g-docweb-display Portlet

Provvedimento correttivo e sanzionatorio nei confronti di Eni Gas e luce S.p.A. - 11 dicembre 2019 [9244358]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

VEDI ANCHE Comunicato stampa del 17 gennaio 2020

 

[doc. web n. 9244358]

Provvedimento correttivo e sanzionatorio nei confronti di Eni Gas e luce S.p.A. - 11 dicembre 2019

Registro dei provvedimenti
n. 231 dell'11 dicembre 2019

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano, componente, della dott.ssa Giovanna Bianchi Clerici, componente, e del dott. Giuseppe Busia, segretario generale;

VISTA la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati (di seguito, “Direttiva 95/46/CE”);

VISTO il Regolamento generale sulla protezione dei dati, Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito “Regolamento (UE) 2016/679”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTI gli atti d’ufficio e le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

PREMESSO

1. I RECLAMI PERVENUTI

Sono pervenuti a questa Autorità diversi reclami aventi ad oggetto il trattamento dei dati personali di clienti (anche potenziali) posti in essere da Eni gas e luce S.p.A. (di seguito “ENI”) nell’ambito della fornitura di energia elettrica e gas, mediante la conclusione di contratti non richiesti nel mercato libero. In particolare, i reclamanti hanno lamentato di aver preso conoscenza della stipula del contratto solo a seguito di ricezione di lettera di chiusura pervenuta da parte del precedente fornitore o di recapito delle prime fatture da parte di Eni, asserendo di non aver mai avuto alcun contatto né personale né a distanza con la predetta società, né di essersi mai recati presso alcun punto vendita o agenzia della stessa. In svariati casi, inoltre, è stato rappresentato che il contratto in possesso di ENI recava dati personali inesatti (in particolare, numero di telefono, indirizzo di fornitura, estremi del documento di identità) nonché sottoscrizione apocrifa.

2. ISTRUTTORIA DEL GARANTE

In virtù delle molteplici istanze pervenute, l’Autorità, ha ritenuto di procedere alla riunione dei singoli procedimenti, allo scopo di effettuare un esame organico delle questioni ad essi sottese, e ha avviato una complessa attività istruttoria anche mediante lo svolgimento di accertamenti ispettivi presso ENI nei giorni 18, 19 e 20 febbraio 2019. Dalle verifiche ivi effettuate, dalle integrazioni documentali successivamente pervenute con nota di ENI del 15 marzo 2019, nonché dalle memorie difensive e successive integrazioni (v. note della società del 29 giugno e 29 luglio 2019 e verbale di audizione del 26 luglio 2019) presentate dalla società a seguito di comunicazione di notifica delle presunte violazioni ex art. 166, comma 5 del Codice (trasmessa dal Garante il 30 maggio 2019), è emerso quanto segue.

I reclami presentati all’Autorità hanno ad oggetto le attività di trattamento poste in essere da ENI nell’ambito dell’acquisizione di clientela domestica nel mercato libero per il tramite del canale “Agenzia”, ovvero mediante attività di vendita porta-a-porta (e tramite i “negozi” - c.d. energy store) dei servizi di fornitura energetica per conto del professionista.

Le “Agenzie (agenti), che a loro volta si avvalgono di collaboratori/professionisti (venditori) per lo svolgimento dell’attività vera e propria”, costituiscono imprese terze, incaricate da ENI del contatto e della contrattualizzazione del cliente sulla base di specifico mandato di agenzia, al quale, nel caso degli energy store, è associato un contratto di franchising; le “Agenzie e gli energy store sono nominati responsabili del trattamento” (v. verbale del 18 febbraio 2019, pagg. 3 e 4).

L’attività degli agenti “si svolge in autonomia sul territorio nazionale mediante un contatto presso l’abitazione del potenziale cliente. [Il venditore] acquisisce la proposta contrattuale in modalità cartacea o tramite una procedura informatica attraverso un (..) tablet con app fornita [da ENI]”. L’Agenzia, “effettuato un controllo relativo alla qualità della proposta (compilazione di tutti i campi, presenza della sottoscrizione)”, inserisce i relativi dati (nonché la modulistica sottoscritta dal contraente), nel Customer relationship management – di seguito “CRM” di ENI (v. verbale del 18 febbraio 2019, pag. 4).

