L'Autorità Garante per la protezione dei dati personali (il "Garante Privacy") ha irrogato due sanzioni, per complessivi 11,5 milioni di Euro, nei confronti di Eni Gas e Luce S.p.A (“Eni”) a seguito di violazioni commesse nell'ambito di attività promozionali e della conclusione di contratti non richiesti nel mercato libero della fornitura di energia e gas.
Nella determinazione delle sanzioni, sono stati considerati i criteri indicati nel Regolamento UE 679/2016 (il “GDPR”), quali l’elevato numero dei soggetti coinvolti, la pervasività delle condotte, la durata della violazione e le condizioni economiche di Eni.
- Telemarketing e teleselling
La prima sanzione di 8,5 milioni di Euro concerne trattamenti illeciti nelle attività di telemarketing e teleselling.
Tali attività sono state svolte da Eni mediante una rete di agenzie, nominate responsabili del trattamento dei dati personali le quali contattavano telefonicamente gli interessati, utilizzando delle liste di anagrafiche presenti nella customer base societaria, ovvero acquistate da list provider (che a loro volta potevano acquisirle da soggetti terzi denominati “editori”), oppure auto-generate tramite la compilazione, da parte degli stessi interessati, di appositi form presenti sul sito di Eni. Le liste acquistate dai list provider/editori includevano sia numeri presenti nel Database Unico degli abbonati ai servizi di telefonia fissa (“DBU”), sia numeri di telefonia mobile.
A seguito di diverse segnalazioni e reclami, il Garante Privacy ha svolto una complessa attività istruttoria durante la quale sono emerse le seguenti violazioni:
- telefonate promozionali effettuate senza il consenso dell’interessato ovvero in presenza di un espresso diniego del consenso formulato nei confronti di Eni o senza consultare il Registro pubblico delle opposizioni;
- mancata adozione di misure tecnico-organizzative idonee a garantire il recepimento delle manifestazioni di volontà dell’interessato e quindi del rispetto dei principi del GDPR relativi all'esercizio dei diritti;
- tempi di conservazione dei dati personali contenuti nei contratti superiori a quelli necessari al perseguimento delle finalità per le quali gli stessi erano trattati;
- acquisizione dei dati dei potenziali clienti da soggetti (list provider) che non avevano ottenuto il consenso per la comunicazione di tali dati;
- la non idonea cooperazione con il Garante Privacy nel corso dell’istruttoria, attesi i contraddittori riscontri alle richieste di informazioni e di esibizione di documenti.
Pertanto, il Garante Privacy, rilevate tali condotte illecite, ha ingiunto a Eni il divieto del trattamento dei dati personali presenti in liste di contattabilità acquistate da list provider privi di un consenso specifico alla comunicazione dei dati medesimi nonché l'adozione di una serie di misure correttive.
A tal riguardo si segnalano:
- l’implementazione di procedure e sistemi per verificare, anche tramite l’esame di un campione rilevante di nominativi, lo stato dei consensi delle persone inserite nelle liste dei contatti, prima dell’inizio delle campagne promozionali;
- la definitiva automatizzazione dei flussi di dati dal proprio database alla black list di chi non vuole ricevere pubblicità da parte di Eni.
Tali misure dovranno essere implementate entro 30 giorni dalla notifica del provvedimento.
Inoltre, Eni dovrà comunicare le iniziative adottate al fine di conformarsi e attuare quanto disposto nel provvedimento in esame, fornendo un riscontro adeguatamente documentato ex art. 157 del Codice Privacy (D.lgs. 196/2003 come novellato dal D.lgs 101/2018), entro il termine di 40 giorni dalla notifica del provvedimento.
- Stipula di contratti non richiesti
La seconda sanzione di 3 milioni di Euro si riferisce alle violazioni commesse nell'ambito della conclusione di contratti non richiesti nel mercato libero della fornitura di energia e gas.
Le principali doglianze nei reclami pervenuti al Garante Privacy si riferiscono:
- al mancato avviso in merito alla stipula di un nuovo contratto in assenza di qualsivoglia contatto né personale né a distanza con la predetta società, né presso alcun punto vendita o agenzia della stessa; i reclamanti sono stati resi edotti della stipula solo dopo aver ricevuto la lettera di disdetta del vecchio fornitore o dalle prime fatture;
- all'inesattezza dei dati personali riportati nella modulistica contrattuale (in particolare, numero di telefono, indirizzo di fornitura, estremi del documento di identità), nonché alla sottoscrizione apocrifa dei contratti stessi.
