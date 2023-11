Il Garante privacy suggerisce standard tecnologici per l’attività contrattualistica di Elisa Chizzola

Sotto la lente del Garante per la protezione dei dati personali è finita l’attività di acquisizione di nuovi clienti da parte di una società fornitrice di energia elettrica nel mercato libero, che aveva l’obiettivo di stipulare contratti per via telefonica. Tale attività è risultata “non compliance privacy”

Con un recente provvedimento sanzionatorio, il Garante privacy suggerisce interessanti standards tecnologici per garantire un processo di acquisizione, conforme al GDPR, delle informazioni e dei dati personali di nuovi clienti da parte di società ed enti.

Potenzialmente, tali misure di sicurezza sono applicabili sia all’attività contrattualistica che avviene per via telefonica (e digitale), sia alla stipulazione di atti negoziali che si esplica nella forma più tradizionale vis a vis e in modalità squisitamente cartacea.

Caso: le violazioni al GDPR sanzionate

In estrema sintesi, la società è stata sanzionata dall’Autorità di controllo, in quanto il trattamento dei dati personali dei nuovi clienti che hanno proposto reclamo al Garante è stato considerato illecito: in particolare, il processo di contrattualizzazione è avvenuto utilizzando dati inesatti e non aggiornati dei clienti (nella specie: indirizzo e-mail, numero di telefono, indirizzo di fornitura), con la conseguente violazione dei principi di correttezza ed esattezza dei dati (articolo 5, par. 1, lettere a) e d), GDPR), nonché del principio di accountability in capo al titolare (articolo 24, GDPR). Oltre a ciò, la società non ha efficacemente controllato l’attività delle agenzie che, nominate quali responsabili del trattamento (ex articolo 28, GDPR), operavano per conto della società stessa.



La vicenda è complessa perché si tratta sostanzialmente della stipulazione di contratti non richiesti. Nella fattispecie, i reclamanti hanno lamentato di aver appreso dell’instaurazione del rapporto di somministrazione, solo a seguito della ricezione di una lettera di chiusura pervenuta dal precedente fornitore, del recapito delle prime fatture della società sanzionata o del ricevimento di comunicazioni volte a sollecitare il pagamento di fatture insolute, asserendo di non aver mai avuto alcun contatto né personale né a distanza con la società oggetto del provvedimento sanzionatorio.



Riguardo a tale aspetto, essendo l’attivazione di contratti non richiesti una tipica pratica commerciale scorretta, è stata naturalmente interessata un’altra Autorità nazionale di controllo, l’Autorità Garante per la concorrenza e il mercato (AGCM), che si è pronunciata già nel febbraio di quest’anno. In questo breve contributo ci occuperemo esclusivamente dei profili delle violazioni al GDPR esaminati e sanzionati dal Garante privacy .

Principio di accountability e misure tecniche ed organizzative adeguate

Come anticipato, l’intervento del Garante privacy in commento ci dà lo spunto per tracciare i confini del principio di accountability, uno dei principi cardine del GDPR, in virtù del quale il titolare è il soggetto cui è attribuita la “ responsabilità generale ” del trattamento che egli abbia posto in essere direttamente o che altri abbia effettuato per suo conto, gravando, pertanto, sullo stesso l’onere di attuare un sistema organizzativo e gestionale contraddistinto da misure effettive ed efficaci di protezione dei dati, nonché comprovabili (articoli 5, par. 2 e 24, GDPR e Considerando 74).



Ciò deve avvenire non soltanto mediante la corretta e puntuale predisposizione degli adempimenti imposti dalla normativa di protezione dei dati (informativa, registro delle attività di trattamento, nomina di un DPO ove obbligatoria, valutazione di impatto ove necessaria, ecc.), ma soprattutto attraverso l’implementazione di procedure e prassi organizzative atte a conformare i relativi trattamenti al GDPR (ad esempio, processi di mappatura dei trattamenti; regole per l’attribuzione di responsabilità; programmi di formazione del personale; procedure per la verifica dell’operato dei responsabili designati ai sensi dell’articolo 28; previsione di audit interni ed esterni con cadenza periodica; ecc.).



Tale principio, dunque, impone al titolare di configurare ab origine, conformemente al principio di privacy by design , il trattamento prevedendo misure tecniche ed organizzative adeguate ad assicurare tutte le garanzie necessarie (e non meramente “accettabili” come dichiarato dalla società oggetto del provvedimento sanzionatorio nei suoi scritti difensivi) al fine di soddisfare i requisiti del GDPR e tutelare effettivamente i diritti degli interessati. Il tutto tenendo conto dello specifico contesto nel quale il trattamento si colloca, oltre che della natura, dell’ambito di applicazione e delle finalità dello stesso (articolo 24, GDPR), primi tra tutti i rischi effettivi per i diritti e le libertà degli interessati.



L’Autorità di controllo, pertanto, non attribuisce rilevanza alla distinzione che è stata, invece, valorizzata dalla società sanzionata nei suoi scritti difensivi, relativamente all’interpretazione del principio di accountability, quale “ obbligazione di mezzi a discrezione del titolare ” e non “ obbligazione di risultato ”.



