[doc. web n. 9965217]

Provvedimento del 12 ottobre 2023

Registro dei provvedimenti
n. 476 del 12 ottobre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. del 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. del 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il reclamo presentato al Garante ai sensi dell’articolo 77 del Regolamento, in data 11 novembre 2021, con il quale la Sig.ra XX ha lamentato l’attivazione a propria insaputa, da parte di Onda Più S.r.l., di una fornitura di energia non richiesta, mediante il trattamento illecito di dati personali riferiti alla stessa;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. Il reclamo e l’attività istruttoria.

In data 11 novembre 2021, è pervenuto a questa Autorità un reclamo avente ad oggetto l’attivazione, da parte di Onda Più S.r.l., di un contratto non richiesto nell’ambito della fornitura di energia, mediante il trattamento di dati personali inesatti e non aggiornati.

La reclamante, in particolare, ha riferito di aver appreso di essere passata ad un nuovo fornitore esclusivamente a seguito dell’avvenuto distacco della fornitura di energia intestata alla stessa, per presunti mancati pagamenti richiesti da Onda Più S.r.l.

Al riguardo, è stata avviata un’istruttoria invitando, ai sensi dell’art. 157 del d.lgs. n. 196 del 30 giugno 2003 (di seguito “Codice”), il titolare a fornire informazioni in ordine alle modalità di trattamento dei dati personali dei clienti per le finalità di contrattualizzazione degli stessi nonché alle ulteriori misure adottate per dimostrare la propria conformità al Regolamento, ivi comprese quelle implementate nel caso di specie (v. richiesta del 1° dicembre 2021). Considerato che il riscontro fornito da Onda Più S.r.l. con nota del 3 dicembre 2021 non rispondeva in maniera puntuale alle richieste avanzate dall’Autorità, il 18 luglio 2022 è stata trasmessa un’ulteriore comunicazione ai sensi dell’art. 157 del Codice.

Accertato che la sopra menzionata richiesta, pur essendo stata regolarmente notificata al titolare, rimaneva inevasa, l’Autorità, ai sensi dell’art. 166, comma 5 del Codice, ha notificato, per il tramite del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza (di seguito “Nucleo”), la violazione dell’art. 157 del Codice (art. 166, comma 2 del Codice), richiedendo al contempo al predetto Nucleo di acquisire, presso la Società, le informazioni richieste con la nota del Garante del 18 luglio 2022.

Sono altresì pervenute ulteriori informazioni con riscontro del 6 aprile 2023, a seguito di specifica richiesta del Garante trasmessa, ai sensi dell’art. 157 del Codice, il 9 marzo 2023.

2. Gli elementi acquisiti in sede istruttoria.

Nell’ambito dei riscontri sopra indicati e nel corso delle attività ispettive poste in essere dal Nucleo (v. verbali del 19 e 20 ottobre 2022), il titolare ha dichiarato quanto riportato di seguito.

Onda Più S.r.l. –“azienda che si occupa di vendita di luce e gas e prodotti di efficienza energetica, con sede operativa a Siracusa, facente capo al gruppo ENERON S.p.A.”– “ha una base clienti di circa. 12.000, prevalentemente localizzati in Sicilia. I principali canali di acquisizione [degli stessi] sono rappresentati dagli Onda Store, localizzati sul territorio siciliano e nello specifico nell’area sud-orientale, dagli agenti door to door, e la rimanente parte tramite teleselling”.

Al fine di “ampliare le modalità di acquisizione dei clienti, nel 2020, Onda [Più S.r.l.] ha, inoltre, introdotto una nuova modalità di contrattualizzazione del cliente tramite il sistema di firma digitale OTP” che “consente la firma digitale del contratto” mediante autenticazione previa password trasmessa al numero di telefono o all’indirizzo e-mail fornito dal cliente (v. verbale del 19 ottobre 2022, pagg. 2-3; verbale del 20 ottobre 2022, pag. 3).

I dati personali della clientela “sono contenuti in un data base in hosting presso la società Mobile Solution S.r.l. di Varese”, nominata responsabile giusto atto di designazione del 22 maggio 2022 (v. verbale del 19 ottobre 2022, pag. 3 e allegato 7).

Il processo di contrattualizzazione ad opera delle agenzie porta a porta, è avviato per il tramite “dell’inserimento dei dati dei clienti prospect nell’applicativo ERP aziendale, da parte degli operatori/agenti di vendita commerciale, tramite l’utilizzo di credenziali personali (…). In questa fase vengono inseriti i contratti cartacei scannerizzati, (…) e il contratto, in formato PDF, sottoscritto con firma OTP”.

Al termine di tale inserimento, l’agente, verificata la completezza della documentazione presente, carica il contratto nel sopra menzionato gestionale con lo status ‘firmato per verifica commerciale’.

La predetta documentazione è quindi sottoposta, ad opera di dipendenti dell’area vendite della Società, a una verifica c.d. di backoffice che consiste nell’effettuazione del c.d. pre-check sul Sistema informativo integrato (controllo in ordine alla corretta associazione/congruità tra il codice fiscale e il Punto di prelievo – “PDP”), all’esito del quale, ove positivo, “i clienti prospect (…) ricevono un SMS e/o una email, ai riferimenti indicati in fase di sottoscrizione del contratto, contenenti le condizioni tecniche economiche concordate. Tale sistema non consente però di avere l’esattezza dei riferimenti e dei dati del reale utilizzatore dell’utenza” (v. verbale del 19 ottobre 2022, pag. 3).

All’esito di tale fase, i contratti “vengono estratti per effettuare [una] check call [chiamata di verifica]; (…) anche in quest’ultimo controllo, pur richiedendo di parlare necessariamente con l’effettivo intestatario dell’utenza e richiedendo informazioni anagrafiche e tecniche aggiuntive, in caso di volontà fraudolenta, non [è possibile] avere la certezza che il cliente sia l’effettivo utilizzatore dell’utenza”.

