Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Il Garante Privacy (provv. 12 marzo 2026 n. 193) ha sanzionato un recupero crediti per aver comunicato ai familiari del debitore la sua presunta insolvenza e beni immobili. Escluso il legittimo interesse: la LIA non basta senza concretezza e valutazione reale dei rischi e accountability.
Con il provv. 12 marzo 2026 n. 193, Il Garante Privacy affronta il caso di una procedura di recupero crediti nella quale sono stati informati della condizione di insolvenza del debitore i familiari dello stesso indicando alcuni beni immobili sui quali vantavano dei diritti. A prescindere che nel caso particolare oggetto dell’istruttoria c’è stata un’erronea individuazione del debitore per un caso di omonimia e omocodia, è stata comunque riconosciuta l’inapplicabilità del legittimo interesse a questo genere di comunicazioni.
Il focus del provvedimento sulla valutazione del legittimo interesse, tanto nel metodo quanto nel merito, vale a fornire spunti sia nell’ambito del recupero crediti che, soprattutto, sull’approccio che deve essere adottato a riguardo in cui è fondamentale che la valutazione sia concreta e non meramente un’astrazione giuridica. Anche perché, in ottica di accountability, è onere del titolare avere la capacità di fornire ogni riscontro sugli elementi costitutivi della base giuridica.
L’istruttoria oggetto del provvedimento è stata avviata in seguito ad un reclamo presentato da parte di un interessato nell’ambito di una procedura di recupero crediti. La società gerente l’attività di recupero, infatti, aveva comunicato ai familiari dell’interessato, estranei rispetto al rapporto di credito quali i familiari dell’interessato, la posizione debitoria dello stesso e l’intenzione di procedere giudizialmente al recupero forzoso del credito anche mediante pignoramento degli immobili di cui gli stessi risultavano cointestatari. Nella comunicazione venivano riportati anche un elenco dei beni e delle quote di proprietà e di usufrutto vantati da ciascuno dei destinatari in comune con il debitore.
L’istruttoria è stata avviata con una richiesta di informazioni, alla quale è stato fornito un riscontro precisando le circostanze del caso rappresentando che tutta l’attività era stata avviata nei confronti di un soggetto diverso dal reale titolare del debito, in ragione di una situazione di omonimia e omocodia.
Tutta l’attività faceva seguito ad una cessione del credito, ma a causa di un errore dovuto allo stesso nome e codice fisale, si procedeva nei confronti di un soggetto differente dal reale titolare del debito estraendo così il certificato di residenza del reclamante. Dopo l’invio delle prime comunicazioni unitamente all’informativa relativa al trattamento dei dati personali, il riscontro fornito dall’interessato contestava in modo generico l’inesistenza del debito, senza fornire dettagli che potessero evidenziare l’errore occorso. Pertanto, la procedura proseguiva con l’invio della comunicazione oggetto di reclamo ai cointestatari degli immobili di cui il reclamante risultava proprietario. La finalità della comunicazione veniva pertanto individuata nel voler portare a «conoscenza e consapevolezza delle conseguenze di una eventuale e futura azione legale», così da «preservare un interesse legittimo in loro tutela».
Sebbene la società abbia rinunciato al credito informando tutti i soggetti coinvolti a riguardo una volta realizzato il disguido, il Garante ha comunque contestato le presunte violazioni del principio di liceità di cui agli artt. 5 par. 1 lett. a) e 6 GDPR.
Nelle difese svolte tramite memorie difensive e audizione, la società ha tentato di superare le contestazioni mosse circa la carenza di una valida base giuridica argomentando circa la sussistenza del legittimo interesse, documentando inoltre la valutazione svolta tramite LIA (Legitimate Interest Assessment). Infatti, anche i legittimi interessi di terzi «possono costituire una base giuridica del trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato, tenuto conto delle ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento» (considerando n. 47 GDPR).
I presupposti di “concretezza e attualità” dell’interesse dei comproprietari, venivano riferiti in ragione della comunicazione di un’attività pre-esecutiva già definita e non meramente potenziale la quale avrebbe riguardato gli immobili su cui i soggetti vantavano i propri diritti. Inoltre, con riguardo alla natura dell’interesse perseguito, questo viene rappresentato in quanto «informare preventivamente i terzi interessati può essere un atto di correttezza, volto a consentire loro di adottare le opportune iniziative (es. interloquire con il debitore, valutare la separazione della quota, etc.), prima che la procedura esecutiva sia formalmente avviata, con i relativi costi e aggravi».
La valutazione svolta, però, non è ritenuta condivisibile dal Garante Privacy che conferma la contestazione avanzata e argomenta circa la carenza dei presupposti per la sussistenza proprio di alcun legittimo interesse riferito al caso concreto.