Una volta acquisite, “tutte le proposte contrattuali vengono verificate mediante chiamate di controllo automatizzate (check call) effettuate sul numero di telefono indicato nella proposta contrattuale nonché mediante l’invio di una email e di un sms contenenti, un link e il numero di ricontatto per la conferma da parte del cliente. Nel caso in cui la chiamata automatizzata non sia andata a buon fine e non sia intervenuta conferma tramite gli altri canali, viene effettuata un’ulteriore check call con operatore di società esterne in outsourcing” (v. verbale del 18 febbraio 2019, pag. 5). All’esito dei predetti controlli, al cliente viene trasmessa tramite posta, mediante una modalità di spedizione che consente di avere una prova di consegna nella cassetta postale del contraente, la lettera di accettazione; a questa segue, dopo un lasso di tempo individuato in 19 giorni dalla data dell’invio della stessa, la richiesta di switching trasmessa al Sistema informativo integrato per l’attivazione della fornitura. Ove la check call con operatore dia esito “irreperibile”, tale risultato non interrompe il procedimento di contrattualizzazione, determinando il passaggio alla fase successiva di trasmissione dell’accettazione al contraente e di relativa attivazione della fornitura.

Tale procedura è stata modificata nel settembre 2018, data a partire dalla quale “in assenza di contatto dopo 10 tentativi [di check call] automatici e 5 mediante operatore, l’irreperibilità del cliente è [divenuta] bloccante per tutte le proposte contrattuali acquisite tramite [modalità] cartacea e non per quelle acquisite tramite tablet” (v. verbale del 18 febbraio 2019, pag. 5). La modifica procedurale sopra menzionata è stata implementata da ENI a seguito “dell’operato scorretto” (oggetto di specifico atto di denuncia-querela da parte della predetta società) di una propria Agenzia nella raccolta delle proposte contrattuali dalla cui attività è emerso un numero significativo di contratti di somministrazione non richiesti recanti dati personali errati (v. verbale del 18 febbraio 2019, pagg. 6-7 e nota integrativa del 15 marzo 2019, pag. 30). In particolare, Eni avrebbe riscontrato la presenza nel proprio CRM di contratti che, ad eccezione dei dati relativi al codice fiscale e al POD (dati necessari all’attivazione della procedura di switching) riportavano una serie di altre informazioni inesatte (nello specifico: indirizzo di fornitura, recapito telefonico e email, estremi del documento di riconoscimento).  A seguito di tale vicenda, sono state adottate da ENI una serie di misure correttive e precauzionali. In particolare:

- a partire da agosto 2018, è stato “ritenuto opportuno accogliere tutti i reclami pervenuti per disconoscimento dei relativi contratti” e il relativo “completamento della procedura di ripristino a favore dell’originario fornitore alle medesime condizioni contrattuali precedenti allo switching verso [ENI], senza l’addebito di alcun costo; tale procedura è stata effettuata [d’ufficio] per tutti i circa 7200 clienti coinvolti, applicando l’art. 66-quinquies del Codice del consumo” (v. verbale del 19 febbraio 2019, pag. 6; v. anche nota di ENI del 29 giugno 2019);

- il 30 agosto 2018 è stato risolto il contratto con la suddetta Agenzia, applicando le penali ivi previste (v. verbale del 19 febbraio 2019, pag. 6; v. anche nota di ENI del 29 giugno 2019);

- il “21 gennaio 2019, mediante una routine massiva automatica, è stato aggiornato lo stato dei consensi dei clienti contrattualizzati dai suddetti venditori ‹scorretti› dell’Agenzia (…) nel CRM attraverso una valorizzazione [dei medesimi consensi] a NO” (v. verbale del 19 febbraio 2019, pag. 6; v. anche nota di ENI del 29 giugno 2019);

- a far data da settembre 2018, è stata attivata “la check call bloccante sulle proposte contrattuali acquisite in modalità cartacea” e sono stati avviati “una serie di monitoraggi sull’operato degli agenti/venditori (es: verifica delle proposte contrattuali con numeri di telefono non reperibili, indirizzi di fatturazione non corrispondenti all’indirizzo di fornitura ecc.)” (v. verbale del 19 febbraio 2019, pagg. 6 e 7; v. anche nota del 29 giugno 2019);

- infine è stato posto in essere “un processo di verifica di fattibilità di un sistema automatico di alert volto a individuare preventivamente l’inserimento a sistema di numerazioni telefoniche e indirizzi email ricorrenti”. La società ha precisato in merito che la procedura per la verifica di fattibilità del suddetto sistema è stata avviata nel maggio 2018 ed è in corso di implementazione (v. verbale del 19 febbraio 2019, pag. 7 e verbale del 20 febbraio 2019, pag. 6; v. anche nota di ENI del 29 giugno 2019, pag. 19).

Sono altresì in corso di valutazione, da parte di ENI, ulteriori misure volte ad innalzare il livello di tutela dei dati personali trattati dalla società (v. nota di ENI del 29 luglio 2019). Si fa in particolare riferimento ad iniziative inerenti: la revisione del contratto di agenzia e dei relativi allegati al fine di potenziare i controlli sull’operato degli agenti (v. nota di ENI del 29 luglio 2019, pagg. 1-2); l’implementazione di procedure, anche di natura tecnica (ad es. mediante sistemi di artificial intelligence e machine learning) per la verifica dell’esattezza dei dati (v. nota di ENI del 29 luglio 2019, pagg. 2-3); la definizione di una task force antifrode per il monitoraggio dei fenomeni fraudolenti (v. nota di ENI del 29 luglio 2019, pag. 2).

Dagli accessi al CRM effettuati nel corso dell’attività ispettiva e dalla documentazione acquisita agli atti, è emerso altresì che:

- tutti i reclami pervenuti al Garante si riferiscono a trattamenti di dati personali effettuati da ENI mediante l’Agenzia oggetto di denuncia-querela con eccezione di un’istanza inerente trattamenti posti in essere da ENI per il tramite di un’altra Agenzia rispetto alla quale, pur “non [essendosi] verificato il fenomeno patologico che ha interessato l’Agenzia” oggetto di denuncia, è stata comunque riscontrata la raccolta, con modalità analoghe a quelle poste in essere dalle predetta Agenzia, di dati personali inesatti (v. nota di ENI del 15 marzo 2019);

- nell’ambito delle predette vicende oggetto di reclamo l’acquisizione della proposta è avvenuta con modalità cartacea e senza l’acquisizione di copia del documento. In alcuni casi la società ha dichiarato di aver effettuato “una check call positiva senza registrazione” e in altri che la check call ha avuto esito irreperibile per “max tentativi falliti”. Ad ogni modo, in entrambe le fattispecie è stato perfezionato il procedimento di contrattualizzazione del potenziale cliente mediante trasmissione della lettera di accettazione, cui è conseguito un esito recapito “non consegnato” oppure “no info” con causale alternativamente indicata quale “indirizzo inesistente”, “destinatario sconosciuto” o “non consegnato”. In tutte le ipotesi considerate, la società ha comunque proceduto a trattare i dati personali dei contraenti ai fini dell’attivazione della fornitura di energia (v. verbale del 19 febbraio pagg. 5-7 e nota integrativa del 15 marzo 2019, Allegati nn. 53- 58);

- in diversi casi, infine, è emerso che il modulo cartaceo utilizzato dal venditore per l’acquisizione della proposta contrattuale, pur recando una data di sottoscrizione successiva al 25 maggio 2018, riportava un’informativa in materia di trattamento dei dati personali non aggiornata al Regolamento (UE) 2016/679 (v. verbale del 19 febbraio pagg. 5-7 e nota integrativa del 15 marzo 2019, Allegati nn. 53- 58).

Da ultimo, in merito alle istruzioni impartite alle Agenzie, ivi comprese quelle relative al trattamento dei dati personali, è emerso che queste sono contenute nei contratti di agenzia e di franchising con cui ENI incarica le Agenzie di svolgere l’attività di acquisizione della clientela, nonché nella documentazione ad essi allegata. Sul punto, si rileva che tra le stesse figura l’obbligo per il venditore, nella sola ipotesi di contratto proposto tramite tablet, di acquisire una copia fotografica del documento di identità del contraente, copia che è direttamente trasmessa, tramite apposita applicazione mobile, al CRM di ENI (v. verbale del 18 febbraio 2019, pag. 4).

Unitamente alle istruzioni operative, è ENI a fornire la modulistica contrattuale che le Agenzie devono obbligatoriamente utilizzare, la quale è aggiornata, con cadenza trimestrale, alle novità normative di settore. In merito, con specifico riferimento all’entrata in vigore del Regolamento (UE) 2016/679, la società ha dichiarato di aver “recepito il relativo aggiornamento normativo nella modulistica emessa in occasione della campagna retail del 16 aprile 2018, specificando nel contratto che tale previsione sarebbe stata valida a partire dal 25 maggio 2018” (v. verbale del 18 febbraio 2019, pag. 3 e nota integrativa del 15 marzo 2019, pag. 31).

3.  VALUTAZIONI DI MERITO

Dalle verifiche sopra descritte, nonché dall’esame della documentazione in atti, è emerso che i trattamenti sopra menzionati sono stati posti in essere da ENI, in qualità di titolare del trattamento, per il tramite di alcune Agenzie, designate quali responsabili dei medesimi trattamenti, per un lasso di tempo che può individuarsi a partire da gennaio 2018 (v. nota di ENI del 29 giugno 2019, pagg. 3 e 12) fino a gennaio 2019, data in cui è stato completato da parte di ENI il processo di aggiornamento del proprio CRM relativamente ai dati personali oggetto di contestazione (v. infra punto 2).

