Il Garante per la Protezione dei Dati Personali ha inflitto a Enel Energia una multa salata di 563.052 euro per violazioni significative nel trattamento dei dati personali durante attività di telemarketing e televendita. L'indagine ha rivelato una metodologia particolarmente subdola: la società energetica contattava i clienti al telefono con motivazioni apparentemente legittime, come completare pratiche contrattuali, per poi trasformare queste chiamate in veri e propri tentativi di vendita di nuove offerte. Un approccio che il Garante ha giudicato completamente illegittimo e lesivo dei diritti degli utenti.
Ciò che rende ancor più grave la condotta è che queste proposte commerciali venivano avanzate anche quando gli interessati avevano già manifestato chiaramente il loro rifiuto di essere contattati per finalità di marketing. Enel Energia, secondo gli accertamenti, non disponeva di una base legale adeguata per procedere in questo modo, configurando una chiara violazione dei principi fondamentali del GDPR: liceità, correttezza e trasparenza nel trattamento dati.
L'inchiesta ha scoperto ulteriori falle nel sistema di gestione dei dati lungo tutta la catena operativa. Enel Energia affidava a società esterne i contatti con i clienti, ma il Garante ha evidenziato come la società non avesse implementato controlli sufficienti su questi partner commerciali. La selezione dei fornitori risultava carente, così come la sorveglianza sulle loro attività. In molti casi, le irregolarità sono state corrette solo dopo l'intervento diretto del Garante, sintomo di un sistema di monitoraggio interno profondamente inefficace.
Un ulteriore aspetto critico riguarda il modo in cui veniva acquisito e verificato il consenso degli utenti. Enel Energia utilizzava un meccanismo di opt-out basato su SMS, permettendo ai clienti di revocare eventuali autorizzazioni tramite messaggio. Il Garante ha ritenuto questo sistema inadeguato, poiché non garantisce né l'identità reale dell'interessato né la legittimità della provenienza dei dati. La soluzione preferibile, secondo l'autorità, è il double opt-in, che richiede un'azione consapevole e attiva da parte dell'utente per confermare l'intenzione di ricevere messaggi promozionali.
Oltre alla sanzione pecuniaria, il Garante ha ordinato a Enel Energia di implementare immediatamente misure tecniche e organizzative adeguate per garantire la conformità al GDPR in ogni fase del trattamento dati. La società deve rafforzare i processi interni, intensificare i controlli sui partner esterni e revisione completa delle modalità di raccolta dei consensi. L'obiettivo dichiarato è impedire il ripetersi di pratiche ritenute invasive e abusive nei confronti dei consumatori.
