I provvedimenti emessi offrono, in termini generali, utili spunti per regolare il trattamento dei dati personali nel contesto del rapporto tra utilities e agenzie di contrattualizzazione; al contempo, tuttavia, permangono perplessità di ordine pratico sulle misure concrete da porre in essere per conformarsi al principio di accountability.
Filo conduttore di tutti i provvedimenti emessi dal Garante è, infatti, la contestata violazione del ben noto, quanto generico, principio di accountability – che richiede ai titolari del trattamento, quali le utilities, di adottare ed attuare misure tecniche ed organizzative adeguate ed efficaci per assicurare il rispetto del GDPR – in relazione alle attività di trattamento di dati personali svolte per il tramite di agenzie, qualificate come responsabili del trattamento.
Nel dettaglio, tra le più recenti, il Garante ha sanzionato:
a) una società che verificava i dati trattati ed inseriti dagli agenti nell'applicativo aziendale mediante l'invio di una comunicazione all'indirizzo fornito dagli agenti medesimi, lamentando l'assenza di controllo circa la corrispondenza all'indirizzo della fornitura, come pure la carenza di tracciabilità della comunicazione e della sua ricezione e, infine, la mancata implementazione di un sistema di alert che consentisse di rilevare la duplicazione degli indirizzi inseriti dagli agenti (provvedimento n. 427 del 28 settembre 2023);
b) una società che controllava i dati raccolti dagli agenti contattando il cliente per il tramite dei dati di contatto forniti dall'agente stesso, sia via sms/email sia mediante una c.d. check call (vale a dire, una chiamata per verificare l'identità del cliente), rilevando sia l'assenza di sufficiente certezza circa la corrispondenza di detti dati di contatto con il reale utilizzatore dell'utenza, sia la mancanza di un sistema di tracciabilità in punto di ricezione delle comunicazioni, come pure di un sistema di alert utile ad evidenziare eventuali anomalie, quali l'inserimento di dati di contatto ricorrenti, la verifica degli indirizzi IP, il numero di contratti stipulati da una singola agenzia (provvedimento n. 476 del 12 ottobre 2023);
c) una società che consentiva agli agenti di acquisire i documenti di identità del cliente su dispositivi dell'agente anziché della società (con il connesso rischio di successivo utilizzo improprio di detti dati) e che procedeva comunque alla contrattualizzazione del cliente nonostante l'esito negativo della check call (provvedimento n. 440 del 17 luglio 2024).
I rilievi del Garante sin qui sintetizzati dimostrano le difficoltà degli operatori nell'attuare misure tecniche ed organizzative per processare i dati personali dei clienti in conformità con il GDPR, nel caso in cui questi dati siano raccolti per il tramite di agenzie.
In ogni caso, con i provvedimenti citati, il Garante fornisce utili indicazioni circa le misure da implementare affinché il trattamento svolto sia conforme al GDPR, anche nel contesto dei rapporti con agenzie. Al riguardo, il Garante ricorda la necessità di:
a) prevedere dei processi di mappatura dei trattamenti;
b) stabilire delle regole per l'attribuzione di responsabilità;
c) organizzare programmi di formazione del personale;
d) implementare procedure per la verifica dell'operato dei responsabili designati ai sensi dell'art. 28 del GDPR;
e) effettuare audit interni ed esterni con cadenza periodica.
Inoltre, al fine di supportare le società nell'implementazione di misure tecniche e organizzative adeguate, il Garante richiama specifiche regole precedentemente indicate nel provvedimento n. 231 dell'11 dicembre 2019, quali:
a) l'implementazione di un sistema di check call "bloccante" per tutte le modalità di acquisizione dei contratti da parte di agenti e venditori delle agenzie;
b) l'obbligo di registrazione della check call in caso di esito positivo;
c) l'implementazione di sistemi di alert sensibili a varie anomalie procedurali (e.g., esiti di fallita consegna, inesattezza o incompletezza dei dati contrattuali acquisiti);
d) nell'ambito delle istruzioni impartite ad agenti e venditori, l'introduzione dell'obbligo di acquisizione del documento di riconoscimento del potenziale cliente.
e) l'importanza di predisporre sistemi di audit periodici volti a verificare l'operato delle agenzie;
f) con riferimento ai dati dei clienti per cui appare opportuno sospendere la procedura di contrattualizzazione, l'implementazione di un sistema che prevede la tempestiva limitazione, in attesa di successivi controlli, di ogni ulteriore attività di trattamento dei dati medesimi.
Alla luce di quanto precede, emergono importanti indicazioni, per le utilities, al fine di regolare i rapporti con le agenzie che contrattualizzano i clienti finali. Restano, tuttavia, specifici margini di incertezza rispetto alle misure da implementare nel singolo caso concreto. Al riguardo, è opportuno procedere con una valutazione caso per caso, che tenga conto, oltre che dei provvedimenti qui illustrati, dei più recenti sviluppi tecnologici. Il tutto, ricordando che ad impossibilia nemo tenetur.
Autori: Francesco Falco, Livia Lo Dico, Chiara Arcidiacono.