L’obbligo di formazione privacy si estende ai responsabili nominati: le indicazioni del Garante.

Articolo header

Con la pubblicazione della newsletter del 13 settembre 2024, l’Autorità Garante Privacy ha comunicato di aver sanzionato una società operante nel settore della vendita a clienti finali di energia elettrica e gas per un importo pari a 5 milioni di euro. Fra le non conformità rilevate, il Garante ha evidenziato la carenza di audit periodici nei confronti dei responsabili nominati ai sensi dell’articolo 28 del GDPR e la mancata predisposizione, a cadenza regolare, di sessioni formative dirette ai responsabili, volte ad assicurare la corretta comprensione e la puntuale applicazione delle istruzioni a questi impartite.



Il caso Hera Co
mm

L’istruttoria del Garante nei confronti di Hera Comm S.p.A. (a seguire, per semplicità, “Hera” o la “Società”) prende le mosse da molteplici reclami ricevuti dai diretti interessati, aventi ad oggetto l’attività posta in essere dalla società attraverso agenti porta a porta, nell’ambito della fornitura di energia elettrica e gas. I reclamanti hanno segnalato al Garante, in particolare: 

  • di essere venuti a conoscenza dell'attivazione del rapporto di somministrazione di servizi con la Società solo dopo aver ricevuto dalla stessa documentazione contrattuale recante sottoscrizione apocrifa o comunicazioni relative allo stato di attivazione della fornitura di energia; 
  • l’attivazione di polizze assicurative, correlate ai contratti di cui sopra, recanti anch’esse firma falsa;
  • le difficoltà ed i disagi derivanti dall’attivazione di tali servizi non richiesti e dalla conseguente necessità di avviare azioni amministrative e giudiziarie di tutela, comportanti cospicue perdite di tempo e costi; 
  • il mancato, inesatto o tardivo riscontro della Società alle richieste relative all’esercizio dei diritti, avanzate dagli interessati ai sensi degli artt. 15 e ss. del GDPR.


L’attività svolta da Hera

A fronte delle molteplici istanze ricevute, il Garante ha avviato l’istruttoria ed effettuato diversi accertamenti in loco. Le indagini condotte hanno consentito all’Autorità di ricostruire i trattamenti svolti da Hera ed il ciclo di vita dei dati raccolti. In particolare, è emerso che il trattamento dei dati della clientela veniva effettuato a partire da diversi canali, quali: 

  • l’attività di teleselling; 
  • le agenzie porta a porta, operanti per mezzo di un mandato di agenzia in qualità di plurimandatari con esclusiva per la vendita di servizi di energia elettrica e gas;
  • il canale “inbound” (ovvero il call center interno); 
  • la contrattualizzazione via web;
  • gli sportelli Hera Comm (ovvero punti fisici gestiti da personale dipendente della Società); 
  • gli “Hera Comm point” (ovvero negozi gestiti dalle agenzie in funzione del territorio di competenza).


Il processo di vendita 

Come anticipato, le vendite tramite canali porta a porta e gli “Hera Comm Point” venivano gestiti attraverso il ricorso ad agenzie terze, designate responsabili ai sensi dell’art. 28 del Regolamento. Le agenzie, per ogni attività svolta, erano tenute a sottoscrivere un contratto specifico, comprensivo di regole a cui gli agenti dovevano attenersi (il c.d. “Manuale di vendita”). 

Le fasi del processo di vendita possono essere così riassunte: 

  1. gli agenti operavano con moduli cartacei e richiedevano agli interessati la sottoscrizione del contratto, con firma autografa; 
  2. il contratto firmato, insieme a copia del documento di identità e, in alcuni casi, copia dell’ultima bolletta, veniva portato dall’agente in agenzia, dove era scansionato e caricato sul CRM utilizzato da Hera;
  3. una volta caricata nel CRM, la proposta contrattuale firmata veniva validata dagli operatori in due fasi: un preliminare controllo documentale e l’effettuazione di una “quality call” o “check call”, ovvero una chiamata al cliente per verificare l’effettiva volontà negoziale;
  4. in base a specifici criteri, se una chiamata restituiva esito positivo veniva trasmesso un messaggio di conferma al cliente, la c.d. “welcome letter”; 
  5. 45 giorni dopo la welcome letter, lo switching contrattuale era completato.


