VEDI ANCHE Comunicato stampa del 29 febbraio 2024

 

[doc. web n. 9988710]

Provvedimento dell'8 febbraio 2024

Registro dei provvedimenti
n. 81 dell'8 febbraio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal vice segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE l’avv. Guido Scorza;

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. Premessa

Con atto del 14 luglio 2023, n. 108535/173067 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente richiamato e riprodotto, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Enel Energia S.p.A., (di seguito “Enel Energia” o “la Società”), in persona del legale rappresentante pro-tempore, con sede legale in Roma, viale Regina Margherita n. 125, C.F. 06655971007.

Il procedimento trae origine da una istruttoria avviata dall’Autorità, a seguito della ricezione degli esiti di un’attività compiuta dalla Compagnia di Soave della Guardia di finanza e dal Nucleo Speciale Tutela privacy, indagine relativa alle attività di telemarketing svolte da alcune agenzie site in Verona (Mas s.r.l. e Mas s.r.l.s.) e in Toscana (Sesta Impresa s.r.l. e Arnia soc. cooperativa), esiti compiutamente riportati nel Provvedimento del Garante n. 184 del 13 aprile 2023 (in www.gpdp.it, doc. web n. 9893718), al quale integralmente si fa richiamo.

In estrema sintesi, per la parte che qui interessa, le indagini svolte dalla Guardia di finanza consentivano di accertare che due società di Verona svolgevano attività finalizzate a promuovere i servizi di compagnie del settore dell’energia elettrica e del gas. Le attività delle due società apparivano focalizzate essenzialmente alla promozione dei servizi delle compagnie Enel Energia e XX che i propri collaboratori effettuavano disponendo di tesserini di riconoscimento, risultati poi contraffatti, e modulistica sia di Enel Energia che di XX.

Le attività di marketing svolte dalle due società veronesi risultavano realizzate, in prima battuta, mediante il contatto telefonico di potenziali clienti, contatto che avveniva utilizzando elenchi di nominativi corredati da indirizzi, numeri telefonici, indicazione del comune di residenza nell’ambito della provincia di Verona e della compagnia energetica di riferimento. Gli elenchi risultavano acquisiti illecitamente e i contatti realizzati senza che fossero osservate le disposizioni previste dal Regolamento, dal Codice, dalle leggi nazionali e dai numerosi provvedimenti, anche a carattere generale, adottati dall’Autorità in materia di telemarketing. Quanto alle modalità di svolgimento delle attività promozionali successive al contatto telefonico, le stesse prevedevano che, nel caso in cui il potenziale cliente avesse in essere un contratto con XX, dovesse essere al medesimo proposto un cambio di gestore verso Enel Energia. Dopo un certo lasso di tempo dalla stipula di un contratto, il cliente veniva ricontattato affinché cambiasse nuovamente gestore (da XX a Enel Energia e viceversa).

Giova qui rappresentare che le due società veronesi non risultavano avere alcun contratto di collaborazione o per prestazione di servizi in essere con Enel Energia e quindi alcuna autorizzazione a stipulare contratti per conto della medesima che, una volta siglati, venivano inviati alla società fiorentina Sesta Impresa s.r.l.

Il Nucleo Speciale tutela privacy e frodi tecnologiche, sulla base di una richiesta dell’Autorità, svolgeva il 10 febbraio 2022 un accertamento ispettivo nei confronti di tale ultima società, dal quale emergeva che la medesima aveva in essere accordi con alcune agenzie della rete di vendita di Enel Energia (XX, XX., XX, XX e XX.) pur non essendo stata designata né dalla compagnia energetica né dalle sue agenzie quale responsabile del trattamento. Dall’attività ispettiva emergeva altresì che l’attività di inoltro delle proposte contrattuali ad Enel Energia non veniva svolta direttamente da Sesta Impresa ma da un’altra società di Firenze, avente medesima sede legale di Sesta Impresa e sede operativa in Montecatini, denominata società cooperativa Arnia. Tale cooperativa risultava essere il vero motore organizzativo delle attività di telemarketing poiché, oltre a svolgere il data-entry dei contratti acquisiti da Sesta Impresa e da altre aziende, provvedeva a coordinare autonome iniziative promozionali, contattando telefonicamente i potenziali clienti, ricompresi in un proprio database, per attività di marketing poi finalizzate da Sesta Impresa e da altre società.

La Guardia di finanza, su ulteriore richiesta dell’Autorità, svolgeva quindi un accertamento nei confronti della soc. cooperativa Arnia nelle date del 22 e 23 giugno 2022, da cui risultava confermato, oltre a numerosi profili non inerenti Enel Energia, che Arnia aveva provveduto al caricamento di contratti di Enel Energia, per conto di Sesta Impresa, nei sistemi informativi della compagnia energetica, pur non disponendo di autorizzazioni proprie per l’accesso ai predetti sistemi. Dall’accertamento, inoltre, si evidenziava che la tenuta del database di potenziali clienti mediante il quale Arnia svolgeva i contatti telefonici finalizzati alla promozione dei servizi delle compagnie energetiche, non risultava legittimata da idonee basi giuridiche per il trattamento di dati personali delle persone ivi censite.

Dal complesso degli accertamenti risultava, in estrema sintesi, che le quattro società avevano, fra l’altro, posto in essere attività univocamente organizzate e coordinate per: 1) acquisire incarichi da parte della rete di vendita di Enel Energia al fine di promuovere i servizi della medesima, anche in assenza di formali designazioni o autorizzazioni della committente; 2) procedere ai contatti dei potenziali clienti utilizzando banche dati di provenienza non lecita, aggirando le disposizioni del Regolamento, del Codice e delle leggi nazionali in tema di marketing telefonico; 3) provvedere al caricamento dei contratti, accedendo al portale della Società in assenza di formali autorizzazioni da parte della medesima e di autonome credenziali di accesso.

1.2. L’accertamento ispettivo presso Enel Energia e le ulteriori attività istruttorie

All’esito di quanto accertato nei confronti delle quattro società sopra indicate, si rendeva necessario svolgere un’attività ispettiva nei confronti di Enel Energia, che l’Autorità delegava alla Guardia di finanza, con richiesta di informazioni e esibizione di documenti in loco ai sensi dell’art. 157 del Codice, volta a verificare le modalità di caricamento dei contratti acquisiti dalle agenzie sulle piattaforme aziendali, le misure di sicurezza implementate da Enel Energia sulle predette piattaforme e la presenza dei contratti acquisiti dalle società veronesi e poi transitati per Sesta Impresa e la cooperativa Arnia.

Dagli accertamenti, svolti nelle giornate del 24 e 25 novembre 2022 e dal successivo invio di documentazione (messa a disposizione dell’Ufficio, da ultimo e nella sua interezza, il 21 febbraio 2023, con invio da parte della Guardia di finanza, protocollo n. 31529/173067) è emerso, fra l’altro, quanto segue:

a) Individuazione dei sistemi e dei database

alla base dell’operatività delle Agenzie della rete di vendita di Enel Energia vi è una piattaforma di accesso al CRM (Customer Relationship Management) aziendale, denominata N.Eve, acronimo di “New Eve”, interfaccia all’uopo dedicata, che ha sostituito il precedente sistema “Eva” a seguito di un roll-out effettuato dalla Società dal 6 al 27 luglio 2018. Il sistema Eva è rimasto in funzione fino al 22 febbraio 2019, dopodiché è stato definitivamente dismesso. Attraverso N.Eve le proposte contrattuali provenienti dalle Agenzie, che derivano da un’operazione di cambio fornitore, redatte su un modulo cartaceo pre-stampato, facente parte di un kit in dotazione ai venditori, sono caricate, tramite un’attività di back-office, sul sistema. N.Eve, in quanto parte del più ampio CRM, è stato sottoposto a procedure di analisi dei rischi e di valutazione d’impatto;

b) agenzie della rete di vendita di Enel Energia

la Società ha fornito, con documentazione inviata successivamente all’ispezione e pervenuta all’Ufficio il 31 gennaio 2023 (protocollo n. 15928/173067) l’elenco di 210 agenzie cui sono state assegnate complessive 1288 credenziali di autenticazione per l’accesso ai sistemi aziendali. Le predette agenzie, tra il 2020 e il 2022, hanno caricato complessivamente tramite la piattaforma N.Eve 2.653.388 contratti;

c) modalità di attribuzione alle Agenzie delle credenziali per l’accesso ai sistemi

il conferimento delle credenziali alle agenzie avviene in due passaggi, nel rispetto di una apposita policy aziendale. Vi è un primo accreditamento del rappresentante legale dell’agenzia da parte del “channel manager territoriale” di Enel Energia, il quale fornisce al primo le credenziali per accedere all’Hub Access Management. Da qui, il rappresentante legale potrà poi inserire, per sottoporli ad una serie di verifiche, i nominativi dei singoli agenti e degli operatori di back-office (gli addetti al data-entry), al fine di ottenere le credenziali di accesso che verranno attivate dal sistema aziendale IMAC (Identity Management Access Control). Le credenziali degli agenti che operano tramite app Enel sono associate ad una autenticazione a 2 fattori tramite Microsoft Authenticator; in caso di contratto cartaceo, l’operatore che poi effettua il data-entry si autentica tramite MFA (Multi factor Authentication);

d) misure di sicurezza e monitoraggio correlate all’attività delle Agenzie

a partire dal giugno 2021, la Società ha adottato un sistema di verifica delle modalità di accesso ai sistemi aziendali, che prevede l’acquisizione dei log di accesso e anche sistema di alert in caso di eventi anomali (accessi notturni, accessi da posizioni geografiche diverse, accessi multipli). Il sistema si chiama SEOL (Security eye on log) ma non è stato applicato a N.Eve nel senso che, pur essendo prevista la registrazione dei log di accesso al sistema (che sono conservati per 18 mesi), tale registrazione non prevede procedure di alert “sugli accessi da posizione geografiche diverse e sugli accessi multipli” in ragione, a giudizio della società, del non elevato livello di rischio di N.Eve, della riscontrata difficoltà nel geolocalizzare con precisione gli indirizzi IP, nonché dell’eccessivo numero di falsi positivi (con riguardo agli accessi multipli) a causa di “un elevato utilizzo dei dispositivi mobili”. La Società ha precisato che “allo stato non sono previste procedure che impediscano possibili accessi contemporanei con la medesima credenziale su N.Eve, giacché la procedura per l’accesso prevede il doppio fattore di autenticazione. Allo stesso modo il sistema non prevede sbarramenti connessi ad una selezione degli indirizzi IP dai quali si procede con i tentativi di accesso”.

Per illustrare in concreto le modalità di utilizzo del sistema SEOL, Enel Energia, con la documentazione pervenuta il 31 gennaio 2023, ha fornito le evidenze degli accessi al CRM tramite il sistema N.Eve (login effettuati con successo e login falliti) da parte degli identificativi riferiti alla giornata del 12 dicembre 2022, riconducibili alle agenzie XX (1 utenza, complessivi 26 tentativi di accesso), XX (2 utenze, 320 tentativi di accesso), XX (2 utenze, 3 tentativi di accesso) e XX (2 utenze, 12 tentativi di accesso), estratti dalla dashboard di SEOL.

La Società ha anche inviato un report esemplificativo delle attività di caricamento svolte dalle agenzie estratto dal sistema N.Eve, nel quale è riportato, per alcune giornate prese a campione, l’elenco dei contratti cartacei inseriti dalle agenzie XX, XX, XX e XX).

Le risultanze delle estrazioni di cui sopra, in assenza di puntuali elementi esplicativi forniti dalla Società, sono state analizzate, unitamente alla restante documentazione istruttoria, dall’articolazione tecnologica dell’Autorità che, in data 22 marzo 2023, ha redatto una relazione integralmente allegata all’atto di avvio del procedimento n. 108535/173067;

e) verifica della presenza dei contratti acquisiti dalle società veronesi e transitati per le società fiorentine

nel corso delle attività ispettive presso Enel Energia sono stati consegnati ai responsabili della Società gli elenchi relativi ai contratti frutto dell’illecita attività di marketing svolta dalle società veronesi, poi transitati per le due società fiorentine al fine del caricamento nei sistemi Enel Energia. Il personale addetto all’ispezione ha fatto richiesta di conoscere, per ognuno dei contratti in questione, se lo stesso fosse presente nei sistemi aziendali e, in caso positivo, la ragione sociale dell’agenzia che aveva provveduto al caricamento, lo stato di attivazione della fornitura e la tipologia di commodity (energia elettrica o gas). La Società ha dato riscontro alla richiesta inviando un elenco, ricevuto dall’Autorità, come già indicato sopra, il 31 gennaio 2023, nel quale sono presenti 595 identificativi di contratti sui 654 rinvenuti presso le società veronesi e fiorentine.

