Registro dei provvedimenti
n. 342 del 6 giugno 2024
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;
RELATORE il prof. Pasquale Stanzione;
1. L’ATTIVITÀ ISTRUTTORIA SVOLTA
1.1. Premessa
Con comunicazione del 28 dicembre 2023, n. 170450/23 (notificata in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente riprodotta, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Eni Plenitude S.p.A. Società Benefit (di seguito “Eni Plenitude” o la “Società”), in persona del legale rappresentante pro-tempore, con sede legale in San Donato Milanese (MI), Piazza Vanoni n. 1, P.IVA 12300020158.
Il procedimento trae origine da una istruttoria avviata dall’Autorità, a seguito della trasmissione di 108 segnalazioni e di 7 reclami nei confronti della Società, in ordine alla ricezione di chiamate promozionali indesiderate effettuate senza la previa acquisizione del consenso dell’interessato oppure utilizzando numerazioni iscritte al Registro Pubblico delle Opposizioni (di seguito, “RPO”).
Ai fini dell’adozione del presente provvedimento, l’Autorità ha debitamente tenuto in considerazione le apprezzabili misure di adeguamento alla normativa in materia di protezione dei dati personali implementate in ottemperanza alle misure correttive e sanzionatorie irrogate con i provvedimenti nn. 231 e 232 dell’11 dicembre 2019, adottati nei confronti della Società per avere effettuato trattamenti illeciti di dati personali nell’ambito di attività promozionali e attivazioni non richieste di forniture energetiche (entrambi disponibili per la consultazione sul sito www.gpdp.it, doc-web nn. 9244358 e 9244365).
1.2. Lo svolgimento dell’istruttoria e le richieste di informazioni formulate dall’Autorit
1.2.1. La richiesta di informazioni ex art. 157 del Codice
Con nota del 6 aprile 2023 l’Ufficio ha trasmesso a Eni Plenitude una richiesta di informazioni cumulativa formulata ai sensi dell’art. 157 del Codice (cfr. prot. n. 58836/23), utile alla valutazione di 108 segnalazioni e di 7 reclami pervenuti all’Autorità nel periodo compreso fra settembre 2021 e marzo 2023, inerenti, in massima parte, la materia del telemarketing. Con la medesima nota, è stato richiesto alla Società di «fornire un elenco delle proposte di acquisto provenienti dalla propria rete di vendita che hanno determinato l'attivazione di servizi energetici nel periodo dal 6 marzo 2023 al 13 marzo 2023 compresi, suddivise fra “residenziali” e “business”», nonché ogni evidenza emersa in relazione alla segnalazione n. 162187, con la quale la Società aveva portato all’attenzione dell’Autorità il fenomeno delle cd. “chiamate sospette”.
Con successiva nota del 11 maggio 2023 (cfr. Prot. n. 75644/23) la richiesta summenzionata è stata nuovamente trasmessa al titolare, giacché a seguito di verifiche interne e alla luce del riscontro fornito dalla DPO del Gruppo Eni, l’Ufficio ha potuto constatare che, a causa di un mero errore, la comunicazione non era stata inviata alla Società.
Con un primo riscontro del 26 maggio 2023 (cfr. Prot. n. 84539/23 del 29 maggio 2023) Eni Plenitude ha trasmesso l’elenco delle proposte di acquisto provenienti dalla propria rete di vendita e sollecitate da un contatto telefonico verso il cliente, raccolte mediante i seguenti canali:
• “Teleselling outbound”: i call center contattano clienti e potenziali clienti (cd. prospect) sulla base di liste di anagrafiche fornite o autorizzate da Eni Plenitude;
• “Comparatore”: partner che attraverso un proprio sito di comparazione e/o attività web strutturate, raccolgono l’interesse dei clienti prospect, nei confronti dei quali svolgono successivamente attività di ricontatto telefonico al fine di illustrare le offerte commerciali dei vari fornitori oggetto di comparazione;
• “Web assistito”: i call center ricontattano telefonicamente i clienti/prospect che hanno precedentemente espresso la volontà di ricevere l’illustrazione di una proposta commerciale da parte di Eni Plenitude compilando appositi form presenti sul sito della Società.
Con specifico riferimento alla richiesta di fornire l’indirizzo IP della postazione che ha effettuato il caricamento delle proposte contrattuali, la Società ha dichiarato che al momento della notifica della richiesta di informazioni ex art. 157 del Codice, tale tipologia di dato non veniva tracciata e che, a seguito dell’approvazione del Codice di condotta per le attività di telemarketing e teleselling, la Società «ha avviato un tavolo di lavoro volto a valutare le misure più efficaci per garantire il rispetto di quanto previsto dal Codice, tra le altre cose, con riferimento alla tracciabilità delle operazioni svolte sulla piattaforma per la registrazione delle proposte di contratto».
Con successiva nota depositata in data 9 giugno 2023 (cfr. prot. 91502/23 del 12 giugno 2023) la Società ha trasmesso le prime deduzioni relative alla maggior parte delle segnalazioni e dei reclami oggetto della presente istruttoria, classificando i riscontri in 5 macrocategorie:
• “Contatto legittimo” - il contatto telefonico è stato legittimamente realizzato dai partner della rete Plenitude. A tal fine è stata condotta dapprima una verifica del nominativo del segnalante sui sistemi CRM e campaign operation (CoEVO), quest’ultimo utilizzato per tracciare i contatti telefonici realizzati dai partner della rete Plenitude; successivamente sono stati esaminati i consensi privacy rilasciati dal segnalante e tracciati sul CRM per clienti ed ex clienti entro i 2 anni e su CoEVO per i prospect.
• “Chiamate sospette di terzi” - il numero chiamante non è presente nel Registro degli Operatori di Comunicazione (ROC), né è associato a partner della rete Plenitude sui sistemi interni della Società (cfr. CoEVO). La società verifica se il numero chiamante è presente nell’elenco interno predisposto dal team antifrode nell’ambito del monitoraggio del fenomeno delle chiamate sospette (cfr. Elenco Interno Chiamate Sospette) e se vi sono eventuali segnalazioni relative al numero chiamante sulle pagine web dedicate alla valutazione dei numeri utilizzati per attività di telemarketing e/o teleselling (cfr. “Segnalazioni Online”). Vengono classificati come sospetti i contatti telefonici non sollecitati dagli utenti, effettuati da alcuni soggetti con l’obiettivo di proporre ai consumatori di cambiare gestore, prospettando presupposti errati e/o addirittura ingannevoli.
• “Processo FUB in corso di attivazione” – rientrano in tale categoria i contatti effettuati verso liste prospect durante il periodo di adeguamento alla normativa sul RPO. La Società ha dichiarato che «il processo è stato progressivamente avviato per essere completamente attivato a partire dal 29 agosto 2022 per le liste prospect» (cfr. riscontro del 9 giugno 2023).
• “Mancanza di informazioni sufficienti per effettuare le verifiche” - la segnalazione non contiene informazioni sufficienti per consentire lo svolgimento delle verifiche circa la riconducibilità del contatto alla rete Eni Plenitude.
• “Analisi da completare”.
Nella medesima nota la Società ha evidenziato che rispetto alla gran parte dei fascicoli rientranti nella macro-categoria “chiamate sospette di terzi” i numeri chiamanti si ripetono in più segnalazioni/reclami e non risultano iscritti al ROC, né sono presenti sul sistema CoEVO. Inoltre, tali chiamate sono state spesso effettuate in concomitanza di campagne promozionali avviate dalla stessa Eni Plenitude, oppure nel periodo immediatamente successivo. Con riguardo a tali segnalazioni e reclami, il titolare ha rappresentato la volontà di inserire in blacklist tutte le numerazioni ivi indicate.
In ordine al fenomeno delle chiamate sospette, la Società ha altresì evidenziato che a partire dal mese di febbraio 2020 è stato avviato un tavolo di lavoro interno, presidiato dal Team Antifrode, che si prefigge di monitorare in maniera continuativa le segnalazioni concernenti casi di chiamate sospette e di comporre un elenco interno dei numeri chiamanti. Dall’analisi dei dati tratti da tale attività di monitoraggio, è emerso che dal 2021 al 2023 le casistiche rientranti nel fenomeno delle chiamate sospette si sono notevolmente ridotte. In aggiunta, a partire dal 2021 Eni Plenitude ha creato appositi canali per veicolare agevolmente le segnalazioni relative ai contatti in questione (cfr. numero verde 800.689.829; chat; form dedicati).
Nella medesima nota, la società ha fornito ulteriori aggiornamenti in merito alla segnalazione n. 162187, mediante la quale Eni Plenitude ha sottoposto all’attenzione del Garante il fenomeno delle chiamate sospette a seguito di indebiti contatti telefonici ricevuti da soggetti interni alla stessa e le iniziative giudiziarie intraprese.
Successivamente con nota Prot. 98297 del 23 giugno 2023 l’Ufficio ha nuovamente trasmesso alla società il fascicolo n. 186509. Tale trasmissione documentale è stata sollecitata più volte dalla società nei richiamati riscontri, nonostante i files fossero stati già trasmessi unitamente alla richiesta di informazioni ex art. 157 del Codice. Nella medesima nota l’Ufficio ha preso atto della volontà del titolare «di inviare due separati riscontri, di cui il secondo ben oltre il termine originariamente indicato», evidenziando che «eventuali proroghe sono consentite solo previa presentazione di apposita motivata richiesta da presentare all’Autorità, la quale poi ne valuta entità e motivazioni» ed invitando, per l’effetto, la società a trasmettere quanto richiesto senza ulteriore indugio.
