Sanzione ad Enel energia per pratiche scorrette di telemarketing

Fonte: Garante privacy, provv. 8 febbraio 2024, n. 9988710.pdf

09 Agosto 2024

L’8 febbraio 2024, il Garante per la Protezione dei dati personali ha emesso un provvedimento che getta nuova luce sul fenomeno del “sottobosco del marketing” e che ha portato ad una sanzione di 79 milioni di euro (la più alta dell’Autorità). Enel Energia è stata ritenuta responsabile per non aver istituito misure preventive efficaci contro l’accesso e l’utilizzo non autorizzato dei dati personali degli interessati che sono stati sfruttati per finalità di marketing diretto da parte di soggetti terzi non autorizzati.

Massima

In materia di gestione dei rapporti con società terze per la gestione delle attività di telemarketing, è onere del titolare del trattamento adottare misure volte a garantire la conformità con i principi fondamentali in materia di protezione dei dati personali, così come delineati dal Regolamento Generale sulla Protezione dei Dati (d’ora in avanti GDPR). Ciò comporta una valutazione dei rischi associata all’interazione con tali società terze, in particolare per quanto riguarda l’accesso e l’utilizzo delle credenziali di accesso ai sistemi informativi.

Il caso

Il procedimento discende da un’istruttoria preliminare del Garante per la protezione dei dati personali, che ha comportato l’irrogazione di sanzioni per un totale di 1,8 milioni di euro a carico di quattro società, di cui due con sede a Verona e due a Firenze, accompagnate dalla confisca delle banche dati impiegate in attività non conformi alle prescrizioni del GDPR. Nel dettaglio, si è accertato che le società veronesi, prive di qualsiasi forma di accordo contrattuale con Enel Energia, promuovevano servizi energetici utilizzando documentazione falsificata e in violazione ai principi del GDPR e la normativa nazionale applicabile al telemarketing. I dati utilizzati per contattare i potenziali clienti erano stati acquisiti illecitamente. L’istruttoria ha portato alla luce che le due imprese di Firenze, pur mancando delle autorizzazioni necessarie, procedevano all’inserimento dei contratti sottoscritti nei sistemi di Enel Energia tramite un’interfaccia nota come “N.Eve”. Al sistema si accedeva tramite credenziali condivise tra vari fornitori, le quali non venivano revocate al termine delle collaborazioni. Il modus operandi ha suscitato perplessità in merito alla facilità con cui soggetti privi di esplicita autorizzazione hanno potuto accedere ai sistemi informatici aziendali, evidenziando gravi lacune nella governance della sicurezza informatica e della conformità al GDPR.

La questione

La questione posta dalla pronuncia del Garante per la protezione dei dati personali si concentra sulla disamina delle problematiche giuridiche legate al trattamento illecito dei dati personali nel contesto del telemarketing aggressivo e del fenomeno noto come “sottobosco del marketing”. In particolare, quest’ultima situazione si caratterizza per l’impiego di dati da parte di aziende non autorizzate, nell’ambito di una pratica diffusa che vede l’entanglement di relazioni e condotte scorrette nel settore del telemarketing a cui sono collegate violazioni per la sicurezza e la protezione dei dati personali.

Le soluzioni giuridiche

Nella fase dell’istruttoria, l’esame condotto dall’Autorità ha rivelato significative inadempienze nell’ambito della gestione dei dati e della sicurezza dei sistemi da parte di Enel Energia che hanno permesso a società terze non autorizzate di accedere ai sistemi informativi di Enel. La situazione ha sollevato seri interrogativi riguardo alla sufficienza e all’efficacia delle misure di sicurezza implementate dall’azienda, sottolineando la necessità di un’immediata revisione e potenziamento delle procedure di controllo e di verifica per garantire la protezione dei dati personali degli utenti e la sicurezza delle infrastrutture informatiche aziendali. Alla luce degli accertamenti effettuati, il Garante ha rilevato come Enel Energia sia incorsa in gravi violazioni del GDPR segnatamente nell’ambito dell’applicazione degli articoli 5, comma 1, lettera f), e 32, per non aver proceduto a un’analisi dei rischi adeguata relativamente all’uso dell’interfaccia N.Eve e per la conseguente mancata adozione di misure idonee a regolamentare l’uso delle credenziali di accesso alla propria infrastruttura informatica da parte della rete di agenti ufficiali.