Tali condotte, per le modalità organizzative e gestionali in essere nell’ambito del sistema di acquisizione di nuovi clienti implementato da ENI – come più dettagliatamente esplicitato nel proseguo - hanno determinato un’attività di trattamento dei dati personali dei reclamanti e di altri potenziali clienti non conforme al Regolamento (UE) 2016/679 in quanto contraria ai principi di correttezza, esattezza ed aggiornamento dei dati (art. 5, par. 1, lettere a) e d) del Regolamento (UE) 2016/679); ciò con particolare riferimento alle specifiche modalità di trattamento poste in essere da alcuni agenti e venditori che hanno operato con modalità scorrette (in violazione dei principi di cui agli artt. 5, 6 e 13 del Regolamento (UE) 2016/679), rispetto alle quali è stata adita l’Autorità giudiziaria (v. atto di denuncia-querela presentata da ENI il 24 settembre 2018), e le cui condotte, pertanto, non sono oggetto, stante la previsione dell’art. 140-bis del Codice, del presente procedimento.

L’attività istruttoria ha altresì evidenziato che, sebbene i trattamenti oggetto di reclamo siano stati posti in essere da responsabili del trattamento (agenti e venditori) che hanno agito in parziale violazione delle istruzioni impartite dal titolare (v. verbale del 19 febbraio 2019, p. 6 e atto di denuncia-querela del 24 settembre 2018), è ad ogni modo emerso che le misure tecniche e organizzative adottate da ENI nell’ambito dei processi di acquisizione della clientela per il tramite del canale Agenzia non sono risultate adeguate alla natura, al contesto, alle finalità e ai rischi del suddetto trattamento, configurando una violazione del principio di “responsabilizzazione”, nonché del principio di integrità e riservatezza (art. 5, par. 1, lett. f) e par. 2, art. 24 e art. 32 del Regolamento (UE) 2016/679 – con l’effetto di ritenere assorbita la violazione, di diretta imputazione ai predetti responsabili del trattamento,  dei principi di cui agli artt. 6 e 13 del succitato Regolamento).

Sul punto, è invero opportuno rilevare che, ai sensi del predetto principio di accountability, il titolare è il soggetto cui è attribuita la “responsabilità generale” del trattamento che egli abbia posto in essere direttamente o che altri abbia effettuato per suo conto, gravando, pertanto, sullo stesso l’onere di attuare un sistema organizzativo e gestionale contraddistinto da misure reali ed efficaci di protezione dei dati nonché comprovabili (v. c. 74 e artt. 5, par. 2 e 24 del Regolamento (UE) 2016/679); ciò non soltanto mediante la corretta e puntuale predisposizione degli adempimenti imposti dalla normativa di protezione dei dati (informativa, registro delle attività di trattamento, nomina del responsabile della protezione dei dati ove obbligatoria, valutazione di impatto ove necessaria ecc.), ma soprattutto attraverso l’implementazione di procedure e prassi organizzative atte a conformare i relativi trattamenti al medesimo Regolamento (UE) 2016/679 (es. processi di mappatura dei trattamenti, regole per l’attribuzione di responsabilità, programmi di formazione del personale, procedure per la gestione delle richieste di esercizio dei diritti e dei reclami, policy per la gestione e comunicazione di violazioni di sicurezza, previsione di audit interni ed esterni con cadenza periodica ecc.; cfr. Gruppo art. 29, WP 173 del 13 luglio 2010- Opinion 3/2010 on the principle of accountability, pagg. 11-12).

Dalle verifiche poste in essere in sede di accertamenti ispettivi, nonché dall’esame della documentazione in atti, di contro, sono emerse diverse carenze nelle privacy policy attuate da ENI nel settore oggetto di attenzione, policy che sono apparse lacunose e poco efficaci soprattutto in termini di garanzia dell’esattezza dei dati trattati, di sicurezza del trattamento nonché di controllo dell’operato delle persone autorizzate a trattarli; l’inadeguatezza e la lacunosità di tali modalità procedurali ha consentito ad alcuni soggetti (nella specie agenti e venditori) di operare per un considerevole lasso di tempo in violazione delle istruzioni impartite dal titolare con ripercussioni sulla legittimità dei relativi trattamenti, in particolare in termini di correttezza degli stessi e di qualità dei dati trattati. È quanto risulta con evidenza da alcune modalità di implementazione, da parte di ENI, delle procedure di verifica dell’operato delle Agenzie, ivi comprese le istruzioni ad esse impartite, come dettagliatamente esplicitato nei termini che seguono:

-  nell’ambito della procedura di controllo della proposta contrattuale, la check call di conferma del contratto interrompe la procedura di contrattualizzazione del cliente solo in caso di esito manifestamente negativo della stessa, lasciando impregiudicate tutte le ipotesi di irreperibilità del contraente, che, come confermato dai fatti sopra evidenziati, sono state in prevalenza quelle in cui il trattamento è risultato riguardare dati non esatti né aggiornati (v. verbale del 19 febbraio 2019, pagg. 5-8 e nota integrativa del 15 marzo 2019, Allegati 53-58); tale considerazione, oltre a risultare dagli accertamenti ispettivi effettuati in loco, è confermata altresì dalla circostanza che la stessa ENI ha implementato, quale misura precauzionale adottata d’urgenza a seguito dei reclami pervenuti per attivazioni non richieste, un sistema di check call bloccante operante da fine settembre 2018 nei confronti delle proposte contrattuali acquisite dagli agenti/venditori con modalità cartacea (v. verbale del 19 febbraio 2019, pagg. 6-7);