Strettamente collegato al principio di accountability, è quindi il concetto di “ sicurezza del trattamento” sancito dall’articolo 32, GDPR, più specifico per quanto riguarda l’adozione da parte del titolare/responsabile delle misure tecniche ed organizzative adeguate a garantire un livello di sicurezza adeguato al rischio.



A questo proposito, il Garante privacy nel provvedimento sanzionatorio fornisce una precisazione interessante, sottolineando che laddove il GDPR faccia espresso riferimento all’onere del titolare di tener conto anche dei “ costi di attuazione ” delle misure da adottare - circostanza non richiamata in relazione al principio di accountability (articoli 5, par. 2 e articolo 24) ma esclusivamente con riferimento ai profili inerenti alla privacy by design e alle misure tecniche di sicurezza del trattamento (articoli 25 e 32) - tale indicazione non può essere disgiunta dall’adozione di misure organizzative adeguate e di garanzie necessarie che mettano efficacemente in atto i principi al fine di tutelare i diritti degli interessati. Nel concreto, la valutazione del “ fattore costo ” implica che il titolare non impieghi una quantità sproporzionata di risorse nel caso in cui esistano misure alternative, meno dispendiose, ma ugualmente efficaci. In altre parole, le misure individuate devono pertanto garantire che l’attività di trattamento prevista dal titolare non comporti trattamenti di dati personali in violazione dei principi, indipendentemente dal costo di tali misure (si vedano anche le Linee guida EDPB n. 4/2019 ).

Misure (tecniche ed organizzative) correttive suggerite dal Garante privacy

L’acclarata, da parte del Garante privacy, inadeguatezza delle misure tecniche e organizzative adottate dalla società fornitrice di energia in esame, nell’ambito delle attività di contrattualizzazione dei clienti, porta inevitabilmente la stessa Autorità di controllo ad esplicare, oltre al suo potere sanzionatorio, anche il suo potere correttivo previsto dall’articolo 58, par. 2, lettera d), GDPR.



Come detto in premessa, tali misure correttive vengono concepite dal Garante per il caso di specie che vede protagonisti i contratti telefonici, tuttavia costituiscono standard tecnologici che si possono applicare come misure di sicurezza tecniche a tutti i processi di contrattualizzazione dei clienti, posti in essere via telefono, via digitale o anche tradizionalmente, in forma cartacea, vis a vis, dal momento che vertono sostanzialmente sul processo di acquisizione delle informazioni e dati personali di nuovi clienti.



In particolare, il Garante ingiunge alla società di adottare le seguenti misure correttive. La società deve:

• adottare un sistema di chiamata di verifica ( check-call ) bloccante a tutte le modalità di acquisizione dei contratti da parte del canale agenzia door to door, ivi compresa quella cartacea, anche in relazione al sistema di contrattualizzazione dei clienti cd. “ full digita l”;

• definire meccanismi di alert idonei a rilevare varie anomalie procedurali quali l’inserimento nei sistemi di gestione delle relazioni con i clienti (i cc.dd. CRM - Customer Relationship Management ) di numerazioni telefoniche e indirizzi e-mail ricorrenti (ad esempio superiori a 5); la difformità fra l’indirizzo di fornitura e quello di contatto del cliente; l’inesattezza o incompletezza dei dati contrattuali acquisiti; il caricamento a sistema di proposte di contratto multiple (ad esempio superiori a 4) a nome di un medesimo soggetto; l’eccessiva e inconsueta numerosità di contratti stipulati da ciascun agente/venditore; ecc., nonché di eventuali ulteriori indici di anomalia che la società, sulla base dell’esperienza acquisita, reputi parimenti impattanti sulla corretta acquisizione dei dati personali dei potenziali clienti;

• implementare, nell’ambito della fase di sottoscrizione del contratto tramite OTP, sistemi di controllo dell’esattezza delle informazioni personali del cliente (indirizzo e-mail e numero di telefono) acquisite dall’agente;

• introdurre meccanismi di accertamento dell’effettiva ricezione delle comunicazioni trasmesse al cliente in fase di contrattualizzazione (ad esempio, messaggi di conferma di ricezione e di lettura delle e-mail inviate al cliente). In tale contesto, si richiede, nello specifico, la trasmissione della welcome letter anche all’indirizzo fisico di fornitura dell’utenza, unitamente all’utilizzo di un sistema di verifica dell’effettiva ricezione della stessa;

• adottare regole procedurali in relazione alle quali, a fronte della ricezione di volumi anomali di proposte contrattuali, disconoscimenti, reclami per attivazione non richieste relative a contratti procacciati da un’agenzia, si preveda lo svolgimento, da parte della società sanzionata, di specifiche attività di verifica sulla generalità delle operazioni di contrattualizzazione poste in essere dalla predetta agenzia;

• con riferimento al trattamento dei dati dei clienti rispetto ai quali, all’esito delle diverse verifiche preventive sopra descritte, appaia opportuno in via precauzionale sospendere la procedura di contrattualizzazione, deve implementare un sistema che preveda la tempestiva limitazione, in attesa dell’esito dei successivi controlli, di ogni ulteriore attività di trattamento dei dati medesimi (adottando misure adeguate a garantire la segregazione dei suddetti dati rispetto a quelli trattati nell’ambito delle attività di ordinaria gestione della clientela).