g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Enel Energia S.p.a. - 16 dicembre 2021 [9735672]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE

Comunicato del 19 gennaio 2022

 

[doc. web n. 9735672]

Ordinanza ingiunzione nei confronti di Enel Energia S.p.a. - 16 dicembre 2021*

* Il Tribunale di Roma ha accolto il ricorso presentato da Enel Energia s.p.a. per l’annullamento del provvedimento del Garante n. 443/2021

Registro dei provvedimenti
n. 443 del 16 dicembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vicesegretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1 Premessa

Con atto n. 26890/21 del 14 maggio 2021 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente riprodotto, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Enel Energia S.p.a (di seguito “EE” o “la Società”) in persona del legale rappresentante pro-tempore presso la sede legale della società in Roma, Viale Regina Margherita n. 125, C.F. 06655971007.

Il procedimento trae origine da una complessa attività istruttoria avviata dall’Autorità a seguito della ricezione di numerosi reclami e segnalazioni di interessati, i quali lamentavano, in via principale ma non esclusiva (come si vedrà meglio infra par. 1.2), la ricezione, in nome e per conto di Enel, di una o più telefonate promozionali indesiderate, anche attraverso disco preregistrato, su utenze riservate ovvero iscritte al registro pubblico delle opposizioni unitamente, in alcuni casi, a connesse doglianze in materia di esercizio dei diritti e, più in generale, di gestione dei dati degli utenti nell’ambito dei servizi di fornitura energetica.

Il fenomeno del telemarketing nel settore energetico – in cui l’istruttoria nei confronti di Enel si inserisce, pur essendo già stato in passato oggetto dell’attenzione del Garante – ha subito un netto e preoccupante incremento con l’approssimarsi del termine ultimo previsto dal legislatore (peraltro a seguito di molteplici proroghe) per il definitivo passaggio dal mercato tutelato dell’energia elettrica e del gas naturale al mercato libero (si veda, da ultimo, art. 12, comma 9-bis, lett. b) del decreto legge 31 dicembre 2020, n. 183, convertito, con modificazioni, dalla legge 26 febbraio 2021, n. 21). L’Autorità è stata infatti destinataria, in questo ambito, delle doglianze dei cittadini rispetto ad un persistente e disturbante senso di ingerenza nella propria sfera di riservatezza a causa di tali pratiche, non di rado accompagnate, da comportamenti non solo invasivi ma anche, come lamentato, particolarmente aggressivi.

L’approccio dell’Autorità, conformemente alle precedenti istruttorie relative ad altri titolari del trattamento, si è quindi basato su una osservazione e valutazione complessive – più che in una logica, pur fondamentale e necessaria, di risposta individuale alla singola doglianza – di comportamenti che rivelano un fenomeno già noto, cui, l’approssimarsi del suddetto termine legislativo, ha apportato elementi di cronicità, particolare intensità e, conseguentemente, invasività nella sfera privata degli interessati.

Nel contesto della disciplina in materia di protezione dei dati personali, il sopra descritto approccio analitico di tipo sistemico e globale al problema, che il Garante ha inteso applicare, assume particolare rilevanza per comprendere natura e finalità del trattamento, misure tecniche e organizzative adottate dal titolare per garantire nel complesso dei trattamenti effettuati l’osservanza del Regolamento generale UE 679/2016 (da qui in avanti “RGPD” o “Regolamento”) nonché, alla luce del principio di responsabilizzazione (art. 5, par. 2, RGPD), modalità attraverso cui viene comprovato il rispetto di tale quadro regolamentare.

Pertanto, l’attività del Garante si è svolta principalmente attraverso istruttorie unitarie e richieste di informazioni cumulative. Con l’entrata in vigore del regolamento n. 1/2019, concernente lo svolgimento dei compiti e l’esercizio dei poteri demandati all’Autorità (in www.gpdp.it, doc. web n. 9107633), l’Ufficio ha infatti potuto avvalersi della facoltà ivi prevista all’art. 10, comma 4, di effettuare l’istruttoria preliminare proprio in relazione a più reclami e segnalazioni aventi il medesimo oggetto o relative al medesimo titolare o responsabile del trattamento, ovvero a trattamenti di dati tra loro correlati. Ciò al fine di esaminare, con maggiore efficacia e, al contempo, necessaria economia dei mezzi istruttori, le doglianze che hanno riguardato una pluralità di condotte riferibili non solo direttamente ad Enel ma anche ad alcuni partner commerciali dei quali la stessa si avvale.

In tale contesto Enel S.p.A. ed Enel Energia S.p.a. sono state inizialmente destinatarie, dal dicembre 2018 al luglio 2020, di quattro distinte richieste di informazioni cumulative (infra par. 1.2) le quali hanno riguardato complessivamente 135 fascicoli e sono state così articolate:

13 dicembre 2018, relativamente a 25 segnalazioni (fasc. 133144; da qui in avanti “I cum.”) cui ha fatto seguito il riscontro della società inviato al Garante in data 21 dicembre 2018;

19 agosto 2019, relativamente a 32 segnalazioni (fasc. 133144; da qui in avanti “II cum.”), con riscontro della società inviato al Garante in data 6 settembre 2019;

17 dicembre 2019, relativamente a 25 segnalazioni (fasc. 133144; da qui in avanti “III cum.”) con riscontro della società inviato al Garante in data 21 agosto 2020;

10 luglio 2020, relativamente a 8 reclami e 45 segnalazioni (fasc. 152287; da qui in avanti “IV cum.”), cui ha fatto seguito il riscontro della società inviato al Garante in data 21 agosto 2020; nonché - in data 24 dicembre 2020 ulteriore richiesta di integrazione delle informazioni fornite con riguardo alle fattispecie già individuate nella menzionata nota del 10 luglio 2020, fasc. 152287, da qui in avanti “IV-bis cum.”). Il riscontro a questa ultima richiesta è pervenuto in data 14 gennaio 2021. I riscontri alle predette richieste di informazioni sono pervenuti da parte della sola Enel Energia quale società attiva nel mercato libero della vendita di energia elettrica e gas naturale.

Le lamentate condotte nei confronti di EE hanno anche incluso le valutazioni emerse nell’ambito di istruttorie effettuate rispetto a singoli casi. Il riferimento è, in particolare, a 5 ulteriori reclami, presentati, ai sensi dell’art. 77 RGPD, anteriormente alla data del 20 luglio 2020 (infra par. 1.3).

1.2. Le richieste di informazioni ed esibizione di documenti, ai sensi dell’art. 157 del Codice e i riscontri forniti da Enel

L’esame particolareggiato delle doglianze pervenute all’Autorità ha condotto, nella logica sopra richiamata, a formulare nei confronti delle società interessate, in tempi successivi, diverse richieste di informazioni, ai sensi del combinato disposto di cui agli artt. 58, par. 1, lett. a) RGPD e dell’art. 157 del Codice. I numeri dei rispettivi fascicoli sono specificati tra parentesi. Delle stesse e dei riscontri forniti dalla Società si dà sinteticamente conto qui di seguito, fatto salvo, tuttavia, il pieno e completo rinvio a quanto già riportato nell’atto di contestazione.

Richiesta del 13 dicembre 2018 (I cum.): le doglianze pervenute al Garante, alla base delle menzionate richieste di informazioni, hanno riguardato, in particolare, il trattamento dei dati personali degli interessati nel contesto di telefonate promozionali indesiderate in quanto effettuate rispetto ad utenze riservate in assenza del necessario consenso degli interessati (132890, 133076, 132810, 132578, 131243, 131039, 130428, 129707, 122612, 106175), ovvero, rispetto ad utenze fisse , nonostante l’iscrizione della numerazione nel registro pubblico delle opposizioni (132985, 132792, 131811, 131762, 131444, 131337, 131237, 130644, 130529, 130349, 130197, 130077, 129198), nonché il tardivo riscontro ad istanze di esercizio dei diritti di accesso ai dati personali oppure di opposizione al relativo trattamento per finalità di marketing (132334, 129416).

Con riguardo agli indebiti contatti promozionali effettuati sia nei confronti di interessati, i cui numeri risultavano riservati sia nei confronti di interessati le cui utenze risultavano iscritte al ROP alla base della richiesta di informazioni del 13 dicembre 2018, la risposta complessiva fornita in particolare da EE ha evidenziato che in tutti i casi segnalati le numerazioni chiamanti non appartenevano alla rosa di quelle in uso alla società o  ai suoi partner commerciali e che  dette numerazioni, da una ricerca effettuata on-line, risultavano riferibili a “sedicenti operatori che spendono illegittimamente il nome di Enel Energia stessa – ovvero quello di altre società operanti anche in settori diversi da quello energetico” (cfr. riscontro della società del 21 dicembre 2018).

Con riferimento invece all’esercizio dei diritti di cui si è lamentato il mancato riscontro (fasc. 132334 e 129426), le risposte fornite da EE, sempre a seguito della predetta richiesta dell’Ufficio, hanno dato effettivamente conto del ritardo registrato dalla società nel dar seguito alle istanze degli interessati.

Richiesta del 19 agosto 2019 (II cum.): quanto ai riscontri forniti in particolare da EE a seguito della seconda richiesta di informazioni formulata dall’Ufficio il 19 agosto 2019 (fascicoli 116720, 116698, 136284, 137069, 137220, 137655, 137710, 137730, 137772, 137777, 138579, 139334, 140475, 136877, 136921, 136932, 137159, 137360, 138000, 139071, 139222, 139228, 139838, 139930, 140166, 140273, 140301, 138749, 138775, 139131, 139219, 138716) EE ha nuovamente rappresentato che, anche nelle nuove doglianze prospettate al Garante, le telefonate promozionali indesiderate che gli interessati hanno segnalato come riconducibili ad EE prevenivano invece da numerazioni estranee alla società ed alla sua rete di partner commerciali.

Più specificamente, la società ha evidenziato come dalle verifiche informatiche effettuate nei propri sistemi aziendali, la maggior parte degli interessati non avesse mai avuto un rapporto contrattuale con la stessa. Solo in cinque casi i dati personali dei segnalanti sono risultati presenti nei sistemi di EE in ragione di rapporti contrattuali in essere, mentre in sei casi i rapporti contrattuali risultavano cessati. Rispetto a due specifiche fattispecie la società ha tuttavia constatato come i contatti promozionali fossero ascrivibili, in un caso, ad un proprio partner in virtù di un contratto di agenzia ancora in essere (136877) e provenissero, nell’altro, da un ex partner, con il quale i rapporti contrattuali si erano conclusi precedentemente all’effettuazione della telefonata promozionale indesiderata (137360, 138000).

Richiesta del 17 dicembre 2019 (III cum.): una nuova richiesta di informazioni alla Società è stata inviata in merito ad ulteriori 25 segnalazioni, relative ad utenti titolari sia di numerazioni riservate in assenza del necessario consenso (142718, 142745, 142834, 143230, 142718, 143221, 143721, 144373, 144437, 144518) sia iscritte al registro pubblico delle opposizioni (142833, 143025, 143222, 143688, 143749, 143766, 144316, 144446, 145020).  

Le doglianze pervenute hanno anche rappresentato la ricezione di telefonate promozionali dichiaratamente nell’interesse EE tramite disco pre-registrato (143863, 144081, 144296, 144240, 144385;). In un caso il segnalante, a fronte dell’indebita ricezione di telefonate promozionali, ha esercitato nei confronti di EE i propri diritti, in particolare quello di opposizione al trattamento per finalità di marketing diretto (144760).

A fronte di quanto rappresentato dagli interessati, la società non ha fornito, entro i termini previsti, alcun genere di riscontro, tanto da indurre il Garante a reiterare, ai sensi dell’art. 157 del Codice, la richiesta di informazioni in merito ai summenzionati fascicoli, unitamente ad una successiva richiesta, resasi necessaria a fronte delle ulteriori segnalazioni e reclami in seguito pervenuti all’Autorità (IV cum.).

La tardiva risposta complessiva comunque fornita dalla società ha evidenziato che in tutti i casi le numerazioni chiamanti non appartenevano alla rosa di quelle in uso ad EE e ai suoi partner.

In relazione ad ipotesi nelle quali i segnalanti hanno evidenziato di essere stati contattati attraverso modalità automatizzate, in particolare una segreteria telefonica, EE ha fornito il proprio riscontro evidenziando di non essere “nella disponibilità dei dati personali degli interessati” (143863; 144240; 144296), rappresentando altresì di non effettuare “chiamate con finalità promozionali mediante segreteria telefonica automatizzata.” (144240). In altri due casi la società non ha fornito alcun riscontro, a parte il menzionato generico richiamo alla estraneità dei numeri chiamanti (144081; 144385).

Analoghe affermazioni sono state formulate dalla società in relazione ad ulteriori segnalazioni (139123 e 143511), inizialmente oggetto di autonoma istruttoria e, successivamente, fatte confluire nel menzionato procedimento principale. In tali segnalazioni venivano lamentati diversi contatti promozionali indesiderati attraverso disco preregistrato che, in vista dell’imminente cessazione del mercato tutelato, invitavano al passaggio al mercato libero con EE. La società, nell’ambito di successive interlocuzioni con i segnalanti, ha negato ogni riferibilità a sé di tali contatti.

L’estraneità di EE al lamentato fenomeno è stata ribadita anche in risposta ad un’altra segnalazione (fasc. 139206) in cui l’interessato, dopo aver lamentato per l’ennesima volta le continue telefonate dalla “segreteria telefonica di Enel Energia”, dava atto di aver selezionato, al termine del messaggio preregistrato, il tasto “3” con l’opzione di essere ricontattato. A seguito di tale azione il segnalante dichiarava di essere stato effettivamente contattato da un’operatrice fisica proprio in nome di EE e, addirittura, di aver fissato una successiva visita ed incontrato un sedicente agente di quest’ultima in veste di incaricato Enel, salvo poi verificare il coinvolgimento di un partner commerciale di EE, XX., e ricevere da quest’ultima società, a seguito del legittimo esercizio dei propri diritti, solo l’indicazione che la stessa non gestisce attività di call center né attività promozionale.

Nell’ambito delle richieste cumulative e dei relativi riscontri forniti, anche con riguardo alle segnalazioni rispetto ad utenze iscritte al registro pubblico delle opposizioni, la società ha poi ribadito che in alcuni casi gli interessati sono stati titolari di contratti ormai cessati (143688, 143766, 144446); ovvero, in altri, ancora in essere (142833, 143749, 143766, 145020).

Richiesta del 10 luglio 2020 (IV cum): le doglianze alla base della quarta richiesta hanno riguardato, ancora una volta:

la ricezione di chiamate promozionali indesiderate verso numerazioni iscritte al Registro delle opposizioni (136820, 140498, 140527, 140842, 141460, 142199, 143304, 143549, 143610, 146926, 147410, 148139, 151382) e verso numerazioni riservate senza la previa ac-quisizione del necessario consenso (109024, 136529, 139443, 140347, 140821, 141283, 141602, 142057, 145842, 146806, 146898, 147277, 147347, 147737);

l’utilizzo di disco pre-registrato sempre nell’ambito di chiamate promo-commerciali (138477, 140347, 144213, 147139, 147196, 147750);

il mancato riscontro da parte di Enel Energia all’esercizio dei relativi diritti, nonché la rice-zione di ulteriori telefonate promozionali, anche preregistrate, nonostante la recepita oppo-sizione al trattamento (138729, 140347, 146556, 140058, 143143, 142953, 150137).

Le richieste dell’Autorità si sono altresì appuntate sulla opportunità di fornire chiarimenti in merito:

ai rapporti tra EE ed altre società che avrebbero contattato l’interessato per suo conto non-ché all’utilizzo del numero di telefono (136020);

alla lamentata obbligatorietà di un consenso da rilasciarsi per finalità di marketing e profila-zione da parte di altre società del gruppo Enel e di partner commerciali, nell’ambito dell’utilizzo di app per la consultazione dei consumi e per il pagamento delle bollette (142396, 142400, 143619, 144726);

all’invio di sms promozionali in assenza del consenso dell’interessato (150613);

alla acquisizione ed automatica associazione di numerazioni telefoniche di contatto (146166, 138115)

all’invio di fatture ed altri dati personali ad altri utenti (147284);

all’indebito utilizzo da parte di terzi di informazioni nella disponibilità di EE (143728) non-ché della relativa modulistica (151477).

ad ulteriori e distinte doglianze (140103; 140911).

A fronte del quadro sopra evidenziato EE ha richiamato i processi di vendita da essa utilizzati quale società attiva nel mercato libero dell’energia elettrica e del gas naturale, anche attraverso la propria rete commerciale e dichiarato di aver adottato anche con riguardo ai propri partner di vendita, misure tecnico-organizzative adeguate rispetto ai trattamenti di dati personali coinvolti in tali processi.

La Società ha anche dato atto “di dover gestire una importante numerosità dei reclami che, però, nella maggior parte dei casi non sono riconducibili alle condotte commerciali adottate dalla stessa”, nonché della frequenza di un uso abusivo del suo nome da parte di terzi, che attraverso condotte truffaldine tentano di trarre un vantaggio economico e ne minano la consolidata reputazione. In tal senso EE è intervenuta “diffidando tali soggetti a cessare le attività illecite inerenti l’uso abusivo dei propri segni distintivi e le pratiche commerciali scorrette poste in essere, anche sporgendo denuncia all’Autorità Giudiziaria”. Il richiamo in questi termini è stato, in particolare rispetto al fenomeno delle telefonate preregistrate a due esposti presentati alla Procura della Repubblica di Roma rispettivamente in data 12.11.2019 e 2.3.2020.  

In relazione alle doglianze circa la ricezione di telefonate promozionali tramite disco-preregistrato, la società ha evidenziato, ancora una volta, la propria estraneità a tali modalità di contatto, giustificando in ogni caso la disponibilità dei dati dei segnalanti sulla base di motivazioni già richiamate in precedenza (140347:  alcune chiamate automatizzate sono state effettuate da un partner di EE; 144213: per finalità di gestione di reclamo; 147139: processo di rilevazione della qualità percepita; 1457750: per finalità di gestione di segnalazioni).

Relativamente alla lamentata obbligatorietà del rilascio di un consenso per finalità di marketing e profilazione per l’accesso e la fruizione dei servizi on line e tramite app di consultazione e pagamento delle fatture (142396, 144726, 142400, 143619), EE ha poi rappresentato che, per semplificare tali funzionalità è stato implementato il cosiddetto Profilo unico consistente in un account per l’accesso ai portali web e alle app delle società del Gruppo Enel. La società ha inoltre dichiarato che “ai fini della registrazione dell’account, è prevista solamente la conferma della presa visione dell’Informativa da parte dell’utente e non il rilascio dei consensi al trattamento dei dati personali per finalità di marketing e profilazione [omissis], come invece erroneamente segnalato da alcuni reclamanti”. Tale circostanza, rispetto alle singole doglianze, solo in un caso è stata comunicata direttamente all’interessato (142396).

Rispetto, invece, agli ulteriori singoli casi evidenziati, ci si limita in questa sede a operare pieno e completo rinvio a quanto ricostruito nell’atto di contestazione, qui richiamato integralmente.

Richiesta del 24 dicembre 2020 (IV-bis cum.) e accertamento svolto dall’Ufficio: con riferimento all’ultimo riscontro pervenuto da parte di EE (21 agosto 2020, riscontro a III cum. e IV cum.), quest’ultima è stata destinataria di una ulteriore richiesta di informazioni e chiarimenti rispetto ad alcune circostanze ivi emerse, in particolare rispetto al ruolo di alcuni partner commerciali ed alla relativa attività, nonché alle azioni intraprese e alle misure adottate nei confronti di tali soggetti. In particolare, in merito al rilevante fenomeno delle telefonate preregistrate con finalità promozionali, rispetto alle quali la società aveva in precedenza dichiarato di non essere in alcun modo coinvolta, è stato richiesto un riscontro più puntuale rispetto alle iniziative asseritamente intraprese ed alle misure adottate per contrastare tale fenomeno.

Nel fornire un ulteriore riscontro al Garante, in data 14 gennaio 2021, EE ha trasmesso i modelli di addendum contrattuali regolanti i rapporti tra quest’ultima e alcuni dei propri partner commerciali ed ha altresì specificato, in riferimento a ciascun caso oggetto di richiesta di informazioni, di aver contestato, a seguito della richiesta di informazioni del Garante del 10 luglio 2020, l’utilizzo illegittimo dei dati personali dei segnalanti e di aver notificato la penale contrattualmente prevista (136820, 140911, 141460) ad alcuni partner.

In relazione al fenomeno delle chiamate effettuate mediante segreteria telefonica automatizzata, EE ha comunicato, allegandone prova documentale, di aver depositato due esposti presso la Procura della Repubblica di Roma, in data 12 novembre 2019 e 2 marzo 2020, al fine di tutelare il proprio buon nome, abusivamente utilizzato da terzi oltre che “per prendere le distanze” da tale modalità di contatto promozionale.

Con riguardo, poi, ai servizi on-line ed in particolare alla predisposizione di una app di consultazione dei consumi energetici e per il pagamento delle bollette da parte degli utenti, nell’ambito del cd. Profilo unico è stato richiesto alla società di fornire elementi di chiarimento circa le modalità di funzionamento della predetta app, nonché indicazioni sulla dimensione quantitativa del servizio.

A tale richiesta la società ha dato riscontro evidenziando che “Per poter accedere ai servizi digitali è necessario attivare il Profilo Unico (Unique ID). [omissis] Attraverso una sola coppia di credenziali (username e password) è possibile accedere a tutti i servizi digitali che le singole società del Gruppo Enel mettono a disposizione, senza la necessità di effettuare una nuova registrazione ai fini dell’accesso ad una delle società del Gruppo Enel diversa da quella per la quale è stata effettuata la prima registrazione.” Attualmente tale modalità di accesso, si applica solo a Enel Energia ed Enel X, mentre sono escluse dal Profilo Unico le società del Gruppo Enel soggette alla normativa in materia di unbundling (per quanto riguarda l’Italia, SEN ed E-distribuzione).

EE ha altresì dichiarato che “Tramite il Profilo Unico le società condividono solo le credenziali necessarie per l’accesso ai rispettivi servizi digitali”, specificando che “i dati personali che sono stati conferiti dal digital user alle diverse società (ad esempio, ai fini della gestione del rapporto contrattuale in essere con le stesse) non vengono trasferiti da una società all’altra”. Dal settembre 2019 l’utilizzo del Profilo Unico ha carattere di obbligatorietà per tutti i digital user ossia utenti che avevano già in precedenza attivato un account on line e che sono stati guidati, attraverso un processo di migrazione, al nuovo profilo, ovvero per gli utenti che non usufruivano in precedenza dei servizi digitali.

La società, infine, ha fornito informazioni circa la dimensione quantitativa del ricorso al Profilo Unico (3.113.254 di utenti) e all’App (1.665.969 di utenti).

A fronte della persistente carenza di informazioni circa le modalità di conferimento dei consensi per finalità di marketing nell’ambito della creazione del Profilo Unico e di utilizzo della App, pur alla luce delle doglianze dei segnalanti, trasmesse integralmente alla società, su questo specifico aspetto (142396, 144726, 142400, 143619), l’Ufficio ha ritenuto opportuno svolgere direttamente un accertamento (cfr. verbale di accertamenti svolti, 7 maggio 2021 e allegati).

In tal senso è stato possibile constatare che, a seguito dell’inserimento dei dati richiesti (nome, cognome, informazioni di contatto, codice fiscale), l’utente visualizza una prima schermata con finalità informative, nella quale sia Enel Energia che Enel Italia S.p.a. sono indicate come titolari autonomi del trattamento. Successivamente è possibile visualizzare una seconda schermata relativa ai Termini e alle condizioni del servizio e all’Informativa Privacy, accompagnati da due caselle che devono essere necessariamente contrassegnate per poter procedere nella registrazione (come peraltro descritto da EE all’interno del riscontro del 14 gennaio 2021). All’assenso alla presa visione delle suddette condizioni e della informativa nella quale sono richiamate le finalità per le quali è richiesto il consenso, seppur facoltativo, dell’interessato non fa tuttavia seguito una immediata ed agevole visualizzazione di un’apposita sezione dedicata alla raccolta degli eventuali consensi richiamati nella informativa stessa. Solo a seguito del completamento della procedura di registrazione e dell’accesso all’area riservata, infatti, l’utente può cominciare un percorso, peraltro non di facile intuibilità, che lo condurrà a manifestare la propria volontà o il proprio diniego relativamente al trattamento dei propri dati per le finalità di marketing e profilazione di EE, di società del Gruppo e di terzi.

1.3.  I reclami istruiti singolarmente

Autonome istruttorie confluite nella presente trattazione unitaria con il procedimento prin-cipale, in base a quanto previsto dagli artt. 10, comma 4, del regolamento del Garante n. 1/2019 e 8, comma 2, del regolamento del Garante n. 2/2019, sono state condotte relativamen-te a diversi reclami pervenuti all’Autorità nel periodo preso in considerazione.

Le questioni sollevate hanno riguardato, ancora una volta, il fenomeno delle chiamate promozionali indesiderate, in particolare attraverso disco preregistrato, per il passaggio al mercato libero con EE, rivolte sia ad ex clienti sia a soggetti non clienti di EE, alcune doglianze circa l’esercizio dei diritti e l’invio di comunicazioni promozionali indesiderate via e-mail o sms.

In particolare in tre reclami (fasc. 142298, 144397 e 136321) è stata lamentata la ricezione di diversi contatti telefonici indesiderati, pur avendo gli interessati già rappresentato in più occasioni ad EE tale situazione, chiedendo la cancellazione dei propri dati personali, ovvero comunicando l’opposizione al trattamento per finalità promozionali. In due di questi casi le chiamate sono state effettuate attraverso disco pre-registrato (fasc. 142298 e 144397) e in particolare in uno (fasc. 142298) il reclamante è stato persino in grado di riferire con precisione di aver ricevuto, dopo aver digitato la cd. “opzione 3” ad essere ricontattato (opzione presente nella registrazione), una successiva telefonata da parte di un operatore di un call center che, presentandosi come EE proponeva il passaggio a quest’ultima nell’ambito del mercato libero, confermando, inoltre, dietro ripetute richieste dell’interessato di agire proprio per conto di Enel e non di aziende terze. 

Altri specifici profili si sono appuntati, sempre nel contesto di comunicazioni promozionali indesiderate da parte di EE, sulla corretta gestione delle richieste di esercizio dei diritti garantiti dagli artt. 15-22 del Regolamento, in particolare della richiesta di opposizione al trattamento dei dati, esercitata in fase di sottoscrizione del contratto (fasc. 133249) e/o successivamente tramite apposita comunicazione al titolare (fasc. 133249, 136529 e 136321).

Infine, in due casi, i reclamanti hanno lamentato anche la ricezione di comunicazioni promozionali indesiderate via e-mail e/o sms (fasc. 133249 e 136321).

In generale a fronte di tutte le doglianze circa telefonate promozionali indesiderate, la Società si è sempre dichiarata completamente estranea alle chiamate segnalate, precisando che le numerazioni chiamanti dalle quali sono pervenuti i lamentati contatti non risultano appartenenti alla rosa delle numerazioni in uso ad EE né a quelle ricollegabili ai propri partner.

Solo in un caso (fasc. 136321), a seguito della richiesta di informazioni del Garante la Società ha evidenziato che il lamentato contatto telefonico era stato effettuato nell’ambito di attività di customer satisfaction da parte della società XX con la quale EE aveva stipulato un contratto per l’espletamento di tale servizio, nominandola responsabile del trattamento.

Più nello specifico, in merito al lamentato utilizzo del disco pre-registrato, EE ha rappresentato, in relazione ai due richiamati reclami (fasc. 142298 e 144397) di non disporre di alcun sistema automatizzato di segreteria telefonica per effettuare chiamate outbound per finalità promozionali, o per proporre nuovi contratti ovvero acquisire nuovi clienti.

Quanto alle richieste relative all’esercizio dei diritti, in un caso (fasc. 133249), EE ha ammesso il ritardo nella gestione della richiesta, dapprima imputandolo ad un disguido tecnico legato alla gestione della propria posta certificata, quindi, nel dare atto dell’avvenuta registrazione dell’opposizione del reclamante nei propri sistemi aziendali, ha  attribuito la non corretta registrazione della volontà di quest’ultimo all’operatore del punto Enel durante la fase di  caricamento delle informazioni contrattuali,  con la conseguenza che “a causa di questo errore l’indirizzo email fornito dal cliente in occasione della sottoscrizione del contratto suindicato veniva utilizzato quale destinatario di campagne di email marketing eseguite con la logica del soft spam”. Rispetto alle comunicazioni inviate dal reclamante, la società ha poi dichiarato che l’indirizzo e-mail al quale le stesse sarebbero state indirizzate è inesistente e comunque di aver successivamente provveduto a registrare correttamente l’opposizione dell’interessato nei propri sistemi aziendali. A fronte di tale rappresentazione, l’interessato ha replicato evidenziando, in particolare, come il dato di contatto fosse quello espressamente indicato in calce alle e-mail promozionali ricevute.

Relativamente al reclamo che lamentava anche la ricezione di comunicazioni promozionali indesiderate via e-mail e sms (fasc. 136321) EE ha evidenziato come: a) la comunicazione e-mail concernente la possibilità di iscriversi ad un programma fedeltà, promosso dalla società, “è stato inviato a titolo di “soft spam”, trattandosi di comunicazione afferente a servizi di cui il cliente può beneficiare nell’ambito del servizio di fornitura”; b) la comunicazione ricevuta via sms ed inviata da un punto vendita energia, è risultata imputabile ad un ex partner di EE, diffidato dalla società dall’uso illegittimo del marchio Enel.

