Provvedimento del 28 maggio 2026 [10270283]
Provvedimento del 28 maggio 2026 [10270283]
VEDI ANCHE Newsletter del 16 luglio 2026
[doc. web n. 10270283]
Provvedimento del 28 maggio 2026
Registro dei provvedimenti
n. 386 del 28 maggio 2026
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il dott. Luigi Montuori, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);
VISTO il d.lgs. del 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. del 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Agostino Ghiglia;
PREMESSO
1. Premessa.
In data 11 agosto 2022, è pervenuta al Garante la segnalazione del Sig. XX, con la quale lo stesso ha lamentato un illecito trattamento dei propri dati personali utilizzati per finalità di recupero crediti da parte di Spinbridge S.p.A. (già Euro Service S.p.A. e successivamente Zolva S.p.A.) e di Europa Factor S.p.A.
In particolare, il segnalante ha ivi riferito che Spinbridge S.p.A. avrebbe utilizzato, in tale contesto, un’utenza telefonica a sé intestata che non sarebbe stata mai comunicata dall’interessato, quale dato di contatto, a quest’ultima.
Tanto premesso, quanto sopra riportato va ricondotto nel più ampio quadro degli accadimenti di seguito descritti:
- in data 9 agosto 2021, il Sig. XX ha segnalato all’Autorità di aver avanzato, il 21 giugno 2021, un'istanza di esercizio di diritti, nei confronti di Euro Service S.p.A. (ora Spinbridge S.p.A.) − società di recupero crediti che riteneva di “vantare nei [suoi] confronti un credito” −, al fine di conoscere l’origine del dato di contatto relativo all'utenza XX; utenza che, sebbene intestata allo stesso, non sarebbe mai stata nella sua disponibilità (cfr. atto di reclamo del 9 agosto 2021);
- con la nota di riscontro resa il 21 luglio 2021 da Euro Service S.p.A. (ora Spinbridge S.p.A.), quest’ultima ha rappresentato che il trattamento dei dati concernenti il segnalante era stato effettuato in ragione dell’incarico ricevuto da Europa Factor S.p.A. (in qualità di committente) al fine di gestire, nonché recuperare un credito −concernente tra l’altro un contratto di fornitura posto in essere con Acea Energia S.p.A.− vantato da Europa Factor S.p.A. nei confronti dell’interessato (cfr. nota del 21 luglio 2021);
- in virtù di quanto sopra rilevato, in data 25 novembre 2021, e nuovamente il 31 marzo 2022, l’Autorità ha fornito alcuni chiarimenti all’interessato in ordine ai diritti esercitabili (e alle modalità di esercizio degli stessi) alla luce della disciplina vigente in materia di protezione dei dati personali; ciò anche al fine di consentire allo stesso di formulare la sopra citata istanza nei confronti del titolare del trattamento oggetto di contestazione, ossia, nella fattispecie, Europa Factor S.p.A. (cfr. note del 25 novembre 2022 e del 31 marzo 2022);
- a fronte dei suddetti chiarimenti, il Sig. XX ha quindi rappresentato di aver chiesto, in data 4 luglio 2022, a Europa Factor S.p.A. “di confermare di aver essa reperito il numero di telefono XX e quindi di averlo trasferito, unitamente al credito, alla EURO SERVICE Spa e di fornire in caso di risposta affermativa, la fonte dalla quale abbia a sua volta ottenuto il numero telefonico sopraddetto [e] in caso di risposta negativa di esplicitarla in modo chiaro” (v. comunicazione del 5 agosto 2022);
- il 10 agosto 2022, la Società nel fornire riscontro al segnalante ha dato conferma che “Europa Factor S.p.A. aveva affidato, in forza di specifici incarichi di gestione stragiudiziale dei crediti, l’attività di recupero stragiudiziale del sopracitato credito a Euro Service S.p.A. [ora Spinbridge S.p.A.], la quale è stata nominata a tal fine responsabile del trattamento dei dati personali” e al contempo, in merito al numero telefonico XX, ha precisato che “tale numero non risulta[va] presente nei (..) sistemi e, pertanto, conferm[ava] che lo stesso non poteva essere comunicato alla Società incaricata, Euro Service S.p.A. [ora Spinbridge S.p.A.]”. Con la medesima comunicazione Europa Factor S.p.A. ha inoltre informato il segnalante dell’avvenuta rinuncia alla relativa pretesa creditoria da parte della stessa facendo presente che i dati personali riferiti al Sig. XX sarebbero stati pertanto “conservati presso gli archivi separati ad accesso limitato per le sole finalità connesse all’adempimento degli obblighi di legge spettanti ad Europa Factor S.p.A.” (cfr. nota del 10 agosto 2022);
- in ragione di quanto complessivamente riportato da entrambe le sopra menzionate Società, il Sig. XX, con comunicazione trasmessa via e-mail l’11 agosto 2022, ha rilevato talune incongruenze nei riscontri forniti dalle medesime in ordine all’origine del dato di contatto oggetto di contestazione nel caso di specie, segnalando al riguardo presunti profili di illiceità in merito al trattamento dei dati personali dei debitori posto in essere dalle stesse nell’ambito delle svolgimento delle attività di recupero crediti (cfr. comunicazione dell’11 agosto 2022).
2. Gli elementi acquisiti in sede istruttoria.
Preso atto delle istanze avanzate dal Sig. XX e tenuto conto in particolare della segnalazione al riguardo dell’11 agosto 2022, questo Ufficio ha avviato un’attività istruttoria, ai sensi dell’art. 20 del Regolamento del Garante n. 1/2019, volta ad acquisire informazioni e chiarimenti in ordine ai fatti oggetto di contestazione, nonché a verificare le modalità di trattamento dei dati personali (nello specifico quelli di contatto) dei debitori adottate da Europa Factor S.p.A. e Spinbridge S.p.A. nell’ambito dello svolgimento di attività di recupero crediti .
