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.
Quali circostanze da prendere in considerazione nel caso di specie devono essere considerati, sotto il profilo delle aggravanti:
1. l’elevato numero dei soggetti coinvolti nei trattamenti contestati (lett. a): 66.771 (gli utenti registrati al sito internet XX per i quali non è stato acquisito un consenso specifico alla comunicazione dei dati da XX a Edison); 50.050 (i clienti presenti nel CRM per i quali è stato acquisito un consenso unico per finalità di marketing e profilazione, pur non venendo quest’ultima concretamente svolta); 29.872 (le utenze dei soggetti prospect inserite nella “lista di non contattabilità” priva di elementi idonei a circostanziare la volontà degli interessati e, quindi, ad accertare la liceità dei contatti promozionali);
2. la gravità delle violazioni rilevate (lett. a) con particolare riferimento all’assenza di verifiche a campione delle numerazioni da contattare fornite dai partner, alla non adeguata gestione del diritto di opposizione degli interessati, nonché all’inidoneità delle informative rese sul sito internet e sull’App MyEdison;
3. il carattere negligente delle condotte (lett. b), posto che la presenza della Società nel mercato da molti anni avrebbe dovuto consentire alla medesima di acquisire un bagaglio sufficiente di esperienza e competenza per adottare scelte di fondo maggiormente aderenti al dettato normativo;
4. la difformità della condotta della Società rispetto alla consistente attività provvedimentale dell’Autorità in materia di marketing (lett. k), con particolare riferimento all’informativa e al consenso;
5. la complessiva valutazione sulla capacità economica della Società, tenendo in considerazione l’ultimo fatturato societario disponibile (euro 4.900.439.466, come risultante dalla dichiarazione IVA 2022 relativa al periodo d’imposta all’anno 2021) (lett. k).
Quali elementi attenuanti, si ritiene di dover tener conto:
1. dell’assenza di precedenti procedimenti avviati a carico della Società (lett. e);
2. del fatto che la Società si è prontamente attivata presso l’Autorità giudiziaria per contrastare il fenomeno del telemarketing abusivo da parte di terzi (lett. k);
3. della tempestiva adozione di misure correttive, alcune delle quali avviate subito dopo la conclusione degli accertamenti ispettivi (lett. f);
4. dell’adozione, ancora prima dell’accertamento ispettivo, di misure atte ad evitare contatti “fuori lista” con la centralizzazione dei contratti mediante il sistema “Watson” (lett. k);
5. dell’elevato grado di cooperazione nell’interazione con l’Autorità di controllo (lett. f), tale da rendere agevole, nonostante le dimensioni della Società e della complessità dei trattamenti, lo svolgimento delle attività di indagine in particolare nel delicato periodo di emergenza;
6. della grave crisi socio-economica e dei suoi riflessi sull’andamento dell’occupazione (lett. k).
In base al complesso degli elementi sopra indicati, in applicazione dei richiamati principi di effettività, proporzionalità e dissuasività di cui all’art. 83, par. 1, del Regolamento, tenuto conto, altresì, del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società, si ritiene debba applicarsi a Edison – anche tenendo in considerazione altri casi analoghi - la sanzione amministrativa del pagamento di una somma di euro 4.900.000,00 (quattro milioni novecento mila), pari allo 0,1% dell’ultimo fatturato disponibile.
Nel caso in argomento si ritiene che debba applicarsi, altresì, la sanzione accessoria della pubblicazione nel sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della materia oggetto di istruttoria, vale a dire il fenomeno del marketing indesiderato, rispetto al quale questa Autorità ha adottato numerosi provvedimenti sia a carattere generale sia diretti a determinati titolari del trattamento e su cui è elevata l’attenzione dell’utenza.
Si ricorda che ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto del trattamento è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e) del Regolamento.
Ricorrono, infine, i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.
TUTTO CIÒ PREMESSO, IL GARANTE
a) ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito, nei termini di cui in motivazione, il trattamento effettuato da parte di Edison Energia S.p.A., con sede legale in Via Foro Buonaparte 31, 2012 Milano, P.IVA. 08526440154;
b) ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, vieta ogni ulteriore trattamento per finalità promozionali effettuato mediante liste di anagrafiche di soggetti terzi che non abbiano acquisito dagli interessati un consenso libero, specifico ed informato alla comunicazione dei propri dati a Edison, ai sensi degli artt. 6 e 7 del Regolamento nonché 130 del Codice;
c) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiunge alla Società, qualora intenda in futuro indirizzare l’attività promozionale verso utenze telefoniche fornite da soggetti terzi, di adottare idonee procedure volte a verificare costantemente, anche mediante adeguati controlli a campione, che i dati personali siano trattati nel pieno rispetto delle disposizioni in materia (acquisizione preventiva di un consenso libero, specifico, inequivocabile, documentato, oltre che informato, degli interessati per l’invio di comunicazioni commerciali), ai sensi degli artt. 6, 7 e 13 del Regolamento nonché 130 del Codice;
d) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiunge a Edison di facilitare l’esercizio dei diritti previsti dalla normativa in materia di protezione dei dati personali e di soddisfare, senza ingiustificato ritardo, le relative istanze, compreso il diritto di opposizione che può essere avanzato “in qualsiasi momento” dall’interessato; di indicare chiaramente, già nello script di chiamata, il titolare a cui dovrà essere indirizzata la richiesta di cancellazione dei dati personali e che vi provvederà in via definitiva, ai sensi degli artt. 6, 7 e 13 del Regolamento nonché 130 del Codice;
e) ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, vieta il trattamento dei dati personali raccolti senza che sia stato acquisito il necessario preventivo consenso informato, libero e specifico degli interessati in relazione all’attività di marketing e profilazione, ex artt. 6, 7 e 12 del Regolamento nonché 130 del Codice;
f) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiunge di fornire agli interessati una idonea informativa nella quale siano indicati le operazioni di trattamento effettivamente svolte da Edison (artt. 12 e 13 del Regolamento);
g) ai sensi dell’art. 157 del Codice, ingiunge alla Società di comunicare all’Autorità, nel termine di 45 giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento.
ORDINA
ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, a Edison Energia S.p.A., in persona del suo legale rappresentante, di pagare la somma di euro 4.900.000,00 (quattro milioni novecento mila), a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;
INGIUNGE
alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 4.900.000,00 (quattromilioninovecentomila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;
DISPONE
quale sanzione accessoria, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16 del Regolamento del Garante n. 1/2019, la pubblicazione nel sito del Garante del presente provvedimento e, ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.
Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.
Roma, 15 dicembre 2022
IL PRESIDENTE
Stanzione
IL RELATORE
Stanzione
IL SEGRETARIO GENERALE
Mattei