1.4 Chiusura dell’istruttoria e avvio del procedimento per l’adozione dei provvedimenti correttivi

Esaminati i riscontri forniti dalla Società, l’Ufficio, ai sensi dell’art. 166, comma 5, del Codice, ha adottato l’atto di avvio del procedimento richiamato in premessa, con il quale ha contestato alla Società le violazioni delle seguenti disposizioni:

1. Art. 31 del Regolamento (Cooperazione con l’Autorità di controllo), per non aver fornito alcun riscontro alla richiesta inviata dal Garante alla società in data 17 dicembre 2019 (III cum.), in conseguenza del quale, al fine di ottenere tutti gli elementi utili ad una valutazione di merito, l’Ufficio ha ritenuto di dover reiterare la menzionata comunicazione (IV cum.); parimenti non rispettoso dell’art. 31 del Regolamento è apparso l’atteggiamento adottato in occasione dei riscontri a I, II, III cum. (pervenuto, in quest’ultimo caso, come si ricordava, solo a seguito di reiterata richiesta) e IV cum. (limitatamente ad alcuni fascicoli). La società, infatti, si è limitata ad evidenziare come le numerazioni chiamanti non appartenessero alla rosa di quelle in uso alla stessa o ai propri partner, non fornendo elementi puntuali di valutazione a sostegno di quanto affermato, né offrendo specifica evidenza circa una necessaria attività di verifica di tali numerazioni rispetto alla propria rete di vendita, confezionando, per lo più, una serie di risposte standardizzate per ciascuna delle segnalazioni. Più nello specifico, in sede di riscontro alle richieste III e IV cum. (comunicazione della Società del 21 agosto 2020), è mancata una specifica ed analitica risposta ad alcune delle segnalazioni pervenute all’Autorità, essendosi la società limitata ad una generica esclusione della numerazione chiamante da quelle in uso presso EE e i relativi partner (III cum. 144373, 143221, 143025, 143222, 144316, 144081, 144385; IV cum. 140821, 145842, 146898, 142199, 143304, 146926, 138477, 147196; istruttorie singole: 136529) senza fornire, appunto alcun elemento neppure di generale inquadramento delle singole fattispecie evidenziate.

2. Artt. 5, par. 2, e 25, par. 1 del Regolamento (Principio di responsabilizzazione e privacy by design), per non aver intrapreso rispetto al fenomeno degli indebiti contatti promozionali effettuati in suo nome una efficace azione di contrasto, esercitando (e potendo comprovare) in maniera piena e consapevole, le proprie attribuzioni, alle quali corrispondono i doveri di accountability e di privacy by design (attraverso elementi di prevenzione, funzionalità, sicurezza, trasparenza del trattamento e centralità dell’interessato).

La mera non riferibilità delle numerazioni chiamanti alla rosa di quelle in uso da parte della società e dei propri partner commerciali, più volte ripetuta da EE come elemento di risposta alle richieste inviate dal Garante, si pone, infatti, in chiave critica in ragione di quell’ottica proattiva che definisce il principio di responsabilizzazione del titolare del trattamento e che permea tutto il nuovo assetto normativo di data protection.

Proprio la rilevanza del fenomeno e la circostanza che i contatti telefonici sono stati effettuati in nome di Enel Energia nonché il ruolo primario che essa riveste quale operatore del mercato energetico e le notevoli possibilità organizzative e gestionali che la connotano, avrebbero necessitato riscontri più in linea con la necessaria ed imprescindibile opera di costante vigilanza e di monitoraggio dei fenomeni emersi a seguito delle doglianze pervenute anche direttamente alla società, soprattutto nell’ambito del telemarketing.

Inoltre non vi è stata alcuna evidenza, a parte un generico riferimento alle clausole contrattuali tramite cui la società vincola i propri partner al rispetto della normativa in materia di protezione dei dati personali, circa l’adozione, di specifiche misure tecniche ed organizzative idonee a contrastare in maniera efficace e risolutiva il lamentato fenomeno.

EE avrebbe potuto esercitare nei confronti dei propri partner commerciali (e mostrando di esercitare) in maniera piena e consapevole, le proprie attribuzioni, alle quali corrispondono i doveri di accountability e di privacy by design (attraverso elementi di prevenzione, funzionalità, sicurezza, trasparenza del trattamento e centralità dell’interessato) individuati dagli artt. 5, par. 2, e 25, par. 1 e 2 del Regolamento. In particolare dando contezza dell’introduzione di forme di controllo automatiche e stabili nell’ambito dell’organizzazione societaria sia interna (anche con riguardo al personale) che rispetto alla rete di vendita costituita dai propri partner commerciali, nonché sui sistemi deputati ad attivare offerte e servizi verso la propria clientela. La programmazione di questi ultimi, ad esempio, avrebbe potuto e essere progettata in maniera predefinita in modo da segnalare e bloccare in tempo reale i tentativi di caricamento di contratti di fornitura ottenuti in maniera poco trasparente o comunque all’esito di trattamenti eseguiti in violazione della normativa in materia di protezione dei dati personali.

La società avrebbe dovuto altresì dar conto della individuazione di appositi criteri di selezione e di specifiche attività di audit nei riguardi dei propri partner, come pure di puntuali azioni di verifica, anche attraverso modalità automatizzate, dei propri processi interni di gestione dei dati personali anche sotto il profilo della correttezza e sicurezza degli accessi ai dati degli utenti come pure, per altro verso, in relazione alla sottoscrizione e conseguente caricamento di nuovi contratti.

Tali misure avrebbero contribuito ad una più opportuna rappresentazione della consapevolezza e delle scelte societarie messe in capo, a maggior ragione a tutela di una posizione che viene descritta come fortemente compromessa, in termini di immagine e reputazione, da condotte di terzi asseritamente scorrette.

3. Art. 5, par. 2 (Principio di responsabilizzazione), per non aver comprovato il rispetto della normativa in materia di data protection nel caso di comunicazione promozionale indesiderata effettuata da parte di un partner. Anche nelle ipotesi in cui la società ha dato conto dell’indebito contatto telefonico da parte di un proprio partner a seguito di informazioni richieste dall’interessato presso un punto vendita EE (II cum: 136877), la rappresentazione fornita all’Ufficio si è limitata alla generica riserva di adozione di opportuni provvedimenti nei confronti del partner stesso, senza tuttavia fornire evidenza delle azioni intraprese, soprattutto in un  quadro più articolato di  misure e interventi che, a livello aziendale, dovrebbero essere previsti per la gestione di tali problematiche. Tale comportamento non risulta in linea con il già menzionato principio di responsabilizzazione del titolare del trattamento (art. 5, par. 2 RGPD) il quale richiede a quest’ultimo di comprovare il rispetto della normativa in materia di data protection.

4. Art. 5, par. 2 e 24 del Regolamento (Principio di responsabilizzazione e responsabilità del titolare del trattamento) per non aver controllato l’attività dei propri partner commerciali, anche attraverso adeguate misure tecnico-organizzative). Relativamente alle segnalazioni che hanno lamentato contatti indesiderati attraverso modalità automatizzate, in particolare una segreteria telefonica, EE si è poi limitata a dichiarare generalmente di non effettuare “chiamate con finalità promozionali mediante segreteria telefonica automatizzata.” (III cum: 143863, 144296, 144240; 144296; IV cum: 140347, 144213, 147139, 147750; istruttorie singole: 139206, 143511, 139123, 142298, 144397).

A fronte di quanto rappresentato la società non ha quindi fornito elementi circostanziati volti ad escludere un proprio coinvolgimento rispetto alla formulazione di messaggi pre-registrati che in tutte le segnalazioni sono stati descritti come provenienti da Enel Energia e volti a favorire il passaggio degli utenti alla medesima società nell’ambito del mercato libero.  Ciò a comprova che l’attività promozionale è stata svolta a vantaggio di EE seppure con modalità asseritamente non autorizzate dalla società stessa. Peraltro, in due specifiche circostanze (III cum. 139206; istruttorie singole 142298) è chiaramente emerso che gli interessati, avendo optato per il ricontatto successivamente alla registrazione (cd. “opzione 3”) siano stati effettivamente ricontatti da operatori fisici qualificatisi come incaricati di Enel Energia e addirittura abbiano successivamente incontrato personalmente soggetti qualificatisi come agenti della società o comunque collegati a partner della stessa (XX).

Tali circostanze denotano una mancanza di controllo da parte di EE sull’attività dei propri partner che effettuano attività promozionale a suo vantaggio, anche attraverso adeguate misure tecnico-organizzative, integrando così le violazioni degli artt. 5, par. 2, e 24 RGPD.

5. Art. 5, par. 1, lett. d), del Regolamento (Principio di esattezza), per aver erroneamente associato in automatico, alla anagrafica della segnalante, la numerazione da cui era stata effettuata una chiamata al numero verde della società (presumibilmente un’utenza fissa utilizzata una tantum dalla segnalante stessa; (IV cum: 146166).

6. Artt. 5, par. 1, lett. d) (Principio di esattezza) e 6 del Regolamento (Liceità del trattamento), per aver inviato tramite fatture dati personali ad utente differente dall’intestatario del contratto a seguito dell’associazione del codice fiscale della segnalante ad un’altra utente Enel, in ragione della asserita somiglianza tra i due codici (IV cum: 147284). Da tale accadimento è possibile rilevare sia il profilo della violazione del principio di esattezza, essendo stati associati alla segnalante dati personali non corretti, sia una indebita comunicazione di dati personali (in particolare nome, cognome e codice fiscale di una diversa utente alla prima, tramite invio di fatture) in assenza di qualsivoglia presupposto di legittimità del trattamento;

7. Art. 12 del Regolamento (Trasparenza e modalità di riscontro all’esercizio dei diritti), per non aver fornito il necessario e tempestivo riscontro agli interessati circa le legittime istanze di esercizio dei diritti (nei casi di specie, diritto di diritto di accesso e del diritto di opposizione) formulate dagli interessati (I cum: 132334, 129416; III cum: 144726; IV cum: 138729). La società ha ammesso il ritardo nel dar seguito alle istanze degli interessati, giustificando, quantomeno nei due casi oggetto della prima richiesta, tale ritardo con la necessità di condurre indagini più approfondite e supplementari a seguito della comunicazione del Garante (I cum: 132334) o ancora di sospendere tale attività nelle more della piena applicabilità del RGPD (I cum: 129416). In un caso (III cum. 144726) la società ha attribuito il mancato riscontro ad un “mero disguido tecnico”.

8. Artt. 5. par. 1, lett. a) (Principio di correttezza) e 12, par. 2 del Regolamento, per aver fornito un riscontro contraddittorio a riguardo di un’ulteriore istanza di esercizio dei diritti avanzata dall’interessato in relazione alla ricezione di chiamate promozionali tramite disco pre-registrato (IV cum: 136020). Ciò in quanto in una prima risposta fornita all’interessato (come da all. 19 alla comunicazione di Enel del 21 agosto 2020), EE ha ammesso un “errore di digitazione” quale causa dell’indebito contatto promozionale, mentre nella rappresentazione fornita direttamente alla Autorità (pag. 15 del riscontro del 21 agosto 2020) ha imputato ad altro cliente la responsabilità di aver fornito i dati del segnalante come dati di contatto connessi ad una utenza di fornitura;

9. Art. 21 del Regolamento e art. 130, commi 1 e 2 del Codice (Comunicazioni indesiderate e diritto di opposizione), per aver indebitamente inviato comunicazioni promozionali tramite e-mail, nonostante il diniego manifestato dall’interessato sia in fase di sottoscrizione del contratto di fornitura energetica rispetto al trattamento dei dati per finalità di marketing sia tramite la successiva opposizione al trattamento indirizzata espressamente alla casella di posta elettronica dedicata (istruttorie singole: 133249);

10. Art. 130, comma 4, del Codice (Soft spam), per aver inviato una comunicazione circa l’iscrizione al programma fedeltà di EE, senza aver fornito alcuna evidenza in merito la necessaria presenza di quell’elemento oggettivo di carattere informativo che si pone alla base di una corretta interlocuzione con gli interessati e legittima l’esonero dall’acquisizione del relativo consenso, unitamente alla presenza degli altri elementi richiamati dall’art. 130, comma 4, del Codice come pure dal Provvedimento del Garante del 4 luglio 2013 (doc. web n. 2542348; istruttorie singole, fasc. 1346321);

Il Garante ha altresì contestato a Enel, in relazione al Profilo Unico e alla App di consultazione e gestione dei consumi, anche a seguito di un accertamento svolto dall’Ufficio in data 7 maggio 2021, le seguenti violazioni:

11. Art. 31 del Regolamento (Cooperazione con l’autorità di controllo), per aver offerto una insufficiente collaborazione all’Autorità di controllo, non avendo fornito – pur a fronte di due richieste in tal senso unitamente alle specifiche segnalazioni degli interessati in merito – alcuna informazione circa le modalità di rilascio dei consensi per finalità di marketing e profilazione nell’ambito dell’utilizzo dei servizi digitali;

12. Artt. 5, par. 1, lett. a), 12 e 13 del Regolamento (Principio di trasparenza e obblighi informativi), per aver presentato agli utenti del sito web due informative tra loro discordanti quanto alla individuazione del titolare del trattamento. L’utente, infatti, che intende creare un Profilo Unico, viene reindirizzato, dapprima, su una pagina dove è informato, attraverso una sintetica comunicazione, del fatto che Enel Energia e Enel Italia S.p.a. gestiranno i suoi dati come “autonomi titolari del trattamento”. Successivamente da una seconda informativa più estesa, la cui dichiarazione di presa visione è obbligatoria, unitamente ai termini di servizio, per la registrazione, non emerge più alcun riferimento a Enel Italia S.p.a., essendo menzionato come autonomo titolare del trattamento solo Enel Energia. I testi così discordanti generano confusione nell’utente e non rispecchiano l’essenziale principio di trasparenza informativa, logicamente finalizzato a consentire all’interessato anche una consapevole espressione del consenso;

13. Art. 5, par, 1, lett. c), del Regolamento (Principio di minimizzazione), per aver strutturato una procedura che consente un passaggio di dati ultronei e non pertinenti tra le società del Gruppo. Il Profilo unico, infatti, permette un accesso ai servizi digitali delle diverse società del Gruppo incluse nel relativo perimetro e le credenziali che l’utente acquisisce con una prima registrazione consentono anche successivi accessi ai servizi digitali di dette società. Tuttavia, a fronte dei dati strettamente necessari per creare il profilo utente e le credenziali di accesso, il numero di telefonia mobile, l’indirizzo e il codice fiscale ne arricchiscono il profilo, con informazioni non necessarie o, quantomeno, non necessarie con riguardo ad eventuali future interazioni con altre società del Gruppo. Considerando peraltro l’obbligatorietà dell’utilizzo del Profilo Unico per accedere ai servizi digitali, l’utente deve fornire, all’atto dell’adesione a tale servizio, un insieme di dati non strettamente pertinenti alla mera creazione del profilo che sono poi condivisi, nell’ambito della gestione del Profilo unico, fra le diverse società del Gruppo aderenti;

Sempre in relazione al Profilo unico, la lettura congiunta del testo dell’informativa e del form per la raccolta dei consensi (rinvenibile, peraltro in maniera poco agevole ed intuitiva, all’interno dell’area riservata) ha indotto l’Ufficio a contestare le seguenti ulteriori violazioni,

14. Artt. 12 e 13 del Regolamento (Informazioni agli interessati), per aver rilasciato agli interessati, relativamente al Profilo unico e nell’ambito dell’area riservata del sito, una informativa carente con riguardo ad una necessaria individuazione dei soggetti destinatari dei dati sia nell’ambito delle società facenti parte del Gruppo Enel sia con riferimento ad una generica platea di partner commerciali, risultando poco chiaro il generico riferimento a “società del Gruppo Enel, società controllanti, controllate o collegate, o da partner commerciali di Enel Energia”;

15. Artt. 6, par. 1, del Regolamento e 130, commi 1 e 2, del Codice (Liceità del trattamento e comunicazioni indesiderate), per non aver acquisito uno specifico ed idoneo consenso da parte degli interessati con riguardo a trattamenti svolti da soggetti diversi in veste di autonomi titolari. Le caratteristiche dell’informativa descritte al punto 14 unitamente alle tre generiche finalità indicate in associazione alle caselle per l’espressione del consenso (1. Marketing Enel Energia; 2. Marketing terzi; 3. Profilazione) concorrono a definire un consenso che non soddisfa i requisiti di granularità e chiarezza, previsti dalla normativa vigente (art. 4, n. 11) RGPD). Difatti, un consenso unico alla comunicazione dei dati per finalità promozionali anche da parte di società del gruppo, società controllanti, controllate e collegate e partner commerciali di EE, non può considerarsi né specifico né libero e non costituisce una idonea base giuridica per i richiamati trattamenti, ai sensi dell’art. 6 RGPD. Parimenti non può ritenersi chiaro se il consenso richiesto per le attività di marketing delle “società controllanti, controllate, collegate o partner commerciali di EE” da parte dei medesimi soggetti si riferisca ad attività di marketing che tali società effettuano per conto di Enel Energia ovvero ad una comunicazione di dati da Enel a soggetti terzi per finalità di marketing di questi ultimi, tenendo altresì conto che, in assenza di una chiara individuazione dei soggetti destinatari, non può considerarsi idoneo un consenso collegato a trattamenti riferibili ad un numero indeterminato di soggetti. Analoghi rilievi sono stati estesi alla richiesta di un consenso unico per finalità di profilazione sia di Enel Energia che dei soggetti già richiamati, quali autonomi titolari del trattamento.