Tutto ciò, effettuando, innanzitutto, alcuni accertamenti in loco presso Spinbridge S.p.A., l’11 luglio 2023. Nel corso degli stessi è stato constatato quanto segue:
- “in data 9 febbraio 2022 Euro Service S.p.A. (..) veniva ceduta interamente alla Zolva Service Co S.arl”, cambiando poi denominazione in Zolva Spa (ora Spinbridge S.p.A.);
- all’epoca dei fatti, la predetta Società “aveva in essere con la Europa Factor S.p.A. un contratto per il servizio di Gestione e recupero crediti stragiudiziale” (cfr. All. 4 al verbale dell’11 luglio 2023, pag. 3). Lo stesso prevedeva “la gestione di un portafoglio pratiche secondo precisi “lotti di affido” e “lettere di incarico” sulla base di crediti vantati da diversi creditori originari” (tra i quali Acea Energia S.p.A.). Sul punto, Spinbridge S.p.A. ha rappresentato che “il committente generalmente invia dei “lotti” di posizioni debitorie alla società” consistenti in “una serie di file contenenti liste di anagrafiche di clienti/Debitori. I dati anagrafici possono essere più o meno completi secondo i dati ad origine in possesso della Europa Factor Spa e in genere sono il codice di riferimento del credito originario (codice cliente), nome e cognome, codice fiscale, indirizzo di riferimento dell’utenza (residenza o punto di fornitura), indirizzo mail, numeri di telefono ecc.” (cfr. verbale dell’11 luglio 2023, pag. 4);
- con specifico riguardo al caso di specie, “il lotto (n. 3) [comprensivo della posizione debitoria del Sig. XX] è stato affidato alla società in data 19 gennaio 2021 (..) con data di restituzione 28 febbraio 2022”, in virtù del contratto di cui sopra, sottoscritto tra Spinbridge S.p.A. e Europa Factor S.p.A. in data 11 marzo 2020 (cfr. verbale dell’11 luglio 2023, pagg. 2 e 3);
- in tale contesto, Spinbridge S.p.A. ha agito in qualità di responsabile ex art. 28 del Regolamento per conto di Europa Factor S.p.A., come previsto dall’Allegato 1 al sopra menzionato Contratto recante la “Nomina a responsabile del trattamento di dati personali ai sensi del regolamento (UE) 2016/679” (cfr. verbale dell’11 luglio 2023, pag. 3);
- a fronte dell’accesso effettuato al gestionale aziendale, “è [stata] visualizzata la pagina contenente i dati personali dell’interessato”, ove è risultato presente anche l’informazione relativa al numero XX; numero che “è [risultato essere] stato contattato la prima volta in data 07 giugno 2021” (verbale dell’11 luglio 2023, pag. 4);
- il dato di contatto del debitore, oggetto di contestazione, non era invero ricompreso tra quelli trasmessi dal titolare del trattamento (ovvero Europa Factor S.p.A.) in occasione dell’affidamento dell’incarico, bensì era stato acquisito da Spinbrdige S.p.A., in epoca successiva, per il tramite di un fornitore esterno. In particolare “dall’accesso al database, [è emerso] che l’anagrafica dell’interessato è stata creata in data 26 gennaio 2021 (..) ed era costituita, inizialmente, dal nome, cognome, codice fiscale e dall’indirizzo di residenza” e che “il numero XX è stato inserito in un momento successivo, è cioè il 7 giugno 2021” da un’incaricata del call center della Società che lo ha “inserito manualmente in quanto non faceva parte dell’insieme dei dati trasmessi dal titolare del trattamento” (cfr. verbale dell’11 luglio 2023, pagg. 4 e 5);
- da ultimo, con specifico riguardo alle modalità di reperimento del dato di contatto in questione, Spinbridge S.p.A. ha precisato che lo stesso “è stato acquisito tramite il fornitore esterno SERVIZISICURI.COM S.r.l” in data 7 maggio 2021; tutto ciò in quanto la società opera su dati forniti dalla mandante come stabilito dalle condizioni contrattuali, ma “nel caso in cui [gli stessi] non siano sufficienti per avere un contatto con il debitore, nel rispetto del provvedimento del Garante del 2005, la società procede alla verifica e all’acquisizione di numerazioni alternative tramite la consultazione di banche dati pubbliche o provider di informative commerciali dotati di licenza ex art. 134 TULPS” (cfr. verbale dell’11 luglio 2023, pag. 6).
Alla luce di quanto emerso nel corso dei predetti accertamenti, sono state avanzate tre richieste di informazioni, ai sensi dell’art. 157 del Codice, nei confronti di Europa Factor S.p.A. (v. la nota del 22 dicembre 2023, e cfr. le successive note rispettivamente del 21 maggio 2024 e del 12 novembre 2024), al fine di acquisire alcuni chiarimenti in ordine al trattamento oggetto di esame.
In merito, con le note di riscontro trasmesse in data 23 gennaio 2024, nonché il 20 giugno 2024 e il 13 dicembre 2024, la stessa ha fornito le seguenti precisazioni:
- Europa Factor S.p.A. è un intermediario finanziario ex art. 106 del TUB (Testo Unico Bancario) che effettua trattamenti di dati personali, “in qualità di titolare del trattamento, per le finalità connesse all’attività di recupero dei crediti acquistati in forza di contratti di cessione dei crediti pro soluto sottoscritti con le società cedenti. Per la gestione e il recupero delle posizioni debitorie Europa Factor S.p.A. si avvale di società titolari di licenza ai sensi dell’art. 115 T.U.L.P.S. (Testo Unico delle Leggi di Pubblica sicurezza- R.D. 18 giugno 1931, n. 773 e successive modifiche ed integrazioni) disciplinando il rapporto tramite apposito contratto e nomina a responsabile del trattamento dei dati ex art. 28 del GDPR” (cfr. nota del 24 gennaio 2024, pag. 1; ma v. anche nota del 20 giugno 2024, pag. 1);
- più nello specifico, per quanto concerne i fatti segnalati dal Sig. XX, la predetta Società “a seguito dell’intervenuta cessione dei crediti da parte di Acea Energia S.p.A., in data 15/12/2020, ha acquistato il credito (..) relativo alla posizione intestata a [quest’ultimo]” e ha successivamente “affidato in data 19/01/2021 l’attività di recupero stragiudiziale del suddetto credito a Euro Service S.p.A. [ora Spinbridge S.p.A.], comunicando all’uopo i dati personali anagrafici e contabili necessari ad una corretta gestione della posizione debitoria”. Tutto ciò in forza “dell’incarico di gestione stragiudiziale dei crediti perfezionato in data 11/03/2020 con Euro Service S.p.A. [ora Spinbridge S.p.A.], la quale a tal fine è stata nominata responsabile del trattamento dei dati personali ex art. 28 GDPR” (v. nota del 23 gennaio 2024, pag. 1);
- il menzionato Contratto per il Servizio di gestione e Recupero di crediti (di seguito “Contratto di servizio”) – avente “l’obiettivo di definire le attività e i relativi trattamenti dei dati personali da affidare alle società terze” − stabilisce “l’oggetto dell’incarico, nonché le attività affidate alle suddette società, fornendo al contempo idonee istruzioni e linee guida da seguire nell’esecuzione dell’incarico ricevuto” (v. nota del 20 giugno 2024, pag. 2);
- Europa Factor S.p.A., in qualità di titolare del trattamento, ha fornito a Spinbridge S.p.A. le “istruzioni in relazione alle attività di trattamento dei dati personali dei debitori [e] alle modalità operative da rispettare nello svolgimento del servizio” rinvenibili nel predetto Contratto di Servizio, nonché nel relativo Allegato 1, recante la designazione a Responsabile del trattamento di Spinbridge S.p.A. (v. nota del 23 gennaio 2024, pag. 2);