Deve evidenziarsi tuttavia che tale cifra tiene conto dell’accorpamento dei contratti nei casi il medesimo identificativo sia riferibile, per ciascun cliente, sia alla fornitura del gas che dell’energia elettrica. In realtà, la tabella fornita da Enel Energia si compone di 978 contratti, 573 dei quali relativi alla fornitura di energia elettrica e 405 alla fornitura di gas. Di questi 978 contratti, 874 risultano regolarmente attivati e 104 annullati. Dai sistemi risulta che tali contratti sono stati caricati dalle agenzie XX (433 contratti),XX (164), XX (150) e XX. (231). Con riferimento a quest’ultima agenzia, Enel Energia ha rappresentato di “aver ripetutamente applicato penali per inadempimenti contrattuali riscontrati in sede di controllo. Il rapporto contrattuale con XX è cessato a far data dal 26 febbraio 2021”.

Nel corso dell’attività ispettiva, inoltre, è stato effettuato l’accesso al CRM della società per verificare alcuni contratti cartacei su modulistica Enel Energia, acquisiti presso le società veronesi. Sono stati rinvenuti e visualizzati 5 degli 8 contratti richiesti, stipulati da XX (3 contratti) ed XX. (2 contratti). In tutti questi casi è stata visualizzata la copia scansionata acquisita al CRM, copia che, tuttavia, presenta più di una difformità con la copia originariamente acquisita dall’Autorità.

I moduli cartacei originali dei contratti stipulati dalle agenzie vengono inviati all’azienda XX per la digitalizzazione, archiviazione e il successivo abbinamento all’anagrafica del cliente.

Per completezza va rappresentato che, in esecuzione del richiamato provvedimento n. 184 del 13 aprile 2023 nei confronti delle società veronesi e fiorentine, nei giorni 6 e 7 giugno 2023 si è proceduto alla confisca dei database e delle liste anagrafiche utilizzate per le illecite attività di marketing accertate;

f) ulteriori accertamenti sui contratti rinvenuti presso le società veronesi

l’elenco di contratti acquisiti dalle società veronesi, transitati per le società toscane e poi nel CRM di Enel Energia è stato esibito alla compagnia energetica XX nel corso di attività ispettive svolte il 17-19 aprile 2023 nei confronti di quest’ultima proprio al fine di completare l’intero quadro istruttorio riferito all’originaria attività della Guardia di Finanza, da cui deriva l’odierno procedimento. In quel contesto è stato possibile accertare (riscontro alle richieste dei verbalizzanti pervenuto il 23 maggio 2023 – protocollo n. 81559/173067) come 264 utenti presenti negli elenchi provenissero dalla clientela di XX; di questi, la quasi totalità (244) è rappresentata da clienti che in passato XX aveva acquisito tramite una delle società veronesi, peraltro affiliata alla sua rete di vendita ufficiale. Oltre a ciò, dai riscontri di XX si evince che negli elenchi esibiti nel corso dell’ispezione sono presenti ulteriori 231 soggetti per i quali manca una specifica indicazione del codice fiscale e dei numeri di POD/PDR: in base quindi ai soli nominativi, tali 231 soggetti sarebbero stati clienti di XX di cui 225 acquisiti da una delle società veronesi, nello specifico quella inserita nella rete di vendita ufficiale della compagnia energetica. Il totale complessivo degli ex clienti XX poi confluiti in Enel Energia attraverso le illecite attività promozionali delle società veronesi e le attività di data-entry, parimenti illecite, delle società fiorentine, ammonterebbe a circa 469 nominativi, rispetto ai 654 presenti (pari al 71,7% del totale) negli elenchi acquisiti nel corso delle operazioni ispettive della Guardia di finanza.

1.3. Contestazione delle violazioni

L’Ufficio, all’esito dell’istruttoria, ha adottato il sopra richiamato atto di contestazione n. 108535/173067 nel quale, in estrema sintesi, ha osservato che:

con riferimento alle modalità di accesso alla piattaforma N.Eve da parte delle Agenzie della rete di vendita Enel Energia ha introdotto un doppio livello di autenticazione in grado di ridurre il rischio connesso al furto di credenziali nonché a diversi tipi di attacchi informatici, fra cui gli attacchi c.d. brute force o credential stuffing, che tuttavia non riduce il rischio di condivisione delle credenziali fra più utenti che le utilizzano anche contemporaneamente. L’utilizzo condiviso delle credenziali, che appare confermato da numerose informazioni ricavabili dai report inviati da Enel Energia in riscontro alle richieste di informazioni dell’Autorità, è reso possibile proprio da un sistema di autenticazione che non esclude la possibilità di accessi multipli e contemporanei con le medesime credenziali ed è idoneo a consentire a più soggetti, anche esterni alla rete di vendita ufficiale di Enel Energia e, dunque, sottratti ai vincoli che la stessa impone contrattualmente anche in relazione al rispetto della normativa di data protection, di caricare proposte contrattuali su N.Eve, realizzando lo sbocco commerciale o la porta di ingresso delle molteplici attività illecite del cd. “sottobosco del telemarketing”, così come evidenzia il dato, oggettivo e incontrovertibile, delle numerose proposte di contratto procurate dal sodalizio illecito di cui al provvedimento del 14 aprile 2023, proposte di contratto rinvenute poi nei sistemi di Enel Energia;

con riferimento alla adozione di misure atte a prevenire, fin dalla raccolta dei dati, possibili trattamenti illeciti, la Società, pur disponendo di diversi sistemi di verifica della compliance e pur raccogliendo i log degli accessi delle agenzie della propria rete di vendita, non ha mai utilizzato effettivamente ed efficacemente gli strumenti a sua disposizione per verificare il corretto utilizzo dei sistemi e prevenire pratiche scorrette da parte di proprie agenzie contrattualizzate così come da soggetti terzi. In altre parole, come dimostrano le risultanze istruttorie, Enel Energia disporrebbe in teoria già di tutti i dati che le consentirebbero di contrastare il fenomeno del c.d. “sottobosco”, ma non li utilizza in maniera efficace, non avendo approntato le misure organizzative e tecniche volte a decifrare criticamente tali dati né in senso orizzontale (quantità di proposte contrattuale inserite da ciascuna agenzia della rete di vendita ufficiale), né in senso verticale (quantità di proposte contrattuali inserite da ciascun agente e modalità di tali inserimento), al fine dell’individuazione di possibili pratiche scorrette. L’intero sistema di rendicontazione e controllo è infatti stato strutturato con la preminente (se non esclusiva) finalità di verificare la validità contrattuale con riferimento alle utenze e la “produttività” rispetto alle agenzie partner. A riprova di ciò la stessa società ha affermato che l’attività di monitoraggio dei log, pur essendo prevista anche per l’interfaccia N.Eve, non viene effettuata mediante alert sugli accessi da posizione geografiche diverse e sugli accessi multipli. Nel primo caso la funzione è stata disattivata in ragione di un’asserita difficoltà a geolocalizzare con precisione gli indirizzi IP, nel secondo caso la funzione è stata disattivata perché generava un eccessivo numero di falsi positivi, a causa di un elevato utilizzo dei dispositivi mobili.

L’assenza di efficaci misure di sicurezza e la volontaria disattivazione dei controlli sin qui descritti, è ciò che ha reso possibile il verificarsi di quanto accertato nei confronti delle società veronesi e fiorentine, le quali non si sono limitate a riversare nei sistemi di Enel Energia i 978 contratti, relativi a 595 utenti, di cui vi è sicura traccia documentale essendo stati tutti verificati dalla stessa Enel Energia ma, stando all’esame del materiale confiscato in esecuzione del provvedimento n. 184/2023, avrebbero introdotto nei sistemi di Enel Energia, dal 2015 al 2022, circa 9300 contratti di cui ben 1640 nei soli dieci mesi del 2022 antecedenti l’ispezione presso la compagnia energetica. Tutto ciò senza che nessuna delle quattro società fosse ufficialmente inserita nel circuito della rete di vendita di Enel Energia;

con riferimento alle modalità di designazione delle agenzie quali responsabili del trattamento e della possibilità accordata alle medesime di avvalersi di sub-agenzie, è necessario ribadire che un corretto sistema di distribuzione delle responsabilità non può prescindere da un capillare controllo, normativamente previsto, che il titolare deve porre in essere nei confronti dei responsabili del trattamento, ed eventualmente anche nei confronti dei sub-responsabili, controllo che, come evidenziano gli esiti dell’istruttoria, non è stato mai concretamente realizzato nei confronti delle agenzie che hanno consentito l’inserimento dei contratti indebitamente acquisiti dalle società di cui al provvedimento n. 184/2023. Si rileva inoltre come gli obblighi e i vincoli che legano il responsabile del trattamento al proprio titolare hanno effetto, ex lege, anche sugli ulteriori rapporti tra il responsabile del trattamento ed eventuali sub-responsabili. Sicché, , i rapporti tra agenzie e sub-responsabili non possono essere disciplinati prescindendo da questa “catena di responsabilità” che dal subagente risale fino al titolare, della quale occorre tenere conto al momento della formalizzazione dei rapporti tra tali soggetti.

Sulla base delle considerazioni qui sommariamente richiamate l’Ufficio, ha notificato a Enel Energia le seguenti presunte violazioni:

a) artt. 5, par. 1, lett. f), e 32 del Regolamento, per aver omesso di realizzare un’adeguata valutazione dei rischi connessi all’interfaccia N.Eve e, conseguentemente, per aver omesso di adottare, nei confronti della rete di agenti ufficiali, le misure adeguate a garantire un corretto utilizzo delle credenziali di accesso al sistema aziendale e ad evitare la condivisione delle credenziali stesse fra più soggetti, consentendo così l’introduzione nel sistema informativo e contrattuale di Enel Energia di proposte di contratto acquisite da soggetti non autorizzati al trattamento dei dati personali e all’accesso nei sistemi della Società;

b) artt. 5, par. 2, 24, par. 1 e 25 del Regolamento per aver violato i doveri di accountability e di privacy by design laddove non ha posto in essere  una efficace azione di contrasto all’operato scorretto di alcune agenzie, consentendo loro così di agire al fine di procacciare contratti a Enel Energia, , e per non aver esercitato, in maniera piena e consapevole, le proprie attribuzioni e il proprio potere di controllo attraverso elementi di prevenzione, funzionalità, sicurezza dei sistemi nonché attraverso la trasparenza del trattamento e la centralità dell’interessato;

c) art. 28 del Regolamento per, da un lato, aver stipulato dei contratti con le proprie agenzie che prevedono in maniera formalistica una ripartizione di responsabilità non rispondente alla concreta articolazione della filiera del trattamento e carente sotto il profilo degli obblighi di controllo in capo al titolare del trattamento e, dall’altro, per non aver stipulato o curato che fossero stipulati i necessari atti giuridici con quei soggetti, asseritamente non conosciuti, ma in realtà – come dimostrato dalle risultanze istruttorie – noti ed integrati attivamente e pienamente nella filiera di vendita dei servizi della Società.

2. LE OSSERVAZIONI DEL TITOLARE

Enel Energia, con nota del 24 luglio 2023, richiamando la sussistenza di esigenze legate al “numero elevato e alla complessità delle contestazioni trattate”, ha chiesto ai sensi dell’art. 13, comma 3, del Regolamento dell’Ufficio del Garante n. 1/2019 che “il termine per la presentazione di deduzioni a difesa sia prorogato di almeno 15 giorni, e comunque fino al 28 settembre 2023”. L’Ufficio ha accordato tale proroga: la Società ha quindi esercitato il proprio diritto ad essere ascoltata presentando una memoria il 28 settembre 2023 e partecipando all’audizione presso l’Autorità in data 4 ottobre 2023.

