Sanzione di 4.900.000,00 Euro ad Edison Energia / 1

Rispondi
Giancarlo Favero
Messaggi: 226
Iscritto il: dom gen 24, 2021 6:45 am

Sanzione di 4.900.000,00 Euro ad Edison Energia / 1

Messaggio da Giancarlo Favero »

Complimenti ad Edison Energia, che si colloca probabilmente nella TOP-10 delle violazioni possibili, in quanto con un'unica infrazione ha violato il seguente bel filotto di articoli e commi:

4. CONCLUSIONI

Per quanto sopra esposto si ritiene accertata la responsabilità di Edison in ordine alle seguenti violazioni del Regolamento

- art. 5, parr. 1, lett. a) e 2;
- artt. 6 e 7;
- art. 12, parr. 1, 2 e 3;
- art. 21, par. 2;
- art. 24, parr. 1 e 2;
- art. 25, par. 1,
e la violazione dell’art. 130 del Codice.


Ma io mi domando e dico: questi quasi 5 milioni di Euro, chi li paga ? L'Amministratore Delegato ? il Direttore Generale ? Il DPO ? Mah...

Di seguito il testo integrale del provvedimento, consultabile anche al seguente link:

https://www.garanteprivacy.it/web/guest ... eb/9856345

Grazie e buona lettura,

Giancarlo Favero


Provvedimento inibitorio, prescrittivo e sanzionatorio nei confronti di Edison Energia S.p.A. - 15 dicembre 2022

Registro dei provvedimenti
n. 431 del 15 dicembre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA

Nei giorni 7, 8 e 9 febbraio 2022, avendo questa Autorità ricevuto diversi reclami e segnalazioni, con i quali sono state lamentate comunicazioni promozionali effettuate nell’interesse di Edison Energia S.p.A. (di seguito “Edison” o “Società”), è stato eseguito un accertamento ispettivo presso la sede legale di quest’ultima per verificare, anche a più ampio raggio, i trattamenti dei dati personali posti in essere dalla Società per finalità di marketing e profilazione.

Con riferimento alle specifiche doglianze pervenute all’Autorità è stato effettuato l’accesso ai sistemi informatici della Società e sono stati acquisiti elementi documentali. Ad esito delle verifiche è risultato quanto segue.

Dall’analisi di alcune doglianze (fasc.li nn. 170029, 156738, 174827, 158850, 158736, 168114) è emerso che la numerazione chiamante segnalata non è censita nel Registro degli Operatori di Comunicazione (c.d. ROC), né, quindi, risulta essere immediatamente riconducibile alla rete di vendita della Società che ha lamentato, peraltro, l’indebito utilizzo del nome “Edison” da parte di soggetti non meglio identificati, nell’ambito di pratiche commerciali scorrette. Al riguardo, la Società ha rappresentato anche di aver sporto denuncia all’Autorità giudiziaria al fine di tutelare il proprio buon nome, abusivamente utilizzato da terzi che, attraverso condotte truffaldine, tentano di trarre un vantaggio economico e ne minano la reputazione commerciale.

È stato verificato che alcune utenze sono state legittimamente inserite nella lista di contattabilità della Società sulla base di consensi specifici al marketing e alla comunicazione dei dati a terzi (tra cui è ricompresa Edison) acquisiti da altri soggetti, quali autonomi titolari del trattamento, in occasione della compilazione da parte degli interessati di form di raccolta dati in sede di registrazione ai siti web o della partecipazione a concorsi a premi on-line. Peraltro, le utenze così acquisite non sono risultate presenti nella black list societaria (c.d. “lista di non contattabilità”) (fasc.li nn. 175773, 174566, 166401).

In due casi (fasc.li nn. 152043 e 148318) la Società ha dichiarato che una delle numerazioni chiamanti indicate nelle segnalazioni (n. 09818421192) è riconducibile al call-center XX (di seguito «XX») di cui la medesima si avvale, in qualità di responsabile del trattamento, per attività di marketing. Dalla comunicazione di XX del 10 febbraio 2022, prodotta a scioglimento delle riserve dell’8 febbraio 2022, si evince che tale numerazione sarebbe stata utilizzata “in nome e per conto di Edison Energia S.p.A. dal 22 giugno 2020 al 18 gennaio 2021”. I contatti, lamentati nelle due segnalazioni in parola, sarebbero avvenuti proprio nel periodo sopra indicato e precisamente il 25 giugno 2020, ore 10.06 e il 15 luglio 2020, ore 13.34. Peraltro, uno dei due segnalanti (XX) ha lamentato la ricezione di una telefonata promozionale indesiderata effettuata nell’interesse di Edison tramite la citata utenza in data 11 marzo 2020 ore 19.50, quindi in epoca antecedente all’assegnazione della numerazione a XX.

In un caso (fasc. n. 165162) il contatto lamentato è stato frutto di una condotta - a dire della Società – non corretta dell’operatrice telefonica impiegata presso un call-center di Edison (XX).

Con riguardo al fascicolo n. 170981 (segnalazione XX), è emerso che l’interessato è stato contattato dalla citata XX (anch’essa nominata responsabile del trattamento) – cui è riconducibile la numerazione chiamante lamentata nella doglianza ed iscritta al Registro degli Operatori di Comunicazione (c.d. ROC). Tale contatto sarebbe avvenuto in forza di due distinti consensi al marketing e alla cessione a terzi per proprie finalità promozionali prestati dall’interessato il 10 febbraio 2020 in occasione dell’iscrizione al sito web XX. Dalla documentazione fornita dalla Società, a scioglimento delle riserve dell’8 febbraio 2022, è emerso che il sito internet in parola, di proprietà della XX con sede nella Repubblica Slovacca, sarebbe stato poi ceduto, assieme ai relativi consensi acquisiti, a XX (di seguito «XX») la quale, in ragione della volontà espressa a suo tempo dall’interessato, avrebbe inserito l’utenza di quest’ultimo nella lista di contattabilità, con scadenza 27 novembre 2021, utilizzata per la campagna promozionale da cui sarebbe scaturita la segnalazione in questione. L’utente, alla data di acquisizione dei suoi dati da parte di XX, avrebbe ricevuto una nuova informativa (con indicazione del nuovo titolare), “fermi restando i consensi originariamente prestati al precedente titolare”. Nell’informativa che XX avrebbe fornito agli interessati registrati al sito web XX, Edison è indicata tra i soggetti terzi cessionari dei dati. A seguito del diniego espresso dal segnalante, la numerazione destinataria dei contatti lamentati è stata inserita nella “lista di non contattabilità” e registrata nel sistema aziendale Watson di Edison.

Con riferimento al fascicolo n. 174167, dalla documentazione prodotta a scioglimento delle riserve dell’8 febbraio 2022, è risultato che il reclamante sarebbe stato contattato da un call-center di Edison (XX, quale responsabile del trattamento), in ragione di due specifici consensi al marketing e alla comunicazione a terzi prestati dall’interessato il 21 maggio 2020 in occasione dell’iscrizione del medesimo al sito internet XX gestito da XX (di seguito «XX») in qualità di autonomo titolare del trattamento. Nell’informativa rinvenibile nel citato sito web, Edison è risultata presente nell’elenco delle società terze a cui i dati sono comunicati, accessibile attraverso apposito link.

Nel caso di specie, è emerso che i dati di contatto del reclamante sarebbero stati comunicati, in data 23 dicembre 2020, ad Edison da XX (di seguito «XX»), di cui, tuttavia, non risulta esser stato definito, né documentato, il ruolo nel trattamento in parola: in particolare, Edison sarebbe pertanto divenuta titolare del trattamento “per il solo periodo contrattualmente previsto dalla licenza d’uso prestata dalla società XX […]” (dal 29 dicembre 2020 per 3 mesi). In tal senso, nella comunicazione del 23 dicembre 2021, in riscontro alla richiesta di informazioni dell’interessato, Edison, pur assicurando di aver rimosso la numerazione destinataria dei contatti lamentati dalla lista di contattabilità, ha indicato i recapiti di XX per l’esercizio dei diritti di cui agli artt. 15 – 22 del Regolamento.

Con riferimento alle campagne promozionali realizzate nei confronti di utenti prospect (non clienti), la Società ha dichiarato di non effettuare controlli a campione delle numerazioni presenti nelle liste acquisite dai propri partner (list provider), precisando di svolgere verifiche accurate dei siti web utilizzati per la raccolta dei dati, dell’informativa resa dal fornitore e del consenso per la comunicazione a terzi per finalità di marketing diretto (verbale 7 febbraio 2022, pp. 4 e 5).

Inoltre, le utenze dei soggetti prospect che abbiano manifestato la volontà di non essere più contattati confluiscono in una “lista di non contattabilità” alimentata manualmente e costituita, al momento dell’accertamento, da 29.872 numerazioni di cui 1400 circa riconducibili ad utenze fisse. La lista non contiene l’indicazione della data del diniego, né dell’inserimento in lista, né dell’identità dell’interessato, non consentendo di accertare la liceità dei contatti promozionali e la corretta gestione dell’opposizione effettuata dagli interessati (verbale 8 febbraio 2022, p. 3).

È risultato che la Società – in difformità della propria policy (v. All. 15, al riscontro integrativo 21 febbraio 2022, inviato a scioglimento delle riserve) - conserva attualmente nel CRM, in assenza di una ragione giustificativa e in particolare di una finalità di trattamento attualmente svolta, i dati di alcuni clienti cessati da oltre 11 anni e che non sono stati oggetto del processo di anonimizzazione, in particolare: 6.087, di cui 5.836 PMI e 251 persone fisiche.

Con riferimento al diniego espresso dagli utenti prospect durante le chiamate promozionali, la Società ha fornito riscontri contrastanti, in particolare affermando, in un primo momento, che tale opposizione viene registrata solo per la campagna in corso (di regola di durata di tre mesi) (verbale 7 febbraio 2022 p. 5) per poi dichiarare di inserire le utenze - alle quali il diniego si riferisce - nella “lista di non contattabilità”, al fine di poterle escludere da tutte le successive campagne (verbale 8 febbraio 2022 p. 7).

Dall’analisi della documentazione prodotta dalla Società è emerso che gli utenti contattati nel corso della campagna promozionale che esprimono la volontà di non ricevere ulteriori chiamate pubblicitarie sono contrassegnati con la dicitura “Rif. Legge sulla privacy” che esclude eventuali ulteriori contatti esclusivamente in relazione alla campagna in corso di svolgimento, ma non include anche “la revoca del consenso privacy (il cliente dovrà esprimere in forma scritta la volontà di revoca del consenso ai riferimenti che l’operatore indicherà telefonicamente tramite lo script di vendita associato al fornitore di lista)” (All. 4 al verbale 8 febbraio 2022 – Manuale Watson esito Privacy). Ciò posto, qualora l’interessato intenda non essere più contattato neanche per le successive campagne promozionali, dovrà inviare una comunicazione alla preposta casella di posta elettronica della Società ovvero rivolgersi al list provider che ha acquisito i dati personali, come da script di chiamata prodotti a scioglimento delle riserve.

Nel corso dell’accertamento, simulando la procedura di accesso e navigazione nel sito internet www.edisonenergia.it e nell’App MyEdison (che peraltro presenta la medesima configurazione dell’App Edison MySun, rilasciata sul mercato a gennaio 2022 e al momento dell’accertamento non ancora utilizzata), è risultato che sono richiesti dati anagrafici degli interessati (nome, cognome, codice fiscale, numero di cellulare e indirizzo e-mail), e che viene acquisito il consenso al trattamento dei dati personali “per le finalità di cui alle lettere A e B” dell’informativa privacy, facenti riferimento congiuntamente a finalità promozionali e di profilazione; in particolare, con tale modalità, è stato acquisito il consenso alla profilazione di 50.050 clienti presenti nel sistema CRM (v. All. 13 “Clienti consensati profilazione” a scioglimento della riserva del 9 febbraio 2022). La Società ha rappresentato che il consenso richiesto in fase di iscrizione al sito internet riguarda, in realtà, esclusivamente le finalità legate alla fruizione del servizio e non invece le attività di marketing o di profilazione individuale (dalle quali sono peraltro totalmente esclusi i soggetti prospect). La Società ha precisato, quindi, che la descritta formulazione di acquisizione del consenso è frutto di un refuso, dovendo invece far riferimento esclusivamente alle attività di cui al punto C della citata informativa privacy, rubricato “Finalità di registrazione e accesso all’Area riservata del sito”.

Si è poi rilevato che, qualora si proceda con la sottoscrizione del contratto tramite sito internet, viene fornita l’informativa privacy che individua, tra le finalità del trattamento, il marketing, la profilazione e la comunicazione dei dati a terzi. In tale sede contrattuale, per tali finalità sono richiesti all’interessato i relativi distinti consensi facoltativi, pur avendo la Società dichiarato, anche ai sensi dell’art. 168 del Codice, di non effettuare attualmente attività di profilazione né di comunicazione a terzi per finalità di marketing. In particolare, ha precisato che il consenso alla profilazione è, in realtà, finalizzato a realizzare analisi interne di tipo generale oppure la segmentazione per macro-criteri (geografico, età, contatti disponibili) del CRM aziendale, al fine di evitare invii promozionali massivi (v. verbale 9 febbraio 2022, p. 3; All. 3 “Criteri marketing” al detto verbale), anche perché Edison non dispone di un numero sufficiente di clienti e di dati riferiti alla clientela per effettuare profilazione individuale.

Inoltre, per finalizzare la registrazione al sito internet e all’ App MyEdison, come detto sopra, è necessario fornire il consenso “per le finalità di cui alle lettere A e B” dell’informativa privacy, facenti riferimento a finalità promozionali e di profilazione. Pertanto, l’iscrizione dell’utente parrebbe condizionata al contestuale rilascio di un unico consenso per finalità di marketing e di profilazione, anche se quest’ultima non ancora svolta dalla Società.

2. LA CONTESTAZIONE DELLE VIOLAZIONI

Con nota del 13 maggio 2022 (rif. prot. n. 26377/22) è stato comunicato alla Società l’avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice, per l’adozione di eventuali provvedimenti di cui all’art. 58, par. 2, del Regolamento, con il quale, sulla base degli elementi acquisiti nel corso dell’attività ispettiva e delle successive integrazioni pervenute a scioglimento delle riserve, è stata contestata a Edison la possibile violazione delle seguenti disposizioni del Regolamento:

2.1. (con riguardo al fasc. n. 165162): artt. 6, 7 e 13 del Regolamento nonché 130 del Codice in quanto il contatto è risultato posto in essere in assenza del consenso informato dell’interessato;

2.2. (con riguardo al fasc. n. 170981): artt. 5, par. 2, 24, 14, 6 e 7 del Regolamento nonché 130 del Codice in quanto sono state acquisite anagrafiche da un soggetto terzo (XX), a sua volta già cessionario da XX, in assenza di idoneo consenso degli interessati;

2.3. (con riferimento al fasc. n. 174167): artt. 5, par. 2, 24, par. 1, 14 e 28 del Regolamento, non risultando definito il ruolo privacy di XX (titolare autonomo o responsabile del trattamento) nell’ambito del rapporto con Edison e non risultando rilasciata da quest’ultima la propria informativa all’interessato;

2.4. artt. 5, par. 2, 24, parr. 1 e 2 e 25, par. 1, del Regolamento per aver realizzato campagne promozionali nei confronti di utenti prospect senza effettuare verifiche a campione rispetto alle singole numerazioni e, quindi, senza porre in essere adempimenti in materia di protezione dei dati personali (quali: informativa; consenso; esattezza e qualità dei dati), in contrasto ai principi di privacy by design ed accountability; tali violazioni sono confermate anche in relazione alla non corretta gestione dell’opposizione effettuata dagli utenti prospect inseriti in una “lista di non contattabilità” priva di elementi circostanziati (data del diniego, dell’inserimento in lista, l’identità dell’interessato) che non consentono di ricostruire correttamente modalità e tempi di acquisizione e revoca del consenso;

2.5. art. 5, par. 1, lett. b) e e) del Regolamento per aver conservato nel CRM i dati di clienti cessati da oltre 11 anni e che non sono stati oggetto del processo di anonimizzazione, in possibile contrasto con i principi di finalità e limitazione della conservazione;

2.6. art. 12 parr. 2 e 3, 21, par. 2, del Regolamento per non aver previsto procedure dirette e semplificate per consentire all’interessato di esercitare con immediatezza il proprio diritto di opposizione al trattamento svolto per finalità promozionali”;

2.7. artt. 12, par. 1, e 5, par. 1 lett. a) del Regolamento in quanto alcune delle attività di trattamento descritte nelle informative del sito internet www.edisonenergia.it e dell’App MyEdison (in particolare la comunicazione a terzi per finalità di marketing diretto e la profilazione), non sono risultate concretamente svolte dalla Società, in possibile violazione all’obbligo di fornire un’informativa trasparente ed effettivamente idonea a rendere consapevoli gli interessati di ciò che viene fatto con i loro dati;

2.8. artt. 6 e 7 del Regolamento e 130 del Codice in quanto l’iscrizione dell’utente al sito internet www.edisonenergia.it e all’App MyEdison è risultata subordinata al contestuale rilascio di un unico consenso per finalità di marketing e profilazione; tale consenso, non specifico né libero, non risulta costituire un’idonea base giuridica per i citati trattamenti.

Inoltre, con la medesima comunicazione del 13 maggio 2022, la Società è stata invitata a fornire copia della denuncia all’Autorità giudiziaria nei confronti di quei soggetti che abusivamente avrebbero speso il nome Edison per proprie attività promozionali (v. fasc.li nn. 170029, 156738, 174827, 158850, 158736, 168114), nonché, con riguardo alle utenze contattate dal call-center XX (fasc.li nn. 152043, 148318), a produrre documentazione finalizzata ad accertare gli adempimenti in materia, con particolare riferimento all’origine dei dati personali degli interessati, al consenso da questi rilasciato e all’informativa resa unitamente allo script di chiamata utilizzato in occasione dei contatti lamentati.

3. OSSERVAZIONI DIFENSIVE E VALUTAZIONI DELL’AUTORITÀ

3.1. MEMORIA DIFENSIVA

La Società, nell’esercizio del diritto di difesa, ha fatto pervenire, in data 13 giugno 2022, una memoria con la quale ha replicato ai rilievi sollevati dall’Autorità con l’atto di contestazione.

3.1.1. Preliminarmente Edison ha sostenuto di aver agito in giudizio per la difesa dei propri interessi commerciali, economici e di immagine. Ciò in ragione di un uso abusivo del suo nome da parte di terzi che, attraverso condotte truffaldine, tentano di trarre un vantaggio economico e ne minano la consolidata reputazione. In tal senso Edison, “in qualità di parte lesa da tali condotte, non solo ha istituito un proprio gruppo di lavoro interno, al fine di monitorare ed affrontare il problema”, ma ha anche attivato presso l’Autorità giudiziaria diverse cause, sia di tipo civile che penale, di cui ha fornito documentazione al Garante “già in data 9 febbraio 2022” e che in tale sede si intendono integralmente richiamate. Con la memoria in parola, la Società ha integrato la documentazione precedentemente prodotta con la denuncia avanzata all’Autorità giudiziaria, e depositata il 27 luglio 2018, nei confronti di XX per illegittimo utilizzo del marchio Edison.

3.1.2. In merito ai contatti promozionali effettuati dal call-center XX, in qualità di responsabile del trattamento, la Società ha rappresentato l’impossibilità di fornire le evidenze richieste dall’Autorità (con riferimento all’origine dei dati degli interessati, al consenso da questi rilasciato, all’informativa resa) in quanto, “in coerenza con la Data Retention Policy, da tutti i sistemi aziendali le anagrafiche di utenti prospect che abbiano superato il periodo di conservazione complessivo di 15 mesi risultano essere stati cancellati”. Ha aggiunto che il contatto che ha riguardato il signor XX (fasc. n. 148318) non può attribuirsi a Edison in quanto effettuato da un soggetto terzo estraneo alla rete di vendita ufficiale della Società.

Con riferimento al contatto telefonico avvenuto in assenza del consenso dell’interessato (cfr. punto 2.1 della contestazione), la Società ha confermato la condotta illegittima perpetrata da un soggetto terzo (nello specifico una dipendente del call-center XX, responsabile del trattamento) “al di fuori di qualsiasi delega e/o istruzione ad esso impartita da Edison e/o da XX medesima”. In particolare, ha precisato che tale dipendente, “immediatamente licenziata”, avrebbe utilizzato, per il contatto lamentato, “strumenti del tutto estranei a quelli forniti da Edison […] tra i quali una propria utenza telefonica personale (fornita per il ricontatto ai soggetti chiamanti)”. Ad ogni caso, ha aggiunto Edison, non sarebbe stato possibile attivare eventuali contratti derivanti da contatti c.d. “fuori lista” in quanto rigorosamente inibiti dal sistema tecnico denominato Watson, a disposizione di tutti i call-center operanti per suo conto.

3.1.3. Con riferimento alle anagrafiche acquisite da soggetti terzi cessionari di banche dati in assenza di idoneo consenso degli interessati (cfr. punto 2.2 della contestazione), la Società, nel richiamare il provvedimento n. 460 emanato dall’Autorità il 9 novembre 2017, ha invocato l’esonero di tale base giuridica in quanto il sito internet XX, nonché i dati personali ivi raccolti, “sono stati oggetto di una cessione d’azienda da XX a XX e, pertanto, trovano applicazione gli artt. 2558, 2559 e 2560 del Codice Civile, subentrando l’acquirente per legge nella posizione dell’alienante connessa alla gestione dell’azienda ceduta, senza necessità di alcuno specifico consenso”. La comunicazione ad Edison dei dati da parte di XX, quindi, risulta essere una comunicazione legittima in ragione dell’acquisito consenso al trasferimento dei dati personali a terzi indicato nell’informativa del sito XX “sia come rilasciata da XX, sia come resa successivamente, in totale continuità di fini e modalità, dalla subentrata XX”.

3.1.4. Con riferimento alla contestazione di cui al punto 2.3, la Società ha descritto l’attività di aggregazione di liste, provenienti da differenti fornitori, svolta da XX che, in data 27 febbraio 2020, è stata designata da Edison responsabile esterno del trattamento dei dati personali (di cui è stato prodotto formale atto di nomina). Tale conferimento, nella prospettiva delineata dalla Società, avrebbe spiegato il passaggio dei dati da XX (titolare del sito internet XX dal quale sarebbero stati acquisiti i due distinti consensi al marketing e alla comunicazione a terzi) a Edison per il tramite di XX. In particolare, la Società ha chiarito che “l’attività di aggregazione viene quindi svolta su indicazione e mandato di Edison, la quale riceve […] da XX la lista comprensiva e ripulita [da duplicazioni] per svolgere le proprie attività di marketing”.

3.1.5. La Società, in riscontro alla contestazione di cui al punto 2.4, ha confermato i contenuti espressi in sede di accertamento ispettivo, dichiarando di svolgere verifiche puntuali dei siti web da cui acquisisce i dati personali, con particolare riferimento alle informazioni privacy rilasciate dal fornitore e alla “correttezza dei consensi, al fine di appurare il legittimo trasferimento”, ma di non effettuare controlli a campione delle numerazioni presenti nelle liste fornite da propri partner. Con riguardo a tale ultimo profilo, pur ribadendo di non porre in essere “procedure formali interne specifiche di controllo a campione dei dati oggetto di acquisizione”, ha precisato di aver incaricato contrattualmente, già da dicembre 2021, una società terza di svolgere attività di questo tipo, “in ottica di maggior controllo ed accountability”. A conferma di ciò, ha allegato alla memoria difensiva la relativa documentazione contrattuale.

3.1.6. In merito alla modalità di gestione del diniego espresso dagli utenti prospect nel corso dei contatti promozionali (punto 2.6 della contestazione), la Società ha rappresentato quanto segue:

“Laddove il soggetto interessato segnali la volontà di non essere più contattato da Edison per finalità commerciali, il relativo numero telefonico […] viene riportato sul sistema Watson come “Rif Legge sulla Privacy”. Tale attività comporta che il numero telefonico segnalato non sarà più oggetto di contatto per la campagna in corso di esecuzione”. Tuttavia, al fine di escludere l’utenza interessata anche dalle successive campagne promozionali, la Società, “a partire da metà settembre 2021”, ha previsto di estrarre dal sistema aziendale la lista dei numeri telefonici identificati con la locuzione “Rif Legge sulla Privacy” e farla confluire nella “lista di non contattabilità” “utilizzata per la deduplica delle liste acquisite e finalizzate alle campagne successive”. Inoltre la Società, non registrando alcuna anagrafica di prospect sul proprio sistema aziendale, ha inteso assicurare agli interessati il compiuto esercizio del diritto (“presupponendo che il soggetto […], al momento del diniego non solo non intenda essere contattato nel corso della singola campagna ma che non intenda in generale ricevere ulteriori comunicazioni commerciali da Edison”). Infine, la “lista di non contattabilità” – che, con l’indicazione del solo numero telefonico, garantisce il principio di minimizzazione dei dati – sarà alimentata da informazioni idonee a circoscrivere i dinieghi, grazie ad un ulteriore sistema, al momento in fase sperimentale, che andrà a sostituire quello attuale.

3.1.7. Con riferimento alla contestazione di cui al punto 2.5, la Società ha chiarito le ragioni, perlopiù di natura contenziosa, sottese alla conservazione nel CRM dei dati di clienti cessati da oltre 11 anni, precisando che soltanto 8 di essi saranno oggetto di anonimizzazione a giugno 2022, avendo risolto la propria situazione debitoria.

3.1.8. In riscontro ai rilievi contestati ai punti 2.7 e 2.8, Edison ha ribadito che il consenso richiesto in fase di iscrizione al sito internet www.edisonenergia.it e all’App MyEdison riguarda finalità contrattuali, connesse alla fruizione del servizio, e che l’indicazione, nella sua formulazione, di “finalità di cui alle lettere A e B” dell’informativa privacy, riconducibili ad attività promozionali e di profilazione, sarebbe frutto di un “mero refuso”. Ha evidenziato che il testo del consenso è stato prontamente corretto a seguito della verifica effettuata in sede ispettiva. Peraltro “la dicitura errata è stata presente per un periodo di tempo limitato, dal settembre 2021 al febbraio 2022”. Ad ogni modo, il rilascio del consenso, mediante apposizione del flag a conclusione della procedura di registrazione, non ha prodotto alcun esito nel CRM aziendale.

Inoltre, la Società ha confermato che la profilazione non sarebbe attualmente svolta, in considerazione della scarsità dei dati e dei consensi raccolti, e consisterebbe essenzialmente in un’attività “di analisi basica, segmentando la clientela per macro categoria”. Tuttavia l’eventuale incremento dei dati e dei consensi al marketing consentirebbe a Edison “di svolgere analisi più specifiche e puntuali” al fine “di inviare materiale pubblicitario […] più in linea con le preferenze e le esigenze dei clienti”. Tale impostazione può essere estesa anche alla comunicazione dei dati a soggetti terzi per finalità di marketing diretto della Società in quanto, pur non essendo al momento percorribile “l’attività di partnership commerciale” vista “l’entità dei consensi sino ad oggi raccolti”, “l’obiettivo [di Edison] è quello di costituire una base di consensi di cessione numericamente sufficiente” a tal fine. Pertanto, non sussiste lo scollamento tra il piano formale, relativo ai trattamenti dichiarati nelle informative del sito e dell’App, e quello fattuale che l’Autorità ha ritenuto di contestare.

Rispondi