Registro dei provvedimenti
n. 427 del 28 settembre 2023
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);
VISTO il d.lgs. del 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. del 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;
RELATORE l’avv. Guido Scorza;
PREMESSO
1. I reclami pervenuti.
Sono pervenuti a questa Autorità diversi reclami aventi ad oggetto il trattamento di dati personali inesatti e non aggiornati di clienti (anche potenziali), posto in essere da Axpo Italia S.p.A., nell’ambito della fornitura di energia elettrica e di gas, mediante la conclusione di contratti non richiesti nel mercato libero.
In particolare, i reclamanti hanno lamentato di aver appreso dell’instaurazione del rapporto di somministrazione, solo a seguito della ricezione di una lettera di chiusura pervenuta dal precedente fornitore, del recapito delle prime fatture da parte di Axpo Italia S.p.A. o del ricevimento di comunicazioni volte a sollecitare il pagamento di fatture insolute, asserendo di non aver mai avuto alcun contatto né personale né a distanza con la predetta Società.
In diversi casi, è stato espressamente segnalato che il contratto trasmesso da Axpo Italia S.p.A. recava dati personali inesatti o non aggiornati (in particolare, indirizzo e-mail, numero di telefono, indirizzo di fornitura) dei reclamanti.
Le istanze trasmesse all’Autorità hanno, inoltre, evidenziato le difficoltà e i disagi sopportati dai predetti clienti a causa delle attivazioni non richieste subite.
Primi tra tutti quelli inerenti alla necessità di individuare esattamente il fornitore di energia operante sul proprio POD/PDR (ad es. mediante specifica richiesta rivolta allo Sportello del Consumatore) e di avere accesso alla documentazione contrattuale (spesso sollecitata più volte ad Axpo Italia S.p.A.).
A questi si aggiungono il tempo perso e i costi affrontati (sia in relazione alle maggiori tariffe sopportate, sia in ordine alla necessità di incaricare un legale) per avviare le azioni amministrative e giudiziarie previste dalla legge a tutela del consumatore (quali, ad esempio, la presentazione di istanze di accesso alla documentazione contrattuale; l’inoltro di reclami al fornitore; la richiesta di rimborso delle fatture automaticamente pagate mediante addebito diretto sul conto corrente; l’avvio della procedura di ripristino presso l’Autorità di regolazione per energia, reti e ambiente; l’eventuale presentazione di una denuncia penale; ecc.).
2. L’attività istruttoria avviata dall’Autorità.
In virtù delle molteplici istanze pervenute, l’Autorità, ha ritenuto di procedere alla riunione dei singoli procedimenti, allo scopo di effettuare un esame organico delle questioni ad essi sottese.
Ha, pertanto, invitato Axpo Italia S.p.A., con nota del 4 ottobre 2021, a fornire osservazioni in ordine ai fatti oggetto di contestazione, a cui è stato reso riscontro con comunicazione del 3 novembre 2021.
Sono stati altresì effettuati alcuni accertamenti ispettivi presso la Società il 6 e il 7 luglio 2022 ed è stato acquisito il riscontro dell’11 gennaio 2023, a seguito di specifica richiesta del Garante trasmessa, il 14 dicembre 2022, ai sensi dell’art. 157 del Codice.
Nell’ambito dei riscontri sopra indicati e nel corso delle attività ispettive poste in essere dall’Autorità, il titolare ha dichiarato quanto riportato di seguito.
Axpo Italia S.p.A. è “una società soggetta a direzione e coordinamento di Axpo Solutions AG, del gruppo Axpo, che opera, nel territorio nazionale, nel settore (..) della vendita a clienti finali di energia elettrica e gas” (v. verbale del 6 luglio 2022, pag. 2).
Le attività di contrattualizzazione in modalità door to door, sono svolte, in virtù di specifico contratto, da agenzie selezionate a seguito di verifiche relative all’affidabilità delle stesse previste da una specifica regolamentazione interna denominata “Procedura di reclutamento agenzie” (v. nota di riscontro del 3 novembre 2021, pagg. 2-3 e all. 5).
La contrattualizzazione del cliente avviene mediante sottoscrizione, da parte di quest’ultimo, della “relativa documentazione (contratto, condizioni tecnico economiche e eventuali allegati relativi, ad esempio, al metodo di pagamento) in modalità cartacea (firma olografa) o tramite tablet”.
In quest’ultima ipotesi, “l’agente compila il contratto [e] lo carica sulla piattaforma Apparound. Il cliente riceve il plico contrattuale alla propria casella di posta, in cui è presente un link, e visualizza tutta la documentazione ricevuta. (..) Per firmare il contratto, il cliente riceve un sms sul numero di cellulare che ha fornito, contenente un codice OTP che deve inserire online per ultimare l’attivazione del contratto” (v. verbale del 6 luglio 2022, All. 12 – “Audit Report”, pag. 9).
I dati personali dei clienti e la documentazione contrattuale sono quindi caricati nel CRM aziendale al fine dello svolgimento, da parte di Axpo Italia S.p.A., delle “necessarie verifiche ex-post: in primis verifiche fiscali ovvero relative all’associazione fra POD e codice fiscale effettuate per il tramite del SII (c.d. pre-check). Se tali verifiche hanno esito positivo, sono svolte, [mediante] una società esterna, ulteriori controlli (c.d. validazione) sulla documentazione contrattuale, sulla coerenza delle firme e sulla rispondenza fra i dati caricati nel CRM e i dati riportati nel contratto. (..) Ove la validazione abbia avuto esito positivo, l’offerta contrattuale è ‘congelata’ fino al decorso di 14 giorni dall’inserimento della stessa nel CRM, ai fini dell'esercizio del diritto di ripensamento da parte del cliente. Trascorso tale termine, viene inviata una welcome letter all’indirizzo e-mail fornito in fase di sottoscrizione oppure, in caso di contratto cartaceo e in assenza di un recapito digitale, all’indirizzo postale indicato nel contratto stesso” (v. verbale del 6 luglio 2022, pag. 3; cfr. anche nota di riscontro del 3 novembre 2021, pag. 3).
La predetta comunicazione “informa il cliente: dell’attivazione del contratto, che gli aggiornamenti e le eventuali comunicazioni contrattuali avverranno tramite un determinato indirizzo e-mail, la data di inizio fornitura, il riepilogo dei dati correlati alla fornitura, maggiori informazioni” (v. nota di riscontro del 3 novembre 2021, pag. 3). “Successivamente all'invio della [welcome letter] è avviato il processo di attivazione della fornitura”; ciò sebbene la Società “non verific[hi] l’effettiva ricezione [della predetta comunicazione]” da parte del cliente (v. verbale del 6 luglio 2022, pag. 3).
A partire da febbraio 2022, è stato implementato “un sistema di check-call per tutti i canali di sottoscrizione dei contratti diversi dal cartaceo e dal c.d. full digital”.
Tale sistema consiste nell’effettuazione, da parte di Axpo, di “6 tentativi di chiamata sul numero di telefono indicato nel contratto. In caso di mancata risposta o in caso di rifiuto della registrazione del contratto da parte del cliente nel corso della check-call, lo stesso è annullato. Se invece il cliente conferma l’interesse al contratto, superati i tempi di ripensamento, il contratto viene attivato” (v. verbale del 6 luglio 2022, pagg. 3-4).
Con riferimento alle azioni usualmente avviate a seguito della ricezione di reclami da parte della clientela in merito all’attivazione non richiesta, “la società, dopo aver verificato l’adeguatezza del reclamo, ove possibile procede all’annullamento dello switching e, qualora lo switching non sia più revocabile, avvia, su richiesta del cliente, la procedura di ripristino oppure effettua lo switch-out e mette, in ogni caso, a perdita le fatture. Nei confronti dell’agenzia, la società mette in campo l’insieme delle azioni contrattualmente previste, fino alla rescissione del contratto” (v. verbale del 6 luglio 2022, pag. 5).