Successivamente, con riscontro datato 29 giugno 2023 (cfr. Prot. 101486 del 30 giugno 2023) il titolare ha trasmesso gli esiti della complessiva disamina condotta sui casi oggetto di doglianza, classificando le segnalazioni e i reclami come di seguito riportato:
- 71% delle doglianze classificate come “chiamate sospette di terzi”;
- 13% delle doglianze classificate come “contatto legittimo”;
- 7% delle doglianze classificate come contatti avvenuti nelle more delle operazioni di adeguamento alla normativa sul RPO;
- 2% delle doglianze classificate come casi di mancanza di informazioni per fornire adeguato riscontro;
ed aggiungendo le seguenti ulteriori categorie:
- 3% delle doglianze classificate come “contatti non effettuati per conto di Eni Plenitude” (cfr. «il contatto telefonico lamentato dal/la segnalante è stato effettuato da numerazioni appartenenti ad un partner di Plenitude ma per conto di altri committenti o nell’ambito di attività di contatto svolte in autonomia dal partner stesso»);
- 3% delle doglianze classificate come contatti avvenuti mediante il ricorso alla tecnica del cd. spoofing (cfr. «nonostante il numero chiamante indicato nella segnalazione/nel reclamo risulti registrato al ROC e sia presente su CoEVO come numero associato ad un partner di Plenitude, il contatto telefonico indicato non è stato effettuato dal partner di Plenitude a cui tale numerazione si riferisce. È quindi ragionevole ipotizzare che si tratti di casi di c.d. spoofing e che il numero chiamante sia stato falsificato per renderlo corrispondente a numeri chiamanti regolarmente utilizzati dai partner di Plenitude»);
- 3% delle doglianze classificate come “contatti illegittimi” (cfr. «il contatto è stato realizzato da dipendenti di partner di Plenitude in violazione delle istruzioni ricevute dal partner e dalla Società stessa. In tutti questi casi, i responsabili sono stati allontanati dal partner non appena rilevate le condotte irregolari, ancor prima che Plenitude ricevesse la richiesta di informazioni dall’Autorità. In aggiunta, Plenitude ha attivato il processo per l’applicazione ai partner coinvolti di una penale, come previsto dal contratto di agenzia con questi ultimi, per la condotta posta in essere dai loro dipendenti in violazione delle istruzioni di Plenitude»);
- 1% delle doglianze come “riscontro già fornito all’interessato” (cfr. «Plenitude ha già fornito il proprio riscontro all’interessato, indirizzando la richiesta a XX per le ulteriori integrazioni (trattandosi di contatti effettuati nell’ambito di una campagna co-marketing XX/Plenitude rivolta alla customer base di XX»).
Nella medesima nota di riscontro, la Società ha illustrato la procedura implementata in ottemperanza alle misure correttive prescritte dall’Autorità mediante il Provv. n. 232/2019 in relazione all’acquisto delle liste di contattabilità di utenti prospect provenienti da list provider.
Eni Plenitude ha, dunque, dichiarato di avvalersi di due list provider, che agiscono in qualità di responsabili del trattamento ai sensi dell’art. 28 del Regolamento e che gestiscono l’acquisizione delle liste dagli editori. Tali fornitori si occupano, altresì, della successiva attività di “normalizzazione” dei dati al fine di verificarne la conformità con i requisiti di compliance privacy individuati da Eni Plenitude, prima che le liste vengano caricate sul sistema CoEVO della Società per essere lavorate. L’informativa privacy degli editori contiene l’espresso riferimento a Eni Plenitude e il consenso eventualmente conferito, «è ritenuto valido solo se raccolto sulla base di una informativa privacy che abbia tali caratteristiche».
Tutte le anagrafiche contengono il modulo di consenso utilizzato dall’editore, il codice della relativa informativa privacy, l’indirizzo IP dell’interessato che ha rilasciato il consenso, nonché la data in cui il consenso è stato rilasciato. Il sistema CoEVO verifica che tutte le anagrafiche siano complete e in caso di esito negativo, le stesse vengono bloccate e successivamente cancellate dal sistema.
Prima che le liste vengano acquisite e caricate su CoEVO, Eni Plenitude verifica la conformità delle informative privacy e dei moduli di consenso ad esse associati e, in caso di esito positivo, approva la lista.
La Società, con l’ausilio dell’applicativo CoEVO, effettua controlli a campione sulle anagrafiche (informativa privacy e consensi raccolti) contenute nelle liste di contattabilità degli editori. In caso di esito negativo, l’utilizzo delle relative anagrafiche viene inibito e viene avviato un apposito audit sull’editore.
Le liste di utenti prospect, inoltre, sono oggetto di verifica presso il RPO prima dell’avvio della campagna e ogni 14 giorni, per fare in modo che vengano contattati esclusivamente i soggetti interessati che non hanno chiesto l’iscrizione al Registro Pubblico delle Opposizioni.
1.2.2. La verifica presso il Registro Pubblico delle Opposizioni
Al fine di effettuare i necessari controlli in ordine alla correttezza delle suddette attività di telemarketing, in data 3 agosto 2023 (cfr. Prot. n. 117145/23) l’Ufficio ha inviato alla Fondazione Ugo Bordoni, che gestisce il Registro Pubblico delle Opposizioni, il citato elenco di numerazioni telefoniche contattate da Eni Plenitude nell’ambito delle attività di telemarketing svolte nel periodo febbraio-marzo 2023. In tale ottica, sono state richieste informazioni, ai sensi dell’art. 157 del Codice, per ciascuna numerazione, circa l’eventuale iscrizione al Registro Pubblico delle Opposizioni (RPO) non successiva alla data del 31 gennaio 2023.
Con nota Prot. n. 122099 del 29 agosto 2023 la citata Fondazione ha inviato il proprio riscontro, dall’analisi del quale sono risultate iscritte al Registro Pubblico delle Opposizioni, al tempo delle chiamate promozionali effettuate dalla Società, n. 746 utenze telefoniche, pari a poco più del 7 % del numero totale dei contatti telefonici che hanno determinato l’attivazione del servizio nel periodo di riferimento febbraio-marzo 2023 (n. 10625).
1.2.3. Supplemento dell’istruttoria
Nelle more dell’istruttoria, sono pervenute all’Ufficio ulteriori doglianze del medesimo tenore e contenuto (cfr. fascicoli nn. 286608 - 314553 – 322104 – 315372 - 328844).
Più in particolare, con reclamo n. 286608, l’istante ha lamentato la ricezione di circa 248 telefonate promozionali da gennaio 2023 su utenza iscritta al RPO, evidenziando che «la situazione è intollerabile, anche perché essendo una utenza di lavoro devo spesso interrompermi per rispondere, seppur abbia attivato filtri» e di avere presentato denuncia presso le sedi competenti. Nella fattispecie, l’istante afferma di subire da mesi attivazioni non richieste e che oltre ai propri dati personali e documenti di identità, sono stati trafugati o comunque ceduti da Eni Plenitude a call center anche i dati personali del proprio compagno.
Con la segnalazione n. 314553 l’interessato ha lamentato la ricezione di numerose chiamate effettuate per finalità promozionali, nonostante l’iscrizione al RPO.
Con riferimento al fascicolo n. 322104, il reclamante ha rappresentato di essere stato contattato dapprima da un’operatrice Eni Plenitude – già illegittimamente in possesso dei suoi dati personali – e di essere stato indotto ad accettare una proposta non vincolante relativa ad una fornitura energetica. Nei giorni immediatamente successivi, l’interessato è stato destinatario di ulteriori contatti telefonici per la commercializzazione di una polizza assicurativa da parte di operatori illegittimamente a conoscenza dei suoi dati e vicissitudini personali.
Con segnalazione n. 315372 il soggetto interessato ha lamentato la ricezione di numerose chiamate indesiderate effettuate per conto di Eni Plenitude. La Società ha riscontrato la doglianza rilevando che l’interessato aveva prestato il consenso alla ricezione di chiamate per finalità promozionali e per lo svolgimento di ricerche di mercato da parte di Eni Plenitude, inoltre il numero chiamante indicato apparteneva ad un partner incaricato di svolgere attività promozionali. Il titolare ha preso atto e registrato sui propri sistemi la revoca del consenso.
Infine, anche con la segnalazione n. 328844 l’interessato ha lamentato di essere stato contattato telefonicamente per conto della Società, nonostante il cambio gestore.
Considerato che le doglianze di cui ai citati fascicoli erano rivolte verso lo stesso titolare e vertono su questioni del medesimo tenore, al fine di promuoverne l’esame organico e attuare i principi di economicità e celerità di cui all’art. 9 del regolamento interno n. 1/2019 (disponibile per la consultazione sul sito www.gpdp.it ,doc-web n. 9107633), si è resa opportuna la trattazione di tali reclami e segnalazioni nell’ambito dell’istruttoria già in corso ai sensi e per gli effetti del successivo art. 10, comma 4, del medesimo regolamento (riunione dei procedimenti).
Nella fattispecie, inoltre, la trattazione congiunta è apparsa maggiormente idonea a garantire il diritto di difesa e l’esigenza di non aggravare il procedimento, ciò anche sotto il profilo del minore dispendio di tempo e risorse che la stessa oggettivamente comporta per il titolare del trattamento.
1.3. Contestazione delle violazioni
L’Ufficio, all’esito dell’istruttoria, ha adottato la richiamata comunicazione di avvio del procedimento ai sensi dell’art. 166, comma 5 del Codice (Prot. n. 170450/23 del 28 dicembre 2023), nella quale in primo luogo ha rilevato che l’aver contattato 746 numerazioni telefoniche nell’ambito delle attività di telemarketing svolte nel periodo febbraio-marzo 2023, pari a poco più che il 7% del numero totale dei contatti telefonici effettuati a fini promozionali, in costanza dell’iscrizione delle medesime utenze all’RPO, e quindi del meccanismo di opt-out determinato dalla vigente normativa, poteva comportare la violazione della normativa vigente in materia di protezione dei dati personali.
