Scarsa sicurezza nella gestione dei dati dei clienti: multa per la società

Scarse misure di sicurezza nella gestione dei dati dei propri clienti: ecco l’addebito che ha condotto il ‘Garante per la privacy’ (provvedimento del 27 novembre 2025) a sanzionare con una multa da 300mila euro la società ‘Aimag spa’, che gestisce servizi nel settore energetico, idrico, ambientale e del teleriscaldamento.
A dare il ‘la’ al procedimento è stata la segnalazione effettuata da un cittadino, il quale ha lamentato la mancanza di misure di sicurezza finalizzate a verificare l’identità degli utenti che effettuavano la registrazione nell’area riservata del sito della società, registrazione utile per consultare le bollette e lo storico dei consumi. Nello specifico, secondo quanto osservato dal cittadino, era sufficiente fornire il codice fiscale e un indirizzo mail, mentre la società non svolgeva alcuna verifica in merito alla identità del soggetto che effettuava la registrazione né in merito all’indirizzo di posta elettronica utilizzato.
Questa contestazione si è rivelata corretta: il ‘Garante’ ha potuto accertare che chiunque, inserendo il codice fiscale dell’intestatario del servizio e una qualsiasi email, poteva registrarsi a suo nome e accedere così illecitamente anche ad altre informazioni personali, tra cui l’indirizzo di abitazione e il numero di telefono dell’intestatario del servizio.
Tra le numerose violazioni emerse, poi, è stato accertato anche che l’azienda trattava i dati degli utenti per finalità promozionali in assenza di un’idonea base giuridica e senza un’adeguata informativa. In particolare, dalle indagini è emerso che in calce al ‘form’ utile alla registrazione all’area riservata erano presenti tre moduli per il conferimento del consenso, già preflaggati sul “sì”, in violazione del regolamento europeo per la privacy, riguardanti l’informativa sulla privacy, l’utilizzo dei dati per l’invio di pubblicità e il trattamento per ‘customer satisfaction’. E tale trattamento veniva effettuato anche in contrasto con il principio di limitazione dei tempi di conservazione dei dati personali.
Evidente, quindi, la responsabilità di ‘Aimag spa’ per avere: effettuato – e continuare ad effettuare – il trattamento dei dati personali appartenenti ai propri clienti, senza avere previamente adottato misure adeguate a garantirne la sicurezza e a scongiurare il rischio di accessi abusivi ai medesimi dati; effettuato – e continuare ad effettuare – il trattamento dei dati personali per finalità promozionali in assenza di un’idonea base giuridica e senza il previo conferimento di un’adeguata informativa sul trattamento dei dati personali; effettuato – e continuare ad effettuare – il trattamento dei dati personali per finalità promozionali in contrasto con il principio di limitazione dei tempi di conservazione.