- in ordine alla previsione di attività di controllo in merito all’operato dei fornitori/responsabili (tra i quali è ricompresa anche Spinbridge S.p.A.), nominati ai sensi dell’art. 28 del Regolamento, la Società “una volta valutate in eligendo le garanzie prestate (..) [si riserva comunque] di disporre, all’occorrenza, ogni opportuna verifica atta a valutare la conformità del trattamento dei dati alle istruzioni impartite” (cfr. nota del 23 gennaio 2024, pag. 2);
- fermo restando quanto sopra, per verificare la idoneità del servizio offerto, Europa Factor S.p.A. si avvale di “prassi operative che prevedono il monitoraggio ongoing sull’andamento dell’incarico, attraverso lo scambio di comunicazioni durante il periodo di affido, con cui i fornitori trasmettono aggiornamenti circa lo stato di avanzamento dei lavori riguardanti le posizioni debitorie affidate in loro gestione [ivi compreso il report di chiusura della lavorazione]” (v. nota del 20 giugno 2024, pag. 2). Sulla base della suddetta prassi, qualora “dai suddetti report periodici emergano anomalie, Europa Factor S.p.A. si adopera per ottenere una relazione dettagliata [nonché le evidenze delle attività di gestione della pratica interessata] dalla società incaricata, peraltro obbligata contrattualmente a comunicare alla scrivente società ogni reclamo o istanza ricevuta dal debitore/interessato [e] ogni informazione utile a fornire un opportuno riscontro” (cfr. nota del 13 dicembre 2024, pag. 2);
- nel corso dell’incarico ricevuto, pertanto, Spinbridge S.p.A. “ha fornito periodici aggiornamenti sullo stato di lavorazione delle posizioni affidate, (..), tra le quali veniva inclusa anche la posizione oggetto di reclamo da parte del Sig. XX”. All’esito di tali comunicazioni non sono stati riscontrati “elementi di anomalia che richiedessero interventi da parte di Europa Factor S.p.A.” (v. nota del 20 giugno 2024, pag. 2). Ciò in quanto, dall’esame dei predetti report, non sono emerse “segnalazioni sull’impossibilità di procedere al recupero della posizione creditoria in oggetto per incompletezza dei dati ricevuti, ricezione di reclami, contestazioni, o richieste di esercizio dei diritti; e non viene mai dato atto, ai fini del rintraccio, dell’utilizzo di altra numerazione telefonica, né risultavano anomalie in ordine al modus operandi del fornitore” (v. nota del 13 dicembre 2024, pag. 2);
- in particolare, con specifico riferimento all’attività di assistenza che, ai sensi dell’art. 28, par. 1 , lett. e) del Regolamento, il responsabile è tenuto porre in essere al fine di consentire al titolare del trattamento di soddisfare le richieste per l’esercizio dei diritti degli interessati, il titolare ha previsto, nell’art. 10 del sopra menzionato Contratto di servizio, l’obbligo di comunicazione nei propri confronti da parte delle società fornitrici (tra cui è ricompresa anche Spinbridge S.p.A.) di “qualunque reclamo espresso dalla clientela riconducibile all’erogazione del Servizio ed in particolare ogni richiesta relativa all’esercizio dei diritti in tema di protezione dei dati personali da parte degli interessati e comunicazione ricevuta da qualsiasi autorità di vigilanza, in relazione ai dati personali” (v. nota del 20 giugno 2024, pag. 2);
- sul punto, Europa Factor S.p.A. ha rappresentato che l’unica richiesta di accesso, ex art. 15 del Regolamento, riferita all’interessato di cui ha avuto contezza è quella pervenuta direttamente alla stessa, in data 4 luglio 2022, ad affido ormai terminato e in assenza di altre precedenti comunicazioni. In riscontro alla stessa “considerato che nella richiesta l’interessato chiedeva specificatamente la provenienza del numero di telefono “XX” (..) si rendeva noto [a quest’ultimo] che Europa Factor S.p.A. non era mai stata in possesso del numero telefonico segnalato” (v. nota del 20 giugno 2024, pag. 3 e nota del 13 dicembre 2024, pag. 2);
- in seguito, Europa Factor S.p.A. “non ha più proseguito con ulteriori lavorazioni e azioni di recupero stragiudiziale del credito riferito alla suddetta posizione” (v. nota del 23 gennaio 2024, pag. 2).
Da ultimo, è stata quindi avanzata da codesta Autorità, il 12 novembre 2024, nei confronti di Spinbridge S.p.A. una ulteriore richiesta di informazioni, a fronte della quale, quest’ultima, in data 11 dicembre 2024, ha dato conferma che nell’ambito dell’espletamento dell’incarico conferitole le comunicazioni intercorse con il titolare hanno avuto ad oggetto i soli “SAL [ossia i Report di Stato Avanzamento Lavori]” che per prassi e secondo gli accordi intercorsi con la mandante, comprendevano, (..), tutte le pratiche facenti parte del relativo lotto di affido” e che venivano “inviati [dalla stessa] periodicamente ad Europa Factor”.
La predetta Società ha, altresì, precisato che “quanto alla loro natura, i file [recanti i predetti report] erano indicatori pro forma, [che fungevano] da indicatori base di performance” per la committente e che l’invio degli stessi ha avuto luogo “fino al 28/2/2022, data di scadenza dell’affido di cui faceva parte la pratica in questione (cfr. nota del’11 dicembre 2024, pag. 3 e relativi allegati recanti i report prodotti nel periodo ricompreso tra maggio 2021 e febbraio 2022).
3. La notifica delle violazioni e le memorie difensive.
A seguito della notifica delle presunte violazioni di cui all’art. 5, par. 1, lettere a) e d) e agli artt. 5 par. 2 e 24 del Regolamento, trasmessa a Europa Factor S.p.A. con comunicazione del 7 aprile 2025, la Società, con nota del 7 maggio 2025 e successive integrazioni del 26 settembre 2025, ha fatto pervenire i propri scritti difensivi.
Nell’ambito delle sopra menzionate memorie, Europa Factor S.p.A. ha rappresentato quanto di seguito riportato:
a) in ordine all’asserita violazione dell’art. 5, par. 1, lettere a) e d), del Regolamento, la stessa è da ricondurre “unicamente alle condotte poste in essere, in totale autonomia [dal responsabile] e al di fuori del perimetro di trattamento dei dati definito da Europa Factor S.p.A.”, come “accettato da [Spinbridge S.p.A.] in sede contrattuale”. Invero, la Società ha fornito a quest’ultima le istruzioni in relazione alle attività di trattamento dei dati personali dei debitori e all’eventuale aggiornamento di tali dati, nonché alle modalità operative da rispettare nello svolgimento dell’incarico, declinandole negli artt. 4 e 10 del Contratto di servizio e nell’Allegato 1 di tale Contratto recante l’atto di nomina a responsabile del trattamento di Spinbridge S.p.A. Tutto ciò, “unitamente alla riferita non conoscenza del dato personale che ha dato origine alla contestazione in argomento [del cui utilizzo Spinbridge S.p.A. non ha mai dato atto al titolare], esclude, in nuce, (..), la (..) responsabilità di Europa Factor ex art. 5, par. 1, lett. a) e d) del RGDP” (cfr. nota del 7 maggio 2025, pagg. 6 e 7);
b) in merito all’inadeguatezza dei controlli posti in essere dalla Società, quest’ultima “ha attivato, nel periodo di interesse, specifiche misure di (..) presidio dell’attività del Responsabile in materia di trattamento dei dati personali, non riscontrando, in esito alle verifiche svolte, valutate anche le informazioni acquisite da Euro Service [ora Spinbridge S.p.A.], alcuna anomalia o segnale alert che potesse prefigurare criticità” (cfr. nota del 7 maggio 2025, pag. 10).