Tale dato peraltro, sembrava collimare con quello – altrettanto allarmante – ricavato dai riscontri forniti dalla Società alla richiesta di informazioni ex art. 157 del Codice. Dalle argomentazioni fornite da Eni Plenitude in relazione alle numerose doglianze pervenute all’Autorità, infatti, emergeva che soltanto il 13% dei contatti telefonici era stato effettuato in presenza di requisiti di legittimità e che di contro, il restante 87% dei casi era asseritamente imputabile a responsabilità di terzi.
In tale ultima percentuale, poi, la Società faceva confluire una serie di contatti effettuati nel corso dell’implementazione delle misure di adeguamento alla normativa sul RPO, sebbene all’epoca dei contatti il Registro fosse già pienamente operativo.
L’Autorità rilevava, inoltre, che dalla documentazione in atti e dai riscontri forniti dalla Società, emergeva la mancata predisposizione di misure e controlli idonei ad assicurare la tracciabilità delle operazioni effettuate sui sistemi aziendali ed a garantire la legittimità di tutta la filiera del trattamento che, a partire dal contatto telefonico, permette di giungere alla stipula del contratto. Né risultava essere stato implementato un meccanismo di vigilanza e blocco dei contratti originati da un contatto ab origine illecito.
Altrettante criticità emergevano in relazione all’adempimento dei doveri di monitoraggio e vigilanza sull’operato dei responsabili del trattamento e alle iniziative di remediation in caso di evidenti violazioni della normativa vigente in materia di protezione dei dati personali da parte di tali soggetti.
Con la medesima comunicazione l’Ufficio contestava, altresì, la violazione dei principi di cui all’art. 5 del Regolamento per evidenti ritardi nell’aggiornamento delle anagrafiche clienti.
Infine, veniva rilevata la contraddittorietà delle circostanze rilevate mediante i riscontri forniti, atteso che la Società aveva dichiarato di avvalersi soltanto di due list provider, ma poi nel corpo delle varie memorie trasmesse aveva fatto riferimento a molteplici subagenzie.
L’Ufficio, in sintesi, contestava a Eni Plenitude la possibile violazione degli artt. 5, par. 1, lett. a), d) e lett. f), 5, par. 2, 6, par. 1, lett. a), 24 par. 1, 25 e 28 del Regolamento, nonché dell’art. 130, commi 3 e 3-bis, del Codice, per aver effettuato trattamenti di dati personali di utenti e contraenti del settore energetico in contrasto con i principi di liceità e responsabilizzazione, in assenza di un’idonea base giuridica e mettendo in atto misure tecniche e organizzative non adeguate per garantire, fin dalla progettazione, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento.
2. LA DIFESA DEL TITOLARE
Con nota Prot. n. 569/24 del 03 gennaio 2024 la Società ha chiesto la proroga di 60 giorni del termine per la difesa di cui all’art. 166, comma 6, del Codice e di essere sentita dall’Autorità in data successiva rispetto alla scadenza di tale termine. Più in particolare, in tale sede Eni Plenitude ha rilevato che la concessione di un termine più esteso rispetto a quello pari a 15 gg. previsto dall’art. 13 del regolamento interno n. 1/2019 era giustificato dalla circostanza che l’Autorità aveva allegato alla comunicazione ex art. 166, comma 5 del Codice elementi nuovi (cfr. cinque reclami e gli esiti delle verifiche presso la FUB), nonché dalla complessità delle questioni oggetto del procedimento e dalle caratteristiche dimensionali della Società. Sul punto Eni Plenitude ha evidenziato, altresì, che l’art. 13, comma 3, del regolamento interno n. 1/2019 doveva «essere interpretata nel senso che la proroga può essere anche superiore a 15 gg in presenza di esigenze oggettive rappresentate dal destinatario del provvedimento, al fine di garantire l’effettività del diritto di difesa».
Con nota Prot. n. 3844 dell’11 gennaio 2024, l’Ufficio ha parzialmente accolto l’istanza, concedendo una proroga del termine di cui all’art. 166, comma 6, del Codice sino a 15 gg. e rappresentando che i fascicoli allegati alla richiamata comunicazione del 28 dicembre 2023 e sopravvenuti nelle more del procedimento, erano in numero oggettivamente esiguo, vertevano sulle medesime questioni rispetto a quelli allegati alla richiesta di informazioni ex art. 157 del Codice, e nella maggior parte dei casi il titolare ne era già a conoscenza, giacché in copia nelle segnalazioni oppure perché aveva già fornito riscontro all’interessato.
Con la medesima nota, l’Ufficio ha rappresentato, altresì, che l’art. 166, comma 6, del Codice e gli artt. 12 e 13 del regolamento n. 1/2019 dell’Ufficio del Garante (in www.gpdp.it, doc. web n. 9107633) prevedono a favore del titolare, quale ordinario termine per la presentazione di memorie difensive e richiesta dell’audizione, quello di 30 giorni decorrenti dalla ricezione della contestazione. L’eventuale “breve” proroga, di norma non superiore a 15 giorni può essere concessa «secondo criteri di proporzionalità anche in relazione alle caratteristiche operativo/dimensionali dei destinatari stessi e alla complessità della vicenda presa in esame». Una proroga di 60 giorni, con l’effetto di estendere complessivamente il termine per l’invio degli scritti difensivi a 90 giorni (3 mesi), a parere dell’Ufficio, appariva non rispondente a tali criteri di proporzionalità, sia per la tipologia di istruttoria (prettamente documentale) sia in considerazione delle caratteristiche operativo-dimensionali della società che rappresenta una delle principali realtà economico-aziendali del Paese, dotata di importanti risorse anche di carattere legale e organizzativo. Infine, l’Ufficio ha rappresentato che la concessione di una proroga sì ampia non appariva nemmeno compatibile con la prassi costantemente seguita nei confronti di altri titolari del trattamento, né con le esigenze di economicità e ragionevole durata del procedimento.
Con successiva istanza del 19 gennaio 2024 (cfr. Prot. n. 7707 del 22 gennaio 2024), Eni Plenitude ha chiesto l’accesso agli atti del procedimento, con particolare riferimento alla richiesta di informazioni ex art. 157 del Codice inviata alla FUB e alla documentazione relativa ai reclami nn. 286606 e 322104.
Così con nota Prot. n. 9274 del 24 gennaio 2024, l’Ufficio ha effettuato la notifica ad un controinteressato, concedendo un termine per la presentazione di eventuali osservazioni.
Infine, con successiva comunicazione Prot. n. 14721 del 6 febbraio 2024, l’Ufficio ha comunicato che «esaminate le motivazioni illustrate e considerata la mancata opposizione e/o trasmissione di osservazioni da parte del controinteressato, si accoglie l’istanza di accesso agli atti contenuti nel fascicolo n. 322104 (…). Con riferimento alla ulteriore documentazione richiesta (…) Tutta la documentazione relativa all’istruttoria è già nella piena disponibilità di codesta Società, in quanto trasmessa dall’Ufficio unitamente alla richiesta di informazioni ex art. 157 del Codice e alla successiva comunicazione di avvio del procedimento ex art. 166 del medesimo Codice. L’unico documento finora non trasmesso – che si provvede ad allegare alla presente, in accoglimento della suddetta istanza (all.2) – è la richiesta di informazioni ex art. 157 del Codice inviata dall’Autorità alla FUB in relazione all’elenco di numerazioni telefoniche oggetto del riscontro da parte della stessa Eni Plenitude (vd. contatti telefonici effettuati nella settimana “campione”) e di cui comunque sono state condivise le risultanze, sotto forma di allegato alla richiamata notifica di presunte violazioni. La documentazione relativa al fascicolo n. 286608 è già stata completamente inviata unitamente alla summenzionata comunicazione ex art. 166 del Codice. Si segnala, infatti che l’allegato n. 3 è riportato in calce al file recante la dicitura “denunce030723”. In ogni caso, si provvede nuovamente a trasmettere il file in questione».
2.1 Le eccezioni preliminari e di rito sollevate dal titolare del trattamento
Con memorie difensive depositate in data 12 febbraio 2024 (cfr. Prot. n. 17493 del 13 febbraio 2024), la Società ha preliminarmente evidenziato l’onerosità della richiesta di informazioni ex art. 157 del Codice in ragione dei «brevi termini assegnati per i riscontri», dell’estensione dell’arco temporale della richiesta e delle ulteriori e contemporanee richieste di informazioni pervenute alla Società da un altro dipartimento della medesima Autorità.
La Società ha poi rilevato che la correttezza della governance adottata per la gestione delle attività di contatto telefonico per finalità promozionali e di vendita era stata già affrontata con il provvedimento dell’Autorità n. 232/2019 e che ciononostante «la notte del 28 dicembre 2023, dopo sei mesi di silenzio, l’Autorità ha notificato a Plenitude la comunicazione di avvio del procedimento», contestando anche «elementi totalmente nuovi: (a) cinque nuovi reclami, sui quali la Società ha dovuto svolgere istruttorie interne, oltretutto senza avere avuto la possibilità di interloquire con il Garante nella fase istruttoria del procedimento a ciò deputata; e (b) un riscontro ricevuto dall’Autorità il 29 agosto 2023 dalla Fondazione Ugo Bordoni (…) a totale insaputa di Plenitude e non condivisa durante l’istruttoria preliminare, chiedendo di verificare per ciascuna delle numerazioni telefoniche fornite da Plenitude con il Primo Riscontro “l’eventuale iscrizione al Registro Pubblico delle Opposizioni».
Eni Plenitude ha poi evidenziato che l’Ufficio aveva concesso una proroga del termine di cui all’art. 166, comma 5, «di soli 15 giorni» e che il riscontro all’istanza di accesso presentata dalla Società era stato trasmesso soltanto il 6 febbraio 2024 «a pochi giorni dalla scadenza del termine per la presentazione delle deduzioni scritte».