Ove la prima chiamata di verifica dia esito negativo, ne viene effettuata una seconda, fallita la quale “il contratto non può più essere recuperato”. In caso di risultato positivo della chiamata di verifica, invece, il contratto è sottoposto dalla funzione di Sales support a una verifica di ‘regolarità’ quale ad esempio la sussistenza di “condizioni tecnico economiche non scadute, Codice Fiscale valido, P.IVA attiva, eventuale presenza dei documenti di identità, etc.”.

Superato positivamente il predetto controllo, i contratti “vengono da questo momento analizzati dalla back office operation (…) e nuovamente inviati in pre-check sul SII, per esser sicuri che nel frattempo non sia cambiato qualcosa. Se l’esito del pre-check è (…) OK (..) i clienti (…) ricevono la ‘call di preattivazione’ da parte dell’area clienti che, solo su esito positivo, porta lo stato [dei contratti] in ‘pronto per switching’, altrimenti i contratti muoiono definitivamente nello stato di ‘ko da ripensamento’. I contratti nello stato ‘pronto per switching’, vengono (…) caricati sul portale del SII per l’attivazione. In qualche giorno massimo, il SII fornisce gli esiti di attivazione” che, ove positiva, comporta l’avvio della fornitura al cliente. Infine, “post attivazione, viene fatta la welcome call [di] benvenuto al cliente” ed inviata “via mail la welcome letter” contenente le informazioni relative alla fornitura attivata (v. verbale del 19 ottobre 2022, pagg. 4-5).

In aggiunta alle modalità sopra descritte, a partire dall’aprile 2021, sono stati implementati specifici processi interni di controllo per i contratti sottoscritti tramite OTP.

Tale iniziativa è stata avviata a seguito di alcune criticità emerse con riferimento ai contratti procacciati da un’agenzia partner, la Castiello Coop A.r.l., incaricata di acquisire potenziali clienti.

Al riguardo, infatti, Onda Più S.r.l., all’atto dell’effettuazione della welcome-call, ha constatato che “la maggior parte dei potenziali clienti, appartenenti alla medesima struttura commerciale, aveva il numero di telefono spento o irraggiungibile”.

È stata pertanto effettuata un’attività di “verifica degli indirizzi IP di coloro che avevano sottoscritto il contratto con codesta società e provenivano tutti da IP simili; (…) geo localizzando gli indirizzi IP [la Società ha evidenziato] che la località di sottoscrizione era differente da quella di residenza/fornitura del potenziale cliente. Infine [sono state esaminate] le mail dei prospect inserite dall’agenzia per la firma del contratto e la maggior parte appartenevano a provider di mail temporanee” (v. verbale del 20 ottobre 2022, pag. 2).

La Società ha pertanto provveduto, in primo luogo, a bloccare la validazione di “7 contratti sospetti, e degli altri 8, tra i quali quello della ricorrente, 7 [sono stati] risolti bonariamente ed 1 è diventato (…) cliente”.

Successivamente sono stati implementati, quale parte integrante del processo di contrattualizzazione tramite OTP da parte delle agenzie porta a porta, una serie di controlli aggiuntivi volti ad evitare il ripetersi di eventi di analoga natura (v. verbale del 19 ottobre 2022, pag. 5 e verbale del 20 ottobre 2022, pag. 1).

Nello specifico:

- verifica in ordine al numero di volte in cui l’indirizzo IP è stato utilizzato all’atto della sottoscrizione dei contratti: il fatto che l’IP sia utilizzato più volte per sottoscrivere contratti intestati a persone diverse genera un alert sull’agente di riferimento;

- geolocalizzazione del dispositivo utilizzato per l’OTP al fine di comparare tale informazione con i dati di fornitura/residenza indicati nel contratto;

- controllo relativo ai numeri di telefono/indirizzi e-mail ridondanti utilizzati per la sottoscrizione del contratto: “se allo stesso numero[/indirizzo e-mail] corrispondono più anagrafiche”, si genera un alert volto all’effettuazione di ulteriori controlli; 

- analisi dei domini degli indirizzi e-mail, al fine di identificare quelli temporanei; “in tal caso [si provvede] a bloccare i contratti e a segnalare la casistica al business partner interessato chiedendo delucidazioni”;

- le “suddette verifiche (…) vengono [altresì] incrociate con i dati inseriti dai business partner per evidenziare elementi in comune che diano un disegno chiaro sulle modalità di ingaggio e di acquisizione dei clienti” di questi ultimi;

- infine è effettuata una verifica “sulla frequenza con cui i clienti rispondono alla check call prestando attenzione ai tentativi effettuati. Se i potenziali clienti rispondono al primo tentativo, e in misura considerevole”, si genera un alert (v. verbale del 19 ottobre 2022, All. 2).

In ordine alle attività di verifica delle operazioni di trattamento effettuate dai responsabili del trattamento, la Società ha rappresentato che, avendo nominato un nuovo responsabile della protezione dei dati nel febbraio 2022, “tutta la documentazione contrattualistica, come tutta l’altra attività relativa alla normativa Privacy, è in corso di aggiornamento e implementazione. Alla luce di questo, anche le modalità di verifica delle attività di trattamento poste in essere dai responsabili ex art. 28 del RGPD e le eventuali sanzioni applicabili, al momento sono in revisione”.

Ha inoltre aggiunto di non essere “in grado di documentare la formazione erogata né gli audit effettuati [in passato]”, ribadendo, ad ogni modo, che il contratto con l’agenzia Castiello Coop A.r.l., è stato in essere per soli due mesi e interrotto tempestivamente non appena avuta contezza delle criticità sopra evidenziate (v. verbale del 20 ottobre 2022, pag. 2).