Le contestazioni sopra richiamate sono state formulate dall’Ufficio sulla scorta delle più dettagliate osservazioni contenute all’interno dell’atto di avvio del procedimento n. 26890/21 del 14 maggio 2021, che qui deve intendersi integralmente riprodotto e a cui si opera pieno e completo rinvio. Parimenti richiamato in questa sede deve intendersi il verbale relativo all’accertamento svolto dall’Ufficio sul sito internet della società in data 7 maggio 2021.

Occorre infine evidenziare che nel suddetto atto di avvio del procedimento l’Autorità ha anche richiamato, al solo e unico fine di dare ulteriore evidenza della pervasività del fenomeno del telemarketing, le oltre 250 istanze, tra reclami e segnalazioni, pervenuti al Garante successivamente all‘ultima richiesta di informazioni del 20 luglio 2020 e fino alla data di formulazione e notificazione dell’atto stesso. Tali ulteriori doglianze, seppur non oggetto del menzionato atto di contestazione, evidenziavano, infatti, un quadro dinamico di persistente disagio ed una ancor più evidente esasperazione degli interessati rispetto al corretto trattamento dei relativi dati personali nonostante il ricorso all’iscrizione delle numerazioni telefoniche nel RPO, ovvero rispetto a modalità di contatto, quali le chiamate mediante disco preregistrato, particolarmente invasive e sgradite. Le stesse, quindi, pur non confluendo nell’istruttoria e nella correlata fase dell’odierno procedimento, rappresentano un innegabile fatto storico che testimonia, quando ancora ce ne fosse bisogno, che il fenomeno delle chiamate di disturbo è ben lungi dall’essere risolto.

2. OSSERVAZIONI DIFENSIVE E VALUTAZIONI DELL’AUTORITÀ

2.1. Memoria difensiva ed audizione di Enel Energia S.p.A.

2.1.1. Premessa

In data 28 giugno 2021 Enel Energia ha fatto pervenire un’ampia ed articolata memoria difensiva all’Autorità, corredata da copiosa documentazione, ai sensi dell’art. 166, comma 6, del Codice. In base alla medesima disposizione, il 7 luglio 2021 si è svolta, in videoconferenza, l’audizione richiesta dalla parte di cui è stato redatto apposito verbale. Entrambi i documenti sono da intendersi qui, a tutela della parte, integralmente richiamati e riprodotti, unitamente agli allegati alla memoria difensiva. 

Nelle more della presentazione della memoria difensiva, EE ha inviato al Garante, in data 26 maggio 2021, una richiesta di proroga del termine per la presentazione delle suddette memorie, unitamente ad un’istanza di accesso ai documenti amministrativi riferito al verbale di accertamento dell’attività svolta dall’Autorità in data 7 maggio 2021 ed alle circa 250 istanze citate nell’atto di contestazione a riprova della persistenza e diffusività del fenomeno.

In data 18 giugno 2021 l’Autorità, dopo aver concesso la proroga richiesta, ha comunicato l’accoglimento dell’istanza relativamente al verbale ed ai fascicoli in questione, nei limiti di una verifica quantitativa e a campione di questi ultimi, rilevando come nessuna contestazione fosse stata formulata nei confronti della Società rispetto alle singole e specifiche circostanze richiamate in tali istanze, ma appunto alla loro globalità ed al loro valore di indicatore della persistenza e diffusività del fenomeno.

La Società ha contestato tale modalità di concessione dell’accesso senza tuttavia procedere a formale impugnazione del relativo provvedimento, ma chiedendo che i fascicoli in questione non fossero presi in considerazione nell’ambito del presente procedimento.

Nella memoria difensiva il titolare ha altresì richiesto l’annullamento o comunque l’archiviazione del procedimento in virtù del “mancato rispetto dei termini regolamentari per la Contestazione” (pag. 13 e ss della memoria). In particolare, il potere sanzionatorio dell’Autorità si sarebbe esaurito decorso il termine di 120 giorni per la notifica della violazione ai sensi dell’art. 166 comma 5 D.lgs 196/2003, dovendosi il dies a quo individuare, a detta di EE, nelle specifiche date riferibili a ciascuna risposta (ivi comprese quelle relative ai reclami istruiti singolarmente) che la stessa avrebbe inviato alle richieste di informazioni inviate di volta in volta dal Garante.

Consolidata giurisprudenza in materia di accertamento degli illeciti amministrativi smentisce la ricostruzione della Società basata su una logica di mero conteggio formale dei giorni successivi alla ricezione dei riscontri alle varie richieste di informazioni, individuando EE, per l’appunto, nell’acquisizione di tali riscontri l’elemento costitutivo dell’attività di accertamento e, dunque, il dies a quo.

In generale per quanto attiene l’attività delle Autorità amministrative indipendenti, la Cassazione (Cass. Civ. Sez. 2, n. 31635/2018), riprendendo argomentazioni già espresse in precedenza, ha ribadito che “l'attività di accertamento dell'illecito, in relazione alla quale collocare il dies a quo del termine per la notifica degli estremi della violazione, non può coincidere con il momento in cui viene acquisito il "fatto" nella sua materialità, ma deve essere intesa come comprensiva del tempo necessario alla valutazione dei dati acquisiti ed afferenti gli elementi (oggettivi e soggettivi) dell'infrazione e, quindi, della fase finale di deliberazione correlata alla complessità, nella fattispecie, delle indagini tese a riscontrare la sussistenza dell'infrazione medesima e ad acquisire piena conoscenza della condotta illecita, sì da valutarne la consistenza agli effetti della corretta formulazione della contestazione (cfr. Cass. n. 13050/2014; Cass. n. 1043/2015 e Cass. n. 770/2017, cit.)”.

A conferma della consolidata impostazione della Cassazione, vanno evidenziate anche recenti pronunce del Consiglio di Stato (ad es., Sez. VI, n. 4020, del 24 maggio 2021)  laddove si osserva che “in tema di sanzioni amministrative, ciò che rileva ai fini del rispetto del principio dell’immediatezza della contestazione […] non è la notizia del fatto sanzionabile nella sua materialità, ma l’acquisizione della piena conoscenza della condotta illecita, implicante il riscontro dell’esistenza e della consistenza dell’infrazione e dei suoi effetti; sicché, per un verso, il termine per la contestazione dell’infrazione non decorre dalla sua consumazione, ma dal completamento dell’attività di verifica di tutti gli elementi dell’illecito, dovendosi considerare anche il tempo necessario all’amministrazione per valutare e ponderare adeguatamente gli elementi acquisiti e gli atti preliminari per l’individuazione in fatto degli estremi di responsabilità amministrativa, e per altro verso, il termine per la conclusione del procedimento sanzionatorio inizia a decorrere solo dal momento in cui è compiuta – o si sarebbe dovuta ragionevolmente compiere, anche in relazione alla complessità della fattispecie – l’attività amministrativa intesa a verificare l’esistenza dell’infrazione, comprensiva delle indagini intese a riscontrare la sussistenza di tutti gli elementi soggettivi e oggettivi dell’infrazione stessa”.

Analogamente ma con specifico riferimento agli illeciti amministrativi di cui al codice della privacy, la Suprema Corte ha poi recentemente ribadito che (Cass. civ., Sez. 2, n. 18288/2020). ”essendo consolidato l’indirizzo di questa Corte secondo cui, in tema di illeciti amministrativi di cui al codice della privacy, il dies a quo per il computo del termine di novanta giorni per la notificazione del verbale di contestazione decorre dall’accertamento della violazione, che non coincide con la generica e approssimativa percezione del fatto e con l’acquisizione della documentazione ad essa relativa, ma richiede l’elaborazione dei dati così ottenuti al fine di individuare gli elementi costitutivi delle eventuali violazioni (così, ex multis, Cass. 14678/2018).” Pur riferendosi tale giurisprudenza al termine di 90 giorni previsto dall’articolo 14 della legge 689/1981, i principi ivi individuati ben possono trovare analoga applicazione in relazione all’art. 166, comma 5 del Codice privacy, dal momento che tale ultima disposizione, a seguito delle modifiche apportate dal d.lgs. 101/2018, reca la nuova disciplina relativa ai procedimenti per l’adozione dei provvedimenti correttivi e sanzionatori, prima di allora definita esclusivamente tramite il rinvio operato dal Codice stesso alla menzionata legge 689/1981.

Ne discende che il tempo per l’elaborazione e valutazione dei dati, quando non arbitrariamente ed irragionevolmente protratto, sarà direttamente proporzionale al livello di complessità delle fattispecie oggetto del procedimento, della numerosità delle segnalazioni e dei reclami presentati e, non da ultimo, del metodo di analisi applicato dall’Autorità.

Tale metodo, come già anticipato, si è basato su una valutazione complessiva di numerose doglianze, pur una volta individuati profili e fattispecie ricorrenti, in grado di delineare tratti di responsabilità che più difficilmente sarebbero emersi in una logica di istruttoria e contestazione caso per caso. Si è, dunque, applicato un modus procedendi di fatto imposto dalle stesse caratteristiche del principio di responsabilizzazione, la cui realizzazione l’Autorità ha per l’appunto indagato, a fronte di un numero consistente e costante nel tempo di doglianze da parte degli interessati.

In altre parole, la piena conoscenza della condotta illecita connessa, in particolare, ma non esclusivamente, ai profili di responsabilità e responsabilizzazione, di cui agli articoli 5, par. 2, 24 e 25 par. 1 del RGPD, correlati, per di più, alle attività di un titolare della dimensione organizzativa di EE non poteva che passare attraverso una attività di acquisizione documentale e successiva valutazione composita ed articolata, anche a livello temporale.

Si rileva inoltre che una istruttoria, già di per sé complessa, non è stata certo agevolata dall’insorgere di un evento repentino ed imprevedibile, come la pandemia e di una conseguente situazione di emergenza tuttora in atto – in considerazione della quale, peraltro, il legislatore ha previsto la sospensione dei termini dei procedimenti amministrativi, da ultimo prorogata fino al 30 novembre 2020 (art. 41 del d.l. 34/2020). Né, tantomeno, per differenti profili, ha avvantaggiato la scarsa collaborazione dimostrata dal titolare del trattamento (amplius infra par. 2.2., n. 1).

Più in generale va da ultimo considerato che gli elementi richiesti dall’art. 83 del Regolamento per una compiuta valutazione delle condotte, che si assumono poste in essere in violazione delle disposizioni in materia di protezione dei dati personali, sono talmente ampi e complessi (anche in ottica garantistica) che, nel caso in argomento, non può seriamente obiettarsi che l’Autorità abbia difettato in tempestività nella contestazione degli illeciti.

2.1.2. Le singole contestazioni

Con riferimento alle singole contestazioni rivolte dall’Autorità si riportano qui di seguito le argomentazioni difensive sviluppate dalla Società nella propria memoria e in sede di audizione.

1) Con riferimento alla contestazione di cui al numero 1 del par. 1.4, la Società non ha na-scosto la propria sorpresa dinanzi a tali contestazioni, dal momento che “EE ha sempre dato se-guito alle richieste del Garante senza ricevere in risposta alcuna richiesta di chiarimenti o approfondi-menti.”. Inoltre la Società, secondo quanto dichiarato nella memoria “ha formulato le proprie ri-sposte con l’intento di non eccedere rispetto alle richieste per non incorrere in una violazione del prin-cipio di economicità del procedimento sancito anche dall’art. 7 del Regolamento 1/2019 […] onde evi-tare di essere di intralcio al fluido proseguimento dell’istruttoria” (punto 14). In altri passaggi della memoria, così come nel corso della audizione, EE ha ricordato la costante e dispendiosa, anche in termini di impegno economico, attenzione che la Società da sempre dedica al rispetto della disciplina in materia di protezione dei dati personali (punto 24 della memoria difensiva). 

Relativamente alla mancata risposta alla III cum., EE ha attribuito l’accaduto a un “errore umano” che sarebbe occorso nello “smistamento di una pec” (Punto 25).

Infine, EE ha comunicato che implementerà la possibilità per l’interessato di verificare diret-tamente dal sito web di EE “la riferibilità a EE e ai suoi partner delle numerazioni dalle quali egli abbia ricevuto chiamate commerciali.”; a tal proposito la Società ha altresì inviato al Ga-rante un elenco contenente le numerazioni chiamanti riferibili a EE. In sede di audizione, il ti-tolare ha poi comunicato che il suddetto sistema è stato già implementato sul sito.

2-4) La Società ha dedicato ampia parte della propria memoria difensiva (punti 27-138) a controdedurre le contestazioni formulate dal Garante circa la responsabilità e responsabilizzazione del titolare e il rispetto del principio di privacy by design, così come richiamate ai numeri 2, 3 e 4 del precedente paragrafo.

La Società si è soffermata ad illustrare come le proprie scelte quanto ai contatti promozionali possano essere suddivise tra un approccio seguito fino all’insorgere della pandemia ed uno successivo ad esso.

Prima dell’emergenza epidemiologica e delle conseguenti misure di contenimento, EE non ha utilizzato né ha commissionato a terzi alcun canale di telemarketing o teleselling, e più in generale nessun canale telefonico outbound con finalità commerciali. La promozione commerciale di EE avveniva esclusivamente tramite punti fisici (negozi gestiti da partner EE con contratti di collaborazione commerciale) e contatti “porta a porta”, effettuati da agenzie autorizzate. Anche relativamente alle attività svolte da tali agenzie (tutte selezionate attraverso una precisa procedura di scouting) il ricorso al teleselling e al telemarketing era espressamente vietato all’interno dei contratti stipulati dalla Società. La procedura di acquisizione di nuovi contratti a seguito di una disponibilità recuperata dalle agenzie nel corso del “porta a porta” era strutturata secondo un sistema di controllo ex post (in due fasi, via telefono e via mail; Quality call, seguendo precisi script, e Quality letter) per ottenere conferma della identità del soggetto, dei dati personali ad egli/ella riferibili e della effettiva volontà a contrarre.  La Società ha affermato che tale sistema le ha consentito di tenere sotto controllo e limitare il fenomeno delle revoche di utenze attivate sulla base delle proposte delle agenzie. Quanto affermato e descritto nella memoria circa la modalità di gestione del canale commerciale ante-pandemia è, dunque, da ritenersi applicabile, secondo la rappresentazione fornita da EE, a tutti i casi oggetto di istruttoria e contestazione da parte del Garante, essendo quest’ultimi tutti antecedenti al gennaio 2021 (data di reintroduzione, come si vedrà a breve, delle chiamate outbound).