- parimenti, l’esito negativo (in termini di “non consegnato” o “no info”) del recapito della lettera di accettazione del contratto all’indirizzo del cliente non inficia il processo di contrattualizzazione del cliente con conseguenziale completamento dello switching in favore del nuovo fornitore; inoltre, non è stata riscontrata la presenza di programmi di controllo in grado di interpretare in termini di “anomalia” l’esito negativo di tale recapito, quanto meno ove esso si verifichi in maniera ricorrente, come nelle ipotesi di specie (v. verbale del 19 febbraio 2019, pagg. 5-8 e nota integrativa del 15 marzo 2019, Allegati 53-58); misura che avrebbe invece consentito alla società di intervenire tempestivamente sulla condotta delle proprie agenzie, limitando la platea di soggetti interessati dai suddetti trattamenti illeciti;

- le istruzioni fornite agli agenti e ai venditori in caso di acquisizione della proposta contrattuale in modalità cartacea non includono, a differenza dell’ipotesi di raccolta della stessa via tablet, l’obbligo di scansione di copia del documento di identità del contraente (v. verbale del 18 febbraio 2019, pag. 3 e nota integrativa del 15 marzo 2019, Allegati 53-58); la previsione di tale obbligo, anche in ordine alle proposte contrattuali redatte in modalità cartacea, avrebbe verosimilmente potuto limitare le condotte oggetto di contestazione, consentendo all’Agenzia, in prima battuta, nonché ad ENI, in un secondo momento, di verificare l’esattezza delle informazioni personali riportate nella modulistica contrattuale acquisita dal venditore; l’assenza di tale misura, tra l’altro, non appare giustificata dalla eccezionalità del fenomeno dell’inserimento nelle proposte contrattuali di dati errati da parte di venditori non corretti (v. nota della società del 29 giugno 2019, pagg. 4; 10-11) se si considera che la stessa ENI è già stata oggetto in passato di provvedimenti sanzionatori e prescrittivi di altre Autorità con riferimento a condotte analoghe poste in essere da propri agenti/venditori (v. Autorità garante della concorrenza e del mercato, provvedimento n. 25701-PS10000, del 4 novembre 2015; cfr. nota della società del 29 giugno 2019, pag. 14) e che, verosimilmente proprio per prevenire tale fenomeno, “da maggio 2018 ha avviato un processo di verifica di fattibilità di un sistema automatico di alert volto a individuare preventivamente l’inserimento a sistema di numerazioni telefoniche e indirizzi email ricorrenti” (v. verbale del 19 febbraio 2019, pagg. 6-7);

- infine, molte delle proposte contrattuali oggetto dei reclami pervenuti all’Autorità presenti nel CRM di ENI, pur riportando una data di sottoscrizione successiva al 25 maggio 2018, non risultano aggiornate (con riferimento all’informativa) al Regolamento (UE) 2016/679; ciò sebbene, come espressamente dichiarato dalla società, già nell’aprile 2018 fosse stata trasmessa alle Agenzie la modulistica contrattuale aggiornata con l’espressa raccomandazione di utilizzarla a partire dal 25 maggio 2018 (v. verbale del 18 febbraio 2019, pag. 3 e nota integrativa del 15 marzo 2019, pag. 31); nonostante dunque fossero state fornite le suddette istruzioni, ENI non ha provveduto a verificare, neanche in fase di iniziale implementazione della nuova normativa, che i plichi contrattuali pervenuti con data di sottoscrizione successiva al 25 maggio 2018, fossero effettivamente corrispondenti a quelli aggiornati.

Si rappresenta da ultimo che, in sede di accertamenti ispettivi, è stato rilevato che le operazioni di trattamento illecite sopra definite hanno riguardato circa 7200 clienti, tra cui i soggetti che hanno presentato reclamo al Garante, i cui dati personali (indirizzo, numero di telefono, estremi del documento di riconoscimento e sottoscrizione), presenti nel CRM di ENI, sono risultati inesatti; ciò sia sulla base di quanto accertato dal Garante in sede di accessi al CRM posti in essere nel corso degli accertamenti ispettivi del 19 febbraio 2019, sia in merito a quanto rappresentato dalla stessa ENI che, con dichiarazione effettuata ai sensi e per gli effetti dell’art. 168 del Codice, ha precisato di avere, di propria iniziativa e indipendentemente dalla presentazione di un reclamo, “considerato irregolari circa 7200 contratti (…) in quanto i dati di contatto dei circa 7200 consumatori interessati (…) non erano [risultati] corretti” (v. nota integrativa del 15 marzo 2019, pagg. 30 e 31). In merito, pertanto si osserva che le considerazioni effettuate nel presente paragrafo in ordine alle sopra evidenziate violazioni della disciplina in materia di protezione dei dati s’intendono riferite a tale numero di soggetti interessati, con riferimento ai quali ai sensi dell’art. 58, par. 2, lett. f) del Regolamento (UE) 2016/679, si ritiene necessario disporre nei confronti di Eni Gas e luce S.p.A. la limitazione definitiva dell’ulteriore trattamento dei dati personali che li riguardano.