Con specifico riferimento alla vicenda afferente alla reclamante, “il 20/04/2021 è stato stipulato il contratto in questione, in modalità a distanza con sistema OTP di firma ed accettazione della proposta di contratto, successivamente confermato in data 22/04/2021 con la chiamata di check call (…) al recapito telefonico presente sul contratto (…). In data 06/05/2021 è stata eseguita la telefonata di pre-attivazione al recapito telefonico presente sul contratto in seguito alla quale la cliente manifestava la decisione di attivare le utenze ed in seguito è stata effettuata richiesta di attivazione della fornitura con esito di switching acquisito. In data 24/05/2021 è stata inviata (alla mail presente sul contratto), la lettera di benvenuto con l’indicazione dell’offerta e dei dati tecnici di fornitura”.

A seguito dell’attivazione della fornitura dell’utenza, il 1° giugno 2021 è stata effettuata la welcome-call e la Società ha riscontrato che “la maggior parte dei potenziali clienti, appartenenti alla medesima struttura commerciale [tra cui anche la reclamante], aveva il numero di telefono spento o irraggiungibile. (…) Successivamente all’entrata in fornitura del PDP (punto di prelievo), nonostante l’invio delle fatture emesse e dato il persistere dei mancati pagamenti, si è proceduto a contattare il cliente al recapito telefonico presente sul contratto nelle date del 25 agosto, 22 settembre e 18 ottobre (…). Tutte le telefonate effettuate sono state sempre con esito negativo per mancata risposta della cliente. In data 11/11/2021, la cliente ha contattato il (…) numero verde [di Onda Più S.r.l.] identificandosi e chiedendo l’invio tramite nuova email (…) delle fatture emesse fino a tale data. Il giorno 12/11/2021, [è stato] ricevuto (…) il reclamo [della Sig.ra XX] per disconoscimento del contratto, in seguito al quale [sono state] stornate le fatture emesse e riconosc[iuta] la procedura di rispristino per contratti non richiesti” (v. verbale del 20 ottobre 2022, pagg. 2-3).

Per quanto concerne le azioni di controllo intraprese, a seguito della presentazione della contestazione della reclamante, nei confronti dell’agente incaricato della conclusione del predetto contratto, la Società ha “bloccato i contratti proposti dall’Agenzia Castiello ritenuti sospetti e, risolto bonariamente, come con la ricorrente, quelli che erano già stati ultimati. Al momento non sono state intraprese azioni legali nei confronti dell’Agenzia Castiello, se non la chiusura del rapporto di collaborazione con la stessa dopo circa due mesi dalla sottoscrizione del contratto” (v. verbale del 20 ottobre 2022, pag. 3). “Per l’attività così svolta, riscontrata da subito non conforme a quanto pattuito contrattualmente, la Società (…) a titolo di mero ristoro dei danni arrecati non ha riconosciuto alcuna provvigione all’Agenzia” (v. nota del 6 aprile 2023, pag. 1).

Nei “mesi aprile-maggio 2021, la Castiello ha procurato alla Onda Più 231 proposte contrattuali, tra vendita dei servizi di energia elettrica e gas, di cui ben 177 sono state annullate e non portate in attivazione”; “solo 54 sono entrate in fornitura con Onda Più”.

Tra i clienti oggetto delle stesse “19 hanno presentato reclamo, e con questi sono state concordate idonee soluzioni transattive a fronte della corretta erogazione del servizio di fornitura presso la loro utenza. (…) A livello complessivo, nei due mesi in cui la Castiello è stata operativa (aprile-maggio 2021), la rete di vendita della Onda, tramite il canale porta a porta, al netto dell’operato della Castiello ha procurato 648 proposte contrattuali di cui 535 effettivamente entrate in fornitura” (v. nota del 6 aprile 2023, pagg. 1-2).

3. La notifica delle violazioni e le memorie difensive.

Con comunicazione del 17 aprile 2023, l’Ufficio, sulla base della documentazione in atti e degli elementi acquisiti nel corso dell’istruttoria, ha provveduto a notificare a Onda Più S.r.l. l’avvio del procedimento per l’adozione dei provvedimenti di cui agli artt. 58, par. 2, e 83, del Regolamento in relazione alla violazione dell’art. 5, par. 1, lettere a) e d) e par. 2 e dell’art. 24 del Regolamento; ciò in conformità a quanto previsto dall’art. 166, comma 5, del Codice.

Al riguardo, la Società, con nota del 16 maggio 2023, ha fatto pervenire i propri scritti difensivi, con i quali ha, in particolare precisato che il numero di 177 proposte contrattuali annullate e non portate ad attivazione, dalla stessa dichiarato con nota del 6 aprile 2023 (v. notifica di violazione del 17 aprile 2023, pag. 4), potrebbe ricomprendere al proprio interno anche “casi di annullamento, (…) di ripensamento ai sensi dell'art. 52 del Codice del Consumo, [di] credit check negativo e in generale tutti i KO per altri motivi di incongruenza tecnica-fiscale”.

La Società, infatti, in considerazione del comportamento scorretto dell’Agenzia Castiello Coop A.r.l. ha, in via precauzionale, “portato preventivamente all’annullamento tutte le proposte contrattuali procurate da quest’ultima in maniera indistinta (…) proprio per evitare eventuali conseguenze negative nei confronti degli interessati, anche in assenza dell’evidenza del disconoscimento da parte dell'interessato” (v. nota del 16 maggio 2023, pag. 2).

In ragione di tale politica di gestione delle pratiche clienti, il numero di contratti oggetto di attivazione non richiesta, potrebbe essere inferiore a quello sopra riportato (v. nota del 16 maggio 2023, pagg. 1-2).

La Società, nell’ambito delle predette memorie difensive, ha inoltre indicato, tra gli elementi a proprio favore per l’eventuale determinazione della sanzione amministrativa, la circostanza di essersi prontamente e spontaneamente attivata, a seguito dell’esperienza verificatasi con l’agenzia Castiello Coop A.r.l., per introdurre “ulteriori controlli effettuati dal personale aziendale interno, reparto supporto vendite, volti a scoprire in largo anticipo eventuali comportamenti anomali dei partner commerciali”, nonché per migliorare il processo di contrattualizzazione della clientela ad opera delle agenzie (v. nota del 16 maggio 2023, pag. 3).