In merito alle specifiche istruzioni fornite agli agenti incaricati della fase di contrattualizzazione dei clienti, il Contratto di mandato prevede l’obbligo per le agenzie di verificare, a seguito della ricezione di un reclamo per attivazione non richiesta, la regolarità di “tutti i contratti procacciati dal proprio dipendente/subagenzia interessati dalla denuncia” al fine di individuare “eventuali ulteriori contratti che presentino anomalie” (v. nota del 3 novembre 2021, pag. 3).
L’effettivo espletamento di tale attività di controllo, però, non è stata oggetto di puntuale accertamento da parte di Axpo Italia S.p.A. che “non richiede specificatamente alle agenzie di confermare l’effettuazione della verifica circa l’operato dei subagenti coinvolti nelle casistiche segnalate [né di trasmetterne] il relativo esito” (v. verbale del 7 luglio 2022, pag. 5).
Parimenti non sono state svolte dalla Società verifiche ulteriori, a prescindere da quelle effettuate con riferimento ai contratti oggetto di reclamo, sugli altri contratti procacciati dalle medesime agenzie, al fine di valutare eventuali anomalie nella relativa contrattualizzazione; è però previsto “lo storno (progressivo) del ‘gettone’ di compenso dell’agenzia qualora il contratto venga cessato entro un determinato periodo di tempo dalla attivazione della fornitura” (v. verbale del 7 luglio 2022, pagg. 2, 3, 4 e 6 e Allegati nn. 14-15).
Per quanto concerne, invece, le attività preventive di controllo dell’operato delle agenzie incaricate della contrattualizzazione dei clienti, è stato rappresentato quanto segue.
Alcune verifiche di carattere generale sono effettuate dal Dipartimento Operations, il quale “invia periodicamente al dipartimento Sales un report contenente l’indicazione delle anomalie inerenti ad attivazioni non richieste oggetto di reclamo. Sulla base di tali informazioni, il dipartimento Sales contatta le relative agenzie per verificare la legittimità del loro operato. Le agenzie forniscono quindi un riscontro puntuale sulle attivazioni sospette, segnalate dalla società”.
Sul punto, è stato in particolare rappresentato che “la società non effettua controlli sistematici degli indirizzi e-mail indicati nei contratti (ad esempio per intercettare indirizzi ricorrenti) o dei numeri di cellulare forniti per l'invio dell'OTP” o utilizzati in fase di check-call (v. verbale del 6 luglio 2022, pag. 3).
Ad ogni modo, a seguito dei reclami presentati al Garante dai clienti interessati, la Società ha intrapreso una serie di azioni volte ad ulteriormente rafforzare le misure preventive di cui sopra; in particolare:
a luglio 2021 “ha svolto un’azione di sensibilizzazione e formazione in tema privacy rivolta a tutte le agenzie all’epoca contrattualizzate (circa 280), tramite l'invio di una check-list di autovalutazione” delle stesse (v. verbale del 7 luglio 2022, pag. 5);
nel mese di giugno 2022, “il DPO, su indicazione della società, ha avviato (..) un audit privacy nei confronti di 14 agenzie”, fra cui anche alcune di quelle responsabili dell’acquisizione dei contratti contestati dai reclamanti, “specificamente rivolto al controllo della legittimità del trattamento dei dati personali inerente al perfezionamento dei contratti di somministrazione energetica”; la selezione delle agenzie da sottoporre ad attività di audit “è stata effettuata tenendo conto [non solo] del segmento di clientela (clienti domestici) (..) [ ma anche] della presenza di criticità rilevanti nell’acquisizione dei contratti, indipendentemente dalla tipologia di canale di contatto” (v. verbale del 6 luglio 2022, pag. 5 e verbale del 7 luglio 2022, pag. 5; cfr. altresì All. 12 – “Audit Report”, allegato ai verbali sopra citati).
Più in generale, con riferimento al fenomeno dei contratti non richiesti, è stata inoltre avviata l’implementazione delle seguenti azioni:
“interruzione del canale telefonico per lo svolgimento dell’attività di telemarketing da parte delle agenzie” (v. nota dell'11 gennaio 2023, pag. 6);
implementazione “di un calendario per le periodiche sessioni di formazione degli agenti (…) per svolgere attività di procacciamento di contratti nel rispetto del Codice del consumo. (…) La partecipazione alle sessioni formative diventerà requisito obbligatorio per l’accesso (e la permanenza) nella rete di agenti Axpo” (v. nota dell'11 gennaio 2023, pag. 6);
previsione di un “inasprimento del sistema sanzionatorio, rispetto al sistema attuale per l'accertamento di comportamenti illeciti da parte degli agenti”. In particolare, Axpo Italia S.p.A. prevede di aumentare di circa il triplo la sanzione attualmente pattuita per le attivazioni non richieste relative a clienti domestici (v. nota dell'11 gennaio 2023, pag. 6).
Da ultimo, nel corso degli accertamenti ispettivi, ivi compreso l’accesso ai sistemi della Società, è emerso che tutti i contratti inerenti ai reclamanti sono stati cessati a seguito di reclamo per attivazione non richiesta (v. verbali del 6 luglio 2022, pagg. 4-5 e del 7 luglio 2022, pagg. 2-4; nota di riscontro dell'11 gennaio 2023, pagg. 1-6).
È stato infine altresì evidenziato che i dati personali dei clienti oggetto di attivazione non richiesta “rimangono all’interno del CRM, non segregati rispetto ai dati degli altri clienti” (v. verbale del 7 luglio 2022, pag. 6).
In ordine alla possibilità che, pertanto, tali dati siano stati oggetto di campagne di marketing o di attività di profilazione, la Società ha di contro rappresentato che le predette operazioni “non sono lanciate (…) con riferimento a clienti il cui contratto risulti cessato all’interno del CRM” (v. verbale del 7 luglio 2022, pag. 6).
3. La notifica delle violazioni e le memorie difensive.
Con comunicazione del 24 marzo 2023, l’Ufficio, sulla base della documentazione in atti e degli elementi acquisiti nel corso dell’istruttoria, ha provveduto a notificare ad Axpo Italia S.p.A. l’avvio del procedimento per l’adozione dei provvedimenti di cui agli artt. 58, par. 2, e 83, del Regolamento in relazione alla violazione dell’art. 5, par. 1, lettere a) e d) e par. 2 e dell’art. 24 del Regolamento; ciò in conformità a quanto previsto dall’art. 166, comma 5, del Codice.
