Il provvedimento n. 114 del 27 febbraio 2025 del Garante per la Protezione dei Dati Personali rappresenta un intervento significativo nell’ambito della disciplina del telemarketing e della protezione dei dati personali nel settore energetico.
L’Autorità Garante, a seguito di un’attività istruttoria scaturita da un elevato numero di segnalazioni di chiamate indesiderate, ha contestato a Energia Pulita S.r.l. (“Energia Pulita” o “Società”) una serie di presunte violazioni del Regolamento (UE) 2016/679 (GDPR) e del Codice in materia di protezione dei dati personali (d.lgs. 196/2003, come modificato dal d.lgs. 101/2018).
Il consenso alla cessione dei dati personali a terzi per finalità di marketing può considerarsi realmente libero soltanto se all’interessato sono garantiti una scelta effettiva e il controllo sui propri dati. L’utilizzo di formule generiche che non permettano di selezionare la singola categoria merceologica delle offerte commerciali desiderate (p.e. telefonia, forniture energetiche, servizi assicurativi, moda, auto ecc.), non è quindi in linea con la normativa privacy e non può far venir meno gli effetti della opposizione manifestata con l’iscrizione al Registro Pubblico delle Opposizioni. Lo stesso principio vale per form e informative che ostacolino l’esercizio dei diritti riconosciuti all’interessato in ordine alla scelta degli strumenti attraverso cui ricevere le comunicazioni promozionali.
È quanto affermato dal Garante privacy nel sanzionare Energia Pulita srl, società fornitrice di energia elettrica e gas, per aver trattato in modo illecito i dati di un centinaio di persone che si erano rivolte all’Autorità lamentando la ricezione di chiamate indesiderate effettuate in mancanza di un’idonea base giuridica e, in molti casi, utilizzando tecniche commerciali particolarmente insidiose.
1. L’istruttoria del Garante
Il procedimento trae origine da ben n. 82 segnalazioni relative a chiamate promozionali effettuate in assenza di una valida base giuridica, ai sensi dell’articolo 157 del Codice in materia di protezione dei dati personali(d.lgs. 30 giugno 2003, n. 196, anche “Codice). L’Autorità ha quindi avviato un’ampia istruttoria, richiedendo informazioni dettagliate a Energia Pulita in merito ai propri canali di vendita, ai rapporti con le agenzie e i sub-responsabili del trattamento ai sensi dell’art. 28 del Regolamento UE 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (anche “GDPR”), alle istruzioni fornite per il telemarketing, alle modalità di informativa per le candidature online e ai rapporti con altri operatori del settore energetico (Green Network S.p.A., Antenore Energia S.r.l., Metan Alpi Sestriere Teleriscaldamento S.r.l.).
Il riscontro di Energia Pulita ha delineato una complessa rete di vendita, comprendente agenzie, comparatori online e dipendenti diretti, evidenziando anche l’utilizzo di una metodologia di “virtual sales outbound rec” con conferma tramite OTP e link via email. La Società ha inoltre fornito dati sulle proposte di acquisto attivate nel periodo monitorato e ha disconosciuto la maggior parte delle numerazioni segnalate, ad eccezione di alcuni casi specifici in cui ha ammesso contatti basati su consensi successivi all’iscrizione al Registro Pubblico delle Opposizioni (RPO) o imputabili a sub-agenzie.
Un elemento cruciale dell’istruttoria è stata la verifica presso il Registro Pubblico delle Opposizioni (anche “RPO”), istituito ai sensi dell’articolo 130, comma 3-bis, del Codice, dalla quale è emerso che 157 utenze telefoniche contattate da Energia Pulita nel periodo gennaio-febbraio 2024 risultavano iscritte al RPO al momento delle chiamate, in potenziale violazione dell’articolo 130, comma 1, del Codice, che vieta le chiamate promozionali verso numeri iscritti al RPO in assenza di un consenso specifico, libero, informato e inequivocabile prestato dall’interessato per tale finalità successivamente all’iscrizione. Ulteriori segnalazioni pervenute durante l’istruttoria hanno rafforzato il quadro di potenziali irregolarità.
2. Contestazione delle Violazioni
Sulla base degli elementi raccolti, l’Ufficio del Garante ha formalmente contestato a Energia Pulita la presunta violazione di molteplici disposizioni del GDPR e del Codice. Le principali contestazioni riguardano:
- Art. 130 del Codice e artt. 5, par. 1, lett. a) e 6, par. 1, lett. a) del GDPR: per aver contattato 157 numerazioni iscritte al RPO, in assenza di un valido consenso per finalità promozionali, violando il principio di liceità del trattamento.