Più nello specifico, oltre alle misure già indicate al par. 2 del presente provvedimento, la Società ha provveduto a:

‒ aggiornare la documentazione inerente al contratto di mandato e alla designazione “dei responsabili del trattamento ai sensi dell’art. 28 del GDPR, allegata al [predetto contratto] (…) al fine di monitorare [con maggiore efficacia] la corretta adozione delle misure tecniche e organizzative del trattamento effettuato, vigilare sull’applicazione delle misure di sicurezza e garantire che i trattamenti vengano svolti correttamente dal personale aziendale e dai fornitori della Società” (cfr. nota del 16 maggio 2023, pag. 4);

‒ introdurre, a carico delle agenzie, “penali in misura maggiore alla provvigione, che in tal caso viene anche stornata, per trattamenti non conformi alle disposizioni impartite tramite il disciplinare tecnico, fino alla risoluzione contrattuale con possibilità di ulteriore richiesta di risarcimento dei danni” (v. nota del 16 maggio 2023, pag. 4);

‒ prevedere, a partire dal mese di aprile 2023, “un’ulteriore chiamata (Welcome call) che viene fatta a ridosso della attivazione della fornitura. Vengono contattati tutti i Clienti in attivazione o attivi che non hanno ancora ricevuto la prima fattura con l’obiettivo di creare un contatto con il cliente nella fase successiva alla firma del contratto verificando nuovamente i dati anagrafici e tecnici e la bontà del contratto”; ciò al fine di “intercettare ulteriormente eventuali casi di acquisizioni non perfettamente trasparenti al Cliente fino all’applicazione della procedura ripristinatoria alle forniture non richieste” (v. nota del 16 maggio 2023, pag. 5);

‒ procedere a un’analisi mensile degli esiti dei contatti con il Cliente al fine di verificare “le percentuali di soddisfazione del Cliente e quelle di insoddisfazione, intervenendo tempestivamente nei confronti degli Agenti per verificare eventuali inadempienze e provvedere con la correzione delle criticità” (v. nota del 16 maggio 2023, pag. 5);

‒ pianificare, a partire dalla fine del mese di maggio 2023, una serie di “incontri formativi in tema privacy per le Società del Gruppo Eneron” nonché intensificare la “frequenza degli incontri periodici tra le funzioni vendita, customer care e operations, al fine di analizzare la qualità acquisitiva degli agenti, tramite audit periodici, e individuare ulteriori azioni di controllo e correttive, laddove necessarie” (v. nota del 16 maggio 2023, pag. 5).

4. L’esito dell’istruttoria: la violazione dei principi di correttezza, di esattezza e di accountability.

In primis si rappresenta che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Tanto doverosamente premesso, all’esito dell’esame degli elementi acquisiti nel corso delle verifiche sopradescritte, nonché delle successive valutazioni svolte dall’Autorità, è stato accertato che il trattamento dei dati personali di cui alla presente decisione, è stato posto in essere, da Onda Più S.r.l., in qualità di titolare, per il tramite di un’agenzia, designata responsabile delle medesime operazioni di trattamento, nel lasso di tempo (dal 7 aprile 2021 al 31 maggio 2021) in cui la stessa ha agito al fine di procacciare potenziali clienti per conto della mandante (v. verbale del 19 ottobre 2022, All. 4; v. riscontro del 6 aprile 2023, pag. 1).

Tale condotta, per le modalità organizzative e gestionali in essere nell’ambito del sistema di acquisizione di nuovi clienti implementato da Onda Più S.r.l. –come più dettagliatamente esplicitato nel proseguo– ha determinato un’attività di trattamento dei dati personali della reclamante e di altri potenziali clienti non conforme al Regolamento in quanto contraria ai principi di correttezza ed esattezza dei dati (art. 5, par. 1, lettere a) e d) del Regolamento); ciò con particolare riferimento alle specifiche modalità poste in essere da alcuni agenti e venditori all’atto della acquisizione di proposte contrattuali mediante il trattamento di dati inesatti e non aggiornati riferiti alla clientela.

L’attività istruttoria ha altresì evidenziato che, sebbene i trattamenti oggetto di reclamo siano stati posti in essere da responsabili del trattamento (agenti e venditori della Castiello Coop A.r.l. –società in liquidazione dal 19 luglio 2021–) che hanno operato in violazione delle istruzioni impartite dal titolare (v. verbale del 20 ottobre 2022, All. 4), è parimenti emerso che le misure tecniche e organizzative adottate da Onda Più S.r.l., nell’ambito dei processi di acquisizione della clientela per il tramite del canale Agenzia door to door, non sono risultate adeguate alla natura, al contesto, alle finalità e ai rischi del suddetto trattamento, configurando una violazione del principio di “responsabilizzazione” (art. 5, par. 2 e art. 24 del Regolamento).

Sul punto, è invero opportuno rilevare che, ai sensi del predetto principio, il titolare è il soggetto cui è attribuita la “responsabilità generale” del trattamento che egli abbia posto in essere direttamente o che altri abbia effettuato per suo conto, gravando, pertanto, sullo stesso l’onere di attuare un sistema organizzativo e gestionale contraddistinto da misure reali ed efficaci di protezione dei dati nonché comprovabili (v. c. 74 e artt. 5, par. 2 e 24 del Regolamento); ciò non soltanto mediante la corretta e puntuale predisposizione degli adempimenti imposti dalla normativa di protezione dei dati (informativa, registro delle attività di trattamento, nomina del responsabile della protezione dei dati ove obbligatoria, valutazione di impatto ove necessaria ecc.), ma soprattutto attraverso l’implementazione di procedure e prassi organizzative atte a conformare i relativi trattamenti al medesimo Regolamento (es. processi di mappatura dei trattamenti; regole per l’attribuzione di responsabilità; programmi di formazione del personale; procedure per la verifica dell’operato dei responsabili designati ai sensi dell’art. 28; previsione di audit interni ed esterni con cadenza periodica ecc.; cfr. Gruppo art. 29, WP 173 del 13 luglio 2010- Opinion 3/2010 on the principle of accountability, pagg. 11-12).