Al riguardo, la Società, con nota del 21 aprile 2023, ha fatto pervenire i propri scritti difensivi, con i quali ha rappresentato quanto segue:
a) in ordine al principio di accountability, lo stesso deve essere interpretato quale “obbligazione di mezzi a discrezione del titolare” e non quale “obbligazione di risultato”. Non è pertanto possibile “ritenere inadempiente il titolare per il solo fatto che si siano verificati taluni […] trattamenti non autorizzati di dati personali”. Del resto l’art. 24 e l’art. 32 del Regolamento richiedono “al titolare, di tenere in considerazione nella determinazione delle misure adeguate (non “perfette”), [..] anche lo stato dell’arte e i costi di attuazione” che possono gravare sullo stesso. Le predette misure pertanto “vanno scelte, a totale discrezione del titolare, sulla base di elementi soggettivi e rischiosità del trattamento”. Ne consegue che, alla luce di tali considerazioni, la “pretesa di accountability” richiesta ad Axpo Italia S.p.A. debba essere proporzionata al numero di clienti effettivamente gestiti dalla stessa e ai profitti da questa conseguiti, non potendosi basare sulle prescrizioni fornite ad altre diverse (per dimensioni e fatturato) Società operanti nel medesimo settore (v. nota del 21 aprile 2023, pagg. 3-7);
b) per quanto concerne le misure tecniche o organizzative adottate ai sensi degli artt. 5, par. 2 e 24 del Regolamento, il titolare ha correttamente individuato “il rischio privacy” dei trattamenti connessi alle attività di contrattualizzazione dei clienti mediante canale porta a porta e l’ha adeguatamente gestito: Axpo Italia S.p.A. “già prima dell’ispezione, aveva valutato correttamente i rischi, compreso quello di ingaggiare terze parti (professionali) e ricevere dati inesatti, e ha predisposto misure tecniche e organizzative ‘accettabili’ e finalizzate sia alla prevenzione degli eventi contestati che alla verifica della qualità dei dati” (v. nota del 21 aprile 2023, pagg. 8-9);
c) con specifico riferimento alle vicende oggetto di contestazione, la responsabilità della condotta è “ascrivibile [esclusivamente] alle singole agenzie e ai rispettivi sub-agenti nella loro veste di autonomi titolari/contitolari o, in via subordinata, in qualità di responsabili del trattamento negligenti alle istruzioni fornite da Axpo” (v. nota del 21 aprile 2023, pagg. 21-23);
d) in ordine alle query utilizzate da Axpo per le proprie campagne di marketing (v. notifica di violazione del 24 marzo 2023, pag. 9), “i documenti inviati con le estrazioni riguardano solo clienti ‘active’ o, tutt’al più, ‘in attivazione’. Conseguentemente sono già esclusi da tale documentazione i clienti che hanno trasmesso reclami e i clienti il cui contratto è terminato”. Inoltre “l’estrazione dei clienti in ‘switch out’ è fatta proprio per escludere tali soggetti dall[e] campagn[e]” di marketing. Pertanto “erroneamente l’Autorità ha reputato che Axpo non abbia fatto delle verifiche sullo status di attivazione del contratto, reputando, quindi, che i soggetti ‘sbagliati’ potessero essere raggiunti da un’attività di marketing, mentre è esattamente il contrario” (v. nota del 21 aprile 2023, pagg. 23-24);
e) con riferimento ai “dati relativi all’allegato 11, (..) l’indirizzo email pippo@pluto.it è stato inserito dalla società, nel 2019, in occasione della migrazione al nuovo CRM per utilizzare una dicitura standard dei dati non conformi” (v. nota del 21 aprile 2023, pag. 25);
f) in relazione al numero di interessati rispetto ai quali non sono state previste misure di segregazione dei dati personali (v. notifica di violazione del 24 marzo 2023, pag. 8), il numero di 8888 ricavato dal Garante “è errato. Infatti, il numero degli interessati da cui Axpo ha ricevuto reclami per attivazione non richiesta è pari a 5.158”. Inoltre, “Axpo, per ragioni di opportunità e per evitare complesse procedure di recupero credito, accoglieva tali reclami, a prescindere dall’esistenza o meno di un’attivazione non richiesta e, quindi, molti di tali reclami potrebbero non risultare fondati (..). Pertanto non sarebbe assolutamente corretto addebitare ad Axpo 5158 reclami per attivazione non richiesta, perché tale numero non coinciderebbe con il numero reale di attivazioni non richieste, che, dunque, sono molte meno” (v. nota del 21 aprile 2023, pagg. 25-26);
g) relativamente alla durata della violazione, essa deve essere calcolata in relazione al periodo di riferimento in cui sono stati oggetto di contrattualizzazione i reclami ricevuti dal Garante individuabile nel “periodo (ottobre 2021 – giugno 2022), inferiore ad un anno” (v. nota del 21 aprile 2023, pag. 27).
La Società, nell’ambito delle predette memorie difensive, ha inoltre indicato tra gli elementi a proprio favore per l’eventuale determinazione della sanzione amministrativa, la circostanza che “i reclamanti, così come gli altri interessati oggetto di attivazioni non richieste, hanno di fatto beneficiato della violazione, ricevendo gratuitamente fornitura di elettricità e gas per un periodo variabile (..) senza dover alcunché ad Axpo, con un risparmio di una certa importanza tenendo conto che, nel periodo considerato, i prezzi di fornitura di gas ed energia elettrica sono vertiginosamente aumentati” (c.d. messa a perdita degli importi già fatturati e da fatturarsi ai sensi dell’art. 66 quinquies del Codice del Consumo) (v. nota del 21 aprile 2023, pagg. 26 e 28).
Ha altresì evidenziato di essersi prontamente attivata, a seguito degli accertamenti ispettivi del Garante e/o della contestazione della violazione trasmessa dallo stesso, mediante l’adozione delle seguenti misure (per tutto quanto indicato nel proseguo, cfr. nota del 21 aprile 2023, pagg. 16-17):
1) implementazione all’interno del CRM di “uno script automatico per modificare i consensi a no” dei clienti rispetto ai quali fosse stato accolto un reclamo per attivazione non richiesta (v. anche nota del 21 aprile 2023, pag. 25);
2) modifica “dei consensi marketing (da “si” a “no”) per le attivazioni non richieste accertate” e sostituzione “degli indirizzi e-mail forniti con indirizzi di fantasia” al fine di garantire la segregazione dei dati personali dei clienti rispetto ai quali sia stato accolto un reclamo per attivazione non richiesta (v. anche nota del 21 aprile 2023, pag. 26);
3) perfezionamento della check list per la selezione delle agenzie –c.d. KYA (Know Your Agent) – mediante inserimento di una “rilevante parte privacy che permette ad Axpo di eliminare, fin da subito, quelle agenzie che non risultino conformi al Regolamento” (v. anche nota del 21 aprile 2023, pag. 9);
4) avvio di azioni legali nei confronti delle agenzie per gli inadempimenti compiuti dai sub-agenti, nonché interruzione dei rapporti contrattuali con le stesse e con eventuali sub-agenti infedeli (v. anche nota del 21 aprile 2023, All. 2);
5) implementazione di un servizio che garantisce la ricezione della welcome letter avvalendosi di un fornitore che mette a disposizione, su apposito portale di Axpo Italia S.p.A., l’esito del recapito del documento da parte del gestore del servizio postale. Inoltre, “è in corso di valutazione la trasmissione della welcome letter all’indirizzo di fornitura, qualora quest’ultimo dato non coincida con l’indirizzo di residenza del soggetto interessato” (v. anche nota del 21 aprile 2023, pag. 17).
4.1 L’esito dell’istruttoria: la violazione dei principi di correttezza, di esattezza e di accountability.
In primis si rappresenta che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.
Tanto doverosamente premesso, all’esito dell’esame degli elementi acquisiti nel corso delle verifiche sopradescritte, nonché delle successive valutazioni svolte dall’Autorità, è stato accertato che il trattamento dei dati personali dei potenziali clienti oggetto della presente decisione è stato posto in essere da Axpo Italia S.P.A., in qualità di titolare, per il tramite di alcune agenzie, designate, ai sensi dell’art. 28 del Regolamento, responsabili delle medesime operazioni di trattamento, nel lasso di tempo in cui le stesse hanno agito al fine di procacciare potenziali clienti per conto della predetta Società.
Tali condotte, a causa delle misure organizzative e gestionali dei processi di acquisizione di nuovi clienti in essere presso Axpo Italia S.P.A., hanno determinato –come più dettagliatamente esplicitato nel proseguo– un’attività di trattamento dei dati personali dei reclamanti e di altri potenziali clienti non conforme al Regolamento in quanto contraria ai principi di correttezza ed esattezza dei dati (art. 5, par. 1, lettere a) e d) del Regolamento); ciò con particolare riferimento alle specifiche attività poste in essere da alcuni agenti e venditori all’atto della acquisizione di proposte contrattuali mediante il trattamento di dati inesatti e non aggiornati riferiti alla clientela.
L’attività istruttoria ha altresì evidenziato che, sebbene i trattamenti oggetto di reclamo siano stati posti in essere da responsabili del trattamento (agenti) che hanno operato in violazione delle istruzioni impartite dal titolare (v. verbali del 6 e 7 luglio 2022; cfr. altresì nota del 3 novembre 2021, pagg. 2 e 4), è parimenti emerso che le misure tecniche e organizzative adottate da Axpo Italia S.P.A., nell’ambito del sistema di contrattualizzazione per il tramite del canale agenzia door to door, non sono risultate adeguate alla natura, al contesto, alle finalità e ai rischi del suddetto trattamento, configurando altresì una violazione del principio di “responsabilizzazione” (art. 5, par. 2 e art. 24 del Regolamento).