L’esito dell’istruttoria: molteplici gravi criticità

L’istruttoria del Garante ha evidenziato che, nonostante i trattamenti siano stati posti in essere da responsabili esterni (che hanno agito in violazione delle istruzioni impartite dalla Società titolare), le misure tecniche e organizzative adottate da Hera, nell’ambito dei processi di acquisizione della clientela (mediante il canale door to door), non sono risultate adeguate alla natura, al contesto, alle finalità e ai rischi del trattamento, configurando una violazione dei principi di “responsabilizzazione” e di “integrità e riservatezza”. 

Fra le varie non conformità, il Garante ha rilevato: 

  • un’attività di trattamento dei dati personali non conforme principi generali di cui all’art. 5 del GDPR. Ciò con specifico riferimento alle modalità di acquisizione di proposte contrattuali, mediante il trattamento di dati inesatti e non aggiornati riferiti alla clientela;
  • l’inadeguatezza delle misure tecniche e organizzative adottate, con particolare riferimento alle varie fasi del processo di vendita sopra descritto;
  • rispetto alla fase di verifica della volontà negoziale (la “quality call” o “check call”), l’assenza di risposta da parte del cliente, nella maggior parte dei casi, non interrompeva il processo di contrattualizzazione. I criteri utilizzati per la valutazione dell’operato degli agenti e la verifica dell’effettiva volontà degli interessati, infatti, sono apparsi del tutto inefficaci, in violazione del principio di accountability, oltre che dei principi di liceità, correttezza ed esattezza;
  • diverse carenze nelle privacy policy apparse lacunose e poco efficaci;
  • tempi di conservazione dei dati della clientela sproporzionati rispetto alle finalità dei trattamenti posti in essere, in violazione del principio di limitazione della conservazione;
  • un riscontro inadeguato rispetto alle istanze di accesso ai propri dati presentate dagli interessati;
  • diverse carenze nelle procedure, che hanno permesso agli agenti di agire in violazione delle istruzioni impartite dal titolare;
  • la mancanza di sistemi di alert in grado di rilevare anomalie nelle fasi del processo di vendita (ad es. l’anomalo numero di quality call con esito irreperibile, il caricamento sul CRM di proposte di contratto multiple a nome di un medesimo soggetto, etc.);
  • la mancanza di un sistema di controllo efficace sui trattamenti effettuati dagli agenti.

 

La gestione dei ruoli

In relazione all’attività svolta dagli agenti e ai trattamenti effettuati da questi ultimi, la società aveva provveduto a predisporre apposite nomine ai sensi dell’articolo 28 del GDPR, senza però che alle stesse fosse abbinata un’attività di audit in materia di protezione dei dati personali. Allo stesso modo, la società ha dichiarato che le attività di formazione condotte erano “incentrate [esclusivamente"> sul processo di vendita” e che non era prevista una formazione specifica in materia di protezione dei dati personali.

In seguito alle interlocuzioni con il Garante, Hera si è attivata al fine di integrare la modulistica in essere con le agenzie, in modo da prevedere istruzioni specifiche sul trattamento dei dati personali. Al contempo ha rappresentato “l’intenzione di avviare un’attività di audit mediante la somministrazione di una check-list in materia di adempimenti privacy”. Infine, per quanto riguarda la formazione alle agenzie, la Società ha dichiarato di aver implementato un sistema per l’erogazione di sessioni formative a cadenza periodica, comprensivo di reportistica volta ad attestare le presenze ed il download dei materiali messi a disposizione per le docenze.