Nello specifico settore dell’energia e del gas, inoltre, il Garante si è già espresso, fin dal dicembre 2019, in ordine alle modalità organizzative e gestionali che un titolare del trattamento, operante nella vendita di energia nel mercato libero, è tenuto ad adottare, all’atto dell’acquisizione di nuovi clienti, per garantire ed essere in grado di dimostrare che il trattamento sia effettuato conformemente al Regolamento (artt. 5, par. 2 e 24 del Regolamento; v. provvedimento dell’11 dicembre 2019 –doc. web n. 9244358).

Tale decisione, per quanto rivolta ad uno specifico fornitore, contiene indicazioni utili, di portata generale, in relazione alle misure tecnico-organizzative che un operatore energetico deve adottare al fine di verificare il rispetto delle istruzioni impartite ai responsabili nonché l’esattezza dei dati personali da questi trattati nel corso delle operazioni di contrattualizzazione dei propri clienti.

Dalle verifiche poste in essere in sede di accertamenti ispettivi, nonché dall’esame della documentazione in atti, di contro, sono emerse diverse carenze nelle privacy policy attuate da Onda Più S.r.l. nel settore oggetto di attenzione, policy che sono apparse lacunose e poco efficaci soprattutto in termini di garanzia dell’esattezza dei dati trattati, di sicurezza del trattamento nonché di controllo dell’operato delle persone autorizzate a trattarli.

L’inadeguatezza e la lacunosità di tali modalità procedurali hanno consentito ad alcuni soggetti (nella specie agenti e venditori) di operare in violazione delle istruzioni impartite dal titolare con ripercussioni sulla legittimità dei relativi trattamenti, in particolare in termini di correttezza degli stessi e di qualità dei dati trattati.

È quanto risulta con evidenza da alcune modalità di implementazione, da parte di Onda Più S.r.l., delle procedure di verifica dell’operato dell’Agenzia interessata dal caso di specie, come dettagliatamente esplicitato nei termini che seguono.

5. L’inadeguatezza delle misure tecniche e organizzative adottate dalla Società nell’ambito delle attività di contrattualizzazione dei clienti.

É emerso che il processo di contrattualizzazione dei clienti, come affidato da Onda Più S.r.l. alle agenzie door to door (e seguito nel caso di specie), prevede una doppia fase di “verifica” della volontà contrattuale (e conseguentemente della qualità dei dati trattati ed inseriti dagli agenti nell’applicativo ERP) basata, in primis, sull’invio di un SMS e/o di una e-mail, e in seconda battuta per il tramite di una check call, attività entrambe effettuate ai riferimenti indicati dal cliente in fase di sottoscrizione del contratto.

Il sistema così concepito, sconta il rilevante limite di essere basato unicamente su recapiti forniti dall’agente venditore e non fornisce sufficiente certezza della corrispondenza di questi ultimi con il reale utilizzatore dell’utenza, comportando il rischio per Onda Più S.r.l. -verificatosi nella fattispecie in esame- di acquisire contratti non richiesti contenenti dati personali inesatti e non aggiornati (v. verbale del 19 ottobre 2022, pag. 4).

Al riguardo, si rileva altresì che la trasmissione della documentazione contrattuale via e-mail o via sms non è effettuata per il tramite di modalità che consentano al titolare di avere prova dell’effettiva ricezione di tale documentazione da parte del cliente (quali ad esempio l’utilizzo di messaggi di conferma di trasmissione e lettura del contenuto del messaggio), con la possibilità che la stessa, in quanto inviata ad un numero telefonico o ad un indirizzo e-mail non appartenente al potenziale cliente, non venga dallo stesso mai visionata –circostanza riscontrata nel caso di specie.

Alla luce di quanto sopra espresso, pertanto, in considerazione dei rischi connessi al trattamento posto in essere nonché della natura e del contesto dello stesso, le summenzionate misure appaiono inadeguate a conformare lo stesso a quanto previsto dal Regolamento; ciò considerato peraltro che il fenomeno delle attivazioni non richieste, specialmente per il tramite delle modalità concretamente utilizzate nel caso in esame, era già pienamente conosciuto da anni nel settore di riferimento, come testimoniato non solo dal provvedimento del Garante dell’11 febbraio 2019 sopra citato, ma anche dai diversi e numerosi provvedimenti adottati anche da altre Autorità nei rispettivi ambiti di competenza in relazione a condotte illecite finalizzate alla conclusione di contratti all’insaputa dei potenziali clienti (cfr. tra i tanti, AGCM, provvedimenti del 21 dicembre 2016, rif. PS6259, PS10114 e PS10338; AGCM, provv. del 13 dicembre 2022, n. 30422).

Le medesime osservazioni devono essere formulate con riferimento alla diversa misura consistente nella effettuazione, in fase successiva all’avvenuta attivazione della fornitura, di una chiamata di benvenuto corredata dall’invio, mediante e-mail, di una welcome letter: anche in tale ipotesi è possibile richiamare quanto già rilevato supra in ordine all’incertezza inerente alla attendibilità dei recapiti acquisiti dall’agente in fase di sottoscrizione della proposta, nonché all’inesistenza di sistemi atti a comprovare l’effettiva ricezione della predetta e-mail da parte del cliente.

Al riguardo, si osserva altresì che la previsione di un diverso sistema di comunicazione con l’interessato (quale ad esempio la trasmissione della proposta contrattuale, oltre che al recapito digitale presente nel contratto, anche via posta all’indirizzo corrispondente al POD/PDR insistente sulla fornitura mediante un servizio di tracciamento dell’avvenuta consegna dello stesso) avrebbe consentito di intercettare precocemente l’anomalia riscontrata a carico dell’agenzia interessata nel caso di specie.