Sul punto, diversamente da quanto sostenuto dalla Società (v. supra, par. 3, lettere a) e c) della presente decisione), è invero opportuno rilevare che, ai sensi del predetto principio di accountability, il titolare è il soggetto cui è attribuita la “responsabilità generale” del trattamento che egli abbia posto in essere direttamente o che altri abbia effettuato per suo conto, gravando, pertanto, sullo stesso l’onere di attuare un sistema organizzativo e gestionale contraddistinto da misure effettive ed efficaci di protezione dei dati, nonché comprovabili (v. considerando 74 e artt. 5, par. 2 e 24 del Regolamento).
Tutto ciò, non soltanto mediante la corretta e puntuale predisposizione degli adempimenti imposti dalla normativa di protezione dei dati (informativa, registro delle attività di trattamento, nomina del responsabile della protezione dei dati ove obbligatoria, valutazione di impatto ove necessaria, ecc.), ma soprattutto attraverso l’implementazione di procedure e prassi organizzative atte a conformare i relativi trattamenti al medesimo Regolamento (es. processi di mappatura dei trattamenti; regole per l’attribuzione di responsabilità; programmi di formazione del personale; procedure per la verifica dell’operato dei responsabili designati ai sensi dell’art. 28; previsione di audit interni ed esterni con cadenza periodica; ecc.; cfr. Gruppo art. 29, WP 173 del 13 luglio 2010- Opinion 3/2010 on the principle of accountability, pagg. 11-12).
Tale principio, dunque, impone al titolare di configurare ab origine il trattamento prevedendo tutte le garanzie necessarie (e non meramente “accettabili” come dichiarato dalla Società; cfr. supra, par. 3, lett. b) della presente decisione) “al fine di soddisfare i requisiti” del Regolamento e tutelare effettivamente i diritti degli interessati.
Il tutto tenendo conto dello specifico contesto nel quale il trattamento si colloca (ovvero “della natura, dell’ambito di applicazione e delle finalità” dello stesso; v. art. 24 del Regolamento), primi tra tutti i rischi effettivi per i diritti e le libertà degli interessati.
Nello specifico settore dell’energia e del gas, il Garante si è già espresso, fin dal dicembre 2019, indicando le modalità organizzative e gestionali che un titolare del trattamento, operante quale fornitore di energia nel mercato libero, è tenuto ad implementare, all’atto dell’acquisizione di nuovi clienti, per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento (v. provvedimento dell’11 dicembre 2019 –doc. web n. 9244358).
Tale decisione, per quanto rivolta a uno specifico operatore, contiene indicazioni di portata generale in relazione alle misure tecnico-organizzative necessarie a garantire l’esattezza dei dati personali dei potenziali clienti in tale peculiare settore, in particolare ove questi siano raccolti e trattati da responsabili nominati ai sensi dell’art. 28 del Regolamento.
Si tratta, infatti, di alcune prime prescrizioni, proporzionate all’elevata diffusione negli ultimi anni del fenomeno delle attivazioni non richieste nel mercato libero dell’energia, per lo più volte a rafforzare le attività di vigilanza delle Società fornitrici sull’operato delle agenzie esterne incaricate della contrattualizzazione dei clienti; ciò accrescendo al contempo le modalità di controllo, a carico del titolare, dell’esattezza dei dati personali da queste raccolti e trattati. Le predette misure, pertanto, contrariamente a quanto sostenuto dalla Società (cfr. supra, par. 3, lett. a) della presente decisione), proprio in quanto direttamente proporzionate ai rischi insiti nelle sopra menzionate attività di trattamento volte all’acquisizione di nuovi clienti, non possono essere “ridotte” in virtù della dimensione del titolare o della sua capacità economica.
In tale ottica, è, infatti, opportuno rammentare che, laddove il Regolamento fa espresso riferimento all’onere del titolare di tener conto anche dei “ costi di attuazione” delle misure da adottare -circostanza peraltro non richiamata in relazione al principio di accountability (art. 5, par. 2 e art. 24) ma esclusivamente con riferimento ai profili inerenti alla privacy by design e alle misure tecniche di sicurezza del trattamento (artt. 25 e 32)- tale indicazione non può essere disgiunta dall’adozione di “misure organizzative adeguate e [di] garanzie necessarie che mettano efficacemente in atto i principi al fine di tutelare i diritti degli interessati” (cfr. Comitato europeo per la protezione dei dati personali, Linee guida 4/2019, del 20 ottobre 2020, par. n. 21).
“Il fattore costo implica che il titolare non impieghi una quantità sproporzionata di risorse nel caso in cui esistano misure alternative, meno dispendiose, ma efficaci (..). Le misure individuate devono pertanto garantire che l’attività di trattamento prevista dal titolare non comporti trattamenti di dati personali in violazione dei principi, indipendentemente dal costo di tali misure” (v. in merito, Comitato europeo per la protezione dei dati personali, Linee guida 4/2019, cit., paragrafi nn. 24 e 25).
Dalle risultanze emerse nel corso degli accertamenti ispettivi in loco, sono state evidenziate, di contro (v. supra, par. 3, lett. b) della presente decisione), diverse carenze nelle privacy policy attuate da Axpo Italia S.P.A.; policy che sono apparse lacunose e poco efficaci, soprattutto in termini di garanzia dell’esattezza dei dati trattati, di sicurezza del trattamento nonché di controllo dell’operato delle persone all’uopo autorizzate.
L’inadeguatezza e la lacunosità di tali modalità procedurali hanno permesso ad alcuni soggetti (nella specie agenti e venditori) di operare in violazione delle istruzioni impartite dal titolare, con ripercussioni sulla liceità dei relativi trattamenti, in particolare in termini di correttezza degli stessi e di qualità dei dati personali trattati.
È quanto risulta con evidenza da alcune modalità di implementazione, poste in essere da Axpo Italia S.P.A., delle procedure di verifica dell’operato delle agenzie designate responsabili del trattamento, come dettagliatamente esplicitato nei termini che seguono.
4.2 L’inadeguatezza delle misure tecniche e organizzative adottate dalla Società nell’ambito delle attività di contrattualizzazione dei clienti.
In primis è emerso che il processo di contrattualizzazione dei clienti, da parte delle agenzie door to door, implementato da Axpo Italia S.P.A., prevede una fase di “verifica” della volontà contrattuale (e conseguentemente della qualità dei dati trattati ed inseriti dagli agenti nell’applicativo aziendale) basata sull’invio di una welcome letter all’indirizzo e-mail o fisico acquisito in fase di sottoscrizione del contratto, comunicazione mai pervenuta, nei casi oggetto di reclamo, all’indirizzo effettivo del cliente.
Il sistema così concepito, sconta il rilevante limite di essere basato unicamente su recapiti forniti dall’agente venditore e non fornisce sufficiente certezza della corrispondenza di questi ultimi con il reale utilizzatore dell’utenza, comportando il rischio per Axpo Italia S.p.A. -verificatosi nelle fattispecie in esame- di acquisire contratti non richiesti contenenti dati personali inesatti e non aggiornati.
Si rileva altresì, in merito, che la trasmissione della predetta welcome letter non è effettuata per il tramite di modalità che consentano al titolare di avere evidenza dell’effettiva ricezione di tale documentazione da parte del cliente (quali ad esempio l’utilizzo di messaggi di conferma di ricezione e di lettura del contenuto della comunicazione), con la possibilità che la stessa, ove trasmessa ad un indirizzo non effettivamente appartenente al potenziale cliente, non venga dallo stesso mai visionata –circostanza anch’essa evidenziata nei casi di specie (v. verbale del 6 luglio 2022, pagg. 3 e 5).
Al riguardo, si osserva da ultimo che le attivazioni di forniture non richieste avrebbero potuto essere prevenute molto più efficacemente laddove il titolare del trattamento avesse, ad esempio, previsto l’utilizzo, per l’invio della welcome letter, dell’indirizzo fisico corrispondente al POD/PDR del cliente -indirizzo peraltro conosciuto dalla Società-, piuttosto che a quello acquisito dall’agente all’atto della stipula del contratto; ciò utilizzando altresì un servizio di tracciamento dell’avvenuta consegna. Tale semplice accorgimento avrebbe consentito di avere maggiore certezza dell’effettivo recapito all’interessato della documentazione in oggetto, rendendo così possibile intercettare tempestivamente gli eventuali comportamenti anomali da parte delle agenzie, in una fase precedente all’attivazione dei relativi contratti.
