Il Garante per la protezione dei dati personali ha recentemente sanzionato Acea Energia S.p.A. e altre ditte minori con una multa complessiva di 3.000.000 di euro, per un uso illecito dei dati personali finalizzato a un procacciamento massivo di contratti nel settore energetico, mediante pratiche aggressive e non autorizzate.

Negli ultimi mesi, molti cittadini sono stati bersaglio di continue chiamate da call center, con avvisi allarmanti e falsi problemi riguardanti le forniture di luce e gas. Queste pratiche, che spesso sfociano in vere e proprie truffe, hanno contribuito alla crescita di un “sottobosco” illegale di call center, come definito dallo stesso Garante.

La catena illecita che ha coinvolto Acea

Secondo l’Autorità, la società Fer-Energy S.r.l. ha trasmesso liste di utenti “switch-out” (coloro che avevano da poco cambiato fornitore) ad altri operatori di mercato, in particolare all’agenzia Stefanelli Federica, formalmente incaricata da Acea.

Quest’ultima ha poi messo in collegamento Acea con il call center di M.G. Company S.r.l., che ha procacciato contratti per Acea tramite un sistema ben strutturato:

1. Creazione di falsi allarmi: si inventavano inesistenti problemi tecnici legati al cambio di fornitore, sostenendo il rischio di bollette doppie.

2. Falsa soluzione proposta: veniva offerto un “rientro tecnico” in Acea con sconti (es. -40%), per “risolvere” il presunto disguido.

3. Coinvolgimento di venditori porta a porta: dopo il consenso verbale, il cliente veniva visitato da un venditore, presentato come “incaricato Acea”, il quale riceveva in anticipo via WhatsApp le registrazioni delle telefonate.

4. Formalizzazione a domicilio: la vendita si concludeva con una firma cartacea, trasformando così un contatto telefonico in vendita porta a porta.

Tutto ciò avveniva senza un valido consenso informato, e senza fornire un’informativa privacy come previsto dal GDPR.

Le principali violazioni riscontrate

1. Assenza di base giuridica e informativa adeguata

La M.G. Company ha trattato dati personali raccolti illecitamente, senza informare gli interessati né avere una base giuridica valida. I cosiddetti script informativi utilizzati risultavano ingannevoli, impedendo ai clienti di comprendere l’effettivo uso dei propri dati.

Come ricorda l’art. 6 del GDPR, nessun trattamento è lecito in assenza di una base giuridica. Non sempre si tratta di consenso: esistono altre cinque basi legittime, ma devono essere chiaramente identificate e documentate.

2. Commercio illecito di dati personali

Le liste, contenenti informazioni altamente dettagliate e sensibili (telefono, codice fiscale, POD/PDR, matricola del contatore, modalità di pagamento), venivano trasmesse via email e poi Telegram, in modo non tracciabile e poco trasparente.

Fer-Energy veniva “retribuita” con scambi di collaboratori e storni provvigionali, senza alcuna forma contrattuale chiara o autorizzazione.

Acea aveva formalmente nominato Stefanelli come responsabile ex art. 28 GDPR, ma Stefanelli non ha nominato a sua volta i propri sub-responsabili, né chiesto autorizzazione ad Acea.

Fer-Energy agiva di fatto come titolare autonomo del trattamento, ma senza una base giuridica valida né un consenso specifico degli interessati.

Il GDPR come opportunità, non solo obbligo

Questo caso dimostra come il Regolamento (UE) 2016/679 (GDPR) non debba essere visto come un ostacolo burocratico, ma come una leva strategica per:

• Costruire fiducia con i clienti

• Aumentare la trasparenza

• Differenziarsi sul mercato

Al contrario, l’uso illecito dei dati personali può causare gravi danni reputazionali, sanzioni economiche e, in casi estremi, conseguenze penali.

Lezioni da portare a casa

• Verifica sempre la filiera di trattamento: ogni anello coinvolto dev’essere legittimato, nominato e consapevole delle proprie responsabilità.

• Non basta una nomina ex art. 28 GDPR: vanno verificate le nomine “a catena” e il rispetto delle regole anche dai sub-responsabili.

• Mai trascurare l’informativa e il consenso: sono la base della fiducia e della legalità.

• La compliance non è un lusso: è un investimento nella reputazione e nella sostenibilità dell’impresa.

Se hai bisogno di supporto in tema di privacy ti segnaliamo i nostri professionisti partner dello Studio Legale FCLEX esperti di diritto dell’informatica e nuove tecnologie.

Avv. Giuseppe Croari – Dott. Francesco Zizzo