Nella newsletter n. 545 del 26 marzo 2026, il Garante Privacy ha sanzionato Enel Energia e Bakeca srl per trattamento illecito dei dati e annunci online senza consenso. Ha poi ribadito che le società di recupero crediti non possono divulgare a terzi informazioni sull’esistenza del debito, sull’importo o sulle modalità di pagamento. Il Garante ha, infine, analizzato quanto emerso dallo Sweep 2025 in tema di app e siti per minori.

Telemarketing e trattamento illecito di dati

Il Garante privacy ha irrogato a Enel Energia una sanzione di oltre 500.000 euro per trattamento illecito di dati personali a fini di telemarketing e teleselling.

L’Autorità ha accertato che Enel Energia, anche mediante società terze, sottoponeva ai clienti ulteriori offerte commerciali, in assenza di un’idonea base giuridica. Le proposte effettuate al termine dell’iter contrattuale di fornitura avvenivano infatti anche quando i clienti avevano manifestato un espresso diniego al trattamento dei dati per finalità di marketing.  

Oltre alla sanzione di 563.052 euro, il Garante ha ordinato a Enel di implementare misure adeguate affinché il trattamento dei dati personali degli interessati avvenga nel rispetto del GDPR lungo tutta la filiera del trattamento.

Annunci online senza consenso

Il Garante privacy ha sanzionato Bakeca srl, società che gestisce un portale di inserzioni gratuite, per aver trattato illecitamente i dati personali di una donna, il cui numero di telefono e la località di lavoro erano stati inseriti, a sua insaputa, in due annunci nelle categorie sensibili “massaggi-benessere” e “amore-incontri”. Uno degli annunci conteneva anche espressioni di natura intima particolarmente esplicite. La donna ha scoperto la presenza degli annunci dopo aver ricevuto telefonate indesiderate da sconosciuti. La rimozione è avvenuta solo dopo una segnalazione e una diffida inviate alla società. Successivamente, la donna ha presentato un reclamo al Garante.

Dall’istruttoria dell’Autorità sono emerse carenze nelle misure tecnico-organizzative adottate per prevenire usi impropri dei dati. In particolare, il portale consentiva di pubblicare informazioni riferite a terzi senza verificarne la titolarità o il legittimo utilizzo.

Alla luce delle violazioni riscontrate, il Garante ha irrogato a Bakeca srl una sanzione di 5.000 euro e ha ordinato alla società di adottare misure tecniche e organizzative adeguate a verificare che l’utente che inserisce un contatto telefonico in un annuncio sia legittimato a farlo.

Recupero crediti

Le società di recupero crediti non possono divulgare a terzi (familiari, colleghi, vicini, datori di lavoro) informazioni sull’esistenza del debito, sull’importo o sulle modalità di pagamento.

Il principio è stato ribadito dal Garante privacy nel procedimento nei confronti di Sagitter spa avviato a seguito del reclamo di una persona che contestava sia la titolarità del debito sia la comunicazione inviata alla madre, alla moglie e ai fratelli, cointestatari di beni immobili sui quali la società intendeva rivalersi. L’Autorità ha quindi ingiunto a Sagitter di integrare le procedure interne conformando alla normativa privacy le modalità di comunicazione con il debitore, nel caso in cui sia proprietario di un bene in comunione.

Siti e app per minori

Buone pratiche a tutela dei minori e dei loro dati personali, ma rischi in aumento rispetto al passato. Questo è quanto emerso dallo Sweep 2025 del Global privacy enforcement network (GPEN), l’indagine a tappeto realizzata da 27 Autorità di protezione dati mondiali, tra cui il Garante italiano, su 876 tra siti web e applicazioni mobili comunemente utilizzate dai più piccoli. Nei 10 anni trascorsi dal precedente Sweep 2015 sono aumentati sia i servizi online rivolti ai minori che richiedono agli utenti di fornire i propri dati personali per l’accesso a tutte le funzionalità della piattaforma, o di condividerli con terzi, sia l’uso di meccanismi per la verifica dell’età. Ma troppo spesso queste misure sono facilmente aggirabili.

Fonte: Newsletter Garante Privacy 26 marzo 2026 n. 545