L’emergenza epidemiologica ha reso necessaria la reintroduzione delle modalità di contatto telefoniche per cui: a) a partire da maggio 2020 vi è stata la possibilità per le agenzie autorizzate da EE di concordare incontri tramite preventivo appuntamento telefonico (tale attività è finalizzata alla stipula di contratti di fornitura con modalità “a distanza” e alla digitalizzazione dei processi); b) a partire da gennaio 2021 è stato introdotto il canale teleselling. Tale ultima attività viene svolta, a detta di EE, attraverso “limitazioni delle numerazioni per i teleseller, controlli ex ante sulle liste di contatti ed ex post sulla bontà dell’espressione di volontà dei clienti e sulle modalità di contatto iniziali, in modo da escludere il ricorso a pratiche di marketing aggressivo e chiamate indesiderate.” (Punto 70 della memoria).

La Società ha tenuto a precisare che le procedure e le attività per le agenzie e per i teleseller sono del tutto differenti: solo i teleseller acquisiscono liste di contatti e concludono contratti per conto di EE (vendita a mezzo telefonico di prodotti e servizi tramite vocal order); le agenzie non svolgono attività di teleselling ma si limitano a telefonare a potenziali clienti per concordare successivi appuntamenti.

Nel quadro, dunque, antecedente alla pandemia e alle scelte compiute da EE, in presenza del richiamato divieto assoluto di effettuare chiamate commerciali da parte della Società e delle proprie agenzie, l’unico obbligo da riconoscersi in capo alla stessa, secondo la relativa rappre-sentazione, sarebbe stato quello di verificare che i propri partner non facessero chiamate pro-mozionali tout court e quindi, nei casi di chiamate non autorizzate, escludere che le numera-zioni chiamanti potessero essere riconducibili ad alcuno di essi. Nessun altro onere derivante dal principio di responsabilizzazione né da quello di privacy by design sarebbe stato attribuibile a EE, non essendo per nulla contemplata la possibilità di effettuare attività di telemarketing e teleselling. Non era dunque compito di EE, secondo quanto affermato nella memoria difensiva, ipotizzare e introdurre misure e procedure volte a controllare la formazione di liste di utenze telefoniche il cui utilizzo era del tutto vietato. Non sarebbero, dunque, applicabili ad Enel Energia tutti gli obblighi e le misure individuati dal Garante nel caso di titolari che effettiva-mente svolgevano attività di teleselling e telemarketing. Il richiamo è ai provvedimen-ti/ordinanze di ingiunzione nei confronti di Fastweb S.p.A. (provvedimento 25 marzo 2021, doc. web 9570997) o anche di ENI S.p.A. (provvedimento del 1 dicembre 2019, doc. web 9244358) o Vodafone S.p.A. (provvedimento 12 novembre 2020, doc. web 9485681).

La Società ha dunque ribadito la propria completa estraneità alle chiamate indesiderate og-getto delle doglianze presentate al Garante e sottolineato che in quanto del tutto estranea al fe-nomeno, EE non disponeva di alcun potere di verifica circa tale fenomeno e circa soggetti estranei al suo controllo.

Più nello specifico, la Società è poi tornata sull’argomento, ribadendo, a suo dire, l’insussistenza della violazione dell’art. 25, dal momento che la privacy by-design di EE prima delle misure adottate a seguito della pandemia era basata “sull’insieme di verifiche preliminari della serietà delle agenzie e su controlli successivi volti a verificare l’effettuazione tout court di chiama-te commerciali da parte delle proprie agenzie a seguito di reclami o segnalazioni degli utenti (così come è avvenuto in occasione di tutti i reclami oggetto delle Richieste) anche segnalando le condotte illecite all’autorità giudiziaria e al Garante. Non sarebbe stata invece ragionevole e coerente con una corretta privacy by-design l’attuazione di procedure di disciplina e verifica della formazione di liste di contatta-bilità telefonica, dato che i contatti telefonici erano esclusi e vietati a monte dai contratti conclusi con le agenzie”. (punto 122).

In tale contesto va ad inquadrarsi la principale tesi difensiva esposta dalla Società ovvero la fraudolenta e scorretta spendita del nome di Enel Energia da parte di soggetti non meglio iden-tificati i quali mirano ad irretire clienti per concludere contratti “senza che i contraenti siano dav-vero consapevoli di ciò che accade” (punto 64 e, in generale, tesi esposta nei punti da 55 a 64).

EE ritiene di essere vittima di “millantatori” e “truffatori”, i quali, lavorerebbero per società concorrenti spendendo in maniera illecita il nome del primo operatore energetico del Paese quale elemento di rassicurazione e al fine di suscitare l’attenzione dell’utente. Solo successiva-mente, secondo quanto ricostruito dalla Società, in caso di prosecuzione della telefonata e ma-nifestazione di interesse, tali soggetti lascerebbero intendere di essere un’agenzia e di ritenere in fondo più conveniente l’offerta di un concorrente di EE. La Società ha quindi sostenuto di non trarre alcun vantaggio da tale pratica ma, al contrario, di ricevere un significativo danno an-che di immagine.

EE ha argomentato tale tesi presentando a supporto: a) un provvedimento dell’AGCM del 24 ottobre 2018 con il quale è stata sanzionata la pratica commerciale scorretta della società Switch Power S.r.l., la quale cercava di irretire clienti telefonicamente spacciandosi per una so-cietà del gruppo Enel (all. 21 alla memoria). In sede di audizione la Società ha ampliato tale argomentazione riferendosi anche ad un esposto presentato nell’aprile 2021 nei confronti di un’altra società per la medesima pratica commerciale scorretta; b) alcuni casi, tra cui anche quelli riportati da parte di alcuni dirigenti Enel ed altri oggetto di articoli di stampa (all. 23 alla memoria); c) le dichiarazioni a favore di Enel rese da Federconsumatori, sezione provinciale di Taranto, che ha specificato come il personale EE visiti i clienti presso le utenze domestiche solo a seguito di chiamate per “presa   appuntamento”; d) le denunce (12 dal 2017 a maggio 2021) relative a una pluralità di condotte poste in essere da soggetti individuati come competitor di EE o completamente estranei all’attività del gruppo Enel o del tutto ignoti (cfr. punto 132 della memoria e all. 24 alla memoria).

5) Con riferimento alla contestazione di cui al numero 5 (art. 5, par. 1, lett. d), del Regolamento, la Società ha evidenziato che non vi è stata alcuna associazione automatica sull’anagrafica della segnalante con la numerazione da cui era stata effettuata una chiamata al numero verde della società (IV cum: fasc. 146166). L’errore sarebbe stato riconducibile all’intervento manuale di un operatore. La Società ha fatto presente che “a seguito della segnalazione, EE ha provveduto immediatamente a cancellare il dato e a contestare al proprio partner la pratica scorretta” (punto 172).

6) Sempre in relazione a profili di esattezza dei dati emersi in relazione all’invio di fatture ad un soggetto errato (IV cum: 147284), così come richiamati dal numero 6 (artt. 5, par. 1, lett. d), EE ha evidenziato un “errore materiale” dovuto alla somiglianza dei codici fiscali dei due clienti e, ha comunicato che, una volta accortasi dell’errore, vi ha prontamente posto rimedio (punto 173).

7) Quanto alle contestazioni richiamate all’interno del numero 7 (art. 12 del Regolamento, (I cum: 132334, 129416; III cum: 144726; IV cum: 138729). La società ha confermato quanto già ammesso in sede di riscontro riconoscendo il ritardo nel dar seguito alle istanze degli interessati, giustificando, quantomeno nei due casi oggetto della prima richiesta di informazioni (I cum: 132334, 129416) tale ritardo con la necessità di condurre indagini più approfondite e supplementari a seguito della comunicazione del Garante (I cum: 132334) o ancora di sospendere tale attività nelle more della piena applicabilità del RGPD (I cum: 129416). La Società, tuttavia, ha sottolineato come in entrambi i casi riferiti alla I cum. gli interessati fossero stati informati della necessità di tale proroga. Questa informazione sarebbe stata fornita in un caso 33 giorni dopo la richiesta (I cum. 132334) e in un secondo caso, entro il 30mo giorno dalla ricezione della stessa.

Relativamente ad un altro caso (III cum. 144726) la Società ha ribadito in sede difensiva quanto già sostenuto in sede di riscontro alle richieste del Garante ovvero ha riconosciuto l’accadimento di un “mero disguido tecnico”. Infine, relativamente al fascicolo 138729 (IV cum.) EE non ha fornito ulteriori informazioni rispetto a quelle contenute nelle comunicazioni di riscontro in fase istruttoria.

8) Parimenti, rispetto ad analoga contestazione, ma riferita alla differente fattispecie, di cui al numero 8 (artt. 5. par. 1, lett. a), e 12, par. 2 del Regolamento), EE ha negato la contraddittorietà tra la risposta fornita all’interessato e quella fornita all’Autorità (IV cum: 136020). Secondo la Società, infatti, pur essendo stati i due riscontri formulati in modo diverso (nella risposta al cliente si è parlato di “errore di digitazione”), in realtà essi sarebbero entrambi veritieri. Questo perché i dati di contatto del segnalante sono stati forniti da un altro cliente e, per via di tale sovrapposizione, l’operatore ha poi “erroneamente registrato sull’anagrafica” del cliente i dati del segnalante.

9) Sempre in materia di esercizio dei diritti degli interessati, la Società, con riguardo alla contestazione di cui al numero 9 (art. 21 del Regolamento e art. 130, commi 1 e 2 del Codice), ha riconosciuto di aver commesso un ulteriore errore nell’aver indicato un indirizzo email sbagliato in calce alla comunicazione inviata all’interessato (istruttorie singole fasc. 133249) ma ha altresì evidenziato la facile reperibilità on line dell’indirizzo corretto per l’invio di istanze di esercizio dei diritti (privacy.enelenergia@enel.com). A riprova di tale facilità nella comunicazione vi sarebbe stata, secondo EE, la circostanza per cui lo stesso reclamante avrebbe poi successivamente rivolto una seconda istanza di opposizione all’indirizzo corretto, trovando piena e pronta soddisfazione.

10) Con riferimento alla contestazione della violazione dell’art. 130, comma 4, del Codice, di cui al numero 10, (istruttorie singole: 136321), EE ha ribadito dettagliando le proprie argomentazioni, quanto già sostenuto in fase istruttoria, richiamando, in relazione alle tre fattispecie lamentate dalla reclamante: a) l’invio di comunicazione assimilabile a soft spam come presupposto in grado di escludere la necessaria acquisizione del consenso; b) la circostanza che la chiamata ricevuta dalla reclamante è stata effettuata per verificare la qualità del servizio offerto e non a fini commerciali; c) l’invio del SMS promozionale era stato effettuato non da EE bensì da un suo ex partner, un XX, non più contrattualmente legato alla Società al momento dell’invio della comunicazione all’interessata.

11) Relativamente alla contestazione della violazione dell’art. 31, di cui al numero 11 anche in relazione alle informazioni fornite in merito al funzionamento del Profilo unico ovvero alla mancata allegazione della documentazione relativa ai consensi (in risposta a IV cum. e IV-bis cum.), EE ha ritenuto di essere stata esaustiva. Secondo la Società, infatti, il Garante non avrebbe espressamente richiesto di ricevere maggiori dettagli circa i consensi ma avrebbe solo formulato istanze di chiarimento circa le modalità di funzionamento della app e indicazioni sulla dimensione quantitativa del servizio.

12) Per quanto riguarda le contestazioni connesse al Profilo unico e alla app di consultazione e gestione dei consumi, riportate al numero 12 (artt. 5, par. 1, lett. a), 12 e 13 del Regolamento), EE ha negato che vi fosse discordanza tra le due informative presenti sul sito web con riferimento alla individuazione del titolare del trattamento. In fase difensiva la Società ha spiegato come esistano sulla medesima pagina le informative dei due soggetti (Enel Energia S.p.A. e Enel Italia S.p.A.) e come “solo una parte delle informazioni e delle sezioni sul sito riguarda entrambe le entità”. La Società ha aggiunto che le informative sono “richiamate da un touchpoint unico (il footer della homepage) ma hanno struttura, forma e contenuto ben distinti e separati”. A trattare i dati di navigazione dei visitatori del sito è Enel Italia S.p.A., la quale, però, non è titolare del trattamento quanto alla gestione del Profilo unico (il quale risulta essere Enel Energia); al contrario Enel Italia S.p.A. unitamente ad una terza società, Enel Global Services s.r.l., agisce come responsabile del trattamento quanto ai dati forniti nel momento della registrazione e per fornire il servizio di autenticazione.

13) Sempre relativamente al Profilo Unico, rispetto alla contestazione di cui al numero 13 (art. 5, par, 1, lett. c), del Regolamento, EE ha evidenziato che “le società abilitate al Profilo Unico (per l’Italia EE e Enel X Italia Srl – “EX”) non hanno accesso ai dati degli utenti che hanno creato il Profilo Unico con l’altra società abilitata.” (Punto 185). Conseguentemente, secondo quanto riferito in fase difensiva, è possibile che si verifichino due ipotesi: 1) utente nuovo che non ha ancora creato un account tramite il Profilo Unico; 2) accesso ad area riservata con profilo già esistente.

Nel primo caso, l’utente si registra, sul sito di EE o sul sito di EX a seconda del caso, fornendo i propri dati (nome, cognome, codice fiscale, numero di telefono, e-mail. Questi ultimi due sono soggetti a validazione) e crea una password personale.

Nella seconda ipotesi, l’utente, con le medesime credenziali create presso la società con la quale per primo ha creato l’account, può accedere all’area riservata dell’altra società (“Ad esempio, prima l’utente ha creato l’account Profilo Unico sul sito e per l’area riservata di EE e dopo vuole accedere all’area riservata di EX”). EE ha sostenuto esservi una netta separazione tecnica e contenutistica tra le due aree riservate e che “nessun dato relativo alle aree riservate delle società abilitate a utilizzare il Profilo Unico viene scambiato tra le stesse.”.

Dopo aver illustrato le caratteristiche tecniche del sistema, la Società ha proseguito spiegando come tanto il numero di cellulare (a fini di validazione del meccanismo della password temporanea) quanto il codice fiscale debbano ritenersi quali dati indispensabili ai fini della corretta identificazione per prevenire la creazione di profili multipli (Punti 194-198). EE ha poi tenuto a precisare che la misura della autenticazione tramite numero di cellulare è stata implementata a seguito di alcune vulnerabilità (creazione di account multipli) emerse, con riferimento ad altra società del gruppo, nell’ambito di una precedente e distinta istruttoria condotta dall’Ufficio del Garante. L’indispensabilità, dunque, di tali dati ai fini della funzionalità del servizio, secondo EE dovrebbe indurre a ritenere superabile la contestazione circa la presunta violazione del principio di minimizzazione.