Più nello specifico, Europa Factor S.p.A. ha rappresentato che la stessa svolge attività di controllo:
- sia “in eligendo, ossia verificando la compliance dei responsabili al fine di accertare la sussistenza delle garanzie fornite dai medesimi in ordine al rispetto della normativa in materia di protezione dei dati personali”;
- sia “durante il rapporto contrattuale –in vigilando– attraverso l’implementazione di specifici presidi di controllo” (cfr. nota della Società del 7 maggio 2025, pagg. 7 e 8);
c) rispetto a quanto riportato al punto di cui sopra, con particolare riguardo alle attività svolte dalla Società “in eligendo” nel caso in esame, “in sede di affidamento dell’incarico, è stata acquisita (..) da [Spinbridge S.p.A.] la dichiarazione in ordine alle misure tecniche organizzative adottate dal responsabile del trattamenti dei dati” (v. All. 4 alla nota del 7 maggio 2025). Per quanto concerne invece i c.d. controlli “in vigilando”, si tratta di presidi, che, come puntualizzato dalla Società hanno interessato anche Spinbridge S.p.A. e che di regola ricomprendono: 1) la compilazione da parte del fornitore di un documento di controllo −predisposto anche da Spinbridge S.p.A. in data 29 luglio 2021 e denominato “Lista di controllo sugli standard di sicurezza”− ove sono riportati “i controlli di sicurezza delle informazioni che Europa Factor S.p.A. si aspetta vengano messi in atto dai propri fornitori e partner commerciali quando questi ultimi vengono incaricati della gestione dei dati personali di Europa Factor S.p.A. (in particolare, in qualità di responsabili del trattamento)” (v. All. 5 alla nota del 7 maggio 2025), cui segue una fase di revisione dello stesso da parte della Funzione preposta all’Internal Audit al fine di valutare la necessità o meno di effettuare verifiche in loco; 2) il “monitoraggio continuo delle posizioni creditorie affidate attraverso l’acquisizione e la valutazione dei flussi informativi acquisiti dal Responsabile in ordine all’attività di recupero stragiudiziale condotta”; 3) l’attuazione di specifici “piani di audit pianificati dalla Funzione di Revisione interna [che] hanno riguardato anche i processi di recupero affidati [ai responsabili]” (cfr. nota del 7 maggio 2025, pagg. 8 e 9).
A tale ultimo proposito, la Società ha fatto presente di aver effettuato nel 2021 (nella fattispecie nel periodo ricompreso tra il mese di maggio 2021 e il mese di dicembre 2021), sulla base delle informazioni rese −anche attraverso la compilazione del sopra citato documento di controllo− da cinque Agenzie di recupero credito, selezionate a campione, un audit sulle “misure di sicurezza adottate nelle sedi lavorative e sulle infrastrutture informatiche finalizzate a garantire la riservatezza, l’integrità e la disponibilità dei dati”. Le analisi, ivi condotte, hanno riguardato anche Spinbridge S.p.A. e all’esito delle stesse non sono state riscontrate anomalie nei confronti di quest’ultima (cfr. nota del 7 maggio 2025, pagg. 9 e 10 e All. 6 l’Audit Report n. 5/2021 del 27 dicembre 2021).
Infine, per quanto concerne gli ulteriori presidi sopra citati, è stato evidenziato che “nel corso del periodo 19 maggio 2021 – 15 gennaio 2022, sono stati acquisiti [da Spinbridge S.p.A.] n. 20 flussi informativi, dai quali (..) emergevano solo informazioni di carattere generico attinenti allo stato della lavorazione della posizione (..) (e, quindi, non il contatto telefonico del dott. XX oggetto della contestazione)” (cfr. nota del 7 maggio 2025, pag. 9);
d) con riguardo alle iniziative di recente adottate nell’ottica di potenziare le attività di controllo nei confronti di Spinbridge S.p.A. e, più in generale, degli altri responsabili ex art. 28 del Regolamento coinvolti nel trattamento nell’ambito delle attività di recupero crediti, la Società, ha infine dichiarato di aver “attivato un processo di implementazione delle proprie procedure, [nonché di aggiornamento] di alcuni documenti [già] utilizzati”, attraverso l’adozione di alcune misure correttive, quali in particolare:
- un’attività di revisione dei modelli di nomina di responsabile del trattamento, nella prospettiva di rendere ancora più esplicito il perimetro e le condizioni delle attività di trattamento dei dati personali affidati ai responsabili e di fornire le indicazioni in ordini agli obblighi di comunicazione a carico di quest’ultimi ancora più strutturate (v. nota del 7 maggio 2025, pag. 13);
- l’implementazione di una procedura di carattere operativo, denominata “Gestione dei responsabili del trattamento”, approvata in data 24 settembre 2025, riferita anche ai casi in cui l’esternalizzazione delle attività di recupero crediti comporti l’affidamento ad un soggetto esterno. In particolare, il documento in questione “è concepito come guida operativa ad hoc” che ha come obiettivo quello di ripercorrere in un'unica procedura tutte le fasi operative volte a concretizzare in modo accountable quanto previsto dall’art. 28 del Regolamento. Ciò sia a livello generale, con riferimento (v. sezione n. 5 “Fasi operative di gestione dei responsabile del trattamento” della Procedura citata) a tutte le possibili categorie di responsabili del trattamento, sia con un’attenzione specifica ai fornitori esterni coinvolti nelle attività di gestione e recupero crediti (v. sezione n. 6 “Gestione dell’esternalizzazione delle attività di trattamento nell’ambito del recupero crediti” della Procedura citata). Più nel dettaglio, la stessa “partendo dalla verifica dei presupposti per la designazione del fornitore quale responsabile del trattamento, (..) guida nelle attività di verifica delle garanzie prestate dal responsabile in fase precontrattuale sino al perfezionamento del vero e proprio atto di nomina ai sensi dell’art. 28 RGPD” (cfr. nota del 26 settembre 2025, pagg. 2 e 3). Al contempo, la procedura descrive in modo puntuale le attività di controllo “in vigilando” da porre in essere al fine di verificare la conformità dell’operato del responsabile rispetto a quanto previsto dal contratto, dalle istruzioni rese dal titolare e dalla normativa di riferimento. In tale ambito, sono ricompresi: 1) i questionari di verifica “trasmessi periodicamente, almeno su base annuale” mediante i quali “vengono richieste informazioni in merito alla compliance del Responsabile”; 2) la predisposizione di un “piano annuale di audit (in presenza o a distanza) volto a raccogliere evidenze documentali che supportino gli esiti dei questionari di verifica. Tale piano viene strutturato o intensificato anche alla luce degli esiti dei questionari di verifica ovvero in virtù di esigenze che dovessero emergere dalla gestione di casistiche specifiche (di cui al successivo punto n. 3); 3) Controlli [specifici] e richieste ad hoc, nel caso in cui vengano rilevate o emergano anomalie nel trattamento dei dati affidati al Responsabile (come, ad esempio, l’esercizio dei diritti in materia di protezione dei dati personali da parte dell’interessato o la violazione di dati personali)” (cfr. sezione 5.4 “Verifica periodica della compliance del Responsabile del trattamento” della Procedura citata). Inoltre, nella ulteriore sezione, sopra menzionata, dedicata allo specifico profilo della “Gestione della esternalizzazione delle attività di trattamento nell’ambito del recupero crediti”, sono previsti controlli aggiuntivi; ciò in considerazione della peculiarità di tali flussi di dati (che ricomprendono oltre al dettaglio degli importi che risultano insoluti, anche quelli identificativi e di contatto connessi alle posizioni debitorie) e delle caratteristiche dei trattamenti in questione.
Da ultimo, la Società nell’ambito delle predette memorie difensive, ha altresì indicato, tra gli elementi a proprio favore per l’eventuale determinazione della sanzione amministrativa, alcune misure organizzative già a suo tempo adottate al suo interno (quale l’adozione in data 29 marzo 2021, del Regolamento aziendale “Area Credit Management”, area nell’ambito della quale è stata preposta alla verifica del rispetto della normativa in materia di protezione dei dati personali da parte delle agenzie di recupero crediti una specifica funzione, denominata “ADR Strategy Control”, v. nota del 7 maggio 2025, pagg. 12-13 e v. All.ti nn. 11 e 12); nonché ulteriori iniziative dalla stessa intraprese, in termini generali, rispetto al processo di gestione delle agenzie terze incaricate del recupero dei crediti (si fa riferimento all’audit svolto nel 2024 con lo scopo di verificare l’adeguatezza delle procedure adottate dalla stessa a presidio del processo di recupero esternalizzato affidato alle agenzie terze, e alla recente introduzione di una soluzione tecnologica consistente in una “piattaforma di workflow management [volta a] fornire una reportistica aggiornata in tempo reale” dell’attività svolta dalle agenzie; cfr. nota del 7 maggio 2025, pagg. 10, 13-14 e All. 7 recante l’Audit Report n. 6/2024).