- Artt. 5, 24, 25, 28 e 32 del GDPR: per presunta omissione del doveroso controllo sull’intera filiera del trattamento e per non aver implementato misure di sicurezza tecniche e organizzative adeguate a prevenire attivazioni di forniture derivanti da contatti illeciti. L’Autorità ha evidenziato il rischio di alimentare il “sottobosco del telemarketing”.
- Artt. 5, 12 e 13 del GDPR: in relazione al trattamento dei dati personali raccolti tramite i form online (candidature e richieste di contatto), per carenze nei principi di chiarezza e trasparenza dell’informativa.
- Artt. 5, 6, 7 e 9 del GDPR e art. 111 bis del Codice: sempre in riferimento ai dati raccolti online, per dubbi sulla liceità del trattamento e sulla sussistenza di un’idonea base giuridica.
- Art. 29 del GDPR: per la circostanza che l’organizzazione di attività formative per il personale della rete agenziale sia avvenuta solo nel 2024, potenzialmente in ritardo rispetto agli obblighi di formazione iniziale e periodica.
In sintesi, l’Autorità ha delineato un quadro in cui Energia Pulita avrebbe operato con una governance della privacy non pienamente conforme alla normativa, con carenze nel controllo della propria rete di vendita, nella gestione del telemarketing e nella trasparenza delle informative.
3. La linea difensiva di Energia Pulita
La difesa di Energia Pulita si articola tecnicamente su più fronti, mirando a confutare le contestazioni del Garante.
In relazione alla presunta violazione dell’articolo 130 del Codice, la Società contesta il numero di utenze iscritte al RPO effettivamente contattate, adducendo possibili duplicazioni e richiamando l’eccezione prevista dallo stesso articolo per i contatti basati su consensi specifici, liberi e informati forniti successivamente all’iscrizione al registro. Inoltre, argomenta l’inapplicabilità della verifica RPO per i contatti derivanti da canali fisici e per le interazioni dirette degli utenti tramite piattaforme di comparazione online, escludendo una propria attività di telemarketing diretta in tali scenari.
Per quanto concerne le contestazioni relative agli articoli 24, 25 e 28 del GDPR, Energia Pulita descrive un sistema di due diligence nei confronti delle agenzie, inclusa la richiesta di report sul rispetto del RPO e sulla raccolta dei consensi (ipotizzando un adempimento dell’obbligo di verifica e supervisione dei responsabili del trattamento). L’implementazione di “Quality Check Call” e verifiche sulle proposte contrattuali viene presentata come misura per garantire la conformità e prevenire attivazioni illecite. L’adozione di misure di sicurezza come l’autenticazione multi-fattore (articolo 32 del GDPR) e il tracciamento IP sono citate come interventi volti a proteggere i dati e tracciare le responsabilità.
In merito alle informative online (articoli 12 e 13 del GDPR), la Società ha evidenziato un aggiornamento successivo alla verifica interna, suggerendo una presa di coscienza e un tentativo di sanare eventuali carenze pregresse.
Infine, riguardo alla formazione del personale (articolo 29 del GDPR), l’organizzazione di attività formative nel 2024 viene presentata come un’azione concreta intrapresa per adeguarsi agli obblighi normativi, seppur successiva all’avvio del procedimento.
In sintesi, la difesa di Energia Pulita si basa sull’argomentazione di aver implementato misure di controllo e sicurezza, di contestare l’applicazione dell’articolo 130 del Codice in specifici contesti e di aver intrapreso azioni correttive per sanare le criticità rilevate, cercando di dimostrare una condotta non negligente e una progressiva conformità al quadro normativo.
4. Le valutazioni dell’Autorità
Le valutazioni dell’Autorità Garante, come si evince dal paragrafo 3 del provvedimento, propendono per non accogliere le eccezioni sollevate da Energia Pulita. Preliminarmente, il Garante afferma che gli elementi e la documentazione complessivamente acquisita non superano le contestazioni iniziali. In particolare, le giustificazioni relative ai contratti stipulati nella “settimana campione” vengono rigettate in quanto i consensi invocati da Energia Pulita come base giuridica del trattamento si rivelano invalidi. Questa invalidità è motivata dalla mancanza della previa informativa e dal mancato rispetto dei requisiti di libertà, specificità e granularità prescritti dagli articoli 4, punto n. 11), 6 e 7 del Regolamento (UE) 2016/679 (GDPR) e dall’articolo 130 del Codice in materia di protezione dei dati personali (d.lgs. 196/2003, come modificato).
