NEWSLETTER N. 545 del 26 marzo 2026

• Telemarketing, il Garante privacy sanziona Enel Energia per oltre 500mila euro
• Annunci online senza consenso, il Garante sanziona Bakeca
• Recupero crediti, Garante privacy: illecita la comunicazione ai familiari del debitore
• Troppi rischi su siti e app per i minori: l’indagine del Global privacy enforcement network

Telemarketing, il Garante privacy sanziona Enel Energia per oltre 500mila euro
Dati dei clienti trattati a fini promozionali senza consenso

Il Garante privacy ha irrogato a Enel Energia una sanzione di oltre 500mila euro per trattamento illecito di dati personali a fini di telemarketing e teleselling.

Il procedimento trae origine da un reclamo e due segnalazioni in cui si lamentava la ricezione di numerose chiamate indesiderate.

L’Autorità ha accertato che Enel Energia, anche mediante società terze, nel corso di contatti prettamente gestionali, sottoponeva ai clienti ulteriori offerte commerciali, in assenza di un’idonea base giuridica. Le proposte effettuate al termine dell’iter contrattuale di fornitura avvenivano infatti anche quando i clienti avevano manifestato un espresso diniego al trattamento dei dati per finalità di marketing.  

Nel corso del procedimento, sotto altro profilo, è altresì emerso che Enel Energia nelle procedure di ricontatto degli utenti, non aveva adottato misure tecnico-organizzative che escludessero il rischio di effettuare trattamenti illegittimi. Al riguardo, l’Autorità ribadisce che i titolari devono adottare modalità di acquisizione dei consensi in grado di verificare l’identità dell’interessato e garantire, dunque, la lecita provenienza dei dati personali. Tra queste, ad es., il double opt-in, un processo che richiede un comportamento attivo da parte degli utenti volto a confermare la volontà di ricevere comunicazioni promozionali, garantendo così maggiori tutele sia per gli interessati sia per i titolari.

Pertanto, oltre alla sanzione di 563.052 euro, il Garante ha ordinato a Enel di implementare misure adeguate affinché il trattamento dei dati personali degli interessati avvenga nel rispetto del Gdpr lungo tutta la filiera del trattamento.

Annunci online senza consenso, il Garante sanziona Bakeca
Pubblicato il numero di telefono di una donna nelle categorie “sensibili”

Il Garante privacy ha sanzionato Bakeca srl, società che gestisce un portale di inserzioni gratuite, per aver trattato illecitamente i dati personali di una donna, il cui numero di telefono e la località di lavoro erano stati inseriti, a sua insaputa, in due annunci nelle categorie sensibili “massaggi-benessere” e “amore-incontri”. Uno degli annunci conteneva anche espressioni di natura intima particolarmente esplicite. La donna ha scoperto la presenza degli annunci dopo aver ricevuto telefonate indesiderate da sconosciuti. La rimozione è avvenuta solo dopo una segnalazione e una diffida inviate alla società. Successivamente, la donna ha presentato un reclamo al Garante.

Dall’istruttoria dell’Autorità sono emerse carenze nelle misure tecnico-organizzative adottate per prevenire usi impropri dei dati. In particolare, il portale consentiva di pubblicare informazioni riferite a terzi senza verificarne la titolarità o il legittimo utilizzo. Gli annunci della donna erano infatti stati inseriti da un soggetto sconosciuto, che aveva creato l’account utilizzando email temporanee, non riconducibili a una persona fisica.

Inoltre, il trattamento dei dati è risultato privo di una valida base giuridica e non conforme ai principi di correttezza e sicurezza, considerato, tra l’altro, che l’associazione del numero di telefono della donna a contenuti espliciti ha avuto conseguenze rilevanti sulla sua sfera personale. Alla luce delle violazioni riscontrate, il Garante ha irrogato a Bakeca srl una sanzione di 5mila euro e ha ordinato alla società di adottare misure tecniche e organizzative adeguate a verificare che l’utente che inserisce un contatto telefonico in un annuncio sia legittimato a farlo.

Recupero crediti, Garante privacy: illecita la comunicazione ai familiari del debitore

Le società di recupero crediti non possono divulgare a terzi (familiari, colleghi, vicini, datori di lavoro) informazioni sull’esistenza del debito, sull’importo o sulle modalità di pagamento.

