Lo svolgimento dei fatti
Il procedimento (Provvedimento del 27 novembre 2024 [10097012]) che si è chiuso con la comminazione della sanzione amministrativa pecuniaria di 89.273.777,20 euro, cui devono aggiungersi la sanzione accessoria della pubblicazione del provvedimento, il divieto di ogni ulteriore trattamento dei dati dei reclamanti e l’obbligo di aggiornamento della modulistica utilizzata per la raccolta del consenso al trattamento con finalità di marketing, ha preso avvio da due distinti reclami, successivamente riuniti in quanto indirizzati verso lo stesso soggetto e aventi ad oggetto questioni del medesimo tenore, inoltre la trattazione congiunta è stata ritenuta maggiormente idonea a garantire il diritto di difesa e l’esigenza di non aggravare il procedimento.
Con il primo reclamo l’istante lamentava di aver ricevuto numerose telefonate indesiderate e di non aver avuto riscontro all’istanza di esercizio dei diritti di cui agli articoli 15 e seguenti del Regolamento (UE) 2016/679 con la quale chiedeva ragione al titolare del trattamento del possesso dei suoi dati anagrafici e di contatto, non avendo mai avuto rapporti contrattuali con la Società di luce e gas. Da una telefonata al call center della Società aveva appreso che tali dati erano stati raccolti nel corso di una campagna pubblicitaria svolta su Facebook, attraverso la volontaria e spontanea compilazione di un apposito form di contatto, tuttavia, la reclamante contestava do non essere in alcun modo presente sui Social.
Con il secondo reclamo l’interessata lamentava di aver iniziato a ricevere una notevole quantità di telefonate promozionali immediatamente dopo aver stipulato un contratto di fornitura con la Società e ipotizzava, quindi, l’avvenuta cessione dei suoi dati personali a terzi, nonostante non avesse manifestato il proprio consenso.
Le contestazioni del Garante Privacy
Le ipotesi di violazioni contestate al titolare del trattamento dall’Ufficio incaricato del Garante Privacy sono le seguenti:
a) artt. 5, 6, 7 e 24 del Regolamento, nonché dell’art. 130 del Codice, per aver effettuato trattamenti di dati personali in contrasto con i principi di liceità e responsabilizzazione, in assenza di un’idonea base giuridica e mettendo in atto misure tecniche e organizzative non adeguate a garantire, fin dalla progettazione, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento;
b) artt. 24 e 28 del Regolamento, anche in relazione all’art. 2-quaterdecies del Codice, per avere effettuato trattamenti di dati personali avvalendosi di soggetti interni ed esterni all’organizzazione aziendale, in violazione degli obblighi gravanti sul titolare del trattamento in ordine all’individuazione, formazione, direzione e monitoraggio sull’operato dei soggetti designati;
c) artt. 12 e 15-22 del Regolamento per l’omessa implementazione di procedure aziendali e misure idonee ad assicurare l’adeguato e tempestivo riscontro alle richieste di esercizio dei diritti da parte degli interessati.
Le difese della Società titolare del trattamento
La Società argomentava le proprie difese rappresentando di aver adottato tutti gli accorgimenti per garantire il rispetto della normativa di settore, in particolare, affermava di aver predisposto un “data protection management system (“DPMS”)” soggetto a continuo aggiornamento e contenente una serie di strumenti e documenti come linee guida, informative ai sensi degli artt. 13 e 14 del Regolamento e tool per la valutazione dei rischi. Inoltre, dichiarava di aver previsto nell’organico aziendale figure interne con compiti e deleghe specifiche in tema privacy, tra i quali i data privacy coordinator (alcuni manager aziendali che maggiormente si occupano di temi privacy), e i data protection expert, che operano in stretto coordinamento con le competenti figure IT e l’Information Security Officer; di aver nominato un DPO per le società italiane; di assegnare autorizzazioni con istruzioni in materia di protezione dei dati personali per il personale E.ON in fase di assunzione e successive lettere di incarico; di aver predisposto template per la redazione dei contratti di nomina dei responsabili del trattamento; di avere redatto il registro delle attività di trattamento, le informative ai sensi degli articoli 13 e 14 del Regolamento e di aver disposto verifiche in merito alla loro corretta applicazione; di aver previsto procedure di formazione privacy per il personale aziendale.
Nel rispetto dell’apparato di strumenti e documentazione rappresentato, il titolare del trattamento sosteneva di aver correttamente selezionato i fornitori con precise procedure di accreditamento, conferendo loro gli incarichi nel rispetto dell’articolo 28 del Regolamento e vigilando costantemente sul loro operato. Per il caso di specie, inoltre, dichiarava che nessuna responsabilità era ascrivibile al fornitore che aveva materialmente raccolto la raccomandata con il reclamo, dovendo imputarsi l’errore umano ad un proprio Ufficio interno. Inoltre, malgrado il mancato riscontro al primo reclamo, l’istante aveva in ogni caso ricevuto risposta ad una telefonata precedente da parte di un operatore che le aveva fornito adeguate operazioni su tempi e modalità di raccolta dei dati.
Le valutazioni del Garante Privacy
-
Sulla violazione del principio di accountability
L’Autorità Garante rileva la documentazione prodotta dal titolare del trattamento a dimostrazione di aver ottemperato agli obblighi normativi in materia di privacy risulta incompleta o non compilata e in gran parte priva di riferimenti temporali.
