Settantanove milioni di sanzione. Una cifra alta ma, forse, neppure troppo considerato il tipo di Data breach e le conseguenze per tutti noi.

Due società di telemarketing nel veronese raccoglievano proposte per la conclusione di contrati che giravano ad altra azienda, con sede a Firenze, che aveva accordi con agenzie di vendita della Rete Enel. Questa società, peraltro, non era stata nominata responsabile del trattamento.

Approfondisci l'argomento > E se il Data Breach diventa un danno irreparabile?

A sua volta questa società trasferiva le proposte una cooperativa, che il Garante definisce il vero motore organizzativo in quanto svolgeva il data-entry dei contratti acquisiti da varie aziende, provvedeva a coordinare autonome iniziative promozionali, contattando telefonicamente i potenziali clienti, ricompresi in un proprio database, per attività di marketing poi finalizzate da altre società.

In sintesi, il gruppo di società, dove quella “motore” addirittura caricava i contratti senza autorizzazione all’accesso ai sistemi, operavano senza formali autorizzazioni o designazioni da parte della committente utilizzando banche dati illecitamente ottenute.

Dopo gli accertamenti su dette società, ovviamente, il Garante si rivolgeva direttamente a ENEL dove è emerso un sistema di attribuzione delle credenziali per l’accesso al sistema, da parte di agenzie esterne, che il Garante ha pesantemente censurato. Il sistema, infatti, non escludeva la possibilità di accessi multipli e contemporanei con le medesime credenziali consentendo a più soggetti, anche esterni alla rete di vendita ufficiale; quindi, esenti dai vincoli imposti contrattualmente anche in relazione al rispetto della normativa di data protection,
Il Garante ha posto in evidenza di come la compagnia elettrica si avvantaggiasse dell’attività del sottobosco del telemarketing in assenza di efficaci misure di sicurezza e, addirittura, con la disattivazione di forme di controllo.

Inoltre, Enel non aveva posto in essere quel controllo capillare nei confronti dei responsabili richiesto dalla normativa e che si riflette a cascata su tutti gli anelli della catena.

La difesa di Enel, oltre che su aspetti procedurali, si è focalizzata sulla circostanza che le società protagoniste della vicenda non erano in alcun modo contrattualizzate, ma il Garante ha operato un ragionamento mirato più alla sostanza della vicenda che non agli aspetti formali. Invero, documentalmente, Enel aveva nella propria disponibilità 978 contratti e una lista di quasi 600 utenti transitati tramite società che hanno effettuato attività di Data Entry nel portale Enel senza credenziali di autenticazione proprie.

Inoltre, la stessa compagnia elettrica, per ben otto anni, ha permesso ad una società diffidata perché non autorizzata a usare nome e marchio ENEL, di caricare oltre 9.000 contratti.

Potrebbe interessarti > La gestione della catena esterna della Data Protection

Un insieme di attività che ENEL poteva e doveva controllare al punto che, il garante, ha considerato le sue omissioni un approccio non consapevole né responsabile alla questione telemarketing selvaggio e scorretto. Dall’istruttoria è anche emerso che questa ormai consolidata pratica veniva posta in essere da operatori di Data Entry e non da esperti cyber-criminali. Anche i sistemi di verifica di accessi e alert si sono rivelati inefficaci. In sintesi, ENEL ha omesso di adottare, nei confronti della rete di agenti ufficiali, le misure adeguate a garantire un corretto utilizzo delle credenziali di accesso al sistema aziendale e ad evitare la condivisione delle credenziali stesse fra più soggetti.

A niente è valso anche l’argomento difensivo della società secondo la quale gli illeciti erano commessi da soggetti non ricompresi nella rete di vendita ufficiale e contrattualizzata quindi al di fuori del suo controllo.

Il garante ha opposto che la conoscenza dei processi volti al trattamento dati impone la pianificazione della protezione mediante un circuito virtuoso, specialmente quando, come nel caso, si parla di aziende di primaria rilevanza per l’economia nazionale che, viceversa, si è avvalsa di un’attività illecita posta in essere, tra gli altri, da un soggetto che appariva nella black list di Enel stessa.

Altre violazioni sono state poste in luce rispetto ai contratti standard usati da ENEL in materia di nomina dei sub responsabili e, al termina di un corposo provvedimento, capillarmente motivato, oltre alla sanzione di sessantanove milioni , il Garante ha ingiunto anche di comunicare a 595 interessati, i cui dati anagrafici sono confluiti nei sistemi della Società a seguito delle illecite acquisizioni, gli esiti del procedimento in base ad un testo da concordare con l’Autorità in sede di applicazione del presente provvedimento, nonché altre misure che, verosimilmente, porteranno ENEL ad una completa ridefinizione del suo modello di protezione dati con i costi che ne deriveranno.