[doc. web n. 10262507]

Provvedimento del 14 maggio 2026

Registro dei provvedimenti
n. 352 del 14 maggio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. Premessa

Con atto prot. n. 38500 del 12 marzo 2026, notificato in pari data mediante posta elettronica certificata, che qui deve intendersi integralmente riprodotto, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Energia Sostenibile S.r.l., (di seguito “Energia Sostenibile” o “Società”), in persona del legale rappresentante pro-tempore, con sede legale in Capaccio Paestum (SA), via La Pila, 1, P.IVA 10961500963.

Il procedimento trae origine da una istruttoria cumulativa avviata dall’Autorità a seguito della ricezione di un reclamo e poco più di trenta segnalazioni, pervenute tra il mese di maggio 2024 e luglio 2025, in materia di chiamate indesiderate ricevute su utenze iscritte al Registro Pubblico delle Opposizioni (di seguito anche “RPO”) e inidoneo riscontro alle istanze di esercizio dei diritti da parte degli interessati nei confronti di Energia Sostenibile. Nella fattispecie, numerosi interessati rappresentavano di avere ricevuto contatti truffaldini, nel corso dei quali gli operatori paventavano bonus, cambio tariffe o guasti tecnici di fantasia, per poi indurre l’utente alla sottoscrizione di un contratto di fornitura con la Società. In un altrettanto nutrito numero di casi, invece, gli operatori chiamanti inizialmente dichiaravano di agire per conto di altre Società, ma poi successivamente proponevano la stipula di un contratto con Energia Sostenibile. Nella totalità delle doglianze, nessuna delle numerazioni chiamanti indicate risultava iscritta al Registro degli Operatori di Comunicazione e postali (di seguito anche “ROC”).

Nel corso del procedimento, inoltre, pervenivano all’Autorità ulteriori segnalazioni del medesimo tenore e contenuto.

1.2. Le richieste di informazioni formulate dall’Autorità

Preso atto di tutte le circostanze emerse all’esito della disamina delle doglianze in parola, l’Ufficio, in attuazione dei compiti di sorveglianza attribuiti all’Autorità, ai sensi dell’art. 57 del Regolamento, invitava il titolare a fornire, ai sensi dell’art. 157 del Codice «un elenco delle proposte di acquisto provenienti dalla propria rete di vendita che hanno determinato l'attivazione di servizi energetici nel periodo dal 20 gennaio al 27 gennaio 2025» (cd. “settimana campione”), nonché chiarimenti in merito alle doglianze presentate dai soggetti interessati ed ai trattamenti effettuati in materia di telemarketing e teleselling (cfr. Prot. n. 79321 del 3 giugno 2025).

Con un primo riscontro trasmesso in data 18 giugno 2025 (cfr. Prot. n. 87115 del 19 giugno 2025), la Società trasmetteva l’elenco delle proposte di acquisto richiesto. Quanto invece agli ulteriori chiarimenti richiesti, Energia Sostenibile in data 28 giugno 2025 presentava un’istanza di proroga (cfr. Prot. n. 92205 del 30 giugno 2025), che veniva accordata con nota del 1° luglio 2025 (cfr. Prot. n. 93044/25).

Successivamente in data 18 luglio 2025 (cfr. Prot. n. 102245 del 21 luglio 2025), la Società forniva il secondo dei riscontri richiesti, chiarendo preliminarmente che «la Società ha intrapreso un articolato percorso di revisione e potenziamento della propria struttura organizzativa e dei sottesi modelli operativi, finalizzato a conseguire una maggiore efficienza gestionale e, al tempo stesso, un più elevato grado di conformità alla normativa vigente in materia di protezione dei dati personali e tutela del consumatore».

Quanto alle doglianze pervenute all’attenzione dell’Autorità, la Società rappresentava che «i contatti telefonici dei reclamanti e/o segnalanti indicati nella Richiesta non risultano presenti nei sistemi informativi né nei database di Energia Sostenibile S.r.l. La Società ad oggi non gestisce direttamente le attività di promozione commerciale, per le quali si avvale di soggetti esterni formalmente designati quali responsabili del trattamento, ai sensi dell’art. 28 del Regolamento. Tali soggetti operano secondo istruzioni documentate e nell’ambito delle finalità definite contrattualmente, nel rispetto delle prescrizioni normative vigenti» e che «in ogni occasione in cui gli interessati hanno preso contatto con Energia Sostenibile S.r.l., è stato fornito un riscontro tempestivo, trasparente e conforme alla normativa applicabile».

Più in particolare, in ordine al reclamo n. 412519, Energia Sostenibile dichiarava che «la società Eco Energy ha acquisito i dati personali dell’interessato in autonomia, nell’ambito della propria attività promozionale, senza alcun mandato, incarico o coinvolgimento diretto da parte di Energia Sostenibile S.r.l.»

Rispetto ai fascicoli nn. 387058-425645-424094, la Società evidenziava che gli interessati avevano già sottoscritto un contratto di fornitura con Energia Sostenibile nel 2024 e che pertanto la tempistica del contatto e la circostanza che sia avvenuto nei confronti di soggetti già clienti di Energia Sostenibile inducevano a ritenere che l’attività telefonica lamentata fosse imputabile ad altro operatore.

Quanto, invece, al fascicolo n. 404453, Energia Sostenibile specificava che «l’interessato ha esercitato il diritto di recesso dal contratto in essere con Energia Sostenibile. Il successivo contatto telefonico, rimasto senza risposta, era finalizzato esclusivamente a fornire assistenza nella corretta gestione della procedura di recesso, in ossequio ai principi di correttezza e trasparenza contrattuale».

Con riferimento alle istruzioni impartite ai partner incaricati di attività di telemarketing e teleselling, Energia Sostenibile evidenziava in primo luogo di avvalersi di AEF 2G S.r.l.s. e TOP CONTACT ITALIA S.r.l., che selezionate «per l’affidabilità e l’esperienza nel settore del telemarketing e teleselling, operano sulla base di appositi contratti di collaborazione commerciale e sono stati formalmente designati responsabili del trattamento ai sensi dell’art. 28 del Regolamento, con specifica attribuzione di compiti e istruzioni vincolanti (…) i Partner sono tenuti a rispettare integralmente le indicazioni operative fornite dalla Società (…) In primo luogo, nello svolgimento delle attività promozionali per conto della Società, è fatto espresso divieto ai Partner di utilizzare numerazioni non intestate al Partner stesso o non correttamente registrate presso il Registro degli Operatori di Comunicazione (“ROC”). Qualora i Partner, per lo svolgimento delle attività promozionali, intendano impiegare liste di contatti acquisite da terzi, l’utilizzo di tali elenchi è subordinato alla previa autorizzazione della Società, la quale provvede a effettuare le necessarie verifiche in merito alla utilizzabilità dei dati (in particolare, le verifiche attengono alla fonte e alla sussistenza di eventuali consensi da parte degli interessati) nonché ad effettuare i dovuti controlli presso il Registro Pubblico delle Opposizioni (“RPO”) e il filtraggio con la propria black list». Sul punto la Società specificava che «i Partner collaborano attivamente con la Società per l’aggiornamento e il rispetto della relativa black list, registrando l’eventuale opposizione formulata dagli interessati nel corso delle chiamate» e che è solita fornire «ai Partner istruzioni operative dettagliate e vincolanti, che comprendono: i) l’utilizzo di script telefonici predefiniti, redatti secondo i principi di liceità, correttezza e trasparenza, con l’obiettivo di fornire una rappresentazione chiara e completa dell’offerta commerciale; ii) l’osservanza di fasce orarie predefinite per i contatti telefonici, in linea con le prescrizioni normative e le best practice del settore; iii) l’obbligo di informare l’interessato in merito all’identità del chiamante e del soggetto nel cui interesse è effettuata la chiamata, alla natura promozionale della comunicazione, alle caratteristiche dell’offerta, ai diritti riconosciuti dalla legge e, in particolare, al diritto di ripensamento; iv) il rispetto di uno stile comunicativo non aggressivo e trasparente».

Energia Sostenibile chiariva poi che la formalizzazione della proposta contrattuale avviene attraverso «una delle seguenti modalità (…) a) registrazione vocale della volontà contrattuale (vocal order); oppure b) sottoscrizione digitale con codice OTP (One-Time Password), che consente di validare l’adesione in maniera sicura e tracciabile. La proposta così acquisita viene caricata direttamente nel Customer Relationship Management aziendale (“CRM”), cui il personale del Partner accede tramite credenziali personali, univoche e non cedibili. Ogni Partner opera esclusivamente nella propria area riservata, garantendo in tal modo la riservatezza dei dati, la sicurezza delle informazioni trattate e la tracciabilità puntuale di ogni attività svolta. A completamento del processo, la Società effettua verifiche su ogni proposta contrattuale ricevuta, mediante un’apposita funzione interna di controllo qualità (quality check). Solo in caso di esito positivo di tali controlli, e trascorso il termine di quindici giorni previsto per l’esercizio del diritto di ripensamento, si procede con l’attivazione del servizio richiesto».

Quanto alle attività di monitoraggio e vigilanza sull’operato dei propri partner, Energia Sostenibile chiariva che «la Società effettua un costante controllo sull’attività svolta dai Partner, mediante: i. lo svolgimento di audit periodici presso la sede dei Partner, con accessi ai locali in cui sono svolte le attività di telemarketing per conto di Energia Sostenibile; ii. l’incrocio tra le liste di contatto utilizzate e i contatti effettuati dal Partner che hanno condotto alla conclusione di contratti» e che «al fine di disincentivare condotte dei Partner non conformi alla disciplina applicabile e alle istruzioni della Società, è previsto contrattualmente un sistema di penali a carico del Partner».

Con riguardo alle istanze di esercizio dei diritti da parte dei soggetti interessati, la Società dichiarava di avere adottato un’apposita procedura interna, recante la previsione di ruoli, compiti e modalità di gestione. Più in particolare, tutte le richieste vengono accentrate e gestite dalla medesima funzione aziendale competente, individuata nell’Ufficio Controllo Dati, che è composto da personale autorizzato e formato in materia di protezione dei dati personali e al quale è affidata l’istruttoria delle istanze e la predisposizione del relativo riscontro.

Energia Sostenibile chiariva poi che il rapporto contrattuale intercorso con Eco Energy S.r.l.s. (i.e. società che aveva effettuato il contatto di cui al reclamo n. 412519) si era concluso a seguito della comunicazione del 26 agosto 2024 con cui quest’ultima aveva rappresentato la cessazione definitiva della propria attività d’impresa e che la medesima aveva «operato in qualità di soggetto terzo, autonomo rispetto alla struttura organizzativa di Energia Sostenibile S.r.l., esercitando le proprie attività in piena autonomia gestionale e operativa, nel rispetto delle previsioni contenute nell’accordo contrattuale stipulato tra le parti». Sul punto la Società precisava, altresì, che «il modello di accordo contrattuale che ha regolato i rapporti della Società con Eco Energy fino all’agosto 2024 non è più in uso e che, per una migliore tutela dei diritti degli interessati e, al tempo stesso, dell’immagine di Energia Sostenibile, tutti i Partner attuali operano nell’interesse di quest’ultima nella qualità di responsabili del trattamento e sulla base delle istruzioni ricevute».

Quanto al form “Contattaci” presente sul sito web aziendale, la Società rappresentava che tale modulo era «stato temporaneamente disattivato, anche in considerazione del più ampio processo di revisione del modello organizzativo privacy della Società (…) Tale adeguamento riguarda, in modo organico, sia l’architettura del sito web aziendale, sia i contenuti dell’informativa privacy resa ai sensi dell’art. 13 del Regolamento, sia le modalità di acquisizione del consenso, che saranno rese pienamente informate, libere, specifiche, granulari e inequivocabili, anche mediante meccanismi tecnici di separazione delle finalità dei trattamenti. Contestualmente, sono in corso interventi volti a implementare misure idonee alla verifica dell’identità e dell’esattezza dei dati conferiti dagli utenti attraverso il form, nonché alla definizione di procedure di ricontatto che garantiscano il pieno rispetto dei principi di liceità, correttezza, trasparenza e minimizzazione dei dati».

Preso atto di tutti gli elementi e documenti forniti da Energia Sostenibile, l’Ufficio riteneva opportuno effettuare un supplemento di istruttoria, notificando una richiesta di informazioni integrativa ai sensi degli artt. 58, par. 1, lett. a) del Regolamento e 157 del Codice (cfr. Prot. n. 123607 del 22 settembre 2025).

Con successiva nota trasmessa in data 13 ottobre 2025 (cfr. Prot. n. 135719 del 14 ottobre 2025) la Società chiariva che «Energia Sostenibile S.r.l. ed Energia Verde Italia S.p.a. appartengono al medesimo gruppo societario, la cui società holding è FGA Holding S.r.l.; pur essendo riconducibili al medesimo gruppo, si tratta tuttavia di società giuridicamente distinte e autonome, ciascuna dotata di proprio organo amministrativo e di una propria struttura organizzativa, operativa e gestionale», al contrario «Energia Pulita S.r.l. (la cui attuale denominazione è TOP CONTACT CAMPANIA SPA) (…) non fa parte del gruppo societario sopra menzionato, ma opera in qualità di partner commerciale indipendente della sola Energia Verde Italia S.p.a.».

Quanto alla selezione dei partner commerciali, Energia Sostenibile chiariva che «La valutazione dei potenziali partner si fonda su una analisi complessiva del loro profilo professionale e organizzativo, considerando elementi quali la reputazione sul mercato, le esperienze pregresse nel settore, la struttura e le risorse impiegate, nonché la capacità di garantire standard operativi elevati improntati a trasparenza, correttezza e responsabilità».

La Società evidenziava poi che le indicazioni impartite ai propri partner sono contenute nei contratti e nelle relative nomine a responsabile del trattamento «di cui costituiscono parte integrante gli Allegati 3 e 4, che disciplinano, rispettivamente, le Regole operative e comportamentali per le attività di contatto telefonico e il sistema di penali applicabile in caso di violazione delle stesse». Nella fattispecie «l’Allegato 3 definisce (…) i) l’obbligo di identificazione chiara dell’operatore e della società per conto della quale viene effettuato il contatto, sin dall’inizio della chiamata; ii) la comunicazione dell’origine dei dati personali utilizzati, con indicazione del fornitore della banca dati o dell’elenco da cui è tratta la numerazione; iii) la fornitura di una informativa sintetica ai sensi dell’art. 13 del Regolamento, con rinvio alle modalità per accedere alla versione completa; iv) il rispetto di fasce orarie predefinite per i contatti telefonici e il divieto di chiamate nei giorni festivi; v) l’utilizzo esclusivo di numerazioni telefoniche iscritte al Registro degli Operatori di Comunicazione e ricontattabili; vi) la gestione tempestiva delle richieste degli interessati (…), da trasmettere alla Società entro 24 ore; vii) l’obbligo di inserimento in black list dei recapiti di coloro che abbiano esercitato diritti di opposizione o revoca, onde evitare successivi contatti; viii) il divieto assoluto di contattare numerazioni iscritte al Registro Pubblico delle Opposizioni, nonché di effettuare contatti ripetuti o ingiustificati; ix) l’obbligo di mantenere un comportamento corretto, professionale e non ingannevole durante l’intero contatto telefonico». In aggiunta, l’Allegato 4 prevede un sistema di penali contrattuali comminabili in caso di violazione delle regole di condotta di cui all’Allegato 3.

Quanto alle attività di audit condotte sui propri partner, Energia Sostenibile rappresentava che «la Società (…) ad oggi ha svolto controlli sui partner commerciali mediante l’invio di checklist contenenti domande relative, tra l’altro, alle attività di trattamento di dati personali condotte per proprio conto e agli adempimenti richiesti dalla disciplina in materia di protezione dei dati personali. Tali checklist sono state consegnate ai partner in data 20 luglio 2025 e sono state restituite alla Società, debitamente compilate, nel mese di settembre 2025 (…) Alla luce delle risultanze emerse, Energia Sostenibile ha già concordato con i partner lo svolgimento, nel mese di novembre 2025 (13 novembre presso TOP CONTACT ITALIA S.R.L. e 20 novembre presso AEF 2G SRLS), di audit in presenza, finalizzati a condividere le ulteriori misure e attività da intraprendere per rafforzare il livello di adeguamento e favorire un miglioramento continuo delle prassi operative».

Nella medesima occasione la Società precisava che in relazione alle istanze in materia di diritti «La procedura, approvata in data 10 luglio 2024, è stata resa disponibile all’intero personale dipendente (composto da 6 unità) attraverso canali di comunicazione interna non digitali, tra cui la distribuzione di copie cartacee presso le sedi operative aziendali e la messa a disposizione del documento in formato fisico nei locali aziendali dedicati alla consultazione della documentazione interna. La presa visione della procedura da parte dei dipendenti è stata attestata mediante sottoscrizione del relativo documento, a conferma dell’avvenuta consegna e conoscenza del suo contenuto. Sono in corso ulteriori iniziative finalizzate a garantire una piena e uniforme conoscenza della procedura in questione mediante attività di formazione».

Con riferimento alle ulteriori segnalazioni pervenute all’Autorità (i.e. fascicoli n. 495585 e n. 503447) la Società precisava che:

- non era stato effettuato alcun contatto nei confronti dei segnalanti e che pertanto, non risultavano «tracce di attività telefoniche o altri elementi che possano ricondurre tali contatti alla Società o ai propri partner autorizzati»;

- nessuno dei numeri chiamanti indicati nelle segnalazioni corrispondeva alle numerazioni iscritte presso il ROC dai partner autorizzati della Società.

Invece, l’interessato di cui al fascicolo n. 513850 era stato cliente della Società «avendo attiva una fornitura di energia elettrica dal 1° marzo 2025 al 31 luglio 2025 e una fornitura di gas dal 1° marzo 2025 al 31 agosto 2025. Il contatto telefonico contestato è avvenuto unicamente a seguito della ricezione di una richiesta di switch-out, nell’ambito della gestione contrattuale e commerciale del rapporto in essere». 

Nelle more del procedimento pervenivano all’attenzione dell’Autorità 13 ulteriori segnalazioni nei confronti di Energia Sostenibile, tutte del medesimo tenore e contenuto, mediante le quali gli interessati lamentavano la ricezione di chiamate indesiderate e truffaldine effettuate da numerazioni non iscritte al ROC (cfr. fascicoli nn. 513850 - 533224 - 570506 – 571510 - 571554 - 573328 - 574225 - 574298 – 574331 - 574351 - 574820 – 575824 – 576073).

Infine, l’Ufficio verificava che il form di contatto presente sul sito web aziendale era attivo, sebbene ne risultasse modificata la configurazione dei consensi e dell’informativa. 

1.3. La riunione dei procedimenti

Al fine di promuovere l’esame organico di tutte le questioni prospettate, sebbene pervenute in tempi diversi, ai sensi dell’art. 10, comma 4, del regolamento interno n. 1/2019 (disponibile per la consultazione sul sito www.gpdp.it, doc-web n. 9107633) l’Ufficio riteneva opportuno trattare nell’ambito dell’odierno procedimento anche le segnalazioni di cui ai fasc. nn. 513850 - 533224 - 570506 – 571510 - 571554 - 573328 - 574225 - 574298 – 574331 - 574351 - 574820 – 575824 – 576073, medio tempore pervenute nei confronti di Energia Sostenibile, tutte vertenti su questioni del medesimo tenore e contenuto. 

La riunione dei procedimenti consentiva, infatti, di dare piena attuazione ai principi di economicità e ragionevole durata del procedimento e di garantire, al contempo, anche il diritto di difesa e di non aggravamento del procedimento riconosciuto dalla legge al titolare del trattamento.

1.4. La verifica presso il Registro Pubblico delle Opposizioni

Inoltre, al fine di effettuare i necessari controlli in ordine alla correttezza delle suddette attività di telemarketing, il 19 dicembre 2025 (cfr. Prot. 176657/25) l’Ufficio inviava alla Fondazione Ugo Bordoni, che gestisce il Registro Pubblico delle Opposizioni, il citato elenco di numerazioni telefoniche oggetto del menzionato riscontro da parte di Energia Sostenibile.

In tale ottica, venivano richieste informazioni, ai sensi dell’art. 157 del Codice, per ciascuna numerazione, circa l’eventuale iscrizione al Registro Pubblico delle Opposizioni (RPO) non successiva alla data del 31 novembre 2024.

In data 7 gennaio 2026 la citata Fondazione inviava il proprio riscontro (cfr. Prot. 3550 del 13 gennaio 2026), dall’analisi del quale nessuna delle 7 numerazioni indicate risultava iscritta al Registro Pubblico delle Opposizioni, al tempo delle chiamate promozionali effettuate dalla Società.

1.5. Contestazione delle violazioni 

L’Ufficio, al termine dell’istruttoria preliminare, adottava il sopra richiamato atto di contestazione n. 38500/26 nel quale, in primo luogo, si osservava che all’esito della disamina delle numerose doglianze pervenute all’attenzione dell’Autorità e del form di contatto presente sul sito aziendale, le attività telefoniche svolte da Energia Sostenibile, non apparivano pienamente in linea con la normativa vigente.

Sotto altro profilo, poi, si osservava che per tutta la durata dei rapporti commerciali intercorsi con Eco Energy S.r.l.s., quest’ultima sembrava avere agito nell’interesse di Energia Sostenibile in assenza della previa individuazione del ruolo soggettivo ricoperto e del conferimento di qualsivoglia investitura formale ai sensi dell’art. 28 del Regolamento. 

Più in generale, poi, l’Ufficio osservava che la Società non aveva ancora completamente assimilato i doveri derivanti dal principio di accountability di cui agli artt. 5 e 24 del Regolamento e di quelli sanciti all’interno dell’art. 28 del Regolamento (cd. culpa in eligendo e culpa in vigilando).

Infine, anche il processo di gestione delle istanze in materia di esercizio dei diritti da parte dei soggetti interessati, sembrava sollevare talune criticità.

L’Ufficio, pertanto, contestava a Energia Sostenibile le seguenti ipotesi di violazione:

- artt. 5, 6, 7 e 13 del Regolamento, nonché dell’art. 130 del Codice, per aver effettuato i sopra descritti trattamenti di dati personali in assenza di un’idonea base giuridica e al di fuori dei requisiti di legittimità prescritti dalla vigente normativa in materia di protezione dei dati personali; 

- artt. 5, 24 e 28 del Regolamento, per aver effettuato i sopra descritti trattamenti di dati personali in violazione dei doveri ivi sanciti e senza la previa individuazione dei ruoli soggettivi ricoperti;

- art. 12 e 15 del Regolamento per l’inadeguato riscontro all’istanza di esercizio dei diritti avanzata dal reclamante di cui al fascicolo n. 412519.

2. LA DIFESA DEL TITOLARE

Con nota trasmessa in data 13 aprile 2026 (cfr. Prot.  n. 57924 del 15 aprile 2026) Energia Sostenibile ribadiva preliminarmente che rispetto a 5 segnalazioni oggetto della prima richiesta di informazioni da parte dell’Autorità «3 contatti si riferiscono a soggetti che avevano già in essere un contratto di fornitura con Energia Sostenibile o comunque avevano sottoscritto una proposta contrattuale in epoca recente rispetto alla data della chiamata segnalata; ii) un contatto è stato effettuato dalla Società per fini amministrativi a seguito del recesso da parte del cliente; iii) un contatto è stato effettuato da Eco Energy, in violazione delle indicazioni contenute nel relativo contratto con la Società e senza fornire a quest’ultima alcuna evidenza del contatto in questione». 

Con riferimento ai contatti telefonici lamentati da soggetti che avevano già in essere un rapporto di fornitura con Energia Sostenibile, quest’ultima contestava che le considerazioni svolte dall’Ufficio non tenessero in debita considerazione le «dinamiche commerciali che rendono poco verosimile che un operatore energetico effettui, a così breve distanza di tempo dall’attivazione di un contratto di fornitura (ad esempio, di un contratto di fornitura di energia elettrica), un contatto telefonico per proporre un ulteriore servizio (ad esempio, la fornitura di gas), servizio che presumibilmente avrà già proposto in fase di prima attivazione» e che i contatti in questione potessero essere stati effettuati da operatori terzi nei confronti di nuovi clienti di Energia Sostenibile al fine di proporre un cambio di fornitura.

Quanto, invece, al contatto telefonico attribuito alla Eco Energy S.r.l.s., la Società ribadiva di avere interrotto ogni rapporto contrattuale con tale partner alla luce delle irregolarità emerse.

Riguardo al form di contatto presente sul sito web della Società, Energia Sostenibile evidenziava che al momento della richiesta di informazioni, di fatto non veniva utilizzato e che a prescindere dai rilievi sollevati dall’Autorità, il form era stato disabilitato al fine di evitare la ricezione di richieste di contatto che sarebbero rimaste inevase. Successivamente il form era stato riattivato, «rendendo disponibile un’informativa sul trattamento dei dati personali prima della compilazione del form da parte degli interessati (…). Rispetto a tale trattamento di dati, la condizione di liceità è individuata nell’art. 6, lett. b) del regolamento, trattandosi di una richiesta di contatto informativo finalizzata alla eventuale conclusione di un contratto di fornitura. Quanto alla durata del trattamento e alla eventuale conservazione dei dati, l’informativa chiarisce che i dati saranno trattati per il tempo necessario a gestire la richiesta di contatto e che non saranno oggetto di ulteriore conservazione in caso di mancata conclusione del contratto di fornitura». Sul punto Energia Sostenibile osservava che le criticità rilevate dall’Ufficio in merito all’informativa presente al momento della notifica della contestazione erano correlate allo svolgimento delle attività di riorganizzazione delle diverse sezioni del sito internet e che presumibilmente il form era ritornato disponibile per un mero errore. In ogni caso, fino alla data del 6 aprile 2026 non era pervenuta alcuna richiesta inoltrata tramite il form in questione.

Quanto ai rapporti coi propri partner commerciali, Energia Sostenibile rappresentava che la medesima si avvaleva esclusivamente di AEF 2G S.r.l.s. e Top Contact Italia S.r.l. per lo svolgimento di attività di telemarketing e teleselling, che tali soggetti erano stati nominati responsabili del trattamento ed avevano ricevuto istruzioni in ordine alle misure di sicurezza tecniche e organizzative da adottare. A tale riguardo la Società evidenziava di avere effettuato talune verifiche sull’attività dei partner richiamati mediante l’invio di checklist contenenti anche quesiti riguardanti le attività di trattamento svolte e gli adempimenti in materia di protezione dei dati personali. L’attività di audit appena descritta, inoltre, era proseguita nel mese di novembre 2025 e nel mese di gennaio 2026. In base alla tesi difensiva della Società, dunque, le verifiche effettuate risultavano «temporalmente distribuite e coerenti con la durata dei rapporti contrattuali» e valgono ad attestare «in modo inequivoco l’esistenza di un’attività di monitoraggio continuativa e non occasionale, nonché l’inserimento di tali controlli all’interno di un processo aziendale strutturato».

Quanto poi alle contestazioni sollevate in merito alla mancanza di elementi probatori sull’implementazione di un processo di pre-qualifica dei fornitori, Energia Sostenibile contestava che «l’esistenza di un processo di prequalifica strutturato (…) è una prassi diffusa – e certamente utile – in realtà aziendali di dimensioni rilevanti, quindi caratterizzate da un numero significativo di fornitori di servizi, oppure in realtà particolarmente complesse a livello organizzativo», ma che tuttavia «nel caso di Energia Sostenibile, coerentemente con le dimensioni e l’organizzazione della società, la selezione dei partner cui è affidata un’attività di rilievo come quella di promozione dei propri servizi è effettuata direttamente dai vertici societari, che intrattengono interlocuzioni dirette con i fornitori e acquisiscono tutte le informazioni rilevanti per valutarne l’affidabilità».

Rispetto all’inadeguato riscontro all’istanza in materia di diritti avanzata dall’interessato di cui al fascicolo n. 412519, Energia Sostenibile dichiarava che la richiesta era stata riscontrata con minimo ritardo e che erano state fornite tutte le informazioni in proprio possesso, indicando la società che aveva materialmente effettuato il contatto telefonico. La Società evidenziava, altresì, che trattavasi di un episodio isolato e che nel frattempo si era dotata di un’apposita procedura interna per la gestione delle richieste in materia di diritti, che era stata accompagnata da un’attività di formazione del personale, al fine di garantire un trattamento uniforme, tempestivo e completo delle istanze.

Infine la Società invocava le circostanze attenuanti a suo parere emerse rispetto all’oggetto dell’odierno procedimento.

3. VALUTAZIONI DELL’AUTORITÀ

Si rileva in primo luogo che le osservazioni di Energia Sostenibile, fornite nel corso del procedimento, non appaiono idonee a escludere la responsabilità della Società in ordine alle violazioni contestate. 

All’esito della disamina delle numerose doglianze pervenute all’attenzione dell’Autorità e della configurazione del form di contatto presente sul sito aziendale, è emerso che le attività telefoniche svolte nell’interesse di Energia Sostenibile, non erano pienamente in linea con la normativa vigente, con particolare riferimento alle disposizioni contenute agli artt. 5, 6 e 7 del Regolamento e 130 del Codice.

Le doglianze pervenute all’attenzione dell’Autorità, se considerate anche in relazione alla consistenza del volume di affari della Società, pure raffigurato dall’esito della verifica condotta sulla cd. settimana campione, sono numerose (poco meno di 50) e tra loro tutte concordanti nel delineare un costante e ripetuto modus operandi posto in essere nell’interesse e a vantaggio di Energia Sostenibile. 

La tecnica di ingaggio descritta dai soggetti interessati, che hanno reso dichiarazioni ai sensi dell’art. 168 del Codice, è sempre pressocché la medesima: l’operatore telefonico paventa la sussistenza di bonus, cambio tariffe o guasti tecnici di fantasia, oppure ancora finge di chiamare per conto del distributore locale o altro fornitore, per poi indurre l’utente alla sottoscrizione di un contratto di fornitura con Energia Sostenibile. Nella totalità dei casi, inoltre, le numerazioni chiamanti non risultano nemmeno iscritte al ROC.

Inoltre, benché i sette utenti coinvolti nella verifica a campione (cd. settimana campione), non risultassero iscritti al Registro Pubblico delle Opposizioni (RPO), nella quasi totalità dei casi (poco meno di 40), invece, i segnalanti lamentavano di avere ricevuto i contatti oggetto di segnalazione nonostante l’avvenuta iscrizione della propria numerazione al Registro Pubblico delle Opposizioni (RPO). Le due risultanze appena descritte, dunque, se interpretate alla luce del volume complessivo di affari della Società, appaiono del tutto omogenee.

A tale riguardo, di fatto la Società si è limitata al mero disconoscimento della quasi totalità dei contatti, suggerendo l’ipotesi che soggetti terzi – nemmeno identificati - abbiano indebitamente utilizzato i propri riferimenti societari; mentre con riferimento a un numero esiguo di segnalazioni, Energia Sostenibile ha affermato che trattandosi di attuali clienti, l’avvenuto contatto fosse improbabile, ciò anche in ragione delle tempistiche attribuibili alle chiamate. 

Orbene, la tesi avanzata dalla Società secondo la quale sarebbero stati altri operatori a effettuare i lamentati contatti, spacciandosi indebitamente per Energia Sostenibile, si rivela poco persuasiva. Il fenomeno è oltremodo noto all’Autorità, che sul tema riceve migliaia di segnalazioni all’anno. In tali casi, infatti, gli operatori chiamanti inizialmente dichiarano di agire per conto di note aziende del settore, ciò al precipuo fine di conquistare la fiducia e l’attenzione dell’interlocutore, per poi successivamente proporre la stipula di un contratto di fornitura con il vero committente. In molte delle doglianze oggetto dell’odierno procedimento, invece, gli operatori chiamanti dichiaravano di agire per conto dei distributori di zona o di altri competitor del settore oppure ancora millantavano guasti o bonus di fantasia, per poi sottoporre all’utente la sottoscrizione di una proposta contrattuale con Energia Sostenibile. 

Peraltro, pur sostenendo l’illustrata teoria difensiva, agli atti del procedimento non risulta che la Società abbia intrapreso alcuna azione legale a propria tutela, per esempio presentando un dettagliato esposto agli organi competenti, come sovente avviene nei casi del tutto similari costantemente esaminati dall’Autorità.  

E’ di palmare evidenza, dunque, che il reale committente delle descritte attività promozionali fosse proprio Energia Sostenibile, soggetto del quale viene effettuata la spendita del nome soltanto una volta carpita l’attenzione dell’utente e che può trarre vantaggio dall’attività promozionale espletata.

Sul punto, appare del tutto irrilevante anche la dichiarazione della Società in merito alla mancanza dei dati degli odierni istanti sui sistemi aziendali, dal momento che considerate le peculiarità dell’organizzazione descritte dalla medesima Energia Sostenibile, non potrebbe essere diversamente. 

Energia Sostenibile, difatti, ha dichiarato di avere completamente esternalizzato le attività di telemarketing e teleselling, di guisa che i dati degli utenti destinatari delle campagne promozionali fanno ingresso sui sistemi aziendali esclusivamente quando questi ultimi addivengono alla stipula del contratto. In caso di contatto non andato a buon fine, invece, le anagrafiche non vengono trasmesse affatto alla Società. Tale flusso procedurale risulta chiaramente anche dalla documentazione allegata dalla medesima Società ed in particolare, dalla lettera dei contratti sottoscritti con i propri partner commerciali e dai riscontri forniti alle check list sottoposte ai medesimi.

Analogamente anche i chiarimenti forniti in merito al contatto di cui al reclamo 412519, che la Società addebita a una non meglio precisata attività autonoma di Eco Energy S.r.l.s., non consentono di esentare Energia Sostenibile da alcuna responsabilità. Al contrario valgono a dimostrare che la medesima non ha ancora completamente assimilato la portata degli obblighi derivanti dalla vigente normativa in materia di protezione dei dati personali. 

Il contatto in questione, infatti, è stato pacificamente realizzato da Eco Energy S.r.l.s., in costanza del contratto con Energia Sostenibile ed era finalizzato alla stipula di un contratto propria con quest’ultima. Tanto emerge distintamente dalle dichiarazioni rese ai sensi dell’art. 168 del Codice dal reclamante (cfr. atto di reclamo «In data 10 giugno 2024 l’Interessato riceveva sulla propria Utenza personale una telefonata di natura commerciale dal numero (…) da parte di un operatore in nome e per conto della Società, il quale nell’occasione proponeva la sottoscrizione di una fornitura luce&gas della Società, obiettivo di detta telefonata non sollecitata»), nemmeno contestate dalla Società. Ne consegue che rispetto a tale attività telefonica, Energia Sostenibile assumeva il ruolo di titolare del trattamento ed era responsabile della liceità di tutta la filiera del trattamento che dal contatto, avrebbe consentito di giungere al contratto. 

In tal senso militano le disposizioni contenute all’interno delle Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, disponibili per la consultazione sul sito www.edpb.europa.eu, che dopo aver illustrato che in mancanza di disposizioni giuridiche, l’individuazione dei ruoli di titolare e responsabile del trattamento deve essere effettuata sulla base di un criterio di natura fattuale e valorizzando le specificità del caso, spiega che «L’EDPB riconosce la sussistenza di un certo margine di manovra affinché anche il responsabile del trattamento possa prendere decisioni in relazione al trattamento. In quest’ottica, è necessario fornire orientamenti rispetto al grado di influenza esercitata sulla definizione del «perché» e del «come» che comporta l’attribuzione a un soggetto della qualifica di titolare del trattamento nonché rispetto alla misura in cui un responsabile del trattamento possa adottare decisioni in autonomia. Quando un soggetto determina chiaramente le finalità e i mezzi, affidando a un diverso soggetto attività di trattamento che consistono nell’esecuzione delle sue istruzioni dettagliate, la situazione è chiara e non vi sono dubbi che tale diverso soggetto debba essere considerato responsabile del trattamento, mentre il primo è il titolare del trattamento».

Analogamente, anche all’interno del Codice di condotta per le attività di telemarketing e teleselling, adottato con Provv. n. 70 del 9 marzo 2023 e Provv. n. 148 del 7 marzo 2024 (disponibili per la consultazione sul sito www.gpdp.it, doc-web nn. 9868813 - 9993808), che a prescindere dalla effettiva adesione assume indubbia valenza di best practices del settore, sui ruoli soggettivi si legge che «A prescindere dalla fonte di provenienza dei dati e indipendentemente dal materiale accesso agli stessi, agisce in qualità di titolare del trattamento, secondo quanto previsto all’art. 4, punto 7), del Regolamento, il soggetto che esegue direttamente o commissiona l’effettuazione tramite il canale telefonico di campagne di telemarketing e teleselling (…). I fornitori di servizi incaricati di svolgere uno o più trattamenti connessi all’esecuzione di campagne di telemarketing e teleselling, o anche di reperire dati dai list provider, operano in qualità di responsabili del trattamento, in virtù di un contratto, o altro atto giuridicamente vincolante ai sensi di legge, che includa tutti gli elementi e disciplini tutti i profili di cui all’art. 28 del Regolamento. Ricadono in tale categoria, fra gli altri, i call center/teleseller e le agenzie incaricate dai committenti dei contatti telefonici». Nel medesimo Codice, inoltre, riguardo agli obblighi gravanti sul titolare si prevede che «Fermo restando il riparto delle responsabilità e quanto previsto dal precedente articolo 4 in tema di responsabilità solidale, il titolare garantisce e richiede ai propri responsabili che il trattamento, a partire dalla fase di raccolta dei dati, avvenga in conformità al Regolamento, al Codice e al presente Codice di condotta» e ancora che «I titolari del trattamento adottano procedure organizzative e/o tecniche finalizzate a comprovare che i dati dell’interessato/contraente/utente siano stati acquisiti nel rispetto dei principi di cui all’art. 5, par. 1, del Regolamento; in particolare, tenuto conto del principio di proporzionalità, mediante misure by default, gli stessi implementano nei sistemi apposite procedure che individuino le campagne promozionali, le liste di contatto e gli operatori coinvolti in ogni contratto concluso a distanza e siano in grado di comprovare la correttezza delle informazioni di cui sopra. Tali procedure impediscono la registrazione di contratti dei quali le predette informazioni non siano rinvenibili. In caso di registrazione di contratti a distanza privi delle predette informazioni, si applica quanto previsto ai sensi del successivo comma 6».

Non si rivelano dirimenti nemmeno le dichiarazioni rese in ordine ai fascicoli nn. 387058-425645-424094, in base alle quali la circostanza che gli interessati avessero già sottoscritto un contratto di fornitura con Energia Sostenibile nel 2024, dovrebbe indurre a escludere che l’attività telefonica lamentata sia imputabile ad alla Società. 

In tutti e tre i casi i soggetti interessati imputano proprio a Energia Sostenibile l’attività telefonica e stando alle dichiarazioni di quest’ultima, tali utenti avevano sottoscritto un solo contratto di fornitura. In considerazione del riferimento a Energia Sostenibile e che sovente gli operatori energetici solo soliti proporre tariffe di favore in caso di sottoscrizione di forniture duplici, è verosimile ritenere che tali soggetti siano stati destinatari di campagne promozionali per l’attivazione di servizi ulteriori e/o complementari a quelli già fruiti.

Sotto altro profilo nel corso dell’istruttoria è, altresì, emerso che anche la configurazione del form di contatto presente sul sito aziendale non era pienamente in linea con la normativa vigente.

Il form in parola, infatti, al momento dell’apertura dell’istruttoria appariva privo di misure atte a verificare l’identità del soggetto che conferiva i dati personali, recava in calce tre flag preordinati alla declaratoria della presa visione dell’informativa, nonché al conferimento dei consensi in relazione ai trattamenti riportati ai paragrafi 5 e 6 dell’informativa. Tuttavia il richiamato paragrafo 5 faceva riferimento al trattamento dei dati personali per la creazione del profilo unico, nonché per la registrazione e accesso all’area riservata, che non è soggetto alla previa acquisizione del consenso. Mentre il paragrafo 6 faceva indistintamente riferimento alle attività di marketing e profilazione. 

In base al consolidato orientamento dell’Autorità, l’utilizzo di formule e accorgimenti grafici, carenti sotto il profilo della trasparenza e che non consentano all’interessato di esprimere una manifestazione di volontà informata, libera, specifica e granulare, non permette di acquisire un consenso valido ai sensi degli artt. 5, 6 e 7 del Regolamento, nonché dell’art. 130 del Codice e per l’effetto, incide negativamente anche sulla liceità dei trattamenti eventualmente effettuati.

Peraltro, sebbene nel corso del procedimento la configurazione del form fosse stata modificata, in un primo momento permanevano ancora alcune criticità, atteso che l’informativa raggiungibile attraverso il link posto in calce al form utile all’acquisizione dei dati personali non era completa di tutti gli elementi richiesti dall’art. 13 del Regolamento con particolare riferimento alla base giuridica del trattamento e al periodo di conservazione dei dati.

A tale riguardo la Società eccepiva che il form non era stato utilizzato e che tale ultima configurazione era rimasta visibile per un non meglio precisato errore nel corso delle operazioni di aggiornamento e revisione del sito.

Nonostante l’onere della prova gravante sul titolare del trattamento ai sensi degli artt. 5 e 24 del Regolamento, nessuna di tali circostanze è stata in alcun modo provata dalla Società. Al contrario, la circostanza che la medesima abbia rimaneggiato più volte il form nel corso del procedimento e l’abbia mantenuto attivo, appare un elemento inequivocabile del suo utilizzo.

Sul punto, deve in ogni caso darsi meritevolmente atto che, a seguito delle contestazioni dell’Ufficio, Energia Sostenibile ha posto rimedio alle criticità evidenziate, quantomeno con riferimento alla formulazione del form ed alla predisposizione dell’informativa sul trattamento dei dati personali.

Sotto altro e diverso versante - pur rivelandosi apprezzabile che la Società abbia aggiornato la modulistica in uso e individuato i ruoli soggettivi ricoperti dai propri partner commerciali - si osserva che per tutta la durata dei rapporti contrattuali intercorsi con Eco Energy S.r.l.s., quest’ultima ha di fatto agito nell’interesse di Energia Sostenibile in assenza della previa individuazione del ruolo soggettivo ricoperto e del conferimento di qualsivoglia investitura formale ai sensi dell’art. 28 del Regolamento. 

Si richiamano a tale proposito i già citati riferimenti alle Linee Guida sovranazionali e al Codice di Condotta in materia di telemarketing, che inducono a ritenere che, in base alla valutazione delle caratteristiche del trattamento e dei rapporti tra le parti, a prescindere dall’ampiezza dell’autonomia operativa conferita al partner, in ordine alle attività promozionali svolte Energia Sostenibile assumesse il ruolo di titolare del trattamento, mentre Eco Energy S.r.l.s. quello di responsabile del trattamento.

In tal senso milita infatti la lettera del contratto, che a prescindere dal nomen iuris utilizzato dalle parti, aveva ad oggetto «l’incarico di incrementare le vendite dei servizi e dei prodotti a marchio Energia Sostenibile», ai prezzi e alle condizioni stabilite dalla medesima. 

Si aggiunga che i formulari utilizzati appaiono del tutto identici a quelli che sono già stati oggetto di censura per le medesime ragioni da parte dell’Autorità con Provv. n. 248 del 29 aprile 2025 (disponibile per la consultazione sul sito www.gpdp.it, doc-web n. n. 10145986), emanato nei confronti di Energia Verde Italia S.p.A., appartenente allo stesso gruppo societario di Energia Sostenibile e divenuto definitivo.

Peraltro, i formulari meritevolmente aggiornati e utilizzati per la sottoscrizione degli accordi con i nuovi partner e che contengono la nomina a responsabile, hanno ad oggetto il medesimo incarico, presentano le stesse clausole e nella quasi totalità simili allegati. Tale circostanza vale a dimostrare come anche l’incarico originariamente conferito ad Eco Energy S.r.l.s. presentasse di fatto le tipiche caratteristiche del rapporto titolare-responsabile.

