Fiat lux
"Il buio che precede la genesi non è tanto oscuro quanto il mercimonio dei dati personali."
(CB)
Purtroppo questa tenebra fatta di CRM, database, call center, procacciatori d’affari, liste, broker, faccendieri e lestofanti non risparmia nessuno perché chiunque abbia dei dati personali, prima o poi, attira gli sciacalli. A causa di questa inevitabile e comune sorte, ogni azienda si deve confrontare con un eterno dilemma:
“Se il mio partner si avvale di un sottobosco di filibustieri ma io mi proteggo con 150 pagine di contratto e non vedo e non sento niente, posso trarre vantaggio dal fatto che sia lui a fare il lavoro sporco?”
Questa domanda non ha né una risposta univoca né una risposta netta. Viviamo tutti in un mondo di compromessi, di relazioni, di fraintendimenti, di fantasiose deduzioni e comode ingenuità.
A pensarci, appare molto lontano il concetto di “buon padre di famiglia”, tanto caro alla old school del diritto e, sovente, viene addirittura frustrando il concetto di “buona fede” e di “trasparenza”.
Viviamo in questo mondo, un po trascinati per inerzia, un po ' invischiati come fossimo nella pece.
Ma "c'è una crepa in ogni cosa ed è da li che entra la luce". (Leonard Cohen)
Tutto iniziò da una piccola cosa e, come accade con una palla di neve che rotola, si trasformò in una valanga.
C’era una volta una ridente cittadina che tutti chiamavano Soave. Nonostante il regno fosse afflitto dalla maledizione della strega COVIDia, due agenti di commercio, intenti a vendere i fiammiferi realizzati dalla piccola pENELope, passeggiavano incuranti dei divieti vigenti in quel periodo per sconfiggere il maleficio. Una zelante pattuglia di cavalieri del Re, sul loro cavallo grigio, fece un controllo e, insospettita dai tesserini di dubbia provenienza, volle approfondire la loro conoscenza. Si sa, in questi casi da cosa nasce cosa, fattostà che l’pENELope, ignara di tutto, finì per essere sanzionata per quasi 80.000.000 di Euro.
Sembra una fiaba ma, con una certa approssimazione dovuta alla sintesi, è accaduto veramente.
Con riferimento al PRIMO provvedimento di sanzione ad ENEL, nell’estate 2023 pubblicai un post su twitter per spiegare il buffo smascheramento operato dalla Guardia di Finanza durante il periodo pandemico che portò all'indagine del Garante e alla prima raffica di sanzioni per mercimonio di liste:
Arnia società cooperativa per 800.000€
Mas s.r.l.s. per 200.000€
Mas s.r.l. 500.000€
Sesta Impresa s.r.l. 300.000€
Si veda qui per maggiori dettagli: https://twitter.com/prevenzione/status/1666111590691684353
Di lì a poco, ENEL venne sanzionata per 26.500.000,00 di Euro. Questo provvedimento fu impugnato da ENEL e il tribunale ha annullato la sanzione per un difetto procedurale del Garante e il mancato rispetto dei tempi dell’istruttoria.
In effetti, il Tribunale non affronta il provvedimento nel merito e l’annullamento della sanzione, di fatto, non dice assolutamente nulla sulla condotta dell’ente che, allo stato attuale, è stata giudicata illecita dal Garante.
(https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9735672)
Pochi giorni fa il Garante Privacy ha pubblicato un secondo provvedimento sanzionatorio verso ENEL.
(https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9988710)
Si, di nuovo… ma per motivi differenti, o meglio, contestando violazioni differenti rispetto a quelle alla base del primo provvedimento.
Enel viene quindi raggiunta da una serie di nuove sanzioni così articolate:
- Obbligo di comunicare ai 595 interessati, i cui dati anagrafici sono confluiti nei sistemi della Società a seguito delle illecite acquisizioni da parte delle società partner, gli esiti del procedimento in base ad un testo da concordare con il Garante.
- Obbligo di fornire adeguata documentazione al fine di attestare le avvenute implementazioni di misure di sicurezza che impediscano accessi contemporanei al sistema N.Eve
- Obbligo di adottare ulteriori misure per garantire la tracciabilità e l’efficace monitoraggio delle operazioni svolte e degli eventi critici sul sistema N.Eve e per impedire l’accesso da indirizzi IP diversi
- Obbligo di fare in modo che le agenzie stipulino con subagenti contratti del tutto conformi al contratto standard stipulato tra Enel Energia e le agenzie medesime e nei quali sia chiaramente esplicitata la distribuzione delle responsabilità nel trattamento dei dati
- Obbligo di riferire entro 30 giorni sull’attuazione di questi obblighi
- Dulcis in fundo, una sanzione pari a € 79.107.101,00 (settantanovemilionicentosettemilacentouno)
Penso che la sanzione peggiore da digerire sia la letterina da mandare alle 595 persone coinvolte, anche perchè non potrà rimanere riservata e sarà interessante vederne i contenuti. Ricorda un po il cammino espiatorio della “Shame Walk”.
La somma da pagare probabilmente è già accantonata a bilancio e comporterà il taglio di qualche testa (metaforicamente parlando)
Le altre sanzioni sono complesse da attuare ma vanno considerate migliorie e investimenti quindi penso che non saranno un problema.
A questo provvedimento vorrei dedicare alcune osservazioni.
Innanzitutto la forma:
Il provvedimento è organizzato come un “botta e risposta” continuo dove il Garante elenca e riassume tutte le contestazioni che la difesa di Enel ha opposto in sede di istruttoria. Per ciascun elemento di difesa, alcuni certamente non peregrini, il Garante ha puntualizzato la propria posizione, a volte ricorrendo a precedenti provvedimenti, a volte in punto di diritto. In più d'una occasione, il Garante indulge in piccate repliche e argomentazioni emotive, abbastanza tautologiche seppur corrette che, probabilmente, saranno apprezzate da chi dovrà impugnare il provvedimento.
Considerando la lunghezza del provvedimento, la complessità dell’istruttoria e la naturale tendenza a complicare le situazioni, la lettura è lunga e impegnativa. Non oso immaginare quanto difficile possa essere stata la redazione.
Ad ENEL vengono contestati alcuni comportamenti specifici, comuni a quelle aziende che beneficiano del lavoro sporco effettuato dai partner dei propri partner.
Il primo comportamento contestato dal Garante consiste nell’aver permesso l’utilizzo condiviso delle credenziali di autenticazione degli operatori. Questo è reso possibile proprio da un sistema di autenticazione che non esclude la possibilità di accessi multipli e contemporanei con le medesime credenziali ed è idoneo a consentire a più soggetti, anche esterni alla rete di vendita ufficiale di Enel Energia e, dunque, sottratti ai vincoli che la stessa impone contrattualmente anche in relazione al rispetto della normativa di data protection, di caricare proposte contrattuali sui sistemi in uso, i CRM (denominato N.Eve).
Anche le misure di autenticazione evolute, introdotte da ENEL, si sono dimostrate concretamente inefficaci come per l’utilizzo della autenticazione a due fattori che, per come è stata implementata, non comporta l’impossibilità che più soggetti, anche non noti alla Società, condividano le medesime credenziali consegnate ad un agente. Infatti l’authenticator utilizzato consente di collegare ad un account più dispositivi di verifica, senza disconnettere i precedenti dispositivi. Solo tardivamente ENEL ha modificato questa impostazione impedendo, ex ante, accessi multipli da parte di una medesima utenza terminando la sessione aperta qualora se ne istauri un’altra con le medesime credenziali o negando l’instaurazione della nuova sessione.
Questo è, per il Garante, il peccato originale poichè costituisce la porta di ingresso delle molteplici attività illecite del cd. “sottobosco del telemarketing”.
Pur disponendo di diversi sistemi di verifica della compliance e pur raccogliendo i log degli accessi delle agenzie della propria rete di vendita, ENEL non ha mai utilizzato effettivamente gli strumenti a sua disposizione per verificare il corretto utilizzo dei sistemi e prevenire pratiche scorrette.
