Con i provvedimenti n. 231 e 232 del 2019, il Garante per la Protezione dei Dati Personali ha recentemente sanzionato la nota società Eni Gas e Luce (di seguito “EGL”) con due maxi multe da 3.000.000 e 8.500.000 Euro, comminate al termine di due distinti procedimenti relativi alla violazione della normativa privacy nel contesto, rispettivamente, dell’attivazione di contratti non richiesti e di attività di telemarketing e teleselling illeciti.

Quanto al primo procedimento, l’istruttoria avviata dal Garante in seguito alle numerose segnalazioni degli utenti ha evidenziato che, al fine di acquisire nuovi clienti nel mercato libero dell’energia e gas, EGL si avvaleva di diversi agenti tenuti a seguire una determinata procedura per concludere i contratti in questione. In particolare, gli agenti dovevano acquisire i dati personali dei potenziali clienti mediante form cartacei o app su tablet, che venivano successivamente memorizzati nel database di EGL in seguito a verifiche di mera forma (es. compilazione di tutti i campi, presenza della sottoscrizione). Tali proposte contrattuali venivano poi sottoposte a convalida mediante chiamata automatizzata al numero di telefono indicato nella proposta o con e-mail/sms contenenti un link e il numero di ricontatto. Solo in caso di esito manifestamente negativo del controllo (non invece in caso di irreperibilità del cliente), veniva quindi effettuata un’ulteriore check call da parte di un operatore, all’esito della quale venivano spedite ai clienti le lettere di accettazione, cui seguiva infine l’attivazione della fornitura.

Avendo appurato che un numero significativo di contratti di somministrazione era stato concluso dagli agenti incaricati con l’utilizzo di dati personali errati, o che più in generale si trattava di forniture non richieste dai soggetti interessati, EGL aveva spontaneamente adottato misure correttive e precauzionali volte a prevenire tali situazioni. Tuttavia, al di là dell’evidente inadeguatezza delle menzionate procedure previste per la stipulazione dei contratti, l’Autorità ha sottolineato che proprio le numerose carenze nelle privacy policy di EGL – in termini di garanzia dell’esattezza dei dati trattati, di sicurezza del trattamento nonché di controllo dell’operato delle persone autorizzate a trattarli – avevano permesso agli agenti incaricati di operare per un considerevole lasso di tempo in violazione delle istruzioni impartite, in particolare violando i principi di correttezza, esattezza ed aggiornamento dei dati. Pertanto, l’Autorità ha concluso che EGL, in qualità di titolare del trattamento, resta responsabile in via generale dei trattamenti effettuati per il tramite dei propri responsabili (gli agenti), anche quando questi agiscono in violazione delle istruzioni impartite, posto che il titolare era tenuto a adottare misure tecniche e organizzative idonee a prevenire violazioni del tipo verificatosi.

Nel secondo procedimento, invece, oggetto di contestazione erano le chiamate promozionali effettuate per conto di EGL a numerazioni tratte dal database di titolarità della stessa EGL, oppure da liste acquistate da list provider (a loro volta acquisite da terzi), oppure ancora auto-generate tramite la compilazione di appositi form da parte dei potenziali clienti. In tale contesto, l’istruttoria condotta dal Garante ha messo in luce una serie di violazioni della normativa a tutela dei dati personali. In primis, è stata riscontrata l’assenza di qualsivoglia verifica (nemmeno con controlli a campione) circa il rispetto delle disposizioni relative al rilascio dell’informativa, all’acquisizione del consenso e all’eventuale successivo diniego, o all’iscrizione al Registro pubblico delle opposizioni. In sostanza, l’Autorità ha accertato che EGL non aveva in alcun modo tenuto conto del diniego del consenso per i trattamenti aventi finalità promo-pubblicitarie, ed aveva pertanto effettuato attività di telemarketing e teleselling in violazione del principio di liceità del trattamento. In secondo luogo, con riferimento alle liste fornite da terzi, l’Autorità ha precisato che il consenso originariamente dato dai clienti per la cessione dei propri dati a terzi a fini di marketing non poteva intendersi implicitamente rilasciato anche per cessioni successive, per carenza di specificità e di un’idonea informativa al riguardo. In aggiunta a tutto ciò, infine, il Garante ha contestato la mancata adozione di misure tecnico-organizzative idonee a garantire il rispetto della volontà dell’interessato, nonché la conservazione dei dati personali interessati per tempi superiori a quelli connessi al perseguimento delle finalità per cui venivano trattati.

Al termine dei due procedimenti, il Garante ha quindi accertato l’illiceità del trattamento, vietando l’ulteriore utilizzo dei dati interessati. In entrambi i casi, l’importo considerevole della sanzione è stato determinato sulla base di fattori quali l’ampia portata dei trattamenti e al numero di soggetti coinvolti, la durata e gravità della violazione, il comportamento significativamente negligente di EGL, il danno subito dagli interessati e, per le attività di telemarketing e teleselling, i vantaggi economici ottenuti da EGL in conseguenza della violazione e l’esistenza di una precedente decisione analoga a carico di EGL; mentre, dall’altro lato, in senso mitigativo, si è tenuto conto della collaborazione di EGL e dell’adozione da parte di questa di misure correttive in corso di procedimento. Unitamente alle sanzioni, il Garante ha poi prescritto di implementare procedure e sistemi volti a prevenire le medesime violazioni per il futuro.