É emerso altresì che le procedure di verifica dei dati personali contenuti nei contratti procacciati dalle agenzie, non prevedevano, all’atto della conclusione dei rapporti di somministrazione di energia di cui al presente reclamo, l’implementazione di sistemi di alert sensibili a varie anomalie procedurali quali ad esempio: l’inserimento nel CRM di numerazioni e indirizzi e-mail ricorrenti; l’inesattezza o incompletezza dei dati contrattuali acquisiti; la numerosità dei contratti stipulati da ciascun agente/venditore; la verifica degli indirizzi IP utilizzati in fase di sottoscrizione del contratto; ecc.).

L’implementazione di tali sistemi, specialmente in ordine alle proposte contrattuali sottoscritte con modalità OTP, avrebbe di contro potuto limitare le condotte oggetto di contestazione, consentendo ad Onda Più S.r.l. di intervenire tempestivamente nelle operazioni di trattamento dei dati dei clienti contenuti nelle proposte contrattuali e di avere contezza delle violazioni poste in essere già in una fase antecedente all’attivazione della fornitura.

L’assenza di tale misura, tra l’altro, non appare giustificata dalla eccezionalità della condotta posta in essere dagli agenti, se si considera la elevata diffusione dei predetti fenomeni irregolari nel settore di riferimento ed il grado di consapevolezza richiesto al predetto titolare, in ragione del ruolo specifico da questi svolto nel contesto della vendita e fornitura di energia nel libero mercato; ciò in particolare alla luce delle indicazioni già da tempo fornite dal Garante in materia, in casi analoghi a quelli di specie, nel sopra citato provvedimento dell’11 dicembre 2019.

Da ultimo, si rileva a carico della Società che non è stata fornita documentazione atta ad attestare lo svolgimento di audit nei confronti dell’operato dei responsabili del trattamento designati ai sensi dell’art. 28 del Regolamento, né di attività di formazione degli stessi nel settore della protezione dei dati personali; non sono state altresì fornite evidenze in ordine all’esistenza di policy interne volte ad applicare specifiche sanzioni ai responsabili ex art. 28 per le ipotesi di inadempimento alle istruzioni fornite dal titolare in materia di trattamento dei dati personali (v. verbale del 20 ottobre 2022, pag. 2).
In termini più generali, è possibile affermare che la mancata adozione dell’insieme delle misure sopra indicate ha determinato, come dichiarato dalla stessa Società (v. nota del 6 aprile 2023, pagg. 1-2), il caricamento nei sistemi di Onda Più S.r.l. di circa 196 proposte contrattuali non richieste, corrispondenti -per il periodo di riferimento (aprile-maggio 2021)- al 22% del totale di proposte contrattuali complessivamente acquisite dalla Società per il tramite della rete di vendita door to door (v. nota del 6 aprile 2023, pag. 2).

Sul punto, in ordine alle specifiche contestazioni sollevate dalla Società al fine di diminuire il sopra indicato numero di proposte contrattuali procacciate dalla predetta Castiello Coop A.r.l. (v. supra, par. 3 della presente decisione), si rappresenta che non appare condivisibile quanto sostenuto dal predetto titolare in ordine alla possibile presenza, tra le predette proposte, di contratti annullabili per cause diverse dall’attivazione non richiesta (es. esercizio del diritto di ripensamento, inaffidabilità del cliente, ecc.).

Tale osservazione, infatti, -che peraltro contrasta con quanto diversamente dichiarato da Onda Più S.r.l. con nota del 6 aprile 2023 (v. pagg. 1 e 2) - non è stata supportata da alcuna allegazione documentale volta a comprovare una diversa quantificazione delle proposte contrattuali oggetto di contestazione.

Infine, con particolare riferimento al reclamo presentato nel caso di specie, si osserva che la Società, sebbene avesse accertato già da giugno 2021 la presenza di anomalie nella gestione delle operazioni di contrattualizzazione dei clienti effettuate dalla Castiello Coop A.r.l., non ha assunto comportamenti proattivi volti a contattare la Sig.ra XX al fine di assicurarsi della qualità dei dati riferiti alla stessa presenti nel proprio database (ad esempio trasmettendo una comunicazione via posta all’indirizzo risultante dal POD su cui era attivata la fornitura con un sistema che fornisse conferma della effettiva ricezione della predetta comunicazione) ma si è limitata, esclusivamente a partire dal 25 agosto 2021, ad effettuare una singola chiamata al mese, al numero presente nella documentazione contrattuale (risultato peraltro irreperibile), fino alla proposizione, nel novembre 2021, di specifico reclamo presentato spontaneamente dalla predetta cliente (v. verbale del 20 ottobre 2022, pag. 3).

6. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Alla luce di quanto complessivamente rilevato, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria, non consentano di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultino pertanto inidonee a disporre l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dalla Società risulta infatti illecito, nei termini su esposti, con riferimento alla violazione dei principi di correttezza ed esattezza dei dati, nonché di responsabilizzazione (art. 5, par. 1, lettere a) e d) e par. 2, e art. 24 del Regolamento).

La violazione delle disposizioni sopra richiamate comporta l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. a) del Regolamento.

Da ultimo, per quanto concerne l’esercizio dei poteri correttivi di cui all’art. 58, par. 2, del Regolamento, si prende atto della circostanza che Onda Più S.r.l., nel corso del procedimento, ha provveduto ad adottare alcune prime misure volte ad allineare, in conformità al quadro normativo sopra descritto, il trattamento dei dati dei clienti al Regolamento come dettagliatamente riportate nella presente decisione (v. supra, par. 2 e par. 3 della presente decisione).

