Il Provvedimento nei confronti di Eni Gas e Luce, tra conferme e approfondimenti in linea con l’approccio antispam del Garante
È stato pubblicato, sul sito web del Garante Privacy, il Provvedimento n. 232/2019, con il quale l’Authority italiana, dopo mesi di assordante silenzio, ha stabilito una sanzione “record” nei confronti del colosso del settore utilities – ENI Gas e Luce (EGL). Si tratta di un’ingiunzione di pagamento dell’importo di € 8.500.000,00 (otto milioni e cinquecentomila) per diverse violazioni al Reg. UE 2016/679 (GDPR) e del Codice Privacy, realizzate da EGL durante le attività di telemarketing[1] e teleselling[2].
In particolare, il Garante, coadiuvato nelle attività ispettive dal nucleo privacy della Guardia di Finanza, ha accertato la sussistenza di condotte in violazione della normativa sul trattamento dei dati personali, quali:
- La realizzazione di comunicazioni telefoniche promozionali in assenza del consenso dell’interessato, oppure in presenza di un espresso diniego del consenso;
- La mancata adozione di misure tecnico-organizzative idonee a garantire il recepimento delle espressioni di volontà dell’interessato e il corretto esercizio dei diritti come garantiti dal GDPR;
- La mancata individuazione di un periodo di conservazione dei dati personali pari a quanto strettamente necessario al perseguimento delle finalità per le quali i dati venivano trattati;
- La non idonea cooperazione con l’Autorità nel corso dell’Istruttoria;
- Il mancato adeguamento ai principi di accountability, privacy by design e by default.
Benché non si tratti di interpretazioni particolarmente innovative ma, anzi, alquanto in linea con le posizioni precedentemente esposte dal Garante (tra le più rilevanti, quelle espresse nel Provvedimento cd. “antispam” del 2013[3], pietra angolare della regolamentazione privacy nel contesto del direct marketing), è interessante rilevare quanto il provvedimento in esame costituisca un importante segnale per il mercato, in taluni casi orientato verso pratiche in netto contrasto con i principi generali in materia di protezione dei dati personali, quali la ri-cessione di database acquisiti da terzi o il mancato controllo, anche soltanto a campione, sulla “qualità” delle lead ricevute, anche da un punto di vista della compliance normativa.
Ad ogni modo, per meglio comprendere l’impatto del provvedimento in esame sul mercato, è opportuna in ogni caso la singola disamina delle violazioni individuate.
In primo luogo, per quanto riguarda la base giuridica del trattamento, dalla lettura del provvedimento si evince che la presenza o l’assenza del consenso non fosse, per EGL, un elemento rilevante al fine di escludere o includere il soggetto interessato nelle liste da contattare. Infatti, in molti casi, le segnalazioni giunte all’Autorità provenivano da soggetti che o non avevano manifestato il consenso oppure erano iscritte al Registro Pubblico delle Opposizioni. Inoltre, di natura illecita è stato considerato il trattamento dei dati personali che ELG acquistava da società list provider in quanto, a loro volta, tali società non raccoglievano un consenso che permettesse loro la cessione dei dati, ma si limitavano ad acquistare dati consensati da un provider terzo (c.d. editor). A tale riguardo, il Garante ha affermato che, per dare agli interessati un effettivo controllo sui propri dati personali, è necessario che ogni cedente abbia ottenuto uno specifico consenso alla comunicazione dei dati. In particolare, “un controllo da parte dell’interessato sarebbe del tutto irrealizzabile se le comunicazioni di dati potessero avvenire in assenza di un consenso direttamente riconducibile ad ogni soggetto cedente e fossero solamente ancorate ad una iniziale manifestazione di volontà capace di dispiegare effetti a catena del tutto imprevedibili per l’interessato.”
Per quanto riguarda il periodo di conservazione, è stata contestata la presenza di dati personali di clienti i cui contratti risultano cessati dal 1998 e l’attuale conservazione supera di gran lunga anche i termini di prescrizione decennale previsti dall’art. 2946 c.c.
Per quanto attiene alla mancanza di cooperazione, in violazione dell’art. 31 del GDPR, benché l’Autorità non abbia ritenuto sussistente una condotta dolosa in tal senso, la stessa ha comunque considerato non univoci i riscontri forniti da EGL in sede di istruttoria. Ciò a riprova del fatto che le attività di telemarketing e teleselling realizzate, gravemente lacunose sotto il profilo organizzativo e operativo – anche in considerazione della assenza di controlli sull’operato dei teleseller e della mancanza di una procedura che consentisse di monitorare in tempo reale lo stato dei consensi – abbiano comportato una perdita di controllo sui dati non solo da parte degli interessati, ma anche da parte dello stesso Titolare, che in molteplici occasioni non è stato in grado di fornire riscontri certi all’Autorità e agli interessati un quadro di garanzie trasparente e pienamente fruibili a tutela dei loro diritti fondamentali.