Uno dei punti analizzati dal Garante riguarda i LOG del CRM, grazie ai quali ENEL avrebbe dovuto accorgersi della presenza di operazioni sospette. Questi LOG registrano i METADATI delle operazioni di accesso al sistema, di caricamento dei contratti e assomigliano moltissimo ai metadati che recentemente sono diventati oggetto del provvedimento che ne stabilisce un termine breve di conservazione fissato ad un massimo di 7 giorni. Conservazioni ulteriori dovrebbero poter avvenire unicamente con una procedura autorizzativa.
(Per maggiori dettagli si veda QUI …”Chi vusa püsé la vaca l'è sua”)
Una grande parte dell’istruttoria si basa proprio sull’analisi dei metadati dei LOG, raccolti e analizzati in un arco temporale decisamente lungo. ENEL li conserva ordinariamente per 18 mesi (72 settimane, 540 giorni) e le analisi hanno potuto contare su una mole di dati sufficiente per appurare i fatti e i comportamenti contestati.
Mi domando cosa sarebbe accaduto se ENEL avesse rigorosamente applicato sin dal 2007 i principi che il Garante ha vergato nelle sue linee guida di allora e che afferma più di recente nel Documento di Indirizzo relativo ai metadati nei log delle email.
Di sicuro non avrei scritto questo articolo e, forse, il Garante non avrebbe avuto elementi per contestare violazioni ad ENEL.
Il Garante affronta inoltre un tema apparentemente formale ma dagli importanti risvolti sostanziali: la nomina dei responsabili del trattamento e degli ulteriori sub-responsabili del trattamento.
Un corretto sistema di distribuzione delle responsabilità non può prescindere da un capillare controllo, previsto anche dal GDPR, che il titolare deve porre in essere nei confronti dei responsabili del trattamento, ed anche nei confronti dei sub-responsabili. Il Garante contesta la mancanza di un effettivo controllo e questo sarà difficile da confutare dal momento che ENEL ha accettato 9380 contratti in 8 anni caricati da un partner formalmente diffidato per uso illegittimo del marchio Enel.
ENEL da formalizzato contratti standard decisamente articolati e completi con i propri partner. Documenti di 150 pagine, scritti e verificati con attenzione che, tuttavia, presentano un difetto: con riferimento all’articolo 28 del GDPR, viene applicata solo la seconda parte dell’articolo, relativa al trasferimento di responsabilità dal titolare al responsabile in relazione all’operato del sub-responsabile, trasferimento che, da un’interpretazione sistematica dell’articolo, deve ritenersi operante solo in caso di esatta applicazione della prima parte.
La prima parte dell’articolo 28 non è presente nei contratti di ENEL e questo ha causato l’interruzione del meccanismo di propagazione degli obblighi contrattuali verso i sub-responsabili.
Il testo al quale non si fa riferimento prevede che “quando un responsabile del trattamento ricorre a un altro responsabile del trattamento (SUB-RESPONSABILE ndr) per l'esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento”
In pratica, ENEL ha sottoscritto con i propri partner contratti gioiello da 150 pagine, superdettagliati e blindatissimi.
I partner hanno trovato, a cascata, altre aziende a cui appoggiarsi, sub-fornitori, stipulando contratti farlocchi, riassumendo tutto in un paio di paginette e omettendo ogni elemento necessario per vincolarli a comportamenti rispettosi del GDPR.
Prosit
¸.•*´¨`*•.¸ ¸.•*´¨`*•.¸
Se sei arrivato fino a qui meriti un plauso. Complimenti!
Se ti è piaciuto l'articolo, se ti ha dato spunti utili per la tua vita privata o professionale, prendi in considerazione l'idea di ringraziarmi e puoi farlo in due modi:
- Condividendo il mio lavoro sui tuoi social. Questo aiuterà altre persone
- Con una donazione. Questo aiuterà me.