Sanzione di 4.900.000,00 Euro ad Edison Energia / 2

Rispondi
Giancarlo Favero
Messaggi: 226
Iscritto il: dom gen 24, 2021 6:45 am

Sanzione di 4.900.000,00 Euro ad Edison Energia / 2

Messaggio da Giancarlo Favero »

3.2. VALUTAZIONI DI ORDINE GIURIDICO

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle affermazioni della Società, di cui il dichiarante risponde ai sensi dell’art. 168 del Codice, si formulano le seguenti valutazioni di ordine giuridico.

La principale argomentazione esposta dalla Società a difesa della propria posizione attraverso il richiamo ad una indebita spendita del suo nome (v. punto 3.1.1), risulta supportata dalla documentazione corredata alla memoria del 13 giugno 2022, dalla quale si evince l’attuazione di condotte scorrette da parte di terzi per stornare la clientela di Edison. Nelle circostanze denunciate, agli utenti contattati venivano date informazioni false e ingannevoli in danno di Edison al fine di incentivare il passaggio ad altro fornitore di energia elettrica, con conseguenti ricadute economiche sulla Società, oltre “all’irreparabile lesione della propria immagine e dei propri marchi e segni distintivi”.

Si prende atto di quanto dichiarato e documentato da Edison in relazione ai contatti telefonici effettuati da numerazioni non riconducibili alla rete di vendita ufficiale. Invero, il sistema tecnico denominato “Watson” descritto dalla Società appare idoneo ad arginare il fenomeno dei contatti illeciti e delle chiamate promozionali indesiderate provenienti da soggetti estranei alla rete commerciale di Edison. Tale sistema, “messo a disposizione di tutti i call-center operanti per Edison, […] non consente la contrattualizzazione di soggetti che derivino da chiamate cd. fuori lista”. In definitiva, la centralizzazione dei contratti, appare, almeno astrattamente, idonea a determinare una connessione operativa e logica fra la fase promozionale e la successiva fase di registrazione del contratto e, quindi, ad escludere che da contatti promozionali effettuati fuori dalla rete di vendita della Società possano derivare contratti poi registrati nei database di Edison (v. provv. Sky Italia S.r.l., 16 settembre 2021, n. 332, doc. web n. 9706389).

Con riferimento ai contatti effettuati dal call-center XX (v. punto 3.1.2), si osserva che la mancata disponibilità materiale della Società di documentazione idonea a comprovare gli adempimenti in materia di protezione di dati personali, stante la cancellazione dai database di tutte le anagrafiche che abbiano superato un periodo di conservazione di 15 mesi, non ha consentito a questa Autorità di appurare la base giuridica che avrebbe legittimato le telefonate indesiderate promozionali lamentate nelle segnalazioni. Quindi, alla luce di quanto in atti, non è possibile imputare con certezza una responsabilità oggettiva e soggettiva della condotta lamentata nelle segnalazioni relativamente a profili di liceità del trattamento in parola.

Si ritiene di poter prendere atto di quanto dichiarato dalla Società in merito al contatto telefonico avvenuto in assenza del consenso dell’interessato e frutto di un’autonoma iniziativa perpetrata da un soggetto terzo (punto 3.1.2 delle memorie difensive), rilevando che tale condotta ha riguardato un caso isolato e che la stessa Società ha fornito idonee assicurazioni sull’impossibilità che possano ripetersi casi del genere. avendo implementato un sistema di inibizione di eventuali contratti con i c.d. “fuori lista” nei termini descritti nelle argomentazioni difensive che consente di superare le criticità contestate.