Inoltre, la società ha eccepito la violazione del termine pari a 120 giorni per la notifica della comunicazione ex art. 166, comma 5 del Codice, previsto alla Tabella B del regolamento interno n. 2/2019 (disponibile per la consultazione sul sito www.gpdp.it, doc-web n. 9107640), individuando il dies a quo con la data «del 29 giugno 2023, quando Plenitude ha trasmesso l’ultimo riscontro alla richiesta di informazioni dell’11 maggio 2023» e rappresentando che il termine ultimo per la notifica della contestazione era il 27 novembre 2023.
Sul punto Eni Plenitude ha rilevato, altresì, che il richiamato termine non poteva decorrere dalla data del riscontro della FUB alla richiesta di informazioni, atteso che la richiesta ex art. 157 del Codice e il riscontro erano occorsi durante il periodo di sospensione dei termini (cfr. 1-31 agosto), che di tale richiesta la Società non era stata informata e dunque aveva fatto affidamento sul decorso dei termini, che l’Autorità alla data della richiesta alla FUB aveva già fruito di oltre 30 gg. per le proprie riflessioni e che pertanto non era ammissibile la pretesa di azzerare «il termine facendolo unilateralmente decorrere dalla richiesta alla FUB».
Eni Plenitude, poi, ha eccepito la violazione del principio del giusto processo e che le contestazioni mosse sono frutto di fraintendimenti dei fatti dovuti alla mancanza di un effettivo contraddittorio e di collaborazione, in quanto l’Autorità:
i. «ha tenuto in giacenza i reclami e le segnalazioni (…) per oltre un anno e mezzo»;
ii. «con la richiesta di informazioni dell’11 maggio 2023 ha avviato istruttorie autonome e in larga parte indipendenti l’una dall’altra (vale a dire, il riscontro relativo alla cd. settimana campione e il riscontro sulle singole doglianze insieme all’aggiornamento relativo alla segnalazione sul fenomeno delle chiamate sospette del marzo 2021)»;
iii. «ha formulato quesiti generici e asettici (…) sollevando contestazioni a sorpresa e meramente ipotetiche»;
iv. «mentre Plenitude era impegnata a rispondere nei brevissimi termini alla richiesta dell’11 maggio 2023, ha trasmesso parallelamente a Plenitude ulteriori richieste di informazioni relative a questioni completamente diverse e oggetto di ulteriori nuove istruttorie il 9 e il 14 giugno 2023»;
v. non ha comunicato l’invio della richiesta alla FUB e con la contestazione ha dedotto fatti e circostanze del tutto nuovi, senza concedere l’estensione del termine a difesa;
vi. ha concesso con ritardo l’accesso agli atti.
Eni Plenitude ha contestato, infine, la violazione del principio del ne bis in idem e del legittimo affidamento, rilevando che i fatti oggetto dell’istruttoria condotta nel 2023 erano già stati esaminati dal Garante nel corso dell’istruttoria del 2019, conclusa con l’adozione del provvedimento n. 232/19 e che le misure correttive implementate in ottemperanza a tale provvedimento erano state concordate con la stessa Autorità.
2.2 Le eccezioni di merito sollevate dal titolare del trattamento
Nel merito, la Società ha chiesto l’archiviazione del procedimento per l’assenza dell’elemento soggettivo della colpa, previsto dall’art. 3 della Legge n. 389/1981, quale requisito minimo ai fini dell’applicazione delle sanzioni amministrative, in quanto «Plenitude non solo si è adeguata alle misure prescritte dall’Autorità con il provvedimento n. 232/2019 ma ha avuto sino ad oggi anche la legittima aspettativa che le misure a suo tempo rappresentate nel corso dell’istruttoria fossero state ritenute adeguate».
Con specifico riferimento alle 747 numerazioni iscritte al RPO e correlate alle proposte di acquisto occorse nell’arco della cd. settimana campione, Eni Plenitude ha rappresentato che «tali numerazioni però non corrispondono necessariamente a quelle utilizzate per i contatti nell’ambito delle campagne promozionali, in quanto nel corso dei contatti telefonici vari clienti chiedono di inserire nelle proposte contrattuali numeri di telefono diversi da quelli sui quali sono stati contattati». Sul punto, la Società ha, altresì, rilevato che non tutte le numerazioni devono essere previamente verificate con il RPO, ma che tale necessità dipende dal target di riferimento (clienti, potenziali clienti, ex clienti) e dal canale di vendita utilizzato.
In caso di campagne promozionali rivolte ai clienti, la Società reputa non necessaria la verifica presso il RPO, dal momento che per il teleselling outbound le liste di contattabilità vengono create sulla base del consenso specifico per le attività di telemarketing rilasciato nell’ambito del rapporto contrattuale, in linea con quanto previsto dall’art. 1, comma 5, della Legge n. 5/2018. Per il canale web assistito, invece, è il cliente ad avere espresso, tramite l’apposito form di contatto, la volontà di essere chiamato a fini commerciali.
Diversamente in caso di campagne promozionali rivolte a potenziali clienti (cd. prospect) e svolte mediante il canale teleselling outbound, la Società ha spiegato che le liste di contattabilità vengono sempre verificate preventivamente presso il RPO, fatta eccezione per le campagne di co-marketing, che vengono effettuate nei confronti dei clienti dei partner commerciali di Eni Plenitude sulla base di uno specifico consenso fornito ai partner dai propri clienti. Nell’ambito dei canali comparatore e web assistito, invece, è il potenziale cliente a richiedere il contatto telefonico, che avviene nell’immediatezza della richiesta.
Nell’ambito delle campagne promozionali rivolte a ex clienti, effettuate mediante il canale teleselling outbound e rivolte ai clienti cessati da meno di 30 giorni, invece, il contatto viene effettuato sulla base del consenso rilasciato nell’ambito del rapporto contrattuale ai sensi dell’art. 1, comma 5 della Legge n. 5/2018. Diversamente le liste di clienti cessati da più di trenta giorni, vengono preventivamente verificate presso il RPO.
Ancora, con riferimento ai 747 contatti effettuati nell’arco della cd. settimana campione, Eni Plenitude ha rilevato che:
• 89 numerazioni non corrispondono a quelle utilizzate per i contatti telefonici;
• 381 numerazioni sono state contattate tramite il canale comparatori sulla base dei consensi espressi rilasciati sui portali;
• 179 numerazioni sono state contattate mediante il canale web assistito;
• 80 numerazioni sono state contattate nell’ambito di campagne rivolte alla clientela sulla base di consensi rilasciati nell’ambito dei rapporti contrattuali;
• 17 numerazioni sono state contattate nell’ambito di campagne di co-marketing;
• 1 numerazione ha contattato direttamente il numero del partner della Società.
In relazione alle doglianze pervenute all’Autorità, la Società ha richiamato la suddivisione in 5 macro-categorie effettuata in occasione dei riscontri alla richiesta di informazioni ex art. 157 del Codice e con specifico riferimento ai reclami allegati alla comunicazione ex art. 166, comma 5, del Codice ha eccepito che non sono stati oggetto di specifica istruttoria. Sul punto, la Società ha comunque rilevato che i fascicoli nn. 314553, 315372 e 322104 sono qualificabili alla stregua di contatti legittimi, il fascicolo n. 328844 è frutto di una cd. chiamata sospetta di terzi e il fascicolo n. 286608 non è riconducibile a nessuna macro-categoria e pertanto non può dirsi omogeneo rispetto agli altri reclami.
Per le medesime ragioni Eni Plenitude, poi, ha eccepito l’infondatezza della contestazione relativa all’assenza di adeguate misure di controllo e monitoraggio per la fase di caricamento delle proposte contrattuali, ribadendo altresì che il mancato tracciamento dell’indirizzo IP della postazione che ha effettuato il caricamento non è in grado di dimostrare la generale assenza di misure volte a scongiurare l’infiltrazione nei sistemi della Società di proposte generate da soggetti estranei alla rete di vendita, che nei sistemi aziendali non vi è prova della presenza di proposte illecite, che nessuna delle chiamate sospette di terzi si è tramutata in una proposta di acquisto.
La Società ha ribadito l’impegno profuso nella lotta al fenomeno delle chiamate sospette di terzi e che non ne trae alcun vantaggio economico, in quanto effettuate da competitor che spendono illecitamente il nome di Eni Plenitude nell’intento di proporre servizi energetici erogati da altri operatori.
Eni Plenitude ha contestato, infine, la valenza di best practies attribuita al Codice di Condotta per le attività di telemarketing e teleselling, rilevando che costituisce una «proposta di consolidamento e un tentativo di riordino in un unico documento degli orientamenti espressi dal Garante. Il Codice non rappresenta assolutamente lo stato dell’arte adottato da tutti gli operatori del mercato e comunque prevede certe misure, incluso il tracciamento dell’indirizzo IP, solo a titolo semplificativo».
A tale proposito la Società ha rilevato, inoltre, che in base alle specificità della propria filiera di vendita, ha valutato l’indirizzo IP «una misura inutilmente ed eccessivamente invasiva» rispetto al beneficio restituito dai diversi presidi adottati in termini di due diligence e monitoraggio nei confronti dei partner (cd. privacy induction).
In relazione alle contestazioni sollevate sulla filiera commerciale, Eni Plenitude ha evidenziato che negli ultimi anni il rapporto tra il numero di agenzie e il volume di affari è diventato inversamente proporzionale, che i partner coinvolti nei casi classificati come “contatti illegittimi” erano stati nominati responsabili del trattamento ai sensi dell’art. 28 del Regolamento e che pertanto hanno agito in violazione delle istruzioni impartite. Inol-tre, gli stessi partner si erano avveduti delle condotte illegittime poste in essere dai propri agenti e li avevano allontanati ancora prima dell’avvio dell’istruttoria preliminare da parte del Garante. In ogni caso, proprio grazie al tempestivo intervento, gli agenti in questione non avevano generato alcuna proposta contrattuale.