Il sistema consentiva, di fatto, l’inserimento nel sistema di proposte contrattuali originate da soggetti non autorizzati alla gestione dei dati personali e all’accesso ai sistemi aziendali. Ulteriormente, l’Autorità ha rilevato la violazione degli articoli 5, comma 2, 24, comma 1, e 25 GDPR per aver eluso i doveri di accountability e di privacy by design. La società avrebbe, infatti, dovuto implementare un’efficace strategia di contrasto alle pratiche improprie operate da talune agenzie che viceversa avevano l’accesso ai sistemi e potevano inserire nel sistema della società i contratti sottoscritti. Secondo il Garante, tale possibilità da parte di agenzie terze dimostra una carenza della signoria che il titolare del trattamento è tenuto ad attuare e conseguentemente una mancata attuazione dei poteri/doveri di controllo tramite meccanismi di prevenzione, sicurezza dei sistemi e trasparenza del trattamento. Infine, è stata rilevata la violazione dell’articolo 28 GDPR per aver formalizzato accordi con le proprie agenzie in termini che non riflettevano l’effettiva dinamica di trattamento dei dati. Invero, agenzie terze, del tutto sconosciute, erano in grado di processore dati per conto di Enel Energia. Secondo il Garante, la Società avrebbe dovuto delineare ed eseguire una strategia più efficace per impedire le azioni non conformi realizzate dalle agenzie che hanno condotto all’acquisizione non autorizzata di contratti.

L’Autorità ha prescritto a Enel Energia ai sensi dell’art. 58, par. 2, lettere d) ed e) GDPR, una serie di azioni correttive: comunicare agli interessati, i cui dati sono stati illecitamente acquisiti, gli esiti dell’indagine; attestare l’implementazione di misure di sicurezza che bloccano accessi simultanei con le stesse credenziali al sistema N.Eve; introdurre meccanismi per garantire la tracciabilità e un monitoraggio efficace delle operazioni su tale sistema, precludendo l’accesso da indirizzi IP non autorizzati. La società sarà tenuta ad assicurare che ogni accordo con le agenzie ed eventuali sub-agenti rispetti le prescrizioni di cui all’art. 28 GDPR anche sul piano delle reciproche responsabilità. L’Autorità ha altresì inflitto a Enel Energia una sanzione amministrativa pecuniaria. La determinazione del massimo edittale della sanzione pecuniaria si è basata sul fatturato di Enel Energia, desunto dall’ultimo bilancio d’esercizio disponibile al 31 dicembre 2022, l’Autorità ha irrogato una sanzione pari a 79.107.101 euro.

Osservazioni

L’entità della sanzione imposta a Enel Energia, oltre a riflettere la serietà delle violazioni rilevate, rappresenta come una forma di “fermo” contro il cosiddetto fenomeno del “sottobosco” del marketing, un mercato parallelo di pratiche commerciali che compromettono la protezione dei dati degli utenti. Tale riflessione non è isolata, ma si inserisce in un contesto in cui l’Autorità ha già espresso la propria volontà di regolamentare il settore marketing con il Codice di condotta del 9 marzo 2023, n. 70. Il documento prescriveva già con chiarezza le responsabilità dei titolari del trattamento e l’obbligo di garantire l’integrità e la verificabilità delle operazioni di trattamento dei dati personali all’interno delle pratiche di telemarketing e teleselling. Si postula, dunque, che la giurisprudenza futura valuti l’adeguatezza delle sanzioni emesse dall’Autorità tanto come strumento dissuasivo, quanto come elemento di effettiva responsabilità del titolare del trattamento.

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.

Cerca nel testo