Con riferimento al punto 3.1.3 della memoria difensiva, in base all’analisi della documentazione prodotta con specifico riguardo al sito internet “XX” della società slovacca, XX, poi asseritamente acquisita da XX, si evidenzia quanto segue:

a) con riguardo all’adempimento dell’informativa, da rilasciare ai sensi dell’art. 14 del Regolamento - sulla base dello script telefonico fornito da Edison, completo dei riferimenti all’origine dei dati, alle finalità del trattamento, alle modalità di esercizio dei diritti, ex artt. 15 – 22 del Regolamento, nonché al sito web societario dove rinvenire l’informativa completa - si ritiene di dover archiviare la relativa contestazione;

b) relativamente all’adempimento del consenso, nel primo box proposto all’utente nel relativo form di registrazione è richiesta un’unica manifestazione di volontà per le condizioni contrattuali e, indistintamente, per tutti i vari consensi al trattamento dei dati personali (“Accetto le condizioni di cui al Regolamento e tutti i consensi di cui all’informativa privacy”). Tale formulazione, evidentemente, costringe l’interessato, pur di partecipare all’iniziativa dei buoni-regalo, ad accettare anche i trattamenti per ben quattro diverse finalità (marketing della Società titolare del sito; profilazione da parte della medesima; comunicazione a terzi per le loro finalità promozionali; profilazione da parte dei medesimi terzi), per un totale di cinque consensi, includendo il primo consenso unico. La configurazione in questione, dunque, determina un’acquisizione di dati illegittima in ragione della violazione dell’obbligo di un consenso libero e specifico, non rilevando la raccolta di consensi distinti effettuata mediante i box sottostanti e comunque risultando in contrasto con la prima forma di raccolta;

c) il file di log che la Società ha prodotto a corredo delle memorie difensiva non consente di effettuare una ricostruzione dei consensi tale da superare la criticità evidenziata al punto precedente;

d) peraltro, il vizio dei siffatti consensi, compreso quello relativo alla comunicazione dei dati a soggetti terzi - originariamente acquisiti dalla società XX. – si riverbera sulla validità anche dei trattamenti posti in essere da XX, quale cessionaria di azienda, nonché dei trattamenti effettuati da Edison, quale cessionaria dei dati. Ciò posto, il quadro delineato da Edison risulta privo di ogni fondamento e deve essere confermata la violazione contestata.

Pertanto, nel caso di specie, si rappresenta che l’utilizzo, da parte della Società, di liste di dati personali ottenute da un soggetto terzo, a sua volta cessionario di tali anagrafiche sulla base di un consenso viziato rilasciato all’iniziale titolare del trattamento, avrebbe reso necessario in capo ad Edison la richiesta e l’acquisizione di un nuovo consenso alla propria attività promozionale (v.: Linee guida in materia di attività promozionale e contrasto allo spam – provv. 4 luglio 2013, doc. web n. 2542348; provv. 22 maggio 2018, doc. web n. 8995274; provv. 11 dicembre 2019, doc. web n. 9244365; provv. 12 novembre 2020, doc. web n. 94856801; provv. 13 maggio 2021, doc. web n. 9670025; provv. 16 settembre 2021, doc. web n. 9706389).

Inoltre, si deve rilevare che la condotta di Edison, come prospettato già nella contestazione, risulta in contrasto con il principio di accountability poiché la Società non risulta essersi occupata, come invece necessario, di verificare l’effettiva conformità alla normativa dei consensi acquisiti dal fornitore.

Alla luce di quanto sopra, risulta da confermare la violazione da parte di Edison Energia S.p.A., degli artt. 5, par. 2, 24, 6 e 7 del Regolamento, nonché 130 del Codice; violazione che, peraltro, ha coinvolto un rilevante numero di utenti (ammontante a 66.771).

Con riferimento al punto 3.1.4 della memoria, si deve rilevare che le argomentazioni addotte dalla Società sono basate principalmente sul ruolo rivestito da XX, in qualità di responsabile esterno del trattamento dei dati personali, nel rapporto con Edison. In particolare, XX, nel suo ruolo di aggregatore di liste per conto di Edison, fungerebbe da mero intermediario nel processo di trasmissione dei dati dai vari list provider alla Società. Nell’atto di nomina a responsabile del trattamento, prodotto a corredo della memoria difensiva, è emerso che oggetto di cessione a Edison fossero le anagrafiche acquisite dalle banche dati di aziende terze con le quali XX avrebbe stipulato regolari contratti, di cui tuttavia non è stata prodotta evidenza. Al fine di superare il dato formale e qualificare in concreto ruoli e responsabilità dei soggetti coinvolti, non potendo disporre anche dei contratti sottoscritti da XX con i vari list provider, deve ritenersi sufficientemente chiarita la posizione assunta dalle parti nel trattamento in parola: la comunicazione dei dati a Edison, legittimata dalla base giuridica del consenso degli interessati, viene effettuata da XX, in qualità di autonomo titolare, per il tramite di XX (quale responsabile designato da Edison). Peraltro, nell’informativa rinvenibile nel sito internet XX, gestito da XX, Edison è presente nell’elenco delle società terze a cui i dati sono comunicati.

