Acea Energia, tra le principali aziende italiane nel settore della fornitura di energia, è stata sanzionata dal Garante per la protezione dei dati personali con una multa di 3 milioni di euro. Il provvedimento arriva al termine di un’indagine che ha fatto emergere gravi violazioni del GDPR, in particolare legate all’utilizzo illecito dei dati personali di migliaia di utenti a fini promozionali.
Oltre alla sanzione economica, il Garante ha imposto ad Acea l’obbligo di comunicare ufficialmente agli interessati coinvolti – i cui dati anagrafici sono stati acquisiti senza consenso da responsabili del trattamento operanti nella rete commerciale – gli esiti del procedimento, attraverso un testo da concordare con l’Autorità.
L’azienda è stata accusata non solo di violare gli obblighi previsti dal GDPR, ma anche di non aver saputo supervisionare adeguatamente i soggetti terzi coinvolti nelle attività di marketing.
L’indagine ha evidenziato numerose carenze nella gestione dei dati personali, soprattutto nel controllo delle attività promozionali delegate a soggetti esterni. Il giudizio sull’operato di Acea è stato particolarmente severo, sottolineando gravi lacune organizzative nella protezione dei dati.
Indice degli argomenti
Sanzione privacy ad Acea: cosa è successo?
Dagli accertamenti svolti dal Garante per la protezione dei dati personali sono emerse prove significative di pratiche illecite, basate sull’uso non autorizzato di liste di utenti che avevano recentemente cambiato gestore energetico.
Gli operatori di call center, utilizzando tali elenchi, contattavano i clienti simulando inesistenti disguidi tecnici nel passaggio tra fornitori e, paventando rischi di danni economici, li convincevano ad attivare un nuovo contratto di fornitura con Acea Energia.
Le liste contenenti dati personali dettagliati (numero di telefono, codice fiscale, POD, PDR, matricola del contatore e modalità di pagamento) erano acquisite da altre società appartenenti al network Acea senza uno specifico consenso da parte degli interessati, né previa informativa sul trattamento dei dati.
Questa pratica rappresenta una grave violazione del Regolamento (UE) 2016/679 (GDPR), che tutela i diritti dei cittadini in materia di protezione dei dati personali.
Secondo il Garante, Acea Energia era consapevole dei rischi associati a una campagna promozionale capillare affidata a una vasta rete di agenzie esterne, ma non è stata in grado di intercettare un fenomeno di ampia portata, che ha prodotto profitti diretti e documentabili per la società.
Tra i principali elementi emersi: l’illecita acquisizione di liste di switch-out, il massiccio contatto telefonico di decine di migliaia di utenti, ai quali venivano prospettati ipotetici danni economici in caso di mancata adesione alle offerte, e la conseguente attivazione di quasi 30.000 contratti di fornitura in un anno e mezzo.
Contratti formalmente veicolati da una ditta individuale che risultava avere un solo dipendente.
Telemarketing: la pratica del door-to-door
L’indagine ha rivelato anche anomalie significative riguardo ai tempi di attivazione dei contratti, che suggeriscono un possibile uso improprio delle modalità di vendita.
In particolare, è emerso che uno degli operatori della rete commerciale esterna di Acea, pur trovandosi in località diverse, è riuscito a concludere due contratti in soli sei minuti, uno alle 9:14 e l’altro alle 9:20 del 26 marzo 2024. I due clienti erano distanti oltre 100 km l’uno dall’altro, ma i contratti sono stati attivati in un breve lasso di tempo, senza che i sistemi aziendali di Acea emettessero alcun alert o segnalazione automatica.
Queste anomalie temporali e geografiche, se correttamente analizzate dai sistemi di Acea, avrebbero dovuto sollevare dubbi sulla regolarità dei contratti e sull’adeguatezza delle modalità di acquisizione.
Tuttavia, i controlli interni della società non hanno intercettato la situazione, lasciando spazio a potenziali irregolarità nei contratti stessi, in particolare sulla tipologia di vendita (teleselling o door-to-door), e sulla verifica della correttezza delle pratiche commerciali.
Questa negligenza ha contribuito ulteriormente alle violazioni del GDPR, mettendo in evidenza l’incapacità di Acea di monitorare in tempo reale le operazioni di marketing e vendita gestite dai suoi responsabili del trattamento, così come l’impossibilità di garantire la trasparenza e la protezione adeguata dei dati personali degli utenti.
Sistema di “instant call” e manipolazione delle pratiche commerciali
Un altro aspetto grave della vicenda è l’utilizzo delle instant call. Queste chiamate venivano effettuate per “comprovare” che i contratti fossero stati effettivamente sottoscritti a casa del cliente, in modalità door-to-door.
