Spett.le Dolomiti Energia S.p.A.,
sono titolare del conto contrattuale n. 61421901.
In data 8 ottobre 2025 ho ricevuto la vostra comunicazione relativa all’attacco informatico del 13 settembre 2025, che ha comportato la compromissione di dati personali contenuti nei documenti contrattuali con la vostra Società.
Dalla comunicazione emergono criticità significative:
• risultano compromessi dati identificativi e sensibili (nome, cognome, indirizzo di fornitura, codice fiscale, e-mail, numero di telefono, codice contatore, informazioni contrattuali e IBAN);
• non è stato indicato il nome del fornitore coinvolto, la natura dell’attacco né la destinazione dei dati sottratti;
• la notifica agli interessati è avvenuta con un ritardo di quasi un mese rispetto alla data dell’attacco;
• non sono state fornite indicazioni sui diritti dell’interessato, sui rimedi previsti dal GDPR né alcuna proposta di risarcimento.
Desidero richiamare l’attenzione sul fatto che, come riportato da l’Adige in data 10 ottobre 2025 (“Dolomiti Energia, clienti informati tardi sull’attacco hacker: sì al risarcimento”), l’Adoc del Trentino ha pubblicamente evidenziato la fragilità del sistema di protezione dei dati aziendali e il ritardo ingiustificato nella comunicazione ai clienti, ritenendo tale condotta meritevole di risarcimento ai sensi del Regolamento UE 2016/679 (GDPR).
Alla luce di quanto sopra, chiedo formalmente di ricevere:
1. Il nome del fornitore o soggetto terzo coinvolto nella violazione;
2. L’elenco preciso dei dati personali compromessi;
3. La natura e la modalità dell’attacco informatico;
4. Le ragioni del ritardo nella comunicazione agli interessati;
5. Le misure di sicurezza in essere al momento della violazione;
6. Le azioni correttive adottate successivamente all’incidente;
7. Copia o sintesi della valutazione d’impatto (DPIA) o analisi del rischio successiva;
8. Indicazioni sull’eventuale previsione di risarcimenti ai sensi dell’art. 82 GDPR;
9. Il nome e il contatto diretto del vostro Responsabile della protezione dei dati (DPO).
Richiesta di risarcimento
Considerata la violazione della mia privacy, l’esposizione al rischio concreto di utilizzo illecito dei miei dati personali e il ritardo nella comunicazione, richiedo un risarcimento forfettario di € 1.000,00 a titolo di danno morale, di tempo perso e di potenziale pregiudizio economico, in linea con quanto sostenuto dalle associazioni dei consumatori.
Resto in attesa di un vostro riscontro entro 15 giorni dal ricevimento della presente, trascorsi i quali mi riservo di:
• presentare formale reclamo al Garante per la protezione dei dati personali ai sensi dell’art. 77 GDPR;
• segnalare l’accaduto alle associazioni dei consumatori (in particolare Adoc) per valutare azioni collettive o legali a tutela dei miei diritti.
Distinti saluti,
CLARA A. LOBINA
All.to: mail Dolomiti del 8/10/2025
