In qualità di cliente di Dolomiti Energia S.p.A., ho ricevuto in data 08.10.2025 la comunicazione riguardante una violazione dei dati personali avvenuta il 13 settembre 2025, causata – secondo quanto dichiarato – da un attacco informatico ai sistemi di un fornitore dell’azienda.
Tale comunicazione, oltre ad arrivare quasi un mese dopo l’evento, risulta lacunosa e poco trasparente, in contrasto con quanto previsto dagli artt. 33 e 34 del Regolamento (UE) 2016/679 (GDPR), che impongono la notifica “senza ingiustificato ritardo” e una chiara informazione agli interessati sui rischi e sui rimedi disponibili.
Fatti e criticità rilevate:
- Sono stati compromessi dati personali altamente identificativi (nome, cognome, indirizzo, codice fiscale, email, telefono, codice del contatore, informazioni contrattuali e, in alcuni casi, IBAN).
- Non è stato indicato il nome del fornitore coinvolto, né la natura precisa dell’attacco, né dove o come i dati siano finiti.
- La comunicazione tardiva ha impedito agli interessati di attivarsi tempestivamente per tutelarsi.
- L’episodio è stato sottovalutato nel rischio reale, considerata l’aggregazione di dati sensibili e identificativi.
- Mancano riferimenti chiari al Titolare del trattamento e al DPO.
- Non sono state fornite indicazioni sui diritti dell’interessato, né misure di tutela, monitoraggio o risarcimento.
Domande ancora senza risposta:
- Perché la comunicazione è stata inviata dopo quasi un mese dall’accaduto?
- Qual è stata la natura dell’attacco e quali dati sono stati effettivamente divulgati?
- Quali categorie di dati personali sono state compromesse con precisione?
- Sono previsti risarcimenti per i danni materiali e morali subiti o potenziali (art. 82 GDPR)?
- Qual è il nome del fornitore coinvolto nella violazione?
- Quali misure di sicurezza erano attive e quali azioni correttive sono state implementate?
- È stata effettuata una valutazione d’impatto sulla protezione dei dati (DPIA)?
- Quali sono le azioni che si intendono intraprendere affinché non si verifichi di nuovo l'accaduto?
- Qual è il nome e contatto diretto del DPO responsabile del trattamento?
Si diffida Dolomiti Energia S.p.A. a fornire una risposta scritta e documentata entro 15 giorni, adempiendo pienamente agli obblighi di trasparenza, sicurezza e informazione previsti dal GDPR e dal D.lgs. 101/2018.
Contestualmente, viene presentato reclamo all’Autorità Garante per la Protezione dei Dati Personali ai sensi dell’art. 77 GDPR.
Richiedo inoltre se la vicenda è seguita da Altroconsumo e se si sta valutando l’avvio di azioni collettive e legali ai sensi del D.lgs. 28/2023 (attuazione Direttiva UE 2020/1828).
L’obiettivo è ottenere:
- trasparenza sull’origine e sull’impatto della violazione;
responsabilità piena da parte dell’azienda e dei soggetti coinvolti;
- misure di tutela effettive per i clienti danneggiati;
risarcimenti proporzionati ai rischi economici, reputazionali e personali subiti.
Questa iniziativa nasce per tutela, ma anche per promuovere una maggiore responsabilità e trasparenza nella gestione dei dati personali da parte dei fornitori di servizi energetici e non solo energetici pubblici in Italia.
Chiunque abbia ricevuto la stessa comunicazione da Dolomiti Energia è invitato a unirsi a questa segnalazione collettiva.