Nella memoria, che qui si intende integralmente richiamata, Enel Energia ha osservato quanto di seguito sinteticamente si riporta:

a) violazione dei termini del procedimento – in considerazione del fatto che l’Autorità ha svolto le attività ispettive nei confronti di Enel Energia nei giorni 24 e 25 novembre 2022 e che la Società ha inviato l’ulteriore documentazione integrativa in data 16 dicembre 2022, il termine di 120 giorni dall´accertamento della violazione per l’avvio del procedimento, previsto dal regolamento n. 2/2019 dell’Ufficio del Garante,  sarebbe decorso il 15 aprile 2023, mentre l’atto di avvio n.108535/173067 è stato notificato il 14 luglio 2023. A tale riguardo Enel Energia richiama la natura perentoria del termine preso in esame e la circostanza che la relazione tecnica dell’articolazione tecnologica dell’Autorità, depositata in atti il 22 marzo 2023, sarebbe “un atto interno di compilazione delle risultanze già raccolte che non sposta alcunché”;

b) lesione del diritto di difesa, lesione del legittimo affidamento e del dovere di concentrazione del procedimento amministrativo – Enel Energia richiama il precedente provvedimento adottato dal Garante nei confronti della medesima Società, n. 443 del 16 dicembre 2021 (in www.gpdp.it, doc. web n. 9735672), evidenziando poi che “i fatti alla base dell’attuale Contestazione fanno parte di un’istruttoria iniziata con l’attività della Compagnia di Soave della Guardia di Finanza a partire dal marzo 2021” quindi a conoscenza dell’Autorità prima della notifica del provvedimento n. 443. Tale conoscenza, realizzata nel settembre 2021 con la trasmissione degli atti, avrebbe dovuto indurre il Garante a sospendere il procedimento da cui è scaturito il provvedimento n. 443, ovvero archiviarlo e procedere a riformulare nuove contestazioni che tenessero conto delle indagini della Guardia di finanza. Inoltre l’Autorità avrebbe disposto le ispezioni (a Sesta Impresa, Arnia e Enel Energia) a notevole distanza l’una dall’altra “anziché avvisare immediatamente EE [Enel Energia] di quanto stava emergendo”, avrebbe “condotto l’istruttoria lasciando che EE proseguisse la propria attività confidando nella correttezza del proprio operato” cosicché Enel Energia sarebbe stata “colta di sorpresa” dalla nuova contestazione del 14 luglio 2023. Tutto ciò sarebbe contrario ai principi di buon andamento e correttezza della Pubblica Amministrazione determinando eccesso e sviamento di potere, “con conseguente annullabilità di qualsiasi provvedimento sanzionatorio”;

c) violazione del principio del ne bis in idem (litispendenza e cosa giudicata) – l’oggetto della contestazione del presente procedimento coinciderebbe con quello relativo al provvedimento n. 443 del 16 dicembre 2021, differenziandosi solo in ragione dello strumento tecnico individuato quale causa delle violazioni (nel provvedimento n. 443, il sistema di quality call; nella contestazione del 14 luglio 2023, il sistema Multi Factor Authentication – MFA). In ragione dell’identità delle contestazioni, il procedimento giudiziario che verrebbe instaurato a seguito dell’eventuale impugnazione dell’odierno provvedimento sarebbe travolto dalle norme sulla litispendenza o da quelle sul giudicato, in relazione al primo provvedimento. I due procedimenti (quello relativo al provvedimento n. 443, , e quello del tutto ipotetico relativo all’odierno provvedimento) condividerebbero le parti in causa, il petitum costituito dalla richiesta di declaratoria in ordine alla “la correttezza delle modalità di gestione del canale agenziale e del teleselling attualmente in uso presso Enel Energia”, e la causa petendi, dato che l’Autorità avrebbe contestato alla Società la stessa condotta riferibile al medesimo arco temporale. Osserva Enel Energia che “in ogni caso, la Contestazione ha ad oggetto condotte che già a dicembre 2021 erano note (quanto meno nei loro elementi essenziali) al Garante, il quale avrebbe perciò dovuto dedurle nel primo procedimento o, se ritenuto necessario, indagarle ulteriormente riaprendo l’istruttoria”;

d) parziale diniego del diritto di accesso documentale e pregiudizio al contraddittorio (istanza di differimento o esclusione documentale) – Enel Energia rileva che, nel corso dell’accesso agli atti amministrativi del 26 luglio 2023, l’Autorità non avrebbe consentito l’estrazione di copia dei documenti relativi al database della soc. coop. Arnia, oggetto di confisca nel precedente mese di giugno; sul punto la Società osserva che la consultazione del database di Arnia è fondamentale per comprendere la portata dei rapporti tra alcune agenzie contrattualizzate da Enel Energia e le quattro società veronesi e fiorentine, potendo solo così raccogliere le informazioni per valutare l’eventuale coinvolgimento di tali agenzie nel sistema del sottobosco;

e) assenza del nesso di causalità tra l’asserita mancanza di misure di sicurezza e l’asserita inadeguatezza della governance dei contatti telefonici di Enel Energia – infondatezza delle contestazioni di cui ai capi a) e b) di cui al paragrafo 1.3. del presente provvedimento – il Garante ricondurrebbe alla mancanza di una singola e specifica misura di sicurezza legata alla gestione delle credenziali della piattaforma N.Eve la causa del consolidarsi del fenomeno del telemarketing selvaggio. Ciò si baserebbe su una mera supposizione e cioè l’asserito caricamento di contratti da parte di soggetti non specificamente autorizzati da Enel Energia e sarebbe in contraddizione con gli assunti del provvedimento n. 443 del dicembre 2021, che individuerebbero come unica causa la non completezza della cd. quality call. Peraltro Enel Energia ravviserebbe elementi di contraddizione e di “approssimazione” nella conduzione dell’istruttoria da parte del Garante, giacché non solo avrebbe preso in esame un solo elemento critico per considerare inidonea l’intera organizzazione privacy della filiera del trattamento in materia di telemarketing, ma avrebbe limitato i suoi accertamenti all’arco temporale dal 2015 al 2021, escludendo pertanto dalla sua analisi le rilevanti implementazioni in materia di sicurezza adottate dalla Società dopo il 2020. Le problematiche alla base del fenomeno del telemarketing indesiderato sono da ricondursi a circostanze ben più complesse che riguardano le condotte sleali di alcuni agenti della filiera ufficiale, i poteri limitati di Enel Energia nei controlli e il ruolo delle autorità pubbliche quali Garante, forze di polizia e Autorità giudiziaria. A prescindere, in ogni caso, dalla complessità del fenomeno, al fine di considerare Enel Energia pienamente inserito nello sforzo di combattere il sottobosco del telemarketing deve essere tenuto in primaria considerazione la scelta della Società di attivare, dal 2020 un sistema di autenticazione per l’accesso ai propri sistemi di maggiore sicurezza e affidabilità rispetto ai precedenti;

f) non rimproverabilità a EE della eventuale inadeguatezza del sistema N.Eve e dei controlli sulla rete agenziale - infondatezza delle contestazioni relative agli artt. 5, par. 1 lett. f) e 32 del Regolamento; 5 par. 2, 24 e 25 del Regolamento – in ragione del fatto che le attività di telemarketing illecito accertate con il provvedimento n. 184 del 13 aprile 2023 sono state poste in essere da quattro società non contrattualizzate con Enel Energia e che le agenzie della rete di vendita ufficiale sono state rese note alla Società solo a seguito dell’accesso agli atti avvenuto il 26 luglio 2023, appare evidente che, da un lato, gli unici soggetti che hanno tratto vantaggio dalla complessiva vicenda sono quelli che hanno operato alle spalle di Enel Energia, che hanno massimizzato i vantaggi del cd. “turismo energetico” (passaggio ripetuto di clienti da una compagnia all’altra al fine di lucrare il massimo delle provvigioni in un arco temporale ristretto), fenomeno che poteva essere pienamente ricostruito solo mediante l’analisi puntuale dei database confiscati. Da un’analisi sommaria è infatti emerso che il numero di contratti acquisiti a suo favore dalle quattro agenzie (9.344) è nettamente inferiore al numero di contratti persi per passaggio del cliente ad altro fornitore (20.148). Anche sotto il profilo dell’accountability, la scelta di Enel Energia di introdurre un sistema di autenticazione più sicuro, in uno con la decisione assunta nel luglio 2023 di eliminare la possibilità di accedere contemporaneamente ai sistemi con lo stesso account da più dispositivi, costituisce piena conferma del fatto che la Società ha agito adottando tutte le misure di sicurezza richiedibili sulla base dello stato dell’arte al momento della impostazione della piattaforma e del processo di gestione della fase finale della contrattualizzazione a distanza, secondo il canone di diligenza richiesto dagli artt. 24, 25 e 32 del Regolamento.

Va inoltre considerato che, accanto al sistema di autenticazione MFA, Enel Energia ha inserito le interazioni degli operatori con la piattaforma N.Eve nelle procedure di monitoraggio previste in SEOL. In particolare, SEOL monitora i dati caricati su N.EVE e genera alert in caso di accesso al sistema al di fuori dell’orario di lavoro, scarico massivo di dati, ricerche che generano liste massive di dati dei clienti, utilizzo di automi non autorizzati. A ciò deve aggiungersi che le procedure adottate dalla Società per la verifica dei contratti (analisi delle medie mensili per singolo agente, monitoraggio degli agenti improduttivi, analisi di fattibilità delle singole offerte, verifica della riconducibilità dei kit per la vendita all’agente al quale erano stati originariamente assegnati, analisi dei tempi di caricamento dei contratti, analisi sui POD per verificare la sussistenza di episodi di “turismo energetico”) non si riducono a mero controllo della produttività ma costituiscono un avanzato sistema di monitoraggio dell’attività delle Agenzie volto a misurare la qualità dei servizi allineando l’attività di tutti i partner a standard di eccellenza e prevenendo così possibili malpractice. Enel Energia aggiunge poi che l’introduzione e il successivo rafforzamento, da maggio 2023, del Portale Qualità (con l’analisi della quantità delle offerte annullate dai clienti e il tasso di recesso immediatamente successivo alla sottoscrizione dell’offerta) consente di individuare con maggiore precisione eventuali comportamenti anomali delle agenzie. Conclude Enel Energia che da tali controlli “ad oggi non sono state rilevate anomalie. Tuttavia, Enel Energia sta valutando un incremento dei controlli sulla gestione dei contratti cartacei, che effettuata anche avvalendosi di fornitori esterni”.

Alle considerazioni sopra riportate Enel Energia ne ha affiancate ulteriori che riguardano la buona fede e la correttezza della Società, con le quali si evidenzia che da luglio 2023 la piattaforma N.Eve è stata impostata in modo tale che per ogni account di agenzia possa accedere un solo dispositivo alla volta. È stato, dunque, introdotto un automatismo per cui, qualora durante una sessione di lavoro un secondo dispositivo tentasse di collegarsi con le stesse credenziali, il sistema ne bloccherebbe l’accesso. Parallelamente, a partire da aprile 2023, nell’ambito di SEOL la Società ha sviluppato e installato un sistema di monitoraggio per controllare i tentativi di accessi multipli al fine di rilevare comportamenti sospetti nelle attività di caricamento dei contratti da parte sia delle agenzie sia degli esercizi commerciali gestiti direttamente da Enel Energia. La Società, inoltre, ha rappresentato di essersi attivata per chiedere informazioni alle proprie agenzie sulla vicenda di cui all’ispezione del novembre 2022, con lettere del febbraio 2023, e di aver cautelativamente sospeso i rapporti contrattuali con tali agenzie fra giugno e agosto 2023. Enel Energia ha sottolineato che nel corso delle attività ispettive di cui sopra ha reso noto al Garante di aver istituito una sorta di black-list delle agenzie e che tale circostanza è stata utilizzata nell’atto di avvio del procedimento non per tenere conto della buona fede e della collaborazione della Società ma, al contrario per evidenziare la irrilevanza delle sue iniziative;

g) infondatezza della contestazione sulla violazione dell’art. 28 del Regolamento – la clausola contrattuale dell’accordo standard con le agenzie in base alla quale “gli eventuali dipendenti, subagenti, ausiliari e collaboratori di cui si avvale l’Agenzia, sono sotto la sua esclusiva responsabilità e pertanto risponderanno direttamente all’Agenzia medesima, con totale estraneità della Preponente” non viola le disposizioni di cui all’art. 28 del Regolamento poiché prevede che il titolare del trattamento possa dare al responsabile la possibilità (anche generale) di rivolgersi a sub-responsabili e nella catena delle responsabilità sia sempre il responsabile a rispondere nei confronti del titolare per l’eventuale attività illecita dei sub-responsabili: “Enel Energia, lungi dal volersi sottrarre alla propria responsabilità, ha imposto ai propri responsabili l’adozione di clausole specifiche anche nei contratti con i sub-responsabili e ha altresì imposto ai responsabili di mettere a disposizione tutte le informazioni utili e a rendersi disponibili ad ispezioni”.