Tuttavia, come emerso dalle indagini, alcune pratiche sono state sbloccate grazie all’intervento diretto di un addetto Acea, che si è intromessa presso i soggetti esterni responsabili delle attività di controllo per “sbloccare” pratiche non conformi, anche attraverso l’intercessione su contratti che erano evidentemente illeciti.
Questa condotta, che getta ombre sul processo di controllo interno di Acea, dimostra l’incapacità dell’azienda di esercitare un adeguato livello di supervisione, creando una falsa impressione di conformità.
La prospettiva giuridica
Il caso di Acea richiama alla mente due concetti fondamentali nel diritto della responsabilità civile e della protezione dei dati personali: la culpa in eligendo e la culpa in vigilando.
Questi due principi sono essenziali per comprendere come un’azienda, in qualità di titolare del trattamento dei dati, debba comportarsi nella selezione e supervisione dei propri partner e fornitori.
In altre parole, la società non ha selezionato con la dovuta attenzione i propri partner (colpa in eligendo), né ha esercitato il controllo necessario sulle loro attività (colpa in vigilando).
Questo comportamento, del tutto inadeguato rispetto agli standard imposti dal GDPR, ha consentito ai responsabili di agire in maniera autonoma e senza alcun freno da parte di Acea, nonostante quest’ultima fosse pienamente consapevole della natura e dei rischi associati alla gestione dei dati personali degli utenti.
A tal proposito, sotto un profilo sistematico, è necessario ribadire che le disposizioni regolamentari (artt. 24 e 25 del GDPR) delineano un preciso quadro di responsabilità generale gravante sul titolare del trattamento, non solo nel senso di imporre a quest’ultimo l’adozione di misure adeguate ed efficaci per assicurare il rispetto della disciplina in materia di protezione dei dati personali, ma anche nel senso di esigere che il titolare dimostri, in concreto e con elementi probatori, la conformità di qualsiasi attività di trattamento che abbia effettuato direttamente o che altri abbiano effettuato per suo conto.
Questo concetto è ribadito nel considerando 74 del GDPR, che sottolinea la necessità di evidenziare le valutazioni complessive svolte sulle caratteristiche dei trattamenti, sui rischi ad essi connessi e sull’efficacia delle misure adottate.
Il Garante ha evidenziato come, pur essendo un operatore di grandi dimensioni, Acea non abbia preso le dovute precauzioni per monitorare il trattamento dei dati, fallendo nell’assicurarsi che i propri fornitori, in qualità di responsabili, rispettassero la normativa.
È stato rilevato che l’azienda non ha mai effettuato audit sui propri partner, né in fase di selezione, né successivamente, evidenziando un approccio del tutto passivo alla protezione dei dati.
Culpa in eligendo: la responsabilità nella selezione dei partner
La culpa in eligendo implica la responsabilità del titolare del trattamento nella selezione dei partner incaricati della gestione dei dati. Nel caso in esame, l’azienda è risultata responsabile per non aver adeguatamente valutato i partner incaricati delle attività di teleselling e door-to-door.
Dalle evidenze raccolte è emerso che il partner selezionato per la gestione dell’attività commerciale door-to-door non possedeva una propria struttura operativa e si avvaleva di risorse di un’altra società.
In particolare, la società incaricata si affidava a collaboratori di un’altra impresa, come attestato dagli accordi in essere tra le due società dal 2022 al 2024. Inoltre, alcuni dei collaboratori indicati come dipendenti dell’azienda erano in realtà personale e rappresentanti legali della società terza.
L’azienda ha quindi delegato la gestione dei dati personali a un partner che, per dimensione e competenze, non era in grado di garantire l’adozione di misure adeguate alla protezione dei dati, come prescritto dal Regolamento (UE) 2016/679 (GDPR). Inoltre, non risulta che siano stati effettuati audit sul partner né al momento della selezione né successivamente, per accertarsi che il trattamento dei dati fosse conforme alle normative vigenti.
Culpa in vigilando: la responsabilità nella supervisione delle attività
La culpa in vigilando si riferisce alla responsabilità del titolare del trattamento nel sorvegliare le operazioni dei partner, assicurandosi che le attività di trattamento siano conformi alle normative applicabili.
Nel caso in questione, l’azienda, in qualità di titolare del trattamento, avrebbe dovuto esercitare una supervisione adeguata e costante sui partner incaricati della raccolta dei dati direttamente dai clienti.
Tuttavia, tali partner non sempre hanno rispettato i principi fondamentali di trasparenza, sicurezza e consenso esplicito richiesti dal GDPR.
Il fallimento nel monitoraggio da parte dell’azienda ha portato a una gestione inadeguata dei dati, con gravi violazioni delle normative sulla protezione delle informazioni personali.