Quanto allo svolgimento dei fatti, la Società ha fornito una prima ricostruzione che imputava al fornitore cui è assegnato il compito di raccogliere i reclami pervenuti in forma cartacea e procedere alla loro digitalizzazione l’errore di mancata trasmissione del primo Reclamo, per poi in seguito ritrattare imputando a un disguido tra Uffici interni tale errore.
Tale contegno di fatto non vale ad ottemperare all’onere di dimostrare che le misure e le azioni di attuazione della normativa, seppure in parte teoricamente previste, siano poi effettivamente state poste e in essere e sottoposte a periodico controllo e aggiornamento.
-
Sulla violazione degli artt. 5, 6, 7 e 24 del Regolamento, nonché dell’art. 130 del Codice Privacy
A parere del Garante, appare pienamente confermata l’avvenuta violazione, per aver svolto attività di telemarketing in contrasto con i principi di liceità e responsabilizzazione, in assenza di un’idonea base giuridica e mettendo in atto misure tecniche e organizzative non adeguate a garantire, fin dalla progettazione, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento.
-
Sulla scelta dei fornitori e il rispetto degli obblighi di cui agli artt. 24 e 28 del Regolamento
Rispetto al processo di scelta e contrattualizzazione dei fornitori, la Società si è limitata a fornire un sintetico schema di gestione, privo di data e dei riferimenti societari e un modello di nomina a responsabile del trattamento, il cui ultimo aggiornamento risale a due anni prima. Inoltre, il Garante rileva che il ricorso alla check list per la selezione sui fornitori e la successiva vigilanza sui medesimi, come descritto dalla Società nelle memorie difensive, si configura più come un controllo meramente formale che come una verifica del possesso concreto dei requisiti e delle competenze richieste dalla normativa privacy.
-
Sul rispetto degli obblighi formativi per i dipendenti aziendali di cui all’art. 24 del Regolamento e all’art. 2-quaterdecies del Codice Privacy in combinato disposto con l’art. 5 del Regolamento
Gli accadimenti oggetto di doglianza e i riscontri forniti dalla Società confermano l’avvenuto inadempimento degli obblighi relativi alla nomina, direzione e formazione dei soggetti operanti all’interno dell’organizzazione del titolare effettuando trattamenti di dati personali. Non risulta documentato lo svolgimento dell’attività di formazione e le istruzioni, a partire da quelle contenute nelle lettere di incarico, secondo l’Autorità, sono risultate datate e generiche, risultando, perciò, violate le prescrizioni di cui all’art. 2-quaterdecies del Codice Privacy, letto anche congiuntamente all’art. 5 del Regolamento.
-
Sulla violazione degli obblighi di cui all’articolo 12 e dei diritti degli interessati degli artt. 15-22 del Regolamento
Per le ragioni appena esposte, afferma il Garante, deve ritenersi integrata anche la violazione degli art. 12 e 15-22 del Regolamento, non potendo sortire alcuna efficacia esimente l’errore umano invocato dalla Società, né, d’altro canto, continua l’Autorità, può essere accolta l’eccezione avanzata dalla società per la quale nel primo reclamo l’istante avrebbe in ogni caso ricevuto soddisfazione alle proprie richieste di chiarimento attraverso un colloquio telefonico con un operatore del Customer Care. L’istanza della reclamante avanzata ai sensi degli artt. 15 e ss. del Regolamento, infatti, era stata inoltrata in un momento successivo rispetto a detto chiarimento telefonico ed era finalizzata a ottenere informazioni più specifiche e articolate: di conseguenza il titolare del trattamento avrebbe dovuto rispondere alle richieste dell’interessata con le modalità e nei termini previsti all’art. 12 del Regolamento.
Le sanzioni applicate
Alla conclusione del procedimento, l’Autorità garante per la protezione dei dati personali ha ritenuto accertate le seguenti violazioni:
– artt. 5, 6, 7 e 24 del Regolamento, nonché dell’art. 130 del Codice, per aver effettuato trattamenti di dati personali in contrasto con i principi di liceità e responsabilizzazione, in assenza di un’idonea base giuridica e mettendo in atto misure tecniche e organizzative non adeguate a garantire, fin dalla progettazione, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento;
– artt. 24 e 28 del Regolamento, anche in relazione all’art. 2-quaterdecies del Codice, per avere effettuato trattamenti di dati personali avvalendosi di soggetti interni ed esterni all’organizzazione aziendale, in violazione degli obblighi gravanti sul titolare del trattamento in ordine all’individuazione, formazione, direzione e monitoraggio sull’operato dei soggetti designati;
– artt. 12 e da 15 a 22 del Regolamento per l’omessa implementazione di procedure aziendali e misure idonee ad assicurare l’adeguato e tempestivo riscontro alle richieste di esercizio dei diritti da parte degli interessati.
Accertata, altresì, l’illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, l’Autorità ha ritenuto di adottare le seguenti misure:
– ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, imposizione del divieto di ogni ulteriore trattamento dei dati personali delle reclamanti;
– ai sensi dell’art. 58, par. 2, lett. d) del Regolamento ingiunzione di aggiornare la modulistica utile per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta, ai sensi dell’art. 2-quaterdecies;
– ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, adozione un’ordinanza ingiunzione, per l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento (pagamento di una somma fino a € 20.000.000,00 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore).