Den italienska dataskyddsmyndigheten Garante per la protezione dei dati personali (Garante) har bötfällt Enel Energia S.p.A med 26,5 miljoner euro för överträdelse av bland annat artiklarna 5.1 (a), (d), 5.2, 6.1, 12, 13, 21, 24, 25.1, 30 och 31 i dataskyddsförordningen (GDPR).
Av beslutet framgår att Garante, efter en komplicerad förundersökning som inleddes efter hundratals rapporter och klagomål från användare, funnit att Enel Energia olagligt har behandlat miljontals användares personuppgifter i marknadsföringsändamål. Garante konstaterade bland annat att de registrerade fått oönskade reklamsamtal i Enel Energias namn och för Enel Energias räkning, i vissa fall till och med inspelade samtal. Vissa av de registrerade fortsatte att få reklamsamtal, trots att de upprepade gånger begärt att Enel Energia skulle radera deras personuppgifter eller hade motsatt sig att företaget behandlade uppgifterna i reklamsyfte.
Enligt Garante har Enel Energia inte gett de registrerade erforderlig återkoppling i rätt tid om deras begäran om att utöva sin rätt till tillgång och invändning. Dessutom konstaterade Garante att företaget inte samarbetat tillräckligt med myndigheten under utredningen. Enel Energia underlät till exempel att svara på olika förfrågningar från Garante.
Vid bedömningen av bötesbeloppet ansåg Garante att följande faktorer var försvårande: överträdelsernas allvar, varaktighet och återupprepning samt det stora antalet berörda personer och det vårdslösa beteendet hos företaget. Garante beslutade därför att bötfälla Enel Energia med 26,5 miljoner euro.