Le chiamate promozionali indesiderate continuano a rappresentare uno dei fenomeni più critici in materia di protezione dei dati personali. Nonostante l’iscrizione al Registro Pubblico delle Opposizioni (RPO) e le misure previste dalla normativa vigente, molti cittadini lamentano contatti non richiesti da parte di operatori del settore energetico e delle telecomunicazioni. In tale contesto si inserisce il provvedimento del Garante per la protezione dei dati personali del 27 febbraio 2025 (doc. web n. 10114967), che ha accertato diverse violazioni da parte di Energia Pulita S.r.l. nell’ambito delle attività di telemarketing e teleselling.
Origine dell’istruttoria e accertamenti svolti
L’intervento dell’Autorità trae origine da 82 segnalazioni pervenute tra il 2023 e il 2024, nelle quali gli interessati lamentavano la ricezione di chiamate promozionali in assenza di un’idonea base giuridica. Nel corso dell’istruttoria, l’Autorità ha rilevato che, nel solo periodo gennaio-febbraio 2024, la società aveva contattato oltre 2.300 utenze telefoniche, di cui 157 risultavano iscritte al RPO al momento delle chiamate, in violazione dell’art. 130 del Codice Privacy.
Oltre a tali evidenze, è emersa la conclusione di numerosi contratti di breve durata, in alcuni casi di appena un mese, che hanno alimentato il sospetto di pratiche commerciali opache e poco trasparenti, potenzialmente favorite da contatti promozionali illeciti.
Il nodo del consenso “onnicomprensivo”
Un aspetto centrale del provvedimento riguarda la modalità con cui Energia Pulita ha acquisito i consensi per il trattamento dei dati personali a fini di marketing. La società si è avvalsa di portali web e comparatori (tra cui nuoveofferte.com, offerteenergetiche.it, tariffiamo.com) che proponevano moduli di consenso cosiddetti “onnicomprensivi”.
Con questa espressione si intende un modello in cui l’interessato, per usufruire di un servizio (es. confronto di offerte), è chiamato ad acconsentire in blocco:
- al trattamento dei propri dati personali per finalità promozionali;
- alla loro cessione a terze parti, spesso in numero elevato e appartenenti a settori merceologici eterogenei;
- all’utilizzo di molteplici canali di contatto (telefono, email, SMS, social media, posta cartacea).
Il Garante ha evidenziato come tali formule non consentano un’espressione libera, specifica e informata del consenso, contravvenendo agli articoli 4, 6 e 7 del GDPR. In particolare, l’interessato non è posto nelle condizioni di selezionare le categorie di destinatari o i mezzi di comunicazione preferiti, né di comprendere con esattezza l’estensione della diffusione dei propri dati personali.
Ne consegue che il consenso prestato in tali modalità non può ritenersi valido e, pertanto, i successivi contatti promozionali devono considerarsi illeciti.
Le responsabilità del titolare del trattamento
Energia Pulita ha sostenuto di non avere beneficiato direttamente delle attività di contatto oggetto di segnalazione, in quanto realizzate da agenzie esterne non autorizzate. Tuttavia, il Garante ha ribadito il principio di responsabilizzazione del titolare del trattamento (art. 24 GDPR), evidenziando come tale soggetto sia tenuto a vigilare sull’intera filiera dei trattamenti, anche quando delegati a soggetti terzi.
Nel caso in esame, la documentazione ha mostrato un’inadeguata governance privacy fino al 2023, con assenza di controlli sistematici, informative incomplete o errate, mancata formazione del personale e criteri poco rigorosi nella selezione delle agenzie.
La successiva implementazione di misure correttive nel corso del 2024 (audit, penali contrattuali, check call, revisione delle informative) è stata considerata positivamente ma non sufficiente ad escludere le violazioni pregresse, né a garantire un’effettiva compliance al tempo delle condotte contestate.
Gli articoli violati e le implicazioni regolatorie
Nel provvedimento, il Garante ha contestato la violazione di numerosi articoli del Regolamento (UE) 2016/679, tra cui:
- Articoli 5, 6, 7 e 9: principi di liceità, trasparenza, validità del consenso;
- Articoli 24, 25 e 32: responsabilità del titolare e misure di sicurezza adeguate;
- Articolo 29: obbligo di formazione del personale;
- Articoli 12 e 13: obblighi informativi;
- Art. 130 del Codice: chiamate a numeri iscritti all’RPO senza base giuridica.
Il caso conferma l’approccio ormai consolidato dell’Autorità volto a contrastare il fenomeno del telemarketing abusivo, soprattutto nei settori ad alta esposizione commerciale come energia e telecomunicazioni.
Questo provvedimento del Garante Privacy ribadisce come il rispetto dei principi del GDPR debba estendersi anche – e soprattutto – alle fasi più operative dei processi aziendali, come l’acquisizione di clientela tramite call center o portali web. L’adozione di un approccio privacy by design e by default, supportato da un’attenta attività di controllo, rappresenta oggi un requisito essenziale per tutelare i diritti degli interessati e per ridurre i rischi legali e reputazionali connessi all’utilizzo dei dati personali a fini commerciali.