Enel Energia ha infine richiamato l’attenzione su come sia contrario alle regole in materia di concorso di norme, sancito in termini generali per dall’art. 9 della legge n. 689/1981 nonché dall’art. 83 del Regolamento, ritenere che uno stesso fatto possa essere sanzionato per la violazione di norme poste in realtà a tutela del medesimo bene giuridico e di cui l’una sia speciale rispetto all’altra. Ciò partendo dalla considerazione che le norme che si assumono violate nell’atto di avvio del procedimento n. 108535/173067 siano espressione del medesimo obbligo generale di correttezza del trattamento secondo quanto prevedibile al momento della progettazione del trattamento.

Nel corso dell’audizione svolta presso l’Autorità il 4 ottobre 2023, Enel Energia ha richiamato quanto osservato nella memoria e ha ulteriormente specificato con riferimento alle funzioni di monitoraggio introdotte in SEOL, che le stesse restituiscono un alert quando gli operatori di tutti i canali fisici, comprese le agenzie, effettuano almeno dieci accessi giornalieri ai sistemi di Enel Energia. Al superamento di un'ulteriore soglia, pari a 50 accessi giornalieri, sono previsti controlli analitici (analisi degli indirizzi IP e del browser utilizzato per il transito dati) da parte delle competenti funzioni di Enel Energia in relazione all'attività dei singoli operatori. Tali controlli, svolti dall’aprile 2023 nei confronti di tutte le agenzie operanti per Enel, ivi comprese quelle che avevano caricato i circa 500 contratti forniti dall'Autorità, non hanno rilevato anomalie, nel senso che gli accessi multipli sono risultati riconducibili al medesimo indirizzo IP e quindi, probabilmente, alla stessa persona.

Quanto alle verifiche post-ispezione del novembre 2022 Enel Energia ha rappresentato che il punto di partenza dei circa 500 contratti ha consentito di inviare una richiesta di chiarimenti alle varie agenzie coinvolte, le quali hanno comunicato i nominativi degli agenti che avevano acquisito i contratti consegnati poi agli operatori di back-office per il successivo data-entry. Tutti i contratti sono risultati caricati da operatori di back-office delle Agenzie, muniti di autonome credenziali, e non dagli agenti tramite le proprie. Gli agenti erano tutti regolarmente designati dalle rispettive agenzie, al momento del caricamento dei contratti. Tuttavia gli stessi sono risultati, in fase di riscontro alle richieste del Garante del novembre 2022, già tutti revocati dalle agenzie medesime. Solo a seguito dell'accesso agli atti effettuato il 26 luglio 2023 la Società ha potuto apprendere che alcuni di questi agenti avevano ricoperto diversi ruoli in Sesta Impresa (nello specifico i sigg. XX, XX e XX). I fatti emersi dai documenti acquisiti in sede di accesso agli atti e le analisi effettuate successivamente sono condensati in una denuncia all'A.G. in corso di predisposizione.  La Società ha quindi fatto pervenire, in data 13 ottobre 2023, l'elenco degli agenti di cui sopra.

3. VALUTAZIONI DELL’AUTORITÀ

Nonostante le argomentazioni della Società si siano concentrate in massima parte (70 punti su complessivi 129) su aspetti di legittimità formale dell’istruttoria anziché sulla sostanza degli addebiti, l’Autorità ritiene necessario invertire tale ordine di esposizione concentrando in primo luogo l’attenzione non già sulle ricadute formali dell’indagine del Garante ma su quelle, ben più gravi e sostanziali, che possono derivare da un’inidonea configurazione delle misure di sicurezza a salvaguardia del patrimonio informativo di Enel Energia e dei suoi clienti.

L’esame delle considerazioni espresse da Enel Energia nella memoria difensiva e nel corso dell’audizione, infatti, porta a ritenere le medesime non idonee ad escludere o mitigare le responsabilità della Società in ordine alle violazioni contestate, per le ragioni che qui analiticamente si espongono.

Partendo quindi dagli aspetti di merito, giova sottolineare, prima di qualunque considerazione in ordine a quanto esposto da Enel Energia nell’ambito dell’esercizio del diritto ad essere ascoltata, che la Società non ha saputo fornire una propria versione, dirimente, in ordine al fatto principale, accertato e documentato, da cui trae origine l’intero procedimento, e cioè che una lista di 595 utenti del mercato dell’energia e del gas, ai quali sono riconducibili 978 contratti, rinvenuta presso due società veronesi non contrattualizzate con Enel Energia, risulta essere successivamente transitata per due società toscane che hanno ammesso di aver effettuato operazioni di data-entry dei predetti contratti accedendo al portale di Enel Energia senza disporre di credenziali di autenticazione proprie, e quei contratti sono stati rinvenuti nella quasi totalità all’interno dei sistemi di Enel Energia.

Parimenti, nessuna spiegazione è stata fornita in ordine alla circostanza, anch’essa pacifica poiché verificata da Enel Energia in sede di accesso agli atti del 26 luglio 2023, che dal 2015 al 2022 la soc. cooperativa Arnia, mai contrattualizzata dalla Società ma addirittura oggetto di una specifica diffida per uso illegittimo del marchio Enel, abbia potuto garantire il caricamento di circa 9300 contratti in favore della predetta compagnia energetica per circa 8 anni di attività.

Al riguardo, è giusto rappresentare che l’istruttoria dell’Autorità, partendo da un episodio venuto casualmente all’attenzione della Guardia di finanza (gli accertamenti su alcune persone che circolavano per le strade cercando di introdursi nelle abitazioni nonostante i divieti connessi all’emergenza pandemica all’epoca drammaticamente in atto), è stata complessa e di difficile realizzazione perché ha dovuto ricostruire il percorso dei contratti illecitamente acquisiti dalle società veronesi partendo dal singolo agente abusivo, per arrivare ai sistemi di Enel Energia che li hanno recepiti.

Pertanto, ciò che è stato oggetto di indagine da parte del Garante è stato un intreccio di relazioni e di pratiche scorrette che Enel Energia, dal suo interno e con mezzi più penetranti in ragione dei vincoli contrattuali delle rete di vendita e delle possibilità di disporre di risorse rilevanti per il controllo dei propri partner e dei propri sistemi, avrebbe potuto agevolmente portare alla luce anche in considerazione dell’esperienza ormai acquisita dalla quasi totalità delle grandi compagnie energetiche e telefoniche (che non a caso hanno portato a termine, insieme alle associazioni di categoria, la difficile opera di un Codice di condotta in materia) che il fenomeno del telemarketing selvaggio ha prodotto e che si eradica innalzando la qualità di procedure, controlli e misure di sicurezza in misura congrua rispetto alla pressione che il c.d. sottobosco esercita sulle filiere ufficiali e che in Italia risulta essere straordinariamente rilevante.

Alla luce di tali considerazioni, il fatto che, ancora oggi, Enel Energia non abbia saputo dare risposte e soluzioni puntuali rispetto ad un episodio tanto grave quanto significativo, denota un approccio ancora non consapevole, né tantomeno responsabile rispetto alla complessità del problema, laddove l’esigenza manifestata da Enel di ottenere anche in sede giudiziale una “declaratoria in ordine alla correttezza delle modalità di gestione del canale agenziale e del teleselling attualmente in uso presso Enel Energia” appare prevalente per la stessa rispetto a quella di intercettare e contrastare attività scorrette che sono state riscontrate in tutta la loro oggettività dalla presenza, all’interno dei sistemi della Società, di contratti acquisiti illecitamente (sul punto si vedano i provvedimenti del Garante in materia di telemarketing divenuti irrevocabili, più avanti richiamati).

Quanto alle osservazioni espresse da Enel Energia nella memoria del 28 settembre 2023, nel merito, in primo luogo, la società evidenzia l’assenza del nesso di causalità tra la mancanza di misure di sicurezza e l’inadeguatezza della governance dei contatti telefonici, da cui deriverebbe l’infondatezza delle contestazioni di cui ai capi a) e b) di cui al paragrafo 1.3. del presente provvedimento.

Al riguardo si deve osservare che la contestazione di cui al capo a) riguarda la mancata valutazione da parte di Enel Energia dei rischi connessi all’utilizzo della piattaforma N.Eve e, nello specifico, all’omessa adozione di misure di sicurezza idonee a scongiurare un indebito utilizzo delle credenziali di autenticazione alla predetta piattaforma. Sul punto si deve ribadire che la presenza nel proprio CRM di contratti che non dovevano esserci e il caricamento dei medesimi da parte di soggetti non autorizzati non rappresenta, contrariamente a quanto osserva la Società, una mera “teoria”, ma un fatto riscontrato dalle dichiarazioni del titolare e dei dipendenti della soc. cooperativa Arnia (“Sia il titolare della cooperativa che la coordinatrice delle attività di data-entry confermavano di aver operato l’inserimento dei contratti provenienti da Mas s.r.l., poi entrati nella disponibilità di Sesta Impresa, accedendo al sistema di Enel Energia, del quale fornivano anche l’esatta denominazione” – provvedimento n. 184 del 13 aprile 2023), nonché dagli esiti dell’attività ispettiva presso Enel Energia, dai quali è emerso che 595 clienti, ai quali potevano ricondursi 978 contratti per la fornitura di energia elettrica e di gas, presenti nelle liste delle società veronesi erano confluiti nel CRM della Società. A tali elementi deve aggiungersi la circostanza, accertata a seguito dell’esame di quanto confiscato alle società veronesi e fiorentine, che la soc. coop. Arnia avrebbe effettuato i caricamenti nei sistemi di Enel Energia con carattere di regolarità dall’anno 2015 fino alla fine del 2022, inserendo complessivi 9380 contratti di cui 1640 nell’anno 2022, 1490 nel 2021 e 1660 nel 2020 (anni di piena operatività del nuovo sistema di autenticazione).

I tre elementi sopra richiamati (testimonianze presso Arnia, riscontri nei sistemi di Enel Energia e ulteriore verifica dall’esame del materiale sottoposto a confisca) forniscono l’evidenza di una pratica considerata dalle agenzie del sottobosco come del tutto ordinaria e di agevole realizzazione, se si considera peraltro che la stessa è stata posta in essere da normali operatori di data-entry e non certo da sofisticati cyber¬-criminali, dal che deve ricavarsi, ictu oculi, un giudizio di significativa vulnerabilità delle misure di sicurezza e dei sistemi di monitoraggio e controllo posti a presidio del patrimonio informativo della Società e della clientela.

Per completezza di istruttoria, anche a beneficio del Titolare, l’Ufficio, con gli approfondimenti condotti nella relazione tecnica del 22 marzo 2023, ha comunque analizzato le risultanze delle estrazioni dai sistemi aziendali fornite da Enel Energia, dalle quali è risultato che “l’utilizzo della MFA tramite Microsoft Authenticator non comporta, di per sé, l’impossibilità che più soggetti, anche non noti alla Società, condividano le medesime credenziali consegnate ad un agente. Infatti Authenticator consente di collegare ad un account più dispositivi di verifica, senza disconnettere i precedenti dispositivi. Come indicato dalla stessa Microsoft nelle FAQ sull’uso di Authenticator “L'aggiunta di Authenticator al nuovo dispositivo non rimuove automaticamente l'app dal vecchio dispositivo. Anche eliminare l'app dal vecchio dispositivo non è sufficiente. È necessario eliminare l'app dal vecchio dispositivo e indicare a Microsoft o all'organizzazione di dimenticare e annullare la registrazione del vecchio dispositivo”.