Infine, Europa Factor S.p.a. ha fatto presente di aver approvato, il 29 luglio 2022, il Regolamento “Privacy Policy”, che “descrive il Sistema di Gestione per la Privacy (o “SGP”), ossia l’insieme delle misure di sicurezza organizzative, fisiche e logiche ed i comportamenti da adottare affinché siano rispettati [da Europa Factor S.p.A.] gli obblighi di protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché delle norme relative alla libera circolazione di tali dati, [di cui al Regolamento]” (cfr. Premessa dell’All. 8 alla nota del 7 maggio 2025).
4. L’esito dell’istruttoria: prime osservazioni sul trattamento dei dati personali posto in essere da Europa Factor S.p.A.
In primis, si rappresenta che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.
Tanto doverosamente premesso, occorre osservare preliminarmente che il trattamento dei dati personali del Sig. XX, posto in essere nel caso in esame, è stato effettuato da Europa Factor S.p.A., in qualità di titolare. In tale contesto, Spinbridge S.p.A. ha agito, invece, quale responsabile del trattamento dei dati del debitore ceduto; tutto ciò in virtù del Contratto di servizio sottoscritto dalle Società, in data 11 marzo 2020, e dell’avvenuta designazione in tal senso ivi allegata.
A fronte degli elementi complessivamente acquisiti, nel corso delle menzionate verifiche e delle successive valutazioni svolte dall’Autorità rispetto al quadro sopra indicato, il trattamento dei dati personali dei debitori ceduti posto in essere da Europa Factor S.p.A. (di seguito “Società”), nell’ambito dello svolgimento dell’attività di recupero stragiudiziale del credito, in qualità di titolare, è risultato essere stato effettuato in violazione del Regolamento, per le ragioni di seguito più diffusamente esplicitate.
4.1. Gli obblighi del titolare in caso di affidamento esterno delle attività di recupero crediti.
In via preliminare, si rappresenta che l’attività di recupero crediti “può essere realizzata direttamente dal creditore come pure, nel suo interesse, da terzi, di regola operanti in virtù di contratti di collaborazione (in particolare, attraverso la figura del mandato o dell'appalto di servizi)”. Qualora si configuri quest'ultima ipotesi, come constatato nel caso in esame, “l'attività di recupero crediti è preceduta [innanzitutto] dalla messa a disposizione di dati personali relativi al debitore” (cfr. provv. 30 novembre 2005, doc. web n. 1213644).
Si ritiene al contempo opportuno precisare che, nell’ambito dello svolgimento della predetta attività da parte del soggetto terzo, incaricato dal titolare di effettuare le operazioni di contatto del debitore volte al recupero del credito, possono essere oggetto di trattamento non solo i “dati anagrafici riferiti al debitore, codice fiscale (o partita Iva del medesimo), ammontare del credito vantato (unitamente alle condizioni del pagamento) e recapiti (anche telefonici)” −in quanto dati “necessari all´esecuzione dell´incarico (..) di norma forniti dall´interessato in sede di conclusione del contratto” e poi trasmessi dal creditore al mandatario al momento dell’affidamento dell’incarico− ma anche quelli ulteriori, comunque desumibili, attraverso attività di ricerca effettuate dal predetto soggetto terzo, nel corso del mandato, a fronte della consultazione di banche dati pubbliche/pubblici registri e/o di fonti terze autorizzate, nonché di informazioni raccolte nel normale svolgimento dell’incarico ricevuto (cfr. Provvedimento del Garante del 30 novembre 2005, doc. web n. 1213644).
Ne deriva quindi che, nel contesto delle attività di recupero crediti, i dati utilizzati dal mandatario possono essere spesso, nella pratica, nella esclusiva disponibilità di quest’ultimo, trattandosi di informazioni che non sempre sono fornite direttamente dal creditore, ma che piuttosto sono raccolte autonomamente dal soggetto terzo nel corso dell’incarico (quali, ad esempio, come nel caso di specie, gli ulteriori recapiti del debitore anche telefonici e la fonte degli stessi); tutto ciò, a fronte dell’avvenuto svolgimento, da parte dello stesso, dell’attività di ricerca di cui sopra (ad esempio, qualora sia necessario recuperare, per il compimento delle operazioni di rintraccio, dati di contatto dei debitori e ci si avvalga, a tal fine, di attività investigative, utilizzando i poteri conferiti a taluni soggetti ai sensi dell’art. 134 del Testo unico delle leggi di pubblica sicurezza “TULPS”, R.D. 18 giugno 1931, n. 773; v. in tal senso anche provv. 17 ottobre 2024, doc web n. 10084420).
Tanto premesso, si rammenta che, ove il titolare –come rilevato nel caso di specie– decida di delegare al soggetto terzo le attività di trattamento dei dati personali dei debitori, devono essere applicate le disposizioni previste dal Regolamento per la designazione del responsabile ex art. 28.
Occorre altresì tener conto che il titolare è la figura su cui insiste, ai sensi del principio di accountability, la “responsabilità generale” del trattamento, gravando sullo stesso l’onere di attuare un sistema organizzativo e gestionale contraddistinto da misure tecniche ed organizzative reali ed efficaci di protezione dei dati, nonché comprovabili (v. considerando 74 e artt. 5, par. 2 e 24 del Regolamento che formalizza il c.d. principio di “responsabilizzazione”; cfr., tra i tanti, da ultimo al riguardo, provv. 17 luglio 2024, doc. web n. 10053211 e i precedenti provvedimenti ivi richiamati; v., in merito alla centralità di tale principio, anche la giurisprudenza di legittimità, Cass. Civ., Sez. I, ordinanza n. del 23 luglio 2021, n. 21234).
Ciò non soltanto mediante la corretta e puntuale predisposizione degli adempimenti imposti dal Regolamento, ma soprattutto attraverso l’implementazione di procedure e prassi organizzative atte a conformare i relativi trattamenti alla disciplina di riferimento (es. processi per la corretta gestione dei dati oggetto di trattamento; policy volte ad assicurare l’esattezza delle informazioni trattate; regole per l’attribuzione di responsabilità; programmi di formazione del personale; procedure per la gestione delle richieste di esercizio dei diritti e dei reclami; previsione di audit interni ed esterni con cadenza periodica ecc., cfr. Gruppo art. 29, WP 173 del 13 luglio 2010- Opinion 3/2010 on the principle of accountability, pagg. 11-12). Trattasi, nello specifico, di misure che “devono sostanziarsi in una serie di attività specifiche e dimostrabili, volte a assicurare la gestione del rischio connesso al trattamento dei dati personali, tanto è vero che viene resa esplicita la richiesta di documentare le scelte in merito al raggiungimento dell'obiettivo prefissato di protezione dati” (così, Cass. civ., Sez. I, Ordinanza dell’11 aprile 2024, n. 9880).
