VEDI ANCHE Newsletter del 26 marzo 2026

[doc. web n. 10233396]

Provvedimento del 12 marzo 2026

Registro dei provvedimenti
n. 170 del 12 marzo 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e il dott. Claudio Filippi, Vice Segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. Premessa

Con atto prot. n. 153230 del 19 novembre 2025, notificato in pari data mediante posta elettronica certificata, che qui deve intendersi integralmente riprodotto, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Enel Energia S.p.A., (di seguito “Enel Energia” o “Società”), in persona del legale rappresentante pro-tempore, con sede legale in Roma (RM), via Luigi Boccherini, 15, P.IVA 06655971007.

Il procedimento trae origine da una istruttoria avviata dall’Autorità a seguito della ricezione di un reclamo, mediante il quale l’interessato reiterava precedenti segnalazioni (cfr. fascicoli nn. 427837- 427842 - 427968 – 429653 – 433998 – 452903) e lamentava che a seguito della sottoscrizione di un contratto per la fornitura di energia elettrica con Enel Energia, aveva iniziato a ricevere numerose chiamate indesiderate da operatori che erano già in possesso dei suoi dati personali e di quelli relativi alla sua fornitura. Con la medesima doglianza, il reclamante precisava di essere iscritto al Registro Pubblico delle Opposizioni (di seguito anche “RPO”), di non aver conferito il consenso alla ricezione di comunicazioni pubblicitarie e che gli operatori chiamanti facevano riferimento all’utenza attivata con Enel Energia, rispetto alla quale nei sistemi gestionali della Società era stato registrato il numero civico errato in corrispondenza dell’indirizzo di fatturazione.

L’interessato allegava al reclamo anche le interlocuzioni avvenute con la Società, mediante le quali quest’ultima riconosceva di avere effettuato un solo contatto tramite il numero telefonico XX per finalità gestionali, vale a dire per completare la richiesta di subentro. Tuttavia, rendendo dichiarazioni ai sensi dell’art. 168 del Codice, con la doglianza n. 427837 l’interessato aveva segnalato tale numerazione evidenziando che «La persona mi ha detto che era di Enel e che voleva offrirmi un contratto per il gas».

A seguito di una verifica effettuata dall’Ufficio, emergeva che le numerazioni chiamanti oggetto di segnalazione non erano iscritte al Registro degli Operatori di Comunicazione e postali (di seguito anche “ROC”), fatta eccezione per la numerazione XX che risultava in uso a numerosi call-center variamente dislocati sul territorio italiano.

Infine, nel corso del procedimento pervenivano due ulteriori segnalazioni (cfr. fascicoli nn. 476308 e 527013) mediante le quali gli interessati lamentavano di essere stati contattati per conto di Enel Energia per finalità gestionali, ma che poi nel corso della telefonata erano state formulate proposte promozionali, nonostante il mancato conferimento del consenso al momento della stipula del contratto di fornitura.

1.2. Le richieste di informazioni formulate dall’Autorità

Esaminato l’atto di reclamo e tutta la documentazione allegata, l’Ufficio notificava una richiesta di informazioni ai sensi degli artt. 58, par. 1, lett. a) del Regolamento e 157 del Codice, invitando la Società a fornire le proprie osservazioni (cfr. Prot. n. 68112 del 20 maggio 2025).

Così, con nota trasmessa in data 10 giugno 2025 (cfr. Prot. nn. 83311 e 83315 dell’11 giugno 2025), Enel Energia rappresentava preliminarmente che il reclamante «è cliente di Enel Energia per la fornitura di energia elettrica sita in XX (…) attiva dal 3/12/2024 (subentro (…) del 2/12/2024 da Ordini on line - Full Digital). Sin dalla prima sottoscrizione del contratto per la fornitura di energia elettrica (…) esprimeva diniego al trattamento dei propri dati personali per finalità commerciali, terzi e profilazione».

Quanto alla procedura seguita per la stipula di tale contratto, la Società chiariva che in data 3 dicembre 2024 il reclamante aveva completato il processo di perfezionamento del contratto di subentro, inviando ad Enel Energia la documentazione contrattuale e che in pari data «l’operatore di back office verificava la conformità della documentazione ed effettuava una chiamata di natura gestionale dalla numerazione EE XX per comunicare al cliente che la richiesta di subentro era andata a buon fine. Durante il contatto telefonico, effettuato al fine di confermare al cliente la completezza della richiesta di subentro, si evince che l’operatore abbia chiesto al cliente se fosse interessato anche all’offerta gas. Tale registrazione telefonica ad oggi non è più disponibile in quanto decorsi i tempi di conservazione (90 gg)».

A tale riguardo la Società evidenziava di avere «provveduto ad adeguare il processo di ricontatto per finalità gestionali e/o di caring, come nel presente caso, in modo che qualunque descrizione di proprie offerte commerciali in corso, su iniziativa dell’operatore, sia sempre preceduta dalla verifica della presenza del consenso marketing espresso dal cliente».

Con la medesima nota, il titolare dichiarava che le altre numerazioni chiamanti oggetto di segnalazione non erano tra quelle utilizzate dai propri collaboratori e partner commerciali e di avere effettuato anche una segnalazione alle Autorità competenti.

Quanto alla numerazione XX ed alle risultanze della verifica presso il ROC, la Società chiariva che «le società alle quali risulta in uso la numerazione (…) sono tutte Partner di EE, con rapporto contrattuale in corso per le attività inbound, outbound e di backoffice» e che nell’ambito delle richiamate attività outbound rientrano le finalità gestionali, di vendita e statistica.

Enel Energia illustrava, poi, le misure adottate in relazione allo svolgimento di attività di telemarketing e teleselling, specificando che per i partner che utilizzano la piattaforma “Genesys”, la Società ha adottato un «processo che prevede, prima dell’avvio della campagna di telemarketing o teleselling, i) la verifica presso il Registro Pubblico delle Opposizioni, ii) il confronto con la black list di EE delle liste di numerazioni fornite dai List Editor e acquistate dai Partner in nome e per conto di EE; Script con le istruzioni da seguire per lo svolgimento di contatti outbound a cura del consulente telefonico, con riferimento all’Informativa privacy in forma semplificata (…), e relativo rimando all’Informativa estesa (…); Informativa privacy sul sito web di EE in forma estesa (…); Form di raccolta lead nell’area pubblica del sito www.enel.it, con tracciamento e conservazione della coppia IP-TimeStamp, invio del messaggio di notifica di registrazione dell’interesse al ricontatto e possibilità di revoca; Processo di vendita telefonica, (…) che prevede di informare entro 15 gg l’editore/list provider di eventuali manifestazioni di volontà negativa espressa dagli interessati nel corso della campagna di marketing».

Diversamente per «i partner che svolgono attività di teleselling e telemarketing con la propria barra telefonica (c.d. “Reseller Web” o “Agenzie digitali”), EE ha adottato recentemente il sistema di Campaign Management della Società “XX” (…)» (di seguito anche “Enel Campaign Management” o “ECM”), che «garantisce il controllo e tracciamento di una serie di requisiti di compliance come il controllo puntuale dell’Informativa privacy, dell’iscrizione al ROC di tutte le numerazioni uscenti, degli orari e dell’esito delle chiamate effettuate, della manifestazione d’interesse al contatto, ivi incluso l’invio dell’SMS in opt-out, tramite il quale l’interessato può revocare il proprio interesse ad essere contattato. In particolare, l’interessato quando rilascia la manifestazione d’interesse ad essere contattato, riceve in tempo reale l’SMS, attraverso il quale può revocare la richiesta entro 90 secondi così da non ricevere alcuna chiamata. Successivamente, può sempre effettuare tale revoca entro il periodo di validità della lead (tre giorni dalla richiesta). Se l’interessato esprime il diniego ad essere contattato, il dato di contatto viene notificato al Partner, con cadenza giornaliera, al fine di escluderlo dalla lista di contattabilità ed inserirlo nell’apposita black list. Inoltre, il piano di integrazione della piattaforma ECM con i propri sistemi informatici, garantirà la completa tracciabilità del contratto rispetto alla numerazione contattata e al nominativo del Partner che ha eseguito il contatto».

La Società richiamava, inoltre, anche le ulteriori misure di recente adottate in materia, quali la prequalifica dei fornitori, l’aggiornamento dei contratti con le terze parti attraverso l’inserimento delle prescrizioni del Codice condotta per le attività di telemarketing e teleselling, l’applicazione di penali per ogni contratto in assenza di un contatto legittimo, la previsione di un piano di “audit on site”.