Eni Plenitude ha eccepito, poi, l’infondatezza della contestazione relativa alla mancanza di misure di separazione delle banche dati utilizzate dalle agenzie plurimandatarie, deducendo l’assenza di elementi probatori e attribuendo tali contatti telefonici a un errore umano.
Rispetto ai contatti effettuati nell’arco della cd. settimana campione e classificati come “FUB in corso di attivazione”, Eni Plenitude ha chiarito che si tratta di «contatti telefonici effettuati verso numerazioni iscritte al RPO nelle more del completamento del processo interno di Plenitude per l’adeguamento alle nuove regole sul RPO, che si è concluso con un ritardo di appena 30 giorni circa», dovuto al ritardo nella pubblicazione dei listini da parte della FUB e alle tempistiche necessarie per il completo aggiornamento dei processi interni.
Infine con riferimento alla violazione del principio di esattezza dei dati trattati (cfr. fascicolo 183604), Eni Plenitude ha contestato i rilievi sulle tempistiche di contatto e ha rappresentato che nella fattispecie si è trattato di «un caso eccezionale e del tutto isolato derivante dalla configurazione iniziale di CoEVO del 2019, consolidata oramai da anni, che non può quindi per sé costituire elemento da porre a fondamento della contestazione di sistema l’Autorità rivolge a Plenitude, posto che evidentemente dall’istruttoria preliminare non sono emersi ulteriori circostanze in grado di dimostrare la sussistenza di criticità a livello di processo».
2.3 L’audizione ai sensi dell’art. 166, comma 6 del Codice.
Nel corso dell’audizione tenuta in data 20 febbraio 2024 presso gli Uffici dell’Autorità, la Società ha fornito la mappatura completa e aggiornata della propria filiera commerciale, ivi comprese le nomine a Responsabile del trattamento ex art. 28 del Regolamento.
La Società ha poi chiarito che in caso di manifestazione di interesse da parte del cliente (via web o telefonica) che fornisce il proprio recapito, lo stesso viene ricontattato di regola nell’arco di un paio di giorni. Eventuali allungamenti di tale finestra temporale sono dovuti alla concomitanza di giorni festivi, del finesettimana, oppure nel caso in cui il cliente non risponda. La lead viene considerata “calda”, e cioè utilizzabile per eventuali ricontatti, per 15 gg. scaduti i quali non vengono effettuati ulteriori contatti.
Quanto alle attività di co-marketing, la Società ha spiegato che tali campagne vengono effettuate utilizzando la base clienti delle rispettive aziende, che hanno preventivamente acquisito il consenso del cliente. In via esemplificativa, nell’ambito delle campagne svolte in co-marketing con XX, la lista viene passata da XX al proprio partner-teleseller. L’utente viene contattato preliminarmente per conto di XX e, se manifesta il proprio interesse ad aderire all’offerta Eni Plenitude, il teleseller a quel punto agisce non più come responsabile esterno di XX, ma sotto le vesti di responsabile del trattamento per conto di Eni Plenitude e provvede a sottoporre la proposta contrattuale al cliente.
Infine, con riferimento alle attività di cd. win back, è emerso che la Società effettua tentativi di contatto nei confronti degli ex clienti per comprendere le ragioni del cambio fornitore e verificare l’interesse rispetto a una nuova offerta, previa verifica della sussistenza del consenso marketing. Tali attività vengono svolte nell’arco di 30 gg. dalla cessazione del contratto.
3. VALUTAZIONI DELL’AUTORITÀ
Dagli elementi emersi nel corso dell’istruttoria e dalla disamina della difesa dispiegata dalla Società, come si argomenterà più ampiamente e analiticamente infra, appaiono definitivamente accertate tutte le ipotesi di violazione formulate mediante la comunicazione di avvio del procedimento ai sensi dell’art. 166, comma 6, del Codice.
3.1 Questioni preliminari e di rito
Le eccezioni preliminari e di rito formulate dalla Società non possono trovare accoglimento in quanto pretestuose e palesemente destituite di fondamento.
Nella fattispecie, Eni Plenitude ha preliminarmente eccepito la violazione del principio del giusto processo e del ne bis in idem, per avere l’Autorità aperto una nuova istruttoria, nonostante l’adozione dei provv. nn. 231 e 232 dell’11 dicembre 2019, notificato contemporaneamente molteplici richieste di informazioni e rigettato la richiesta di proroga dei termini concessi ai fini del riscontro.
L’invocato divieto del ne bis in idem, di nota matrice penalistica, è desumibile dal disposto dell’art. 649 c.p.p., che sancisce il divieto di sottoporre ad un nuovo giudizio l’imputato assolto o condannato in via definitiva per lo stesso fatto, anche se considerato diversamente per titolo, grado o circostanze.
Tale principio rappresenta indubbiamente, oltreché un canone di civiltà, un diritto fondamentale della persona. Tanto è vero che anche a livello della normativa sovranazionale è possibile rinvenire statuizioni analoghe sia nella lettera dell’art. 50 della Carta dei Diritti Fondamentali dell’Unione Europea, il quale dispone che «Nessuno può essere perseguito o condannato per un reato per il quale è già stato assolto o condannato nell’Unione a seguito di una sentenza penale definitiva conformemente alla legge», che al Prot. n. 7, art. 4 della CEDU ove si legge «1. Nessuno può essere perseguito o condannato penalmente dalla giurisdizione dello stesso Stato per un reato per il quale è già stato assolto o condannato a seguito di una sentenza definitiva conformemente alla legge ed alla procedura penale di tale Stato. 2. Le disposizioni del paragrafo precedente non impediscono la riapertura del processo, conformemente alla legge ed alla procedura penale dello Stato interessato, se fatti sopravvenuti o nuove rivelazioni o un vizio fondamentale nella procedura antecedente sono in grado di inficiare la sentenza intervenuta. 3. Non è autorizzata alcuna deroga al presente articolo ai sensi dell’articolo 15 della Convenzione».
Per costante orientamento della giurisprudenza, l’identità del fatto sussiste quando vi sia corrispondenza storiconaturalistica nella configurazione del reato, considerato in tutti i suoi elementi costitutivi (condotta, evento, nesso causale) e con riguardo alle circostanze di tempo, di luogo e di persona.
Con riferimento ai procedimenti dinanzi alle Autorità Amministrative indipendenti, la questione dell’applicabilità del principio in commento, si è storicamente posta con particolare riferimento al cd. doppio binario sanzionatorio ed è stata risolta con il noto e consolidato orientamento giurisprudenziale che reputa il principio del ne bis in idem applicabile ai procedimenti instaurati dinanzi alle Autorità Amministrative indipendenti, allorquando le sanzioni in concreto irrogate presentino natura sostanzialmente penale (cfr. sentenza Corte Edu del 4 marzo 2014, Grande Stevens c/Italia).
In base alla giurisprudenza europea, dunque, a prescindere dal nomen iuris, presentano natura sostanzialmente penale quelle sanzioni che possono essere reputate tali alla luce cd. Engel criteria: qualificazione giuridica interna; natura dell’illecito e funzione del conseguente provvedimento previsto, che deve essere applicabile in modo generale e avere scopo preventivo e repressivo; gravità della sanzione.
Sul punto è opportuno, altresì, rammentare che i provvedimenti del Garante, ai sensi degli artt. 78 del Regolamento e 152 del Codice, possono essere impugnati dinanzi all’Autorità giudiziaria mediante un ricorso giurisdizionale effettivo.
Ne discende che scaduti i termini per l’impugnazione della decisione del Garante, oppure esperiti tutti i mezzi di impugnazione previsti dall’ordinamento, le statuizioni contenute nel provvedimento ovvero nella sentenza divengono definitive e inoppugnabili tanto per l’Autorità di controllo, quanto per il destinatario della stessa.
La descritta cadenza procedimentale costituisce l’applicazione normativa del principio di certezza del diritto, di cui il principio del ne bis in idem ne è un logico corollario.
Anche se l’Autorità nel 2019 ha adottato due distinti provvedimenti nei confronti di Eni Plenitude (allora Eni gas e Luce), concernenti fatti, doglianze e la governance privacy implementata al tempo dalla Società, l’eccepita violazione del principio del ne bis in idem, nella fattispecie non può trovare accoglimento stante l’evidente assenza del requisito dell’identità del fatto naturalistico alla base del procedimento.
L’odierna istruttoria, infatti, trae origine da numerose doglianze pervenute all’Autorità in epoca successiva rispetto alla deliberazione dei provvedimenti nn. 231 e 232 del 2019 e dalla verifica effettuata nell’ambito di una “settimana campione” (6-13 marzo 2023) sui contatti telefonici realizzati nell’arco del periodo di riferimento, che hanno condotto all’attivazione di una fornitura energetica.
L’identità del thema decidendum non può essere nemmeno artatamente invocata sulla base della circostanza che alcune delle disposizioni richiamate nell’odierna contestazione, lo fossero anche nel pregresso procedimento, atteso che ciò che vale a violare i principi della certezza del diritto e del divieto del ne bis in idem, non è tanto e soltanto la base normativa del rimprovero, ma – lo si ribadisce - l’identità del fatto naturalistico.
Anche perché se così non fosse, ipoteticamente, dopo essere stato destinatario di un primo provvedimento, il titolare del trattamento potrebbe violare nuovamente e ad libitum le medesime disposizioni, andando esente da qualsivoglia rimprovero e/o sanzione.
