Anche l’outsourcing non esonera dai doveri privacy previsti dal GDPR.
Calcola il preventivo
Avvocato Arlo Canella
Può un’azienda essere sanzionata per le telefonate promozionali effettuate da agenzie esterne? Secondo il Garante Privacy, sì. Il caso di Energia Pulita S.r.l., colpita da una sanzione da 300.000 euro per violazione del GDPR, mostra come il telemarketing selvaggio – anche quando esternalizzato – espone il titolare del trattamento a pesanti responsabilità [Provvedimento del GPDP, n. 114 del 27 febbraio 2025]. Tra contatti illeciti a utenti iscritti al Registro delle Opposizioni, consensi raccolti in modo opaco e controlli carenti sulla filiera commerciale, il provvedimento racconta un modello di gestione del marketing che non regge alla prova del GDPR. E l’outsourcing non basta a salvarsi.
Nel novembre 2024, il Garante per la protezione dei dati personali ha aperto un’istruttoria nei confronti di Energia Pulita S.r.l., una società attiva nella fornitura di energia elettrica e gas, a seguito della ricezione di 82 segnalazioni di utenti che lamentavano telefonate promozionali indesiderate. A queste, se ne sono aggiunte altre 20 nel corso del procedimento.
Le telefonate avevano caratteristiche ricorrenti: provenivano da numerazioni non registrate presso il ROC (Registro degli Operatori di Comunicazione), non erano precedute da informative complete e, in molti casi, raggiungevano utenti iscritti al Registro Pubblico delle Opposizioni (RPO) – lo strumento che consente ai cittadini di rifiutare contatti pubblicitari telefonici non richiesti. Talvolta, gli operatori si spacciavano per altri soggetti o fornivano informazioni fuorvianti, come ipotetici rincari imminenti o falsi passaggi obbligatori a nuovi gestori.
Energia Pulita ha risposto alle richieste del Garante dichiarando che nessuno dei contatti oggetto di reclamo aveva generato un contratto e che, salvo pochi casi (riconducibili in particolare a una delle agenzie incaricate, RG Group S.r.l.), le chiamate non erano state effettuate dalla sua rete ufficiale. Ha anche sostenuto di aver iniziato un percorso di adeguamento al Codice di Condotta sul telemarketing già a partire da novembre 2023, introducendo misure di controllo e tracciabilità nel 2024.
Nel corso dell’istruttoria, però, è emerso che diversi contatti promozionali erano riconducibili a soggetti incaricati da Energia Pulita o da sue sub-agenzie, che operavano nel canale di vendita telefonico. Particolarmente rilevante è il ricorso al modello cosiddetto “virtual sales outbound”: una procedura in due fasi, in cui il cliente viene prima contattato telefonicamente e poi guidato alla sottoscrizione del contratto attraverso un sistema digitale con invio di OTP e firma online. Nonostante l’apparente digitalizzazione, il contatto telefonico resta l’elemento centrale.
Secondo quanto ricostruito dagli accertamenti, tra gennaio e febbraio 2024 Energia Pulita ha contattato 2.327 numerazioni, di cui 157 risultavano iscritte al RPO. In parallelo, la società ha ammesso di aver acquisito contatti da portali online di comparazione tariffe, che raccoglievano i dati degli utenti attraverso form ambigui, con consensi generici (c.d. “consensi omnibus”) alla cessione dei dati a terzi, anche per finalità promozionali telefoniche.
Questa filiera – tra operatori telefonici, agenzie di vendita, portali web e sistemi CRM – ha generato un insieme di trattamenti di dati personali senza il controllo sistematico delle basi giuridiche, in un contesto in cui il marketing telefonico resta regolato da vincoli molto precisi.
Secondo il Garante, non importa quale sia il canale di vendita finale. Se il primo contatto con l’utente avviene al telefono, e se quel contatto è funzionale alla promozione o alla vendita di un servizio, allora siamo in presenza di telemarketing o teleselling. Lo dice il Codice di Condotta (art. 2) e lo conferma il provvedimento: anche nel caso del cosiddetto virtual sales outbound – in cui la firma del contratto avviene online – l’attività è soggetta alle stesse regole.
In primo luogo, l’iscrizione al Registro Pubblico delle Opposizioni (RPO) blocca qualsiasi telefonata promozionale, salvo che ci sia un consenso valido, specifico e successivo all’iscrizione stessa. In questo caso, 157 utenti iscritti al RPO sono stati comunque contattati. Ma soprattutto, secondo l’Autorità, i consensi acquisiti tramite i portali da cui Energia Pulita riceveva i “lead” non rispettavano i requisiti del GDPR (per lead si intendono i contatti di potenziali clienti, cioè utenti che hanno compilato moduli online lasciando nome, numero di telefono, e-mail e – in teoria – il consenso a essere contattati per offerte commerciali. È il “carburante” del marketing telefonico: più lead si ricevono, più numeri si possono chiamare. Ma proprio qui si annida il problema).