Sul punto, la relazione tecnica significativamente conclude che il rischio di operazioni non autorizzate può essere scongiurato o ridotto “impedendo, ex ante, accessi multipli da parte di una medesima utenza terminando la sessione utente qualora se ne istauri un’altra con le medesime credenziali o negando l’instaurazione della nuova sessione”, misura che risulta sia stata poi effettivamente implementata da Enel Energia (nel luglio 2023) e della quale deve tenersi conto.

Al contrario, appare inefficace la misura introdotta nell’aprile 2023 che prevede soglie di alert dai non precisati effetti in caso di superamento di 10 o 50 accessi giornalieri da parte della medesima utenza.

Quanto ai possibili controlli ex-post, con la relazione tecnica, oltre ad osservarsi che, dai dati sugli accessi e sui caricamenti estratti dai sistemi aziendali, “gli operatori di alcune agenzie sono in grado di inserire contratti nel sistema N.Eve con un ritmo assolutamente ragguardevole (fino a 10 contratti l’ora per il 2021 e fino a 6 contratti l’ora per il 2022, per ogni ora di ogni giorno di lavoro, senza soste)” e che “in alcuni casi, bastano poche decine di secondi ad un operatore per inserire tutti i dati di una proposta contrattuale (si veda ad esempio l’operatore XX o l’operatore XX di XX o l’operatore XX di XX)”, si è altresì avuto modo di rilevare che dai log di accesso “risultano infatti tracciate numerose e ravvicinate operazioni di login (ad esempio per un operatore di XX alle ore 11:59:33, alle ore 12:00:53, alle ore 12:29:10, alle ore 12:31:30 del 12/12/2022) senza che vi sia associata alcuna operazione di logout, sebbene entrambe le operazioni siano tracciate nei log di N.Eve”. La circostanza appare significativa poiché multiple operazioni di log-in, senza che a ciascuna di esse consegua una correlata operazione di log-out, risultano evidentemente riconducibili ad accessi contemporanei da più postazioni. Tali operazioni “sospette” potevano essere agilmente monitorate da Enel Energia attraverso verifiche selettive di specifiche agenzie se si considera che talune di esse, rispetto alle tempistiche di caricamento medio di tutta la rete di vendita della Società, presentano medie superiori di 11, 12 e anche 14 volte.

Se è vero che una prova certa del caricamento di contratti nei sistemi di Enel Energia da parte di soggetti non autorizzati si potrebbe ottenere solo sorprendendo l’operatore interessato nella flagranza della condotta illecita (ipotesi tuttavia meramente scolastica), i riscontri raccolti dall’Autorità e sopra richiamati, in uno con la scelta della Società, rappresentata nel corso dell’attività ispettiva, di depotenziare le funzioni di monitoraggio della piattaforma N.Eve, in ragione della rischiosità della stessa, ritenuta di modesta entità, sono idonei a costituire piena dimostrazione della ipotesi di violazione formulata al capo a) dell’atto di avvio del procedimento: in altre parole, le scelte di Enel Energia connesse alla valutazione di modesta rischiosità del sistema N.Eve e delle procedure di caricamento dei contratti acquisiti mediante attività di marketing esternalizzate, sono state assunte nonostante il fenomeno del marketing selvaggio sia operato da un vasto e ramificato mondo sommerso di agenti e procacciatori d’affari che operano anche creando intollerabili indotti di illegalità, come documentato nel provvedimento n. 184 del 13 aprile 2023 e nonostante la rete di vendita della Società sia composta da ben 210 agenzie e 1288 account idonei ad accedere ai sistemi aziendali. Il risultato di tale scelta è rappresentato dalla macroscopica attività in violazione delle disposizioni del Regolamento, del Codice e delle leggi nazionali compiuta dalle 4 società veronesi e fiorentine, che è stata agevolmente e per lungo tempo veicolata all’interno dei sistemi di Enel Energia senza che la Società ne percepisse la benché minima avvisaglia.

Per tali ragioni deve ritenersi pienamente confermata l’ipotesi di violazione di cui al capo a), richiamata nel paragrafo 1.3 del presente provvedimento, per aver Enel Energia omesso un’adeguata valutazione dei rischi connessi all’interfaccia N.Eve e, conseguentemente, per aver omesso di adottare, nei confronti della rete di agenti ufficiali, le misure adeguate a garantire un corretto utilizzo delle credenziali di accesso al sistema aziendale e ad evitare la condivisione delle credenziali stesse fra più soggetti.

Quanto alla seconda contestazione, di cui al capo b) della rubrica, è stato osservato da Enel Energia che non può essere riconosciuta la responsabilità della Società poiché, in primo luogo, le condotte illecite sarebbero state poste in essere da soggetti esterni, non ricompresi nella rete di vendita ufficiale della compagnia energetica, per forza di cose sottratti al regime di controlli della medesima e, in secondo luogo, perché la Società avrebbe in ogni caso predisposto un sistema di verifiche, attraverso MFA, le procedure SEOL e l’analisi dei contratti, che risponde alle esigenze individuate dagli artt. 24 e 25 del Regolamento in tema di responsabilizzazione del titolare e di privacy by design.

Al riguardo si deve ribadire quanto puntualmente evidenziato nell’atto di avvio del procedimento n. 108535/173067 e cioè che le carenze riscontrate nei sistemi di Enel Energia si riflettono nella predisposizione degli strumenti di pianificazione e conoscenza dei processi volti a realizzare trattamenti di dati personali in seno all’azienda.

Enel Energia, azienda di primaria rilevanza nell’economia italiana, dispone di mezzi e organizzazione tali da poter instaurare, in ogni processo produttivo un circuito virtuoso che assurga a paradigma delle migliori prassi adottabili. Come osservato anche in passato, la storia, la struttura e la dimensione organizzativa di Enel Energia ben avrebbero consentito a questa società, leader nel mercato energetico italiano e da sempre al centro della vita economico-produttiva del Paese, addirittura come storico protagonista del processo di unificazione del sistema elettrico nazionale, prima, e di quello di privatizzazione e liberalizzazione, poi (come efficacemente si legge sul sito enel.com dove si parla di “passaggio di Enel da utility statale a operatore integrato multinazionale, quotato in borsa.” cfr. https://www.enel.com/it/azienda/storie/articles/2022/09/nuova-dimensione-internazionale), di approntare con la dovuta diligenza misure organizzative all’avanguardia nella tutela degli interessati, nonché appropriati ed efficaci strumenti di controllo sull’intera filiera coinvolta nel trattamento dei dati personali. La Società, anche in ragione della propria importante storia, dispone di un numero assai elevato dei dati personali della popolazione residente e, dall’altro, di un know-how in tema di trattamento di tali dati anche con riguardo alle attività promozionali dei propri servizi, nell’ambito delle quali ha potuto avvalersi dell’interlocuzione dell’Autorità e anche di un rilevante pregresso di provvedimenti che il Garante ha adottato negli ultimi 4 anni, idoneo a tracciare il percorso sia per un corretto trattamento dei dati, sia per costituire un valido contrasto al marketing illegale.

Sotto questo profilo, se la domanda che le disposizioni di cui agli artt. 24 e 25 del Regolamento impongono di formulare a ciascun titolare è “in quale misura il titolare del trattamento ha fatto ciò che ci si poteva aspettare che facesse data la natura, le finalità o l'entità del trattamento e come sia riuscito a comprovare il suo operato”, la vicenda analizzata nell’odierno provvedimento restituisce un giudizio di grave insufficienza circa le azioni predisposte e poi effettivamente poste in essere da Enel Energia,  anche solo attraverso la constatazione che efficaci misure avrebbero certamente impedito un’infiltrazione di contratti illeciti per un così lungo periodo (a quanto risulta dal 2015 al 2022). 

L’estrema numerosità della rete di Agenzie della Società e delle utenze abilitate al caricamento dei contratti avrebbe dovuto indurre la medesima a creare e a strutturare un sistema di verifiche idoneo a consentire il pieno controllo dei processi esternalizzati, da realizzarsi con puntuali riscontri sui contratti acquisiti, sulla correttezza della compilazione, sulla presenza o meno di correzioni, e con verifiche e audit volti a garantire che quanto rappresentato dalle Agenzie negli impegni contrattuali con la Società corrispondesse alla reale operatività delle medesime.

Ciò che invece è emerso dai contratti ispezionati è che tutti, anche il campione minimo visualizzato in copia digitalizzata, risultavano acquisiti illecitamente dalle società veronesi e fiorentine e presenti dove non dovevano essere, e cioè nei sistemi di Enel Energia, e soprattutto riportavano cancellature e difformità, in particolare con riferimento alle Agenzie di provenienza. Anche quest’ultimo elemento non poteva non indurre la Società ad operare mirati controlli in ordine a palesi attività di alterazione della documentazione ufficiale, che avrebbero certamente rivelato condotte illecite.

Non può altresì non evidenziarsi, come del resto ammesso e documentato dalla stessa Enel Energia, che ben 164 contratti di cui alla lista di 978 presenti nei sistemi della compagnia energetica, illecitamente acquisiti dalle società veronesi e fiorentine, sono stati “procacciati” da XX, amministratore di una delle due società fiorentine, che compariva fin dall’epoca degli accertamenti del novembre 2022 nella black-list di Enel Energia. I relativi contratti risultano tutti acquisiti dall’agenzia XX, e al riguardo è lecito osservare che un serrato controllo della predetta agenzia e di altre con analoghe problematiche, anche con verifiche a campione, avrebbe certamente portato alla luce anomalie rilevanti in relazione alla vicenda di cui all’odierno provvedimento e, con tutta probabilità, anche in relazione a condotte similari rimaste ancora sommerse perché non giunte all’attenzione del Garante (e al riguardo va osservato che anche un altro agente presente nella black-list di Enel Energia risulta aver acquisito alcuni dei 978 contratti, in questo caso riconducibili all’agenzia XX). Si deve inoltre ribadire quanto evidenziato nell’atto di contestazione, circa la complessiva attività delle Agenzie laddove alcune di esse hanno provveduto al caricamento anche di 50.000 contratti in due anni, pur disponendo di una sola utenza abilitata al caricamento e complessivi 6 addetti.

È quindi ben chiaro, dalle osservazioni di cui sopra alle quali vanno aggiunte quelle riportate nelle considerazioni di carattere generale del presente paragrafo, che Enel Energia non ha utilizzato tutte le informazioni di cui necessariamente dispone, potendo segmentare l’operatività delle Agenzie e potendo condurre verifiche sul posto, nemmeno quando i dati aggregati restituivano livelli produttivi meritevoli di attenzione e nemmeno quando agenti finiti nella black-list aziendale risultavano essere fra i più attivi procacciatori d’affari di alcune ben individuate Agenzie.

Quanto poi alle funzionalità del sistema SEOL e della procedura MFA, ci si deve riportare a quanto già osservato in relazione alla contestazione sub a), ribadendo che la scelta di depotenziare i controlli previsti in SEOL e quella di adottare una procedura di autenticazione che non escludeva la possibilità di accessi multipli con la medesima credenziale dei sistemi Enel Energia obbedisce ad una precisa scelta del titolare del trattamento assunta sulla base di una valutazione di non elevata rischiosità del sistema N.Eve. Valutazione che, alla prova dei fatti, si è rivelata errata.

Inoltre, Enel Energia non ha fornito adeguate prove, richieste dall’art. 5, par. 2, del Regolamento in tema di accountability, per dimostrare che le proprie scelte in materia di trattamento di dati personali, obbediscano ad una logica di effettivo contenimento del grave fenomeno del telemarketing selvaggio alimentato dal sottobosco delle agenzie “di fatto”, pur discostandosi tali scelte dai modelli più volte suggeriti dal Garante (per tutti, i provvedimenti divenuti irrevocabili n. 7 del 15 gennaio 2020, in www.gpdp.it, doc. web n. 9256486; n. 143 del 9 luglio 2020, doc. web n. 9435753; n. 144 del 9 luglio 2020, doc. web n. 9435774; n. 224 del 12 novembre 2020, doc. web n. 9485681; n. 112 del 25 marzo 2021, doc. web n. 9570997; n. 192 del 13 maggio 2021, doc. web n. 9670025; n. 182 del 14 aprile 2023, doc. web n. 9894631) e compiutamente delineati nel Codice di condotta per le attività di telemarketing e teleselling, presentato dalle associazioni di categoria (XX, XX, XX, XX, XX, XX, XX, XX) il 10 novembre 2022, dopo essere stato sottoposto a consultazione con i soggetti maggiormente rappresentativi delle categorie interessate dal 21 luglio 2022 al 9 settembre 2022, e approvato dal Garante con il già richiamato provvedimento n. 70 del 9 marzo 2023.