Per altro verso, il rilievo sulle misure di adeguamento ai pregressi provvedimenti “concordate” con l’Autorità, che la Società parrebbe invocare quale attestazione di conformità del proprio impianto privacy alla normativa vigente, non può trovare accoglimento in quanto gli orientamenti espressi dall’Ufficio esplicano efficacia limitata all’oggetto e al contesto storico in cui furono pronunciati, ciò anche in ragione del considerevole lasso di tempo trascorso e delle evoluzioni normative e socio-economiche medio tempore occorse.
Tanto è vero che il Regolamento, in più di una norma, impone al titolare del trattamento di provvedere all’aggiornamento periodico delle misure di sicurezza e della propria governance privacy, proprio al fine di adeguarla al cd. «stato dell’arte», «all’ambito di applicazione» e al «contesto».
Altrettanto pretestuosa appare l’eccezione sull’asserita onerosità delle richieste trasmesse dall’Autorità, dal momento che Eni Plenitude non vi ha mai fatto cenno in nessuna delle pregresse interlocuzioni con il Dipartimento, ma ha sollevato tale eccezione per la prima volta soltanto in sede di deposito delle memorie difensive ex art. 166, comma 6, del Codice, avvenuto in data 12 febbraio 2024 (cfr. Prot. n. 0017493 del 13 febbraio 2024) e facendo riferimento alle richieste di informazioni trasmesse a giugno 2023 (i.e. otto mesi prima).
A parere della Società, a violare i principi del giusto processo e a rendere onerosa l’istruttoria varrebbe anche la pratica seguita dall’Ufficio di istruire cumulativamente le doglianze pervenute anche in momenti diversi.
A tale proposito vale la pena rilevare come l’istruttoria congiunta non solo sia prevista dai regolamenti interni, giacché rispondente ai principi di economicità e non aggravamento del procedimento amministrativo, ma rappresenti anche un presidio per le prerogative del titolare del trattamento.
Con riferimento ai trattamenti di dati personali effettuati nell’ambito del telemarketing, infatti, l’Autorità riceve migliaia di segnalazioni. La trattazione singola di ogni doglianza, non solo sarebbe di fatto impossibile, ma avrebbe l’effetto di costringere il titolare del trattamento a investire imponenti risorse nella difesa delle proprie ragioni e di moltiplicare all’infinito i procedimenti e le conseguenti sanzioni, che peraltro finirebbero per costituire l’uno un precedente - e dunque un’aggravante – per l’altro.
Né l’eccepita onerosità del procedimento e l’asserita violazione delle norme procedurali può essere ricondotta alla circostanza che l’Ufficio ha contestato per la prima in volta in sede di comunicazione ex art. 166, comma 5, del Codice quanto emerso in relazione ai n. 5 reclami/segnalazioni, sopravvenuti nelle more dell’istruttoria nei confronti della medesima Società. Difatti, la previa interlocuzione con la parte, per es. attraverso la richiesta di informazioni ex art. 157 del Codice, costituisce soltanto una delle possibili ed eventuali metodologie di indagine previste dalla legge.
Ne consegue che, nel caso in cui non si renda necessario acquisire ulteriori elementi istruttori, l’Autorità può validamente e direttamente procedere alla contestazione della violazione sulla base delle circostanze acquisite mediante i reclami e le segnalazioni. In simili ipotesi, peraltro, il diritto di difesa e il diritto al contraddittorio risultano comunque garantiti dalla possibilità riconosciuta alla parte di presentare entro il termine di 30 gg. decorrenti dalla notifica della comunicazione, documenti e memorie, nonché la richiesta di essere sentita dall’Autorità.
Non appare condivisibile, infine, l’eccepita violazione del principio del giusto procedimento e dei regolamenti interni, in relazione alla mancata concessione della proroga del termine a difesa ex art. 166, comma 6, del Codice e del presunto ritardo nell’accoglimento dell’istanza di accesso, atteso che la Società era già in possesso di tutta la documentazione istruttoria, in quanto destinataria diretta delle doglianze o perché già trasmessagli dall’Autorità.
L’art. 13 del regolamento interno n. 1/2019 prevede che normalmente il termine previ-sto per l’esercizio del diritto di difesa sia pari a 30 gg., ma che previa motivata richiesta, tale termine possa essere prorogato di norma sino a 15 gg., secondo criteri di proporzionalità anche in relazione alle caratteristiche operativo/dimensionali dei destinatari stessi e alla complessità della vicenda presa in esame. Ne consegue che soltanto in casi eccezionali possa essere concesso un termine superiore.
Nella fattispecie, esaminate le motivazioni addotte dalla Società, considerata la natura prettamente documentale del procedimento e delle questioni sorte, le caratteristiche dimensionali dell’azienda e che Eni Plenitude era già a conoscenza della quasi totalità delle doglianze, è fuori di dubbio che non ricorressero circostanze tali da giustificare la concessione di un termine superiore ai predetti 15 giorni.
In aggiunta, è opportuno rilevare che in molteplici istruttorie del tutto analoghe (ivi compresa la precedente proprio nei confronti di Eni Gas e Luce – ora Eni Plenitude), da cui è derivata l’adozione del provvedimento n. 232 dell’11 dicembre 2019) l’Ufficio ha costantemente concesso una proroga pari a 15 gg. e al riguardo non sono mai state sollevate eccezioni.
Peraltro, l’istanza appariva ictu oculi pretestuosa e preordinata alla precostituzione di un eventuale motivo di doglianza, non solo in ragione dell’assenza di eccezionali ragioni e/o circostanze a suffragio, ma anche perché avrebbe avuto l’effetto di triplicare il termine ordinariamente concesso, in dispregio dei principi di parità di trattamento e ragionevole durata del procedimento.
Parimenti pretestuosa e preordinata alla precostituzione di motivi di doglianza, si rivela l’eccezione sull’asserito ritardo nell’accoglimento dell’istanza di accesso agli atti per come lamentato dalla Società.
A riprova di ciò, basterebbe già di per sé osservare le tempistiche dell’istanza inoltrata in data 19 gennaio 2024 e dunque una settimana prima della scadenza del termine ex art. 166, comma 6 del Codice.
In base alla prassi costantemente seguita dall’Ufficio, in allegato alla richiesta di informazioni ex art. 157 del Codice e alla comunicazione di avvio del procedimento ex art. 166, comma 5, del Codice, sono trasmessi tutti i documenti e gli elementi utili all’esercizio del diritto di difesa e all’esame organico delle questioni oggetto dell’istruttoria, fatta eccezio-ne per la documentazione eccedente, irrilevante o coperta da segreto.
Nella fattispecie, gli unici documenti che non erano stati allegati alle predette comunicazioni erano carteggi del tutto irrilevanti ai fini della difesa, considerato che:
- della verifica presso la FUB erano state già condivise tutte le risultanze (i.e. files excel con l’analitica indicazione delle numerazioni iscritte al RPO);
- la documentazione relativa al fascicolo n. 286608 era già stata debitamente inviata unitamente alla nota ex art. 166 del Codice;
- l’ulteriore documentazione richiesta relativamente al fascicolo n. 322104 era costituita da un contratto e una revoca di bonifico concernenti società diverse e che nulla hanno a che vedere con Eni Plenitude.
Peraltro, avendo la Società richiesto l’ostensione di documentazione contrattuale e bancaria, come rappresentato nella nota di riscontro all’istanza di accesso, si è resa necessaria la notifica al controinteressato che ha comportato un fisiologico prolungamento dei tempi di risposta, non imputabile certamente all’Ufficio.
Infine, non può trovare accoglimento nemmeno l’eccezione relativa alla presunta violazione del termine pari a 120 gg. previsto per la notificazione delle contestazioni ai sensi del regolamento interno n. 2/2019.
Nel caso in esame, la comunicazione ex art. 166, comma 5 del Codice è stata notificata in data 28 dicembre 2023 e dunque, tenendo in considerazione ai sensi di legge il periodo di sospensione feriale, entro il termine di 120 giorni decorrenti dall’accertamento della violazione.
Il momento dell’accertamento della violazione risale, quantomeno (e senza voler citare la costante giurisprudenza della Suprema Corte di Cassazione e del Consiglio di Stato che individua in una data successiva a quella della materiale acquisizione di informazioni e documenti, corrispondente a quella in cui il funzionario accertatore effettua la sintesi di tali elementi per determinare la sussistenza e la consistenza della violazione), alla data dell’avvenuto riscontro da parte della FUB alla richiesta di informazioni ex art. 157 del Codice (cfr. Prot. n. 122099 del 29 agosto 2023), allorquando l’Ufficio è venuto definitivamente in possesso di tutti gli elementi oggettivi e soggettivi utili all’inquadramento e alla qualificazione della fattispecie.
Sul punto la Società censura l’operato dell’Ufficio, sostenendo che il lasso di tempo intercorso tra l’ultimo riscontro dalla stessa fornito all’Autorità e la notifica della contestazione sarebbe stato tale da ingenerare un legittimo affidamento in relazione all’avvenuta archiviazione del procedimento. Tale tesi non può essere accolta, dal momento che avendo l’Autorità richiesto una serie di articolate informazioni sulla cd. settimana campione, era oltremodo ragionevole aspettarsi che l’Ufficio avrebbe compiuto una serie di verifiche e indagini anche su tali attività. In ogni caso, l’elemento psicologico legato all’acquisizione di un erroneo affidamento in ordine alle future determinazioni dell’Autorità, rientra esclusivamente nella sfera interna del contravventore che non può avere rilevanza per determinare l’illegittimità di un atto amministrativo, in assenza di specifiche violazioni delle norme procedimentali.
3.2 Questioni di merito
Anche nel merito le contestazioni sollevate nei confronti di Eni Plenitude appaiono pienamente suffragate dagli elementi acquisiti mediante le numerose doglianze pervenute all’Autorità, dagli esiti delle indagini condotte a campione e dalle circostanze emerse nel corso dell’istruttoria.
