Con provvedimento n. 672 dello scorso 13 novembre 2024 – pubblicato il 23 dicembre 2024 – il Garante per la protezione dati personali (in seguito, il “Garante” o “l’Autorità”) ha comminato alla società operante nel settore energetico, Illumia S.p.a. (in seguito anche la “Società” o il “Titolare”) un’ingente sanzione pari ad euro 678.897, per aver quest’ultima trattato illecitamente dati personali per finalità promozionali ed esser quindi venuta meno ai principi fondamentali quali la liceità, la responsabilizzazione e la sicurezza del trattamento del Regolamento (UE) 2016/679 (in seguito anche “GDPR” o “Regolamento”).
I reclami oggetto delle contestazioni mosse
Il provvedimento è stato emesso al termine dell’istruttoria avviata dall’Autorità a seguito della ricezione di due distinti reclami. Con il primo, l’interessato lamentava di essere stato contattato sulla propria utenza mobile, in nome e per conto della Società, per finalità promozionali, in assenza di un’idonea base giuridica e nonostante fosse iscritto al Registro Pubblico delle Opposizioni (“RPO”). Con il secondo reclamo, l’interessata rappresentava di essere stata contattata sull’utenza mobile del figlio, fornita abitualmente quale recapito di riferimento per la gestione delle forniture della propria abitazione, da un operatore che si era qualificato come “referente dell’ufficio commerciale” della Società. Nel corso del colloquio telefonico, emergeva che l’operatore telefonico fosse già a conoscenza dell’avvenuta richiesta di cd. “switch” verso altra società tanto che quest’ultimo informava la reclamante che, le nuove attivazioni stipulate non sarebbero andate a buon fine e che pertanto si sarebbe reso necessario concludere un nuovo contratto con la Società. In entrambi i casi oggetto di doglianza, la numerazione chiamante non risultava neppure iscritta al Registro degli operatori della comunicazione (“ROC”).
Le valutazioni dell’Autorità
A valle dell’istruttoria, l’Autorità ha osservato e constatato sussistenti una serie di carenze nella governance privacy della Società, la cui gravità ha condotto alla pesante sanzione.
- La violazione più significativa riguarda il principio di accountability, sancito dagli artt. 5, par. 2 e 24 del GDPR, in forza del quale, il titolare del trattamento è tenuto a dimostrare che il trattamento dei dati è effettuato in conformità alla normativa privacy. Di contro, la documentazione messa a disposizione dalla Società non ha permesso né di dimostrare tale conformità, né di fornire prove concrete circa le misure di protezione adottate, sollevando così seri dubbi sull’efficacia delle pratiche aziendali. Secondo quanto argomentato dal Garante, l’osservanza del principio in parola comporta che il Titolare debba essere in grado di garantire “l’effettiva governabilità della filiera di trattamento e l’aggiornamento periodico delle stesse misure tecniche e organizzative implementate per realizzarla”.
- Sono poi risultate oggetto di violazione le disposizioni di cui all’art. 130 del d.lgs. n. 196/2003 (“Codice Privacy”) nonché agli articoli 5, 6 e 7 del GDPR: la Società ha, di fatto, effettuato chiamate promozionali tramite numerazioni non iscritte al ROC, in assenza di una base giuridica adeguata. Tali attività sono state ritenute in contrasto con la normativa sulla privacy, soprattutto rispetto alla protezione dei dati personali degli utenti.
- L’Autorità ha, altresì, riscontrato criticità circa il processo di selezione e monitoraggio delle agenzie operanti per conto della Società. Il Titolare avrebbe proceduto alla contrattualizzazione di agenzie e sub-agenzie per l’attività di telemarketing, tenendo conto, principalmente dell’affidabilità economica e di requisiti meramente dimensionali, trascurando la valutazione circa la conformità alla normativa in tema di protezione dei dati personali. Difatti, stando alle stesse dichiarazioni rese dalla Società, soltanto a partire dal gennaio 2024, sono state somministrate alle predette agenzie “check-list privacy” idonee a verificare l’idoneità delle stesse all’attività. A detta del Garante, a tale omissione non possono neppure sopperire le previsioni contrattuali di un periodo di prova e di clausole risolutive espresse in caso di violazioni della normativa sulla protezione dei dati personali, perché rinviano ad un principio di convenienza meramente economica ed inidonee a scongiurare il rischio che trattamenti di dati personali siano effettuati da soggetti non possiedano adeguate capacità e che non abbiano implementato misure di sicurezza adeguate. Inoltre, la mera previsione formale di istruzioni operative non può valere come adempimento degli obblighi gravanti sul Titolare, quando non sia accompagnata da iniziative di verifica e vigilanza, periodiche ed efficaci.
- A tanto si aggiungano le problematiche riguardanti le modalità operative delle agenzie, non in linea con le disposizioni del D.P.R. n. 26/2022 sul RPO. Di fatti, la Società imponeva alle agenzie di consultare il registro mensilmente, e comunque prima di avviare le campagne promozionali, fermo restando chela consultazione del RPO aveva efficacia pari a quindici giorni, con delle istruzioni, dunque contradditorie ed in assenza di distinguo alcuno tra prospect, clienti ed ex clienti e di casistica dei dati provenienti dai pubblici registri.
- Gravi criticità sono state riscontrate, infine, in relazione alla sicurezza dei dati: il Titolare, infatti, ha dichiarato di aver avviato alcune valutazioni di fattibilità per l’implementazione di un sistema di tracciamento degli accessi ai portali aziendali per l’inserimento dei contratti. Tale lacuna aumenta il rischio che i dati personali vengano persi, distrutti o alterati o siano oggetto di accessi non autorizzati.
Oltre alle citate violazioni riscontrate hanno altresì costituito ulteriore parametro di determinazione dell’ammontare della sanzione, la gravità e la durata delle stesse, tenuto conto dell’oggetto e delle finalità dei dati trattati, riconducibili al fenomeno del telemarketing e dell’implementazione di una procedura lacunosa di selezione dei fornitori, il fatturato della Società nonché l’elevato numero di agenzie e sub-agenzie coinvolte su tutto il territorio nazionale.
Avv. Rossella Bucca e Dott.ssa Rossella Taddei