Si rileva inoltre, e più in generale, che dalla documentazione agli atti del procedimento e dall’avvenuto aggiornamento dei propri formulari con la corretta individuazione dei ruoli soggettivi ricoperti dai propri partner con notevole ritardo rispetto all’entrata in vigore del Regolamento, è emerso che la Società non ha ancora completamente assimilato i doveri derivanti dal principio di accountability di cui agli artt. 5 e 24 del Regolamento e di quelli sanciti all’interno dell’art. 28 del medesimo Regolamento (cd. culpa in eligendo e culpa in vigilando).

Difatti, nonostante l’onere della prova gravante sul titolare e i quesiti in tal senso posti nel corso dell’istruttoria, Energia Sostenibile non ha prodotto alcun elemento – nemmeno di carattere documentale - attestante l’implementazione e l’attuazione di un processo di pre-qualifica dei fornitori che, in ossequio alle disposizioni della vigente normativa, consenta di individuare soltanto soggetti che siano in possesso di adeguate competenze in materia di protezione dei dati personali.

Sul punto la Società in un primo momento ha rappresentato che i partner venivano selezionati sulla base di «una analisi complessiva del loro profilo professionale e organizzativo, considerando elementi quali la reputazione sul mercato, le esperienze pregresse nel settore, la struttura e le risorse impiegate, nonché la capacità di garantire standard operativi elevati improntati a trasparenza, correttezza e responsabilità». Successivamente Energia Sostenibile ha dichiarato che in ragione delle dimensioni strutturali e organizzative della Società, la medesima non ha adottato un processo strutturato e che l’individuazione dei fornitori è rimessa ai vertici societari.

Le osservazioni rese sono manifestamente contradditorie e come tali, insuscettibili di superare i rilievi sollevati nell’atto di avvio del procedimento. Invero, la circostanza che le disposizioni dell’art. 28 del Regolamento, che non elencano analiticamente i requisiti che i responsabili devono possedere ai fini dell’incarico, né indicano nello specifico le modalità di selezione, se interpretate alla luce del principio di accountability, lasciano intendere come la scelta delle modalità di pre-qualifica e selezione sia rimessa alla discrezionalità del titolare, pur tenendo in considerazione i rischi specifici per i diritti e le libertà degli interessati coinvolti nelle operazioni di trattamento che si intende esternalizzare.

In altri termini la ratio perseguita dalla norma è quella di addivenire all’affidamento del trattamento in capo a un soggetto che possegga competenze adeguate, fermo restando che le procedure adottate ai fini della scelta e della verifica di tali cognizioni, possono essere diverse da organizzazione a organizzazione e dunque, sono scevre da qualsivoglia formalismo.

Per l’effetto, nel caso di specie non si intende censurare tanto e soltanto la mancanza di una procedura formalizzata e strutturale, bensì l’assenza di qualsivoglia indice – anche di carattere documentale – atto a indicare che il titolare del trattamento, nell’adempimento dei doveri di accountability, si sia preoccupato di verificare le competenze richieste per il trattamento dei dati oggetto dell’incarico (cfr. alle già citate Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR «Il titolare del trattamento ha il dovere di impiegare «unicamente responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate», in modo tale che il trattamento soddisfi i requisiti del GDPR, anche in merito alla sicurezza dello stesso, e garantisca la tutela dei diritti degli interessati. 37 Il titolare del trattamento è pertanto responsabile della valutazione dell’adeguatezza delle garanzie presentate dal responsabile del trattamento e dovrebbe essere in grado di dimostrare di aver preso in seria considerazione tutti gli elementi di cui al GDPR (…). Spesso ciò richiederà uno scambio di documentazione pertinente (ad esempio, politica in materia di privacy, condizioni di erogazione del servizio, registro delle attività di trattamento, meccanismi di gestione dei log, politica in materia di sicurezza delle informazioni, relazioni di audit esterni sulla protezione dei dati e certificazioni internazionali riconosciute, come la serie ISO 27000). La valutazione della sufficienza delle garanzie da parte del titolare del trattamento è una forma di valutazione del rischio che dipenderà in larga misura dal tipo di trattamento affidato al responsabile e va effettuata caso per caso, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento nonché dei rischi per i diritti e le libertà delle persone fisiche»). 

Analoghe considerazioni possono essere condotte anche in relazione alle attività di verifica e monitoraggio sull’operato dei propri partner commerciali (cd. culpa in vigilando). 

A tale riguardo, sebbene i contratti versati agli atti del procedimento fossero stati stipulati tra la fine del 2024 e l’inizio del 2025 e pur facendo riferimento a controlli e audit periodici, la Società si è limitata a fornire soltanto alcune check list relative a controlli effettuati in pendenza della presente istruttoria.

Energia Sostenibile, infatti, ha documentato solamente di avere sottoposto sempre la medesima check list e solo a Top Contact Italia S.p.A. e AEF 2G S.r.l.s. la prima volta a settembre 2025, poi a novembre 2025 e successivamente a gennaio 2026. Tuttavia, dalla lettura dei quesiti posti emerge che le medesime erano preordinate a conoscere le modalità di realizzazione delle attività di telemarketing, che a ben vedere integrano quelle informazioni che il titolare dovrebbe conoscere in una fase antecedente e al precipuo fine di determinarsi all’affidamento dell’incarico.

Peraltro, entrambi i fornitori fanno riferimento all’acquisizione dei dati personali presso list provider e landing page, ma non risulta documentata alcuna verifica da parte di Energia Sostenibile sulla provenienza dei dati personali utilizzati per la realizzazione di attività promozionali nel proprio interesse.

La mancanza di verifiche condotte rispetto ad Eco Energy S.r.l.s., se considerata unitamente all’assenza di qualsivoglia procedura di carattere formale e all’utilizzo delle medesime check list sottoposte ai fornitori soltanto nel corso del procedimento, induce a ritenere che tale documentazione sia stata formata proprio al fine di precostituire un elemento probatorio utile ai fini delle determinazioni dell’Autorità. 

Tali elementi, pertanto, appaiono del tutto insufficienti a dimostrare che la Società abbia realizzato attività di vigilanza e controllo anche in passato rispetto agli altri fornitori e che le medesime siano state sistematizzate all’interno delle procedure aziendali, con conseguente violazione – anche sotto tale profilo - delle disposizioni dell’art. 28 del Regolamento.

Le più volte citate Linee Guida, a questo proposito, rammentano che «L’obbligo di impiegare solo responsabili del trattamento «che presentano garanzie sufficienti», ai sensi dell’articolo 28, paragrafo 1, del GDPR è un obbligo permanente. Esso non viene meno laddove il titolare e il responsabile del trattamento concludano un contratto o un atto giuridico di altra natura. A intervalli adeguati, il titolare del trattamento dovrebbe verificare le garanzie offerte dal responsabile del trattamento, anche mediante attività di revisione e ispezioni, se del caso».

Infine, anche il processo di gestione delle istanze in materia di esercizio dei diritti da parte dei soggetti interessati, non è risultato essere esente da criticità.

La procedura in materia di esercizio dei diritti è stata adottata con notevole ritardo rispetto all’entrata in vigore del Regolamento. Inoltre, in base alla documentazione prodotta dal reclamante di cui al fascicolo n. 412519, sebbene l’attività lamentata dall’istante rientrasse tra quelle riconducibili alla titolarità di Energia Sostenibile, quest’ultima ha fornito riscontro in maniera poco trasparente e non esaustiva, addossando la responsabilità del contatto alla propria rete di vendita e limitandosi a rivelare l’identità del partner soltanto dopo una serie di insistenze.