Enel illustrava, infine, le misure in corso di adeguamento, quali per esempio «l’implementazione di processi e controlli a seguito dei quali, qualora emergano contratti generati da contatti non autorizzati, viene verificata l’effettiva volontà di mantenere attivo il contratto con ricontatto degli interessati contraenti e tracciamento della volontà da questi espressa al fine della produzione di appositi report da condividere con codesta Autorità, in adempimento alla prescrizione del Codice di condotta. In caso contrario, il contratto viene cessato; nel caso di contratti perfezionati da agenzie in presenza e con modalità di sottoscrizione non elettroniche (c.d. contratti cartacei), implementazione di un processo di controllo del rientro in archivio di tutti i kit contrattuali sottoscritti; adeguamento della modalità di raccolta lead per offerte commerciali, tramite Chat in area pubblica e privata del sito www.enel.it, con tracciamento e conservazione della coppia IP-TimeStamp ed invio del messaggio di notifica di registrazione dell’interesse al ricontatto e possibilità di revoca per cui, se il cliente dovesse chiedere di essere ricontattato durante l’interazione in chat con un operatore, riceverà comunque l’SMS in opt-out».

Il reclamante non faceva pervenire ulteriori osservazioni.

Preso atto di tutte le circostanze rappresentate e della documentazione versata agli atti del procedimento, si rendeva necessario effettuare un supplemento di istruttoria, rivolgendo alla Società una richiesta di informazioni integrativa ai sensi e per gli effetti degli artt. 58, par. 1, lett. a) del Regolamento e 157 del Codice, al fine di acquisire chiarimenti in ordine alla procedura di stipula dei contratti “Ordini on line - Full Digital”, alle misure adottate per scongiurare il rischio che nell’ambito di contatti telefonici realizzati per finalità gestionali vengano realizzate attività di natura promozionale, nonché al trattamento dei dati raccolti mediante i form e le chat presenti sul sito aziendale o sui siti web dei propri partner commerciali (cfr. Prot. n. 131783 del 6 ottobre 2025).

Con nota trasmessa in data 28 ottobre 2025 (cfr. Prot. n. 143628 del 29 ottobre 2025) Enel Energia chiariva che il processo di stipula dei contratti “Ordini on line - Full Digital” è attivato dagli interessati che, navigando sul sito della Società, individuano un’offerta di loro interesse e avviano autonomamente il processo di adesione. L’utente può fornire i dati personali manualmente (in tal caso sono previsti meccanismi di verifica dell’indirizzo mail e del codice fiscale) oppure i medesimi vengono estrapolati a seguito dell’upload di una bolletta emessa dall’attuale trader. All’esito di tale prima fase di raccolta dei dati, all’utente viene fornita l’informativa sul trattamento dei dati personali.

Qualora l’interessato non porti a termine tale procedura, nel caso di determinate operazioni di voltura oppure di mancato superamento dei controlli tecnico-amministrativi, previa apposita informativa, la procedura prosegue telefonicamente. In tale evenienza, dopo aver fornito i dati di contatto, l’utente riceve un sms di conferma, recante un link utile alla revoca della richiesta di contatto telefonico (cd. opt-out).

Quanto alle misure adottate con riferimento ai contatti telefonici di natura gestionale, la Società rappresentava di aver «provveduto ad adeguare il processo di ricontatto per finalità gestionali, fornendo ai Partner di servizi di back office specifica procedura e stabilendo che l’eventuale proposta commerciale venga eseguita solo sui clienti interessati il cui consenso marketing è regolarmente registrato a sistema». Più in particolare, Enel chiariva che le numerazioni utilizzate per lo svolgimento di tali attività sono iscritte al ROC, agli operatori telefonici sono state fornite apposite istruzioni, che prevedono la verifica della sussistenza del consenso marketing e che sono svolti controlli a cadenza settimanale mediante il riascolto delle chiamate. Inoltre, in caso di “non conformità”, le policy aziendali prevedono l’applicazione di talune penali.

Con riferimento ai form presenti sul sito web aziendale e utili all’inoltro di richieste di ricontatto, la Società chiariva che i medesimi recano il link all’apposita informativa sul trattamento dei dati personali e che sono stati oggetto di adeguamento in data 6 aprile 2025 «sviluppando una funzionalità che permette l’invio dell’SMS in opt-out, tramite il quale l’interessato può revocare il proprio interesse ad essere contattato. In particolare, l’interessato dopo aver compilato il form rilasciando i suoi dati personali come il dato di contatto, riceve in tempo reale un SMS, attraverso il quale può revocare la richiesta entro 90 secondi così da non ricevere alcuna chiamata. Se l’interessato esercita tale facoltà successivamente, entro il periodo di validità della lead (tre giorni dalla richiesta), potrebbe ricevere la chiamata nell’arco delle 24 ore dal rilascio della lead, ma il suo numero viene comunque eliminato dalla lista di contattabilità».

Sul punto la Società evidenziava, altresì, di avere «introdotto (…) strumenti anti-bot al fine di impedire il caricamento massivo di dati di contatto all’interno del form web (…) vengono utilizzati API Gateway (…) e di Web Application Firewall (…) in grado di intercettare eventuali intrusioni fraudolente o quanto meno di mitigarne i rischi e garantire la sicurezza delle infrastrutture digitali».

Nella medesima occasione, la Società rappresentava che attraverso le chat disponibili sul sito web aziendale, è offerta all’utente anche la possibilità di inoltrare richieste di informazioni o assistenza. I dati di contatto, eventualmente forniti in tale sede, sono soggetti a controlli inerenti a numeri di telefono/e-mail ripetuti più di 5 volte con blocco dei relativi contratti. In caso di compilazione del form di ricontatto, «l’utente (…) riceve un sms di opt-out con la possibilità di annullare la richiesta tramite link dedicato».

Quanto, invece, ai dati personali raccolti tramite form presenti sui siti web riconducibili a partner commerciali, la Società rappresentava di utilizzare la «piattaforma di campaign management dal nuovo nome: “Enel Campaign Orchestrator” (di seguito anche “ECO”), visiona e approva l’experience di raccolta lead del cliente (e.g. URL del sito/screen shot) e l’Informativa Privacy associata, esposta per la suddetta raccolta, precedentemente autorizzate dalla Funzione privacy di Enel Energia. L’utente che visita la pagina web del Partner Commerciale, se interessato, può rilasciare il proprio numero al fine di essere contattato telefonicamente. La lead viene acquisita dalla piattaforma “ECO” che traccia e conserva l’IP time-stamp e contestualmente l’interessato riceve un SMS di opt-out da Enel Energia. L’invio dell’SMS permette di verificare l’identità del titolare della numerazione fornita nel form di ricontatto. Tramite la ricezione dell’SMS, l’interessato può revocare entro 90 secondi il proprio interesse ad essere contattato. In tal caso, il dato di contatto viene immediatamente bloccato da Enel Energia tramite “ECO” e reso indisponibile al Partner ai fini del ricontatto (…) l’interessato può sempre effettuare tale revoca entro il periodo di validità della lead (tre giorni dal rilascio). Se l’interessato esprime il diniego ad essere contattato, Enel Energia inserisce tramite “ECO” il dato di contatto in apposita black list e ne dà notifica al Partner, con cadenza giornaliera, al fine di escluderlo dalla lista di contattabilità». Anche rispetto a tali attività di ricontatto, la Società dichiarava di avere fornito ai propri partner script di chiamata e specifiche istruzioni.

Nel corso del procedimento pervenivano all’attenzione dell’Autorità due ulteriori segnalazioni nei confronti di Enel Energia e vertenti sempre in materia di chiamate indesiderate realizzate in assenza di un’idonea base giuridica (cfr. fascicoli nn. 476308 – 527013).

Più in particolare, con la segnalazione n. 476308 l’interessato rappresentava che nonostante il mancato conferimento dei consensi marketing in sede di stipula del contratto per la fornitura dell’energia elettrica, «sono stato contattato da un operatore umano dell'azienda che, con la scusa di informarmi circa lo stato della pratica di attivazione, ha cercato di propormi una fornitura Gas da aggiungere a quella elettrica in via di perfezionamento».

Parimenti, anche con la segnalazione n. 527013 l’interessato lamentava di avere ricevuto una chiamata di benvenuto, ma che poi nel corso della medesima erano stati richiesti i dati utili ai fini delle comunicazioni commerciali, sebbene in fase di sottoscrizione del contratto fossero stati negati tutti i consensi.

1.3. La riunione dei procedimenti

Al fine di promuovere l’esame organico di tutte le questioni prospettate, sebbene pervenute in tempi diversi, ai sensi dell’art. 10, comma 4, del regolamento interno n. 1/2019 (disponibile per la consultazione sul sito www.gpdp.it, doc-web n. 9107633) l’Ufficio riteneva opportuno trattare nell’ambito dell’odierno procedimento anche le segnalazioni di cui ai fasc. nn. 476308 - 527013, medio tempore pervenute nei confronti di Enel Energia, entrambe vertenti su questioni del medesimo tenore e contenuto di quelle affrontate nell’ambito dell’odierno reclamo.

La riunione dei procedimenti consentiva, infatti, di dare piena attuazione ai principi di economicità e ragionevole durata del procedimento e di garantire, al contempo, anche il diritto di difesa e di non aggravamento del procedimento riconosciuto dalla legge al titolare del trattamento.

1.4. Contestazione delle violazioni

L’Ufficio, all’esito dell’istruttoria, adottava il sopra richiamato atto di contestazione n. 153230/25 nel quale, in primo luogo, si osservava che le misure adottate dalla Società con riferimento alla realizzazione delle chiamate di natura gestionale e/o di caring rivolte ai clienti non apparivano aderenti alla vigente normativa in materia di protezione dei dati personali, né adeguate ad assicurare che tali contatti venissero effettuati nel pieno rispetto del principio di liceità e in presenza di un’idonea base giuridica ai sensi e per gli effetti degli agli artt. 5, 6 e 7 del Regolamento e 130 del Codice.

Nella fattispecie, dall’istruttoria preliminare sembrava infatti emergere che quella di effettuare chiamate apparentemente gestionali e finalizzate alla conferma della procedura di attivazione, poi surrettiziamente sfruttate ai fini della realizzazione di contatti volti alla promozione degli ulteriori servizi offerti alla Società, costituiva una prassi ricorrente.

Inoltre, anche con riferimento ai trattamenti di dati personali realizzati da Enel Energia per finalità di telemarketing e teleselling nell’ambito della procedura di ricontatto, le misure adottate non apparivano idonee ad assicurare la sussistenza dei requisiti di liceità previsti dalla vigente normativa e, dunque, a escludere il rischio di trattamenti di dati realizzati in assenza di un’idonea base giuridica.

Quanto, invece, ai controlli effettuati dalla Società in adempimento dei doveri di accountability con riferimento ai partner coinvolti nella realizzazione di attività di telemarketing e teleselling nell’interesse di Enel Energia, l’Ufficio osservava che non risultavano pervenute sufficienti evidenze di carattere documentale.

L’Ufficio, pertanto, contestava a Enel Energia le seguenti ipotesi di violazione:

- artt. 5, 6, 7 e 24 del Regolamento, nonché dell’art. 130 del Codice, per aver effettuato – e continuare a effettuare - i sopra descritti trattamenti di dati personali di utenti e contraenti del settore energetico in contrasto con i principi di liceità e responsabilizzazione, in assenza di un’idonea base giuridica e mettendo in atto misure tecniche e organizzative non adeguate per garantire, fin dalla progettazione, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento;

- art. 5, 24 e 28 del Regolamento per la mancata adozione di misure adeguate in ordine alla selezione e al controllo sull’operato dei partner coinvolti nella raccolta e nel trattamento dei dati per la realizzazione di attività di telemarketing e teleselling.

2. LA DIFESA DEL TITOLARE

Con nota trasmessa in data 16 dicembre 2025 (cfr. Prot.  n. 174895/25) Enel Energia chiedeva una proroga pari a 21 gg. del termine previsto dall’art. 166, comma 6, del Codice e dall’art. 13 del regolamento del Garante n. 1/2019.

Con successivo riscontro del 18 dicembre 2025 (cfr. Prot. n. 175825), l’Ufficio accoglieva parzialmente l’istanza, accordando una proroga pari a 15 gg. e rappresentando che «l’art. 166, comma 6, del Codice e l’art. 13 del regolamento interno n. 1/2019 (…) prevedono a favore del titolare, quale ordinario termine per la presentazione di memorie difensive e richiesta dell’audizione, quello di 30 giorni decorrenti dalla ricezione della contestazione. L’eventuale “breve” proroga, di norma non superiore a 15 giorni può essere concessa «secondo criteri di proporzionalità anche in relazione alle caratteristiche operativo/dimensionali dei destinatari stessi e alla complessità della vicenda presa in esame». Una proroga del termine superiore a 15 giorni, nel caso di specie non appare rispondente ai criteri di proporzionalità sopra richiamati, sia per la tipologia di istruttoria (prettamente documentale) sia in considerazione delle caratteristiche operativo-dimensionali di una società che rappresenta una delle principali realtà economico-aziendali del Paese, dotata di importanti risorse anche di carattere legale e organizzativo. Peraltro, la concessione di una proroga più ampia risulterebbe difficilmente compatibile con la prassi costantemente seguita nei confronti di altri titolari del trattamento, nonché con le esigenze di economicità e ragionevole durata del procedimento».

Successivamente, in data 5 gennaio 2026 (cfr. Prot. n. 3303 del 13 gennaio 2026), la Società presentava i propri scritti difensivi e chiedeva di essere sentita dinanzi all’Autorità, in base a quanto previsto dall’art. 166, comma 6, del Codice e dall’art. 13 del regolamento del Garante n. 1/2019.

In tale occasione in primo luogo la Società illustrava «le misure adottate e lo stato di avanzamento del processo di adozione del Codice di Condotta per le attività di telemarketing e teleselling, approvato da codesta Autorità, unitamente all’accreditamento dell’Organismo di Monitoraggio, con il provvedimento no. 148 del 7 marzo 2024».

Nella fattispecie Enel Energia rappresentava che già a partire dal 2024 erano stati avviati alcuni tavoli di lavoro per l’adeguamento dei processi interni in merito al trattamento dei dati personali con specifico riguardo alle attività svolte per finalità di marketing e che tale processo è proseguito per tutto l’anno successivo.

Sul punto, la Società chiariva di avvalersi di «partner esterni sia per lo svolgimento di attività telefonica per finalità gestionali e di caring, sia nell’ambito delle attività di contatto dei clienti per finalità di marketing e che la Società ha in essere rapporti contrattuali diversi a seconda della tipologia di servizio erogato dai partner. Ad oggi, i contratti con i partner esterni prevedono, in tutti i casi sia una clausola penale di carattere generale, che una clausola penale specifica per le violazioni della disciplina sulla protezione dei dati personali» e che le misure di controllo appena descritte avevano consentito di gestire in maniera adeguata le ipotesi di violazione delle procedure, come avvenuto a seguito della segnalazione di cui al fascicolo n. 527013, per la quale è stata applicata la massima penale già prevista dal contratto in essere.

In tale contesto Enel Energia rappresentava, altresì, che a partire da luglio 2024 aveva avviato «un ciclo di comunicazioni formative-informative sulla piattaforma Enel Flow e sul proprio sito enel.it, con l’obiettivo di accrescere la capacità di riconoscere e prevenire tentativi di truffa riferiti alla Società. In particolare, sono state pubblicate: (1) pillole informative sulla prevenzione delle frodi commerciali (ad esempio, messaggi WhatsApp falsi, chiamate sospette), a beneficio dei canali e dei clienti; (2) un contenuto operativo sulla verifica dell’autenticità del numero chiamante, con accesso diretto allo strumento «Verifica chi ti ha chiamato» presente sul sito della Società; (3) la diffusione del vademecum aziendale, disponibile in intranet, sulla lotta alle chiamate fraudolente; (4) un’informativa sulle azioni da adottare per prevenire e contrastare frodi telefoniche».

La Società evidenziava, inoltre, di avere provveduto alla erogazione di corsi di formazione per gli operatori impiegati nelle campagne telefoniche «includendo fra le attività a fruizione obbligatoria per il completamento del percorso di onboarding: (1) corso online sulla tematica “Privacy - Trattamento e protezione dati personali” (2) news informativa sul Registro delle Opposizioni contro telemarketing selvaggio e (3) modulo formativo online sulla gestione dei consensi e news integrativa sull’analisi dell’evoluzione dello storico “Consensi Cliente”», nonché di «sessioni formative in aula virtuale per tematiche ad hoc, tra cui delle sessioni formative in aula virtuale sul fenomeno “Spoofing e Truffe” (...) e una sessione formativa in aula virtuale per il fenomeno “Truffe variazione di Potenza”».

Con riferimento alla realizzazione delle chiamate di natura gestionale e/o di caring rivolte ai clienti, Enel Energia rappresentava che a partire da giugno 2025 aveva avviato una revisione del processo di ricontatto per finalità gestionali, culminato nella definizione del documento “DOC TO SALE”, recante le istruzioni aggiornate per gli operatori e che la Società sta comunque provvedendo ad aggiornare ulteriormente le istruzioni e i relativi contratti in uso.

Quanto agli script di chiamata, Enel Energia rappresentava che i medesimi sono sottoposti al controllo «da parte delle funzioni aziendali competenti, al fine di verificarne tutti i requisiti di adeguatezza in termini di trasparenza, efficacia e conformità alla normativa».

Quanto ai controlli finalizzati al rispetto delle istruzioni impartite agli operatori, la Società evidenziava di svolgere «con cadenza settimanale controlli ex post delle registrazioni delle telefonate inerenti a diversi processi acquisitivi (ad es., switch attivi, voltura con cambio fornitore), quali (i) controllo a campione sulle diverse fasi di vendita (…); (ii) indicatore della conformità nella vendita (…); (iii) “Quality Call” per verificare l’effettiva consapevolezza contrattuale del Cliente attraverso un contatto telefonico o digitale con il cliente successivamente alla sottoscrizione del contratto (…); (iv) controllo dei contatti ripetuti o segnalati come “non corretti” sulle nuove acquisizioni (…); e (v) controllo campionario dei consensi acquisiti in fase di vendita e stand alone, che consiste nella verifica che lo stato dei consensi marketing da parte di soggetti terzi e profilazione, tracciati nei sistemi aziendali, sia corrispondente alla volontà manifestata dal cliente».

Inoltre, il sistema di controllo automatico adottato dalla Società mira anche a verificare se il numero di telefono e/o indirizzo e-mail sono presenti nelle relative “Black list” o “White list”.  Nel primo caso è previsto l’annullamento dell’offerta, mentre nel secondo caso il controllo restituisce esito positivo solo se il numero di telefono o l’indirizzo e-mail presenti sull’offerta sono riferiti ad un codice fiscale contenuto nella stessa.

Nel corso del 2026 le misure di controllo saranno estese anche alle telefonate cd. di caring «e includeranno l’implementazione di un indicatore mensile della qualità del servizio offerto, che tenga conto anche del numero di segnalazioni pervenute dalla clientela. Sulla base di questo indicatore, la Società valuterà, fra le altre cose, l’applicazione di penali o di azioni correttive».

Con riferimento ai meccanismi di opt-out implementati in ordine alle richieste di ricontatto inoltrate tramite form e chat presenti sul sito aziendale e sui siti appartenenti ai partner commerciali, Enel Energia rappresentava che «nel valutare l’adeguatezza del meccanismo di opt-out, la Società ha tenuto conto del confronto con journey ed experience di altri player di diversi settori e che questa modalità di revoca, svincolata dalla digitazione di codici o di altri caratteri o dall’invio di messaggi in risposta, riduce il rischio di refusi e/o di altri errori».

La Società chiariva, poi, che quando l’interessato effettua la richiesta di contatto mediante form e chat presenti sul sito aziendale «è previsto un arco temporale di 90 secondi dalla ricezione del messaggio entro il quale, se lo stesso esercita la propria revoca della richiesta di contatto, non sarà contattato e la sua numerazione sarà eliminata da quelle contattabili. Nel caso di revoca esercitata oltre il termine dei 90 secondi, è possibile che l’utente riceva un tentativo di contatto da parte della Società (naturalmente, entro e non oltre tre giorni e prima dell’esercizio della revoca) e la sua numerazione sarà eliminata da quelle contattabili non appena ricevuto l’opt-out. Al termine dei 90 secondi, in assenza di revoca, l’interessato può essere contattato entro tre giorni al numero di telefono rilasciato tramite il form e il relativo storico interazioni è salvato nei sistemi della Società».

Il richiamato messaggio di opt-out viene inviato con mittente in chiaro tramite alias non modificabile “Enel Energia” e contiene un link di rinvio a una landing page di verifica ospitata sul sito ufficiale enel.it. Il rinvio a una landing page di doppia verifica, in base alle valutazioni della Società, consente un controllo in più da parte dell’utente che, nel caso di errore o azione involontaria, può confermare la volontà di ricevere il contatto.

Se, invece, l’interessato effettua la richiesta di ricontatto mediante form presenti sulle pagine web utilizzate dai partner commerciali della Società, il meccanismo di opt-out è gestito mediante la piattaforma ECO, che invia la lead a uno dei partner commerciali autorizzati al fine di realizzare il contatto. In tale evenienza, l’arco temporale, entro il quale l’interessato può esercitare la revoca della richiesta di contatto, senza essere contattato, è pari a 2 minuti.

A tale riguardo, Enel Energia contestava i rilievi formulati dall’Ufficio evidenziando che l’utilizzo di form di ricontatto dei clienti è contemplato dal Codice di Condotta in materia di telemarketing e teleselling, ove è altresì previsto che «sarà considerato correttamente acquisito un consenso che risulti adeguatamente documentato, tenendo traccia, con modalità informatiche che ne garantiscano l’immodificabilità della data e dell’origine, come, ad esempio, la conservazione sia della coppia IP-timestamp del soggetto che ha fornito il consenso on line selezionando le apposite caselle, sia dell’invio allo stesso soggetto di un messaggio di notifica della registrazione del consenso (ad esempio, SMS) oppure con meccanismi cosiddetti double opt-in dove il consenso acquisito on line viene successivamente confermato dall’interessato rispondendo ad un messaggio di conferma”».  

La Società osservava inoltre che rispetto alle modalità di documentazione del consenso dell’interessato, il Codice di Condotta aveva previsto varie opzioni da considerarsi tra loro alternative e parimenti adeguate, pertanto non vi erano ragioni per ritenere preferibile l’implementazione di meccanismi di cd. double opt-in.

Enel Energia evidenziava che l’adeguatezza del meccanismo di opt-out nel caso di specie doveva essere valutata in concreto, tenendo conto del fatto che tale meccanismo è inserito all’interno di un più ampio processo nell’ambito del quale la Società ha adottato altre misure di controllo (es. strumenti anti-bot finalizzati a impedire il caricamento massivo di dati di contatto all’interno del form web; controlli inerenti a numeri di telefono/e-mail ricorrenti con conseguente blocco dei relativi contratti) e della circostanza che il fenomeno del cd. lavaggio delle liste - richiamato nell’atto di contestazione - rappresentava una considerazione di carattere generale, non potendo Enel Energia adottare le proprie determinazioni sulla previsione aprioristica che i propri partner possano agire violando il generale principio di buona fede di cui all’art. 1337 del Cod.Civ..

La Società riferiva che «nel periodo dal 31 agosto al 5 dicembre 2025 (…), a riprova del fatto che le richieste di contatto fossero genuine (…) a fronte di un totale di richieste di contatto pervenute mediante il sito web della Società pari a 189.256, la revoca è stata esercitata solo in 4.883 casi, di cui in 1174 casi entro i 90 secondi e in 606 casi in un momento fra i 90 secondi e i 5 minuti dalla ricezione del messaggio».

Quanto alle pagine web utilizzate dai propri partner ai fini della raccolta di dati personali da utilizzare per la realizzazione di campagne promozionali nell’interesse di Enel Energia, quest’ultima chiariva preliminarmente di non acquistare liste cd. “fredde” formate da list provider, bensì di avvalersi esclusivamente di partner qualificati che operano per conto della Società.

Enel Energia illustrava anche il sistema di controlli di carattere contrattuale, organizzativo e tecnico implementato con riferimento a tali trattamenti di dati personali, caratterizzato da: utilizzo della piattaforma ECO; verifica preventiva delle campagne di raccolta; caricamento dei dati dell’interessato; controlli periodici e continuativi; audit; gestione e controllo delle richieste di revoca del consenso; prequalifica dei fornitori; nonchè aggiornamento dei contratti e previsione di penali.

Con specifico riferimento al reclamo n. 452934 (e alle correlate segnalazioni nn. 427837- 427842 - 427968 – 429653 – 433998 – 452903), Enel Energia evidenziava di avere riscontrato le istanze del segnalante già prima dell’avvio della presente istruttoria e che «preso atto del fatto che, secondo quanto riportato dal sig. XX, l’operatore che aveva eseguito il contatto gestionale, aveva chiesto allo stesso se fosse anche interessato ad offerte gas di Enel, senza preventivamente verificare se il cliente avesse rilasciato il proprio consenso marketing, non essendo più in possesso delle registrazioni, si è prontamente attivata per rafforzare il processo (già avviato) di miglioramento delle procedure, per limitare il rischio del verificarsi di eventi simili in futuro».

In ordine alla segnalazione n. 476308, invece, la Società precisava che soltanto uno dei lamentati contatti era riconducibile alla stessa e che «Nel corso del contatto dell’11 aprile, da parte di un operatore di Enel Energia, si lamenta che l’operatore abbia chiesto allo stesso se fosse anche interessato ad offerte gas di Enel, senza verificare se vi fosse un valido consenso al marketing da parte del signor XX; consenso che lo stesso cliente aveva revocato in data 10 aprile 2025. Pur non essendo più in possesso della registrazione, la Società si è prontamente attivata per rafforzare il processo di miglioramento delle procedure».