Il Garante premette innanzitutto chiarendo che l’onere di analizzare in modo approfondito i fondamenti di liceità di un’attività di trattamento è in capo al titolare. Questo vale soprattutto nel contesto del recupero crediti stante la tipologia di informazioni e l’impatto intrinseco di incidere sull’affidabilità creditizia dell’interessato e sulla sua reputazione. La questione delle comunicazioni delle informazioni relative all’insolvenza del debitore era stata già affrontata nel provvedimento di carattere generale del 30 novembre 2005, con indicazione di alcuni presidi specifici finalizzati a mitigare i rischi inerenti. Fra questi, emerge il divieto di «comunicare ingiustificatamente a soggetti terzi rispetto al debitore (quali, ad esempio, familiari, coabitanti, colleghi di lavoro o vicini di casa), informazioni relative alla condizione di inadempimento nella quale versa l’interessato», dal momento che tale azione si sostanzia nell’esercizio di un’indebita pressione per indurre il debitore al pagamento.
In via generale, pertanto, una comunicazione a terzi dello stato di insolvenza del debitore non può che essere valutata come illecita. Tale evenienza potrebbe essere superata unicamente nel caso in cui si possa comprovare la sussistenza di un legittimo interesse la cui applicabilità è però condizionata al riscontro dei requisiti normativi e che, di conseguenza, deve essere lecito, chiaro, specifico, concreto e attuale.
Circa il ricorrere dei requisiti di liceità e specificità, il Garante ne conferma il riconoscimento da parte dell’ordinamento evidenziando che un analogo obbligo informativo viene espressamente previsto dall’art. 599 c.p.c. con l’obbligo di notifica dell’avvio di un’azione esecutiva nei confronti dei comproprietari per consentire agli stessi di tutelare i propri diritti e impedendo agli stessi di agire in frode del creditore effettuando una divisione del bene. Questo però non è un argomento sufficiente per sostenere che il titolare poteva fare ricorso a tale base giuridica.
Infatti, non è condivisibile la ricostruzione del titolare in ordine alla sussistenza dei requisiti di concretezza e attualità, dal momento che la comunicazione si colloca temporalmente in una fase antecedente rispetto all’attivazione di una procedura esecutiva e non è prodromica alla stessa, afferendo ad una fase stragiudiziale di recupero del credito dal momento che l’elenco degli immobili da aggredire è solo potenziale ed astratto. Nel concreto l’informazione non era destinata ai soli comproprietari dei beni e, inoltre, non individuava specificamente su quali beni gravava anche un mero intento di soddisfare la pretesa creditoria. Il che rendeva impossibile individuare in maniera esatta il terzo effettivamente coinvolto, per cui il perseguimento del legittimo interesse avrebbe reso lecita l’attività di trattamento.
Di conseguenza, il Garante conferma l’inapplicabilità della base giuridica del legittimo interesse, con l’effetto di accertare così la violazione degli artt. 5 par. 1 lett. a) e 6 GDPR e per l’effetto l’illiceità della comunicazione della condizione di insolvenza dell’interessato nei confronti dei terzi.
Viene ulteriormente sottolineato il fatto che l’indebita conoscenza della posizione debitoria ai familiari dell’interessato comporta un impatto che ha l’effetto di «incidere negativamente sulla dignità di quest’ultimo, ingenerando, nella cerchia dei suoi affetti più cari, un giudizio di disvalore in ordine all’affidabilità dello stesso», peraltro aggravato dalla circostanza dell’errore occorso sull’identità del debitore.
Il fatto che il titolare abbia implementato un protocollo operativo per la sospensione di ogni azione e l’avvio di una verifica approfondita nel caso di contestazione sull’identità del debitore, non è stata valutata come misura sufficiente al fine di prevenire il ripetersi di una violazione analoga. Da ciò, il Garante ha adottato il provvedimento correttivo di cui all’art. 58 par. 2 lett. d) GDPR ingiungendo al titolare l’integrazione delle procedure interne per disciplinare le modalità di comunicazione con il debitore, evitando che in futuro vengano rivolte comunicazioni illecite a terzi contitolari di beni in comunione.
Il provvedimento 12 marzo 2026 n. 193 è di particolare importanza in quanto affronta l’aspetto della valutazione della sussistenza di un legittimo interesse, fornendo degli spunti di metodo e di merito, per cui è necessario un approccio concreto e documentabile. Il criterio orientativo è – e altrimenti nono può essere – quello della portata sostanziale delle tutele cui provvede la normativa in materia di protezione dei dati personali, che deve tenere debitamente conto dei rischi inerenti per la natura delle attività di trattamento. Motivo per cui non è possibile prescindere dallo svolgimento di analisi approfondite, nonché dal tenere conto di rischi e pericoli che insistono nella sfera personale degli interessati, con ben poco spazio ai formalismi di alcun tipo. Anche perché l’indagine del Garante ha approfondito – e approfondisce – entrambi questi aspetti con l’esito di valutare più che i desiderata quanto concretamente è stato realizzato e viene documentato.
Il raccordo fra prescrizione normativa e piano operativo altro non esprime che quell’assetto organizzativo che il titolare, proprio in ragione del principio di accountability, è tenuto a predisporre seguendo una logica e un processo decisionale coerente per realizzare gli obiettivi individuati dalla norma. Ovviamente, sempre con un approccio risk-based affinché la tutela dei diritti fondamentali e delle libertà dell’interessato sia effettiva.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]