14) Rispetto alle contestazioni di cui al numero 14) (artt. 12 e 13 del Regolamento, la Società ha rappresentato che, fermo restando il fatto che nessun consenso per le finalità di marketing è raccolto nel corso della creazione del Profilo Unico, “le diverse finalità di marketing sono invece descritte, così come indicato dal Garante nella Contestazione, nella apposita sezione “Finalità di marketing e/o profilazione”.” In ogni caso la Società ha comunicato di aver provveduto a rivedere l’informativa “compiendo scelte lessicali più chiare.” (Punti 199-204).

15) Quanto alla granularità e specificità dei consensi, con riguardo a trattamenti svolti da soggetti diversi in veste di autonomi titolari di cui al numero 15 (artt. 6, par. 1, del Regolamento e 130, commi 1 e 2, del Codice), EE ha richiamato le tre finalità individuate ovvero: 1) marketing diretto svolto da EE per prodotti EE; 2) marketing di terzi; 3) profilazione, sostenendo che tale distinzione è rispettosa delle Linee guida del Garante in materia di contrasto allo spam adottate nel 2013. La Società ha specificato di non aver mai svolto attività di profilazione né mai aver ceduto dati a terzi per finalità di marketing. Inoltre, EE non hai mai fatto marketing diretto pubblicizzando prodotti di terzi, incluse le società del gruppo La Società, infine, ha prospettato l’intenzione in futuro di chiedere il consenso degli interessati per finalità di marketing e profilazione, rimodulando la struttura tripartita dei consensi e meglio specificando le differenti finalità rispetto ai vari titolari (all. 38 alla memoria) e ha comunicato di aver sottoposto la correlata informativa ad un’opera di revisione “in un’ottica di sempre più diretta comunicazione”.

2.2 Considerazioni in fatto ed in diritto

Le argomentazioni difensive esposte da EE non consentono di escludere la responsabilità della Società in ordine alle violazioni contestate per i seguenti motivi, da considerare in uno con le osservazioni già espresse nel richiamato atto di contestazione:

1) Per quanto riguarda la contestazione relativa all’art. 31 del Regolamento (Cooperazione con l’autorità di controllo), di cui al numero 1, è un dato di fatto incontrovertibile che la Società non abbia fornito risposta alcuna, se non dopo essere stata in tal senso sollecitata, alla terza richiesta di informazioni da parte del Garante. Il laconico, sintetico e non documentato riferimento all’errore umano nello smistamento non elide, infatti, il rilevato profilo di criticità.

Parimenti in sede di riscontro, l’atteggiamento di EE non ha dato conto, in un’ottica collaborativa e proattiva, di risposte analitiche e dettagliate circa le differenti fattispecie oggetto di segnalazione, così da agevolare ogni più opportuna valutazione dell’Autorità. Come è noto, infatti, i riscontri alle richieste di informazioni provenienti dal Garante andrebbero forniti sin da subito nella maniera più dettagliata e completa possibile e gli elementi utili a definire il quadro di indagine andrebbero, dunque, presentati già in sede istruttoria piuttosto che in una fase difensiva in quanto sollecitati. Tali comportamenti, già sanzionati dal Garante (Ordinanza di ingiunzione nei confronti di Iren Mercato S.p.A. del 13 maggio 2021, doc. web 9670025), rischiano di determinare proprio quell’allungamento e appesantimento dell’iter procedimentale, che la stessa Società ha dichiarato di voler evitare. Né al riferimento al regolamento interno n. 1/2019 (art. 7, comma 5) può attribuirsi alcun rilievo in tale ambito, posto che la disposizione è chiaramente riferita alla fase difensiva e non a quella istruttoria.

Peraltro non vale come esimente neanche la richiamata circostanza secondo cui il Garante non avrebbe fornito alcuna risposta o richiesto ulteriori di chiarimenti una volta ricevuti i ri-scontri da parte di EE, posto che è di tutta evidenza come l’onere di collaborazione, previsto dal citato art. 31 del Regolamento, gravi in capo al titolare, anche nel suo precipuo interesse, e non già in capo all’Autorità di controllo.

2-4) Con riferimento alle contestazioni formulate dal Garante con riguardo ai profili di responsabilizzazione del titolare e del rispetto del principio di privacy by design, così come richiamate all’interno dei numeri da 2 a 4 (artt. 5, par. 2, e 25, par. 1 del Regolamento; art. 5, par. 2 e art.t 5, par. 2 e 24 del Regolamento) le argomentazioni presentate dalla Società non risultano convincenti e non valgono a superare i rilievi dell’Autorità.

La principale argomentazione richiamata dalla Società a difesa della propria posizione, attraverso il richiamo ad una indebita spendita del suo nome non risulta supportata da elementi idonei ad escludere la responsabilità del titolare e rimane, in quanto tale, una ricostruzione meramente ipotetica. Ciò in quanto in nessuno dei passaggi argomentativi sviluppati dalla Società è stata comprovata l’attività di competitor volti ad acquisire clienti presentandosi come Enel Energia.

Gli articoli di stampa riportati fanno, infatti, prevalentemente riferimento ad episodi che nulla hanno a che vedere con le ipotesi contestate, posto che la spendita del nome di Enel è utilizzata per tentare di accedere, tramite raggiro, all’interno delle abitazioni degli utenti al fine di perpetrare azioni illecite ai danni dei malcapitati (prevalentemente persone anziane e sole).

Analogamente, il riferimento all’associazione di categoria Federconsumatori – peraltro non relativo ad una presa di posizione pubblica degli organi nazionali dell’associazione bensì riferito ad una intervista rilasciata da una rappresentante locale (Sezione di Taranto) – si riferisce al fenomeno delle truffe e dei tentativi di intrusione nelle abitazioni. Risulta pertanto inconferente rispetto alla fattispecie in esame e non rappresenta un profilo significativo ai fini della valutazione del Garante e in particolare rispetto al tema della responsabilizzazione.

A tal proposito è necessario premettere che le disposizioni regolamentari (artt. 5, par. 2, e 25, par. 1 del Regolamento; art. 5, par. 2 e art.5, par. 2 e 24 del Regolamento) delineano un preciso quadro di responsabilità generale gravante sul titolare del trattamento, non solo nel senso di imporre a quest’ultimo l’adozione di misure adeguate ed efficaci per assicurare il rispetto della disciplina in materia di protezione dei dati personali ma anche nel senso di esigere che il titolare dimostri, in concreto e con elementi probatori, la conformità di qualsiasi attività di trattamento che abbia effettuato direttamente o che altri abbiano effettuato per suo conto (si veda anche considerando 74, RGPD). È necessario, dunque, fornire evidenza di valutazioni complessive svolte sulle caratteristiche dei trattamenti, sui rischi ad essi connessi e sulla efficacia e adeguatezza delle misure adottate caso per caso. Efficacia ed adeguatezza che non possono che essere testate e dimostrate se non attraverso strutturati e sistematici meccanismi di verifica.

La ratio delle disposizioni sopra richiamate risiede nella necessità di far sì che il complesso degli adempimenti in materia di privacy non si riduca ad un assemblaggio meramente cartolare e che la “filiera” delle responsabilità nell’ambito del trattamento non preveda indebiti “scaricabarile” ma sia sempre, da ultimo, riconducibile al titolare. Questi, infatti, è il primario motore dei complessi meccanismi che determinano la compatibilità delle varie attività svolte con le disposizioni del Regolamento e del Codice volte a consentire all’interessato il pieno governo dei propri dati e il compiuto esercizio dei propri diritti e delle proprie libertà.

Il principio di responsabilizzazione, dunque, delineato sia in una prospettiva giuridica (art. 5, par. 2 e art. 24) sia in una più moderna dimensione tecnologica (art. 25) comporta il superamento di una logica esclusivamente formalistica di adeguamento al dato normativo, imponendo al titolare del trattamento di approntare sistematici meccanismi di verifica, anche ex ante ed ex post, del rispetto della normativa in materia di protezione dei dati personali da parte di tutti i soggetti coinvolti nella filiera dei trattamenti che lo riguardano, che possono essere ad esso riconducibili o che possono recare vantaggi anche di carattere economico al titolare.

A tal proposito il Garante osserva, in via preliminare, che il titolare ha fornito nel corso della fase difensiva elementi solo di carattere formale, per lo più legati alla dimensione della liceità contrattuale tra EE e i propri partner – che peraltro nulla prova sotto il profilo del corretto trat-tamento dei dati personali – senza produrre appunto necessaria evidenza di iniziative concrete assunte in qualità di titolare del trattamento, a fronte del dilagare di un fenomeno così invasivo e preoccupante nel corso degli anni, che avrebbe dovuto fungere per la società da vero e pro-prio  “campanello di allarme”.

La storia, la struttura e la dimensione organizzativa di Enel Energia ben avrebbero consentito a questa società, leader nel mercato energetico italiano e da sempre protagonista della vita economico-produttiva del Paese, seppure con forme e modalità differenti, di approntare con la dovuta diligenza misure organizzative all’avanguardia nella tutela degli interessati, nonché appropriati ed efficaci strumenti di controllo sull’intera filiera coinvolta nel trattamento dei dati personali. Ciò, a maggior ragione, in considerazione, da un lato, della mole di dati personali di cui la società, proprio in virtù della sua posizione e della sua storia, è detentrice (attualmente 9 milioni di clienti – cfr. scritti difensivi, punto 173), dall’altro, dell’elevato numero di segnalazioni ricevute ogni mese direttamente da EE (scritti difensivi, punto 167: una media mensile, da aprile 2020 ad aprile 2021, di circa 740 istanze di esercizio dei diritti, in larga parte relative al diritto di opposizione), nonché delle numerose e reiterate richieste di informazioni inviate dal Garante.

Tutto ciò premesso, con riferimento allo specifico profilo emerso in sede difensiva sulle mo-dalità di gestione delle attività promozionali nella fase antecedente alla pandemia, quando alla rete di vendita di EE era vietato l’utilizzo di liste telefoniche, giova evidenziare che la Società avrebbe dovuto, a fronte del crescente numero di segnalazioni relative a contatti telefonici in-desiderati, verificare che tale pressante divieto fosse stato adeguatamente osservato, compro-vando peraltro l’esistenza di strumenti di verifica. Ciò anche mediante controlli idonei a deli-neare e documentare comunque l’origine del dato alla base della eventuale proposta contrat-tuale e/o le modalità di “primo contatto” del potenziale cliente. Tale tipologia di controllo è del tutto differente da una attività di verifica di liste di anagrafiche (richiamata nella memoria di-fensiva), che appare, infatti, inconferente rispetto a quanto contestato dall’Autorità.

Tali controlli potevano, in primis, essere agevolmente svolti se le modalità di primo contatto e/o l’origine del dato del cliente avessero, per esempio, formato espressamente oggetto di indi-cazione analitica nel sistema di registrazione dei contratti, anche utilizzando il canale informa-tivo della Quality call che, invece, da quanto emerso documentalmente, non contiene riferimen-ti specifici rispetto alla verifica della liceità dell’originaria acquisizione del dato e/o del primo contatto, focalizzandosi piuttosto sulla sola verifica della regolarità dei profili contrattuali.

Analogamente, dalla documentazione fornita dalla Società ed esaminata dal Garante, non emergono con univoca chiarezza le caratteristiche delle modalità di accesso ai sistemi deputati all’attivazione delle offerte e dei servizi, attraverso cui le agenzie possono veicolare il risultato delle proprie attività. È su questo passaggio, infatti, che dovrebbero concentrarsi i controlli suc-cessivi da parte del titolare, soprattutto in un sistema commerciale complesso e stratificato qua-le quello presentato da EE. Difatti, se in un passaggio della memoria si fa riferimento alla rice-zione, da parte di EE, della “proposta contrattuale dalle agenzie” (Punto 37) e negli schemi con-trattuali allegati, si legge come le agenzie si impegnino ad “utilizzare in via esclusiva il sistema informativo autorizzato o messo a diposizione dalla Preponente” tuttavia non è stata fornita alcuna incontrovertibile evidenza circa il funzionamento effettivo di tale sistema e circa l’attività di monitoraggio e controllo svolta da EE, al fine di rappresentare all’Autorità l’idoneità delle mi-sure. Ciò, a maggior ragione, ove si consideri che, come emerso dalla documentazione in atti, la Società risulta piuttosto delegare in toto alle agenzie il controllo preventivo sulla liceità del primo contatto: “Eventuali verifiche pre-caricamento nei sistemi informatici eseguite attraverso l’utilizzo del contatto telefonico rientrano, altresì, nella diretta ed esclusiva responsabilità dell’Agenzia.” (Contratto Agenzia, All. 13 alla memoria, punto 2.2).

Similmente, all’interno del contratto tra EE e i negozi partner (punti fisici) si individua una sorta di manleva a favore di EE quando si legge: “Il Partner sarà unico responsabile dell’operato dei Punti Enel e dello Staff, qualsivoglia siano i rapporti giuridici che intercorrano con lo stesso, obbli-gandosi a tenere indenne Enel Energia da qualsiasi pretesa o richiesta avanzata, in relazione allo svol-gimento delle attività oggetto del Contratto, dal Punto Enel, dallo Staff o da terzi, ivi comprese quelle relative a risarcimenti danni, a obbligazioni retributive, a indennità e contributi previdenziali e/o assi-curativi, nonché quelle relative a qualsiasi ulteriore obbligazione o adempimento derivante dalla nor-mativa vigente in materia di lavoro autonomo e subordinato, dalla normativa posta a tutela della pri-vacy, dalla normativa fiscale.” (Contratto PENP, All. 12 alla memoria, punto 5.3).

Infine, rileva la circostanza per cui EE dispone, in sede di validazione dei contratti, di una serie di informazioni che attengono alla corretta gestione, anche da parte del singolo operatore, delle attività promozionali, essendo nella condizione di poter individuare facilmente per cia-scun contratto il canale di vendita e l’incaricato (il riferimento è al codice contratto, codice incari-cato, codice canale, tutti presenti all’interno del modulo di adesione, liberamente scaricabile sul sito Internet della Società).  Tuttavia appare evidente che la Società non compie questo genere di controlli o quantomeno non ne ha fornito evidenza al Garante, come si evince sia dalla già richiamata assenza nella Quality call di riferimenti specifici alla verifica della liceità sull’origine del dato, sia dal rinvio che viene compiuto all’attività dei partner sia, infine, dalle stesse affer-mazioni della società esplicitate in sede difensiva quando si legge: “Se alcune agenzie hanno in ipotesi avallato chiamate commerciali, estranee in sé e per sé (e non semplicemente per le modalità) alle attività previste da EE, non si poteva pretendere che EE svolgesse ex ante controlli su attività total-mente nascoste ed estranee alla propria filiera commerciale, attività che EE non poteva evidentemente nemmeno prevedere. Indagini di quel tipo riguardano la condotta materiale dei dipendenti delle agen-zie, alle spalle delle agenzie stesse e di EE, e non rientrano tra i poteri del titolare del trattamento [omissis] Quando un’attività illecita è completamente estranea e invisibile al titolare del trattamento, questi – se ha evidenza successiva di violazioni di tal fatta – non può che invocare l’intervento dell’autorità giudiziaria e chiudere i rapporti con chi se ne sia reso protagonista. Né la Contestazione indica ragionevoli misure volte a mitigare un rischio del genere, dato che la Contestazione illustra mancate misure relative alla gestione di attività di telemarketing e teleselling non previste da EE.” (scritti difensivi, punti 51 e 53).