Rispetto alla segnalazione n. 527013 Enel Energia evidenziava che la numerazione chiamante indicata era iscritta al ROC, ma che tuttavia nella segnalazione era stata erroneamente indicata una cifra in più. All’esito dei controlli interni, la Società aveva appurato che, durante la chiamata, l’operatore aveva formulato un’offerta commerciale al cliente, senza verificare la presenza di un valido consenso al trattamento dei dati per finalità di marketing. Pertanto, Enel Energia «non appena accertata l’anomalia, si è immediatamente attivata per l’applicazione della penale pari a € 12.500 nei confronti del partner coinvolto, secondo quanto previsto dal relativo contratto».

La Società evidenziava, poi, che i fatti lamentati mediante il reclamo n. 452934 e la successiva segnalazione n. 476308 si erano verificati a breve distanza l’uno dall’altro (meno di 6 mesi) e che, alla data della presentazione di tale seconda segnalazione, la Società aveva già avviato una serie di interventi volti alla revisione dei processi interni in questione. In base alla tesi dispiegata dalla Società «Il breve arco temporale intercorso fra i due episodi spiega come si sia potuto verificare un episodio simile nonostante gli innegabili sforzi volti al miglioramento dei processi, anche tenuto conto del fatto che, trattandosi di una realtà strutturata, l’implementazione di nuovi processi interni richiede il rispetto di determinate procedure e tempistiche».

Con riferimento ai controlli effettuati sui propri partner commerciali, la Società evidenziava che la selezione avviene sulla base di una procedura di prequalifica, volta a valutarne i requisiti tecnici, economico/finanziari, di sostenibilità, legali ed etici e che prosegue per tutta la durata del rapporto contrattuale. Inoltre, l’utilizzo della piattaforma ECO consente la verifica preventiva di tutte le campagne che i partner intendono avviare e di controllare il rispetto da parte di questi ultimi dei requisiti richiesti dalla Società, nonché degli obblighi a cui sono tenuti, fra cui quello della previa iscrizione al ROC. La piattaforma consente, altresì, il controllo di tutta la filiera che dal contatto conduce al contratto, ivi inclusi gli script utilizzati e l’informativa fornita al cliente.

Nel corso dell’audizione tenuta in data 22 gennaio 2026, la Società rappresentava di avere di recente effettuato un ingente investimento per realizzare il numero breve 140 da destinare all’assistenza clienti e che vi era l’intenzione di destinare successivamente il numero breve anche alla realizzazione delle chiamate uscenti, sì da poter rendere noto agli utenti che tale numero è quello identificativo di Enel Energia. Peraltro, tale meccanismo contribuirebbe anche a rinforzare l’efficacia dei filtri anti-spoofing recentemente introdotti da AGCOM.

Enel Energia, poi, evidenziava di avere revisionato il processo DOC TO SALE da ultimo in data 19 gennaio 2026 «per cui attualmente vige un divieto assoluto di effettuare proattivamente qualsiasi chiamata commerciale nel corso di una chiamata gestionale, salvo il caso in cui sia il cliente a chiedere informazioni di tipo commerciale. In tale ultima evenienza, se c’è un consenso precedentemente acquisito, l’operatore può procedere a evadere la richiesta, altrimenti l’operatore comunicherà che non è possibile rilasciare le informazioni senza acquisire il previo consenso da parte dell’interessato. Nel corso di tale tipologia di contatti, in ogni caso non è possibile addivenire alla conclusione della vendita. La procedura in discorso è stata resa disponibile sui portali aziendali anche tramite news e comunicazioni puntuali. Ogni volta che vengono aggiornati gli script di chiamata ivi previsti, vengono anche aggiornate le tipologie di controllo sulle medesime. Tale divieto è stato anche inserito nei moduli di contratto attualmente in uso e a tale riguardo è stata anche prevista una penale specifica da comminare in caso di violazione del divieto (euro 400)».

La Società evidenziava poi che a partire da dicembre e sino a marzo, si svolgeranno sette sessioni formative dedicate anche alla compliance in materia di privacy, all’importanza del rispetto delle istruzioni impartite nello svolgimento dell’incarico e comunque nella realizzazione di trattamenti di dati personali per conto della Società, ciò anche per sensibilizzare tutti i collaboratori alle tematiche della protezione dei dati personali.

Enel Energia, inoltre, chiariva che «i controlli effettuati tramite ECO e ampiamente documentati in occasione delle memorie difensive, riguardanti i form utilizzati dai partner per la raccolta di dati personali sono sia automatizzati che umani, pertanto viene effettuato un controllo sulle informative utilizzate, sulle modalità di raccolta e successivamente si effettua la verifica che ciò che viene caricato dal partner sui sistemi aziendali corrisponda alla campagna previamente autorizzata da Enel Energia. Anche gli esiti dei controlli sono tracciati su ECO, che restituisce un’apposita dashboard. In caso di irregolarità, tale dashboard consente di effettuare ulteriori verifiche e monitorare le azioni rimediali eventualmente implementate, nonché in caso di contratto derivante da contatto illecito – come previsto dal Codice di Condotta in materia di telemarketing - si pone il cliente nella condizione di scegliere se mantenere o meno il contratto, senza ulteriori addebiti. Tale controllo è bloccante per la prosecuzione del contratto».

A domanda dei verbalizzanti, la Società chiariva che XX, società richiamata all’interno della documentazione trasmessa e sanzionata dal Garante in materia di telemarketing con provvedimento n. 435 del 17 luglio 2025 (disponibile per la consultazione sul sito www.gpdp.it, doc. web n. 10182814), a seguito di verifiche puntuali condotte nel corso del mese di ottobre, non collaborava più con Enel Energia, riservandosi di fornire ulteriori informazioni a seguito di una verifica interna. A tale riguardo, inoltre, la parte chiariva che «L’eventuale ricezione di provvedimenti sanzionatori da parte delle Autorità competenti oppure la sopravvenienza di condizioni particolari che potrebbero recare nocumento alla società, rientrano proprio tra i criteri utilizzati per individuare i partner da sottoporre ad audit. La funzione security, difatti, ha sviluppato un software che consente di individuare eventuali collegamenti anche tra i partner commerciali e i singoli soci, riguardanti per es. rapporti di parentela o eventuali condanne».

Infine, la Società rappresentava di avere comunicato all’OdM la volontà di aderire al Codice di Condotta in materia di telemarketing e che probabilmente entro il mese di marzo 2026 il processo di adesione sarà definitamente completo.

Con note autorizzate trasmesse in data 27 gennaio 2026 (cfr. Prot. n. 12529 del 29 gennaio 2026) la Società chiariva di avere stipulato un contratto con XX in data 5 giugno 2025. Successivamente, avendo accertato la sussistenza di un legame con un partner precedentemente escluso per mancato rispetto dei requisiti, in data 25 ottobre 2025 Enel Energia aveva esercitato il diritto di recesso.

3. VALUTAZIONI DELL’AUTORITÀ

Si rileva in primo luogo che le osservazioni di Enel Energia, fornite nel corso del procedimento, non appaiono idonee a escludere completamente la responsabilità della Società in ordine alle violazioni contestate.

Difatti, pur avendo restituito il quadro di una realtà sensibile alla materia della protezione dei dati, all’esito dell’istruttoria e come si dirà ampiamente infra, è emerso che alcune criticità sono state risolte solo a seguito dell’intervento dell’Autorità e che altre sono ancora persistenti.

In buona sostanza, limitatamente ai profili oggetto del procedimento, in relazione alle attività di telemarketing e teleselling, risultano acclarate un triplice ordine di violazioni, con riferimento alla gestione dei contatti gestionali e/o di caring, alle misure adottate in ordine alle richieste di ricontatto veicolate attraverso siti web aziendali o di terzi, nonché alla selezione e al controllo dei propri partner.

3.1 Contatti gestionali o di cd. caring

Più in particolare, con riferimento alla realizzazione delle chiamate di natura gestionale e/o di caring rivolte ai clienti, le misure adottate dalla Società sino all’avvio della presente istruttoria non erano completamente aderenti alla vigente normativa in materia di protezione dei dati personali, né adeguate ad assicurare che tali contatti venissero effettuati nel pieno rispetto del principio di liceità e in presenza di un’idonea base giuridica ai sensi e per gli effetti degli agli artt. 5, 6 e 7 del Regolamento e 130 del Codice.

Difatti, in tutti e tre i casi pervenuti all’attenzione dell’Autorità – peraltro anche ravvicinati sotto il profilo temporale (marzo – ottobre 2025) – in maniera manifestamente concordante i soggetti interessati lamentavano di avere ricevuto offerte commerciali nell’ambito di contatti inizialmente effettuati per ragioni gestionali e nonostante il mancato conferimento del consenso al momento della stipula del contratto di fornitura.