Da ultimo, un elemento rilevante nella quantificazione della sanzione è stato individuato nella mancata adozione di sistemi di controllo dei consensi e dei telesellers che, per impostazione predefinita, avrebbero dovuto garantire la corretta gestione degli stessi, escludendo quei soggetti che avevano revocato il proprio consenso alla ricezione di comunicazioni promozionali. Ciò in quanto, anche se fossero state adottate adeguate procedure per la selezione di fornitori compliant con la normativa, ciò non sarebbe stato sufficiente a esonerare EGL dall’osservanza delle disposizioni di cui agli artt. 5 par. 2 e 7 par. 1 del GDPR, che impongono al Titolare di comprovare la liceità del trattamento, e quindi, nella fattispecie, di dimostrare che l’interessato abbia prestato il proprio consenso in modo libero e specifico.
Elementi rilevanti ai fini della quantificazione della sanzione
Nel rispetto di quanto disposto dall’art. 83 del GDPR, l’Autorità Garante per la protezione dei dati personali ha enucleato, nel provvedimento, gli elementi rilevanti ai fini della quantificazione della sanzione, i quali possono costituire un utile punto di riferimento per chiunque realizzi un trattamento di dati personali, in qualità di titolare o di responsabile.
Primariamente, le violazioni contestate sono state ritenute lesive dei principi base stabiliti dal GDPR, con particolare riguardo alla disciplina del consenso e, per questo, la sanzione applicabile è stata individuata in quella stabilita dall’art. 83 co. 5: il pagamento di una somma fino a 20 milioni ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore.
Di seguito l’elenco degli elementi che sono stati considerati dall’Autorità per la quantificazione della sanzione amministrativa:
- La portata del trattamento e l’elevato numero degli interessati coinvolti;
- La gravità delle violazioni: il Garante ha argomentato che l’attività di trattamento così condotta, oltre a ledere il diritto alla protezione dei dati, ha comportano una lesione del diritto alla tranquillità individuale e alla riservatezza delle persone, anche in virtù delle crescenti difficoltà che gli interessati hanno incontrato per opporsi validamente ad un siffatto trattamento, in spregio ai principi di privacy by design e by default;
- La durata della violazione, protrattasi per lo meno dal 25 maggio 2018 – data di applicazione del GDPR;
- La negligenza dimostrata dal titolare nelle attività di trattamento, con particolare riguardo alla valutazione dei responsabili del trattamento;
- La sussistenza di un vantaggio economico sui competitor, dato dallo svolgimento delle attività di telemarketing e teleselling in violazione della normativa sul trattamento dei dati personali;
- L’esistenza di una precedente decisione (provv. n. 45 del 14 febbraio 2019) in cui il Garante riconosce come il trattamento per finalità di marketing effettuato nei confronti di chi abbia manifestato la propria volontà negativa, deve ritenersi in violazione di legge;
- L’ampio margine temporale concesso ai titolari per adeguarsi al GDPR – dal 25 maggio 2016;
- La particolare attenzione del legislatore rispetto alla questione del telemarketing dimostrata con la recente approvazione della L. n. 5/2018 sul Registro Pubblico delle Opposizioni;
- La significativa attività provvedimentale del Garante sulla questione telemarketing, in base alla quale deve considerarsi raggiunta da tutti gli operatori del settore una sufficiente consapevolezza dei principi che devono inderogabilmente essere rispettati;
- Le condizioni economiche del contravventore.
Tutto ciò ha portato il Garante a infliggere a ENI Gas e Luce una sanzione che possiede una triplice portata. Infatti, seppur impressionante, la sanzione amministrativa pecuniaria di 8 milioni e cinquecentomila euro probabilmente non rappresenta il costo più elevato. Non di poco conto è infatti anche l’effetto inibitorio del provvedimento, che si concretizza nel divieto del trattamento di ogni dato acquistato dalle società list provider (in quanto sprovvisto di idonea base giuridica) e dei correlati costi di rivalsa e legali nei confronti dei fornitori che possiamo stimare in alcune centinaia di migliaia di euro.
Infine, è evidente il danno reputazionale che la pubblicazione di tale provvedimento comporterà al business del titolare, idoneo a ledere il rapporto di fiducia tra Eni Gas e Luce e propri clienti, che potrà essere quantificato solo nei prossimi mesi.
[1] Telemarketing: contatti telefonici finalizzati alla fissazione di appuntamenti con i potenziali clienti in relazione all’acquisto di prodotti;
[2] Teleselling: contatti telefonici finalizzati alla promozione commerciale di energia elettrica, gas o altri prodotti e servizi EGL destinati alla “clientela retail”;
[3] Linee guida in materia di attività promozionale e contrasto allo spam – 4 luglio 2013 (Pubblicato sulla Gazzetta Ufficiale n. 174 del 26 luglio 2013);