Quando il "porta a porta" diventa un problema di privacy: la responsabilità del titolare del trattamento dei dati personali non viene meno con la delega a terzi
La vicenda: contratti attivati senza il consenso dei clienti
La vicenda riguarda una società che opera nel mercato libero dell'energia elettrica e del gas. Per acquisire nuova clientela usa diversi canali: agenti "porta a porta", negozi fisici e il sito web.
Tuttavia, a seguito di varie segnalazioni al Garante privacy, è emerso che varie persone avevano scoperto di avere un contratto di fornitura attivato a loro insaputa, dopo avere ricevuto una bolletta o un sollecito di pagamento, senza aver tuttavia mai parlato con nessun rappresentante della società.
L'indagine del Garante, avviata con un'ispezione nel gennaio 2024, ha accertato che alcuni agenti avevano inserito nel sistema dati personali inesatti o falsi (es. e-mail, numeri di telefono, documenti di identità), riuscendo così a perfezionare contratti a nome di persone che non avevano mai dato alcun consenso.
Le violazioni accertate
Il Garante ha rilevato varie violazioni strutturali nel trattamento dei dati personali, tra cui:
1. dati inesatti raccolti dagli agenti
Le misure adottate dalla società non erano sufficienti a rilevare anomalie evidenti: per esempio, lo stesso numero di telefono o lo stesso indirizzo e-mail ripetuto in più di 5 contratti diversi. In oltre 4.300 pratiche era presente questa anomalia, ma nessun sistema automatico la segnalava (almeno fino al 2023).
2. controlli insufficienti sul canale "porta a porta"
Gli agenti raccoglievano copia del documento d'identità del cliente usando i propri dispositivi personali, senza che la società avesse adottato misure tecniche adeguate per evitare che quei dati restassero nella disponibilità dell'agente e potessero essere riutilizzati per altri contratti fraudolenti.
3. nessuna verifica sugli altri contratti degli agenti "irregolari"
Quando veniva scoperto un agente che aveva procacciato contratti non richiesti, la società avviava un'istruttoria solo sul caso segnalato. Non controllava però gli altri contratti conclusi dallo stesso agente, lasciando potenzialmente in piedi altre situazioni anomale.
4. dati conservati troppo a lungo e senza distinzione
I dati dei clienti che avevano presentato reclamo per contratto non richiesto venivano conservati per 10 anni, come tutti gli altri. Non esisteva una procedura per isolarli e limitarne l'uso, né per revocare automaticamente i consensi eventualmente prestati.
5. informativa non corretta per i clienti dei negozi fisici gestiti da un terzo
L'informativa privacy indicava la società di energia e il terzo operatore titolare dei negozi fisici di rivendita come contitolari del trattamento per tutte le attività, compresa la gestione del contratto di fornitura. Ma il Garante ha chiarito che per quell'attività specifica la società di energia è titolare autonomo e avrebbe dovuto nominare la catena dei negozi come responsabile del trattamento ai sensi dell'art. 28 del GDPR.
Il principio chiave: la responsabilità resta sempre in capo al titolare
Questo caso ci dà l’occasione di ricordare un principio fondamentale che non va mai dimenticato: delegare le attività a terzi non significa trasferire in modo assoluto la responsabilità.
Il titolare del trattamento è responsabile di tutto ciò che viene fatto con i dati personali, anche se le operazioni sono compiute da un agente esterno. Questo significa che deve:
- scegliere collaboratori che offrano garanzie adeguate
- dare istruzioni chiare e specifiche
- verificare che quelle istruzioni vengano rispettate
- adottare misure tecniche e organizzative che rendano difficile, o impossibile, aggirare le regole
- effettuare audit periodici sui responsabili nominati ai sensi dell'art. 28 del GDPR
Nel caso affrontato, la società si era dotata di regole e procedure, ma non abbastanza rigorose. E questo, per il Garante, è stato sufficiente per accertare la violazione.
Perché la sanzione è così alta
Il Garante ha applicato una sanzione di 2 milioni di euro, tenendo conto di diversi fattori:
- le violazioni duravano da circa tre anni (2021-2023)
- riguardavano oltre 1.200 persone con danni concreti: tempo perso, costi legali, attivazioni da gestire e disattivare
- le criticità non erano episodiche ma sistemiche: riguardavano le procedure stesse di acquisizione dei clienti
- il fenomeno delle attivazioni non richieste nel settore energetico era già noto e il Garante aveva già fornito indicazioni specifiche in passato
Tra i fattori attenuanti: la collaborazione con il Garante durante il procedimento, l'assenza di precedenti sanzioni, l'adozione di alcune misure correttive nel corso dell'istruttoria.
Cosa fare nella tua organizzazione
Questo provvedimento riguarda una grande società energetica, ma le indicazioni che ne derivano sono utili per qualsiasi impresa o studio professionale che lavora con agenti, collaboratori o fornitori che trattano dati personali per loro conto:
1. nomina correttamente i tuoi responsabili del trattamento: chi tratta dati per tuo conto deve essere designato formalmente ai sensi dell'art. 28 del GDPR. Non basta un accordo commerciale generico: serve un contratto che definisca obblighi precisi in materia di protezione dei dati.
2. dai istruzioni chiare e verificabili: non è sufficiente dire "rispetta il GDPR". Occorre specificare come raccogliere i dati, come conservarli, cosa fare in caso di anomalia. Le istruzioni devono essere concrete e controllabili.
3. monitora l'operato dei tuoi collaboratori: prevedi audit periodici, anche a campione. Se emergono irregolarità su un caso, verifica anche gli altri casi gestiti dallo stesso soggetto.
4. implementa sistemi di controllo automatici: dove possibile, usa strumenti che segnalino anomalie (es. dati ripetuti, incongruenze, comportamenti insoliti). Prima si intercetta il problema, minori sono i danni.
5. definisci tempi di conservazione specifici per ogni situazione: i dati non si conservano tutti allo stesso modo e per lo stesso tempo. In caso di reclamo, di contratto non andato a buon fine, di dati rivelatisi inesatti, occorre una procedura ad hoc: isola quei dati, limitane l'uso, cancellali quando non servono più.
6. forma chi lavora con te: agenti, collaboratori, dipendenti: chiunque tratti dati per tuo conto deve sapere cosa può e cosa non può fare. La formazione non è un optional, ma uno degli strumenti di accountability che il GDPR richiede.
La compliance come sistema, non come adempimento
Questo caso ci ricorda che la protezione dei dati personali non si esaurisce nella compilazione di un registro o nella redazione di un'informativa.
È un sistema che deve essere progettato, monitorato e aggiornato nel tempo. Soprattutto quando l'attività coinvolge reti commerciali, agenti o fornitori esterni.
Investire in un sistema di compliance solido non è un costo, è una protezione concreta per la tua organizzazione e per le persone i cui dati tratti ogni giorno.
Iscriviti alla nostra newsletter
Per ricevere novità e approfondimenti sul tema della conformità delle organizzazioni (aziende, studi professionali, associazioni, enti): contratti, privacy, regole del digitale, sostenibilità, modello 231.