A tale riguardo Enel Energia ha riconosciuto sia la realizzazione delle chiamate, che l’erronea modalità di gestione, documentando poi solo in occasione della trasmissione delle memorie difensive, la recente implementazione di misure atte a scongiurare il ripetersi di simili condotte.

Il contegno in commento appare in aperto contrasto con il dettato normativo e in particolare con l’art. 5 del Regolamento nella parte in cui impone che i dati personali debbano essere trattati in modo lecito, corretto e trasparente, nonché raccolti per finalità determinate e successivamente trattati in maniera tale che non risulti incompatibile con tali finalità.

Orbene la realizzazione di contatti gestionali e/o di caring della tipologia di quelli oggetto di doglianza, vale a dire preordinati alla definizione del processo di conclusione di stipula del contratto, è astrattamente lecita e ammissibile, giacchè trova il suo fondamento di liceità nell’art. 6, par. 1, lett. b) del Regolamento (i.e. esecuzione del contratto e delle misure precontrattuali). Pur comprendendo l’interesse commerciale della Società, si rileva che sfruttare l’occasione del contatto gestionale per il perseguimento di una finalità ulteriore e non essenziale all’esecuzione del contratto, si risolve in una elusione del dettato normativo e in un’indebita intrusione della sfera personale dell’interessato, allorquando la proposta commerciale non sia stata sollecitata spontaneamente dal cliente stesso oppure sorretta dalla previa acquisizione di un valido consenso al trattamento dei dati per finalità di marketing.

Peraltro, nel caso di specie la condotta in esame assume particolare gravità atteso che tutti e tre i soggetti interessati avevano manifestato un espresso diniego alla ricezione di comunicazioni promozionali, di guisa che i contatti lamentati non solo sono stati realizzati in assenza di un’idonea base giuridica, ma anche in aperto contrasto con le manifestazioni di intenti che erano state di recente rilasciate dagli istanti.

Sul punto, si rileva che nell’adempimento dei doveri derivanti dal principio di accountability, assumono particolare rilevanza le misure adottate dal titolare ai fini di una migliore compliance dei processi e le istruzioni impartite ai propri collaboratori, alla stregua di quanto indicato anche all’interno del Codice di Condotta in materia di telemarketing e teleselling (cfr. Provv. n. 70 del 9 marzo 2023 e Provv. n. 148 del 7 marzo 2024, disponibili per la consultazione sul sito www.gpdp.it, doc-web nn. 9868813 – 9993808), che a prescindere dalla effettiva adesione assume la valenza di best practices, ove è espressamente previsto che «Il committente mette a disposizione del fornitore, con modalità documentata e verificabile, uno script conforme al presente Codice di condotta applicabile ad ogni singola campagna di telemarketing o teleseling contenente le istruzioni da seguire per lo svolgimento dei relativi contatti ed il testo dell’informativa, altresì conforme al presente Codice di condotta, da sottoporre agli interessati».

Pertanto, deve darsi atto delle meritevoli misure rimediali implementate da Enel Energia già nel corso del procedimento, quali per esempio la previsione di una procedura ad hoc che contempli la verifica della sussistenza del consenso da parte dell’interessato prima della sottoposizione di offerte commerciali, l’elaborazione di specifici script di chiamata, nonché le iniziative formative rivolte ai propri collaboratori.

3.2 Controlli sui partner commerciali (cd. culpa in eligendo e culpa in vigilando)

Quanto alle verifiche condotte rispetto ai partner, si rileva che agli atti del procedimento risulta versata copiosa documentazione attestante la previsione di procedure ad hoc che prevedono, tra le altre cose, la verifica dei requisiti legali e di onorabilità, economico/finanziari, tecnici e di sostenibilità.

Tuttavia, nonostante l’art. 28 del Regolamento preveda che «Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato», non risulta che venga effettuata alcuna specifica verifica ex ante sulle competenze in materia di protezione dei dati personali, né sulla eventuale pendenza di procedimenti dinanzi al Garante. Tanto è vero che la Società a ottobre 2025 aveva contrattualizzato un’agenzia che era stata destinataria di un provvedimento sanzionatorio e correttivo da parte del Garante in materia di marketing soltanto due mesi prima e che il successivo recesso non era affatto scaturito dalla predetta sanzione. Con tale rilievo non si vuole certamente intendere che i soggetti sanzionati debbano essere esclusi dal mercato; al contrario, con ogni probabilità a seguito della notifica di un provvedimento correttivo, tali Società normalmente provvedono ad adottare le misure rimediali imposte, divenendo particolarmente virtuose e affidabili. Ma al fine del corretto adempimento agli obblighi imposti dall’art. 28 del Regolamento e più in generale dal principio di accountability, si sarebbe rivelata estremamente utile per esempio la previsione di controlli in ordine all’eventuale ricezione di misure correttive e alle azioni intraprese al fine di porre rimedio alle violazioni riscontrate dall’Autorità. Le istruttorie condotte negli ultimi anni, infatti, hanno rivelato che sovente può anche accadere che alcuni dei soggetti coinvolti nelle indagini dell’Autorità provvedano al trasferimento di sedi o call-center all’estero, oppure riaprano l’attività utilizzando una diversa denominazione o una differente compagine sociale, pur continuando ad agire illecitamente e perpetrare le violazioni riscontrate. Pertanto, il rischio di incappare nella contrattualizzazione di partner poco virtuosi non solo si è sensibilmente innalzato, ma risulta maggiore soprattutto in quelle realtà aziendali che per le loro dimensioni, ricorrono fisiologicamente a un cospicuo numero di fornitori e sub-fornitori.

Quanto, invece, ai controlli sull’operato dei propri partner deve certamente meritevolmente darsi atto che la Società ha implementato una serie di apprezzabili misure, quali per esempio la previsione contrattuale di penali in caso di violazione della normativa in materia di protezione dei dati personali, l’utilizzo di piattaforme automatizzate che consentano di tracciare tutta la filiera del trattamento o la recente iniziativa riguardante il numero breve.

Nondimeno, pur essendosi dotata di un sistema di rilevazione delle anomalie e di rimedi contrattuali, dalle risultanze dell’istruttoria emergono alcune carenze con riferimento alla gestione delle eventuali non conformità rilevate. Va da sé che la mera previsione di un articolato sistema di controlli, se non accompagnata poi dalla fattiva gestione delle non conformità rilevate e dalla eventuale applicazione di misure correttive, non si rivela pienamente aderente al dettato normativo.

In tal senso assume rilevanza proprio il caso della segnalazione n. 527013, atteso che, a dispetto di quanto la Società intende far credere, di fatto risulta che il sistema delle penali sia stato attivato solo a seguito della notifica della contestazione da parte dell’Autorità (cfr. scritti difensivi «Il rafforzamento delle misure di controllo ha contribuito a un generale miglioramento della qualità del servizio e del rispetto della disciplina. Ciò ha consentito alla Società di gestire adeguatamente le ipotesi di violazione delle procedure, come avvenuto, ad esempio, a seguito della segnalazione del sig. XX, per la quale è stata applicata la massima penale già prevista dal contratto in essere (si veda Allegato 3) nel momento in cui si è verificata»). Difatti, nonostante l’interessato avesse inoltrato la segnalazione in data 15 ottobre 2025 contemporaneamente sia all’Autorità, che ad Enel Energia, la lettera di contestazione e applicazione della penale è stata esitata soltanto due mesi dopo (i.e. 22 dicembre 2025). Ne consegue che pur essendo a conoscenza dell’anomalia riscontrata, la Società ha adottato le misure correttive descritte nei confronti del partner, soltanto dopo la notifica dell’atto di avvio del procedimento da parte dell’Autorità.

Anche rispetto agli audit on site, la Società si è limitata a produrre una documentazione esplicativa dei criteri di individuazione dei soggetti da sottoporre a verifica e delle modalità di realizzazione, che riporta la data di settembre 2025 e realizzata ai fini del presente procedimento, ma tuttavia non risulta cristallizzata in una procedura ad hoc.

Analogamente anche il piano ispettivo illustrato riguarda soltanto gli anni 2025 e 2026, di guisa che, pur apprezzando anche sotto tale profilo lo spirito collaborativo, agli atti del procedimento non risulta traccia alcuna in merito all’avvenuta e sistematica realizzazione di controlli in loco, né ai relativi esiti.

Parimenti anche con riguardo agli asseriti controlli periodici e al riascolto delle chiamate, pure illustrati all’interno dei propri scritti difensivi, la Società non ne ha documentato la realizzazione e le percentuali di conformità/non conformità rilevate.

Ma la circostanza che l’Autorità abbia ricevuto più di una doglianza rispetto al fenomeno delle chiamate di caring, denotando così una prassi ricorrente, vale a dimostrare che tale sistema di controlli necessiti di un intervento di miglioramento, sì da consentire non solo l’individuazione dei comportamenti poco virtuosi, ma anche di porvi rimedio.

Ed effettivamente, per stessa ammissione della Società, sino all’apertura del presente procedimento, i processi di caring non erano soggetti ai controlli periodici e al riascolto delle telefonate implementati, invece, rispetto alle altre tipologie di chiamate.

3.3 Procedura di ricontatto

Stando a quanto emerso nel corso dell’istruttoria, anche con riferimento ai trattamenti di dati personali realizzati da Enel Energia nell’ambito delle procedure di ricontatto, le misure adottate non appaiono idonee ad assicurare la sussistenza dei requisiti di liceità previsti dalla vigente normativa e, dunque, a escludere il rischio di trattamenti di dati realizzati in assenza di un’idonea base giuridica.

Sia con riferimento alle richieste di ricontatto trasmesse mediante i form e le chat presenti sul sito web della Società, che in caso di ricontatto per il completamento della procedura di attivazione di una fornitura on-line, Enel Energia ha dichiarato di avere implementato un meccanismo di cd. opt-out. In altri termini, dopo avere conferito i propri dati personali l’utente riceve un sms recante un link utile a revocare la volontà di ricontatto sulla numerazione indicata in occasione dell’inoltro della richiesta. Cliccando sul link, l’utente viene reindirizzato a una pagina web al fine di annullare o confermare la volontà di ricontatto.

Tale meccanismo non appare funzionale a impedire che vengano inserite all’interno di form e chat numerazioni acquisite aliunde e illecitamente, né a verificare l’identità del soggetto che conferisce i dati, con conseguenti ripercussioni anche sulla valenza probatoria delle richieste così acquisite, nonchè delle registrazioni inerenti log e file stamp.

Difatti, il limite di 90 secondi entro il quale l’interessato può esercitare il ripensamento - peraltro molto breve - e la ricezione di un sms nel quale si suggerisce di azionare un link (pratica largamente sconsigliata per evitare truffe e/o violazioni di sicurezza), non appaiono idonei a garantire la lecita provenienza dei dati e la genuinità della richiesta di ricontatto.

Al contrario, come ripetutamente affermato anche nei più recenti provvedimenti in materia di telemarketing dell’Autorità, si rivelerebbe più efficace una procedura di “conferma” della volontà di ricontatto, quale ad esempio il cd. double opt-in, oppure un altro meccanismo ugualmente efficace a tutelare i diritti e le libertà dei soggetti interessati.

Con il provv. n. 330 del 4 giugno 2025, disponibile per la consultazione sul sito www.gpdp.it, doc-web n. 10143278, infatti, l’Autorità ha approfondito ampiamente il tema statuendo che «Inoltre, con riguardo all'inesistenza di un espresso obbligo normativo rispetto alla qualificazione del consenso con modalità double opt-in, si osserva che - contrariamente a quanto sostenuto dalla NCA - tra i requisiti di liceità del consenso di cui all'art. 7 del Regolamento, si prefigura l'obbligo per il titolare di dimostrare che l'interessato ha prestato il proprio consenso. Tale dimostrazione, per quanto ormai noto allo stato dell'arte, non può considerarsi sufficientemente resa attraverso la presentazione di stampigliature - qualificate come file di log - recanti dati spesso disconosciuti dagli interessati, prive dei requisiti informatici di immodificabilità e concernenti liste formate da soggetti, spesso ubicati extra-UE, che non offrono garanzie adeguate. In tale contesto si deve innanzitutto tenere conto del fatto che il Regolamento non prevede espressamente specifici obblighi normativi per singole fattispecie ma impone il rispetto di generali principi da adattare al contesto, ai potenziali rischi e alle aspettative degli interessati. Partendo da tale presupposto, il Garante ha più volte fornito orientamenti su casi specifici ricordando che la documentazione del consenso in modalità double opt-in è una forma di documentazione del consenso che offre maggiori garanzie e può considerarsi, allo stato dell'arte, una misura minima di protezione per l'interessato ma anche per lo stesso titolare, tenuto a comprovare la liceità del trattamento (cfr. ad esempio, in www.garanteprivacy.it, provv. 15 dicembre 2022, doc web 9852290, provv. 26 ottobre 2017, doc. web n. 7320903 e provv. 25 novembre 2021, doc. web n. 9737185); analoghe modalità di documentazione del consenso sono indicate anche all'interno del codice di condotta in materia di telemarketing e teleselling (provv. del 7 marzo 2024, doc web n. 9993808)».

Sul medesimo filone interpretativo si pone anche il provv. n. 574 del 9 maggio 2024, disponibile per la consultazione sul sito www.gpdp.it,  doc-web n. 10107938, con il quale l’Autorità si è pronunciata negativamente sui sistemi di opt-out, ribadendo la validità del double opt-in e ove si legge che «implementare la descritta procedura di invio di un sms per consentire all’interessato di revocare la disponibilità al ricontatto, non appare funzionale a disincentivare l’eventuale utilizzo di bot che, massivamente, possano inserire numerazioni telefoniche da sottoporre a ricontatto, posto che il limite di due minuti entro il quale l’interessato può esercitare tale ripensamento, di tutta evidenza, non è idoneo a garantire chi a sua insaputa sia stato inserito nel meccanismo di ricontatto e che si trovi a ricevere un misterioso sms nel quale, peraltro, si suggerisce di azionare un link (pratica largamente sconsigliata per evitare di intro-durre malware nei propri device). Più efficace, in questo senso, sembra essere una procedura di “conferma” del consenso al ricontatto (cliccando un apposito link o inserendo nel form via web una OTP inviata tramite sms) senza la quale il ricontatto stesso non avrebbe luogo.)».

A tale riguardo la Società ha eccepito in buona sostanza che nell’esercizio delle valutazioni discrezionali rimesse all’accountability del titolare, ha ritenuto l’opt-out un meccanismo adeguato, avuto riguardo anche alla necessità di preservare l’agevole user experience degli utenti e alle misure adottate al fine di scongiurare il rischio di inserimenti massivi. Inoltre, in base alla tesi difensiva prospettata da Enel Energia, l’adozione del cd. double opt-in non è obbligatoria, né vincolante, atteso che la medesima è prevista anche all’interno del citato Codice di Condotta in materia di telemarketing e teleselling quale alternativa e analogamente tutelante rispetto al cd. opt-out.

Ma tali argomentazioni non possono essere accolte. Con l’entrata in vigore del Regolamento e del principio di accountability non v’è dubbio che si sia dato corso a una nuova concezione dei doveri gravanti sul titolare del trattamento di ampio respiro europeo, dal momento che è stata abbandonata la concezione tipica di una legislazione basata sulla dicotomia lecito/illecito, per favorire invece l’introduzione di una normativa che pur prefissando delle finalità, lasciasse poi ampia discrezionalità rispetto alle modalità di adempimento. Si deve peraltro riconoscere come tale nuova concezione presenti indubbi vantaggi, atteso che da un lato consente di adeguare agevolmente le misure di adempimento alle evoluzioni socio-tecnologiche, senza dovere ricorrere a una novella normativa; dall’altro consente ai titolari di individuare misure adeguate ai rischi specifici correlati alla propria organizzazione, ma anche proporzionate alle proprie risorse.

In tale contesto, a dispetto di quanto la Società vorrebbe far intendere, né l’attuale quadro normativo, né il Codice di Condotta o i precedenti appena richiamati, hanno inteso in alcun modo mitigare la discrezionalità del titolare del trattamento o indicare una misura quale obbligatoria rispetto alle altre. Ma piuttosto le fonti appena citate hanno inteso ribadire che le garanzie adottate dal titolare devono essere adeguate ai rischi specifici per i diritti e le libertà degli interessati, avuto riguardo alle operazioni di trattamento prese in esame, allo stato dell’arte, nonché al contesto socio-economico di riferimento.

Orbene, nel corso degli ultimi anni le attività di telemarketing e teleselling hanno visto una sempre maggiore preponderanza nell’utilizzo di canali digitali, di guisa che i dati personali utilizzati per la formazione delle liste di contattabilità sovente provengono da form presenti sui siti web aziendali o sui portali direttamente gestiti dai list provider.

Tuttavia, in numerose doglianze pervenute all’attenzione dell’Autorità, i soggetti interessati hanno lamentato di non avere mai visitato questa tipologia di portali, né inserito alcuna richiesta. Ne consegue che, in assenza di adeguati meccanismi atti a verificare l’identità dell’interessato e l’effettiva volontà di essere ricontattati, il rischio connesso all’utilizzo di tale fonte di approvvigionamento di dati personali è quello che i form e i portali in parola vengano surrettiziamente sfruttati per conferire una parvenza di liceità a dati personali acquisiti aliunde e illecitamente.

E’ di palmare evidenza, dunque, che un sistema imperniato sulla mera implementazione del cd. opt-out e sull’adozione di misure volte a impedire inserimenti massivi, non si riveli affatto efficace avuto riguardo ai rischi specifici appena descritti, dal momento che non consentono di ovviare all’evenienza che il messaggio possa venire scambiato per un tentativo di truffa e quindi ignorato, né all’ipotesi di indebiti inserimenti puntuali.

Diversamente l’implementazione di meccanismi che richiedono un comportamento attivo da parte del soggetto interessato appare maggiormente adeguata a contenere la realizzazione di condotte poco virtuose, fermo restando che nulla esclude che nell’esercizio dei doveri di accountability e della libertà d’impresa possano ritenersi ammissibili anche misure ulteriori e diverse rispetto al cd. double opt-in, ma parimenti performanti.

Tale interpretazione è pure corroborata dalle indicazioni contenute all’interno del Codice di Condotta in materia di telemarketing e teleselling ove in tema di consenso si fa riferimento a «(…)l’adozione di corrette modalità di acquisizione del consenso attraverso l’esame delle informative rilasciate al momento della raccolta dei dati e della user experience, volta a verificare la presentazione di richieste di conferimento del consenso chiare e comprensibili, non vincolate e facilmente revocabili; sarà considerato correttamente acquisito un consenso che risulti adeguatamente documentato, tenendo traccia, con modalità informatiche che ne garantiscano l’immodificabilità della data e dell’origine, come, ad esempio, la conservazione sia della coppia IP-timestamp del soggetto che ha fornito il consenso on line selezionando le apposite caselle, sia dell’invio allo stesso soggetto di un messaggio di notifica della registrazione del consenso (ad esempio, SMS) oppure con meccanismi cosiddetti double opt-in dove il consenso acquisito on line viene successivamente confermato dall’interessato rispondendo ad un messaggio di conferma (…)».

Si rileva, infine, che il meccanismo di cd. opt-out descritto dalla Società presenta criticità anche rispetto alla gestione della eventuale casistica di revoca della richiesta avvenuta oltre il termine di 90 secondi (oppure 2 minuti in caso di richieste veicolate attraverso siti web di terzi), atteso che in tale evenienza la Società ha dichiarato che l’interessato, entro il periodo di validità della lead, potrebbe comunque ricevere la chiamata di ricontatto, fermo restando che il suo numero viene comunque eliminato dalla lista di contattabilità.

E’ di palmare evidenza, infatti, che per come delineato nell’ambito dei processi aziendali in esame, il meccanismo di cd. opt-out non consente nemmeno di dare seguito alla volontà di revoca della richiesta, anche se manifestata tardivamente. Diversamente una misura incentrata sull’esigenza di conferma della volontà di ricontatto, presenta il pregio che l’anagrafica o la numerazione, non possa entrare nel processo di ricontatto prima dell’avvenuta conferma da parte dell’interessato, garantendo così anche l’attualità dell’iniziale manifestazione di intenti.

In tale quadro, pertanto, deve definitivamente confermarsi la responsabilità di Enel Energia in ordine alle violazioni contestate.

4. CONCLUSIONI

Per quanto sopra esposto si ritiene accertata la responsabilità di Enel Energia in ordine alle seguenti violazioni:

- artt. 5, 6, 7 e 24 del Regolamento, nonché dell’art. 130 del Codice, per aver effettuato – e continuare a effettuare - i sopra descritti trattamenti di dati personali di utenti e contraenti del settore energetico in contrasto con i principi di liceità e responsabilizzazione, in assenza di un’idonea base giuridica e mettendo in atto misure tecniche e organizzative non adeguate per garantire, fin dalla progettazione, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento;

- art. 5, 24 e 28 del Regolamento per la mancata adozione di misure adeguate in ordine alla selezione e al controllo sull’operato dei partner coinvolti nella raccolta e nel trattamento dei dati per la realizzazione di attività di telemarketing e teleselling.

Accertata altresì l’illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, si rende necessario:

- imporre a Enel Energia, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, l’adozione di misure adeguate a garantire che qualora la Società debba ricorrere a un responsabile del trattamento per la realizzazione di taluni trattamenti di dati personali, quest’ultimo presenti garanzie sufficienti e competenze adeguate in materia di protezione dei dati personali;

- imporre a Enel Energia, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, l’adozione di misure adeguate a garantire che le procedure di ricontatto dei soggetti interessati siano realizzate nel pieno rispetto della normativa in materia di protezione dei dati personali;

- adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Enel Energia della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento.

5. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Enel Energia della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento.

Più in particolare, ai sensi dell’art. 83, par. 3 del Regolamento «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave». Ai sensi del successivo par. 5 «(…) la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore: a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9; b) i diritti degli interessati a norma degli articoli da 12 a 22; c) i trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale a norma degli articoli da 44 a 49; d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX; e) l'inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell'autorità di controllo ai sensi dell'articolo 58, paragrafo 2, o il negato accesso in violazione dell'articolo 58, paragrafo 1».

Poiché nel caso di specie è stata accertata l’avvenuta violazione degli artt. 5, 6, 7, 24 e 28 del Regolamento, nonché dell’art. 130 del Codice, si applica la disposizione dettata dall’art. 83, par. 3 e 5 del Regolamento. Occorre inoltre fare riferimento anche al fatturato di Enel Energia, come ricavato dalle informazioni economiche e tributarie acquisite. Pertanto, nel caso in argomento, si determina ai sensi dell’art. 83, par. 3 e 5 del Regolamento il massimo edittale della sanzione pecuniaria in Euro 938.419.854,00.

Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.

Nel caso in esame, assumono rilevanza:

1) la gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento), tenuto conto dell’oggetto e delle finalità dei dati trattati, riconducibili al fenomeno complessivo del telemarketing, in ordine al quale l’Autorità ha adottato, in particolare negli ultimi cinque anni, numerosi provvedimenti che hanno compiutamente preso in esame i molteplici elementi di criticità fornendo ai titolari numerose indicazioni per adeguare i trattamenti alla normativa vigente e per attenuare l’impatto delle chiamate di disturbo nei confronti degli interessati;

2) quale fattore attenuante (art. 83, par. 2, lett. f) del Regolamento), il grado di cooperazione con l’Autorità di controllo al fine di porre rimedio alle violazioni;

3) quale ulteriore fattore attenuante (art. 83, par. 2, lett. g) del Regolamento), le categorie di dati personali interessate dalla violazione (i.e. dati di natura comune).

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative e funzionali della Società, si ritiene debba applicarsi a Enel Energia la sanzione amministrativa del pagamento di una somma di euro 563.052,00, pari allo 0,06% della sanzione massima edittale.

Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della natura dei trattamenti e delle condotte della Società, nonché degli elementi di rischio per i diritti e le libertà degli interessati.

In attuazione dei principi di cui all’art. 83 del Regolamento, l’irrogazione di tale sanzione accessoria appare ragionevole e proporzionata in relazione al particolare disvalore delle condotte oggetto di censura, soprattutto avuto riguardo alla pervasività dei mezzi utilizzati e ai destinatari della stessa, nonché alla loro gravità, in quanto afferenti ai principi fondamentali - e costantemente ribaditi - della normativa in materia di protezione dei dati personali.

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. a), del Regolamento, dichiara illecito, nei termini di cui in motivazione, il trattamento effettuato da parte di Enel Energia S.p.A., con sede legale in Roma (RM), via Luigi Boccherini, 15, P.IVA 06655971007;

b) impone a Enel Energia, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, l’adozione di misure adeguate a garantire che qualora la Società debba ricorrere a un responsabile del trattamento per la realizzazione di taluni trattamenti di dati personali, quest’ultimo presenti garanzie sufficienti e competenze adeguate in materia di protezione dei dati personali;

c) impone a Enel Energia, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, l’adozione di misure adeguate a garantire che le procedure di ricontatto dei soggetti interessati siano realizzate nel pieno rispetto della normativa in materia di protezione dei dati personali;

d) ingiunge a Enel Energia, ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel termine di trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

ORDINA

a Enel Energia S.p.A., in persona del legale rappresentante pro-tempore, con sede legale in Roma (RM), via Luigi Boccherini, 15, P.IVA 06655971007, di pagare la somma di euro 563.052,00 (cinquecentosessantatremila052/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 563.052,00 (cinquecentosessantatremila052/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

a) la pubblicazione del presente provvedimento, ai sensi degli artt. 154-bis del Codice e 37 del Regolamento n. 1/2019;

b) l’applicazione della sanzione accessoria della pubblicazione sul sito del Garante della presente ordinanza di ingiunzione, come previsto dagli artt. 166, comma 7 del Codice e 16 del Regolamento del Garante n. 1/2019;

c) l’annotazione del presente provvedimento nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 12 marzo 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL VICE SEGRETARIO GENERALE
Filippi