Le misure adottate da Axpo Italia S.p.A. ai fini della verifica dell’esattezza dei dati trattati dall’agente, come sopra descritte, appaiono, pertanto, in considerazione dei rischi connessi al trattamento posto in essere nonché della natura e del contesto dello stesso, inadeguate a conformare il trattamento a quanto previsto dal Regolamento e dunque in violazione del principio di accountability.
Tutto ciò, considerato nondimeno che il fenomeno delle attivazioni non richieste, specialmente per il tramite delle modalità concretamente utilizzate nei casi in esame, era già pienamente conosciuto da anni nel settore di riferimento, come testimoniato non solo dal provvedimento del Garante dell’11 febbraio 2019 sopra citato, ma anche dai diversi e numerosi provvedimenti, adottati anche da altre Autorità nei rispettivi ambiti di competenza, in relazione a condotte illecite finalizzate alla conclusione di contratti all’insaputa dei potenziali clienti (cfr. tra i tanti, AGCM, provvedimenti del 21 dicembre 2016, rif. PS6259, PS10114 e PS10338; AGCM, provv. del 13 dicembre 2022, n. 30422).
Gli accertamenti ispettivi del 6 e 7 luglio 2022 hanno inoltre rivelato che Axpo Italia S.p.A. non si è dotata, ai fini della verifica dell’esattezza dei dati personali contenuti nei contratti procacciati dalle agenzie, di sistemi di alert idonei a rilevare le più vistose anomalie procedurali (quali ad esempio l’inserimento nel CRM di numerazioni e indirizzi e-mail ricorrenti; l’inesattezza o incompletezza dei dati contrattuali acquisiti; l’anomala numerosità dei contratti stipulati da ciascun agente/venditore; ecc.).
Sul punto, dagli accessi effettuati in sede di attività ispettiva, è difatti emerso, di contro, che diverse proposte contrattuali recavano, al loro interno, quale dato di contatto per la trasmissione del plico contrattuale o della welcome letter, il medesimo indirizzo di posta elettronica; indirizzo, risultato ex post, non appartenente agli effettivi clienti coinvolti (v. verbale del 6 luglio 2022, pag. 5).
Al riguardo, dall’analisi delle proposte contrattuali “caricate” nei sistemi della Società dagli agenti porta
a porta, come fornite dal titolare (v. All. 11 dei verbali ispettivi, cit.), è stata evidenziata la presenza di 2462 contratti in cui lo stesso indirizzo e-mail (del potenziale cliente) era ripetuto per più di 5 volte (tale dato numerico, diversamente da quanto sostenuto dalla Società -v. supra, par. 3, lett. e) della presente decisione- è stato ricavato al netto dei contratti contenenti “l’indirizzo di fantasia pippo@pluto.it”).
L’implementazione di semplici procedure in grado di rilevare la presenza delle predette anomalie in fase di contrattualizzazione (prima fra tutte quella consistente nell’inserimento di proposte contrattuali contenenti indirizzi e-mail ricorrenti) avrebbe potuto limitare le condotte oggetto di contestazione, consentendo ad Axpo Italia S.p.A. di intervenire tempestivamente nelle operazioni di trattamento dei dati dei clienti contenuti nella documentazione contrattuale caricata a sistema, in una fase precedente o immediatamente successiva all’attivazione della relativa fornitura.
L’assenza di tale misura, appare ingiustificabile alla luce della prevedibilità della condotta posta in essere dagli agenti, se si considera la elevata diffusione dei predetti fenomeni irregolari nel settore di riferimento e il grado di consapevolezza richiesto al predetto titolare, proprio in ragione del ruolo specifico da questi svolto nel contesto della vendita e fornitura di energia nel libero mercato; ciò in particolare, come già esplicitato supra, alla luce delle indicazioni già da tempo fornite dal Garante in materia, in casi analoghi a quello di specie, nel summenzionato provvedimento dell’11 dicembre 2019.
4.3 L’assenza di un’efficace attività di verifica dell’operato delle agenzie.
In ordine agli obblighi di vigilanza che competono al titolare ai sensi dell’art. 28 del Regolamento nei confronti dell’operato delle agenzie designate responsabili del trattamento, non sono state fornite dalla Società evidenze circa lo svolgimento di verifiche e/o approfondimenti (nemmeno a campione) sull’esattezza dei dati personali acquisiti; ciò con particolare riferimento agli altri contratti stipulati dagli agenti rispetto ai quali erano state evidenziate irregolarità, a prescindere dalla presentazione di un reclamo da parte degli interessati (ad esempio mediante un’attività di “customer caring” dei clienti contrattualizzati dai medesimi incaricati, volta ad accertare l’effettiva legittimità dei contratti ivi attivati e dei trattamenti effettuati).
L’introduzione di tale misura, di contro, avrebbe reso possibile intercettare preventivamente i trattamenti posti in essere per il tramite di dati personali inesatti, procedendo tempestivamente all’aggiornamento degli stessi.
Si rileva sul punto che lo stesso titolare del trattamento era pienamente consapevole dell’utilità di tali verifiche già all’atto della contrattualizzazione delle agenzie, tanto da aver inserito, nei predetti contratti di agenzia, proprio l’obbligo, a carico di queste ultime, di “verificare tutti i contratti procacciati dal proprio dipendente/subagenzia interessati dalla denuncia” al fine di individuare “eventuali ulteriori contratti che presentino anomalie” (cfr. nota di riscontro del 3 novembre 2021, pag. 3; v. anche All. 16 - “Contratti e scambi con reclamanti e agenzie” ai verbali ispettivi, cit.).
A fronte di tale espressa previsione, però, è emerso che il rispetto della stessa non è stato oggetto di specifico controllo da parte di Axpo Italia S.p.A. che di solito “non richiede specificatamente alle agenzie di confermare l’effettuazione della verifica circa l’operato dei subagenti coinvolti nelle casistiche segnalate [né di trasmettere] il relativo esito” (v. verbale del 7 luglio 2022, pag. 5), limitandosi a segnalare esclusivamente le posizioni contrattuali oggetto di reclamo da parte dei clienti (v. in merito le indicazioni fornite da Axpo Italia S.p.A. in ordine alle verifiche effettuate nei confronti di agenzie responsabili di attivazioni non richieste contenute negli allegati nn. 14, 15 e 18 ai verbali ispettivi, cit.).
Occorre del resto far presente al riguardo che l’inserimento di tale obbligo a livello contrattuale non appare sufficiente ad esentare il titolare dall’effettuazione di controlli autonomi e ulteriori circa l’operato dei propri responsabili del trattamento, specialmente in situazioni in cui, come nei casi di specie, le circostanze di contrattualizzazione riferite dagli interessati all’interno dei reclami (quali ad esempio l’assenza di recapiti corretti del cliente), assumano caratteristiche tali da far apparire altamente verosimile che non si sia trattato di errori incolpevoli e sporadici di caricamento dei dati contrattuali da parte dei singoli agenti, ma piuttosto di condotte sistematicamente volte ad acquisire contratti non richiesti nel mercato libero mediante il trattamento di dati inesatti e non aggiornati.
Al riguardo, si rammenta che il titolare del trattamento, ai sensi del principio di accountability, a fronte della previsione di specifici obblighi a carico del responsabile designato ai sensi dell’art. 28 del Regolamento (quale quello riferito supra presente nel contratto di agenzia), è comunque tenuto a prevedere strumenti di verifica e di controllo del rispetto degli stessi da parte di quest’ultimo, anche mediante comportamenti proattivi volti ad individuare tempestivamente eventuali situazioni patologiche del processo di contrattualizzazione (e dunque delle attività di trattamento che ne conseguono); ciò al fine di intervenire rapidamente sulle stesse preferibilmente in una fase antecedente alla proposizione di un reclamo da parte degli interessati (ad esempio per il tramite della sopra menzionata attività di caring dei clienti contrattualizzati dalle medesime agenzie oggetto di segnalazione).
4.4 L’assenza di misure volte a garantire la segregazione dei dati personali acquisiti per il tramite di attivazioni non richieste.