La culpa in vigilando si configura quando il titolare non controlla in modo efficace le operazioni dei partner, non verifica il rispetto delle normative sulla protezione dei dati e non adotta le misure correttive necessarie in caso di violazioni.
In questo contesto, l’azienda non ha vigilato in modo sufficiente, permettendo che i dati venissero trattati illecitamente e senza il consenso esplicito degli utenti.
Le azioni correttive di Acea
In risposta alle sanzioni imposte dal Garante, Acea Energia ha implementato una serie di misure correttive e di garanzia volte a rafforzare la protezione dei dati personali e migliorare il controllo delle pratiche commerciali.
Tra le principali modifiche introdotte, l’azienda ha adottato il controllo automatizzato e puntuale della geolocalizzazione degli agenti di vendita al momento della creazione della proposta di contratto (PDC).
Questo sistema, che sostituisce la precedente metodologia di controllo a campione, verifica la conformità dell’indirizzo del cliente contrattualizzato con la posizione dell’agente.
Inoltre, Acea ha stabilito un blocco automatico nei casi di accesso in multisessione con le stesse credenziali al sistema aziendale. Inoltre, l’azienda ha introdotto il blocco automatico anche in caso di attivazione di contratti a utenti ultrasettantacinquenni, per tutelare maggiormente le persone vulnerabili.
Acea ha anche implementato l’autenticazione multi-fattore per l’accesso al sistema per rafforzare la sicurezza degli accessi.
Un ulteriore provvedimento riguarda il monitoraggio automatico dei contratti digitali sottoscritti tramite il canale door-to-door, con una soglia massima di cinque PDC giornaliere per agente al fine di identificare livelli di produttività anomali.
Inoltre, è stato introdotto un processo di gestione automatizzata delle anagrafiche degli agenti, con lo scopo di monitorare in tempo reale l’attività degli agenti e impedire che vengano rilasciate autorizzazioni ad agenti cessati per comportamenti illeciti.
Infine, la società ha ricordato che ogni proposta di contratto originata dal canale porta a porta è ora soggetta a una quality call, effettuata dal call center di Acea. Questa chiamata ha l’obiettivo di verificare l’effettiva volontà del cliente e confermare la regolarità dell’operato dell’agente.
Recentemente, Acea ha aggiunto anche una specifica domanda per accertarsi che la visita domiciliare non sia stata preceduta da un contatto telefonico non autorizzato, rafforzando ulteriormente il controllo sui metodi di acquisizione dei contratti.
Sanzione privacy ad Acea: un monito per le aziende
La decisione del Garante in merito al caso di Acea costituisce un chiaro avvertimento per tutte le grandi aziende, in particolare per quelle che operano in settori ad alta intensità di trattamento dei dati personali come quello energetico.
In un contesto dove l’acquisizione di nuovi clienti avviene frequentemente tramite pratiche di marketing diretto, l’approccio adottato da Acea, che ha tentato di ridurre al minimo la propria responsabilità delegando il trattamento a soggetti terzi, ha avuto come risultato non solo gravi sanzioni, ma anche un danno significativo alla fiducia dei consumatori.
Il principio di accountability, cardine del GDPR, impone che le aziende non possano semplicemente delegare la gestione dei dati senza garantirne una supervisione adeguata.
Un processo di selezione accurato dei partner, accompagnato da un sistema di audit continuo e rigoroso, è essenziale per evitare pratiche illecite come quelle che sono emerse nel caso di Acea.
La sanzione inflitta non riguarda solo il comportamento specifico dell’azienda, ma rappresenta un invito più ampio a tutte le realtà aziendali, specialmente quelle operanti in settori sensibili, a rivedere le proprie politiche interne di protezione dei dati.
Le attività di marketing, in particolare quelle che coinvolgono terzi, devono essere gestite con la massima attenzione, adottando misure preventive e di controllo per garantire piena conformità al GDPR.
La culpa in vigilando, come evidenziato nella vicenda, dimostra che anche le grandi realtà aziendali non possono permettersi di ignorare l’operato dei propri partner. Le sanzioni possono scattare non solo per le azioni direttamente compiute, ma anche per la negligenza nel controllo che i partner rispettino le normative sulla protezione dei dati.
Il Garante ha chiaramente ribadito che delegare non basta: è fondamentale attivare processi di audit, monitoraggio e verifica costante per garantire che tutte le attività di trattamento dei dati siano conformi alla normativa.
Questo principio non è rilevante solo per il settore energetico, ma per tutte le aziende che operano in ambiti dove il marketing diretto e il trattamento di grandi volumi di dati personali sono all’ordine del giorno.