Tenuto pertanto conto di quanto sopra indicato e ferme restando le summenzionate azioni già avviate dalla Società, si ritiene ad ogni modo necessario, alla luce delle ulteriori criticità rilevate a carico del titolare del trattamento, ingiungere allo stesso, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, le seguenti misure correttive:

a) definizione di meccanismi di alert idonei a rilevare varie anomalie procedurali quali l’inserimento nel CRM di numerazioni telefoniche e indirizzi e-mail ricorrenti (ad esempio superiori a 5); la difformità fra l’indirizzo di fornitura e quello di contatto del cliente; l’inesattezza o incompletezza dei dati contrattuali acquisiti; il caricamento a sistema di proposte di contratto multiple (ad esempio superiori a 4) a nome di un medesimo soggetto; l’eccessiva e inconsueta numerosità di contratti stipulati da ciascun agente/venditore; ecc., nonché di eventuali ulteriori indici di anomalia che la Società, sulla base dell’esperienza acquisita, reputi parimenti impattanti sulla corretta acquisizione dei dati personali dei potenziali clienti. Con riferimento a tale misura, non appare necessario che la stessa generi di default un’anomalia bloccante rispetto all’attivazione della relativa fornitura, essendo sufficiente che tali eventi diano luogo, a prescindere dalla effettiva prosecuzione dell’attivazione della fornitura, a una segnalazione (alert) che indichi al titolare una possibile irregolarità da esaminare mediante azioni di verifica specifiche e puntuali; ciò al fine di disporre di un sistema di controllo preventivo volto ad intercettare tempestivamente eventuali comportamenti scorretti e/o fraudolenti dei propri agenti e venditori, già in una fase antecedente alla proposizione del reclamo da parte del cliente;

b) nell’ambito dei controlli già adottati a fronte dei comportamenti fraudolenti posti in essere dall’agenzia Castiello Coop A.r.l., mediante verifica dei domini delle e-mail acquisite dagli agenti al fine di evidenziare indirizzi di posta elettronica temporanei, ripetuti o simili provenienti dallo stesso provider, nonché dei numeri mobili ripetuti o provenienti dallo stesso operatore (v. supra, par. 2 della presente decisione), l’implementazione, anche per il futuro, di analoghi controlli a cadenza settimanale e riepilogativa alla fine di ogni mese. Appare inoltre opportuno prescrivere lo svolgimento di verifiche relative agli orari di firma delle proposte contrattuali (con controlli a cadenza giornaliera);

c) introduzione di meccanismi di accertamento della effettiva ricezione delle comunicazioni trasmesse al cliente in fase di contrattualizzazione (ad es. messaggi di conferma di ricezione e di lettura delle e-mail inviate al cliente). In tale contesto, si richiede, nello specifico, la trasmissione della welcome letter anche all’indirizzo fisico di fornitura dell’utenza, unitamente all’utilizzo di un sistema di verifica dell’effettiva ricezione della stessa. Al riguardo, si osserva più in generale che, con riferimento a tali prescrizioni, non appare indispensabile che l’eventuale mancata conferma di recapito delle predette comunicazioni abbia un effetto “bloccante” per la prosecuzione della procedura di contrattualizzazione. È però necessario, come già evidenziato supra (punto a) del presente paragrafo), che la stessa generi un alert al quale seguano specifici e maggiori controlli, da parte di Onda Più S.r.l., sulle modalità di acquisizione e di trattamento dei dati dei potenziali clienti interessati;

d) previsione di audit periodici per la valutazione dell’operato delle agenzie incaricate, ai sensi dell’art. 28 del Regolamento, di trattare i dati dei clienti per finalità di contrattualizzazione;

e) con riferimento al trattamento dei dati dei clienti rispetto ai quali, all’esito delle verifiche preventive sopra descritte e di quelle già spontaneamente adottate dalla Società (v. supra, par. 2 e par. 3 della presente decisione), appaia opportuno in via precauzionale sospendere la procedura di contrattualizzazione, implementazione di un sistema che preveda la tempestiva limitazione, in attesa dell’esito dei successivi controlli, di ogni ulteriore attività di trattamento dei dati medesimi; ciò adottando misure adeguate a garantire la segregazione dei suddetti dati rispetto a quelli trattati nell’ambito delle attività di ordinaria gestione della clientela. La medesima attività deve essere posta in essere relativamente ai dati personali inerenti a contratti/proposte contrattuali rispetto alle quali sia stato presentato un reclamo per attivazione non richiesta. Tale misura richiede un intervento strutturale nell’ambito dei sistemi della Società quale, ad esempio, l’adozione di un meccanismo di oscuramento dei dati e di segregazione logica e fisica degli stessi (i dati, ovvero, sono contrassegnati e trasferiti temporaneamente in un altro sistema e, durante il periodo di limitazione, sono conservati in un regime di inaccessibilità).

Da ultimo, con riferimento ai dati personali dei clienti oggetto delle 196 proposte contrattuali non richieste procacciate dall’agenzia Castiello Coop A.r.l. (come individuate al par. 5 della presente decisione), si dispone ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, la limitazione definitiva di ogni ulteriore attività di trattamento degli stessi diversa da quella inerente alla sopra menzionata segregazione delle predette informazioni.

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83 del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali posto in essere da Onda Più S.r.l., di cui è stata accertata l’illiceità, nei termini sopra esposti.

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nell’ipotesi in esame, sono state tenute in considerazione le circostanze sotto riportate:

la rilevante gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento), in relazione alla natura –concernente l’inosservanza dei principi di liceità del trattamento– e alle modalità della stessa –la numerosità di condotte illecite poste in essere in soli due mesi di attività; ciò considerato nello specifico che le proposte contrattuali non richieste, caricate dalla Castiello Coop. Arl. per conto di Onda Più S.r.l. tra maggio e aprile 2021, corrispondono, per il medesimo periodo di riferimento, al 22% del totale di proposte contrattuali complessivamente acquisite dalla Società per il tramite della propria rete di vendita porta a porta. Si è inoltre tenuto conto delle seguenti circostanze: le operazioni oggetto di contestazione sono state poste in essere al fine di concludere contratti di somministrazione di energia nel libero mercato, attività economica che rientra nel core business del titolare; le criticità riscontrate in materia di protezione dei dati fanno riferimento ai processi e alle politiche implementate dal titolare per lo svolgimento delle operazioni di contrattualizzazione dei clienti tramite il canale agenzia, evidenziando carenze e inadeguatezze di carattere sistemico dei predetti processi e non potendo essere pertanto riferite a sporadici episodi di disallineamento degli stessi; le violazioni accertate hanno determinato a carico della reclamante e degli altri potenziali clienti coinvolti, oltre a pregiudizi direttamente connessi al furto d’identità da questi subito, anche la conclusione a loro insaputa di contratti e attivazioni non richieste nel mercato libero dell’energia con conseguente necessità per gli stessi di farsi carico dei relativi oneri amministrativi connessi all’instaurazione delle azioni (giudiziarie e/o amministrative) previste in tali casi a tutela del consumatore; sul punto, con particolare riferimento alla fattispecie oggetto di specifico reclamo, si aggiunge altresì che la reclamante ha subito, a causa delle predette violazioni, l’interruzione della fornitura di energia;