Tale contegno si pone in aperto contrasto con le disposizioni di cui agli artt. 12 e 15 del Regolamento, nella parte in cui impongono di riscontrare le istanze dell’interessato in maniera trasparente, semplice e chiara, nonché di agevolare l’esercizio dei diritti dell’interessato (vd. Considerando 58 «Il principio della trasparenza impone che le informazioni destinate al pubblico o all'interessato siano concise, facilmente accessibili e di facile comprensione e che sia usato un linguaggio semplice e chiaro, oltre che, se del caso, una visualizzazione. Tali informazioni potrebbero essere fornite in formato elettronico, ad esempio, se destinate al pubblico, attraverso un sito web. Ciò è particolarmente utile in situazioni in cui la molteplicità degli operatori coinvolti e la complessità tecnologica dell'operazione fanno sì che sia difficile per l'interessato comprendere se, da chi e per quali finalità sono raccolti dati personali che lo riguardano, quali la pubblicità online»).

Per le ragioni appena illustrate, deve definitivamente confermarsi la responsabilità di Energia Sostenibile in relazione a tutte le violazioni oggetto di contestazione.

4. CONCLUSIONI

Per quanto sopra esposto si ritiene accertata la responsabilità di Energia Sostenibile in ordine alle seguenti violazioni:

- artt. 5, 6, 7 e 13 del Regolamento, nonché dell’art. 130 del Codice, per aver effettuato i sopra descritti trattamenti di dati personali in assenza di un’idonea base giuridica e al di fuori dei requisiti di legittimità prescritti dalla vigente normativa in materia di protezione dei dati personali;

- artt. 5, 24 e 28 del Regolamento, per aver effettuato i sopra descritti trattamenti di dati personali in violazione dei doveri ivi sanciti e senza la previa individuazione dei ruoli soggettivi ricoperti;

- art. 12 e 15 del Regolamento per l’inadeguato riscontro all’istanza di esercizio dei diritti avanzata dal reclamante di cui al fascicolo n. 412519.

Accertata, altresì, l’illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, si rende necessario:

- imporre a Energia Sostenibile, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, l’adozione di misure adeguate a garantire la liceità di tutta la filiera del trattamento, che dal contatto consente di giungere al contratto;

- imporre a Energia Sostenibile, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, l’adozione di misure adeguate a garantire che qualora la Società debba ricorrere a un responsabile del trattamento per la realizzazione di taluni trattamenti di dati personali, quest’ultimo presenti garanzie sufficienti e competenze adeguate in materia di protezione dei dati personali;

- imporre a Energia Sostenibile, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, l’adozione di misure adeguate a garantire l’effettiva vigilanza sull’operato dei responsabili incaricati del trattamento di tali personali in nome e per conto della Società;

- adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Energia Sostenibile della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento.

5. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Energia Sostenibile della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento.

Più in particolare, ai sensi dell’art. 83, par. 3 del Regolamento «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave». Ai sensi del successivo par. 5 «(…) la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore: a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9; b) i diritti degli interessati a norma degli articoli da 12 a 22; c) i trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale a norma degli articoli da 44 a 49; d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX; e) l'inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell'autorità di controllo ai sensi dell'articolo 58, paragrafo 2, o il negato accesso in violazione dell'articolo 58, paragrafo 1».

Poiché nel caso di specie è stata accertata l’avvenuta violazione degli artt. 5, 6, 7, 12, 13, 15, 24 e 28 del Regolamento, nonché dell’art. 130 del Codice, si applica la disposizione dettata dall’art. 83, par. 3 e 5 del Regolamento. Occorre inoltre fare riferimento anche al fatturato di Energia Sostenibile, come ricavato dalle informazioni economiche e tributarie acquisite. Pertanto, nel caso in argomento, si determina ai sensi dell’art. 83, par. 3 e 5 del Regolamento il massimo edittale della sanzione pecuniaria in Euro 20.000.000,00.

Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.

Nel caso in esame, assumono rilevanza:

1) la gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento), tenuto conto dell’oggetto e delle finalità dei dati trattati, riconducibili al fenomeno complessivo del telemarketing, in ordine al quale l’Autorità ha adottato, in particolare negli ultimi cinque anni, numerosi provvedimenti che hanno compiutamente preso in esame i molteplici elementi di criticità fornendo ai titolari numerose indicazioni per adeguare i trattamenti alla normativa vigente e per attenuare l’impatto delle chiamate di disturbo nei confronti degli interessati;

2) quale fattore attenuante (art. 83, par. 2, lett. e) del Regolamento), l’assenza di precedenti violazioni pertinenti commesse dal titolare del trattamento; 

3) quale fattore attenuante (art. 83, par. 2, lett. f) del Regolamento), il grado di cooperazione con l’Autorità di controllo al fine di porre rimedio alle violazioni; 

4) quale ulteriore fattore attenuante (art. 83, par. 2, lett. g) del Regolamento), le categorie di dati personali interessate dalla violazione (i.e. dati di natura comune).

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative e funzionali della Società, si ritiene debba applicarsi a Energia Sostenibile la sanzione amministrativa del pagamento di una somma di euro 100.000,00, pari allo 0,5% della sanzione massima edittale.

Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della natura dei trattamenti e delle condotte della Società, nonché degli elementi di rischio per i diritti e le libertà degli interessati.

In attuazione dei principi di cui all’art. 83 del Regolamento, l’irrogazione di tale sanzione accessoria appare ragionevole e proporzionata in relazione al particolare disvalore delle condotte oggetto di censura, soprattutto avuto riguardo alla loro gravità, in quanto afferenti ai principi fondamentali - e costantemente ribaditi - della normativa in materia di protezione dei dati personali.

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. a), del Regolamento, dichiara illecito, nei termini di cui in motivazione, il trattamento effettuato da parte di Energia Sostenibile S.r.l. con sede legale in Capaccio Paestum (SA), via La Pila, 1, P.IVA 10961500963;

b) impone a Energia Sostenibile, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, l’adozione di misure adeguate a garantire la liceità di tutta la filiera del trattamento, che dal contatto consente di giungere al contratto;

c) impone a Energia Sostenibile, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, l’adozione di misure adeguate a garantire che qualora la Società debba ricorrere a un responsabile del trattamento per la realizzazione di taluni trattamenti di dati personali, quest’ultimo presenti garanzie sufficienti e competenze adeguate in materia di protezione dei dati personali;

d) impone a Energia Sostenibile, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, l’adozione di misure adeguate a garantire l’effettiva vigilanza sull’operato dei responsabili incaricati del trattamento di tali personali in nome e per conto della Società;

e) ingiunge a Energia Sostenibile, ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel termine di trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

ORDINA

a Energia Sostenibile S.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Capaccio Paestum (SA), via La Pila, 1, P.IVA 10961500963, di pagare la somma di euro 100.000,00, (centomila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 100.000,00, (centomila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

a) la pubblicazione del presente provvedimento, ai sensi degli artt. 154-bis del Codice e 37 del Regolamento n. 1/2019;

b) l’applicazione della sanzione accessoria della pubblicazione sul sito del Garante della presente ordinanza di ingiunzione, come previsto dagli artt. 166, comma 7 del Codice e 16 del Regolamento del Garante n. 1/2019;

c) l’annotazione del presente provvedimento nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso. 

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 14 maggio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Montuori