Sanzione da 2 milioni ad Acea Energia: contratti attivati senza consenso
Il Garante per la protezione dei dati personali, con comunicato del 10 marzo 2026, ha sanzionato Acea Energia S.p.A. con una multa di 2 milioni di euro per gravi violazioni nel trattamento dei dati personali di oltre 1.200 clienti nell'ambito della fornitura di energia elettrica e gas.
L'indagine ha evidenziato un sistema di acquisizione clienti tramite agenti porta a porta privo di adeguati controlli. Gli agenti potevano acquisire i dati personali dei cittadini attraverso dispositivi mobili – scattando foto dei documenti di identità – e procedere all'attivazione di forniture energetiche con firma apocrifa, ossia senza il reale consenso degli interessati. Il sistema di "recall" (verifica telefonica successiva della volontà del cliente) si è rivelato del tutto inadeguato, in violazione del principio di liceità del trattamento sancito dall'art. 6 GDPR.
Il Garante ha riscontrato violazioni degli artt. 5 e 32 del GDPR (principi generali e misure di sicurezza) e dell'art. 130 del Codice Privacy in materia di comunicazioni commerciali indesiderate. Oltre alla sanzione pecuniaria, l'Autorità ha ordinato ad Acea l'adozione di specifiche misure correttive: sistemi di alert per il monitoraggio delle performance anomale degli agenti, controlli periodici sull'esattezza dei dati raccolti e tempi di conservazione definiti per i dati acquisiti durante il processo di vendita.
La vicenda è un monito per tutte le aziende che si avvalgono di reti di vendita esterne: il titolare del trattamento resta sempre responsabile dell'operato dei propri incaricati e deve dotarsi di procedure di controllo efficaci per prevenire trattamenti illeciti.
Fonte: Garante per la protezione dei dati personali
https://www.garanteprivacy.it
