Garante privacy: recupero crediti, vietato informare i familiari

Pubblicato il 27 marzo 2026

Il Garante per la protezione dei dati personali, con provvedimento n. 193 del 12 marzo 2026 (di cui ha dato notizia nella Newsletter del 26 marzo 2026), è intervenuto nuovamente sul delicato equilibrio tra attività di recupero crediti e tutela dei dati personali.

L’Autorità ha ribadito un principio già consolidato: la comunicazione a terzi di informazioni relative alla posizione debitoria è illecita in assenza di una specifica base giuridica, anche quando i destinatari siano familiari o comproprietari di beni.

Garante privacy: stop a debiti comunicati ai familiari

Il caso esaminato dal Garante  

Il procedimento trae origine da un reclamo con cui è l'interessato ha segnalato che una società di recupero crediti aveva trasmesso ai propri familiari una comunicazione contenente:

• l’indicazione dell’esistenza di un debito;
• la prospettazione di un’azione giudiziale;
• il riferimento a beni immobili in comproprietà, con dettaglio delle quote.

L’istruttoria ha evidenziato un elemento particolarmente rilevante: il debito risultava intestato a un soggetto diverso, ma con identici dati anagrafici e codice fiscale (ipotesi di omocodia). Nonostante la contestazione, la società ha proseguito l’attività di recupero, coinvolgendo soggetti estranei al rapporto obbligatorio.

Le violazioni accertate: articoli 5 e 6 GDPR  

Il Garante ha qualificato la condotta come trattamento illecito di dati personali, rilevando la violazione:

• dell’art. 5, par. 1, lett. a) GDPR (principio di liceità, correttezza e trasparenza);
• dell’art. 6 GDPR (assenza di idonea base giuridica).

In particolare, la comunicazione ai familiari ha comportato la diffusione dello stato di insolvenza dell’interessato a soggetti terzi non legittimati.

Legittimo interesse: limiti applicativi nel recupero crediti  

La società ha invocato il legittimo interesse (art. 6, par. 1, lett. f) GDPR), sostenendo la necessità di informare i comproprietari dei beni in vista di una possibile azione esecutiva.

Il Garante ha respinto tale impostazione, chiarendo che:

• il legittimo interesse deve essere concreto e attuale;
• non può fondarsi su una ipotesi meramente eventuale di azione esecutiva;
• richiede un bilanciamento effettivo con i diritti e le libertà dell’interessato.

Nel caso di specie, la comunicazione si collocava in una fase stragiudiziale, nella quale l’azione esecutiva era solo potenziale e non ancora avviata.

Il richiamo alla disciplina del pignoramento di beni indivisi  

L’Autorità ha richiamato l’art. 599 c.p.c., che disciplina il pignoramento di beni in comproprietà. Tale norma prevede l’obbligo di notificare il pignoramento ai comproprietari, ma solo al momento dell’avvio della procedura esecutiva.

Ne consegue che:

• l’informativa ai terzi è ammessa solo in presenza di un atto esecutivo formalizzato;
• non è consentita una comunicazione anticipata nella fase di recupero stragiudiziale;
• le modalità e i contenuti della comunicazione devono essere tipizzati dalla legge.

Impatto sui diritti dell’interessato  

Il Garante ha evidenziato che la comunicazione illecita ha prodotto effetti rilevanti:

• lesione della dignità personale;
• compromissione della reputazione economica;
• formazione di un giudizio negativo all’interno della sfera familiare.

La gravità risulta accentuata dall’erronea attribuzione di un debito mai contratto.

Misure correttive e obblighi per le società  

Ai sensi dell’art. 58, par. 2 GDPR, il Garante ha ingiunto alla società di integrare le procedure interne e disciplinare in modo conforme alla normativa privacy:

• le comunicazioni con il debitore;
• i casi di beni in comunione.

Il termine per l’adeguamento è fissato in tre mesi dalla notifica del provvedimento, con obbligo di riscontro documentato.