Recupero crediti: due provvedimenti del Garante che sembrano una linea guida

Oggi il Garante Privacy ha partorito due provvedimenti gemellari.
I due provvedimenti "siamesi", che riportano la datadel 28 maggio 2026 (il provvedimento n. 386 nei confronti del Titolare Europa Factor S.p.A. e il provvedimento n. 387 nei confronti del Responsabile Spinbridge S.p.A.) rappresentano una pietra miliare e un serio avvertimento per l'intero settore del recupero crediti.
Chi non deve ricorrere le fatture scadute e non saldate? Ogni azienda se ne deve occupare e, affidare il compito ad un service esterno, realizza esattamente lo stesso schema posto all'attenzione del Garante. In pratica, questi provvedimenti riguardano tutti, non solo le aziende del settore.
La mancanza di coordinamento informativo, l'arricchimento dei dati non tracciato e la gestione autonoma delle istanze degli interessati possano far scattare sanzioni pecuniarie per entrambe le parti della filiera: l'azienda che deve recuperare i propri soldi e il provider che sta supportando in questo.
Ecco la mia lettura critica e dettagliata dei fatti, un'analisi tecnica delle violazioni accertate e un piano di azione con le misure di compliance da implementare nei rapporti con chi esegue recupero crediti o, a parti invertite, nei confronti dei propri clienti per i quali si fanno 1.000 telefonate e si inviano 20.000 email di sollecito.
LA RICOSTRUZIONE DEI FATTI: IL CORTOCIRCUITO INFORMATIVO
La vicenda origina dal reclamo di un debitore (il solito Sig. XX, Dio l'abbia in gloria) che ha lamentato l'utilizzo, per finalità di recupero crediti stragiudiziale, di un'utenza telefonica mobile a lui intestata che non aveva mai fornito ad alcuno dei soggetti coinvolti.
Il flusso dei fatti rivela un totale scollamento tra il Titolare e il Responsabile. In effetti, è abbastanza comune l'atteggiamento del "ciascuno fa il suo", uno paga, l'altro fa il lavoro. Uno ha i crediti, l'altro è esperto di recupero. Cos'altro ci si dovrebbe raccontare? Beh, in effetti, qualcosa da dirsi ci sarebbe.
Ecco lo schema degli eventi e degli scambi: casti, impersonali, tecnici, professionali:
- L'Origine del Credito: Europa Factor (intermediario finanziario ex art. 106 TUB) acquista pro soluto da Acea Energia un pacchetto di crediti, tra cui la posizione del debitore.
- L'Affidamento in Appalto: Europa Factor affida la gestione stragiudiziale del recupero a Euro Service S.p.A. (oggi Spinbridge S.p.A.), designandola formalmente Responsabile del trattamento ai sensi dell'Art. 28 GDPR. All'atto del passaggio del lotto, il Titolare trasmette solo nome, cognome, codice fiscale e indirizzo di residenza del debitore.
- L'Arricchimento Autonomo del Dato: Non riuscendo a contattare il debitore con i dati iniziali, Spinbridge interroga un fornitore/broker esterno e acquisisce autonomamente il numero di cellulare dell'interessato, inserendolo manualmente nel proprio database gestionale il 7 giugno 2021.
- Il Contatto Inbound: Spinbridge effettua tentativi di chiamata. Il debitore contatta inbound l'operatore di Spinbridge, confermando la propria identità, opponendosi all'uso del vecchio numero e pretendendo di essere contattato unicamente sul nuovo recapito.
- L'Esercizio dei Diritti (Art. 15 GDPR): Il 21 giugno 2021, il debitore invia un'istanza formale di accesso a Spinbridge, chiedendo l'origine (la fonte) da cui era stato acquisito quel numero di telefono.
- La Risposta Incompleta: Spinbridge fornisce un riscontro autonomo parziale e omette di trasferire l'istanza al Titolare (Europa Factor), violando gli accordi contrattuali che imponevano la notifica entro due giorni.
- La Contraddizione Sanzionata: Il debitore, insoddisfatto, si rivolge direttamente al Titolare (Europa Factor) chiedendo la stessa cosa. Europa Factor, del tutto all'oscuro dell'arricchimento operato dal suo Responsabile (poiché quest'ultimo non aveva aggiornato la scheda nei report periodici), risponde per iscritto: "quel numero di telefono non è presente nei nostri sistemi e non lo abbiamo mai comunicato a Spinbridge".
Il Garante ha rilevato come questa asimmetria informativa abbia violato la trasparenza e l'esattezza dei dati, poiché il Titolare dichiarava formalmente di non possedere un dato che il suo Responsabile stava attivamente utilizzando per suo conto per effettuare solleciti di pagamento.
ANALISI DELLE MANCANZE E DEGLI ERRORI
L'analisi dei due provvedimenti mette in luce gravi carenze organizzative e interpretative su entrambi i lati del rapporto di esternalizzazione.
1. Le violazioni del Titolare (Europa Factor S.p.A.)
Europa Factor è stata sanzionata con 50.000,00 Euro per la violazione degli articoli 5, par. 1, lett. a) e d), par. 2, e 24 GDPR. Le sue mancanze principali sono state:
- La delega in bianco della conformità: La società ha ritenuto che l'affidamento delle attività a un responsabile specializzato la esonerasse dalle verifiche concrete sulle modalità di trattamento dei dati dei debitori. Il Garante ribadisce che sul Titolare grava una "responsabilità generale" ex art. 24 GDPR che non può essere ignorata o gestita (spostata) con un contratto.
- L'assenza di vigilanza sistematica (Controlli "all'occorrenza"): Europa Factor ha ammesso di effettuare verifiche e ispezioni sui propri partner solo "all'occorrenza". Il Comitato Europeo per la Protezione dei Dati (EDPB) nelle sue Linee Guida 07/2020 chiarisce invece che sussiste un obbligo permanente e proattivo di verificare il rispetto delle istruzioni "ad intervalli adeguati".
- Mancanza di Audit predefiniti e Alert di sicurezza: All'epoca dei fatti, il Titolare non disponeva di un piano di audit periodico strutturato né di alert informatici idonei a intercettare anomalie nei report di lavorazione trasmessi dalle agenzie di recupero (es. mancato allineamento sulle fonti dei numeri o sulla pendenza di reclami dei debitori).
2. Le violazioni del Responsabile (Spinbridge S.p.A.)
Spinbridge è stata sanzionata con 30.000,00 Euro (ridotta grazie al basso fatturato e all'adozione successiva di misure correttive) per la violazione dell'articolo 28, par. 3, lett. a), e) ed h) GDPR. Le sue colpe sono state simmetriche e altrettanto gravi:
- Mancata condivisione delle fonti e dei dati arricchiti: La società ha omesso di trasmettere al Titolare il numero acquisito esternamente e la relativa fonte di provenienza, venendo meno all'obbligo generale di reportistica e aggiornamento costante delle anagrafiche dei lotti.
- Omessa notifica delle istanze degli interessati: Ha gestito in completa autonomia l'istanza ex Art. 15 GDPR del Sig. XX, senza comunicarla a Europa Factor entro le 48 ore previste dal contratto di servizio. Questa "separazione" ha indotto il Titolare a rendere dichiarazioni inesatte e contraddittorie all'interessato.
- Mancata assistenza al Titolare: Il Responsabile ha violato l'obbligo diretto di cui all'Art. 28, par. 3, lett. e) GDPR, che gli impone di assistere materialmente il Titolare, con misure tecniche e organizzative adeguate, nell'evasione dei diritti degli interessati.
IL CORTOCIRCUITO DIFENSIVO: LA TESI BOCCIATA DAL GARANTE
Un aspetto che a mio parere è di estremo interesse risiede nell'incredibile tesi difensiva avanzata da Spinbridge e, ça va sans dire, categoricamente respinta dal Garante.
Spinbridge ha sostenuto che la mancata trasmissione del numero arricchito (e della sua fonte) a Europa Factor fosse un atto volto a tutelare la privacy del debitore. Secondo l'agenzia, poiché il debitore aveva chiesto di non utilizzare più quel recapito in futuro, riversare il dato nei sistemi del Titolare avrebbe comportato il rischio che Europa Factor (o altri responsabili in lotti successivi) potesse reimpiegarlo illegittimamente.
Ricorda quei callcenter che ti chiamano e, alla domanda "chi le ha dato il mio numero?", rispondono "non possiamo dirlo perchè c'è la privacy!" Geniale.
La posizione del Garante: L'Autorità ha definito questa condotta come negligente e illecita. Il Responsabile non ha alcun potere di stabilire autonomamente quali dati siano "utilizzabili" o debbano essere nascosti al Titolare. Ai sensi dell'Art. 28 GDPR:
- Il Responsabile opera esclusivamente sotto la direzione e le istruzioni del Titolare.
- Il Titolare deve disporre della visibilità totale e trasparente di tutte le informazioni raccolte ed elaborate per suo conto, comprese le contestazioni e le opposizioni sollevate dai debitori, per poter adempiere al principio di Accountability.
- Nascondere dati omettendoli dai flussi di reportistica ordinaria per finalità "autonome" (seppur ritenute benevole) configura una violazione diretta del mandato e dei principi di esattezza e liceità.
LE MISURE DI COMPLIANCE SUGGERITE E IMPLEMENTATE
Per sanare l'illiceità dei trattamenti ed evitare il blocco delle attività, il Garante ha evidenziato le misure correttive e organizzative che le parti hanno dovuto implementare nel corso del procedimento. Questo è il vero cuore dell'articolo e funge da linea guida per chiunque esternalizzi (o assuma per conto terzi) l'attività di recupero crediti:
- Riconfigurazione dei Flussi di Data Enrichment (Rapporti di Forza): Le parti hanno radicalmente modificato il flusso operativo. La nuova prassi prevede che l'attività di aggiornamento/arricchimento dei dati di contatto dei debitori sia effettuata direttamente dal Titolare (Europa Factor) e non più dal Responsabile. Se l'agenzia di recupero non trova un contatto utile, restituisce temporaneamente la posizione al Titolare, il quale esegue l'arricchimento a monte e restituisce il dato aggiornato e validato al Responsabile. In ottica critica, questa misura trasforma il provider di recupero crediti in un mero call-center. Nella prassi quotidiana, le aziende efficienti, sono tali proprio perché hanno accesso a risorse sconosciute al titolare del credito.
- Standardizzazione della Procedura di Gestione dei Responsabili: Adozione di una linea guida interna per il monitoraggio permanente degli agenti esterni, che includa:
- Questionari di conformità periodici (almeno su base annuale).
- Piani di Audit annuali strutturati (documentali e in loco), con intensificazione dei controlli in caso di anomalie.
- Canali di alert specifici in caso di ricezione di reclami o data breach.
- Integrazione del "Questionario Monitoraggio ADR": Obbligo per il Responsabile di fornire, per ogni posizione lavorata, un riscontro dettagliato contenente la tracciabilità analitica di tutti i dati raccolti, l'esatta origine (fonte) di ciascun recapito telefonico o e-mail utilizzato e l'eventuale tracciamento di istanze o contestazioni verbali avanzate dall'interessato.
- Sistemi di Workflow Management in Tempo Reale: Integrazione di piattaforme tecnologiche condivise tra Titolare e agenzia che consentono una reportistica e una visibilità dei log in tempo reale, abbattendo il rischio di disallineamento informativo.
UN PIANO D'AZIONE
Chi vuole far tesoro dell'esperienza altrui, può iniziare applicando un piano d'azione che copra i punti toccati dai provvedimenti del Garante che, a mio parere, sono ampiamente trasponibili in qualsiasi realtà aziendale.
Piano di Adeguamento interno:
- Azione 1 - Censimento dei canali di arricchimento dati: mappare tutte le fonti esterne e i broker da cui sono acquisiti recapiti telefonici o indirizzi e-mail per i solleciti. Divieto di inserire nel gestionale dati di contatto la cui origine non sia formalmente registrata ed associata alla singola pratica e ad una singola fonte autorizzata.
- Azione 2 - Allineamento dei flussi di Reportistica (SAL): I flussi informativi periodici (settimanali) devono includere tassativamente qualsiasi nuovo recapito acquisito e l'indicazione esatta della fonte. Non è lecito trattenere informazioni dicendo che sono "ad uso interno".
- Azione 3 - Procedura d'urgenza per l'Esercizio dei Diritti (Art. 15-22): istruire tutti gli operatori affinché, in caso di contestazione o richiesta di accesso da parte di un debitore (es. "come avete avuto il mio numero?"), la richiesta venga registrata e trasmessa al committente entro 24 ore, astenendosi dal fornire riscontri autonomi non concordati con il Titolare.
- Azione 4 - Proposta di revisione contrattuale (Manleva Tecnica): Nei contratti di servizio, è necessario proporre l'inserimento di una clausola in cui si specifichi che, qualora la il committente decida di lasciar autonomia di arricchimento dei dati, esso si impegna a validare periodicamente le fonti e a condurre audit di conformità, garantendo il rispetto del principio di Accountability bilaterale.
"Piccolo spazio pubblicità..."
Questo è proprio il genere di cose che facciamo ogni giorno in studio e che, come DPO, seguo da una vita. Be my guest!
Su questo blog ci sono altri 203 articoli.
Esplora, cerca, curiosa in giro...
Grazie per il tuo tempo. Se ti è piaciuto l'articolo o ti ha dato spunti utili, prendi in considerazione l'idea di sostenere il mio lavoro.
Puoi farlo in tre modi:
- Condividendo sui tuoi social. Così facendo aiuterai altre persone a trovarlo.
- Dicendomi cosa ne pensi, mi aiuterai a migliorare,
- Con una donazione. Aiuterai me a dedicare tempo al Blog.
Un messaggio speciale per i colleghi professionisti della privacy: il confronto è essenziale per migliorarsi, fammi sapere la tua opinione. Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ti ha ispirato nell'ambito di una riunione? Ti ha agevolato nella stesura di un parere? O, semplicemente, ti ha evitato un brutto scivolone con un cliente?
Se la risposta è sì... allora una birra virtuale è d'obbligo!
Clicca qui per inviare una donazione
...un caffè, una birra, una pizza, una cena elegante...





