Non basta dire “no” per essere lasciati in pace, a meno che non intervenga il Garante. In una giornata segnata da provvedimenti pesanti, l’Autorità per la Privacy ha colpito duramente Enel Energia con una sanzione da oltre mezzo milione di euro, mettendo fine alla pratica di trasformare chiamate di servizio in agguati promozionali. Ma il mirino si è allargato anche alla responsabilità delle piattaforme: da Bakeca, punita per non aver verificato l’identità di chi pubblica annunci sensibili, a Sagitter, richiamata per aver “messo in piazza” i debiti (peraltro errati) di un cittadino davanti ai suoi familiari. Sullo sfondo, il rapporto GPEN 2025 lancia un grido d’aiuto per i minori: la rete è diventata una trappola di dati dove la verifica dell’età è ormai un colabrodo. La privacy nel 2026 non è più un modulo da firmare, ma una battaglia quotidiana per la dignità digitale.
Cosa leggere
Enel Energia sanzionata per telemarketing senza consenso valido
Il provvedimento più significativo riguarda Enel Energia, che il Garante ha sanzionato con un importo di 563.052 euro per trattamento illecito di dati personali nell’ambito di attività di telemarketing e teleselling. Il procedimento nasce da un reclamo e da due segnalazioni relative alla ricezione di chiamate indesiderate, che hanno spinto l’Autorità ad approfondire le modalità con cui la società gestiva i contatti con i clienti, anche tramite soggetti terzi incaricati. Dall’istruttoria è emerso che, nel corso di contatti definiti come prevalentemente gestionali, venivano comunque formulate offerte commerciali aggiuntive anche in assenza di una base giuridica idonea. In particolare, le proposte promozionali venivano presentate al termine del percorso contrattuale di fornitura persino nei casi in cui il cliente avesse espresso un chiaro diniego al trattamento dei propri dati per finalità di marketing. Questo aspetto ha assunto un peso decisivo nella valutazione del Garante, perché dimostra una frattura netta tra la volontà espressa dall’interessato e il successivo utilizzo dei dati a fini commerciali. La decisione dell’Autorità conferma un principio ormai consolidato nella normativa privacy: il consenso al marketing non può essere presunto, aggirato o sostituito da logiche operative interne che trasformano una comunicazione di servizio in un’occasione promozionale. Se l’utente ha negato il consenso, il titolare del trattamento non può utilizzare il contatto per rilanciare offerte commerciali, neppure se il cliente è già parte di un rapporto contrattuale in corso.
Il Garante richiama Enel sulle misure tecnico-organizzative e sul double opt-in
Oltre alla contestazione relativa al marketing senza consenso, il procedimento nei confronti di Enel Energia ha fatto emergere un secondo profilo critico: l’assenza di misure tecnico-organizzative adeguate nelle procedure di ricontatto degli utenti. Secondo il Garante, la società non aveva adottato strumenti idonei a escludere il rischio di trattamenti illegittimi e non garantiva un sistema sufficientemente robusto per verificare la liceità della provenienza dei dati personali utilizzati nelle attività promozionali. L’Autorità ribadisce così un punto molto importante per tutto il mercato dell’energia, delle telecomunicazioni e dei servizi: i titolari del trattamento devono dotarsi di meccanismi di raccolta del consenso che siano verificabili e affidabili. In questo contesto viene richiamato esplicitamente il double opt-in, cioè una procedura che richiede un’ulteriore azione attiva da parte dell’utente per confermare la volontà di ricevere comunicazioni promozionali. Questo sistema consente di verificare meglio l’identità dell’interessato e di ridurre il rischio che dati raccolti in modo opaco o incompleto vengano poi utilizzati per campagne commerciali invasive. Il provvedimento contro Enel non si esaurisce quindi nella sanzione economica. Il Garante ha ordinato anche l’implementazione di misure adeguate affinché il trattamento dei dati avvenga nel rispetto del Gdpr lungo tutta la catena del trattamento. Il passaggio è rilevante perché sposta l’attenzione dal singolo episodio a una revisione strutturale dei processi interni e dei rapporti con eventuali partner o fornitori esterni coinvolti nelle attività promozionali.
Bakeca sanzionata per annunci online con dati pubblicati senza autorizzazione
Il secondo caso riguarda Bakeca srl, società che gestisce un portale di inserzioni gratuite, sanzionata dal Garante per aver trattato illecitamente i dati personali di una donna il cui numero di telefono e la località di lavoro erano stati inseriti, a sua insaputa, in due annunci pubblicati nelle categorie sensibili massaggi-benessere e amore-incontri. Uno dei due annunci conteneva inoltre espressioni di natura intima particolarmente esplicite, aggravando l’impatto della diffusione del dato personale. La donna si è accorta della presenza degli annunci solo dopo aver ricevuto telefonate indesiderate da parte di sconosciuti. La rimozione del contenuto è arrivata soltanto a seguito di una segnalazione e di una diffida inviate alla società. Successivamente, la persona coinvolta ha presentato un reclamo formale al Garante, che ha avviato l’istruttoria e verificato le responsabilità del titolare del trattamento nella gestione della piattaforma. Il nodo centrale della vicenda non è soltanto la pubblicazione del numero di telefono, ma il contesto in cui quel dato è stato inserito. L’associazione del contatto telefonico della donna a contenuti sensibili ed espliciti ha avuto infatti conseguenze significative sulla sua sfera personale, esponendola a molestie telefoniche e a un danno reputazionale immediato. In casi di questo tipo, la privacy non riguarda solo la riservatezza astratta del dato, ma anche l’effetto concreto che l’uso illecito dell’informazione produce nella vita quotidiana dell’interessato.
Il portale consentiva la pubblicazione di dati di terzi senza verifiche adeguate
Dall’istruttoria svolta dal Garante sono emerse carenze nelle misure tecnico-organizzative adottate da Bakeca per prevenire utilizzi impropri dei dati. In particolare, il portale consentiva agli utenti di pubblicare informazioni riferite a terzi senza effettuare verifiche adeguate sulla titolarità o sul legittimo uso del numero di telefono inserito. Questo ha reso possibile la creazione di annunci offensivi o fraudolenti a danno di persone del tutto estranee alla pubblicazione. Gli annunci contestati erano stati infatti caricati da un soggetto sconosciuto che aveva creato un account utilizzando email temporanee, non riconducibili in modo chiaro a una persona fisica identificabile. L’Autorità ha ritenuto che il trattamento dei dati fosse privo di una valida base giuridica e non conforme ai principi di correttezza e sicurezza previsti dalla normativa. In altre parole, il problema non è stato solo il comportamento dell’autore materiale dell’annuncio, ma anche la mancanza di controlli lato piattaforma capaci di ridurre il rischio di abuso. Per queste ragioni il Garante ha irrogato a Bakeca una sanzione di 5 mila euro e ha ordinato alla società di adottare misure tecniche e organizzative idonee a verificare che chi inserisce un contatto telefonico in un annuncio sia effettivamente legittimato a farlo. È un passaggio che assume rilievo più ampio per tutti i portali di classifieds e marketplace, sempre più chiamati a integrare controlli minimi di affidabilità sui dati inseriti dagli utenti.
Recupero crediti, il Garante vieta la divulgazione del debito ai familiari
Un terzo intervento del Garante ha riguardato il settore del recupero crediti e, in particolare, la società Sagitter spa. L’Autorità ha ribadito un principio fondamentale: le società di recupero non possono comunicare a terzi, inclusi familiari, colleghi, vicini o datori di lavoro, informazioni relative all’esistenza di un debito, all’importo dovuto o alle modalità di pagamento. Il procedimento è stato avviato a seguito del reclamo di una persona che contestava sia la titolarità del debito sia il fatto che una comunicazione fosse stata inviata alla madre, alla moglie e ai fratelli, cointestatari di beni immobili sui quali la società intendeva rivalersi. Nel corso dell’istruttoria è emerso un elemento particolarmente grave: il credito in questione, originariamente vantato da una finanziaria e poi ceduto a Sagitter, risultava intestato a una persona diversa ma con lo stesso nome, cognome e codice fiscale del reclamante. Nonostante quest’ultimo avesse già contestato formalmente l’esistenza del debito, la società aveva proseguito l’attività di recupero trasmettendo la comunicazione ai suoi familiari, tutti estranei al rapporto di credito. La lettera conteneva indicazioni sul debito e sull’intenzione di procedere giudizialmente al recupero forzoso, con possibilità di rivalersi anche su beni immobili in comunione. Secondo il Garante, questa comunicazione era illecita perché priva di un’idonea base giuridica. La diffusione di queste informazioni a soggetti terzi ha inciso in modo significativo sui diritti e sulle libertà del reclamante, colpendone la dignità e favorendo un giudizio negativo sulla sua affidabilità economica all’interno della cerchia familiare più stretta.
Il caso Sagitter mostra i rischi reputazionali degli errori nel recupero crediti
Il procedimento contro Sagitter evidenzia con particolare chiarezza quanto possano essere gravi gli effetti di una gestione superficiale dei dati in ambiti ad alto impatto personale come il recupero crediti. In questo caso, il danno non deriva soltanto dalla diffusione del dato economico, ma dal fatto che al reclamante è stato attribuito un debito mai contratto. La combinazione tra errore identificativo e comunicazione a terzi ha prodotto un effetto reputazionale potenzialmente devastante. Il Garante ha quindi imposto alla società di integrare le procedure interne e conformare alla normativa privacy le modalità di comunicazione con il debitore quando questi sia proprietario di un bene in comunione. Il messaggio dell’Autorità è chiaro: l’esigenza di recuperare un credito non consente di divulgare informazioni personali a soggetti estranei al rapporto obbligatorio. La tutela del credito deve comunque svolgersi entro i limiti imposti dal Gdpr e dai principi di necessità, proporzionalità e minimizzazione dei dati. Questo orientamento è particolarmente importante in un settore dove la pressione commerciale e giudiziale può spingere gli operatori a estendere impropriamente la comunicazione a persone vicine al debitore. Il Garante ribadisce invece che la privacy resta un presidio essenziale anche quando il creditore intende far valere le proprie ragioni.
GPEN 2025, aumentano i rischi su siti e app usati dai minori
Accanto ai singoli procedimenti sanzionatori, il testo richiama anche i risultati dello Sweep 2025 del Global privacy enforcement network, indagine internazionale realizzata da 27 Autorità di protezione dati, tra cui il Garante italiano, su 876 siti web e applicazioni mobili comunemente utilizzati dai minori. Si tratta del secondo sweep dedicato ai più giovani dopo quello del 2015, e proprio questo confronto temporale permette di misurare come sia cambiato in dieci anni il panorama digitale rivolto ai bambini e agli adolescenti. I risultati sono definiti contrastanti. Da un lato emergono buone pratiche a tutela dei minori e dei loro dati personali. Dall’altro, il report segnala un aumento dei rischi rispetto al passato. In particolare crescono i servizi online rivolti ai minori, o comunque usati da loro, che richiedono agli utenti di fornire dati personali per accedere a tutte le funzionalità della piattaforma oppure di condividerli con soggetti terzi. Parallelamente aumenta anche l’uso di meccanismi per la verifica dell’età, ma queste soluzioni risultano troppo spesso facilmente aggirabili. Il problema è particolarmente serio nei siti che presentano contenuti inappropriati o caratteristiche di elaborazione dati e progettazione considerate ad alto rischio per i più piccoli. Il GPEN sottolinea che i minori meritano tutele particolari quando interagiscono con il mondo digitale e che chi tratta i loro dati può contribuire concretamente al loro benessere online limitando la raccolta delle informazioni, adottando la privacy by design e la privacy by default, e utilizzando sistemi di age verification adeguati al livello di rischio.
Dalle sanzioni ai minori online, il Garante alza il livello dei controlli
Letti insieme, i casi Enel Energia, Bakeca, Sagitter e i risultati dello Sweep GPEN 2025 delineano una strategia di vigilanza molto precisa. Il Garante non si limita a colpire la singola violazione, ma insiste su tre assi fondamentali: la necessità di una base giuridica chiara per ogni trattamento, l’obbligo di adottare misure tecnico-organizzative adeguate e la responsabilità dei titolari lungo l’intera filiera del trattamento dei dati. Nel telemarketing questo significa raccogliere e verificare consensi autentici. Nei portali di annunci significa impedire che i dati di terzi vengano pubblicati senza controllo. Nel recupero crediti significa evitare qualsiasi divulgazione indebita a soggetti estranei. Nei servizi digitali usati dai minori significa progettare piattaforme che riducano la raccolta dei dati e che non scarichino sugli utenti più fragili il peso della tutela della propria privacy. La traiettoria è netta anche sul piano culturale. L’Autorità mostra di considerare la protezione dei dati non come un adempimento formale, ma come una componente concreta della dignità, della libertà personale e della sicurezza sociale degli individui. Per imprese, piattaforme e operatori professionali il messaggio è semplice: non basta dichiarare attenzione alla privacy, bisogna dimostrarla con processi, controlli e sistemi verificabili.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
