Ci risiamo: il Garante privacy torna a sanzionare Acea Energia, una delle più grandi aziende per la fornitura di energia elettrica, come da comunicato del 10 marzo 2026.

Questa volta infligge una sanzione da 2 milioni di euro per via dell’attivazione, a oltre 1.200 clienti e utenti del tutto ignari, di contratti di fornitura luce e gas, da agenti porta a porta, in palese violazione della privacy.

Sanzione privacy ad Acea Energia: le violazioni privacy

Plurime sono le violazioni che hanno condotto il Garante privacy, con il provvedimento del 12 febbraio 2026, a sanzionare pesantemente una tra le più grandi aziende in Italia nel settore.

La vicenda nasce da alcune segnalazioni con le quali i reclamanti segnalavano all’Autorità di essere venuti a conoscenza dell’instaurazione di un rapporto di somministrazione, solo dopo aver ricevuto comunicazioni dalla nota azienda dell’avvenuta ma non richiesta attivazione di fornitura ovvero a fronte di solleciti di pagamento.

Senza, tuttavia, avere mai ricevuto alcun contratto, né personale né a distanza. Non solo, dalla lettura del provvedimento notiamo anche che taluni reclami nascevano dal tardivo o mancato riscontro di Acea vs richieste di esercizio dei diritti azionate dagli utenti/interessati.

Ancora, dalle ispezioni effettuate emergeva poi che molti dei trattamenti avvenivano per il tramite di società nominate – ex art. 28 GDPR – da Acea Energia con il mandato di procacciare potenziali clienti, ma senza alcuna adeguata vigilanza, evidenziando come la nota società in questione non avesse adottato nemmeno misure tecniche e organizzative adeguate nonché idonee a prevenire eventuali utilizzi fraudolenti dei documenti acquisiti dagli agenti porta a porta.

Ma andiamo con ordine.

Trattamento illecito di dati

Il trattamento illecito dei dati nel caso di specie è consistito nel raccogliere i dati personali di clienti/utenti oltre 1.200 in maniera non lecita.

Nella fattispecie, per il tramite di agenzie operanti nel settore e in modalità di “porta a porta”, veniva attivata la fornitura dell’energia a insaputa dei medesmi. Soltanto al momento della effettiva attivazione, la società provvedeva a inviare al cliente, tramite e-mail, una “comunicazione di benvenuto”.

Naturalmente, al fine di perfezionare questi contratti, gli agenti o sedicenti tali acquisivano, tramite tablet, i dati consistenti negli estremi del documento di riconoscimento dei vari clienti malcapitati.

Finalità di contrattualizzazione illegittima

Le attività di contrattualizzazione dell’utenza/clientela avvenivano i più modi, e cioè tramite:

• push, ove il contatto con il cliente avvenga su input della Società (door to door e teleselling);
• pull, qualora il contatto con la società fosse su iniziativa del cliente;
• porta a porta, shop/negozi WindTre e full web.

Il tutto senza contratti o comunque in totale assenza di trasparenza.

Misure di sicurezza del tutto carenti e inadeguate

Anche le misure di sicurezza tecniche e organizzative hanno lasciato a desiderare, apparendo del tutto carenti e inadeguate.

Infatti, soltanto a seguito degli accertamenti ispettivi del Garante e della contestazione delle violazioni, la nota società ha comunicato di aver implementato, da maggio 2025 il “sistema SCIPAFI (Sistema pubblico di prevenzione delle frodi nel settore del credito al consumo) con riferimento al furto d’identità su tutti i canali di vendita (sia push che pull)” affinché gli autorizzati potessero trascrivere “nel CRM, i dati riportati nel documento di riconoscimento del cliente (ovvero “numero del documento, data di emissione del documento, data di scadenza del documento, ente che ha rilasciato il documento”), al fine di interrogare il predetto sistema.

Il tutto in totale assenza di misure di sicurezza nella verifica dell’identità del cliente, come ad esempio in una serie di alert (automatici) per assicurare che i documenti di identità per dei prospect risultassero “associati univocamente all’anagrafica di un unico cliente/persona fisica”, evitando così il riuso dei documenti. Insomma, sistemi tecnici deboli, carenti se non assenti.

Contratto da responsabile del trattamento all’acqua di rosa e audit inesistenti

Ancora, tra le violazioni privacy riscontrate nel caso in parola v’è una totale negligenza sull’operato delle agenzie, quali responsabili del trattamento (ex art. 28 GDPR).

Di qui, la palese violazione di una regola fondamentale in materia secondo la quale il Titolare è tenuto ad “impiegare unicamente responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate”.

Si tratta di “un obbligo permanente” come chiariscono bene le Linee guida 07/2020 dell’EDPB, in forza del quale occorre “ad intervalli adeguati, verificare le garanzie offerte dal responsabile del trattamento […] attraverso comportamenti proattivi, atti a individuare tempestivamente eventuali situazioni patologiche del processo di contrattualizzazione (e dunque delle attività di trattamento che ne conseguono), sia per il tramite della previsione di audit periodici volti al controllo dell’operato delle agenzie incaricate e alla verifica del corretto e puntuale adempimento dei compiti ad esse affidati”, come si legge correttamente nel provvedimento in parola.

Né Acea sui suoi responsabili ha mai fatto degli audit (di seconda parte) atti a verificare l’operato delle agenzie designate responsabili del trattamento.

Tempi di conservazione non definiti

Infine, sui tempi di conservazione dei dati personali della clientela è emerso come non fossero affatto definite tempistiche specifiche, se non un generico riferimento di dieci anni per la tenuta dei dati della clientela.

Di qui, la evidente violazione anche dell’art. 5, par. 1, lett. e) del GDPR la quale impone che “i dati personali devono essere conservati in modo da consentire l’identificazione dell’interessato, per un arco di tempo non superiore a quello necessario a conseguire le finalità del trattamento”.

In altri termini, per lo stretto necessario rispetto alle finalità per cui i dati personali sono trattati. Ecco perché il titolare è chiamato a garantire una “corretta” durata del trattamento.

Cosa impariamo dalla sanzione privacy ad Acea Energia

Questa ennesima sanzione privacy ad Acea che viene dopo e nemmeno a distanza di un anno da quando la stessa importante società era stata sanzionata, sempre dal Garante privacy per un’altra violazione al GDPR per telemarketing (aggressivo, selvaggio), rappresenta un ulteriore chiaro avvertimento per tutte le aziende, specialmente le grandi, che operano in settori ad alta intensità di trattamento dati personali, come è quello energetico.

Il “sacro-fuoco” dell’accountability impone a maggior ragione che le Organizzazioni non possano affidare la gestione dei dati personali senza garantirne un’adeguata supervisione.

Di qui, l’onere per il titolare di una selezione accurata e l’attivazione di audit periodici.

Ecco, dunque, che una sanzione così, va ben oltre il caso di specie, e accende il faro su queste tematiche, suggerendo revisioni costanti a policy interne poco robuste, nonché un reale potenziamento delle misure di sicurezza le quali, se non adeguate, diventano inutili per non dire controproducenti.