Il Garante per la protezione dei dati personali ha irrogato una sanzione di 2 milioni di euro ad Acea Energia S.p.A. per gravi violazioni nella gestione dei dati personali di oltre 1.200 clienti, connesse all’attivazione di contratti di fornitura di energia elettrica e gas mai richiesti dagli interessati.
Il procedimento trae origine da numerosi reclami presentati all’Autorità da utenti che avevano scoperto l’esistenza di un rapporto contrattuale con la società solo dopo aver ricevuto comunicazioni di attivazione della fornitura o solleciti di pagamento. In molti casi i reclamanti hanno dichiarato di non aver mai avuto contatti – né diretti né a distanza – con Acea Energia, circostanza che ha fatto emergere l’ipotesi di attivazioni contrattuali avvenute in assenza di un effettivo consenso. Dalle verifiche ispettive svolte dall’Autorità è emerso che i trattamenti di dati personali erano effettuati tramite società incaricate di procacciare clienti attraverso attività porta a porta , senza che Acea esercitasse un adeguato controllo sul loro operato. In particolare, la società non avrebbe adottato misure tecniche e organizzative idonee a prevenire utilizzi impropri o fraudolenti dei dati e dei documenti raccolti dagli agenti commerciali. Secondo quanto accertato, gli agenti potevano acquisire le generalità degli interessati tramite dispositivi mobili – ad esempio fotografando documenti – e procedere successivamente all’attivazione delle forniture anche mediante firme apocrife . L’Autorità ha inoltre ritenuto inadeguato il sistema di verifica tramite recall , che avrebbe dovuto accertare l’effettiva volontà del cliente di sottoscrivere il contratto. Oltre alla sanzione amministrativa, il Garante ha imposto ad Acea una serie di misure correttive : tra queste, l’introduzione di sistemi di alert per monitorare il rispetto delle procedure contrattuali da parte degli agenti, controlli periodici sull’esattezza dei dati raccolti e la definizione di tempi di conservazione dei dati dei clienti. Il provvedimento si inserisce nel filone delle decisioni con cui l’Autorità richiama le imprese – in particolare quelle che operano tramite reti di vendita esterne – alla responsabilità di garantire un’effettiva governance dei trattamenti e un controllo sostanziale sui soggetti che agiscono quali partner commerciali o responsabili del trattamento.