Il Garante sull’attività di audit

In merito all’attività di audit sugli agenti responsabili nominati, il Garante ha precisato che, in base al principio di accountability, spetta al titolare la “responsabilità generale” del trattamento, a prescindere dal fatto che lo stesso sia stato posto in essere direttamente dal titolare o per il tramite di terze parti. Il titolare, pertanto, non è tenuto esclusivamente ad attuare gli adempimenti ad esso direttamente imposti dalla normativa in materia di protezione dei dati personali (la predisposizione di informative, la redazione di un registro, la valutazione di impatto ove necessaria, etc.), ma deve anche implementare procedure e prassi organizzative atte a conformare i trattamenti al GDPR.

Fra le procedure e prassi da attuare il Garante cita, a titolo esemplificativo e non esaustivo: 

  • i processi di mappatura dei trattamenti; 
  • le regole per l’attribuzione di responsabilità; 
  • i programmi di formazione del personale; 
  • le procedure per la verifica dell’operato dei responsabili designati ai sensi dell’art. 28; 
  • la previsione di audit interni ed esterni con cadenza periodica.

Gli audit, in particolare, “devono essere svolti in adempimento ad un programma predefinito di controlli, da effettuarsi a cadenza periodica, concernenti il rispetto della normativa di protezione dei dati personali e devono ricomprendere attività di verifica documentale, nonché ispezioni in loco. Le verifiche effettuate, inoltre, devono essere dettagliatamente documentate mediante la redazione di appositi report, contenenti indicazione delle misure correttive (e/o preventive) da adottare.

La Società, a discapito di quanto dichiarato in merito alle ulteriori azioni intraprese, non ha fornito al Garante “idonee assicurazioni in ordine all’implementazione in futuro di audit in materia di protezione dei dati personali”. Pertanto ha agito in violazione dell’art. 5 par. 2, dell’art. 24 e dell’art. 28 del GDPR.


Il Garante sull’attività di formazione dei responsabili nominati

Anche in relazione all’attività di formazione, l’Autorità richiama il principio di accountability che impone al titolare “la necessaria predisposizione, a cadenza regolare, di sessioni formative, dirette ai responsabili nominati ai sensi dell’art. 28 del Regolamento, atte a garantire la corretta comprensione e la puntuale applicazione delle specifiche istruzioni impartite a questi ultimi”. 

La Società si è limitata a fornire istruzioni incentrate sul processo di vendita ed una formazione di portata generale. Per tale ragione ha agito in violazione dei sopracitati artt. 5, 24 e 28 del GDPR.


La sanzione irrogata, considerazioni

Al termine delle indagini condotte, il Garante ha determinato l’applicazione di una sanzione pari a 5 milioni di euro. Fra i fattori aggravanti considerati, hanno pesato sull’ammontare complessivo dell’importo: 

  • il numero di interessati coinvolti nelle condotte illecite della Società e la tipologia di danno subito dagli stessi (segue);
  • il “rilevante pregiudizio subito dagli interessati” derivante della conclusione di contratti non richiesti nel mercato libero dell’energia (talvolta unitamente all’attivazione di polizze assicurative anch’esse non richieste), con conseguente necessità per gli stessi di farsi carico di tutti gli oneri amministrativi, burocratici e giudiziari connessi all’instaurazione delle azioni previste a propria tutela;
  • la durata nel tempo e le modalità ripetute delle condotte illecite; 
  • le carenze privacy sistemiche dei processi e delle politiche implementate dalla Società;
  • il comportamento significativamente negligente della Società in ordine all’attuazione di misure tecniche ed organizzate adeguate a garantire la sicurezza e la conformità dei trattamenti svolti, in particolare per il tramite degli agenti.

 

In conclusione, mediante il provvedimento esaminato, il Garante ha chiaramente definito l’importanza di pianificare, a cadenza periodica, un’attività di verifica documentale, nonché ispezioni in loco, sui responsabili del trattamento nominati, e di predisporre, a cadenza regolare, sessioni formative dirette proprio ai responsabili. Se desideri restare costantemente aggiornato sui provvedimenti del Garante più significativi, iscriviti alla newsletter dell’Associazione.

Altre news