Il complesso delle considerazioni fin qui esposte induce a ritenere pienamente confermata l’ipotesi di violazione di cui al capo b) della rubrica.

Quanto alla contestazione sub c), preso atto di quanto osservato da Enel Energia si deve evidenziare che, esaminato il contratto standard con le agenzie fornito dalla Società nel corso dell’accertamento ispettivo del novembre 2022, si rileva che in esso non si prevede quanto stabilito dall’art. 28, par. 4, del Regolamento e cioè che “quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l'esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento”. Nel contratto standard si fa riferimento, come evidenziato nella contestazione, solo alla seconda parte della citata disposizione, relativa al trasferimento di responsabilità dal titolare al responsabile in relazione all’operato del sub-responsabile, trasferimento che, da un’interpretazione sistematica dell’articolo, deve ritenersi operante solo in caso di esatta applicazione della prima parte.

Del resto, che il contratto standard non rechi alcun obbligo in capo al responsabile di disciplinare i rapporti con il sub-responsabile così come il titolare ha inteso regolare quelli con il responsabile medesimo si evince dalla semplice constatazione che, mentre il contratto standard Enel Energia-Agenzia si compone, fra parte principale e allegati, di regola di oltre 150 pagine, i rapporti fra agenzie e sub-agenti sono cristallizzati in brevissimi accordi di alcune pagine nei quali quasi mai si fa riferimento e richiamo al contratto principale Enel Energia – Agenzia e in alcuni casi nemmeno si cita in premessa il rapporto sottostante con la compagnia energetica.

Tutto ciò doveva essere certamente a conoscenza di Enel Energia se è vero quanto riportato nel contratto standard fra la stessa e le Agenzie e cioè che “entro dieci giorni dalla stipula del presente contratto, l’Agenzia si impegna a fornire, a mezzo PEC, alla Preponente l’elenco e le generalità dei seguenti soggetti di cui intende avvalersi: i) subagenti, ausiliari e collaboratori”.

Dalle sopra riportate considerazioni emerge che il contratto standard che Enel Energia ha predisposto per regolare i rapporti con le Agenzie non prevede il corretto inserimento di eventuali sub-responsabili nel circuito di relazioni e di scambio di dati titolare-responsabile, limitandosi a individuare una sorta di scarico totale di responsabilità della Società senza che a ciò corrisponda una piena consapevolezza e un altrettanto compiuto controllo dei trattamenti eventualmente posti in essere da soggetti individuati dai responsabili. Sotto questo profilo l’osservazione riportata nell’atto di contestazione, e cioè che “una disposizione quale quella prevista al numero 6.4. del contratto tra Enel Energia e le Agenzie appare discostarsi da questa “catena di responsabilità” che dal subagente risale fino al titolare, formalizzando, difatti, uno scarico di responsabilità per il titolare, giustificato con l’esistenza di una sorta di “terrae nullius” – quella dei sub-responsabili – dove il titolare non può e non vuole entrare” fornisce la giusta descrizione del sistema di rapporti che Enel Energia ha predisposto con riferimento alle attività di responsabili e sub-responsabili in ambito telemarketing, sistema di rapporti che appare confermare l’ipotesi di violazione dell’art. 28 del Regolamento.

Venendo alle numerose osservazioni formulate da Enel Energia in relazione ad asserite violazioni procedurali da parte dell’Autorità che avrebbero diretto riflesso sulla legittimità dell’atto di avvio del procedimento e sulla complessiva istruttoria, è doveroso procedere ad un’analisi puntuale.

È altresì doveroso prioritariamente respingere come inaccettabili ed estremamente gravi le considerazioni espresse dalla difesa di Enel Energia in ordine allo svolgimento da parte del Garante di attività istruttorie in violazione del principio dell’affidamento, con l’intento di indurre in errore il proprio interlocutore circa la correttezza delle sue condotte - sotto questo profilo sorprende che Enel Energia abbia ritenuto il complesso di attività svolte dal Garante per portare alla luce gravi episodi di telemarketing indesiderato come lesive della buona fede della Società, che sarebbe stata dapprima tenuta all’oscuro dell’istruttoria in atto presso le quattro società veronesi e fiorentine e poi oggetto di atti di indagine quali un’ispezione, seguita da una contestazione “a sorpresa” di violazioni amministrative; il tutto in un contesto di asserita violazione, da parte del Garante, dei principi di buon andamento e correttezza della pubblica amministrazione.

Al riguardo, si deve evidenziare la totale infondatezza e pretestuosità della doglianza. Enel Energia, nel pretendere di essere messa tempestivamente al corrente degli atti istruttori del Garante, anche quando rivolti ad altri soggetti, oltre a denotare un’evidente confusione di ruoli con l’attività di audit interno condotta in azienda, stravolge il normale iter del procedimento istruttorio di un’Autorità amministrativa indipendente, che può realizzarsi, in particolare in ragione degli estesi poteri d’indagine che l’art. 58, par. 1, del Regolamento accorda al Garante, attraverso un ampio ventaglio di attività da modulare in base al principio della discrezionalità amministrativa, specialmente nei casi di maggiore complessità, anche per tutelare la genuinità delle prove raccolte e la riservatezza di eventuali terzi. Attività che, tuttavia, nell’odierno procedimento non si sono tradotte nell’adozione di atti “a sorpresa”, dato che anche l’accertamento ispettivo è stato preannunciato e corredato da ampia documentazione e i successivi passaggi appaiono in linea con le disposizioni di legge, con i regolamenti interni dell’Ufficio e con la costante prassi applicativa presso l’Autorità.

Le attività ispettive presso Enel Energia, pianificate e realizzate immediatamente dopo la conclusione dell’istruttoria relativa alle quattro società veronesi e fiorentine (chiusura dell’istruttoria nei confronti delle 4 società in data 15 novembre 2022, ispezione presso Enel Energia del 24 e 25 novembre 2022, preannunciata alla Società il 23 novembre 2022), si sono svolte, peraltro, con l’utilizzo della dialettica collaborativa prevista dall’art. 157 del Codice, ordinariamente adottata dal Garante proprio per tenere vivo e costante il confronto con i titolari.

Nel corso di tali attività alla Società è stata infatti fornita, anche in copia, la documentazione relativa ai contratti che si ritenevano infiltrati nei sistemi aziendali, con la puntuale indicazione delle ipotizzate responsabilità. Anche successivamente, e segnatamente con mail del 16 gennaio 2023 inviata al DPO della Società, l’Ufficio ribadiva, a richiesta del medesimo DPO, che “gli atti messi a disposizione di Enel Energia nel corso dell’attività ispettiva possono essere certamente utilizzati (trattandosi peraltro di documentazione contrattuale di pertinenza della Società) al fine di porre in essere tutte le misure organizzative ritenute necessarie e/o opportune nel quadro del principio di responsabilizzazione e nell’adozione di provvedimenti interni indirizzati alla propria rete di vendita”.

A ciò deve aggiungersi che il Garante, con Provvedimento n. 70 del 9 marzo 2023 (in www.gpdp.it, doc. web n. 9868813), e quindi molto prima dell’adozione dell’atto di avvio del procedimento nei confronti di Enel Energia, ha approvato il Codice di condotta in materia di telemarketing e teleselling che, all’art. 5, comma 8, individua, quale obbligo del titolare, che lo stesso predisponga “la piattaforma per la registrazione delle proposte di contratto in modo tale che sia garantita la tracciabilità delle operazioni svolte, adottando, ad esempio, procedure di autenticazione che: a) impediscano l’accesso alla piattaforma con le medesime credenziali da più postazioni contemporaneamente; b) impediscano l’accesso effettuato da indirizzi IP diversi o attraverso modalità di autenticazione non conformi a quelle autorizzate per ciascun call center/teleseller/agenzia all’atto dell’attribuzione delle credenziali; c) attribuiscano credenziali di autenticazione individuali per ciascun operatore autorizzato a svolgere le operazioni di inserimento; d) consentano l’identificazione dell’operatore autorizzato anche in caso di contatto telefonico con il servizio di assistenza”. Anche se tale Codice di condotta non è, allo stato, pienamente operativo, l’approvazione del medesimo (e la precedente consultazione pubblica avviata il 18 luglio 2022) indica a tutti i titolari la “best practice” in tema di sicurezza che il Garante ritiene idonea per evitare o almeno minimizzare i rischi di accessi abusivi e di infiltrazioni di dati nelle piattaforme aziendali.

Si comprende una volta di più l’assoluta infondatezza della considerazione difensiva che Enel Energia sarebbe stata “colta di sorpresa dalla nuova Contestazione del 14 luglio 2023”, avendo l’Autorità adottato nel corso del tempo una linea di interlocuzione con la Società, al pari di quella intrapresa con gli altri titolari, caratterizzata dalla massima trasparenza e collaborazione possibili, alla luce delle esigenze, pur meritevoli di conto, di riservatezza correlate alla necessità di svolgere efficacemente le attività istruttorie nei confronti di numerosi soggetti.

Violazione dei termini del procedimento per avere notificato l’atto di contestazione oltre 120 giorni dalla data dell’accertamento (come previsto dal regolamento n. 2/2019 dell’Ufficio del Garante), che Enel Energia ritiene coincidente con la data di invio da parte della Società della documentazione che aveva fatto riserva di produrre nel corso dell’accertamento ispettivo (invio degli atti da parte di Enel Energia: 16 dicembre 2022; scadenza del termine per la contestazione: 16 marzo 2023).

Occorre sul punto partire da un dato giurisprudenziale del tutto pacifico, e cioè che per “accertamento” si fa riferimento non “alla mera notizia del fatto ipoteticamente sanzionabile nella sua materialità, ma all'acquisizione della piena conoscenza della condotta illecita, implicante il riscontro (allo scopo di una corretta formulazione della contestazione) della sussistenza e della consistenza dell'infrazione e dei suoi effetti” (Consiglio di Stato, Sezione VI, Sentenza 4 ottobre 2022, n. 8503).

Escluso quindi che la data dell’accertamento possa essere quella indicata da Enel Energia, per una ricostruzione corretta della decorrenza dei termini di cui sopra occorre invece fare riferimento alla data di notificazione dell’atto di avvio del procedimento amministrativo con comunicazione delle presunte violazioni, realizzata il 14 luglio 2023 presso il domicilio digitale della Società. Procedendo a ritroso di 120 giorni da tale data si giunge al 16 marzo 2023: se uno o più atti di accertamento significativi si collocano all’interno dell’intervallo temporale fra il 16 marzo 2023 e il 14 luglio 2023, la notifica dell’atto di contestazione deve ritenersi nei termini.