Disponendo, dunque, delle informazioni necessarie a collegare ciascuna proposta contrat-tuale persino con il singolo operatore, la verifica dei volumi di vendita di ciascun operatore in relazione ad altre variabili, quali, a mero titolo esemplificativo, l’area geografica, la densità di popolazione relativa all’area commerciale di riferimento e altri analoghi indicatori numerici avrebbero reso possibile l’individuazione di pratiche scorrette e in violazione della normativa in materia di protezione dei dati. Parimenti indispensabile la già richiamata verifica, da effet-tuarsi direttamente presso il cliente, della liceità dell’origine del dato personale alla base della proposta contrattuale. Enel Energia disponeva di tutti gli strumenti necessari a contrastare sul nascere fenomeni di "sottobosco" di cui, peraltro, era a conoscenza ben prima dell’intervento del Garante.

Misure, quali quelle qui descritte, se adottate e se rappresentate al Garante (al quale non si può certo imputare la mancata indicazione nell’atto di contestazione) avrebbero dato oppor-tuna contezza di una impostazione non meramente formalistica e conservativa basata sul con-tratto e sulle sue caratteristiche ma, al contrario, avrebbero fatto emergere un apprezzabile ap-proccio proattivo a tutela del complesso dei diritti del consumatore e dell'interessato.

Emerge, in conclusione, l’assenza di un concreto collegamento fra le informazioni relative alle attività promozionali che vengono poste in essere, con qualunque modalità e in ogni for-ma, in base ai differenti canali di vendita, da EE e la piattaforma deputata alla validazione e alla registrazione dei contratti, cosicché le due differenti fasi (quella promozionale e quella con-trattuale) rimangono sostanzialmente separate e ciò rende possibile, da parte di agenti che in-tendano veicolare le proposte contrattuali senza seguire le disposizioni del titolare, inserire le stesse anche in caso di contatto promozionale illecito o comunque indesiderato. Ciò rende non solo possibile ma anche fortemente probabile, attesa la labilità delle “difese” poste in essere, che l’ingente quantità di contatti indesiderati portati all’attenzione dell’Autorità siano stati posti in essere nell’ambito della promozione di prodotti e servizi della Società.

Nell'ottica di quanto richiesto dall'art. 5, par. 2, del Regolamento, che impone al titolare di comprovare la liceità dei trattamenti, proprio l’assenza di misure, nel sistema ufficiale di regi-strazione, che verifichino il pieno rispetto delle norme e dei diritti degli interessati, degli utenti e dei consumatori fin dal momento del primo contatto è condizione idonea a rappresentare la porta d’accesso per eventuali “procacciatori non ufficiali” di contratti in grado di “catturare” gli utenti destinatari delle lamentate telefonate promozionali, i quali costantemente denunciano un contatto in nome della Società (analogamente a quanto già rappresentato nei richiamati provvedimenti nei confronti di Vodafone Italia S.p.A. e Fastweb S.p.A.).

Peraltro, per affrontare in radice il problema, non è sufficiente agire in via esclusiva sulla re-te di vendita “ufficiale”, proprio a fronte di quel danno reputazionale che la Società lamenta con tanta convinzione, quanto piuttosto prevedere, come l’Autorità ha già avuto modo di evi-denziare, meccanismi efficaci volti a monitorare e a contrastare, anche in considerazione delle capacità organizzative e aziendali della principale società energetica italiana, un fenomeno che impatta in maniera così significativa e pervasiva sulla dimensione privata degli interessati che lamentano contatti promozionali indesiderati da parte di Enel Energia e ad escludere in radice che nella rete di vendita di Enel Energia si verifichino contatti tramite telefono.

In tal senso l’Autorità non ha mancato, in altre occasioni, di richiamare, proprio in una logi-ca preventiva e di rispetto della privacy by design, la possibilità di ricorrere a scelte societarie e organizzative volte, ad esempio, a inibire l’attivazione contrattuale di offerte o servizi quando esse non siano certamente riconducibili ad attività svolte nel rispetto delle norme e dei diritti degli interessati, degli utenti e dei consumatori fin dal momento del primo contatto e dell’origine del dato (cfr. già menzionati provvedimenti nei confronti di Vodafone Italia S.p.A, 12 novembre 2020, doc. web 9485681, e Fastweb S.p.A., 25 marzo 2021, doc. web 9570997).

Tali medesime condizioni andrebbero applicate anche alle campagne di telemarketing che dichiaratamente EE ha ripreso a seguito dell’emergenza pandemica. Tali attività, al fine di non violare le disposizioni del Regolamento, andranno condotte nel pieno rispetto dei principi di responsabilizzazione e privacy by design, dovendo il titolare comprovare in qualsiasi momento che l’attivazione di offerte e servizi e la registrazione di contratti avvenga solo a seguito di con-tatti promozionali effettuati dalla rete di vendita della Società attraverso numerazioni telefoni-che censite e iscritte al ROC – Registro degli Operatori di Comunicazione e fermo restando la necessaria verifica delle liste di contattabilità, come più volte ribadito dal Garante (da ultimo si veda Ordinanza di ingiunzione nei confronti di Iren Mercato S.p.A., 13 maggio 2021, doc. web n. 9670025).

5-6) Con riferimento alle contestazioni di cui ai numeri 5 e 6 (art. 5, par. 1, lett. d); artt. 5, par. 1, lett. d), e 6 del Regolamento, Liceità del trattamento), i riferimenti ad un “errore manua-le dell’operatore”, nel primo caso, ed a un errore materiale, nel secondo,  non valgono a solle-vare la Società dalla responsabilità derivante dalla violazione delle menzionate disposizioni né consentono di applicare l’esimente di cui all’art. 3 della legge n. 689/1981 in tema di buona fe-de, a maggior ragione perché non analiticamente documentati e in ordine ai quali EE non è sta-ta in grado di dimostrare l’inevitabilità. L’Autorità prende comunque atto della dichiarazione di Enel di aver prontamente posto rimedio all’errore in uno dei due casi (IV cum: 147284).

Quanto alle contestazioni richiamate nei numeri da 7 a 9 relativamente alle richieste di eser-cizio dei diritti è doveroso premettere alcune considerazioni. Pur prendendo atto di quanto af-fermato dalla Società in sede di memoria difensiva (Punto VI.G della memoria e annessa tabel-la) circa il consistente volume di richieste di esercizio dei diritti che vengono gestite dalla stessa, sia su base mensile sia su base annua, occorre comunque ribadire che, sebbene i rappresentati disallineamenti rispetto alle ordinarie modalità operative in tema di esercizio dei diritti costitui-scano una espressione statistica non significativamente rilevante rapportata alla attività di Enel Energia, tale elemento non può far venire meno la necessità di assicurare agli interessati la tutela individuale che il Regolamento prevede, attraverso l’adozione di provvedimenti di natu-ra correttiva e sanzionatoria.

7) quanto alle contestazioni richiamate all’interno del numero 7 (art. 12 del Regolamento, le argomentazioni fornite in merito al ritardo nei riscontri nei casi di cui ai fascicoli 132334 e 129416 (I cum.) non consentono di superare il rilievo circa la violazione delle norme poste a presidio della necessaria tempestività dei riscontri che devono essere forniti agli interessati a seguito di istanze di esercizio dei diritti.

Ciò, nel caso di specie (132334), anche tenendo conto della circostanza per cui la precedente disciplina dettata dal Codice già prevedeva l’istituto del cd. “interpello preventivo” e, dunque, non poteva avere rilevanza il fatto che non fosse stata data, all’epoca, una piena e completa applicabilità alla nuova normativa europea. Allo stesso modo, la circostanza per cui l’istanza rivolta dall’interessato fosse contestualmente oggetto di una richiesta di informazioni del Garante, avrebbe semmai dovuto indurre il titolare ad un comportamento virtuoso e non, come invece accaduto, reticente circa il riscontro (129416). In entrambi i casi, si ritiene che il ritardo, per quanto comunicato agli interessati, non fosse giustificato né giustificabile, dal momento che il titolare era senza dubbio in grado di fornire un completo ed esaustivo riscontro alle richieste degli stessi sin da subito.

Relativamente, poi, alla fattispecie oggetto di segnalazione nel fascicolo 144726 (III cum.), si rinviene nella memoria il riferimento ad un “mero disguido tecnico”. Tale circostanza non sgrava la Società della responsabilità derivante dalla violazione dell’articolo 12 né consente, in questo come nei precedenti casi, di applicare l’esimente di cui all’art. 3 della legge n. 689/1981 in tema di buona fede, dal momento che non è stata fornita prova del fatto che l’errore non è derivato da colpa. Ciò, a maggior ragione, perché l’inconveniente tecnico non è stato in alcun modo documentato né se ne è dimostrata l’inevitabilità.

Infine, con riferimento al fascicolo 138729 (IV cum.), non avendo il titolare fornito alcun elemento ulteriore volto a giustificare il mancato riscontro ad una istanza di esercizio dei diritti, è da ritenersi pienamente integrata la violazione dell’art. 12 del Regolamento;

8) parimenti, con riferimento alla contestazione analoga, ma riferita a differente fattispecie (IV cum. fasc. 136020), di cui al numero 8 (artt. 5. par. 1, lett. a), la circostanza che si sia trattato effettivamente di un errore di digitazione, non vale a superare le osservazioni dell’Autorità, dal momento che l’interessato comunque non ha ricevuto in prima battuta un riscontro chiaro ed inequivocabile rispetto alla fattispecie oggetto del reclamo. Si fa notare che la circostanza dell’errore di digitazione, se chiarita dall’inizio e non solo in sede difensiva e su sollecitazione del Garante, avrebbe permesso all’Autorità di verificare, disponendo di più specifici elementi, l’eventuale sussistenza di una più pertinente violazione in materia di mancato rispetto del principio di esattezza; peraltro, in tale contesto andrebbe evidenziato che, affinché l’errore di digitazione potesse essere considerato scusabile, la Società, per esempio, avrebbe dovuto fornire prova della volontà di contattare una numerazione differente di pochi elementi numerici da quella effettivamente chiamata nel medesimo contesto della campagna pubblicitaria;

9) con riguardo alla contestazione di cui al numero 9 (art. 21 del Regolamento e art. 130, commi 1 e 2 del Codice), l’errore commesso e riconosciuto dalla Società nell’aver indicato un indirizzo email non corretto in una comunicazione all’interessato ha, di fatto, ostacolato  l’esercizio del diritto di opposizione (istruttorie singole: 133249) così come le  argomentazioni offerte dalla Società circa la mancata registrazione del diniego in fase di sottoscrizione contrattuale confermano la sussistenza della responsabilità della Società per l’invio di comunicazioni promozionali tramite e-mail senza il previo necessario consenso dell’interessato;

10) in relazione alla contestazione richiamata al numero 10 (art. 130, comma 4, del Codice) il titolare non ha prodotto alcuna prova documentale in grado di dimostrare che la reclamante avesse ricevuto la necessaria, adeguata informazione  circa la possibilità di ricevere comunicazioni su servizi e prodotti analoghi, attraverso le proprie coordinate di posta elettronica e, quindi, circa la presenza di quell’elemento oggettivo di carattere informativo che è fondamentale per una corretta interlocuzione con gli interessati e che legittima l’esonero dall’acquisizione del relativo consenso, oltre agli ulteriori elementi richiamati dall’art. 130, comma 4, del Codice come pure dal Provvedimento del Garante del 4 luglio 2013 (doc. web n. 2542348) (istruttorie singole: 136321); in assenza di tali fondamentali elementi di carattere informativo, la violazione dell’art. 130, comma 4, risulta integrata;

11) con riferimento al profilo di contestazione relativo alla mancata allegazione della documentazione sulla strutturazione dei consensi nell’ambito del Profilo Unico (richieste IV cum. e IV-bis cum.), la richiamata difesa di parte non ha fondamento. Le richieste del Garante volte a comprendere il funzionamento del Profilo Unico comportavano, come naturale corollario, la documentazione illustrativa della modalità di acquisizione dei consensi per finalità di marketing e profilazione;

12) per quanto riguarda le contestazioni riportate al numero 12 (artt. 5, par. 1, lett. a), 12 e 13 del Regolamento) in relazione alle informazioni fornite agli interessati, pur avendo la Società maggiormente chiarito l’interazione esistente tra Enel Energia s.r.l. ed Enel Italia e pur avendo provveduto a modificare le informative presenti sul sito assorbendo i rilievi del Garante, la comunicazione informativa precedentemente fornita da parte della Società agli utenti del sito internet non era in grado di soddisfare i requisiti di correttezza e trasparenza a vantaggio degli interessati;

13) sempre relativamente al Profilo Unico, rispetto alla contestazione di cui al numero 13 (art. 5, par, 1, lett. c), del Regolamento), il Garante prende atto delle spiegazioni fornite da EE in fase difensiva e ritiene che gli elementi raccolti siano pertinenti e idonei a sollevare la Società da responsabilità circa un mancato rispetto del principio di minimizzazione, ferma restando la necessaria rivalutazione, da parte del titolare del trattamento, circa il rispetto del principio di minimizzazione nel caso in cui muti l’attuale assetto rappresentato al Garante, per esempio attraverso un aumento del numero delle società che fruiscono del Profilo unico e un conseguente mutamento delle finalità del trattamento;

14) rispetto alle contestazioni di cui al numero 14 (artt. 12 e 13 del Regolamento), pur aven-do la Società rappresentato di aver provveduto a rivedere l’informativa “compiendo scelte lessi-cali più chiare.” (Punti 199-204), l’informativa finora fornita non può ritenersi completa ed esaustiva rispetto alla individuazione dei soggetti terzi destinatari dei dati, stante il generico richiamo a “società del Gruppo Enel, società controllanti, controllate o collegate, o da partner com-merciali di Enel Energia”. Con riferimento al periodo antecedente il giugno 2021, l’informativa rilasciata agli interessati da EE nell’ambito del proprio portale risultava carente proprio con ri-guardo ad una necessaria individuazione dei soggetti destinatari dei dati, quantomeno con ri-ferimento alle categorie merceologiche, sia nell’ambito delle società facenti parte del Gruppo Enel sia con riferimento ad una generica platea di partner commerciali. Per tali aspetti l’informativa è risultata, quindi, carente ed inadeguata con riferimento ai requisiti previsti da-gli artt. 12 e 13 RGPD;

15) quanto alla granularità e specificità dei consensi, con riguardo a trattamenti svolti da soggetti diversi in veste di autonomi titolari di cui al numero 15 (artt. 6, par. 1, del Regolamento e 130, commi 1 e 2, del Codice), premesso che in sede di audizione EE ha comunicato di aver già adottato alcune misure per accogliere le osservazioni formulate dal Garante (tra cui proprio una revisione del wording dei consensi per una migliore riformulazione degli stessi), i rilievi dell’Autorità sono confermati. La previsione di un consenso nei termini accertati dal Garante nell’atto di avvio del procedimento non soddisfa i requisiti di granularità e chiarezza, ricavabili dalla normativa regolamentare. Difatti, un consenso unico alla comunicazione dei dati per finalità promozionali anche da parte di società del gruppo, società controllanti, controllate e collegate e partner commerciali di EE, non può considerarsi né specifico né libero e non costituisce una idonea base giuridica per i richiamati trattamenti, ai sensi dell’art. 6 RGPD.

