Una sanzione superiore ai 500mila euro riporta al centro dell’attenzione il tema della gestione dei dati personali nelle attività di telemarketing, con un provvedimento che coinvolge direttamente Enel Energia e richiama le responsabilità delle aziende che operano su larga scala nel trattamento delle informazioni dei clienti.
Come è nata l’indagine del Garante
Il procedimento avviato dall’Autorità prende origine da un reclamo e da due segnalazioni presentate da utenti che lamentavano la ricezione continua di chiamate promozionali non richieste. Le verifiche hanno portato a ricostruire una dinamica in cui i contatti telefonici, inizialmente legati alla gestione del rapporto contrattuale, si trasformavano in occasioni per proporre offerte commerciali ulteriori, senza che fosse presente una base giuridica adeguata a legittimare tali trattamenti.
Nel corso degli accertamenti è emerso che le comunicazioni promozionali venivano effettuate anche nei confronti di clienti che avevano espresso un rifiuto esplicito all’utilizzo dei propri dati per finalità di marketing, elemento che ha inciso in modo determinante sulla valutazione dell’Autorità.
Le criticità nei processi e il ruolo delle terze parti
Un ulteriore profilo rilevato riguarda le modalità con cui venivano gestite le procedure di ricontatto degli utenti, ambito nel quale non risultavano adottate misure tecnico-organizzative sufficienti a prevenire trattamenti non conformi alla normativa. Questo aspetto evidenzia come la responsabilità del titolare del trattamento si estenda anche alla progettazione dei processi interni e ai controlli sui flussi operativi.
Il coinvolgimento di società terze nelle attività di teleselling ha contribuito a rendere più complessa la gestione della filiera dei dati, aumentando il rischio di utilizzi non conformi quando mancano sistemi di verifica efficaci e coordinati tra i diversi soggetti coinvolti.
In questo contesto, l’Autorità ha richiamato l’attenzione sull’importanza di strumenti come il double opt-in, che richiede una conferma attiva da parte dell’utente e consente di verificare con maggiore precisione la provenienza del consenso, riducendo il rischio di utilizzo improprio delle informazioni personali.
Le conseguenze e le misure richieste
Oltre all’irrogazione di una sanzione pari a 563.052 euro, il Garante ha ordinato a Enel Energia di adottare interventi concreti per garantire che il trattamento dei dati personali avvenga nel rispetto della normativa lungo l’intero ciclo di gestione, dalla raccolta del consenso fino alle attività operative di contatto commerciale. L’indicazione riguarda quindi l’adeguamento delle procedure, la revisione dei controlli interni e l’introduzione di sistemi capaci di assicurare la tracciabilità delle scelte espresse dagli utenti.
Il provvedimento si inserisce in un quadro di crescente attenzione verso le pratiche di marketing diretto, con un rafforzamento delle verifiche sui modelli organizzativi adottati dalle aziende che gestiscono grandi volumi di dati.