Nell’ambito del quadro normativo complessivamente sopra delineato (di cui agli artt. 5, par. 2, 24 e 28 del Regolamento), devono ricondursi i precisi e cogenti obblighi, previsti dal legislatore in capo al titolare, nei confronti del responsabile, che consistono innanzitutto nell’impartire, a quest’ultimo, le istruzioni in ordine al trattamento oggetto dell’atto di incarico, ma anche nel porre in essere una periodica e puntuale verifica delle attività da questi concretamente effettuate per conto dello stesso.
Sul punto, merita sin d’ora puntualizzare come −rispetto alle attività di trattamento dei dati dei debitori per finalità di recupero crediti poste in essere dal responsabile− tra le istruzioni, che il titolare è tenuto a fornire ai sensi dell’art. 28 del Regolamento, deve intendersi ricompresa anche quella di garantire che le informazioni complessivamente raccolte siano trattate in modo lecito e corretto e che, nel corso dell’esecuzione dell’incarico, ne venga costantemente verificata l’esattezza ed effettuato il loro eventuale aggiornamento.
Tali attività, invero, sono finalizzate ad assicurare la conformità del trattamento concretamente posto in essere al principio di liceità e correttezza, nonché al principio di esattezza di cui all’art. 5, par. 1, lett. a) e d) del Regolamento e, al contempo, sono strettamente funzionali a consentire al titolare di fornire un compiuto e tempestivo riscontro a eventuali richieste degli interessati, ai sensi degli artt. 15 e ss. del Regolamento (ad esempio rispetto a quelle inerenti all’origine dei dati di contatto utilizzati dal responsabile per suo conto, cfr. art. 15, comma 1, lett. g) del Regolamento).
Si tenga altresì conto che, in virtù del menzionato principio di accountability, come sopra anticipato, compete al titolare, al contempo, anche la puntuale verifica, nel corso dello svolgimento dell’incarico, delle predette attività, effettuate dal responsabile; ciò attraverso l’adozione di comportamenti proattivi e coerenti con la finalità di verificarne l’operato e di comprovare, in ogni fase, la liceità delle operazioni di trattamento compiute.
Il titolare non ha infatti, ai sensi dell’art. 28, par. 1 del Regolamento, soltanto l’obbligo di “impiegare unicamente responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate”, ma anche quello, altrettanto cogente, di vigilare puntualmente sull’attività svolta da questi ultimi, se del caso “mediante attività di revisione e ispezioni” (art. 28, par. 3, lett. h) del Regolamento).
In ragione di quanto sopra complessivamente esplicitato, ne consegue, pertanto, che, anche ove il titolare si affidi, come nel caso di specie, a un responsabile specializzato nelle operazioni di trattamento oggetto del relativo Contratto di servizio, lo stesso ha sempre l’onere di prevedere controlli periodici e sistematici −che siano documentati e dimostrabili− atti a monitorare le attività di trattamento di dati per finalità di recupero crediti concretamente poste in essere dal predetto fornitore/responsabile. Tutto ciò nell’ottica di verificare, durante lo svolgimento dell’incarico, le garanzie offerte da quest’ultimo e il rispetto delle istruzioni impartite, nonché individuare tempestivamente eventuali situazioni di anomalia tali da compromettere la conformità del trattamento svolto rispetto al Regolamento.
4.2. La violazione dell’art. 5 e dell’art. 24 del Regolamento.
Tenuto conto di quanto sopra, per quanto concerne il caso oggetto della presente decisione, è stato di contro accertato, in primo luogo, che Spinbridge S.p.A., in qualità di responsabile del trattamento, all’atto del trattamento dei dati personali del Sig. XX per le finalità di recupero crediti, non ha trasmesso a Europa Factor S.p.A. tutte le informazioni aggiornate relative all’interessato e alla gestione, nel suo complesso, della posizione creditoria affidata, come acquisite nel corso dell’incarico.
Nello specifico, nel corso degli accertamenti, è emerso che la Società ha raccolto un dato di recapito ulteriore, rispetto a quelli in origine trasmessi dal titolare al momento dell’affido, consistente nell’utenza telefonica XX, che peraltro è risultata essere intestata all’interessato, seppur, all’epoca, non più nella sua disponibilità.
È stato invero accertato che Spinbridge S.p.A. ha acquisito autonomamente il predetto recapito nel giugno 2021 e che lo ha utilizzato (seppur nell’ambito di un solo contatto telefonico avvenuto il 7 giugno 2021) nel contesto delle operazioni di rintraccio.
Successivamente, la Società non ha però fornito, a Europa Factor S.p.A., alcuna comunicazione di aggiornamento, in ordine al dato personale di contatto in questione (così come in merito alla sua origine), né ha informato il titolare delle correlate richieste ai sensi degli artt. 15 e ss. del Regolamento formulate sul punto dall’interessato.
Al riguardo, si fa presente che, le istruzioni fornite da Europa Factor S.p.A. –seppur non dettagliate al punto da contemplare un obbligo specifico di messa a disposizione del titolare del trattamento di tutte le informazioni personali correlate alla posizione del debitore– prevedono esplicitamente che, nell’ambito del trattamento dei dati posto in essere da quest’ultimo per conto del titolare, sia ricompreso:
- l’eventuale aggiornamento dei dati personali degli interessati da effettuarsi in esecuzione del vigente Contratto di servizio “in piena osservanza dei principi applicabili al trattamento dei dati sanciti dall’art. 5 del Regolamento (UE) 2016/679” e “tenendo conto dei provvedimenti tempo per tempo emanati dall’Autorità Garante per la protezione dei dati personali e inerenti al trattamento svolto dal Responsabile” (cfr. l’All. 1 al sopra menzionato Contratto di servizio recante la “Nomina a responsabile del trattamento di dati personali ai sensi del regolamento (UE) 2016/679”, in particolare punti i e iii);
- l’obbligo di comunicare “entro due giorni lavorativi, qualunque reclamo espresso dalla clientela riconducibile all’erogazione del Servizio, ed in particolare ogni richiesta relativa all’esercizio dei diritti in tema di protezione dei dati personali da parte degli interessati (..), fornendole con precisione tutte le informazioni ed i dati in suo possesso in merito” (v. art. 10.1. del Contratto di Servizio citato).
Le stesse contengono inoltre, a carico del responsabile preposto al recupero dei crediti, un più generale dovere di reportistica in adempimento del quale lo stesso, tra l’altro, “è tenuto, in caso di esito negativo dell’intervento di recupero, a restituire la posizione corredata da una relazione sull’attività svolta integrata da eventuale documentazione, se acquisita, quale: rintracci, certificati di stato di famiglia o residenza etc.” (cfr. in tal senso art. 4.2. del Contratto di servizio citato).
Come constatato nel corso delle verifiche, degli elementi di cui sopra −ossia della menzionata utenza telefonica e della sua fonte, nonché delle richieste avanzate al riguardo dall’interessato− non è stata invece fatta alcuna menzione al titolare, da parte di Spinbridge S.p.A.; ciò neanche in occasione della trasmissione delle comunicazioni periodiche (c.d. SAL) di aggiornamento in ordine allo stato della pratica di credito riferita al Sig. XX, ovvero al momento della restituzione della posizione del debitore, non avendo la stessa trasmesso, in tale occasione, visto l’esito negativo dell’intervento di recupero nel caso di specie, la relazione di cui all’art. 4.2. del sopra menzionato Contratto di servizio.
Spinbridge S.p.A. ha dunque tenuto, nel caso in esame, una condotta in violazione dell’art. 28, par. 3, lett. a), e) e h) del Regolamento, che ha impedito di fatto ad Europa Factor S.p.A. di disporre di informazioni esatte e aggiornate in merito al trattamento dei dati afferenti all’interessato, nonché di avere contezza delle richieste dallo stesso avanzate, ai sensi della normativa in materia di protezione dei dati personali, determinando al contempo l’impossibilità a carico del titolare di fornire un riscontro tempestivo e completo alle istanze in materia di diritto d’accesso, ai sensi dell’art. 15 del Regolamento, presentate dal Sig. XX al responsabile del trattamento, il 21 giugno 2021 e direttamente al titolare il 4 luglio 2022.
La predetta condotta ha comportato, come conseguenza diretta, il mancato rispetto dei principi di liceità, correttezza e trasparenza, nonché di esattezza del trattamento, di cui all’art. 5, par. 1, lett. a) e d) del Regolamento nei confronti dell'interessato da parte del titolare, ciò tenuto conto che Europa Factor S.p.A. ha omesso di verificare il corretto adempimento, da parte del responsabile, delle istruzioni impartite in merito nonché le garanzie offerte dallo stesso (v. infra).
Sul punto, merita invero evidenziare che, come già osservato in passato dall’Autorità, “in ogni caso il titolare rimane responsabile dell’attuazione delle misure tecniche e organizzative adeguate a garantire e essere in grado di dimostrare che il trattamento è effettuato in conformità al Regolamento. Sul titolare ricadono, infatti, le decisioni circa le finalità e le modalità del trattamento dei dati personali degli interessati nonché una “responsabilità generale” in relazione ai trattamenti posti in essere (v. art. 5, par. 2 e art. 24 del Regolamento), anche quando questi siano effettuati da altri soggetti “per suo conto” (cons. 81, artt. 4, punto 8) e 28 del Regolamento)” (in tale senso si veda provv. 10 febbraio 2022, n. 43, doc. web n. 9751498, nonché provv. 17 settembre 2020, n. 160 doc. web n. 9461168 e, da ultimo, provv. 10 giugno 2021, n. 235, doc. web n. 9685922; v. anche “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR” – di seguito “Linee guida 07/2020”, adottate dal Comitato europeo per la protezione dei dati, di seguito “EDPB”, il 7 luglio 2021, in particolare parte II, cap. 1).
Rispetto al caso in esame, è, infatti, stato accertato, a carico di Europa Factor S.p.A., contrariamente a quanto sostenuto dalla stessa (v. supra, paragrafo 3, lettere b) e c) della presente decisione), che gli obblighi di vigilanza sull’operato dei propri responsabili –obblighi spettanti alla Società ai sensi degli artt. 5, par. 2, 24 e 28 del Regolamento– non sono stati adempiuti in conformità al Regolamento.
In merito, pur prendendo atto dell’avvenuta acquisizione da parte della Società dei documenti resi da Spinbridge S.p.A., in sede di affidamento dell’incarico in ordine alle garanzie offerte da quest’ultima e degli esiti delle verifiche condotte presso la stessa nel corso dell’anno 2021 (v. sul punto, supra, paragrato 3, lett. c) della presente decisione), si rappresenta che la documentazione nel complesso fornita dal titolare, nel corso dell’istruttoria, non è idonea a comprovare che l’attività di controllo posta in essere da Europa Factor S.p.A. sia stata specificatamente dedicata alla verifica del corretto adempimento agli adempimenti in materia di protezione dei dati personali da parte del responsabile (v. note del 23 gennaio 2024, nonché del 20 giugno 2024 e del 13 dicembre 2024).
Occorre, innanzitutto, evidenziare che, nel periodo di riferimento in cui hanno avuto luogo i fatti oggetto di contestazione, le attività di controllo effettuate dalla Società e di cui è stata fornita evidenza nell’ambito del procedimento, si sono infatti limitate ad affrontare solo lo specifico ambito delle misure tecnico-organizzative adottate da Spinbridge S.p.A. per garantire adeguati livelli sicurezza nel trattamento dei dati personali in questione.
Europa Factor S.p.A. ha, infatti, da una parte dichiarato che le "verifiche in eligendo" effettuate, nel caso in esame, hanno riguardato −in virtù dell’acquisizione del documento recante “la dichiarazione in ordine alle misure tecniche organizzative adottate dal responsabile del trattamenti dei dati (v. All. 4 alla nota del 7 maggio 2025)− l’aspetto dell’adeguatezza dei livelli di sicurezza della protezione dei dati personali trattati dal Spinbridge S.p.A. per conto del titolare del trattamento (v. nota del 23 gennaio 2024, pag. 2); dall’altra ha indicato, quale unica attività di audit effettuata nel periodo ricompreso tra il mese di maggio 2021 e il mese di dicembre 2021, quella volta a verificare, anche sulla base degli elementi resi da Spinbridge S.p.A. attraverso la compilazione, in data 29 luglio 2021, del documento denominato “Lista di controllo sugli standard di sicurezza”, il tema delle “misure di sicurezza adottate nelle sedi lavorative e sulle infrastrutture informatiche finalizzate a garantire la riservatezza, l’integrità e la disponibilità dei dati da parte delle Agenzie di recupero”, come indicato nell’Audit Report n. 5/2021 del 27 dicembre 2021 (cfr. nota del 7 maggio 2025, pagg. 9 e 10).
Fermo restando quanto sopra, è peraltro emerso, nel corso dell’istruttoria, come le attività di verifica, volte a valutare la conformità del trattamento dei dati effettuato alle istruzioni impartite, venissero disposte da Europa Factor S.p.A. solo “all’occorrenza”, una volta valutate le garanzie prestate dal responsabile (cfr. nota del 23 gennaio 2024, pag. 2).
Tutto ciò però si pone in contrasto con l’interpretazione del Comitato europeo per la protezione dei dati in ordine alla portata dell’obbligo previsto dall’art. 28, par. 1 del Regolamento, avendo il Comitato sottolineato come, in ragione di tale previsione, sussista piuttosto “un obbligo permanente” in capo al titolare di verificare “ad intervalli adeguati” le garanzie offerte dal responsabile (cfr. EDPB, Linee guida 07/2020, paragrafi 94, 99 e 114, cit.).
Come sopra più diffusamente anticipato (v. supra paragrafo 4.1. della presente decisione), l’adempimento di tale obbligo si declina attraverso l’assunzione di comportamenti proattivi da parte del titolare volti ad individuare tempestivamente eventuali situazioni patologiche delle attività di trattamento che caratterizzano l’esecuzione del mandato (v. art. 5, par. 2, art. 24 del Regolamento).
Più nel dettaglio, tali comportamenti, come già rilevato rispetto al contesto di riferimento in ordine a casi analoghi a quello in esame, possono estrinsecarsi “nella previsione di audit periodici [volti al controllo dell’operato delle agenzie incaricate e alla verifica del corretto e puntuale adempimento dei compiti ad esse affidati], nonché nella predisposizione di sistemi di alert atti a sollecitare la verifica del corretto e puntuale adempimento [sotto il profilo della protezione dei dati personali] dei compiti affidatigli” (v. art. 28, par. 3, lett. h) del Regolamento e cfr., in tal senso, provv. 17 ottobre 2024, doc. web. n. 10084420).