Anche senza voler attingere alla costante giurisprudenza (per tutte, Corte di Cassazione, Sezione II Civile, Sentenza 30 marzo 2023, n. 9022 – “il termine per la contestazione degli illeciti decorre dal momento del relativo accertamento, il quale non coincide necessariamente né con quello della mera constatazione dei fatti nella loro materialità né con quello in cui le relazioni o i rapporti finali degli incaricati degli accertamenti siano stati depositati o comunque messi a disposizione degli organi dell'autorità di supervisione competenti al relativo esame, dovendosi tener conto, a tal fine, del tempo strettamente necessario affinché, al termine delle verifiche preliminari, la constatazione dei fatti avrebbe potuto essere tradotta in accertamento”) che evidenzia la necessità di collocare l’atto di accertamento in epoca successiva alla conoscenza da parte dell’Autorità dei fatti nella loro materialità e alla ricezione di documenti o reperti, si osserva che nell’intervallo temporale fra il 16 marzo 2023 e il giorno della notificazione dell’atto di contestazione delle violazioni amministrative, sono pervenuti agli atti del fascicolo n. 173067, relativo all’odierno procedimento, diversi elementi necessari per valutare la sussistenza e la consistenza delle violazioni poste in essere da Enel Energia e, segnatamente:

- la relazione redatta dall’articolazione tecnologica dell’Autorità, che è stata chiamata a esaminare la documentazione relativa al sistema SEOL e alla procedura di autenticazione MFA, documentazione che era pervenuta il 31 gennaio 2023 da Enel Energia per il tramite della Guardia di finanza e che risultava sprovvista di puntuali notazioni tecniche. Tale relazione, redatta e depositata il 22 marzo 2023, ha delineato il perimetro di sussistenza delle condotte di Enel Energia ed è stata allegata integralmente all’atto di contestazione;

- il provvedimento n. 184 del 13 aprile 2023, più volte richiamato nell’odierno procedimento e anch’esso integralmente allegato all’atto di contestazione, che si inserisce quale premessa logica e fattuale rispetto alle condotte di Enel Energia e che definisce la portata del fenomeno che la Società ha invece sottovalutato;

- le attività ispettive svolte il 17-19 aprile 2023 presso XX., con atti pervenuti il 14 giugno 2023, che hanno consentito di acquisire elementi in ordine alla consistenza delle violazioni in termini di benefici finanziari conseguiti (come richiesto dall’art. 83, par. 2, lett. k), del Regolamento), anche in relazione alla perdita di quote di mercato dei diretti competitor, posto che i contratti illecitamente acquisiti dalle società veronesi e fiorentine e rinvenuti nel database di Enel Energia provengono in massima parte dalla clientela di XX e le attività di acquisizione illecita in favore di Enel Energia risultano poste in essere da una delle società veronesi, agente ufficiale di XX;

- l’esame dei database confiscati alle società veronesi e fiorentine il 6 giugno 2023, con reperti consegnati presso l’Autorità il 16 giugno 2023, che ha consentito di determinare la consistenza del flusso di dati dalle società veronesi e fiorentine verso Enel Energia e la durata delle condotte illecite (circostanze che hanno rilievo, per la valutazione della gravità della condotta, anche con riferimento a quanto espressamente indicato dall’art. 83, par. 2, lett. a), del Regolamento).

Alla luce di quanto sopra esposto e in considerazione del particolare grado di complessità degli accertamenti svolti nel caso in argomento, si ritiene che i termini per la notificazione dell’atto di contestazione delle violazioni amministrative ad Enel Energia siano stati pienamente rispettati, essendo questa intervenuta appena 28 giorni (in luogo dei 120) dopo la ricezione degli ultimi atti necessari alla compiuta valutazione della vicenda.

Violazione del principio del ne bis in idem (litispendenza e cosa giudicata) in ragione dell’identità delle contestazioni dell’odierno procedimento rispetto a quelle da cui ha tratto origine il provvedimento n. 443 del 16 dicembre 2021, nei confronti di Enel Energia, annullato dal Tribunale di Roma con sentenza del 13 febbraio 2023, depositata in data 13 gennaio 2024.

In merito deve essere preliminarmente evidenziato che la sentenza del Tribunale di Roma del 13 febbraio 2023 - 13 gennaio 2024 non prende in alcun modo esame gli aspetti contenutistici del procedimento amministrativo definito con il provvedimento n. 443 del 16 dicembre 2021, ma soltanto la controversa questione del termine per la contestazione delle violazioni amministrative (che, si ribadisce, il richiamato Regolamento n. 2/2019 dell’Ufficio del Garante individua in 120 giorni dall’atto di accertamento) e la relazione fra tale termine e la complessiva articolazione delle attività istruttorie svolte dall’Ufficio. Nulla a che vedere con l’istruttoria dell’odierno provvedimento, aperta nel novembre 2022 e conclusasi dopo meno di otto mesi, in base ad una serrata sequenza di atti circa la quale è stato dato ampiamente conto nel precedente paragrafo.

Dall’annullamento del precedente provvedimento, nessuna valutazione di merito può quindi dedursi a vantaggio della difesa di Enel Energia, né tantomeno può ricavarsi una “patente” di liceità e legittimità di tutto l’insieme dei trattamenti svolti.

Inoltre occorre evidenziare come il provvedimento n. 443/2021 è stato adottato al termine di un procedimento avviato su istanza di parte (135 tra reclami e segnalazioni da parte di interessati italiani), al fine di dare riscontro e verificare quanto lamentato, in merito a ben specifiche situazioni, da i vari istanti.

Sul punto si deve osservare che non vi è identità fra le contestazioni alla base del provvedimento n. 443 e le attuali contestazioni. Oltre al fatto che il provvedimento n. 443 prendeva in esame una molteplicità di attività poste in essere da Enel Energia (telemarketing senza consenso, telemarketing in violazione della disciplina del Registro delle Opposizioni, tardivi riscontri all’esercizio dei diritti degli interessati, chiamate promozionali con sistemi automatizzati, invio di sms promozionali, invio di fatture a indirizzi non corretti, indebita associazione di recapiti telefonici ad utenze energetiche, gestione non conforme del cd. Profilo Unico – area clienti on-line, criticità nelle iscrizioni al programma di fidelizzazione della Società) che configuravano più illeciti correlati a differenti disposizioni regolamentari (ben 14 violazioni, comprendenti, a titolo meramente esemplificativo, l’art. 5, par. 1, lett. a), così come l’art. 12 del Regolamento o l’articolo 130 del Codice privacy), deve evidenziarsi che, concentrando l’attenzione sulle sole attività di telemarketing, le contestazioni di cui al primo provvedimento hanno preso in considerazione la corretta base giuridica delle attività direttamente svolte da Enel Energia e dalla propria rete di vendita e gli accorgimenti adottati dalla Società per individuare e bloccare contratti acquisiti a seguito di contatti promozionali operati in violazione delle disposizioni in tema di liceità del trattamento, aspetti che nell’attuale procedimento non sono stati presi in considerazione poiché le attività delle quattro società veronesi e fiorentine sono risultate illecite in radice, in quanto poste in essere in assenza di un qualsivoglia legame contrattuale e operativo con la compagnia energetica. Il provvedimento n. 443, inoltre, non ha preso in esame gli aspetti relativi alle misure di sicurezza applicate da Enel Energia sui sistemi deputati alla gestione dei contratti e dei dati dei clienti, tema che è invece al centro dell’attuale procedimento, né il correlato aspetto del monitoraggio degli eventi critici, che attiene evidentemente ad una fase successiva rispetto a quella presa in esame con il primo provvedimento relativa al momento della promozione dei servizi.

Va inoltre osservato che l’ipotesi della litispendenza e della violazione del principio del ne bis in idem, al netto di quanto sopra osservato, allo stato attuale è del tutto ipotetica e, in ogni caso, la richiesta rivolta da Enel Energia al giudice di primo grado di “declaratoria in ordine alla correttezza delle modalità di gestione del canale agenziale e del teleselling attualmente in uso” presso la Società non può certo esentare l’Autorità dall’aprire nuovi procedimenti e avviare nuove istruttorie nel caso in cui la stessa venga a conoscenza di fatti e circostanze idonei a configurare ipotesi di violazione della disciplina rilevante in materia di protezione dei dati personali nei confronti del medesimo titolare.

Anche nel caso in cui vi fosse coincidenza formale tra le disposizioni richiamate nel provvedimento n. 443/2021 e quelle nell’odierno provvedimento, non può dirsi in alcun modo che vi sia coincidenza sostanziale. Difatti, se, si considera, per esempio la violazione del principio di accountability, di cui all’art. 5, par. 2 del Regolamento, quest’ultima all’interno del Provvedimento n. 443/2021 era stata accertata in stretta correlazione alla liceità dell’originaria acquisizione del dato e/o del primo contatto del potenziale cliente. Differentemente, l’odierno provvedimento declina la violazione del principio di responsabilizzazione, e delle correlate disposizioni inerenti agli obblighi in capo al titolare del trattamento, alle carenze organizzative in tema di sicurezza del trattamento e alle scelte di fondo nella progettazione e strutturazione del sistema di controlli.

Vale la pena di evidenziare che il principio generale iscritto nell’art. 5, par. 2, del Regolamento, consente all’Autorità di controllo di accertare anche responsabilità di carattere omissivo in capo al titolare del trattamento in relazione a differenti e varie fattispecie nonché in riferimento a distinti altri obblighi e principi della protezione dati.

L’Autorità, nell’esercizio dei poteri correttivi e nello svolgimento dei compiti ad essa assegnati dal Regolamento, ben può concentrare la propria attenzione su singoli aspetti e determinate procedure, in particolare con riferimento a realtà produttive aventi strutture e organizzazioni particolarmente complesse, e può quindi occuparsi a più riprese del medesimo titolare, ipotesi peraltro espressamente prevista dal Regolamento stesso che, all’art. 83, par. 2, lett. e) e i), impone all’Autorità di tenere conto delle “eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento” e “qualora siano stati precedentemente disposti provvedimenti di cui all'articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti”.

Sotto questo profilo è appena il caso di ricordare che i trattamenti di dati personali si compongono di una molteplicità di operazioni, che coinvolgono un elevato numero di soggetti e non possono essere considerati un tutto univocamente lecito o illecito, prova ne sia che, più volte, nel recente passato, l’Autorità ha adottato provvedimenti nei confronti del medesimo titolare, anche in tempi ravvicinati, provvedimenti che hanno preso in esame il complesso delle operazioni di trattamento e hanno condotto all’applicazione di misure correttive e sanzionatorie anche di rilevante entità (per tutti provv. n. 7 del 15 gennaio 2020 e n. 183 del 13 marzo 2023; n. 224 del 12 novembre 2020 e n. 379 del 10 novembre 2022, tutti nei confronti di importanti compagnie telefoniche).

Parziale diniego del diritto di accesso documentale e pregiudizio al contraddittorio poiché, durante l’accesso del 26 luglio 2023, l’Autorità non avrebbe accordato a Enel Energia la possibilità di estrarre copia del database contenente i contratti asseritamente caricati dalla cooperativa Arnia.

Anche in questo caso occorre ricostruire con maggiore precisione i fatti. A seguito della pubblicazione del provvedimento n. 184 del 13 aprile 2023, Enel Energia ha fatto pervenire una richiesta di accesso ai documenti amministrativi, inviata mediante PEC il 15 giugno 2023, con riferimento a “ogni atto e documento relativo all’istruttoria preordinata all’emissione del Provvedimento del 13 Aprile 2023, ivi compresa la confisca” facendo rilevare che era “interesse di Enel Energia S.p.A. verificare se anche i fatti e i documenti che hanno dato luogo al Provvedimento del 13 Aprile 2023 coinvolgano le società regolarmente contrattualizzate da Enel Energia, al fine di assumere ogni conseguente iniziativa a propria tutela”. Quindi, l’istanza di accesso agli atti di Enel Energia è stata presentata prima della notifica dell’atto di contestazione e quindi, come ovvio, non per finalità connesse all’esercizio del diritto di difesa.

L’Autorità forniva riscontro il 14 luglio 2023 comunicando che “parte delle informazioni richieste sono reperibili all’interno della versione integrale del più volte richiamato Provvedimento n. 184/2023 che qui si allega […]. Si comunica altresì, ai sensi degli artt. 4, comma 1, e 5, comma 2, del regolamento interno n. 1 del 2006, la disponibilità a consentire l’accesso alla ulteriore documentazione richiesta da effettuarsi mediante visione degli atti presso l’Ufficio del Garante”. L’accesso avveniva il 26 luglio 2023 dalle ore 11 alle ore 16: nel corso di tale accesso Enel Energia poteva visionare tutti gli atti del fascicolo 173067, ivi compresa la documentazione confiscata alle società veronesi e fiorentine, e acquisiva copia delle circa 600 pagine del fascicolo degli accertamenti. Inoltre, nonostante l’istanza di accesso del 15 giugno  2023 non fosse strettamente correlata all’esercizio del diritto di difesa, su specifica richiesta dei legali della Società (“considerato il numero elevato e la complessità delle contestazioni trattate, il termine per la presentazione di deduzioni a difesa sia prorogato di almeno 15 giorni, e comunque fino al 28 settembre 2023, secondo quanto previsto dall’art. 13, comma 3, del Regolamento dell’Autorità n. 1/2019; che il suddetto termine del 28 settembre 2023 trovi applicazione solo a condizione che l’Autorità permetta a Enel Energia di prendere visione dei documenti il 26 luglio 2023, come già richiesto, o, al più tardi, entro il 31 luglio 2023, dovendo in difetto essere ricalcolato anche il termine per la presentazione delle difese”), l’Ufficio accordava una proroga per la presentazione della memoria difensiva, al fine di consentire il più completo esercizio del diritto di difesa.