Da ultimo, si rileva che i dati personali dei clienti, il cui contratto è stato cessato a seguito di reclamo per attivazione non richiesta, sono risultati presenti nel CRM di Axpo Italia S.p.A., senza l’introduzione di alcuna misura volta a garantire la limitazione del relativo trattamento e finalizzata a tenere gli stessi distinti dalle informazioni oggetto di attività inerenti all’ordinaria gestione della clientela.
La Società, infatti, non ha fornito evidenze in ordine all’implementazione di un sistema idoneo a prevedere, a seguito di un reclamo per contratto non richiesto (e nelle more della definizione dello stesso), la tempestiva limitazione, in attesa di successivi controlli, di ogni ulteriore e diversa attività di trattamento dei dati dei clienti al fine di sospendere in via precauzionale eventuali trattamenti illeciti dei predetti dati (ad es. per le sopra citate campagne di marketing); misura quest’ultima peraltro già espressamente indicata dal Garante nel sopra citato provvedimento dell’11 dicembre 2019.
Dall’esame della documentazione acquisita nel corso degli accertamenti ispettivi, è emerso in merito che, dal 1° gennaio 2021 alla data dell’8 luglio 2022, il numero di soggetti interessati rispetto ai quali non sono state previste le predette misure di segregazione dei relativi dati personali è stato di circa 5100 (v. All. 19 ai verbali ispettivi, cit.; cfr. altresì in merito quanto sostenuto dalla Società nota del 21 aprile 2023, v. supra, par. 3, lett. f) del presente provvedimento).
Sul punto, è stato inoltre rilevato che, rispetto ai sopramenzionati 5100 clienti, nel medesimo arco temporale, sono stati annullati 8888 contratti, a seguito di accoglimento di reclami per attivazione non richiesta.
Tale dato rende evidente che, a danno dei predetti potenziali clienti, sono state effettuate plurime attivazioni non richieste aventi data identica o ravvicinata nel tempo, riferite a volte ai medesimi POD/PDR, con conseguenziale ulteriore aggravio per i malcapitati clienti costretti a sostenere ripetutamente gli oneri connessi all’avvio delle procedure amministrative e giudiziarie previste in tali casi a tutela del consumatore.
Merita segnalare al riguardo il caso limite, presente nella predetta documentazione, di un soggetto interessato (CF: XX) vittima di ben 23 attivazioni non richieste, su altrettanti POD/PDR, aventi medesima data di inizio e cessazione della relativa fornitura.
Sul punto, non appare verosimile quanto sostenuto dal titolare, per diminuire la quantificazione del numero di clienti coinvolti dalla violazione oggetto di contestazione (v. supra, par. 3, lett. f) del presente provvedimento), in ordine alla prassi della Società di accogliere indistintamente tutti i reclami dei clienti per attivazione non richiesta, a prescindere dalla verifica della loro fondatezza.
Tale osservazione, peraltro, non è stata in alcun modo dimostrata da alcuna allegazione documentale.
Di contro, è necessario altresì rilevare che il numero di clienti sopra indicato si riferisce esclusivamente a quelli che hanno presentato uno specifico reclamo alla Società e che, pertanto, lo stesso è solo indicativo della dimensione, verosimilmente ben maggiore, dell’incidenza del fenomeno delle attivazioni non richieste in seno ad Axpo Italia S.p.A.
Tanto chiarito, con riferimento, invece, alla durata della violazione, si rappresenta che la stessa non può essere limitata –come sostenuto dalla Società (v. supra, par. 3, lett. g) del presente provvedimento) – esclusivamente al periodo in cui sono stati acquisiti i contratti relativi ai clienti che hanno presentato specifico reclamo al Garante, ma deve calcolarsi tenendo conto dell’arco temporale delle attivazioni effettuate in relazione ai sopra menzionati 5100 clienti interessati.
Il predetto lasso temporale va quindi individuato dal 1° gennaio 2021 all’8 luglio 2022, periodo corrispondente alle estrazioni dei dati forniti dal titolare in sede di accertamenti ispettivi (v. All. 19 dei verbali ispettivi, cit.; cfr. v. nota del 21 aprile 2023, pagg. 23-24).
Sempre con riferimento ai dati personali dei clienti cessati a seguito di reclamo per attivazione non richiesta, all’esito degli accessi, effettuati in loco, ai dati inerenti ai reclamanti, è stato accertato altresì che, con riferimento agli stessi, il CRM indica, nella maggior parte dei casi, la presenza del consenso espresso per le finalità di marketing e/o di profilazione (v. verbali del 6 luglio 2022, pagg. 4-5 e del 7 luglio 2022, pagg. 2-4; nota di riscontro dell’11 gennaio 2023, pagg. 1-6); ciò sebbene, proprio in ragione della natura del reclamo presentato dai predetti interessati e dei motivi dell’accoglimento dello stesso, è evidente che, in tali ipotesi, i relativi consensi non siano stati validamente acquisiti.
Nonostante Axpo Italia S.p.A. abbia dichiarato che “ad oggi (..) non sono state lanciate campagne di marketing con riferimento a clienti il cui contratto risulta cessato all’interno del CRM” (v. verbale del 7 luglio pagg. 6-7), l’assenza di misure volte ad assicurare una limitazione del trattamento di tali dati determina che gli stessi possano ad ogni modo essere stati illecitamente utilizzati, o lo possano essere in futuro, per le predette finalità.
In merito, si fa in particolare rilevare che, dall’analisi delle query utilizzate da Axpo Italia S.p.A. nelle campagne di marketing svolte a partire da novembre 2021, è infatti emerso che alcune estrazioni hanno coinvolto anche i dati di clienti in corso di attivazione sulla base del consenso prestato in fase di contrattualizzazione (cfr., a titolo di esempio, le campagne denominate “DEM-Pulsee-EVwaySettembre2021”, “DEM-Pulsee-OneriSettembre2021”, “DEM-Pulsee-Regala L’energia di PulseeSettembre2021” e “DEM-Pulsee-Seconde Case Settembre2021” nelle quali sono inclusi i clienti “attivi” e “in attivazione”); ciò in quanto, tra i criteri di inclusione della ricerca, non sempre è stato inserita la verifica dello “status” uguale ad “active” (v. all. 4 dei verbali ispettivi, cit.).
Da tali elementi non è quindi possibile escludere che le predette campagne abbiano interessato anche clienti rispetto ai quali era in corso di definizione un reclamo per attivazione non richiesta.
Al riguardo non può infatti essere accolto quanto rilevato dalla Società (cfr. in merito, supra, par. 3, lett. d) del presente provvedimento) in ordine alla circostanza che nella definizione di clienti “in attivazione” rientrino “quelli per cui sono ‘validati’ tutti i controlli preliminari (credit check, pre-check, etc), in maniera tale da escludere quelli per i quali l’attivazione potrebbe essersi bloccata per i più vari motivi (incluse le attivazioni non richieste)”.
È stato infatti ampiamente appurato (v. supra, par. 4.1. e 4.2 del presente provvedimento) come l’inadeguatezza dei controlli preventivi posti in essere da Axpo Italia S.p.A. nella fase di contrattualizzazione abbia comportato che diverse proposte contrattuali, nonostante il superamento degli asseriti processi di validazione implementati dalla Società, contenessero di fatto dati inesatti e non aggiornati dei relativi sottoscrittori.
Da ultimo, con specifico riferimento alle modalità adottate dalla Società, nel corso del procedimento, per implementare la sopra menzionata misura della segregazione dei dati dei clienti (v. supra, par. 3, nn. 1-2 della presente decisione), si osserva che la citata sostituzione dell’indirizzo e-mail presente a sistema con uno di fantasia unitamente all’implementazione di uno script automatico per modificare i consensi per tale tipologia di interessati a “no”, non appaiono, da sole, misure idonee a conformare le attività di trattamento in questione al Regolamento.
