L’Autorità Garante, con proprio Provvedimento del 17 luglio 2024 [doc. web n. 10053211], ha sanzionato un’importante società che opera nel settore della vendita a clienti finali di energia elettrica e gas, in particolare, a causa dell’illecito trattamento posto in essere dalla società quale Titolare, per il tramite di alcune agenzie designate Responsabili (ex art. 28 del Reg. UE 2016/679 “GDPR”) delle attività di trattamento, che hanno finalizzato numerose attivazioni di contratti non richiesti.
Nel corso dell’istruttoria il Garante ha rilevato che sebbene i trattamenti illeciti siano stati posti in essere da Responsabili ex art. 28 GDPR, che hanno operato in qualità di agenti in violazione delle disposizioni impartite dal titolare, le misure tecniche e organizzative adottate dal titolare nell’ambito del processo di acquisizione della clientela per il tramite dell’agenzia, non erano adeguate alla natura, al contesto, alle finalità e ai rischi del suddetto trattamento, così configurando in capo al Titolare una violazione del principio di accountability (art. 5, par. 1, let. f) e art. 24 del GDPR).
L’Autorità ha evidenziato che secondo tale principio, al Titolare è attribuita la responsabilità generale del trattamento posto in essere direttamente o da altri per suo conto, gravando, pertanto, sullo stesso l’onere di attuare un sistema organizzativo contraddistinto da efficaci misure di protezione dei dati personali.
A tal fine, l’Autorità ha chiarito come oltre alla predisposizione degli adempimenti normativi (tra cui: informativa, registro delle attività di trattamento, nomina del responsabile della protezione dei dati ove obbligatoria, valutazione di impatto ove necessario, ecc.), il Titolare debba implementare procedure e prassi organizzative atte a conformare i relativi trattamenti al GDPR, tra cui:
- processi di mappatura dei trattamenti;
- regole per l’attribuzione di responsabilità;
- programmi di formazione del personale;
- procedure per la verifica dell’operato dei responsabili designati ai sensi dell’art. 28;
- previsione di audit interni ed esterni con cadenza periodica.
Nel caso in esame, l’Autorità ha rilevato come il Titolare non avesse implementato adeguate procedure e prassi, omettendo di fornire indicazioni dettagliate sulle modalità di raccolta dei dati personali dei clienti e lasciando agli agenti eccessiva autonomia. Tale mancanza ha comportato l’acquisizione, da parte degli agenti, di copia dei documenti d’identità anche tramite fotografie scattate con il dispositivo mobile personale dell’agente, così consentendo che la documentazione fosse nella piena disponibilità dell’agente e esponendo al rischio che fosse utilizzata da quest’ultimo per il compimento di attività illecite, nell’ambito dell’attivazione di contratti non richiesti.
Ma non solo, l’Autorità ha ravvisato l’inadeguatezza anche della fase di verifica della volontà negoziale, tramite chiamata di conferma (c.d. “quality call”) al numero di telefono indicato nella proposta contrattuale. Ed invero, l’irreperibilità del contraente, nella maggior parte dei casi, non interrompeva il processo di contrattualizzazione.
Anche l’invio della welcome letter all’indirizzo e-mail o fisico indicato dal cliente nella fase di sottoscrizione del contratto, era basato unicamente su dati acquisiti dall’agente, senza alcuna possibilità di verifica della corrispondenza degli stessi con quelli dell’effettivo utilizzatore dell’utenza.
Per quanto esposto l’Autorità ha comminato la sanzione amministrativa di euro 5.000.000,00 a Hera Comm S.p.A. e imposto una serie di misure correttive.
Va rilevato che tale provvedimento si pone in linea con la recente Opinion dell’European Data Protection Board (7 ottobre 2024) sugli obblighi dei titolari del trattamento in relazione ai responsabili, che ha rafforzato i doveri disposti dall’art. 28 del GDPR in capo ai Titolari del trattamento.