Le informazioni fornite dalla Società in fase difensiva parrebbero aver chiarito che il consenso richiesto per le attività di marketing delle “società controllanti, controllate, collegate o partner commerciali di EE” da parte dei medesimi soggetti non si riferisce ad una comunicazione di dati da Enel a soggetti terzi per finalità di marketing di questi ultimi. Tuttavia in assenza di una chiara individuazione dei soggetti destinatari, non può comunque considerarsi idoneo un consenso collegato a trattamenti riferibili ad un numero indeterminato di soggetti.

Analoghi rilievi possono estendersi alla richiesta di un consenso unico per finalità di profilazione sia di Enel Energia che dei soggetti già richiamati, quali autonomi titolari del trattamento, poiché, anche in tal caso, un consenso lecitamente acquisito deve essere specifico e distinto per poter costituire una idonea base giuridica, ai sensi della richiamata norma regolamentare.

Pertanto, con riferimento agli aspetti anche fattuali sopra evidenziati e tenuto conto delle affermazioni della Società, di cui il dichiarante risponde ai sensi dell’art. 168 Codice, nonché dell’ulteriore documentazione prodotta, si formulano le seguenti valutazioni circa i profili riguardanti la disciplina in materia di protezione dei dati personali.

3. CONCLUSIONI

Per quanto sopra esposto, mentre può ritenersi superata la contestazione di cui al numero 13) in ragione dei motivi esposti nelle considerazioni in diritto al numero 13 (par. 2.2.). si ritiene accertata la responsabilità di Enel in ordine alle seguenti violazioni:

1)  Art. 31 del Regolamento, per le motivazioni descritte al numero 1 del precedente para-grafo 2.2; 

2) Artt. 5, par. 2, e 25, par. 1 del Regolamento, per le motivazioni descritte ai numeri da 2 a 4 del precedente paragrafo 2.2;

3) Artt. 5, par. 2 , per le motivazioni descritte ai numeri da 2 a 4 del precedente paragrafo 2.2; 

4) Art. 5, par. 2 e 24 del Regolamento, per le motivazioni descritte ai numeri da 2 a 4 del precedente paragrafo 2.2; 

5) Art. 5, par. 1, lett. d), per le motivazioni descritte al numero 5 del precedente paragrafo 2.2; 

6) Artt. 5, par. 1, lett. d), per le motivazioni descritte al numero 6 del precedente paragrafo 2.2;

7) Art. 12 del Regolamento, per le motivazioni descritte al numero 7 del precedente paragrafo 2.2;

8) Artt. 5. par. 1, lett. a) e 12, par. 2 del Regolamento, per le motivazioni descritte al numero 8 del precedente paragrafo 2.2;

9) Art. 21 del Regolamento e art. 130, commi 1 e 2 del Codice, per le motivazioni descritte al numero 9 del precedente paragrafo 2.2;

10) art. 130, comma 4, del Codice, per le motivazioni descritte al numero 10 del precedente paragrafo 2.2;

11) Art. 31 del Regolamento, per le motivazioni descritte al numero 11 del precedente paragrafo 2.2;

12) Artt. 5, par. 1, lett. a), 12 e 13 del Regolamento, per le motivazioni descritte al numero 12 del precedente paragrafo 2.2;

13) Artt. 12 e 13 del Regolamento, per le motivazioni descritte al numero 14 del precedente paragrafo 2.2;

14) Artt. 6, par. 1, del Regolamento e 130, commi 1 e 2, del Codice, per le motivazioni descritte al numero 15 del precedente paragrafo 2.2;

Da tale accertamento di illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, si rende necessario, nei confronti di Enel Energia S.p.A:

- rivolgere un avvertimento, ai sensi dell’art. 58, par. 2, lett. a), del Regolamento, circa le campagne promozionali tramite teleseller che, secondo le dichiarazioni difensive, EE ha ri-preso a seguito dell’emergenza pandemica. Tali campagne, al fine di non violare le disposi-zioni del Regolamento, andranno condotte nel pieno rispetto dei principi di responsabiliz-zazione e privacy by design, dovendo il titolare comprovare in qualsiasi momento che l’attivazione di offerte e servizi e la registrazione di contratti avvenga solo a seguito di con-tatti promozionali effettuati dalla rete di vendita della Società attraverso numerazioni tele-foniche censite e iscritte al ROC – Registro degli Operatori di Comunicazione e previa neces-saria verifica delle liste di contattabilità;

- rivolgere un ammonimento, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, in merito alla circostanza per cui fornire una rappresentazione ed una documentazione probatoria incompleta ed inidonea circa elementi di valutazione da parte dell’Autorità così come omet-tere la risposta ad una richiesta di informazioni formulata da quest’ultima, durante la fase istruttoria del procedimento, integra la violazione di quei doveri di collaborazione nei con-fronti dell’Autorità di controllo cui il titolare del trattamento è tenuto ai sensi dell’art. 31 del Regolamento;

- ingiungere, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adeguare ogni trattamen-to svolto dalla propria rete di vendita, a modalità e misure idonee a prevedere e comprova-re che l’attivazione di offerte e servizi e la registrazione di contratti avvenga solo a seguito di contatti promozionali che, qualora siano stati operati mediante telefono, siano stati effet-tuati dalla suddetta rete di vendita attraverso numerazioni telefoniche censite e iscritte al ROC – Registro degli Operatori di Comunicazione e nel rispetto delle disposizioni di cui all’art. 130 del Codice;

- ingiungere, ai sensi dell’art. 58, par. 2, lett. d), di implementare tutte le ulteriori misure tec-niche ed organizzative necessarie alla gestione delle istanze di esercizio dei diritti degli inte-ressati - e in particolare il diritto di opposizione alle finalità promozionali - che consentano di dar riscontro agli interessati, nonché individuare e recepire correttamente la loro effettiva volontà, senza ingiustificato ritardo, e comunque, al più tardi, entro 30 giorni dal ricevimen-to delle richieste, fatti salvi motivi legittimi prevalenti e fatta salva la necessità, tempestiva-mente comunicata agli interessati, di un’eventuale proroga per il riscontro;

- richiedere di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguata-mente documentato, ai sensi dell’art. 157 del Codice, entro il termine di giorni 40 dalla noti-fica del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

- adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Enel Energia S.p.A. delle sanzioni amministrative pecuniarie previste dall’art. 83, par. 4 e 5, del Regolamento.

4. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei con-fronti di Enel Energia S.p.a. della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3, 4 e 5, del Regolamento (pagamento di una somma fino a € 10.000.000 ovvero, per le imprese, fino al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore e pa-gamento di una somma fino a € 20.000.000 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore);

Per la determinazione del massimo edittale della sanzione pecuniaria, occorre pertanto fare riferimento al fatturato di Enel Energia S.p.A., in accordo con i precedenti provvedimenti adot-tati dall’Autorità, e quindi di dover determinare tale massimo edittale, nel caso in argomento, in euro 530.279.555.

Ai fini della determinazione dell’ammontare della sanzione occorre tenere conto degli ele-menti indicati nell’art. 83, par. 2, del Regolamento;

Nel caso in esame, assumono rilevanza:

1) la gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento) – con riferimento alle contestazioni di cui ai numeri 2, 3 e 4 in ragione della particolare pervasività dei contatti il-leciti effettuati in nome del titolare (lesivi di vari diritti fondamentali e, in particolare, oltre al diritto alla protezione dei dati personali, il diritto alla riservatezza e il diritto alla tranquil-lità individuale), del livello di danno effettivamente subito dagli interessati, che sono stati incessantemente esposti a chiamate di disturbo, delle crescenti difficoltà che gli stessi incon-trano per arginare il fenomeno, della molteplicità delle condotte poste in essere da EE in vio-lazione di più disposizioni del Regolamento e del Codice;

2) quale fattore aggravante, la durata delle violazioni (art. 83, par. 2, lett. a) del Regolamento), in ragione del carattere ripetuto delle violazioni di cui ai numeri da 2 a 4, della durata supe-riore a sei mesi delle violazioni dei numeri da 2 a 4, se si considera che le prime segnalazioni riferiscono di chiamate indesiderate avvenute nel 2018; similmente il Profilo unico è stato at-tivo con le modalità illustrate nei numeri 12 a 15 sino al giugno 2021, quando, secondo le dichiarazioni rese dalla Società, informativa e box dei consensi sono stati modificati;

3) quale fattore aggravante, l’elevato numero dei soggetti coinvolti (art. 83, par. 2, lett. a) del Regolamento) che, per la violazione di cui ai numeri da 2 a 4 deve tenere conto non solo dei numerosi segnalanti e reclamanti (140); similmente estesa è la platea di interessati i cui dati sono trattati nell’ambito del Profilo Unico. Secondo quanto riferito dalla Società in sede di ri-scontro, si tratterebbe di oltre 3 milioni di Digital users Enel;

4) quale fattore aggravante, il carattere negligente delle condotte (art. 83, par. 2, lett. b) del Re-golamento) in considerazione dell’ampia e costante interlocuzione con il Garante su tutti gli aspetti del telemarketing, nonché della rilevante attività provvedimentale dell’Autorità, elementi che, anche alla luce di recenti provvedimenti dell’Autorità, avrebbero dovuto costi-tuire un valido supporto nelle scelte organizzative della Società ma che invece, in particola-re con riferimento alle violazioni di cui ai numeri da 2 a 4, sono risultati in massima parte disattesi.

5) quali fattori aggravanti la reiterazione specifica delle condotte (art. 83, par. 2, lett. e) del Re-golamento) e la precedente adozione da parte dell’Autorità di analoghi provvedimenti cor-rettivi e sanzionatori con riferimento a trattamenti affini (art. 83, par. 2, lett. i) del Regolamento);

6) quale fattore attenuante, l’adozione di misure volte a mitigare le conseguenze delle violazioni (art. 83, par. 2, lett. c) del Regolamento), con riferimento, in particolare: a) alla imple-mentazione della possibilità per l’interessato di verificare direttamente dal sito web di EE “la riferibilità a EE e ai suoi partner delle numerazioni dalle quali egli abbia ricevuto chiamate commerciali.”; b) alla avvenuta modifica delle informative presenti sul sito, ivi compresa quella relativa al Profilo unico; c) alla riformulazione delle didascalie illustrative in prossimi-tà dei riquadri per l’acquisizione dei consensi, sempre nell’ambito del Profilo unico;

7) quali fattori ulteriori da tenere in considerazione per parametrare la sanzione (art. 83, par. 2, lett. k) del Regolamento), l’ampio margine temporale concesso a tutti i titolari del tratta-mento al fine di consentire loro un compiuto e coerente adeguamento dei sistemi e delle pro-cedure alla nuova normativa europea, in vigore già dal 25 maggio 2016 e pienamente ap-plicabile dal 25 maggio 2018; la particolare attenzione che il legislatore ha dedicato alla re-golamentazione del fenomeno del telemarketing, anche con interventi normativi di recente adozione (ad es., legge n. 5/2018); la primaria posizione di mercato di Enel Energia nel set-tore delle telecomunicazioni e il valore economico complessivo della Società; l’esigenza di in-trodurre con prontezza misure adeguate, a fronte di un netto e percepibile incremento del fenomeno delle comunicazioni promozionali, di cui la Società ha mostrato di avere piena contezza, con l’approssimarsi del termine ultimo previsto dal legislatore per il definitivo passaggio dal mercato tutelato dell’energia elettrica e del gas naturale al mercato libero.

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilan-ciamento fra diritti degli interessati e libertà di impresa, in via di prima applicazione delle san-zioni amministrative pecuniarie previste dal Regolamento, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Socie-tà, si ritiene debba applicarsi a Enel Energia S.p.a. la sanzione amministrativa del pagamento di una somma di euro 26.513.977 (ventisei milioni, 513.977), pari al 5% della sanzione massi-ma edittale, in linea con altri recenti provvedimenti adottati dall’Autorità in materia di tele-marketing.

Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblica-zione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Co-dice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della condotta della Società nonché dell’elevato numero dei soggetti potenzialmente coinvolti nei trattamenti presi in esame;

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

a) rivolge un avvertimento ad Enel Energia S.p.A., ai sensi dell’art. 58, par. 2, lett. a), del Regolamento circa le campagne promozionali tramite teleseller che, secondo le dichiara-zioni difensive, il titolare ha ripreso a seguito dell’emergenza pandemica; tali campagne, al fine di non violare le disposizioni del Regolamento, andranno condotte nel pieno ri-spetto dei principi di responsabilizzazione e privacy by design, dovendo il titolare com-provare in qualsiasi momento che l’attivazione di offerte e servizi e la registrazione di contratti avvenga solo a seguito di contatti promozionali effettuati dalla rete di vendita della Società attraverso numerazioni telefoniche censite e iscritte al ROC – Registro degli Operatori di Comunicazione e previa necessaria verifica delle liste di contattabilità;

b) rivolge un ammonimento ad Enel Energia S.p.A., ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, in merito alla circostanza per cui fornire una rappresentazione ed una do-cumentazione probatoria incompleta ed inidonea circa elementi di valutazione da parte dell’Autorità così come omettere la risposta ad una richiesta di informazioni formulata da quest’ultima, durante la fase istruttoria del procedimento, integra la violazione di quei doveri di collaborazione nei confronti dell’Autorità di controllo cui il titolare del tratta-mento è tenuto ai sensi dell’art. 31 del Regolamento;

c) ingiunge ad Enel Energia S.p.A, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adeguare ogni trattamento svolto dalla propria rete di vendita, a modalità e misure idonee a prevedere e comprovare che l’attivazione di offerte e servizi e la registrazione di contratti avvenga solo a seguito di contatti promozionali che, qualora siano stati operati mediante telefono, siano stati effettuati dalla suddetta rete di vendita attraverso numerazioni telefoniche censite e iscritte al ROC – Registro degli Operatori di Comunicazione e nel rispetto delle disposizioni di cui all’art. 130 del Codice;

d) ingiunge ad Enel Energia S.p.a, ai sensi dell’art. 58, par. 2, lett. d), di implementare tutte le ulteriori misure tecniche ed organizzative necessarie alla gestione delle istanze di eser-cizio dei diritti degli interessati - e in particolare il diritto di opposizione alle finalità pro-mozionali - che consentano di dar riscontro agli interessati, nonché individuare e recepire correttamente la loro effettiva volontà, senza ingiustificato ritardo, e comunque, al più tardi, entro 30 giorni dal ricevimento delle richieste, fatti salvi motivi legittimi prevalenti e fatta salva la necessità, tempestivamente comunicata agli interessati, di un’eventuale proroga per il riscontro;

e) ingiunge ad Enel Energia S.p.a., ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, entro 40 giorni dalla notifica del presente provvedimento, le iniziative intra-prese al fine di dare attuazione alle prescrizioni e ai divieti adottati, nonché alle richieste dei reclamanti; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento

ORDINA

ad Enel Energia S.p.a., in persona del legale rappresentante pro-tempore, con sede legale in Roma, Viale Regina Margherita n. 125, C.F. 06655971007, di pagare la somma di euro 26.513.977 (ventisei milioni, 513.977) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 26.513.977 (ventisei milioni, 513.977), se-condo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provve-dimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

L’applicazione della sanzione accessoria della pubblicazione sul sito del Garante del pre-sente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provve-dimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso deposi-tato al tribunale ordinario del luogo ove ha la sede il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 16 dicembre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL VICESEGRETARIO GENERALE
Filippi