Con il provvedimento del 27 novembre 2025 (premere qui per leggere), il Garante per la protezione dei dati personali ha irrogato una sanzione amministrativa di 300.000 euro a una grande società concessionaria di servizi pubblici locali (gestione idrica e rifiuti), accertando gravi e plurime violazioni in materia di sicurezza dei dati, trasparenza, consenso e limitazione della conservazione, connesse alla gestione dell’area riservata del sito web e alle attività promozionali.
Il caso assume particolare rilievo perché dimostra come anche soggetti operanti in regime di monopolio naturale siano tenuti a rispettare integralmente le regole del GDPR, senza scorciatoie giustificate da esigenze di “agevolazione” dell’utenza.
1. L’innesco dell’istruttoria
L’Autorità è intervenuta a seguito di una segnalazione che evidenziava come, per la registrazione all’area riservata, fosse sufficiente inserire codice fiscale e un qualunque indirizzo e-mail, senza alcuna verifica dell’identità del soggetto che effettuava l’accesso.
Attraverso l’area personale risultavano consultabili lo storico delle bollette e dei consumi, i dati anagrafici e di contatto e le informazioni contrattuali.
Un insieme informativo idoneo a delineare profili di consumo dettagliati, esposto on-line senza adeguate garanzie.
2. Le carenze di sicurezza: quando il “dato identificativo” non basta
Il Garante ha ritenuto inadeguato un sistema di autenticazione fondato esclusivamente sul codice fiscale, osservando che:
- tale dato è oggi facilmente ricostruibile tramite strumenti liberamente accessibili in rete;
- l’assenza di una verifica sull’indirizzo e-mail rende il sistema vulnerabile a accessi abusivi;
- l’elevato numero di utenti potenzialmente coinvolti amplifica il rischio per i diritti e le libertà degli interessati.
È stata così accertata la violazione degli artt. 5, 24, 25 e 32 GDPR, per mancata adozione di misure tecniche e organizzative adeguate, anche sotto il profilo della protezione dei dati fin dalla progettazione.
3. I consensi “automatici”: pre-flag e informazione carente
Ulteriore profilo critico ha riguardato la raccolta del consenso nell’ambito della procedura di registrazione.
Il form presentava infatti caselle di consenso già preselezionate per finalità promozionali e di customer satisfaction, diciture sovrapponibili e poco chiare e assenza di un link diretto e univoco all’informativa pertinente.
Il Garante ha ribadito un principio consolidato: la preselezione delle caselle è incompatibile con la nozione stessa di consenso, che deve essere libero, specifico, informato e inequivocabile.
Ne è derivata la violazione degli artt. 5, 6, 7 e 13 GDPR, nonché dell’art. 130 del Codice Privacy per le attività promozionali.
4. Trasparenza e basi giuridiche: una ricostruzione incoerente
L’Autorità ha evidenziato una confusione strutturale nella ricostruzione delle finalità e delle basi giuridiche del trattamento:
- comunicazioni obbligatorie per legge venivano sovrapposte a attività di marketing;
- il legittimo interesse veniva invocato in modo generico e indeterminato;
- le informative risultavano contraddittorie, non consentendo all’utente di comprendere con chiarezza come e perché i dati venissero trattati.
Tale impostazione è stata ritenuta incompatibile con i principi di correttezza e trasparenza.
5. Conservazione dei dati: il tempo non è neutro
La società conservava i dati per finalità promozionali fino a cinque anni per i non clienti e fino a dieci anni per clienti ed ex clienti.
Il Garante ha ritenuto tali durate sproporzionate, poiché fondate su esigenze difensive e sulla durata dei rapporti contrattuali, elementi estranei alle logiche del marketing.
È stata quindi accertata la violazione dell’art. 5, par. 1, lett. e) GDPR, ribadendo che:
la mancata revoca del consenso, col passare del tempo, è spesso frutto di inerzia o dimenticanza, non di una volontà attuale.
6. La decisione
Alla luce delle violazioni riscontrate, il Garante ha:
- dichiarato illecito il trattamento dei dati personali;
- ingiunto l’adozione di misure di sicurezza adeguate per l’area riservata;
- imposto l’aggiornamento delle informative e dei meccanismi di raccolta del consenso;
- ordinato la comunicazione delle misure adottate entro 30 giorni;
- irrogato una sanzione amministrativa di 300.000 euro;
- disposto la pubblicazione del provvedimento come sanzione accessoria.
7. Considerazioni conclusive
Il provvedimento afferma un principio di sistema di particolare importanza: l’accessibilità dei servizi digitali non può sacrificare la sicurezza e l’autodeterminazione informativa degli utenti.
Anche nei servizi pubblici locali, quindi, la semplificazione deve convivere con la protezione dei dati, il consenso non può essere “incorporato” o presunto e la sicurezza non è un optional organizzativo, ma un obbligo giuridico primario.
La gestione digitale del rapporto con l’utenza richiede progettazione consapevole, trasparenza reale e responsabilità effettiva.
Sull'autore