Il Garante analizza l’argomentazione di Energia Pulita relativa alla riduzione del numero di contatti contestati a seguito dell’eliminazione delle presunte duplicazioni. Sebbene riconosca parzialmente tale rilievo, l’Autorità sottolinea che la duplicazione della numerazione può essere indicativa di una condotta ancora più problematica, suggerendo la stipula di accordi per l’attivazione di più forniture a seguito di un singolo contatto, con conseguente indebito introito economico.
Successivamente, il Garante esamina la difesa di Energia Pulita secondo cui i contatti della “settimana campione” sarebbero riconducibili a consensi raccolti tramite portali di comparazione (teleselling o virtual sales outbound), al canale fisico o a contratti conclusi direttamente sulla piattaforma Switcho.
Il Garante, richiamando le nozioni di telemarketing e teleselling, evidenzia come la finalità promozionale e la modalità di contatto iniziale (telefonica con operatore) siano elementi dirimenti per l’applicazione della disciplina specifica. Pertanto, le attività prodromiche alla conclusione del contratto, anche se finalizzate online, rientrano nell’ambito del telemarketing e teleselling stricto sensu, con conseguente applicazione dei relativi obblighi e responsabilità. A supporto di tale interpretazione, il Garante cita l’articolo 2 del Codice di Condotta in materia di telemarketing, pur riconoscendone la natura di best practices e non di fonte normativa vincolante per soggetti non aderenti, ma sottolineandone la valenza interpretativa consolidata nel settore. È significativo che la stessa Energia Pulita, pur distinguendo i canali di vendita, abbia dichiarato di aver acquisito il consenso per tali contatti in data successiva all’iscrizione al RPO, implicitamente riconoscendo la natura di attività soggetta alla relativa disciplina.
Tuttavia, l’esito di accessi ai portali effettuati dall’Ufficio successivamente alla notifica della contestazione e alla presentazione delle memorie difensive ha rivelato la mancanza di un valido consenso per i contatti riferibili al teleselling o al virtual sales outbound nella “settimana campione”. In particolare, il Garante analizza dettagliatamente le modalità di acquisizione del consenso tramite i portali nuoveofferte.com, offerteenergetiche.it, tariffiamo.com e www.ricercaofferte.com.
Con riferimento a nuoveofferte.com, il Garante contesta la genericità e l’indeterminatezza della formula di consenso relativa alla cessione dei dati personali a terzi per scopi di marketing e commerciali. L’Autorità evidenzia come l’ampia formulazione, che include una platea numerosa e indistinta di cessionari operanti in settori eterogenei, impedisca all’interessato di esprimere una volontà libera, specifica e granulare, in violazione degli articoli 4, punto n. 11), 6 e 7 del GDPR. L’utente, di fatto, è costretto a conferire un consenso unitario e indiscriminato alla cessione dei propri dati a tutti i soggetti terzi per tutte le finalità promozionali, senza la possibilità di selezionare le categorie merceologiche di interesse o i canali di comunicazione preferiti, frustrando così l’esercizio dei diritti riconosciuti dalla normativa. Il Garante richiama le Linee guida n. 5/2020 sul consenso del Comitato Europeo per la Protezione dei Dati (EDPB), in particolare i paragrafi relativi all’elemento della “libertà” del consenso e alla necessità della “granularità” quando il trattamento mira a diverse finalità. L’utilizzo di formule che trasferiscono i dati a una platea indistinta di destinatari, inclusi call center plurimandatari, viene considerato un ostacolo alla manifestazione di una volontà consapevole e inequivocabile. Analisi simili vengono condotte per gli altri portali.
In conclusione, il Garante rigetta la difesa di Energia Pulita relativa alla validità dei consensi raccolti tramite i portali online per ben 68 dei 96 contatti della “settimana campione”, confermando la violazione dell’articolo 130 del Codice e, più in generale, degli articoli 5, paragrafo 1, lettera a), e 6, paragrafo 1, lettera a), del GDPR, per assenza di una valida base giuridica per il trattamento dei dati a fini promozionali. L’Autorità, pur riconoscendo l’utilità dei portali di comparazione, ribadisce la necessità di bilanciare tali interessi con il diritto alla riservatezza degli interessati, sottolineando come formule di consenso generiche e non granulari non possano superare l’opposizione manifestata con l’iscrizione al RPO.
Inoltre, il Garante evidenzia come la moltitudine di segnalazioni ricevute prima e durante l’istruttoria, relative a chiamate promozionali effettuate nell’interesse di Energia Pulita senza consenso e spesso utilizzando numerazioni non iscritte al Registro degli Operatori di Comunicazione (ROC), confermi ulteriormente la sussistenza delle violazioni e delinei un modus operandi riconducibile al “telemarketing selvaggio”. Le segnalazioni descrivono spesso l’utilizzo di tecniche commerciali insidiose e linguaggio ingannevole, con operatori che si spacciano per conto di altri soggetti o che prospettano scenari fittizi per indurre l’attivazione di contratti con Energia Pulita. Il Garante sottolinea come alcuni contatti segnalati siano risultati riconducibili all’agenzia RG Group S.r.l., nominata responsabile del trattamento da Energia Pulita ai sensi dell’articolo 28 del GDPR, o ai suoi sub-responsabili, evidenziando una carenza nel controllo della filiera del trattamento.