4. MISURE CORRETTIVE

Sulla base delle criticità sopra accertate, si ritiene necessario ingiungere al titolare del trattamento, ai sensi dell’art. 58, par. 2, lett. d, del RGPD, le seguenti misure correttive:

- l’implementazione di un sistema di check call “bloccante” per tutte le modalità (cartacee, via tablet o con altri strumenti) di acquisizione dei contratti da parte di agenti e venditori del canale “Agenzia”;

- l’obbligo di registrazione della check call ove sia andata a buon fine; in merito, con riferimento ai contratti acquisiti al CRM a partire dal 25 maggio 2018 in cui risulti che è stata effettuata “una check call positiva senza registrazione”, porre in essere verifiche a campione sulla qualità dei dati trattati;

- la definizione di sistemi di alert sensibili a varie anomalie procedurali quali ad esempio l’inserimento nel CRM di numerazioni e indirizzi ricorrenti, esiti di fallita consegna dei plichi contrattuali relativi alla trasmissione delle lettere di accettazione con riferimento a contratti provenienti dalla medesima zona territoriale o associati allo stesso codice Agenzia o rispetto ad altri indicatori di anomalia, inesattezza o incompletezza dei dati contrattuali acquisiti, numerosità dei contratti stipulati da ciascun agente/venditore;

- nell’ambito delle istruzioni impartite ad agenti e venditori, l’introduzione, anche con riferimento alle proposte contrattuali presentate con modalità cartacea, dell’obbligo di acquisizione di copia del documento di riconoscimento del potenziale cliente già previsto per quelle pervenute via tablet. In tale contesto, appare inoltre necessario predisporre sistemi di audit periodici volti a verificare a campione l’operato delle Agenzie;

- con riferimento al trattamento dei dati dei clienti rispetto ai quali, all’esito delle verifiche sopra descritte, appaia opportuno in via precauzionale sospendere la procedura di contrattualizzazione, l’implementazione di un sistema che preveda la tempestiva limitazione, in attesa di successivi controlli, di ogni ulteriore attività di trattamento dei dati medesimi; ciò adottando, in tale ipotesi, misure adeguate a garantire la segregazione dei suddetti dati rispetto a quelli trattati nell’ambito delle attività di ordinaria gestione della clientela.

5. ORDINANZA INGIUNZIONE

Le condotte illecite accertate al punto 3 (nella specie: violazioni dell’art. 5 e dell’art. 32 del Regolamento (UE) 2016/679) della presente decisione rendono applicabili nei confronti di ENI le sanzioni amministrative previste dall’art. 83, paragrafi 4, lett. a) e 5, lett. a) del Regolamento (UE) 2016/679, mediante adozione di un’ordinanza ingiunzione ai sensi degli artt. 166, comma 7, del Codice e dell’art. 18 della legge n. 689/1981.

In merito, occorre in primis rilevare che la violazione dell’art. 32 del Regolamento (UE) 2016/679, in quanto riferita a principi ricompresi nella disposizione, di portata generale, di cui all’art. 5 del Regolamento e inerenti l’“integrità e riservatezza” del trattamento (art. 5, par. 1, lett. f), del Regolamento) sarà complessivamente valutata nell’ambito della violazione della predetta disposizione normativa con conseguenziale applicazione della sola sanzione prevista all’art. 83, par. 5, lett. a) del Regolamento (UE) 2016/679.

Tale disposizione, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione, che deve “in ogni caso  [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del  Regolamento (UE) 2016/679), individuando, a tal fine, una serie di elementi, elencati all’art. 83, par. 2, del succitato Regolamento, da valutare all’atto di quantificarne il relativo importo; in adempimento di tale previsione, nel caso di specie, sono state considerate le seguenti circostanze:

a. la rilevante gravità della violazione (art. 83, par. 2, lett. a) del Regolamento (UE) 2016/679), in relazione alla natura – concernente l’inosservanza dei principi di liceità del trattamento-, alle modalità – la pluralità di condotte illecite ripetute nel tempo- e alla durata - circa un anno - della stessa. Si considerano altresì rilevanti a tal fine le caratteristiche del trattamento in termini di finalità e ampia portata dello stesso, nonché di elevato numero di interessati coinvolti e tipologia di danno da questi subito; ciò ravvisato che: le operazioni oggetto di contestazione sono state poste in essere al fine di concludere contratti di somministrazione di energia nel libero mercato, attività economica che rientra nel core business del titolare; le condotte illecite accertate hanno riguardato circa 7200 interessati, corrispondenti al 50% dei contratti attivati dai predetti agenti nel periodo preso in esame; le criticità riscontrate in materia di protezione dei dati fanno riferimento ai processi e alle politiche implementate dal titolare per lo svolgimento delle operazioni di contrattualizzazione dei clienti tramite il canale agenzia, evidenziando carenze e inadeguatezze di carattere sistemico dei predetti processi e non potendo essere pertanto riferite a sporadici episodi di disallineamento degli stessi; le violazioni accertate hanno determinato a carico dei reclamanti, oltre a pregiudizi direttamente connessi al furto d’identità da questi subito, anche la conclusione a loro insaputa di contratti e attivazioni non richieste nel mercato libero dell’energia con conseguente necessità per gli stessi di farsi carico dei relativi oneri amministrativi connessi all’instaurazione delle azioni (giudiziarie e/o amministrative) previste in tali casi a tutela del consumatore; 

b. il comportamento significativamente negligente e il rilevante grado di responsabilità del titolare in ordine alle misure tecniche e organizzative messe in atto (art. 83, par. 2, lett. b) e lett. d) del Regolamento (UE) 2016/679); ciò con specifico riferimento all’inadeguatezza delle politiche di protezione dei dati attuate da ENI nel settore oggetto di attenzione ed esplicitate nel dettaglio al punto 3 della presente decisione. In merito, si richiamano in particolare: assenza di check call bloccante in caso di esito irreperibile della stessa; mancanza di procedure di verifica ex post dell’esito negativo (in termini di “non consegnato” o “no info”) del recapito della lettera di accettazione del contratto all’indirizzo del cliente e assenza di programmi di controllo in grado di interpretare in termini di “anomalia” l’esito negativo di tale recapito, quanto meno ove esso si verifichi in maniera ricorrente; carenza di specificità nelle istruzioni fornite agli agenti e ai venditori in caso di acquisizione della proposta contrattuale in modalità cartacea; assenza di audit periodici sull’operato degli agenti/venditori;

c. l’adozione, da parte del titolare, di misure atte a mitigare o a eliminare le conseguenze della violazione (art. 83, par. 2, lett. c) del Regolamento (UE) 2016/679). Al riguardo va positivamente considerata la circostanza che Eni abbia tempestivamente adottato, una volta avuta contezza della violazione, misure volte ad attenuare gli effetti dell’illecito trattamento, misure che, per quanto solo parzialmente sufficienti ad eliminare i rischi, possono essere ritenute ragionevoli. Si fa specifico riferimento all’attività effettuata da ENI, avuta consapevolezza dei comportamenti posti in essere dai propri agenti, consistente nella “creazione di una task force ad hoc in grado di verificare in modo tempestivo le richieste ed i reclami dei clienti; attivazione di un numero verde, atto a raccogliere e veicolare celermente le istanze dei clienti, tempestivo ripristino [d’ufficio] del rapporto contrattuale con il precedente fornitore (..), abbuono integrale delle fatture ed integrale assunzione a [proprio] carico dei consumi dei clienti in questione, azzeramento dei consensi ed imputazione della dicitura ‹applicato 66 quinquies> al fine del congelamento dei soggetti nel CRM” (v. nota della società del 29 giugno 2019, pagg. 9-10; 18). Sono state inoltre adottate misure di contrasto nei confronti degli agenti coinvolti: “risoluzione contrattuale e applicazione delle penali, sospensione dei pagamenti, denuncia penale, avvio di azione di responsabilità civile” (v. nota della società del 29 giugno 2019, pagg. 18);

d. la costante cooperazione del titolare con il Garante al fine di porre rimedio alla violazione ed attenuarne i possibili effetti negativi (art. 83, par. 2, lett. f) del Regolamento (UE) 2016/679), ravvisabile nell’attività di miglioramento ed aggiornamento dei processi e delle modalità operative in corso di implementazione da parte della società; in particolare: istituzione di una procedura di “bottom up e top down risk assessment privacy e consumer protection integrato (..); creazione di una task force Antifrode (..); implementazione di sistemi di Artificial Intelligence e Machine Learning atti ad intercettare fenomeni sospetti e/o anomali (..); aggiornamento e revisione delle istruzioni agli agenti/venditori” (v. nota della società del 29 giugno 2019, pagg. 18-19; v. anche nota della società del 29 luglio 2019 e verbale di audizione del 26 luglio 2019);

e.  altri fattori attenuanti (art. 83, par. 2, lett. k) del Regolamento (UE) 2016/679): l’elevato costo (2 milioni di euro) sostenuto dalla società per l’applicazione d’ufficio, ovvero a prescindere dalla proposizione di specifica azione giudiziaria, dell’art. 66-quinquies del Codice del Consumo, a favore di tutti i 7200 clienti coinvolti con conseguenziale “storno integrale delle fatture inerenti agli addebiti scaturienti dalla fornitura goduta” (v. nota della società del 29 giugno 2019, pag. 23).