Ciò significa che il trasferimento delle liste da XX a Edison, attraverso la mediazione di XX, parrebbe evitare il c.d. “doppio passaggio” da un titolare all’altro, che in sede di contestazione si è ritenuto doveroso censurare. Pertanto si accolgono le argomentazioni di Edison nell’ambito dell’esercizio del diritto di difesa, che inducono a procedere all’archiviazione della contestazione medesima in ordine alla violazione degli artt. 5, par. 2, 24, par. 1, 14 e 28 del Regolamento.

Relativamente al punto 3.1.5 della memoria difensiva riguardante l’attività di verifica delle numerazioni presenti nelle liste acquisite dai partner, demandata da Edison ad una società terza, dalla lettura del relativo contratto, avente ad oggetto, in particolare, “la prestazione di servizi professionali di supporto alle attività di controllo su fornitori Teleselling”, è emerso che le verifiche delle numerazioni contattabili fornite dai partner riguarderebbero il “5% della stima dei contratti conclusi tramite operazioni di teleselling (circa 9000), pari ad un massimo di 450 contratti, suddivisi in egual numero tra i Fornitori”. Se ne desume che il controllo sulle utenze da contattare per finalità di marketing viene realizzato solo successivamente all’effettuazione del contatto telefonico e alla sottoscrizione di contratti conclusi tramite operazioni di teleselling.

Pertanto, si conferma l’assenza di verifiche preventive a campione - rispetto alle singole numerazioni – contestata al punto 2.4 del presente provvedimento. La mancanza di tale adempimento e dei correlati controlli sul consenso acquisito dal fornitore, non risulta essere soltanto un’impostazione inidonea a garantire un livello adeguato di conformità alla normativa in materia, in particolare secondo i principi di privacy by design ed accountability, ma solleva dubbi anche in merito alla gestione di tutte le ulteriori utenze acquisite dai fornitori e utilizzate nell’attività promozionale della Società. Invero deve ritenersi che le anomalie e le violazioni come sopra individuate non riguardino episodiche condotte ma impostazioni “di sistema” che si replicano in occasione dei numerosi contatti posti in essere dalla Società, in particolare operati mediante acquisizione di liste di anagrafiche da soggetti terzi e realizzati, quindi, in violazione delle disposizioni in materia di consenso, di accountability e di privacy by design.

La verifica dei siti web da cui vengono raccolti i dati - che la Società sostiene di effettuare costantemente prima di ogni campagna promozionale - pur risultando potenzialmente utile a prevenire la circolazione indebita di dati personali, non può tuttavia surrogare l’assenza di controlli sulle numerazioni fornite dai partner, e quindi non può ritenersi sufficiente per considerare la condotta dalla Società non censurabile. Deve pertanto confermarsi la responsabilità di Edison in ordine alla violazione di cui agli artt. 5, par. 2, 24, parr. 1 e 2 e 25, par. 1, del Regolamento.

Nelle proprie memorie difensive (v. punto 3.1.6) la Società ha manifestato l’impegno di implementare alcune misure correttive, come ad esempio attivare un sistema, al momento in fase di sperimentazione, che consenta di inserire nella “lista di non contattabilità”, oltre al numero telefonico, tutti gli ulteriori elementi informativi idonei a ricostruire correttamente la volontà degli interessati. La lista attualmente costituita dall’indicazione del solo numero telefonico “non contattabile” non risulta essere una soluzione adeguata alla gestione del diritto di opposizione degli interessati e non consente di comprendere quando e come l’interessato abbia espresso il consenso e quando e come lo abbia revocato. La circostanza delineata dalla Società di poter comunque risalire alla data di inserimento dell’anagrafica nella lista in parola, attraverso l’incrocio delle comunicazioni (e-mail) intercorse con gli interessati, oltre a rappresentare una distrazione notevole di tempo e risorse (viste peraltro le 29.872 numerazioni registrate), si pone in contrasto con i richiamati principi di accountability e privacy by design, anche in riferimento alle richieste degli interessati, ai sensi degli artt. 15 – 22 del Regolamento, e/o agli accertamenti operati da questa Autorità.