Infine, il Garante considera l’elevato numero di repentini switch richiesti dai clienti dopo breve tempo dall’attivazione come un ulteriore indizio di attività promozionali condotte con modalità non conformi alla normativa. Anche la procedura di gestione delle richieste di ricontatto tramite il sito web aziendale viene ritenuta inadeguata a garantire l’esattezza e la legittima provenienza dei dati personali.
Sotto un profilo più generale, il Garante ritiene accertata anche la violazione degli articoli 5, 24, 25, 28 e 32 del GDPR. Pur riconoscendo una certa sensibilità della Società verso la protezione dei dati, l’Autorità evidenzia un notevole ritardo nell’adeguamento agli obblighi imposti dal GDPR, con numerose misure implementate solo tra la fine del 2023 e l’inizio del 2024, a distanza di anni dall’entrata in vigore del Regolamento. Il Garante rigetta la giustificazione del ritardo basata sulle negoziazioni con Green Network, sottolineando come l’acquisizione del ramo d’azienda sia avvenuta precedentemente all’avvio del percorso di compliance. In virtù dei principi di privacy by default e privacy by design (articolo 25 del GDPR), grava sul titolare l’obbligo di adottare misure adeguate fin dalla progettazione del trattamento e di aggiornare costantemente il proprio sistema privacy. L’Autorità rileva come, prima del tardivo percorso di compliance, Energia Pulita non avesse implementato misure minime e indispensabili, come una procedura efficace per la selezione di fornitori e agenti che garantisca le competenze in materia di protezione dei dati (culpa in eligendo, indirettamente richiamata dall’articolo 28 del GDPR), un meccanismo di check call bloccante per impedire l’inserimento di contratti derivanti da contatti illeciti, una formazione tempestiva dei collaboratori e misure di sicurezza adeguate per l’accesso ai sistemi (come MFA e tracciamento IP).
5. Conclusioni
Per quanto sopra esposto, il Garante ha ritenuto accertata la responsabilità di Energia Pulita in ordine alle seguenti violazioni:
- artt. 5, 6, 7, 24, 32 e 25 del GDPR, nonché dell’art. 130 del Codice per aver effettuato trattamenti di dati personali in contrasto con i principi di liceità e responsabilizzazione, in assenza di un’idonea base giuridica e mettendo in atto misure tecniche e organizzative non adeguate a garantire, fin dalla progettazione, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento;
- artt. 5, 24, 25, 28, 29 e 32 del GDPR per avere effettuato trattamenti di dati personali avvalendosi di soggetti interni ed esterni all’organizzazione aziendale, in violazione degli obblighi gravanti sul titolare del trattamento in ordine all’individuazione, formazione, direzione e monitoraggio sull’operato dei soggetti designati (cd. culpa in eligendo e culpa in vigilando);
- artt. 5, 6, 7, 9, 12 e 13, nonché dell’artt. 111 bis Codice per avere effettuato trattamenti di dati personali in assenza della previa e corretta individuazione della base giuridica del trattamento e del conferimento della prescritta informativa.
Accertata, quindi, l’illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, si rende altresì necessario:
- imporre a Energia Pulita, ai sensi dell’art. 58, par. 2, lett. f) del GDPR, il divieto di ogni ulteriore trattamento dei dati appartenenti ai segnalanti sopra richiamati;
- ingiungere a Energia Pulita, ai sensi dell’art. 58, par. 2, lett. d) ed e) del Regolamento, di comunicare ai 68 interessati, i cui dati anagrafici sono confluiti nei sistemi della Società a seguito di contatti illeciti, gli esiti dell’odierno procedimento in base ad un testo da concordare con l’Autorità in sede di applicazione del presente provvedimento;
- ingiungere a Energia Pulita, ai sensi dell’art. 58, par. 2, lett. d) di predisporre adeguati controlli presso la propria rete di vendita e adeguate implementazioni dei sistemi, al fine di escludere che possano fare ingresso nel patrimonio aziendale contratti generati da contatti illeciti;
- adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Energia Pulita della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del GDPR.
Di seguito il link per consultare il documento: Provvedimento del 27 febbraio 2025 [10114967] – Garante Privacy
Avv. Adamo Brunetti