Conclusione di contratti di fornitura non richiesti: sanzione del Garante privacy

Il Garante sanziona con 10 milioni di euro una società fornitrice di gas e luce per la conclusione di contratti di fornitura non richiesti.

Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni: I ricorsi al Garante della privacy

1. I fatti

Il Garante per la protezione dei dati personali aveva ricevuto numerosi reclami in cui veniva lamentata la conclusione di contratti non richiesti nel mercato dell’energia elettrica e del gas da parte di una società, con conseguente trattamento di dati personali inesatti e non aggiornati. In particolare, i reclamanti lamentavano di aver avuto conoscenza della instaurazione del rapporto di fornitura elettrica e/o gas solo dopo aver ricevuto la lettera di chiusura del servizio da parte del precedente fornitore o addirittura dopo la ricezione delle prime fatture da parte della nuova società o di sollecito di pagamento di fatture insolute da parte di quest’ultima, senza aver mai avuto alcun contatto né personale né a distanza con la predetta società.
Il Garante ha quindi riunito tutti i reclami in un unico procedimento e svolto le necessarie attività istruttorie, invitando la società a prendere posizione sulla possibile violazione della normativa privacy ipotizzata.
La società in questione, che opera nel settore della vendita di energia elettrica e gas in Italia, ha precisato che l’attività di contrattualizzazione dei clienti avviene mediante il sistema porta a porta in virtù di apposito contratto con agenzie esterne appositamente selezionate. In particolare, il cliente sottoscrive la relativa documentazione cartacea proposta dall’agente oppure per il tramite del tablet in dotazione a quest’ultimo. In tale ultimo caso, l’agente compila il contratto e lo carica su una apposita piattaforma, mentre il cliente riceve la documentazione contrattuale tramite posta successivamente e per firmare il contratto riceve sul numero di cellulare fornito un sms con un codice OTP da inserire per attivare il contratto.
Dopo la conclusione dei contratti, l’agente carica sul software aziendale i dati personali dei clienti e la documentazione contrattuale e la società provvede alle verifiche successive sui dati dei clienti. Nel caso in cui la validazione del cliente, da parte della società, abbia esito positivo, l’offerta contrattuale è congelata per 14 giorni, al fine di permettere al cliente di esercitare il diritto al ripensamento, e in caso di mancato esercizio di tale diritto il contratto acquista efficacia. Alla fine di tale processo, quindi, la società invia al cliente una email di benvenuto all’indirizzo email fornito in fase di sottoscrizione oppure in caso di contratto cartaceo invia la comunicazione all’indirizzo postale indicato nel contratto.
Infine, la società ha precisato di aver rispettato il principio di responsabilizzazione imposto dalla normativa privacy al titolare del trattamento, nella misura in cui lo stesso deve essere inteso come un obbligo per il titolare di adottare delle misure a sua scelta in base agli elementi soggettivi e di rischiosità del trattamento proporzionata al numero di clienti e ai profitti ottenuti dal titolare medesimo. Ebbene, nel caso di specie, secondo la società, la stessa ha adottato delle adeguate misure tecniche e organizzative in base al rischio esistente, mentre la responsabilità delle attivazioni non richieste e della acquisizione di dati personali inesatti è ascrivibile soltanto alle agenzie e ai sub agenti cui si era rivolta la società, appositamente nominati responsabili del trattamento, i quali non si sono conformati alle istruzioni fornite dalla società medesima.
Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni:

