Sanzione ad Acea per telemarketing illecito: cosa insegna il caso sul corretto uso dei dati personali

Il Garante per la protezione dei dati personali ha recentemente sanzionato Acea Energia S.p.A. e altre ditte minori con una multa complessiva di 3.000.000 di euro, per un uso illecito dei dati personali finalizzato a un procacciamento massivo di contratti nel settore energetico, mediante pratiche aggressive e non autorizzate.

Negli ultimi mesi, molti cittadini sono stati bersaglio di continue chiamate da call center, con avvisi allarmanti e falsi problemi riguardanti le forniture di luce e gas. Queste pratiche, che spesso sfociano in vere e proprie truffe, hanno contribuito alla crescita di un “sottobosco” illegale di call center, come definito dallo stesso Garante.

La catena illecita che ha coinvolto Acea

Secondo l’Autorità, la società Fer-Energy S.r.l. ha trasmesso liste di utenti “switch-out” (coloro che avevano da poco cambiato fornitore) ad altri operatori di mercato, in particolare all’agenzia Stefanelli Federica, formalmente incaricata da Acea.

Quest’ultima ha poi messo in collegamento Acea con il call center di M.G. Company S.r.l., che ha procacciato contratti per Acea tramite un sistema ben strutturato:

  1. Creazione di falsi allarmi: si inventavano inesistenti problemi tecnici legati al cambio di fornitore, sostenendo il rischio di bollette doppie.

  2. Falsa soluzione proposta: veniva offerto un “rientro tecnico” in Acea con sconti (es. -40%), per “risolvere” il presunto disguido.

  3. Coinvolgimento di venditori porta a porta: dopo il consenso verbale, il cliente veniva visitato da un venditore, presentato come “incaricato Acea”, il quale riceveva in anticipo via WhatsApp le registrazioni delle telefonate.

  4. Formalizzazione a domicilio: la vendita si concludeva con una firma cartacea, trasformando così un contatto telefonico in vendita porta a porta.

Tutto ciò avveniva senza un valido consenso informato, e senza fornire un’informativa privacy come previsto dal GDPR.

Le principali violazioni riscontrate

1. Assenza di base giuridica e informativa adeguata

La M.G. Company ha trattato dati personali raccolti illecitamente, senza informare gli interessati né avere una base giuridica valida. I cosiddetti script informativi utilizzati risultavano ingannevoli, impedendo ai clienti di comprendere l’effettivo uso dei propri dati.

Come ricorda l’art. 6 del GDPR, nessun trattamento è lecito in assenza di una base giuridica. Non sempre si tratta di consenso: esistono altre cinque basi legittime, ma devono essere chiaramente identificate e documentate.

2. Commercio illecito di dati personali

Le liste, contenenti informazioni altamente dettagliate e sensibili (telefono, codice fiscale, POD/PDR, matricola del contatore, modalità di pagamento), venivano trasmesse via email e poi Telegram, in modo non tracciabile e poco trasparente.

Fer-Energy veniva “retribuita” con scambi di collaboratori e storni provvigionali, senza alcuna forma contrattuale chiara o autorizzazione.

Acea aveva formalmente nominato Stefanelli come responsabile ex art. 28 GDPR, ma Stefanelli non ha nominato a sua volta i propri sub-responsabili, né chiesto autorizzazione ad Acea.

Fer-Energy agiva di fatto come titolare autonomo del trattamento, ma senza una base giuridica valida né un consenso specifico degli interessati.

Il GDPR come opportunità, non solo obbligo

Questo caso dimostra come il Regolamento (UE) 2016/679 (GDPR) non debba essere visto come un ostacolo burocratico, ma come una leva strategica per:

  • Costruire fiducia con i clienti

  • Aumentare la trasparenza

  • Differenziarsi sul mercato

Al contrario, l’uso illecito dei dati personali può causare gravi danni reputazionali, sanzioni economiche e, in casi estremi, conseguenze penali.

