Door-to-door e CRM: gli errori che oggi costano milioni

I clienti di tale società, segnalando la condotta illecita all’Autorità, hanno infatti riferito di aver appreso dell’attivazione delle forniture solo a seguito del recapito, da parte della società, di comunicazioni attestanti l’avvenuta attivazione o, peggio, di note recanti solleciti di pagamento: la relativa documentazione riportava dati personali inesatti (es. e-mail, indirizzo di fornitura, numero di telefono, estremi del documento di riconoscimento, ecc.), nonché sottoscrizioni apocrife. 

L’istruttoria svolta dal Garante Privacy ha consentito di indicare una serie di inadempimenti data protection, per la maggior parte determinati dalla lacunosa procedura di gestione dell’operato degli agenti “porta a porta”, nominati responsabili del trattamento da parte della società sanzionata. 

In particolare: sebbene la raccolta dei dati personali dei potenziali clienti venisse svolta da parte degli agenti sulla base di specifiche istruzioni fornite dalla società, nel contratto di agenzia e, in particolare, nel “Codice deontologico AE” e nel “Data Processing Agreement” allegati allo stesso, tali istruzioni non contenevano, alla data degli accertamenti ispettivi, indicazioni dettagliate sulle procedure di verifica dell’identità del cliente, limitandosi a prevedere che l’agente, fosse tenuto, all’atto dell’adesione alla proposta contrattuale redatta in modalità cartacea, a “fare copia del documento d’identità dell’intestatario della fornitura” e, in occasione della sottoscrizione con modalità digitale, a effettuare “una scansione di un documento d’identità del cliente”. Le istruzioni lasciavano all’agente un ampio margine di discrezionalità in ordine agli strumenti e alle modalità da impiegare per l’acquisizione della copia del documento di identità dell’interessato, ciò in contrasto con il rapporto titolare-responsabile.

In tale occasione, il Garante ha inoltre precisato che una simile procedura non appare in linea con il principio di integrità e riservatezza di cui al GDPR, in quanto peraltro non adatta ad assicurare che la documentazione acquisita dall’agente sia dallo stesso trasmessa unicamente ai sistemi della società ed immediatamente cancellata dal dispositivo dell’agente. 

Con riferimento alle ulteriori fasi inerenti alla procedura di contrattualizzazione, è stato inoltre rilevato che la “Comunicazione di benvenuto” sarebbe stata inviata al cliente all’indirizzo e-mail acquisito in fase di sottoscrizione del contratto senza che lo stesso indirizzo venisse verificato, né che venisse verificata l’effettiva ricezione della comunicazione. Un simile processo non fornisce sufficiente certezza sulla qualità dei dati raccolti, sulla corrispondenza con l’effettivo utilizzatore dell’utenza, nonché sulla sua identità, determinando un alto rischio di acquisizione di contratti non richiesti, contenenti dati personali inesatti e non aggiornati.

Gli accertamenti ispettivi hanno inoltre evidenziato che la società non si è dotata a suo tempo −ai fini della verifica dell’esattezza dei dati personali contenuti nei contratti procacciati dalle agenzie− di un sistema di rilevamento del caricamento nel CRM, da parte degli agenti, di numerazioni telefoniche, indirizzi e-mail e indirizzi IP ricorrenti. In aggiunta, la società non aveva introdotto, per tali canali, la procedura di instant call, in luogo della misura dell’OTP, comunque ritenuta insufficiente dal Garante in quanto l’agente potrebbe indicare un recapito diverso (ad esempio un’utenza nella sua disponibilità) al fine del perfezionamento del contratto che avverrebbe all’insaputa del cliente (che, successivamente andrebbe a disconoscere il recapito utilizzato per l’attivazione). 

Infine il Garante Privacy ha ritenuto la società inadempiente per non aver previsto un piano di audit specifico in materia di protezione dei dati personali con riferimento alla rete “porta a porta”.

​

Conc​​​lusioni​​

Il caso esaminato dal Garante mostra con grande evidenza che, quando la raccolta e la gestione dei dati personali non sono sorrette da procedure chiare, verifiche tecniche adeguate e controlli effettivi, le criticità emergono in modo immediato. Identità non verificate, recapiti inesatti, caricamenti ripetuti nel CRM e margini di discrezionalità eccessivi concessi ai responsabili esterni non sono più considerati semplici anomalie operative: vengono oggi qualificati come violazioni dirette dei principi di esattezza, integrità e riservatezza del GDPR.

Le misure richieste dal Garante nel provvedimento — istruzioni puntuali al responsabile del trattamento; procedure specifiche per la verifica dell’identità; controlli sull’acquisizione e sulla ricezione della comunicazione di benvenuto; sistemi di rilevazione di recapiti e indirizzi IP ricorrenti nei caricamenti CRM; adozione di un meccanismo di “instant call” per confermare numero e identità; piano di audit dedicato per la rete dei responsabili — rappresentano oggi lo standard minimo per garantire la conformità delle reti commerciali “porta a porta”.

Il messaggio dell’Autorità è quindi molto chiaro: l’assenza di procedure strutturate e verificabili non è più compatibile con il GDPR.

In tutti i contesti in cui i dati dei clienti vengono raccolti tramite intermediari, agenti o reti esterne, la mancanza di controlli preventivi e successivi espone inevitabilmente l’azienda agli stessi rischi emersi in questo caso: attivazioni non richieste, reclami, ispezioni, contestazioni e, infine, sanzioni di importo significativo.

Le organizzazioni sono quindi chiamate a verificare tempestivamente se i propri processi rispettano queste condizioni: non essere in linea, oggi, significa assumersi consapevolmente il rischio di replicare uno scenario del tutto analogo a quello sanzionato dal Garante.​