2. Conclusione di contratti di fornitura non richiesti: valutazione del Garante

Dall’istruttoria svolta, il Garante ha ritenuto accertato che, sebbene i trattamenti illeciti siano stati posti in essere dai responsabili del trattamento (cioè gli agenti), che hanno operato in violazione delle istruzioni impartite dal titolare del trattamento, le misure tecniche e organizzative adottate della società nel trattamento dati consistito nella raccolta di contratti porta a porta per la fornitura di servizi gas e luce, non erano adeguate alla natura, al contesto, alle finalità e ai rischi del trattamento.
Ciò ha determinato una violazione del principio di responsabilizzazione a carico del titolare del trattamento, in base al quale quest’ultimo ha l’onere di attuare un sistema organizzativo e gestionale con misure effettive e efficaci di protezione dei dati personali (nonché deve poter provare l’adozione di un tale sistema), anche quando si avvale di altri soggetti per il trattamento. Tale sistema deve essere attuato soprattutto mediante l’adozione di procedure e prassi organizzative che siano idonee a conformare i trattamenti posti in essere al Regolamento europeo per la protezione dei dati personali (per esempio mediante processi di mappatura dei trattamenti; regole per l’attribuzione di responsabilità; programmi di formazione del personale; procedure per la verifica dell’operato dei responsabili; previsione di audit interni ed esterni con cadenza periodica, ecc.).
Nel caso di specie, invece, le modalità procedurali adottate dalla società sono risultate inadeguate e lacunose, così permettendo ad alcuni agenti di poter operare in violazione delle istruzioni impartite dal titolare e di violare la normativa privacy tramite la conclusione di contratti non richiesti e trattamenti di dati inesatti.
In particolare, la prima lacuna evidenziata dal Garante ha riguardato il sistema di controllo della contrattualizzazione porta a porta basato sull’invio di una lettera di benvenuto all’indirizzo email o fisico del cliente. Detto sistema, infatti, è basato unicamente sui recapiti forniti dall’agente venditore e non fornisce certezza della corrispondenza di questi ultimi con il reale utilizzatore dell’utenza, comportando così il rischio per la società di acquisire contratti non richiesti dagli utenti, contenenti dati personali inesatti e non aggiornati. Infatti, l’invio della predetta email di benvenuto non è effettuata attraverso modalità che permettano al titolare del trattamento di avere certezza dell’effettiva ricezione della documentazione da parte del cliente (quale per esempio l’uso della lettera con avviso di ricevimento). Un accorgimento di tal genere, secondo il Garante, avrebbe permesso alla società di intercettare i contratti non richiesti, prima delle attivazioni delle forniture.
In secondo luogo, secondo il Garante, la società non si è dotata, ai fini della verifica dell’esattezza dei dati personali contenuti nei contratti procacciati dalle agenzie, di sistemi di alert idonei a rilevare le più vistose anomalie procedurali (quali ad esempio l’inserimento nel software aziendale di numerazioni e indirizzi e-mail ricorrenti; l’inesattezza o incompletezza dei dati contrattuali acquisiti; l’anomala numerosità dei contratti stipulati da ciascun agente/venditore). Nel caso di specie, infatti, è emerso che numerose proposte contrattuali (cioè 2.462) contenevano al loro interno il medesimo indirizzo email (cioè pippo@pluto.it) risultato poi non appartenente agli effettivi clienti coinvolti. Anche la mancata adozione di misure volte a prevenire tale rischio appare al Garante non giustificabile, soprattutto in considerazione della notorietà della prassi di alcuni agenti di comportarsi in maniera irregolare attivando forniture non richieste.

3. La decisione del Garante

In considerazione di quanto sopra, il Garante ha ritenuto che la mancata adozione, da parte della società, di idonee misure volte a scongiurare le condotte illecite degli agenti (come poi verificatisi nei casi di specie), una violazione della normativa in materia di privacy e conseguentemente ha ritenuto di dover adottare, in primo luogo, delle misure correttive.
In particolare, il Garante ha imposto alla società di adottare un sistema di chiamata di verifica (check-call) bloccante per tutte le modalità di acquisizione dei contratti da parte del canale agenzia porta a porta, di definire dei meccanismi di alert idonei a rilevare varie anomalie procedurali (quali ad esempio l’inserimento nel software aziendale di numeri telefonici e indirizzi email ricorrenti), di implementare, nell’ambito della fase di sottoscrizione del contratto tramite OTP, dei sistemi di controllo dell’esattezza delle informazioni personali del cliente acquisite dall’agente, di introdurre dei meccanismi di accertamento della effettiva ricezione delle comunicazioni inviate ai clienti in fase di contrattualizzazione e di adottare regole procedurali in relazione alle quali, a fronte della ricezione di volumi anomali di proposte contrattuali, disconoscimenti, reclami per attivazione non richieste relative a contratti procacciati da un’agenzia, si preveda lo svolgimento, da parte della società, di specifiche attività di verifica sulla generalità delle operazioni di contrattualizzazione poste in essere dalla predetta agenzia.
In secondo luogo, il Garante ha ritenuto di applicare una sanzione amministrativa pecuniaria a carico della società, che (tenuto conto della gravita delle violazioni e del numero elevato di interessati coinvolti nonché del tipo di danno da questi subito) ha ritenuto di quantificare in ben €. 10.000.000 (diecimilioni).