Alla luce della ricostruzione di cui sopra, deve escludersi una lesione del diritto di difesa in danno di Enel Energia se si considera, in primo luogo, che l’istanza di accesso ai documenti amministrativi presentata dalla Società è stata presentata ben prima della notifica delle contestazioni e quindi per finalità non riconducibili all’esercizio del diritto di difesa come sopra richiamato e, in secondo luogo, che l’accesso è avvenuto con caratteri di assoluta urgenza e senza limiti temporali di consultazione, tenuto conto di tutte le esigenze della parte.

Quanto al contenuto dell’accesso, va rappresentato che Enel Energia ha potuto visionare tutti gli atti utilizzati per le contestazioni delle violazioni amministrative, tutti gli atti del fascicolo 173067 ivi compresi quelli della confisca, e ha potuto estrarre copia (circa 600 pagine) di tutti i documenti relativi agli accertamenti istruttori. Quanto agli atti della confisca, degli stessi è stata consentita la sola visione (che ha comunque consentito alla Società di verificare non soltanto il numero complessivo delle utenze entrate nei sistemi aziendali a seguito delle illecite attività delle società veronesi e fiorentine – unico dato utilizzato in sede di contestazione - ma anche quelle che si ritiene siano uscite) in ragione della funzione precipua della confisca medesima, che è quella di sottrarre cose che furono destinate ad illeciti utilizzi e che, pertanto, non possono essere reimmesse in un circuito di libera fruibilità, peraltro trattandosi in massima parte di documenti elettronici e fogli di calcolo, nel medesimo formato che ne aveva consentito l’uso indebito.

Concorso apparente di norme e violazione dell’art. 9 della l. 689/1981 e dell’art. 50 della Carta dei diritti fondamentali dell’unione europea per aver il Garante ritenuto che uno stesso fatto possa essere sanzionato per la violazione di norme poste in realtà a tutela del medesimo bene giuridico e di cui l’una sia speciale rispetto all’altra. In altre parole le norme che si assumono violate nell’atto di notifica della contestazione sarebbero, a detta di Enel, espressione del medesimo obbligo generale di correttezza del trattamento secondo quanto prevedibile al momento della progettazione del trattamento. A tal riguardo, fermo restando quanto richiamato nelle Linee guida n. 4/2022 dell’European Data Protection Board (versione adottata il 24 maggio 2023) – in via meramente ricognitiva su questo specifico aspetto – deve rappresentarsi che nell’ordinamento italiano è codificato espressamente, quale criterio generale di risoluzione del concorso apparente, il solo principio di specialità (art. 9 della l. 689/1981), come del resto indica la giurisprudenza richiamata nella memoria difensiva (punto 149). Ciò premesso, in considerazione del fatto che le norme richiamate nell’atto di contestazione non risultano essere in rapporto di specialità le une con le altre, le corrispondenti violazioni risultano correttamente contestate in quanto autonomamente configurabili. In ogni caso va tenuto presente che l’art. 83, par. 3, del Regolamento prevede espressamente un’ipotesi di cumulo giuridico a fronte di una pluralità di illeciti contestati in relazione alla medesima tipologia di trattamenti, evenienza questa che trova applicazione nel presente provvedimento.

In ragione di tutte le considerazioni sopra esposte, si ritiene di dover confermare la responsabilità di Enel Energia con riferimento alle violazioni contestate con il richiamato atto di avvio del procedimento del 14 luglio 2023, n. 108535/173067.

4. CONCLUSIONI

Per quanto sopra esposto si ritiene accertata la responsabilità di Enel Energia in ordine alle seguenti violazioni:

a) artt. 5, par. 1, lett. f), e 32 del Regolamento, per aver omesso di realizzare un’adeguata valutazione dei rischi connessi all’interfaccia N.Eve e, conseguentemente, per aver omesso di adottare, nei confronti della rete di agenti ufficiali, le misure adeguate a garantire un corretto utilizzo delle credenziali di accesso al sistema aziendale e ad evitare la condivisione delle credenziali stesse fra più soggetti, consentendo così l’introduzione nel sistema informativo e contrattuale di Enel Energia di proposte di contratto acquisite da soggetti non autorizzati al trattamento dei dati personali e all’accesso nei sistemi della Società;

b) artt. 5, par. 2, 24, par. 1 e 25 del Regolamento per aver omesso di intraprendere, rispetto all’operato scorretto di alcune agenzie che, di fatto, agivano con lo scopo di procacciare contratti Enel Energia, una efficace azione di contrasto, esercitando (e potendo comprovare) in maniera piena e consapevole, le proprie attribuzioni, alle quali corrispondono i doveri di accountability e di privacy by design (attraverso elementi di prevenzione, funzionalità, sicurezza dei sistemi nonché trasparenza del trattamento e centralità dell’interessato);

c) art. 28 del Regolamento per, da un lato, aver stipulato dei contratti con le proprie agenzie che prevedono in maniera formalistica una ripartizione di responsabilità non rispondente alla concreta articolazione della filiera del trattamento e carente sotto il profilo degli obblighi di controllo in capo al titolare del trattamento e, dall’altro, per non aver stipulato o curato che fossero stipulati i necessari atti giuridici con quei soggetti, asseritamente non conosciuti, ma in realtà – come dimostrato dalle risultanze istruttorie – noti ed integrati attivamente e pienamente nella filiera di vendita dei servizi della Società.

Accertata altresì l’illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, si rende necessario:

- ingiungere a Enel Energia, ai sensi dell’art. 58, par. 2, lett. d) ed e) del Regolamento, di comunicare ai 595 interessati, i cui dati anagrafici sono confluiti nei sistemi della Società a seguito delle illecite acquisizioni da parte delle società veronesi e fiorentine, gli esiti dell’odierno procedimento in base ad un testo da concordare con l’Autorità in sede di applicazione del presente provvedimento;

- ingiungere a Enel Energia, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento di fornire adeguata documentazione al fine di attestare le avvenute implementazioni di misure di sicurezza che impediscono accessi contemporanei al sistema N.Eve con medesime credenziali di autenticazione;

- ingiungere a Enel Energia, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento di introdurre ulteriori misure in modo tale che sia garantita la tracciabilità e l’efficace monitoraggio delle operazioni svolte e degli eventi critici sul sistema N.Eve e sia impedito l’accesso effettuato da indirizzi IP diversi da quelli attribuiti a ciascuna agenzia;

- ingiungere a Enel Energia, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di prevedere che le agenzie stipulino con eventuali sub-agenti contratti del tutto conformi al contratto standard stipulato fra Enel Energia e le agenzie medesime e nei quali sia chiaramente esplicitata la distribuzione delle responsabilità nel trattamento dei dati personali come indicata dall’art. 28 del Regolamento;

- adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Enel Energia della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento

5. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Enel Energia della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento (pagamento di una somma fino a € 20.000.000,00 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore);

Per la determinazione del massimo edittale della sanzione pecuniaria, occorre pertanto fare riferimento al fatturato di Enel Energia, come ricavato dall’ultimo bilancio d’esercizio disponibile (31 dicembre 2022) in accordo con i precedenti provvedimenti adottati dall’Autorità, e quindi si determina tale massimo edittale, nel caso in argomento, in euro 988 milioni 838.774 euro.

Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento;

Nel caso in esame, assumono rilevanza:

1) la gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento), tenuto conto dell’oggetto e delle finalità dei dati trattati, riconducibili al fenomeno complessivo del telemarketing indesiderato, in ordine al quale l’Autorità ha adottato, in particolare negli ultimi quattro anni, numerosi provvedimenti che hanno compiutamente preso in esame i molteplici elementi di criticità fornendo ai titolari numerose indicazioni per adeguare i trattamenti alla normativa vigente e per attenuare l’impatto delle chiamate di disturbo nei confronti degli interessati; tenuto conto altresì del numero dei soggetti coinvolti (in ragione dei circa 9300 contratti veicolati dalla soc.coop. Arnia) e della durata delle infiltrazioni illecite di contratti (dal 2015 al 2022);    

2) quale fattore aggravante, il carattere gravemente negligente delle violazioni, frutto di scelte aziendali operate con coscienza e volontà che hanno di fatto indebolito le misure di sicurezza e il sistema dei controlli e di responsabilizzazione dei diversi soggetti operanti nella rete di vendita di Enel Energia (art. 83, par. 2, lett. b) del Regolamento);

3) quale fattore aggravante il grado di responsabilità del titolare del trattamento (art. 83, par. 2, lett. d) del Regolamento) in ragione dell’inefficacia delle misure tecniche e organizzative messe in atto e del peculiare ruolo che Enel Energia assume nel panorama produttivo italiano, quale azienda leader dei processi di sviluppo industriale e tecnologico ed all’elevato numero di dati personali della popolazione residente in Italia e dalla quale deve necessariamente attendersi una organizzazione del trattamento dei dati personali improntata alla massima tutela del patrimonio informativo dei propri clienti e alla massima responsabilizzazione di tutte le figure del trattamento medesimo;

4) quale fattore attenuante, la circostanza che Enel Energia abbia introdotto, nel mese di luglio 2023, un sistema di autenticazione che impedisce l’utilizzo contemporaneo delle medesime credenziali di accesso al sistema N.Eve da postazioni diverse (art. 83, par. 2, lett. c) del Regolamento);

5) quale fattore attenuante da tenere in considerazione per parametrare la sanzione (art. 83, par. 2, lett. k) del Regolamento), la circostanza che dall’esame dei database oggetto di confisca emerge che il numero dei contratti oggetto di illecita acquisizione in favore di Enel Energia (9.300) sia inferiore a quelli “in uscita” sempre a seguito delle illecite attività delle società veronesi e fiorentine (20.456) e ciò va a compensare quanto rilevato in relazione alla perdita di quote di mercato di XX con riferimento ai contratti acquisiti dalle società veronesi e fiorentine che risultano essere stati inseriti nei sistemi di Enel Energia.

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative e funzionali della Società, si ritiene debba applicarsi a Enel Energia la sanzione amministrativa del pagamento di una somma di euro 79.107.101, pari al 8% della sanzione massima edittale e allo 0,32% del fatturato annuo.

Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della natura dei trattamenti e delle condotte della Società, nonché degli elementi di rischio per i diritti e le libertà degli interessati.
Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

a) ingiunge a Enel Energia, ai sensi dell’art. 58, par. 2, lett. d) ed e) del Regolamento, di comunicare ai 595 interessati, i cui dati anagrafici sono confluiti nei sistemi della Società a seguito delle illecite acquisizioni da parte delle società veronesi e fiorentine, gli esiti dell’odierno procedimento in base ad un testo da concordare con l’Autorità in sede di applicazione del presente provvedimento;

b) ingiunge a Enel Energia, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento di fornire adeguata documentazione al fine di attestare le avvenute implementazioni di misure di sicurezza che impediscono accessi contemporanei al sistema N.Eve con medesime credenziali di autenticazione;

c) ingiunge a Enel Energia, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento di introdurre ulteriori misure in modo tale che sia garantita la tracciabilità e l’efficace monitoraggio delle operazioni svolte e degli eventi critici sul sistema N.Eve e sia impedito l’accesso effettuato da indirizzi IP diversi da quelli attribuiti a ciascuna agenzia;

d) ingiunge a Enel Energia, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di prevedere che le agenzie stipulino con eventuali sub-agenti contratti del tutto conformi al contratto standard stipulato fra Enel Energia e le agenzie medesime e nei quali sia chiaramente esplicitata la distribuzione delle responsabilità nel trattamento dei dati personali come indicata dall’art. 28 del Regolamento;

e) ingiunge a Enel Energia, ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel termine di trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

ORDINA

a Enel Energia S.p.A., in persona del legale rappresentante pro-tempore, con sede legale in Roma, viale Regina Margherita n. 125, C.F. 06655971007, di pagare la somma di euro 79.107.101 (settantanovemilionicentosettemilacentouno/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 79.107.101 (settantanovemilionicentosettemilacentouno/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

L’applicazione della sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dagli artt. 166, comma 7 del Codice e 16 del Regolamento del Garante n. 1/2019, e l’annotazione del medesimo nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la sede il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 8 febbraio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL VICE SEGRETARIO GENERALE
Filippi