In primo luogo, infatti, appare oltremodo comprovata l’avvenuta violazione degli artt. 5 par. 1, lett. a), 5 par. 2 e 6 del Regolamento e dell’art. 130 del Codice per avere la Società effettuato attività di telemarketing in assenza di un’idonea base giuridica e per avere contattato molteplici soggetti interessati nelle more del processo di adeguamento, da parte della Società, alla normativa sul RPO.
Quanto al riscontrato ritardo nelle operazioni di adeguamento alla disciplina di cui all’art. 130 del Codice, è opportuno rilevare che l’avvenuta violazione non solo risulta comprovata dalle numerose doglianze pervenute al Garante e dalle verifiche svolte, ma anche dalle dichiarazioni rilasciate nel corso del procedimento dalla stessa Eni Plenitude.
La Società, infatti, con riferimento a n. 8 doglianze pervenute all’Autorità, ha ammesso di non essersi tempestivamente adeguata alla normativa in commento, a causa della mancata pubblicazione dei listini da parte della FUB. Sebbene la questione sia nota all’Ufficio, occorre rilevare che Eni Plenitude avrebbe potuto attendere la pubblicazione dei listini oppure diversificare le proprie attività pubblicitarie – come peraltro risulta abbiano fatto anche altri operatori – piuttosto che portare avanti le proprie campagne di marketing senza effettuare le opportune verifiche presso il RPO.
Parimenti anche il processo di gestione delle liste di contattabilità, per come rappresentato dalla Società, non appare del tutto conforme alla lettera e allo spirito delle norme richiamate.
Quanto alle campagne promozionali rivolte ai clienti tramite il canale teleselling out-bound, la Società ha dichiarato di non reputare necessaria la verifica presso il RPO e di effettuare tale trattamento sulla base del consenso specifico rilasciato nell’ambito del rapporto contrattuale ai sensi dell’art. 1, comma 5, della Legge n. 5/2018.
Ma dagli atti del procedimento non risulta che la Società abbia implementato le prescritte modalità semplificate per consentire l’agevole revoca di tali consensi (cfr. art. 1, comma 5, della Legge n. 5/2018 «(…) Sono fatti salvi i consensi prestati nell'ambito di specifici rapporti contrattuali in essere, ovvero cessati da non più di trenta giorni, aventi ad oggetto la fornitura di beni o servizi, per i quali è comunque assicurata, con procedure semplificate, la facoltà di revoca»), ne consegue che le liste di contattabilità non potevano essere utilizzate senza la previa verifica presso il RPO e che per l’effetto, tali contatti telefonici sono stati effettuati in violazione della normativa sulla protezione dei dati personali.
In relazione alle campagne di co-marketing, Eni Plenitude ha dichiarato che esse sono rivolte a clienti di società partner che hanno previamente prestato il consenso e che mostrano interesse alle offerte Eni Plenitude. In tali evenienze le liste non sono soggette alla verifica presso il RPO e il contatto telefonico è effettuato da un soggetto che agisce dapprima in qualità di responsabile del trattamento della società partner e poi, in caso di interesse all’offerta, in qualità di responsabile del trattamento per Eni Plenitude. La prassi appena descritta, che peraltro solleva perplessità pure in termini di trasparenza e correttezza del trattamento e della pratica commerciale - non appare legittima, né rispettosa del dettato normativo, giacché si risolve di fatto in un’espediente invocato per eludere le disposizioni dell’art. 130 del Codice e degli artt. 5 e 6 del Regolamento, nonché dell’obbligo di consultare il RPO prima di effettuare una campagna di marketing.
I trattamenti in commento, dunque, risultano essere stati effettuati in assenza di un’idonea base giuridica e di adeguate misure tecniche e organizzative, considerato che da un lato l’originario consenso non può valere a giustificare l’effettuazione di trattamenti per finalità diversificate e il trasferimento dei dati dall’uno all’altro titolare. Dall’altro lato, non risulta nemmeno che siano state implementate misure di sicurezza idonee ad assicurare la separazione delle anagrafiche della clientela appartenente esclusivamente Eni Ple-nitude, della clientela riconducibile sia ad Eni che alle società partner e della clientela appartenente esclusivamente ai partner.
Parimenti anche la gestione delle campagne di cd. win back presenta molteplici profili di criticità. Sul punto la Società ha dichiarato che ai sensi dell’art. 1, comma 5 della Legge n. 5/2018 i clienti cessati da meno di 30 gg. vengono contattati senza la previa verifica presso il RPO, mentre le campagne rivolte verso i clienti cessati da più di 30 gg. prevedono tale verifica.
Ma alla stregua di quanto già rilevato rispetto alle campagne marketing effettuate nei confronti dei clienti, la norma in commento non può trovare applicazione in mancanza dell’implementazione di modalità semplificate per l’esercizio del diritto di revoca. Ne consegue che anche tali trattamenti sono effettuati in assenza di un’idonea base giuridica e in violazione della normativa sulla protezione dei dati personali.
Peraltro, dai riscontri forniti con riguardo alle singole doglianze pervenute all’Autorità, emergono ulteriori criticità in relazione alle campagne di cd. win back anche sotto il profilo delle relative tempistiche e dei tentativi di ricontatto.
Se infatti è incontrovertibile che possa sussistere un fondamento di legittimità alla base delle campagne di contatto rivolte agli ex-clienti e un interesse reciproco di entrambe le parti, tali attività devono essere contenute entro ragionevoli limiti di tempo (corrispon-denti al termine di conservazione dei dati per i trattamenti aventi finalità promozionali) e di tentativi di ricontatto, potendosi altrimenti rivelare un’indebita intrusione nella sfera personale dell’interessato potenzialmente illimitata nel tempo.
In relazione al fascicolo n. 185620, per esempio, il contatto telefonico oggetto di segnalazione è avvenuto in data 25 agosto 2022, anche se per stessa ammissione di Eni Plenitude il cliente era cessato addirittura quattro anni prima (cfr. 2 gennaio 2018).
E ancora in relazione al fascicolo n. 185972 il contatto telefonico oggetto di segnalazione è avvenuto in data 30 agosto 2022, anche se il cliente era cessato due anni prima (cfr. 31 agosto 2020).
Stando alle dichiarazioni della Società, un’altra casistica di attività di marketing non soggette alla previa verifica presso il RPO è quella concernente i cd. lead caldi, intendendo per tali quei soggetti che manifestano telefonicamente o via web un interesse a ricevere un’offerta commerciale da parte di Eni Plenitude e che pertanto sono considerati contattabili per i 15 gg. successivi a tale manifestazione di interesse.
Anche tale durevole arco di contattabilità non appare del tutto conforme al dettato normativo e pare confondere l’interesse precontrattuale all’offerta con il conferimento di un vero e proprio consenso al trattamento per finalità di marketing.
Peraltro, se a contrariis si reputasse legittima tale prassi, l’interessato rimarrebbe privo di tutela perché non potrebbe revocare il consenso marketing - mai prestato – né con istanza presentata direttamente nei confronti del titolare, né mediante l’iscrizione al RPO. L’interessato potrebbe, semmai, soltanto opporsi al momento del contatto e dunque a chiamata indesiderata già ricevuta, con una conseguente ed inammissibile mancanza di tutela. Tale prospettazione appare tanto più paradossale se si considera che nessuna disposizione del Codice, del Regolamento o della Legge n. 5/2018 esenta il titolare del trattamento dal riscontrare al RPO i dati degli interessati destinati al contatto promozionale nei 15 giorni successivi alla raccolta dei dati medesimi, ma anzi, la citata normativa impone tale riscontro prima dell’effettuazione di qualsivoglia campagna promozionale.
Alla luce di tali rilievi, dunque, con riferimento ai 747 contatti effettuati nell’arco della cd. settimana campione, devono ritenersi effettuati illegittimamente almeno i seguenti 657:
• 381 numerazioni sono state contattate tramite il canale comparatori sulla base dei consensi espressi rilasciati sui portali;
• 179 numerazioni sono state contattate mediante il canale web assistito;
• 80 numerazioni sono state contattate nell’ambito di campagne rivolte alla clientela sulla base di consensi rilasciati nell’ambito dei rapporti contrattuali;
• 17 numerazioni sono state contattate nell’ambito di campagne di co-marketing.
Il dato è oltremodo allarmante se si considera che moltiplicando 657 contratti stipulati a valle di un contatto ab origine illecito avvenuto nell’arco della cd. settimana campione, per le settimane lavorative presenti in un anno, otterremmo che ipoteticamente la Società avrebbe introitato in un anno i proventi di circa 32.850 forniture che non avrebbero mai dovuto essere attivate.
Parimenti fondate si sono rivelate le censure relative alla mancata implementazione di misure di sicurezza e di un’efficace struttura di monitoraggio e controllo sull’intera filiera commerciale del trattamento che “dal contatto consente di giungere al contratto”, con conseguente violazione degli artt. 5, 24, 25 e 28 del Regolamento.
Sul punto, del tutto contraddittoria si è rivelata l’eccezione sollevata in relazione alla mancata implementazione di un sistema di tracciamento dei contratti inseriti nei sistemi aziendali, considerato che la Società ha dichiarato di avere istituito un team di lavoro per l’adeguamento al Codice di Condotta e poi ne ha contestato la valenza di best practies.
In ogni caso, con l’entrata in vigore del Regolamento e del principio di accountability, non è più la normativa a definire le misure minime e obbligatorie che il titolare del trattamento è tenuto ad adottare; è rimesso, infatti, al titolare del trattamento il compito di individuare le misure di sicurezza tecniche e organizzative più adeguate in relazione allo stato dell’arte, alle specificità della propria organizzazione e al contesto e di comprovarne il rispetto (art. 5, § 2, del Regolamento).