il rilevante grado di responsabilità del titolare in ordine alle misure tecniche e organizzative messe in atto da quest’ultimo (art. 83, par. 2, lett. b) e lett. d) del Regolamento); ciò con specifico riferimento all’inadeguatezza delle politiche di protezione dei dati personali attuate da Onda Più S.r.l. nel settore oggetto di attenzione ed esplicitate nel dettaglio ai paragrafi 3.1. e 3.2. della presente decisione, nonché alla luce delle indicazioni già da tempo fornite dal Garante in ordine alle modalità organizzative e gestionali che un titolare del trattamento, operante quale fornitore di energia nel mercato libero, deve implementare, all’atto dell’acquisizione di nuovi clienti, per conformarsi al Regolamento (v. provvedimento dell’11 dicembre 2019, cit.);

l’adozione, da parte del titolare, di misure atte a mitigare o a eliminare le conseguenze della violazione (art. 83, par. 2, lett. c) del Regolamento). Al riguardo va positivamente considerata la circostanza che Onda Più S.r.l. abbia tempestivamente adottato, una volta avuta contezza della violazione, alcune prime misure per attenuare gli effetti dell’illecito trattamento, misure che, per quanto solo parzialmente sufficienti ad eliminare i rischi, possono essere ritenute ragionevoli; si tiene conto altresì a tal fine della circostanza che la Società, già in una fase anteriore alla proposizione del reclamo al Garante, avesse autonomamente intercettato i comportamenti scorretti dei propri agenti in virtù dello svolgimento di alcune preliminari azioni di monitoraggio delle modalità operative delle agenzie nominate responsabili ex art. 28 del Regolamento (v. supra, par. 1.2 della presente decisione);

la circostanza che la Società abbia attivamente cooperato con l’Autorità nel corso del procedimento (art. 83, par. 2, lett. f) del Regolamento);

il fatto che non risultino precedenti violazioni commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e) del Regolamento);

altri fattori attenuanti (art. 83, par. 2, lett. k) del Regolamento): i costi sostenuti dalla Società per l’applicazione dell’art. 66-quinquies del Codice del Consumo, a favore dei clienti che hanno presentato reclamo per attivazione non richiesta con conseguenziale storno degli importi già fatturati (v. supra, par. 2 della presente decisione); la limitata estensione dell’attività di vendita di energia del titolare, attività circoscritta all’area sud-orientale della regione Sicilia (v. in merito, verbale del 19 ottobre 2022, pag. 3).

Si ritiene inoltre che assumano rilevanza nel caso di specie, in ragione dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), le condizioni economiche del contravventore, determinate in base al volume d’affari della Società nel settore della vendita di energia, di cui al bilancio d’esercizio per l’anno 2022 (ultimo disponibile).

Da ultimo, si tiene conto dei costi che la Società è tenuta ad affrontare per adempiere alle prescrizioni di cui al punto 4 della predetta decisione.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Onda Più S.r.l. la sanzione amministrativa del pagamento di una somma pari ad euro 200.000/00 (duecentomila/00).

In tale quadro si ritiene, altresì, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Ciò in considerazione della tipologia delle violazioni accertate che hanno interessato i principi generali del trattamento, in particolare i principi di correttezza, esattezza ed accountability.

Si tiene conto, altresì, a tal fine del rilevante pregiudizio subito dalla reclamante e dagli altri clienti interessati a seguito della conclusione di contratti non richiesti nel mercato libero dell’energia con conseguente necessità per gli stessi di farsi carico di tutti gli oneri amministrativi connessi all’instaurazione delle azioni giudiziarie e/o amministrative previste in tali casi a propria tutela, ivi compresa la riattivazione dell’erogazione di energia ove interrotta.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

a) ai sensi degli artt. 57, par. 1, lett. f) e 83, del Regolamento, rileva l’illiceità del trattamento effettuato da Onda Più S.r.l., con sede in Roma, p. iva n. 01787510898 nei termini di cui in motivazione, per la violazione dell’art. 5, par. 1, lettere a) e d) e par. 2 e art. 24 del Regolamento;

b) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento ingiunge alla summenzionata Società di conformarsi, entro nove mesi dalla data della notifica del presente provvedimento, alle prescrizioni formulate al par. 6 del presente provvedimento, richiedendo al contempo alla stessa di comunicare quali iniziative intende intraprendere al fine di dare attuazione a quanto disposto e di fornire, entro il predetto termine,  riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. e) del Regolamento;

c) ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, dispone, nei confronti di Onda Più S.r.l., la limitazione definitiva di ogni ulteriore attività di trattamento dei dati personali dei clienti oggetto delle 196 proposte contrattuali non richieste procacciate dall’agenzia Castiello Coop A.r.l. (cfr. par. 6 della presente decisione),;

d) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

ORDINA

e) ai sensi dell’art. 58, par. 2, lett. i) del Regolamento alla medesima Onda Più S.r.l., di pagare la somma di euro 200.000/00 (duecentomila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento.

INGIUNGE

f) quindi a Onda Più S.r.l. di pagare la predetta somma di euro 200.000/00 (duecentomila/00), secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall'art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento -sempre secondo le modalità indicate in allegato- di un importo pari alla metà della sanzione irrogata entro il termine di cui all'art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

g) la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 12 ottobre 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei