Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 3 miljoner euro mot Acea Energia S.p.a. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att energileverantören Acea Energia anlitat ett antal personuppgiftsbiträden och underbiträden för marknadsföringsändamål. Acea Energia förlitade sig särskilt på ett enmansföretag vid namn Stefanelli Federica, som i sin tur förlitade sig på underbiträdet MG Company.
Acea Energia ingick ett personuppgiftsbiträdesavtal med Stefanelli Federica. Stefanelli Federica ingick dock inte något personuppgiftsbiträdesavtal med MG Company. Dessutom var MG Company inte registrerat som marknadsföringsoperatör, vilket strider mot italiensk nationell rätt. MG Company ägnade sig åt en lång rad olagliga metoder, till exempel att kontakta potentiella kunder utan deras samtycke och ljuga för potentiella kunder om (obefintliga) faktureringsfrågor. Under ett och ett halvt år ingick MG Company cirka 30 000 avtal.
År 2024 sände ett populärt TV-program ett reportage om MG Companys marknadsföringsmetoder. Författarna till programmet rapporterade också sina resultat till Garante. Garante inledde i sin tur en gemensam utredning med finanspolisen. Acea Energia hävdade att företaget inte kände till att MG Company var inblandad i företagets telemarketingverksamhet och anklagade Stefanelli Federica för att ha samarbetat med MG Company utan Acea Energias vetskap. Garante avvisade argumentet då Acea Energia var ansvarig för att utse ett tillförlitligt personuppgiftsbiträde och för att övervaka att databehandlingskedjan efterlevdes.
Enligt Garante var Stefanelli Federica ett enmansföretag utan registrerade anställda och kunde därför omöjligen ha ingått tiotusentals avtal för Acea Energias räkning. Garante ansåg därför att Acea Energia kände till eller borde ha känt till att marknadsföringen involverade obehörig personal. Garante konstaterade därmed att Acea Energia var ansvarig för flera överträdelser av GDPR, inklusive överträdelser som begåtts av MG Company.
De överträdelser som Acea Energia bedömdes ansvarig för var bland annat att ett stort antal registrerade kontaktats utan deras samtycke och utan att de fått någon information om behandlingen av deras uppgifter vilket stred mot artiklarna 5.1 (a), 6 och 7 GDPR, att obehörig personal fått tillgång till personuppgifter (eftersom MG Company inte hade utsetts till personuppgiftsbiträde eller underbiträde) vilket stred mot artiklarna 5.1 (f) och 32 GDPR, att Acea Energia underlåtet att övervaka att Stefanelli Federica och MG Company behandlat personuppgifter på ett korrekt sätt vilket stred mot artiklarna 24 och 25 GDPR, samt att Acea Energia inte utsett MG Company till personuppgiftsbiträde eller underbiträde vilket stred mot artikel 28 GDPR.