A seguito di istruttoria ed accertamenti ispettivi del Garante Privacy, è stato riscontrato che:
- Eni, in qualità di titolare del trattamento, nel porre in essere strategie di acquisizione di nuova clientela con l’ausilio di alcune agenzie esterne operanti per suo conto come responsabili del trattamento, ha posto in essere condotte che, per modalità organizzative e gestionali, configuravano trattamenti non conformi al GDPR, in quanto contrari ai principi di correttezza, esattezza e aggiornamento dei dati;
- le misure tecniche e organizzative, adottate da Eni nell'ambito dei processi di acquisizione della clientela per il tramite di agenzie esterne, sono risultate inadeguate rispetto alla natura, al contesto, alle finalità e ai rischi di tale trattamento, determinando una violazione del principio di “accountability”, nonché del principio di integrità ed esattezza, ex artt. 5, par. 1, lett. f) e par. 2, art. 24 e art. 32 del GDPR.
In particolare:
- la proposta contrattuale era stata acquisita con modalità cartacea e senza l’acquisizione di copia del documento di identità;
- a seguito della trasmissione di lettera di accettazione della proposta, la società, pur a fronte di un esito recapito “non consegnato” oppure “no info” con causale alternativamente indicata quale “indirizzo inesistente”, “destinatario sconosciuto” o “non consegnato”, aveva continuato a trattare i dati personali dei contraenti ai fini dell’attivazione della fornitura di energia;
- il modulo cartaceo utilizzato dal venditore per l’acquisizione della proposta contrattuale, pur recando una data di sottoscrizione successiva al 25 maggio 2018, includeva un’informativa privacy non aggiornata con le disposizioni normative del GDPR;
- le istruzioni, impartite dal titolare del trattamento ai responsabili del trattamento, non venivano rispettate;
- le misure tecniche ed organizzative non potevano considerarsi adeguate;
- risultavano gravi carenze nelle privacy policy adottate da Eni, soprattutto in termini di garanzia dell’esattezza dei dati trattati, di sicurezza del trattamento nonché di controllo dell’operato delle persone autorizzate a trattare tali dati.
Tali operazioni di trattamento illecito hanno interessato circa 7200 consumatori.
Il Garante Privacy ha ingiunto a Eni la limitazione definitiva di ulteriore trattamento dei dati di tali consumatori nonché l'adozione di una serie di misure correttive e di specifici alert in grado di individuare diverse anomalie procedurali.
Tra le misure correttive prescritte, si segnalano:
- l’implementazione di un sistema di c.d check call “bloccante” per tutte le modalità (cartacee, via tablet o con altri strumenti) di acquisizione dei contratti da parte di agenti e venditori delle agenzie esterne;
- l’obbligo di registrazione della check call ove sia andata a buon fine; in merito, con riferimento ai contratti acquisiti al CRM a partire dal 25 maggio 2018 in cui risulti che è stata effettuata “una check call positiva senza registrazione”, porre in essere verifiche a campione sulla qualità dei dati trattati;
- la definizione di sistemi di alert sensibili a varie anomalie procedurali quali ad esempio l’inserimento nel CRM di numerazioni e indirizzi ricorrenti, esiti di fallita consegna dei plichi contrattuali;
- nell'ambito delle istruzioni impartite ad agenti e venditori, l’introduzione, anche con riferimento alle proposte contrattuali in modalità cartacea, dell’obbligo di acquisizione di copia del documento di riconoscimento del potenziale cliente;
- sistemi di audit periodici volti a verificare a campione l’operato delle agenzie;
- in relazione al trattamento dei dati dei clienti rispetto ai quali all'esito delle verifiche di cui sopra, appaia opportuno in via precauzionale sospendere la procedura di contrattualizzazione, l’implementazione di un sistema che preveda la tempestiva limitazione, in attesa di successivi controlli, di ogni ulteriore attività di trattamento dei dati medesimi nonché di misure adeguate a garantire la segregazione dei suddetti dati rispetto a quelli trattati nell'ambito delle attività di ordinaria gestione della clientela.
Tali misure correttive dovranno essere implementate entro sei mesi dalla notifica del provvedimento in oggetto, mentre il pagamento della sanzione dovrà essere effettuato entro trenta giorni.
Inoltre, ENI dovrà comunicare le iniziative adottate al fine di conformarsi ed attuare quanto disposto nel presente provvedimento, fornendo un riscontro adeguatamente documentato ex art. 157 del Codice Privacy, entro il termine di sei mesi dalla data della notifica del provvedimento in oggetto.