È stato più volte evidenziato che i nuovi principi dettati del Regolamento inquadrano le competenze del titolare in un’ottica di responsabilizzazione (accountability) ed impongono a tutti gli attori del trattamento dei dati personali comportamenti proattivi e coerenti con la finalità di comprovare, in ogni fase, la liceità dei trattamenti medesimi. Spetta pertanto al titolare adottare misure di particolare garanzia al fine di dimostrare che i contratti e le attivazioni registrati nei propri sistemi siano originati da contatti effettuati nel pieno rispetto delle disposizioni in materia di protezione dei dati personali (v. provv. n. 143 del 9 luglio 2020, doc. web n. 9435753; “Provvedimento in materia di propaganda elettorale e comunicazione politica”, 18 aprile 2019 doc. web n. 9105201; provv. n. 363, 22 maggio 2018, doc. web n. 8995274; provv. gen. spamming, 29 maggio 2003, doc. web n. 29840). Analogamente è obbligo del titolare dimostrare di aver adeguatamente registrato e contestualizzato i dinieghi espressi dagli interessati alla ricezione di ulteriori comunicazioni promozionali; circostanza, questa, che non ricorre nel caso di specie.

Alla luce di quanto sopra, risulta ravvisabile la violazione degli artt. 5, par. 2, 24, parr. 1 e 2 e 25, par. 1, del Regolamento.

La modalità descritta al punto 3.1.6 della memoria difensiva, con la quale viene registrata, in via definitiva, l’opposizione degli interessati ad essere contattati anche per le future campagne promozionali, non appare disciplinata in nessuno dei documenti prodotti dalla Società, sia in fase di accertamento ispettivo, sia successivamente in sede difensiva. La documentazione fornita nel corso dell’ispezione - di cui si dà sinteticamente conto, fatto salvo, tuttavia, il pieno e completo rinvio a quanto già riportato al punto 1 del provvedimento - delinea un quadro diverso rispetto a quanto poi affermato dalla Società nella memoria difensiva: la denominazione “Rif Legge sulla Privacy”, che identifica le utenze associate ai dinieghi espressi, dispiega i propri effetti per la sola durata della campagna promozionale in corso, ben potendo l’interessato opporsi anche alle successive campagne inviando apposita comunicazione a Edison e al titolare che ha acquisito i dati personali, come peraltro confermato dagli script di chiamata prodotti a scioglimento delle riserve. Ciò - non rendendo univoca la richiesta di cancellazione degli interessati ad uno specifico titolare del trattamento e richiedendo in questo senso un doppio passaggio a Edison e al list provider per vedere soddisfatta in via definitiva tale istanza - non consente un agevole e rapido esercizio del diritto di opposizione, come prescritto dall’art. 21, par. 2, del Regolamento. Inoltre, il fatto che le utenze identificate con la denominazione “Rif Legge sulla Privacy” confluiscano nella “lista di non contattabilità” per essere escluse anche dalle successive campagne promozionali rientra in discorso difensivo scevro da riscontri probatori e che non consente di superare le criticità emerse nell’atto di contestazione anche perché tale operazione rende ridondante e sostanzialmente inutile l’impostazione originaria prospettata.

Pertanto, acquisita piena prova della responsabilità di Edison in ordine agli addebiti contestati, si conferma la violazione, di cui al punto 2.6, dell’art. 12, parr. 2 e 3, nonché dell’art. 21, par. 2, del Regolamento.