Si ritiene inoltre che assumano rilevanza, nel caso di specie e tenuto conto dei principi di effettività, proporzionalità e dissuasività ai quali la presente Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento (UE) 2016/679), le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla società con riferimento al bilancio d’esercizio per l’anno 2018, nonché la primaria posizione di mercato a livello nazionale assunta da ENI nel settore dell’erogazione dell’energia elettrica e del gas.

Si rileva altresì che la condotta in esame si colloca nell’ambito di un fenomeno, quello dei c.d. contratti non richiesti nel mercato libero dell’energia, oggetto, negli ultimi anni, di considerevole allarme sociale anche con riferimento ai profili di illecita circolazione dei dati personali dei clienti – fattispecie da diverso tempo all’attenzione di questa Autorità.

Da ultimo si tiene conto dei costi che la società è tenuta ad affrontare per adempiere alle prescrizioni di cui al punto 4 della predetta decisione.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di ENI la sanzione amministrativa del pagamento di una somma di euro 3.000.000,00 (tre milioni);

In considerazione della tipologia delle condotte poste in essere, passibili di riguardare in potenza un numero di interessati maggiore di quello effettivamente accertato, nonché del carattere di significativo disvalore sociale connesso ai predetti illeciti, si ritiene altresì che debba applicarsi, nell’ipotesi in esame, la sanzione accessoria della pubblicazione per intero sul sito del Garante del presente provvedimento/ordinanza-ingiunzione, prevista dall’art. 166, comma 7, del Codice.

6. CONCLUSIONI

Alla luce delle risultanze istruttorie di cui sopra, l’Autorità, ai sensi dell’art. 58 del Regolamento (UE) 2016/679, nel rilevare l’illiceità del trattamento con riferimento a quanto accertato al punto 3, ingiunge ad ENI di adottare le misure correttive per conformarsi al succitato Regolamento come individuate al punto 4 della presente decisione ed impone contestualmente il divieto di ogni ulteriore trattamento dei dati personali concernenti i 7200 clienti come individuati al punto 3 del presente provvedimento. Ravvisa altresì che le condotte sopra indicate rendano applicabile al caso di specie la sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento (UE) 2016/679 nella misura di euro 3.000.000,00 (tre milioni).

Si fa inoltre presente che, ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento è punito con la reclusione da tre mesi a due anni; in ogni caso, può essere applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e), del Regolamento medesimo.

Da ultimo, si rileva che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati all’Autorità.

TUTTO CIO’ PREMESSO

1) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento (UE) 2016/679, rileva l’illiceità del trattamento posto in essere da Eni Gas e luce S.p.A., con sede in San Donato Milanese, nei termini di cui in premessa e ingiunge al suddetto titolare di conformarsi, entro sei mesi dalla data della notifica del presente provvedimento, alle prescrizioni formulate al punto 4 del presente provvedimento;

2) ai sensi dell’art. 58, par. 2, lett. f) del Regolamento (UE) 2016/679, dispone la limitazione definitiva nei confronti di Eni Gas e luce S.p.A. dell’ulteriore trattamento dei dati personali concernenti i 7200 clienti individuati al punto 3 della presente decisione;

3) ai sensi dell’art. 58, par. 2, lett. i) del Regolamento (UE) 2016/679, infligge ad Eni Gas e luce S.p.A. la sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) del succitato Regolamento, ordinando e contestualmente ingiungendo al predetto trasgressore, di pagare la somma di euro 3.000.000,00 (tre milioni) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981; ciò ferma restando la facoltà per Eni gas e luce S.p.A. di definire la controversia mediante il pagamento di un importo pari alla metà della sanzione irrogata entro 30 giorni dalla data della notifica del presente provvedimento, ai sensi dell’art. 166, comma 8, del Codice;

4) ai sensi degli artt. 154 e 166, comma 7, del Codice, dispone la pubblicazione del presente provvedimento sul sito Internet del Garante;

5) ai sensi dell’art. 57, par. 1, lett. u) del Regolamento (UE) 2016/679, dispone l’annotazione, nel registro interno delle violazioni dell’Autorità, delle violazioni e delle misure adottate, ai sensi dell’art. 58, par. 2 del succitato Regolamento, con la presente decisione;

6) richiede a ENI Luce e Gas S.p.A. di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto disposto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di sei mesi dalla data della notifica del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. e) del Regolamento (UE) 2016/679.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679 nonché dell’art. 152, comma 1-bis del Codice, rappresenta che avverso il presente provvedimento può essere proposta opposizione all’Autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 11 dicembre 2019

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia