Il Garante Privacy sanziona Enel: tra assenza di idonee misure di sicurezza e malagestione della filiera produttiva.
Con provvedimento n. 81 dell’8 febbraio 2024, il Garante per la protezione dei dati personali ha comminato ad Enel Energia S.p.a. una sanzione amministrativa record – pari a ben 79.107.101 di euro – dopo avere accertato gravi deficit nei sistemi di sicurezza adottati dalla società per la gestione del c.d. data entry, termine che sta ad indicare l’attività di inserimento dei contratti di fornitura gas e luce – stipulati in nome e per conto di Enel da parte delle agenzie ad essa affiliate – all’interno del CRM della società.
Tali carenze consentivano a società terze, non associate ad Enel, di insinuarsi nella catena produttiva della società con accesso non autorizzato al suo CRM, nel quale riversavano i contratti che illegalmente avevano stipulato con i consumatori finali, presentandosi ad essi come agenzie autorizzate del gruppo Enel. In questo modo, alimentando la pratica illecita del “telemarketing abusivo”.
Non solo, perché oltre alla riscontrata violazione dell’art. 32 GDPR e delle disposizioni regolanti i principi di privacy by design e by default (quest’ultimo aspetto non verrà trattato in questa sede), il Garante ha contestato ad Enel l’ulteriore violazione dell’art. 28 GDPR, per non avere ripartito correttamente gli ambiti di responsabilità delle agenzie autorizzate, operanti in suo nome, le quali erano legate ad Enel in forza di accordi (però) non rispondenti alla cautele imposte dalla citata norma e privi di previsioni che le vincolassero al rispetto delle dovute accortezze nella designazione dei sub-responsabili del trattamento. In altre parole, l’Autorità accertava una grave disarticolazione nella meccanica contrattuale della intera filiera di vendita di Enel, ove in sostanza ogni attore era responsabile in proprio rispetto ad un trattamento (comune) di dati personali, le cui finalità erano le medesime per tutti: stipulare contratti di fornitura per il titolare del trattamento, Enel.
Più in dettaglio, sulla violazione delle misure di sicurezza (art. 32 GDPR), le risultanze istruttorie svelavano come la piattaforma d’accesso al CRM di Enel (denominata “New Eve”) consentisse l’accesso multiplo ovvero contemporaneo di più soggetti muniti delle credenziali di accesso per effettuare il data entry. Inoltre, mancava un effettivo sistema di controllo degli accessi logici, per cui più utenti potevano accedere anche da posizioni geografiche diverse.
Queste carenze, lungi dal rappresentare una svista del titolare del trattamento, seguivano scelte ben precise e motivate di Enel, la quale infatti ha sostenuto di non avere valutato come rischioso un simile meccanismo di accesso alla piattaforma New Eve, aggiungendo a propria difesa che la non opportunità di implementare maggiori accortezze era dovuta alla riscontrata difficoltà di geolocalizzare con precisione gli indirizzi IP, nonché, per quanto riguarda gli accessi multipli alla piattaforma, all’eccessivo numero di falsi positivi, visto l’elevato utilizzo (da parte degli autorizzati) di dispositivi mobili.
Il Garante, nel rigettare le considerazioni difensive di Enel, ha ritenuto inammissibile per una società del calibro di Enel, leader nel settore energia e ben consapevole dell’esistenza del fitto sottobosco del telemarketing, una simile gestione dei sistemi di sicurezza della propria struttura informatica, ciò che ha realizzato, per usare le parole del Garante, “lo sbocco commerciale” per la perpetrazione di attività illecite: dal 2015 al 2022 sarebbero stati caricati abusivamente sul CRM della società circa 9300 contratti, stipulati da consumatori ignari del fatto che i propri dati personali venivano trattati al di fuori di qualsivoglia schema legale.
Riassumendo, le falle presenti nel sistema di sicurezza dell’applicativo utilizzato da Enel per il caricamento dei contratti di fornitura gas e luce, consentendo accessi multipli e da posizioni geografiche diverse al CRM della società, avevano consentito a soggetti non autorizzati – in quanto non legati ad Enel da alcun rapporto formalizzato – di concludere contratti in nome di Enel e caricarli poi, attraverso le credenziali di accesso ottenute da agenzie autorizzate, sul CRM del titolare del trattamento (sugli espedienti utilizzati da queste società abusive per manifestarsi quali mandatarie di Enel, si consiglia la lettura del provvedimento n. 184 del 13 aprile 2023 del Garante, visualizzabile al seguente link https://www.garanteprivacy.it/garante/doc.jsp?ID=9893718).
Relativamente invece al diverso profilo della violazione dell’art. 28 GDPR, si è in parte accennato, dall’attività istruttoria è emerso come nei contratti standard stipulati tra Enel e le agenzie da essa autorizzate (i responsabili del trattamento) mancasse qualsiasi riferimento alla prima parte dell’art. 28.4 del Regolamento, il quale, come noto, regola l’allocazione delle responsabilità nell’ipotesi in cui il responsabile del trattamento decida di ricorrere a c.d. sub-responsabili del trattamento. In particolare, in tal caso la norma richiede al responsabile di imporre al sub-responsabile (mediante atto vincolante) gli stessi obblighi privacy di cui al contratto (il c.d. “DPA”) che lega il primo al titolare del trattamento.
Ciò a cui solo si faceva riferimento nel contratto standard, era la parte conclusiva dell’art. 28.4 GDPR, il quale così recita: “Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile”. Non v’è chi non vede come questo passaggio, in assenza della prima parte della disposizione, si trasforma in un mezzo idoneo a consentire lo scarico pressoché totale di responsabilità dal titolare al responsabile del trattamento.
Non solo, ulteriore effetto della violazione è stato, secondo il Garante, quello di generare una sorta di “terra di nessuno” (ossia quella dei sub-responsabili del trattamento), priva di regole e disancorata dalla catena di responsabilità che dal sub-responsabile risale, inevitabilmente, fino al titolare del trattamento.
In conclusione, il provvedimento commentato ci rivela la cruciale importanza per le aziende di dotarsi di sistemi e misure di sicurezza adeguati, i quali tengano in debita considerazione, fin dalla fase di valutazione preliminare del rischio, delle numerose insidie legate all’ambiente specifico in cui si trovano ad operare. Ciò impone di ampliare la prospettiva e non limitarsi a considerare l’efficacia di una misura ex se, ma calando quella misura in un contesto più ampio e articolato, per valutarne la saggezza all’interno di uno scenario di rischio complessivamente considerato. Ci rivela altresì come nella complessità del mercato odierno, aumentando fisiologicamente il rischio connaturato alla maggior parte dei trattamenti di dati personali, sia opportuno per i titolari porsi nell’ottica per cui diventa necessario giocare d’anticipo, optando per soluzioni che tengano conto non solo degli sviluppi tecnologici ma anche delle (conseguenti) crescenti capacità lesive di attori malintenzionati. Infine, ci invita a considerare l’essenzialità di una corretta gestione delle relazioni contrattuali e dell’allocazione delle responsabilità tra titolare, responsabili e sub-responsabili del trattamento, specie in contesti in cui la filiera produttiva è, soltanto per l’elevato numero di soggetti coinvolti, idonea a generare rischi rilevanti.