Le informative erano generiche, i consensi erano aggregati e non granulari, e i moduli utilizzati non permettevano di scegliere canali, soggetti o categorie merceologiche. Questo tipo di “consenso a pacchetto” non soddisfa le condizioni previste dagli articoli 4, n. 11), 6 e 7 del GDPR e dall’art. 130 del Codice Privacy, né può annullare gli effetti dell’iscrizione al RPO. Il trattamento, quindi, si considera illecito fin dall’origine.
Ma c’è di più: per il Garante, non basta che un titolare affermi di “non sapere” come siano stati raccolti i dati. L’art. 24 GDPR impone un obbligo di accountability: il titolare deve essere in grado di dimostrare la liceità del trattamento. Se si affida a terzi, deve scegliere solo soggetti affidabili (culpa in eligendo) e controllarli regolarmente (culpa in vigilando), come richiesto dagli articoli 28 e 32 del GDPR. Energia Pulita, secondo il provvedimento, non ha fatto né l’una né l’altra cosa.
Secondo il Garante, i problemi di Energia Pulita non si fermano all’acquisizione irregolare dei consensi. Il cuore del provvedimento è la constatazione che la società non ha esercitato un controllo effettivo sulla propria rete commerciale, né ha progettato misure adeguate per evitare che contatti illeciti producessero contratti validi.
L’Autorità sottolinea come l’adeguamento alla normativa privacy sia arrivato in ritardo: l’acquisizione del ramo d’azienda di Green Network è avvenuta a gennaio 2023, ma le prime azioni concrete di compliance sono datate fine 2023 – inizio 2024. Troppo tardi, per una società già attiva sul mercato e con una rete di agenzie operativa.
Inoltre, il sistema interno non garantiva controlli di ingresso efficaci sui contatti promozionali: mancava, ad esempio, una procedura “bloccante” che impedisse l’acquisizione di contratti derivanti da chiamate non conformi. Questo, secondo il Garante, ha favorito l’“inquinamento” del CRM aziendale con dati provenienti da fonti opache, a volte illegittime.
Anche sotto il profilo organizzativo, la selezione dei partner esterni e il monitoraggio sui responsabili del trattamento (agenzie e sub-agenzie) risultano carenti. L’art. 28 del GDPR impone obblighi precisi nella scelta e nella sorveglianza dei responsabili, ma nel caso in esame molti dei soggetti coinvolti nei contatti illeciti avevano un rapporto diretto o indiretto con la Società. Non è bastata la formalizzazione di clausole contrattuali o l’invio di reportistica: ciò che mancava era l’effettiva vigilanza sull’operato di chi agiva per conto dell’azienda.
Il Garante non ha contestato una singola condotta, ma una modalità sistemica di gestione del marketing, fondata su strumenti tecnologici avanzati ma su basi giuridiche traballanti. Una lezione che riguarda da vicino ogni impresa che esternalizza le vendite: non basta formalizzare controlli sulla carta, se poi nella pratica le falle restano aperte.
Ed è proprio questa debolezza strutturale ad aver spinto l’Autorità a imporre, oltre alle prescrizioni, anche una sanzione economica rilevante.
Alla fine del procedimento, il Garante ha deciso di infliggere a Energia Pulita S.r.l. una sanzione amministrativa di 300.000 euro. Non la somma massima possibile, ma una cifra comunque significativa, scelta per dare concretezza ai principi di effettività, proporzionalità e dissuasività, come richiesto dall’art. 83 del GDPR.
Il tetto massimo, per imprese come Energia Pulita, è fissato a 20 milioni di euro o, se più alto, al 4% del fatturato globale dell’anno precedente. Partendo da questa soglia teorica, il Garante ha applicato una riduzione, ma ha ritenuto comunque opportuno sanzionare l’impresa per la gravità e la durata delle violazioni.
A pesare è stato soprattutto il numero dei soggetti coinvolti, la pervasività delle condotte, l’inadeguatezza dei sistemi di controllo e il fatto che, nonostante alcuni correttivi recenti, le misure adottate non sono state ritenute sufficienti a garantire la conformità futura. L’Autorità ha anche imposto la pubblicazione del provvedimento sul proprio sito, come misura accessoria prevista dall’art. 166 del Codice, a rafforzare l’effetto deterrente nei confronti del mercato.
Una precisazione importante: il Garante ha riconosciuto un certo grado di collaborazione da parte della Società, ma questo non ha potuto compensare il ritardo accumulato e le carenze sistemiche. Energia Pulita, come previsto dall’art. 166, comma 8 del Codice Privacy, ha ora 30 giorni per pagare la metà della sanzione, chiudendo così il contenzioso. Ma il danno reputazionale, per un’impresa che si chiama “Pulita”, potrebbe pesare ancora di più.
Per chi volesse approfondire, l’intero provvedimento è disponibile sul sito del Garante per la protezione dei dati personali, al seguente link ufficiale (Provvedimento del Garante n. 114 del 27 febbraio 2025).
Avvocato Arlo Canella