Con riferimento alla contestazione di cui al punto 2.5, inerente alla conservazione prolungata dei dati di clienti cessati da oltre 11 anni, si accolgono le argomentazioni di Edison nell’ambito dell’esercizio del diritto di difesa e si procede con l’archiviazione in ordine alla violazione dell’art. 5, par. 1, lett. b) e e) del Regolamento.

La Società ha fornito riscontri contrastanti riguardo al trattamento dei dati personali effettuato mediante il sito internet www.edisonenergia.it e l’App MyEdison (punto 3.1.8 della memoria difensiva). In particolare, Edison ha dichiarato, anche ai sensi dell’art. 168 del Codice, che i consensi al marketing e alla profilazione, acquisiti in fase di registrazione al sito, non generano alcun esito nel CRM aziendale. Tale circostanza risulta smentita sia dalle dichiarazioni rese in sede di accertamento ispettivo, sia dalla documentazione prodotta a scioglimento delle riserve. Infatti, nel corso dell’ispezione, una dipendente di Edison per il settore “Canali digitali” ha chiaramente affermato che “il sito per chi non è cliente, non raccoglie il consenso per attività di marketing e profilazione. Tali consensi sono invece raccolti per i clienti della società” rispetto ai quali “la valorizzazione dei consensi è riportata automaticamente nel CRM” (si rinvia per una più completa cognizione al verbale di operazioni compiute del 9 febbraio 2022). Inoltre ammonta a 50.050 “il numero utenti clienti presenti sul sistema CRM che abbiano rilasciato il consenso alla profilazione” (v. allegato n. 13 “clienti consensati profilazione”, a scioglimento della riserva del 9 febbraio 2022), risultando peraltro non condivisibile la circostanza descritta dalla Società relativa all’esiguità dei dati e dei consensi raccolti. Inoltre, in base alle dichiarazioni rese in sede di memoria difensiva, tale finalità risulta potenzialmente perseguibile soltanto a fronte di una disponibilità maggiore di dati corredati da specifici consensi. In altri termini, quindi, allo stato attuale, i dati raccolti da Edison per finalità di profilazione sono utilizzati per realizzare analisi interne di tipo generale e, solo in prospettiva, costituiscono materiale utile per il marketing profilato, a condizione che si registri un incremento delle adesioni.

Analogamente, la comunicazione dei dati a terzi per finalità di marketing diretto, per la quale è richiesto un consenso specifico in occasione della sottoscrizione del contratto tramite sito internet, pur configurando un obiettivo della Società, non risulta attualmente svolta in ragione dell’entità dei consensi sino ad oggi raccolti.

Pertanto, dal momento che, su esplicita ammissione della Società, non risultano perseguite le finalità di profilazione individuale e di comunicazione dei dati a terzi, lo scollamento fra il piano formale - relativo alle informative del sito e dell’App nonché a quelle rilasciate con la sottoscrizione dei contratti di fornitura - e il piano fattuale delle attività, è idoneo ad ingenerare il ragionevole dubbio su quali siano gli effettivi trattamenti svolti da Edison.

Al riguardo, il Garante ha più volte declinato il principio della trasparenza, quale agevole comprensibilità del messaggio informativo con specifico riguardo alle modalità e finalità del trattamento corrispondenti non soltanto con i consensi richiesti ma, ancor prima, con gli scopi effettivamente perseguiti. Sussiste l’esigenza di corrispondenza fra informativa ex art. 13 del Regolamento ed effettività dei trattamenti posti in essere, al fine di dare piena attuazione anche all’art. 12 del Regolamento, vale a dire proprio al principio della trasparenza, che si pone come fondamentale ed innovativo criterio di legittimità dei trattamenti stessi (v. provv. n. 7 del 15 gennaio 2020, doc. web n. 9256486).

Peraltro deve ribadirsi che le disposizioni del Regolamento (art. 4, punto 11 e considerando n. 32), in linea con il precedente assetto normativo, configurano il consenso come una fattispecie complessa nella quale l'elemento dell’espressione della volontà dell'interessato deve necessariamente essere correlato alla completezza delle informazioni sul trattamento rese dal titolare. Ne consegue che in carenza di idonee informazioni sul trattamento, come nel caso di specie rilevato ai paragrafi 2.7 e 2.8, anche l'espressione di volontà degli interessati risulta irrimediabilmente viziata e inidonea a costituire condizione di liceità per il trattamento stesso. Peraltro, la violazione della libertà degli interessati risulta ancor più aggravata dalla circostanza di condizionare l’iscrizione dell’utente al sito internet e all’App MyEdison al rilascio di un unico consenso per finalità di marketing e profilazione (medesima configurazione per l’App Edison MySun, non ancora in uso ma rilasciata sul mercato a gennaio 2022). Operazione, questa, che ha comportato l’acquisizione di un numero elevato di dati personali confluiti nel CRM aziendale (relativi a 50.050 utenti che hanno rilasciato il consenso per la finalità di profilazione).

Occorre ribadire in questa sede che la capacità di autodeterminazione degli utenti non è rispettata quando non si assicuri l’effettiva e consapevole libertà di scelta riguardo ai trattamenti dei propri dati e tale vizio di legittimità rileva ai fini dell’applicabilità delle violazioni della normativa in materia di protezione dei dati (in particolare quella relativa al consenso libero e specifico), a prescindere dall’effettuazione o meno delle attività di trattamento prospettate (v. provv. “Servizi on-line: richiesta di consenso "obbligato" per finalità promozionali” - 27 ottobre 2016, doc. web n. 5687770; provv. 12 giugno 2019, doc. web n. 9120218).

Va inoltre rappresentato che anche la mera conservazione dei dati personali costituisce una compiuta operazione di trattamento, per cui, una volta acquisito il consenso per finalità di marketing e di profilazione e raccolto i relativi dati, il trattamento deve intendersi pienamente posto in essere anche in caso di sola conservazione dei medesimi in attesa che nuove circostanze rendano possibili le ulteriori operazioni finalizzate al marketing e alla profilazione.

Alla luce di quanto sopra, si conferma la sussistenza della contestata violazione degli artt. 12, par. 1 e 5, par. 1, lett. a) del Regolamento.

Si ritiene, altresì, integrata la violazione degli artt. 6, 7 e 12, par. 1, del Regolamento, nonché dell’art. 130 del Codice per non aver acquisito un consenso libero e specifico degli interessati per le diverse attività di trattamento (in particolare marketing e profilazione).

4. CONCLUSIONI

Per quanto sopra esposto si ritiene accertata la responsabilità di Edison in ordine alle seguenti violazioni del Regolamento

- art. 5, parr. 1, lett. a) e 2;

- artt. 6 e 7;

- art. 12, parr. 1, 2 e 3;

- art. 21, par. 2;

- art. 24, parr. 1 e 2;

- art. 25, par. 1,

e la violazione dell’art. 130 del Codice.

Accertata l’illiceità delle sopra descritte condotte della Società, si rende necessario:

- ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, vietare ogni ulteriore trattamento per finalità promozionali effettuato mediante liste di anagrafiche di soggetti terzi che non abbiano acquisito dagli interessati un consenso libero, specifico ed informato alla comunicazione dei propri dati a Edison, ai sensi degli artt. 6 e 7 del Regolamento nonché 130 del Codice;

- ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiungere alla Società, qualora intenda in futuro indirizzare l’attività promozionale verso utenze telefoniche fornite da soggetti terzi, di adottare idonee procedure volte a verificare costantemente, anche mediante adeguati controlli a campione, che i dati personali siano trattati nel pieno rispetto delle disposizioni in materia (acquisizione preventiva di un consenso libero, specifico, inequivocabile, documentato, oltre che informato, degli interessati per l’invio di comunicazioni commerciali), ai sensi degli artt. 6, 7 e 13 del Regolamento nonché 130 del Codice;

- ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiungere a Edison di facilitare l’esercizio dei diritti previsti dalla normativa in materia di protezione dei dati personali e di soddisfare, senza ingiustificato ritardo, le relative istanze, compreso il diritto di opposizione che può essere avanzato “in qualsiasi momento” dall’interessato; di indicare chiaramente, già nello script di chiamata, il titolare a cui dovrà essere indirizzata la richiesta di cancellazione dei dati personali e che vi provvederà in via definitiva, ai sensi degli artt. 6, 7 e 13 del Regolamento nonché 130 del Codice;

- ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, vietare il trattamento dei dati personali raccolti senza che sia stato acquisito il necessario preventivo consenso informato, libero e specifico degli interessati in relazione all’attività di marketing e profilazione, ex artt. 6, 7 e 12 del Regolamento nonché 130 del Codice;

- ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiungere di fornire agli interessati un’idonea informativa nella quale siano indicati le operazioni di trattamento effettivamente svolte da Edison (artt. 12 e 13 del Regolamento);

- con riguardo ai trattamenti già realizzati e con finalità dissuasiva, si ritiene sussistano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi degli artt. 58, par. 2, lett. i) e 83, parr. 4 e 5, del Regolamento.

5. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra confermate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Edison Energia della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 4 e 5, del Regolamento. Tuttavia, risultando violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati dalla Società a fini di marketing, si ritiene applicabile l’art. 83, par. 3, del Regolamento, in base al quale, “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, assorbendo così le violazioni meno gravi. Nello specifico, le suindicate violazioni - avendo ad oggetto anche l’esercizio dei diritti degli interessati (artt. 12 e 13 del Regolamento) - sono da ricondursi, ai sensi dell’art. 83, par. 3, dello stesso Regolamento, nell’alveo della violazione più grave, con conseguenziale applicazione della sanzione prevista all’art. 83, par. 5, del Regolamento.

Per la determinazione dell’ammontare della sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1), occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.

Quali circostanze da prendere in considerazione nel caso di specie devono essere considerati, sotto il profilo delle aggravanti:

1. l’elevato numero dei soggetti coinvolti nei trattamenti contestati (lett. a): 66.771 (gli utenti registrati al sito internet XX per i quali non è stato acquisito un consenso specifico alla comunicazione dei dati da XX a Edison); 50.050 (i clienti presenti nel CRM per i quali è stato acquisito un consenso unico per finalità di marketing e profilazione, pur non venendo quest’ultima concretamente svolta); 29.872 (le utenze dei soggetti prospect inserite nella “lista di non contattabilità” priva di elementi idonei a circostanziare la volontà degli interessati e, quindi, ad accertare la liceità dei contatti promozionali);

2. la gravità delle violazioni rilevate (lett. a) con particolare riferimento all’assenza di verifiche a campione delle numerazioni da contattare fornite dai partner, alla non adeguata gestione del diritto di opposizione degli interessati, nonché all’inidoneità delle informative rese sul sito internet e sull’App MyEdison;

3. il carattere negligente delle condotte (lett. b), posto che la presenza della Società nel mercato da molti anni avrebbe dovuto consentire alla medesima di acquisire un bagaglio sufficiente di esperienza e competenza per adottare scelte di fondo maggiormente aderenti al dettato normativo;

4. la difformità della condotta della Società rispetto alla consistente attività provvedimentale dell’Autorità in materia di marketing (lett. k), con particolare riferimento all’informativa e al consenso;

5. la complessiva valutazione sulla capacità economica della Società, tenendo in considerazione l’ultimo fatturato societario disponibile (euro 4.900.439.466, come risultante dalla dichiarazione IVA 2022 relativa al periodo d’imposta all’anno 2021) (lett. k).

Quali elementi attenuanti, si ritiene di dover tener conto:

1. dell’assenza di precedenti procedimenti avviati a carico della Società (lett. e);

2. del fatto che la Società si è prontamente attivata presso l’Autorità giudiziaria per contrastare il fenomeno del telemarketing abusivo da parte di terzi (lett. k);

3. della tempestiva adozione di misure correttive, alcune delle quali avviate subito dopo la conclusione degli accertamenti ispettivi (lett. f);

4. dell’adozione, ancora prima dell’accertamento ispettivo, di misure atte ad evitare contatti “fuori lista” con la centralizzazione dei contratti mediante il sistema “Watson” (lett. k);

5. dell’elevato grado di cooperazione nell’interazione con l’Autorità di controllo (lett. f), tale da rendere agevole, nonostante le dimensioni della Società e della complessità dei trattamenti, lo svolgimento delle attività di indagine in particolare nel delicato periodo di emergenza;

6. della grave crisi socio-economica e dei suoi riflessi sull’andamento dell’occupazione (lett. k).

In base al complesso degli elementi sopra indicati, in applicazione dei richiamati principi di effettività, proporzionalità e dissuasività di cui all’art. 83, par. 1, del Regolamento, tenuto conto, altresì, del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società, si ritiene debba applicarsi a Edison – anche tenendo in considerazione altri casi analoghi - la sanzione amministrativa del pagamento di una somma di euro 4.900.000,00 (quattro milioni novecento mila), pari allo 0,1% dell’ultimo fatturato disponibile.

Nel caso in argomento si ritiene che debba applicarsi, altresì, la sanzione accessoria della pubblicazione nel sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della materia oggetto di istruttoria, vale a dire il fenomeno del marketing indesiderato, rispetto al quale questa Autorità ha adottato numerosi provvedimenti sia a carattere generale sia diretti a determinati titolari del trattamento e su cui è elevata l’attenzione dell’utenza.

Si ricorda che ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto del trattamento è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e) del Regolamento.

Ricorrono, infine, i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

TUTTO CIÒ PREMESSO, IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito, nei termini di cui in motivazione, il trattamento effettuato da parte di Edison Energia S.p.A., con sede legale in Via Foro Buonaparte 31, 2012 Milano, P.IVA. 08526440154;

b) ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, vieta ogni ulteriore trattamento per finalità promozionali effettuato mediante liste di anagrafiche di soggetti terzi che non abbiano acquisito dagli interessati un consenso libero, specifico ed informato alla comunicazione dei propri dati a Edison, ai sensi degli artt. 6 e 7 del Regolamento nonché 130 del Codice;

c) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiunge alla Società, qualora intenda in futuro indirizzare l’attività promozionale verso utenze telefoniche fornite da soggetti terzi, di adottare idonee procedure volte a verificare costantemente, anche mediante adeguati controlli a campione, che i dati personali siano trattati nel pieno rispetto delle disposizioni in materia (acquisizione preventiva di un consenso libero, specifico, inequivocabile, documentato, oltre che informato, degli interessati per l’invio di comunicazioni commerciali), ai sensi degli artt. 6, 7 e 13 del Regolamento nonché 130 del Codice;

d) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiunge a Edison di facilitare l’esercizio dei diritti previsti dalla normativa in materia di protezione dei dati personali e di soddisfare, senza ingiustificato ritardo, le relative istanze, compreso il diritto di opposizione che può essere avanzato “in qualsiasi momento” dall’interessato; di indicare chiaramente, già nello script di chiamata, il titolare a cui dovrà essere indirizzata la richiesta di cancellazione dei dati personali e che vi provvederà in via definitiva, ai sensi degli artt. 6, 7 e 13 del Regolamento nonché 130 del Codice;

e) ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, vieta il trattamento dei dati personali raccolti senza che sia stato acquisito il necessario preventivo consenso informato, libero e specifico degli interessati in relazione all’attività di marketing e profilazione, ex artt. 6, 7 e 12 del Regolamento nonché 130 del Codice;

f) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiunge di fornire agli interessati una idonea informativa nella quale siano indicati le operazioni di trattamento effettivamente svolte da Edison (artt. 12 e 13 del Regolamento);

g) ai sensi dell’art. 157 del Codice, ingiunge alla Società di comunicare all’Autorità, nel termine di 45 giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento.

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, a Edison Energia S.p.A., in persona del suo legale rappresentante, di pagare la somma di euro 4.900.000,00 (quattro milioni novecento mila), a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 4.900.000,00 (quattromilioninovecentomila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

quale sanzione accessoria, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16 del Regolamento del Garante n. 1/2019, la pubblicazione nel sito del Garante del presente provvedimento e, ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 15 dicembre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei

Rispondi