Lezioni da portare a casa

  • Verifica sempre la filiera di trattamento: ogni anello coinvolto dev’essere legittimato, nominato e consapevole delle proprie responsabilità.

  • Non basta una nomina ex art. 28 GDPR: vanno verificate le nomine “a catena” e il rispetto delle regole anche dai sub-responsabili.

  • Mai trascurare l’informativa e il consenso: sono la base della fiducia e della legalità.

  • La compliance non è un lusso: è un investimento nella reputazione e nella sostenibilità dell’impresa.

Se hai bisogno di supporto in tema di privacy ti segnaliamo i nostri professionisti partner dello Studio Legale FCLEX esperti di diritto dell’informatica e nuove tecnologie.

Avv. Giuseppe Croari – Dott. Francesco Zizzo

 

avvocato giuseppe croari bologna privacy

ConsumatoriICTMarketingTelefonia
maggio 20, 2025
marketingprivacytelemarketing
logo fclex nero

Scopri anche

Sanzione ad Acea per telemarketing illecito: cosa insegna il caso sul corretto uso dei dati personali

20 Mag
Leggi tutto
aliexpress dropshipping

Il Dropshipping su AliExpress: Tutela del Consumatore e Obblighi del Venditore 

9 Mag
Leggi tutto
intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

28 Mar
Leggi tutto
linee guida agcom influencer

Nuove Linee guida AGCOM per Influencer e Content Creator: Criticità, multe e sfide nel Contesto Giuridico

17 Gen
Leggi tutto
ecommerce sanzioni direttiva omnibus 2023 omnibus

Nuovi obblighi per gli eCommerce: maggiori responsabilità per le imprese e tutele per i consumatori

14 Apr
Leggi tutto
recesso contratto clausola ecommerce limite

Diritto di recesso dal contratto: limiti e clausola di recesso

6 Apr
Leggi tutto

Ultimi aggiornamenti

lead generation legale trucchi marketing clienti

Controllo AI sui dipendenti: fino a che punto è legale?

La digitalizzazione dei processi aziendali ha portato a una progressiva introduzione di strumenti di intelligenza artificiale (IA) anche nell’ambito del diritto del lavoro. Tra le applicazioni più discusse vi è l’impiego di sistemi automatizzati per il monitoraggio dell’attività dei lavoratori. Tali strumenti, se da un lato […]
giugno 23, 2025
Leggi tutto

Pagare o cedere i dati? Il Garante avvia una consultazione pubblica sul modello “Pay or Consent”

La fruizione illecita di contenuti audiovisivi online continua a rappresentare una minaccia strutturale per l’intero settore dell’intrattenimento digitale. I danni stimati superano i 300 milioni di euro all’anno solo nel comparto sportivo, con un impatto significativo soprattutto per eventi trasmessi in diretta. Per rispondere a questa […]
giugno 3, 2025
Leggi tutto

Contrasto alla pirateria digitale: risultati concreti, ma con impatti rilevanti sul sistema

La fruizione illecita di contenuti audiovisivi online continua a rappresentare una sfida rilevante per l’intera industria dell’intrattenimento digitale. I danni, che si traducono in centinaia di milioni di euro ogni anno (oltre 300 solo nel comparto calcistico), hanno spinto il legislatore ad adottare misure sempre più […]
maggio 27, 2025
Leggi tutto

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.

scopri altri video

Dirittodellinformatica.it è rivista telematica registrata il 08.04.2008 presso il Tribunale di Foggia (n. 10/08 registro periodici, cron. n. 816/08). Proprietario del sito: Giuseppe Croari. Direttore responsabile: Gerardo Antonio Cavaliere. P.I. Studio Legale FCLEX: 02863681207.

Il contenuto del sito è sottoposto a licenza Creative Commons (Attribuzione-Non commerciale-Non opere derivate 3.0 Unported). E' possibile riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare il contenuto del sito purché sia attribuita esplicitamente la paternità di ogni sua singola parte; non sono consentiti utilizzi per fini commerciali, nè alterazioni o trasformazioni del contenuto del sito.

© 2025 dirittodellinformatica.it