Il principio è stato ribadito dal Garante privacy definendo un procedimento nei confronti di Sagitter spa avviato a seguito del reclamo di una persona che contestava sia la titolarità del debito sia la comunicazione inviata alla madre, alla moglie e ai fratelli, cointestatari di beni immobili sui quali la società intendeva rivalersi.

Nel corso dell’istruttoria è emerso che l’attività di recupero si riferiva a un credito - vantato da una finanziaria e ceduto, da ultimo, a Sagitter - intestato ad una persona diversa ma con lo stesso nome, cognome e codice fiscale del reclamante. E nonostante quest’ultimo avesse inviato alla società una comunicazione contestando l’esistenza del debito, Sagitter aveva proseguito l’attività di recupero trasmettendo, a persone estranee al rapporto di credito (la moglie, la madre e i fratelli), una comunicazione contenente l’indicazione del debito, unitamente all’intenzione di procedere giudizialmente al recupero forzoso con possibilità di soddisfarsi anche sui beni immobili di cui i familiari risultavano cointestatari.

L’Autorità ha accertato l’illiceità della comunicazione in quanto non sorretta da idonea base giuridica.

L’Autorità ha quindi ingiunto a Sagitter di integrare le procedure interne conformando alla normativa privacy le modalità di comunicazione con il debitore, nel caso in cui sia proprietario di un bene in comunione.

Il Garante ha ritenuto inoltre che le informazioni indebitamente diffuse ai familiari, contitolari di beni in comunione, abbiano avuto un impatto significativo sui diritti e sulle libertà del reclamante.

In particolare, la divulgazione ha inciso negativamente sulla sua dignità, alimentando, all’interno della sua cerchia più stretta, un giudizio sfavorevole della sua affidabilità economica. A rendere ancora più grave la situazione è il fatto che gli sia stato attribuito un debito mai contratto.

Troppi rischi su siti e app per i minori: l’indagine del Global privacy enforcement network

Buone pratiche a tutela dei minori e dei loro dati personali, ma rischi in aumento rispetto al passato. Emergono risultati contrastanti dello Sweep 2025 del Global privacy enforcement network (GPEN), l’indagine a tappeto realizzata da 27 Autorità di protezione dati mondiali, tra cui il Garante italiano, su 876 tra siti web e applicazioni mobili comunemente utilizzate dai più piccoli.

Si è trattato del secondo Sweep del GPEN dedicato ai minori, dopo quello del 2015. Questo ha permesso alle Autorità di avere un riferimento rispetto a cui valutare i dati ricavati nel 2025.

In 10 anni – si legge infatti nella relazione pubblicata il 25 marzo 2026 – sono aumentati sia i servizi online rivolti ai minori, o utilizzati dagli stessi, che richiedono agli utenti di fornire i propri dati personali per l’accesso a tutte le funzionalità della piattaforma, o di condividerli con terzi, sia l’uso di meccanismi per la verifica dell’età. Ma troppo spesso queste misure sono facilmente aggirabili, soprattutto in siti web che presentano contenuti inappropriati e/o caratteristiche di elaborazione dei dati e di progettazione ad alto rischio per i più piccoli. Come ricorda il GPEN, i minori che interagiscono con il mondo digitale meritano particolari tutele. Chi tratta i loro dati può contribuire al loro benessere online, limitandone la raccolta, sviluppando servizi che tengano conto della privacy sin dalla progettazione e per impostazione predefinita, utilizzando meccanismi di verifica dell’età adeguati al livello di rischio presente sulle piattaforme.

Obiettivo dello Sweep è quello di incoraggiare i titolari del trattamento al rispetto della normativa in materia di protezione dei dati e, allo stesso tempo, di promuovere la cooperazione a livello mondiale tra le Autorità.

L'ATTIVITÀ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall'Autorità

- Garanti europei, focus sugli obblighi di informazione e trasparenza – Comunicato del 20 marzo 2026

- Garante privacy sanziona Intesa Sanpaolo per 17,6 milioni di euro. 2,4 milioni di clienti profilati nell’ambito di una operazione societaria – Comunicato del 12 marzo 2026

- Il Garante privacy sanziona Acea Energia per 2 milioni di euro. Contratti attivati all’insaputa dei clienti da agenti porta a porta – Comunicato del 10 marzo 2026

NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002)
Direttore responsabile: Stefano Sabella
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 - 00187 Roma.
Tel: 06.69677.2751 - Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.gpdp.it