Più nello specifico, la prima -che peraltro determinerebbe di per sé un trattamento di dati inesatti (l’indirizzo e-mail di fantasia) degli interessati- non è sufficiente ad assicurare una effettiva segregazione delle medesime informazioni; le stesse, infatti, pur essendo riferite ad interessati che non rivestono la condizione di “clienti” (in quanto acquisiti mediante un’attività illecita), continuerebbero ad essere accessibili a personale (dipendente o autorizzato da Axpo Italia S.p.A.) incaricato allo svolgimento di mansioni inerenti al trattamento dei dati di clienti.
D’altro canto, la misura inerente alla modifica di default del consenso presente a sistema appare adeguata esclusivamente a condizione che sia accompagnata da un’effettiva segregazione del dato, individuando un ristretto numero di operatori abilitati ad accedervi, conservando il dato stesso (protetto da opportune misure tecniche quali, ad esempio, la cifratura) in una specifica partizione del CRM ad accesso riservato e limitato.
5. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.
Alla luce di quanto complessivamente rilevato, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria, non consentano di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultino pertanto inidonee a disporre l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Il trattamento dei dati personali effettuato dalla Società risulta infatti illecito, nei termini su esposti, con riferimento alla violazione dei principi di correttezza ed esattezza dei dati, nonché di responsabilizzazione (art. 5, par. 1, lettere a) e d) e par. 2, e art. 24 del Regolamento).
La violazione delle disposizioni sopra richiamate comporta l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. a) del Regolamento.
Da ultimo, per quanto concerne l’esercizio dei poteri correttivi di cui all’art. 58, par. 2, del Regolamento, si prende atto della circostanza che Axpo Italia S.p.A., nel corso del procedimento, ha provveduto ad adottare alcune prime misure volte ad allineare, in conformità al quadro normativo sopra descritto, il trattamento dei dati dei clienti al Regolamento come dettagliatamente riportate nella presente decisione (v. supra, par. 2 e par. 3, punti da 3 a 5 della presente decisione).
Tenuto pertanto conto di quanto sopra indicato e ferme restando le summenzionate azioni già avviate dalla Società, si ritiene ad ogni modo necessario, alla luce delle ulteriori criticità rilevate a carico del titolare del trattamento, ingiungere allo stesso, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, le seguenti misure correttive:
a) adozione di un sistema di chiamata di verifica (check-call) bloccante a tutte le modalità di acquisizione dei contratti da parte del canale agenzia door to door, ivi compresa quella cartacea. Sul punto, preso atto che il sistema di contrattualizzazione dei clienti c.d. “full digital” non è stato oggetto di approfondimento nel corso del presente procedimento, ma potrebbe presentare le medesime criticità del canale porta a porta, si invita la Società a valutare l’eventuale opportunità di estendere tale previsione anche al suddetto sistema;
b) definizione di meccanismi di alert idonei a rilevare varie anomalie procedurali quali l’inserimento nel CRM di numerazioni telefoniche e indirizzi e-mail ricorrenti (ad esempio superiori a 5); la difformità fra l’indirizzo di fornitura e quello di contatto del cliente; l’inesattezza o incompletezza dei dati contrattuali acquisiti; il caricamento a sistema di proposte di contratto multiple (ad esempio superiori a 4) a nome di un medesimo soggetto; l’eccessiva e inconsueta numerosità di contratti stipulati da ciascun agente/venditore; ecc., nonché di eventuali ulteriori indici di anomalia che la Società, sulla base dell’esperienza acquisita, reputi parimenti impattanti sulla corretta acquisizione dei dati personali dei potenziali clienti. Con riferimento a tale misura, non appare necessario che la stessa generi di default un’anomalia bloccante rispetto all’attivazione della relativa fornitura (cfr. nota del 21 aprile 2022, pag. 20), essendo sufficiente che tali eventi diano luogo, a prescindere dalla effettiva prosecuzione dell’attivazione della fornitura, a una segnalazione (alert) che indichi al titolare una possibile irregolarità da esaminare mediante azioni di verifica specifiche e puntuali;; ciò al fine di disporre di un sistema di controllo preventivo volto ad intercettare tempestivamente eventuali comportamenti scorretti e/o fraudolenti dei propri agenti e venditori, già in una fase antecedente alla proposizione del reclamo da parte del cliente;
c) implementazione, nell’ambito della fase di sottoscrizione del contratto tramite OTP, di sistemi di controllo dell’esattezza delle informazioni personali del cliente (indirizzo e-mail e numero di telefono) acquisite dall’agente; ciò mediante verifica dei domini delle predette e-mail al fine di evidenziare indirizzi di posta elettronica temporanei, ripetuti o simili provenienti dallo stesso provider, nonché dei numeri mobili ripetuti o provenienti dallo stesso operatore. Tali controlli, dovrebbero essere effettuati a cadenza settimanale e riepilogativa alla fine di ogni mese. Appare inoltre opportuno prescrivere lo svolgimento di verifiche relative agli orari di firma delle proposte contrattuali (con controlli a cadenza giornaliera);
d) introduzione di meccanismi di accertamento della effettiva ricezione delle comunicazioni trasmesse al cliente in fase di contrattualizzazione (ad es. messaggi di conferma di ricezione e di lettura delle e-mail inviate al cliente). In tale contesto, si richiede, nello specifico, la trasmissione della welcome letter anche all’indirizzo fisico di fornitura dell’utenza, unitamente all’utilizzo di un sistema di verifica dell’effettiva ricezione della stessa. Al riguardo, si osserva più in generale che, con riferimento a tali prescrizioni, non appare indispensabile che l’eventuale mancata conferma di recapito delle predette comunicazioni abbia un effetto “bloccante” per la prosecuzione della procedura di contrattualizzazione (cfr. nota del 21 aprile 2022, pag. 20). È però necessario, come già evidenziato supra (punto b) del presente paragrafo), che la stessa generi un alert al quale seguano specifici e maggiori controlli, da parte di Axpo Italia S.p.A., sulle modalità di acquisizione e di trattamento dei dati dei potenziali clienti interessati;
e) adozione di regole procedurali in relazione alle quali, a fronte della ricezione di volumi anomali di proposte contrattuali, disconoscimenti, reclami per attivazione non richieste relative a contratti procacciati da un’agenzia, si preveda lo svolgimento, da parte di Axpo Italia S.p.A., di specifiche attività di verifica sulla generalità delle operazioni di contrattualizzazione poste in essere dalla predetta agenzia (ad esempio mediante l’esame delle proposte caricate dagli stessi agenti e/o dalla medesima agenzia interessata dal reclamo nel medesimo periodo di riferimento, nonché attraverso lo svolgimento di un’attività di caring nei confronti degli altri clienti procacciati dai medesimi agenti rispetto ai quali erano state evidenziate irregolarità). Tutto ciò al fine di disporre di strumenti in grado di contribuire ad assicurare l’esattezza dei dati personali acquisiti nell’ambito delle predette proposte contrattuali, a prescindere dalla presentazione di un reclamo da parte degli interessati. La soglia di anomalia volta a determinare l’avvio della sopra descritta attività di controllo, potrebbe essere individuata tenendo conto, ad esempio, della media del numero di proposte procacciate dalle singole agenzie e della media dei reclami/disconoscimenti della medesima natura ricevuti semestralmente dalla Società. La predetta attività potrebbe essere svolta a campione o comunque con modalità poco invasive per il cliente (ad esempio, mediante un avviso posto sulla bolletta; cfr. in merito le osservazioni presentate da Axpo Italia S.p.A. con nota del 21 aprile 2023, pagg. 13-14);
f) con riferimento al trattamento dei dati dei clienti rispetto ai quali, all’esito delle diverse verifiche preventive sopra descritte, appaia opportuno in via precauzionale sospendere la procedura di contrattualizzazione, implementazione di un sistema che preveda la tempestiva limitazione, in attesa dell’esito dei successivi controlli, di ogni ulteriore attività di trattamento dei dati medesimi; ciò adottando misure adeguate a garantire la segregazione dei suddetti dati rispetto a quelli trattati nell’ambito delle attività di ordinaria gestione della clientela. La medesima attività deve essere posta in essere rispetto ai dati personali inerenti a contratti/proposte contrattuali rispetto alle quali sia stato presentato un reclamo per attivazione non richiesta. Tale misura, come già rappresentato (v. supra, par. 4.4 della presente decisione), non può essere efficacemente realizzata con le modalità proposte da Axpo Italia S.p.A. (v. supra, par. 3, nn. 1-2 della presente decisione), richiedendo un intervento strutturale nell’ambito dei sistemi della Società quale, ad esempio, l’adozione di un meccanismo di oscuramento dei dati e di segregazione logica e fisica degli stessi (i dati, ovvero, sono contrassegnati e trasferiti temporaneamente in un altro sistema e, durante il periodo di limitazione, sono conservati in un regime di inaccessibilità).
Da ultimo, con riferimento ai dati personali inerenti ai 5100 clienti come individuati al par. 4.4. della presente decisione, si dispone ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, la limitazione definitiva di ogni ulteriore attività di trattamento degli stessi diversa da quella inerente alla sopra menzionata segregazione delle predette informazioni.
La suddetta prescrizione si rende necessaria anche in relazione ai dati personali dei clienti contenuti nelle eventuali ulteriori proposte contrattuali acquisite tramite il canale porta porta nel periodo ricompreso tra il 9 luglio 2022 e la data di notifica della presente decisione rispetto alle quali sia stato nel frattempo presentato un reclamo per attivazione non richiesta e lo stesso sia ancora in corso di definizione o sia stato accolto con conseguenziale cessazione del relativo contratto.
6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).
Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83 del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali posto in essere da Axpo Italia S.p.A., di cui è stata accertata l’illiceità, nei termini sopra esposti.
Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.
Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nell’ipotesi in esame, sono state tenute in considerazione le circostanze sotto riportate:
la rilevante gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento), in relazione alla natura –concernente l’inosservanza dei principi di liceità del trattamento–, alle modalità –la pluralità di condotte illecite ripetute nel tempo- e alla durata –circa un anno e sei mesi– della stessa. Si considerano altresì rilevanti, a tal fine, le caratteristiche del trattamento in termini di finalità e ampia portata dello stesso, nonché di elevato numero di interessati coinvolti e di tipologia di danno da questi subito. Tutto ciò ravvisato che: le operazioni oggetto di contestazione sono state poste in essere al fine di concludere contratti di somministrazione di energia nel libero mercato, attività economica che rientra nel core business del titolare; le condotte illecite accertate hanno riguardato circa 5100 interessati; le criticità riscontrate in materia di protezione dei dati fanno riferimento ai processi e alle politiche implementate dal titolare per lo svolgimento delle operazioni di contrattualizzazione dei clienti tramite il canale agenzia, evidenziando carenze e inadeguatezze di carattere sistemico dei predetti processi e non potendo essere pertanto riferite a sporadici episodi di disallineamento degli stessi; le violazioni accertate hanno determinato a carico dei potenziali clienti sopra indicati, oltre a pregiudizi direttamente connessi al furto d’identità da questi subito, anche la conclusione a loro insaputa di contratti e attivazioni non richieste nel mercato libero dell’energia con conseguente necessità per gli stessi di farsi carico dei relativi oneri amministrativi connessi all’instaurazione delle azioni (giudiziarie e/o amministrative) previste in tali casi a tutela del consumatore; tale pregiudizio è ancora più rilevante per gli interessati rispetto ai quali le attivazioni non richieste sono state plurime e ravvicinate nel tempo;
il comportamento significativamente negligente e il rilevante grado di responsabilità del titolare in ordine alle misure tecniche e organizzative messe in atto (art. 83, par. 2, lett. b) e lett. d) del Regolamento); ciò con specifico riferimento all’inadeguatezza delle politiche di protezione dei dati attuate da Axpo Italia S.p.A. nel settore oggetto di attenzione ed esplicitate nel dettaglio ai paragrafi 4.1-4.4 della presente decisione, nonché alla luce delle indicazioni già da tempo fornite dal Garante in ordine alle modalità organizzative e gestionali che un titolare del trattamento, operante quale fornitore di energia nel mercato libero, deve implementare, all’atto dell’acquisizione di nuovi clienti, per conformarsi al Regolamento (v. provvedimento dell’11 dicembre 2019, cit.);
l’adozione, da parte del titolare, di misure atte a mitigare o a eliminare le conseguenze della violazione (art. 83, par. 2, lett. c) del Regolamento). Al riguardo va positivamente considerata la circostanza che Axpo Italia S.p.A. abbia tempestivamente adottato, una volta avuta contezza della violazione, alcune prime misure per attenuare gli effetti dell’illecito trattamento, misure che, per quanto solo parzialmente sufficienti ad eliminare i rischi, possono essere ritenute ragionevoli;
la circostanza che la Società abbia attivamente cooperato con l’Autorità nel corso del procedimento (art. 83, par. 2, lett. f) del Regolamento);
il fatto che non risultino precedenti violazioni commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e) del Regolamento);
altri fattori attenuanti (art. 83, par. 2, lett. k) del Regolamento): i costi sostenuti dalla Società per l’applicazione dell’art. 66-quinquies del Codice del Consumo, a favore dei clienti che hanno presentato reclamo per attivazione non richiesta con conseguenziale “messa a perdita degli importi già fatturati e da fatturarsi” (v. nota del 21 aprile 2023, pag. 27).
Si ritiene inoltre che assumano rilevanza nel caso di specie, in ragione dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), le condizioni economiche del contravventore, determinate in base al volume d’affari della Società, di cui al bilancio d’esercizio per l’anno 2022 (ultimo disponibile).
Da ultimo, si tiene conto dei costi che la Società è tenuta ad affrontare per adempiere alle prescrizioni di cui al punto 5 della predetta decisione.
Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Axpo Italia S.p.A. la sanzione amministrativa del pagamento di una somma pari ad euro 10.000.000,00 (diecimilioni/00).
In tale quadro si ritiene, altresì, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante. Ciò in considerazione della tipologia delle violazioni accertate che hanno interessato i principi generali del trattamento, in particolare i principi di correttezza, esattezza ed accountability. Si tiene conto, altresì, a tal fine del rilevante pregiudizio subito dagli interessati a seguito della conclusione (spesso ripetuta più volte e ravvicinata nel tempo) di contratti non richiesti nel mercato libero dell’energia con conseguente necessità per gli stessi di farsi carico di tutti gli oneri amministrativi connessi all’instaurazione delle azioni giudiziarie e/o amministrative previste in tali casi a propria tutela.
Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.
TUTTO CIÒ PREMESSO, IL GARANTE
a) ai sensi degli artt. 57, par. 1, lett. f) e 83, del Regolamento, rileva l’illiceità del trattamento effettuato da Axpo Italia S.p.A., con sede in Roma, p. iva n. 01141160992 nei termini di cui in motivazione, per la violazione dell’art. 5, par. 1, lettere a) e d) e par. 2 e art. 24 del Regolamento;
b) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento ingiunge alla summenzionata Società di conformarsi, entro nove mesi dalla data della notifica del presente provvedimento, alle prescrizioni formulate al par. 5 del presente provvedimento, richiedendo al contempo alla stessa di comunicare quali iniziative intende intraprendere al fine di dare attuazione a quanto disposto e di fornire, entro il predetto termine, riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. e) del Regolamento;
c) ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, dispone, nei confronti di Axpo Italia S.p.A., la limitazione definitiva di ogni ulteriore attività di trattamento dei dati dei clienti come individuati al par. 5 della presente decisione e nei termini ivi previsti;
d) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
ORDINA
a) ai sensi dell’art. 58, par. 2, lett. i) del Regolamento alla medesima Axpo Italia S.p.A., di pagare la somma di euro 10.000.000,00 (diecimilioni/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento.
INGIUNGE
b) quindi a Axpo Italia S.p.A. di pagare la predetta somma di euro 10.000.000,00 (diecimilioni/00), secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall'art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento -sempre secondo le modalità indicate in allegato- di un importo pari alla metà della sanzione irrogata entro il termine di cui all'art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.
DISPONE
c) la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019.
Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Roma, 28 settembre 2023
IL PRESIDENTE
Stanzione
IL RELATORE
Scorza
IL SEGRETARIO GENERALE
Mattei