Italijski nadzorni organ za varstvo podatkov Garante je zaradi nezakonitih praks telemarketinga energetski družbi Acea Energia spa izrekel 3 milijone evrov globe, agencijam in klicnim centrom, vpletenim v shemo, pa skupno 850.000 evrov. Primer, zaključen z odločbo 10. aprila 2025, je nacionalni postopek, v katerem so bili ugotovljeni sistematični in načrtni kršitvi pravil o varstvu osebnih podatkov in varstvu potrošnikov.
Preiskava je stekla po prijavi, ki jo je posebni enoti za varstvo zasebnosti in tehnološke goljufije pri finančni policiji (Guardia di Finanza) posredoval urednik televizijske oddaje. V prijavi je bil opisan pojav, ki ga Garante že pozna: delovanje neregistriranih in nepooblaščenih klicnih centrov, ki brez formalnega mandata in brez vpisa v register komunikacijskih operaterjev (ROC) pridobivajo in uporabljajo sezname telefonskih številk za agresivno trženje telekomunikacijskih in energetskih storitev, vključno s prehodi med ponudniki.
Preiskovalne aktivnosti so razkrile, da so klicni centri uporabljali sezname strank, ki so nedavno zamenjale dobavitelja energije. Operaterji so jih klicali z zavajajočimi navedbami o domnevnih tehničnih napakah pri preklopu med ponudniki in jih s tem strašili z morebitno finančno škodo. V takih okoliščinah so številne potrošnike prepričali v sklenitev nove pogodbe. Seznami so vsebovali podrobne osebne in pogodbeno-poslovne podatke, pri čemer za takšno obdelavo ni bilo ustrezne pravne podlage, prav tako posamezniki niso prejeli zahtevanih informacij po GDPR.
Ugotovljeno je bilo tudi, da so imeli predstavniki energetskega podjetja neposredne in redne stike z izvajalci agresivnega telemarketinga. Čeprav je Acea Energia po razkritjih preklicala pooblastila eni od vpletenih agencij in uvedla dodatne varnostne ukrepe pri obdelavi podatkov, je Garante presodil, da odgovornosti upravljavca ni mogoče odpraviti za nazaj.
Na tej podlagi je nadzornik ugotovil kršitve temeljnih načel obdelave, nezakonitosti obdelave, neustreznih pogojev za privolitev, pomanjkljive informiranosti posameznikov, pomanjkljive odgovornosti upravljavca ter odsotnosti varstva podatkov po načelu vgrajene in privzete zasebnosti, pa tudi nepravilnosti pri razmerjih z obdelovalci in pri varnosti obdelave. Poleg glob je Garante podjetju odredil, da vse prizadete posameznike, katerih podatki so nezakonito vstopili v njegove sisteme, obvesti o izidu postopka in preveri obstoj vseh pod-obdelovalcev brez ustrezno sklenjenih pogodb. Vsem vpletenim agencijam je bilo dodatno izrecno prepovedano uporabljati kontaktne sezname, za katere ne morejo dokazati zakonitega izvora in skladnosti z zakonodajo.