Ne consegue che le misure e gli accorgimenti previsti dal Codice di Condotta (approvato dal Garante con provvedimento n. 70 del 9 marzo 2023, in www.gpdp.it, doc. web n. 9868813), in particolare quelle stabilite dall’art. 5, comma 8, assumono, a prescindere dalla piena efficacia del medesimo e dall’adesione dei titolari, un corpus di best practies da personalizzare, integrare e opportunamente adattare alle specificità della singola organizzazione e ai rischi concreti per i diritti e le libertà degli interessati.
Pertanto, la mancata adozione di una delle misure ivi previste, non può costituire automaticamente una violazione della normativa in materia di protezione dei dati personali, ma sulla base di attente valutazioni da condurre caso per caso, può essere un indice sintomatico, soprattutto in ipotesi di omessa implementazione di accorgimenti idonei a mitigare la medesima tipologia di rischio cui la misura prevista dal Codice era preordinata.
Nella fattispecie, pertanto, la Società non solo ha omesso di adottare una serie di misure e accorgimenti che notoriamente assurgono a best practies, peraltro riversate in un Codice di settore ampiamente condiviso coi maggiori esponenti delle categorie coinvolte, ma non ha nemmeno dimostrato di avere adottato misure altrettanto idonee a scongiurare il rischio che nei sistemi aziendali possano far ingresso contratti stipulati sulla base di un contatto ab origine illecito.
Dagli elementi emersi mediante le doglianze trasmesse all’Autorità e dai controlli effettuati a campione è stata accertata, invece, una grave lacuna proprio in relazione alle attività di controllo e monitoraggio svolte sulle agenzie e sulle sub-agenzie.
L’effettuazione di controlli meramente formali, limitati al solo allontanamento del singolo agente che abbia violato le istruzioni impartite o alla effettuazione di audit soltanto in caso di anomalie, se non accompagnato dall’implementazione di misure volte a impedire l’ingresso nei sistemi aziendali di contratti stipulati sulla base di contatti telefonici che non avrebbero mai dovuto avvenire, non è da sola sufficiente a garantire la piena aderenza al dettato normativo.
Più di una doglianza è stata attribuita dalla Società all’operato di agenti poi allontanati, ma non ne è scaturita, ad esempio, alcuna ulteriore verifica sui contratti inseriti dal medesimo agente o dalla medesima agenzia, nemmeno in casi di violazioni ricorrenti.
Parimenti alcuna misura rimediale o condotta repressiva è stata adottata nei confronti di quegli agenti che per stessa ammissione della società hanno effettuato contatti telefonici “non per conto di Eni Plenitude”, dal momento che appare evidente essere avvenuta un’illegittima commistione di data base con conseguente illecito trattamento di dati personali.
Deve, infine, confermarsi anche l’avvenuta violazione dell’art. 5 del Regolamento in relazione alla segnalazione n. 183604, nella parte in cui prevede che i dati personali debbano essere esatti e, se necessario, aggiornati adottando all’uopo tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per i quali sono stati trattati, riconducibile a un ritardo nell’aggiornamento della relativa anagrafica sui sistemi aziendali, come peraltro ammesso dalla stessa Società nei propri scritti difensivi.
In relazione alle prospettate violazioni e contrariamente a quanto sostenuto dalla Società, deve ritenersi, altresì, sussistente il requisito soggettivo della violazione quantomeno sotto il profilo della colpa. Considerato che Eni Plenitude è stata destinataria diretta di più di una doglianza, ha implementato vari canali di segnalazione, era a conoscenza dell’avvenuto allontanamento di taluni agenti e comunque ha tratto un ingente vantaggio economico dalle condotte oggetto di censura, era quindi a conoscenza anche dei conseguenti accadimenti nei termini sopra descritti.
Deve quindi essere definitivamente confermarta la responsabilità di Eni Plenitude in ordine alle violazioni contestate mediante la comunicazione di avvio del procedimento ex art. 166, comma 5 del Codice.
4. CONCLUSIONI
Per quanto sopra esposto si ritiene accertata la responsabilità di Eni Plenitude in ordine alle seguenti violazioni:
a) artt. 5, par. 1, lett. a), d) ed f) e par. 2 del Regolamento per aver effettuato trattamenti di dati personali in violazione dei principi di liceità, correttezza, trasparenza, esattezza e sicurezza;
b) artt. 5 par. 1, lett. a), d), 5 par. 2, e 6 del Regolamento e art. 130 del Codice per aver effettuato attività di telemarketing in assenza di un’idonea base giuridica;
c) artt. 5 par. 1, lett. f), 5 par. 2, 24, 25 e 28 del Regolamento per l’omessa implementazione di idonee misure di sicurezza, nonché di monitoraggio e controllo sull’intera filiera commerciale che dal contatto, consente di addivenire al contratto.
Accertata, altresì, l’illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, si rende necessario:
- imporre a Eni Plenitude, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore trattamento dei dati dei reclamanti e dei segnalanti;
- ingiungere a Eni Plenitude, ai sensi dell’art. 58, par. 2, lett. d) ed e) del Regolamento, di comunicare ai 657 interessati, i cui dati anagrafici sono confluiti nei sistemi della Società a seguito di contatti illeciti, gli esiti dell’odierno procedimento in base ad un testo da concordare con l’Autorità in sede di applicazione del presente provvedimento;
- ingiungere a Eni Plenitude, ai sensi dell’art. 58, par. 2, lett. d) di predisporre adeguati controlli presso la propria rete di vendita e adeguate implementazioni dei sistemi, al fine di escludere che possano entrare nel patrimonio aziendale contratti generati da contatti illeciti;
- ingiungere a Eni Plenitude, ai sensi dell’art. 58, par. 2, lett. d) di predisporre misure adeguate ad assicurare che i trattamenti di dati personali vengano effettuati in ossequio ai principi sanciti all’art. 5 del Regolamento;
- adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Eni Plenitude della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento.
5. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA
Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Eni Plenitude della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento (pagamento di una somma fino a € 20.000.000,00 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore).
Per la determinazione del massimo edittale della sanzione pecuniaria, occorre fare riferimento al fatturato di Eni Plenitude, come ricavato dal bilancio ordinario d’esercizio per l’anno 2022, in accordo con i precedenti provvedimenti adottati dall’Autorità e con le indicazioni contenute nelle “Linee guida n. 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR”, e pertanto si determina tale massimo edittale, nel caso in argomento, in euro 320.981.542,00.
Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento;
Nel caso in esame, assumono rilevanza:
1) la gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento), tenuto conto dell’oggetto e delle finalità dei dati trattati, riconducibili al fenomeno complessivo del telemarketing, in ordine al quale l’Autorità ha adottato, in particolare negli ultimi tre anni, numerosi provvedimenti che hanno compiutamente preso in esame i molteplici elementi di criticità fornendo ai titolari numerose indicazioni per adeguare i trattamenti alla normativa vigente e per attenuare l’impatto delle chiamate di disturbo nei confronti degli interessati;
2) quale fattore attenuante, la circostanza che Eni Plenitude ha tempestivamente ottemperato alle prescrizioni imposte mediante l’approvazione dei precedenti provvedimenti (art. 83, par. 2, lett. i) del Regolamento);
3) la circostanza che, nei precedenti provvedimenti sanzionatori adottati dal Garante (n. 231 e 232 dell’11 dicembre 2019), Eni Plenitude ha definito la controversia con il pagamento in misura ridotta, il che determina, ai sensi dell’art. 8-bis, comma 5, della legge n. 681/1989, la non applicabilità dell’aggravante di cui all’art. 83, par. 2, lett. e).
In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, si ritiene debba applicarsi a Eni Plenitude la sanzione amministrativa del pagamento di una somma di euro 6.419.631,00 (seimilioniquattrocentodiciannovemilaseicentotrentuno/00), pari al 2 % della sanzione massima edittale.
Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della natura dei trattamenti e delle condotte della Società, nonché degli elementi di rischio per i diritti e le libertà degli interessati.
Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
TUTTO CIO’ PREMESSO IL GARANTE
a) impone a Eni Plenitude, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore trattamento dei dati dei segnalanti e dei reclamanti;
b) ingiunge a Eni Plenitude, ai sensi dell’art. 58, par. 2, lett. d) ed e) del Regolamento, di comunicare ai 657 interessati, i cui dati anagrafici sono confluiti nei sistemi della Società a seguito di contatti illeciti, gli esiti dell’odierno procedimento in base ad un testo da concordare con l’Autorità in sede di applicazione del presente provvedimento;
c) ingiunge a Eni Plenitude, ai sensi dell’art. 58, par. 2, lett. d) di predisporre adeguati controlli presso la propria rete di vendita e adeguate implementazioni dei sistemi, al fine di escludere che possano entrare nel patrimonio aziendale contratti generati da contatti illeciti;
d) ingiungere a Eni Plenitude, ai sensi dell’art. 58, par. 2, lett. d) di predisporre misure adeguate ad assicurare che i trattamenti di dati personali vengano effettuati in ossequio ai principi sanciti all’art. 5 del Regolamento;
e) ingiunge a Eni Plenitude, ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel termine di 30 giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;
ORDINA
a Eni Plenitude S.p.A. Società Benefit, con sede legale in San Donato Milanese (MI), Piazza Vanoni n. 1, P.IVA 12300020158, di pagare la somma di euro 6.419.631,00 (seimilioniquattrocentodiciannovemilaseicentotrentuno/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.
INGIUNGE
alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 6.419.631,00 (seimilioniquattrocentodiciannovemilaseicentotrentuno/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.
DISPONE
L’applicazione della sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dagli artt. 166, comma 7 del Codice e 16 del Regolamento del Garante n. 1/2019, e l’annotazione del medesimo nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso.
Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la sede il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.
Roma, 6 giugno 2024
IL PRESIDENTE
Stanzione
IL RELATORE
Stanzione
IL SEGRETARIO GENERALE
Mattei