Provvedimento del 28 maggio 2026 [10269277]
Provvedimento del 28 maggio 2026 [10269277]
VEDI ANCHE Newsletter del 16 luglio 2026
[doc. web n. 10269277]
Provvedimento del 28 maggio 2026
Registro dei provvedimenti
n. 391 del 28 maggio 2026
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il dott. Luigi Montuori, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);
VISTO il d.lgs. del 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. del 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;
VISTO il reclamo presentato, in data 13 ottobre 2025, dal Sig. XX in ordine al diniego dell’accesso opposto da Enel Energia S.p.A. in riscontro all’istanza, trasmessa da quest’ultimo l’8 agosto 2025, ai sensi dell’art. 15 del Regolamento;
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il prof. Pasquale Stanzione;
PREMESSO
1. Il reclamo e l’attività istruttoria.
Con reclamo presentato a questa Autorità il 13 ottobre 2025, il Sig. XX ha lamentato l’inadeguatezza del riscontro, fornito da Enel Energia S.p.A., all’istanza di accesso trasmessa da quest’ultimo, ai sensi dell’art. 15 del Regolamento, in data 8 agosto 2025.
Più nello specifico, ha rappresentato di aver richiesto l’accesso ai propri dati personali contenuti nella registrazione di una chiamata telefonica intercorsa, il 6 agosto 2025, tra lo stesso e il Servizio clienti della predetta Società e ha contestato il diniego opposto dal titolare in sede di riscontro del 28 settembre 2025.
Al riguardo, la scrivente Autorità ha avviato un’istruttoria, nei confronti di Enel Energia S.p.A., per il tramite di una richiesta di informazioni (v. nota del 12 dicembre 2025), a cui la Società ha risposto, con comunicazione del 26 gennaio 2026.
In relazione alle motivazioni connesse al citato diniego di fornire copia della registrazione telefonica richiesta dal reclamante, Enel Energia S.p.A. ha rappresentato di aver applicato l’art. 15, par. 4 del Regolamento, ritenendo, a fronte del bilanciamento di interessi contrapposti richiesto dalla predetta norma (il diritto di accesso dell’interessato e la riservatezza dell’operatore del customer care), di considerare prevalente “la necessità di tutelare la privacy” di quest’ultimo (v. nota della Società del 26 gennaio 2026, pag. 5).
2. La notifica delle presunte violazioni.
A seguito della notifica delle presunte violazioni degli artt. 12 e 15 del Regolamento, trasmessa adEnel Energia S.p.A. con comunicazione del 2 febbraio 2026, la Società, con nota del 6 marzo 2026, ha fatto pervenire i propri scritti difensivi.
Nell’ambito delle sopra menzionate memorie, ha rappresentato quanto di seguito riportato:
a) in ordine alle ragioni sottese al diniego dell’accesso, ha sottolineato che quest’ultimo non è stato il frutto di una decisione arbitraria, ma è avvenuto all’esito di un’attenta valutazione, volta a tener conto dell’interesse prevalente del terzo (l’operatore del customer care) alla protezione della propria identità e dei propri dati personali. Tutto ciò, tenuto conto della circostanza che il predetto operatore, nel corso della telefonata, aveva ripetuto più volte i propri dati identificativi (nome e numero di matricola) e fornito ulteriori dettagli che ne avrebbero potuto consentire l’identificazione. È stato peraltro evidenziato che, ai sensi del contratto in essere tra la Società e il fornitore dell’attività di customer care, la registrazione delle conversazioni telefoniche con i clienti è finalizzata alla sola valutazione, da parte di Enel Energia S.p.A., della qualità complessiva del servizio fornito. L’operatore aveva pertanto la legittima aspettativa che le informazioni personali, contenute nella predetta registrazione, non fossero trattate dalla Società per finalità diverse e ulteriori, quali quella di fornirle al cliente a seguito di una richiesta di accesso ai propri dati. Enel Energia S.p.A. ha osservato, infine, che la condivisione della registrazione con l’interessato avrebbe potuto esporre l’operatore al rischio di contestazioni disciplinari, nel caso in cui il reclamante si fosse adoperato in tal senso nei confronti del datore di lavoro di quest’ultimo (v. nota della Società del 6 marzo 2026, pagg. 2-5);
b) rispetto alle modalità del procedimento avviato dall’Autorità, Enel Energia S.p.A. ha sollevato una questione procedurale sostenendo che, nel caso di specie, non sia stato formulato dal Garante, nei confronti del titolare, l'invito ad aderire alle richieste del reclamante, come previsto dall'art. 15, comma 1, del Regolamento interno del Garante n. 1/2019; tutto ciò "nonostante tale reclamo avesse esclusivamente ad oggetto l'esercizio del diritto di accesso nei confronti della Società" (v. nota della Società del 6 marzo 2026, pag. 6).
3. Le valutazioni dell’Autorità.
In primis, si rappresenta che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.
Alla luce degli elementi acquisiti nel corso dell’attività istruttoria sopra descritta, nonché delle successive valutazioni effettuate dall’Autorità, emerge, a carico di Enel Energia S.p.A., la violazione degli artt. 12 e 15 del Regolamento; ciò in considerazione dell’inadeguato riscontro fornito, dal predetto titolare, all’istanza di accesso volta ad ottenere copia dei dati personali del reclamante contenuti nella registrazione telefonica effettuata da quest’ultimo con il Servizio clienti.
Al riguardo, si rappresenta innanzi tutto che la definizione di dato personale, ai sensi dell’art. 4, n. 1 del Regolamento, ricomprende qualsiasi informazione relativa ad una persona fisica identificata o identificabile e che, pertanto, rientrano in tale accezione anche le informazioni di tipo sonoro e/o acustico contenute in registrazioni di conversazioni telefoniche (cfr. Gruppo ex art. 29, "Parere 4/2007 sul concetto di dati personali", adottato il 20 giugno 2007, pag. 7).
Si rammenta altresì che le predette informazioni, ove concernenti un interessato, possono essere oggetto del diritto di accesso previsto dall’art. 15 del Regolamento, ai sensi del quale il titolare, a fronte di specifica istanza formulata dall’interessato, è tenuto a fornire copia dei dati oggetto di trattamento.
La normativa prevede altresì che il diritto di ottenere una copia delle informazioni personali trattate non debba ledere i diritti e le libertà altrui (art. 15, par. 4 del Regolamento).
Tale circostanza può ricorrere frequentemente laddove l’istanza di accesso riguardi dati personali contenuti nella registrazione di una conversazione telefonica; ciò considerato che quest’ultima può includere ‒come nel caso in esame‒ non solo dati personali dell’istante, ma anche informazioni riferite all’ulteriore interlocutore della chiamata.
Nell’ipotesi di cui all’art. 15, par. 4 del Regolamento, compete al titolare l’onere di valutare il rischio, in termini di probabilità e gravità, del pregiudizio che potrebbe derivare ai diritti e alle libertà altrui dall’osservanza della richiesta di accesso presentata dall’interessato.
Il tutto operando un attento bilanciamento dei diversi interessi confliggenti, individuati di volta in volta, quali, ad esempio, nell’ipotesi di specie, quello dell’interessato ad avere accesso alle informazioni che lo riguardano e quello dell’operatore del customer care alla tutela della propria riservatezza (cfr. in merito, Comitato per la protezione dei dati personali, Linee guida del 28 marzo 2023, n. 01/2022 sui diritti degli interessati – diritto di accesso, Sez. 4.2.1, paragrafi 105 e 106).
Tale valutazione implica quindi un’analisi, da effettuarsi caso per caso, in ordine all’effettività del rischio che i diritti e le libertà fondamentali del terzo coinvolto nella predetta registrazione siano pregiudicati dall’adempimento alla richiesta di accesso in questione. Il tutto, valutando altresì l’opportunità di adottare, se del caso, misure appropriate a mitigare il predetto pregiudizio, quali ad esempio l’oscuramento dei dati personali del terzo oppure l’applicazione di tecniche di c.d. camouflage della voce di quest’ultimo (cfr. in merito Linee guida n. 01/2022, cit., par. 173 ed esempio n. 35).
Tanto doverosamente premesso, con specifico riferimento all’ipotesi in esame, si rileva che ‒tenuto conto del peculiare contesto della predetta telefonata (di natura meramente professionale) e dell’oggetto della relativa conversazione (inerente esclusivamente al contratto di fornitura di gas sottoscritto dal reclamante)‒ la richiesta di accesso, volta ad ottenere copia dei dati personali contenuti nella registrazione telefonica intercorsa tra il reclamante e l’operatore del Servizio clienti, poteva essere lecitamente soddisfatta dalla Società, senza pregiudicare il diritto alla riservatezza del predetto operatore.
Il tutto adottando misure volte a mascherare eventuali informazioni personali idonee ad identificare quest’ultimo (es. nome, numero di matricola; ecc.), nonché mediante l’adozione di tecniche di morphing atte a mascherarne la voce.
Si osserva, infine, altresì che il titolare del trattamento, tenuto conto delle circostanze specifiche inerenti alla richiesta effettuata dal reclamante, avrebbe anche potuto provvedere a fornire puntuale e completo riscontro all’interessato, consegnando allo stesso la mera trascrizione del contenuto della predetta conversazione, debitamente privata delle informazioni atte ad identificare l’operatore coinvolto (v. Linee guida n. 01/2022, cit., sezione 5 e, più nel dettaglio, paragrafi 106, 133, 134, 155).
Alla luce delle considerazioni complessivamente sopra esposte, non possono pertanto essere accolte le argomentazioni addotte da Enel Energia S.p.A. ai fini del diniego dell’accesso richiesto dal reclamante (v. par. 2, lett. a) della presente decisione) inerenti all’impossibilità di adempiere alle richieste del reclamante, senza pregiudicare i diritti e le libertà dell’operatore del Servizio clienti.
La condotta tenuta da Enel Energia S.p.A. nel caso in esame, è stata pertanto posta in contrasto con il Regolamento e, in particolare, con l’obbligo di fornire all’interessato, senza giustificato ritardo, copia delle informazioni richieste dall’interessato ai sensi dell’art. 15 del Regolamento, con conseguenziale violazione degli artt. 12 e 15 del Regolamento.
Da ultimo, per quanto concerne la specifica contestazione sollevata dalla Società e relativa alle modalità di gestione del procedimento avviato dal Garante a seguito del reclamo in esame (v., supra, par. 2, lett. b) della presente decisione), si fa presente che, nel caso di specie, la previsione volta a trasmettere l’invito ad aderire al titolare (v. art. 15, comma 1, del Regolamento interno del Garante n. 1/2019) non poteva trovare applicazione.
Tutto ciò in quanto l’Autorità, all’atto della ricezione del reclamo, non disponeva di tutti gli elementi connessi al diniego dell’accesso addotto dal titolare, non avendo pertanto piena contezza dell’inadeguatezza del riscontro fornito da quest’ultimo.
Soltanto a seguito dell’avvio dell’istruttoria e della successiva acquisizione delle motivazioni opposte dalla Società, l’Autorità ha avuto modo di accertare l’illiceità del predetto diniego e la necessità di ottemperare alle richieste del reclamante.
4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.
Alla luce di quanto complessivamente rilevato, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria, non consentano di superare i rilievi notificati dal Garante con l’atto di avvio del procedimento e che risultino pertanto inidonee a disporre l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Il trattamento dei dati personali effettuato da Enel Energia S.p.A., mediante diniego dell’accesso richiesto dal XX, risulta infatti illecito, nei termini su esposti, in quanto posto in essere in violazione degli artt. 12 e 15 del Regolamento.
Per quanto concerne l’esercizio dei poteri correttivi di cui all’art. 58, par. 2, del Regolamento, tenuto conto della circostanza che la Società non ha, allo stato, ancora provveduto a fornire completo riscontro, nei termini di cui sopra, al reclamante, si ritiene necessario ingiungere ad Enel Energia S.p.A. di soddisfare la richiesta dell’interessato di ottenere copia della registrazione telefonica oggetto di reclamo con le modalità individuate al par. 3 della presente decisione (art. 58, par. 2, lett. c) del Regolamento).
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
[OMISSIS]
TUTTO CIÒ PREMESSO, IL GARANTE
a) dichiara, ai sensi degli artt. 57, par. 1, lett. f) del Regolamento, l’illiceità del trattamento effettuato da Enel Energia S.p.A., con sede in Roma, p. iva n. 06655971007, nei termini di cui in motivazione, per la violazione degli artt. 12 e 15 del Regolamento;
b) ingiunge, ai sensi dell'art. 58, par. 2, lett. c) del Regolamento, alla summenzionata Società, di soddisfare entro trenta giorni dalla data della notifica del presente provvedimento, le richieste di esercizio dei diritti avanzate dall’interessato nei termini individuati al par. 3 della presente decisione, richiedendo al contempo alla stessa di fornire, entro il predetto termine, un riscontro adeguatamente documentato ai sensi dell'art. 157 del Codice; l’eventuale mancato riscontro può comportare l'applicazione della sanzione amministrativa pecuniaria prevista dall'art. 83, par. 5, lett. e) del Regolamento;
c) [OMISSIS]
d) [OMISSIS]
e) prevede, ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l'annotazione delle violazioni e delle misure adottate in conformità all'art. 58, par. 2 del Regolamento, nel registro interno dell'Autorità previsto dall'art. 57, par. 1, lett. u) del Regolamento;
f) dispone, ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità; ciò tenuto conto anche di quanto disposto dall’art. 166, comma 7, del Codice.
Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.
Roma, 28 maggio 2026
IL PRESIDENTE
Stanzione
IL RELATORE
Stanzione
IL SEGRETARIO GENERALE
Montuori
Condividi