Nell’ambito dell’istruttoria, è invece emerso che la Società non aveva previsto, all’epoca, alcun programma predefinito di verifiche (tale da ricomprendere attività di controllo documentale, nonché ispezioni in loco) da effettuarsi a cadenza periodica (cfr., sul punto, provv. 17 luglio 2024, doc. web n. 10053211), incentrato sul rispetto della normativa di protezione dei dati personali con lo scopo di verificare le garanzie e l’operato dei responsabili del trattamento, quale Spinbridge S.p.A., e il corretto e puntuale adempimento, nell’ambito dello svolgimento dell’incarico, delle istruzioni loro impartite (come quelle inerenti alle operazioni di aggiornamento dei dati personali dei debitori, nonché alla gestione delle istanze di esercizio dei diritti degli interessati).
Da ultimo, rispetto all’attività di “monitoraggio continuo delle posizioni creditorie affidate attraverso l’acquisizione e la valutazione dei flussi informativi acquisiti dal Responsabile in ordine all’attività di recupero stragiudiziale”, condotta da Europa Factor S.p.A. e menzionata tra i controlli effettuati dalla Società nei confronti di Spinbridge S.p.A., si fa presente che la stessa consiste di fatto nella ricezione e successiva valutazione delle comunicazioni rese dai fornitori, durante il periodo di affido in ordine agli aggiornamenti circa lo stato di avanzamento dei lavori riguardanti le posizioni debitorie affidate in loro gestione (cfr. nota del 7 maggio 2025, pag. 9).
L’analisi di tali flussi informativi −seppur recanti comunque elementi utili per il titolare al fine di poter valutare l’esigenza di avviare un eventuale processo di verifica e di controlli mirati nei confronti del fornitore, come dichiarato dalla stessa Europa Factor S.p.A. nel corso dell’istruttoria− di per sé, non è però riconducibile nell’ambito delle specifiche attività di controllo di cui sopra, riferendosi piuttosto a una generica attività di monitoraggio, frutto tra l’altro di prassi operative, avente ad oggetto l’andamento dell’incarico affidato da Europa Factor S.p.A. al terzo al fine di poter “verificare l’idoneità del servizio reso” (cfr. nota del 13 dicembre 2024, pag. 2 e nota del 20 giugno 2024, pag. 2).
Sul punto, rileva, piuttosto, rispetto alla valutazione della condotta tenuta nel caso in esame dalla Società, la circostanza che, a fronte della mancata ricezione della “relazione sull’attività svolta integrata da eventuale documentazione, se acquisita, quale: rintracci, certificati di stato di famiglia o residenza etc.”, che il fornitore ai sensi dell’art. 4.2. del sopra menzionato Contratto di servizio è tenuta a fornire al momento della restituzione della posizione del debitore in caso di esito negativo dell’intervento di recupero (circostanza verificatesi nel caso in esame stante la dicitura “Rifiuta Pagamento” riportata nei Report ricevuti a conclusione dell’incarico), Europa Factor S.p.A. non si sia allertata e non abbia richiesto a Spinbridge S.p.A. la trasmissione di tale relazione che avrebbe comunque potuto contenere elementi utili di verifica, in ordine all’operato di quest’ultima.
Alla luce di quanto complessivamente rappresentato, ne consegue quindi che l’implementazione e l’avvio di un sistema di attività periodica e strutturata di revisione e di verifiche nei confronti di Spinbridge S.p.A., a partire dal conferimento dell’incarico, nonché la mancata adozione di comportamenti proattivi, da parte di Europa Factor S.p.A., volti a controllare il corretto e puntuale adempimento, sotto il profilo della protezione dei dati personali, dei compiti affidatigli, avrebbe invece consentito alla Società di individuare tempestivamente eventuali situazioni di anomalia rispetto alle istruzioni rese con riferimento agli adempimenti previsti ex art. 5 e 12 del Regolamento e di fornire al contempo un riscontro tempestivo e completo alle istanze presentate dal Sig. XX, ai sensi dell’art. 15 del Regolamento
La mancata assunzione degli obblighi appena menzionati determina, pertanto, a carico della Società, la violazione dell’art. 5 par. 2, dell’art. 24 del Regolamento.
5. Conclusioni: dichiarazione di illiceità del trattamento e valutazione in ordine ai provvedimenti correttivi ex art. 58, par. 2, Regolamento.
Alla luce di quanto complessivamente rilevato, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria, non consentano di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultino pertanto inidonee a disporre l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Il trattamento dei dati personali effettuato da Europa Factor S.p.A., risulta infatti illecito, nei termini su esposti, in quanto posto in essere in violazione degli artt. 5, par. 1, lettere a) e d) e par. 2 e 24 del Regolamento.
Per quanto concerne l’esercizio dei poteri correttivi di cui all’art. 58, par. 2, del Regolamento, si prende atto della circostanza che Europa Factor S.p.A. nel corso del procedimento ha provveduto a:
- implementare una procedura ad hoc con specifico riguardo al tema della “Gestione dei responsabili del trattamento”, nonché ai casi in cui l’esternalizzazione delle attività di recupero crediti comporti l’affidamento ad un soggetto esterno −oggetto, peraltro di periodico riesame “al fine di garantirne l’allineamento con gli aggiornamenti normativi”− ove sono individuate tutte “le fasi operative volte a concretizzare in modo accountable quanto previsto dall’art. 28 del GDPR”, ivi compresa quella relativa alle diverse azioni di controllo che la Società prevede ai fini della verifica, da effettuarsi con cadenza periodica (su base almeno annuale), della compliance del responsabile del trattamento rispetto al Regolamento (cfr. All. 1 alla nota del 26 settembre 2025, sezioni da 1 a 6);
- procedere alla revisione dei modelli di preposizione di responsabili del trattamento, ex art. 28 del Regolamento, nell’ottica di rendere più chiaro e strutturato il perimetro delle istruzioni da impartire al responsabile del trattamento (v. All. 2 alla nota del 26 settembre 2025);
- integrare il c.d. “Questionario monitoraggio Adr” volto ad ottenere una relazione, corredata da relative evidenze, ricomprendendo ogni attività di gestione della posizione, al fine di consentire una puntuale analisi della stessa; ciò anche con specifico riguardo al profilo inerente ai dati personali raccolti (ivi compresa l’indicazione della loro fonte) nel corso del mandato e alle istanze di esercizio dei diritti ricevute in tale contesto dal responsabile (v. All. 3.0. della sopra citata Procedura).
Considerato, pertanto, che sono state adottate da Europa Factor S.p.A. specifiche misure per conformare il trattamento in esame alla disciplina vigente in materia di protezione dei dati personali, non ricorrono allo stato i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.
Da ultimo, si rileva che le violazioni, accertate nei termini di cui in motivazione, non possono in alcun modo essere considerate “minori”, ai sensi del considerando 148 del Regolamento; ciò tenuto conto della pluralità delle violazioni contestate e del numero di interessati coinvolti, nonché degli ulteriori elementi più diffusamente esplicitati al paragrafo 6 della presente decisione.
6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).
La violazione degli artt. 5, par. 1, lettere a) e d) e par. 2 e 24 del Regolamento e comporta l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. a) del Regolamento (cfr. anche art. 166, comma 2 del Codice).
Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83 del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali posto in essere da Europa Factor S.p.A. di cui è stata accertata l’illiceità, nei termini sopra esposti.
Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.
Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nell’ipotesi in esame, sono state tenute in considerazione le circostanze sotto riportate:
- la moderata gravità della violazione (art. 83, par. 2, lettere a) e g) del Regolamento), in relazione alla natura della stessa (concernente l’inosservanza dei principi del trattamento di cui all’art. 5 del Regolamento) e alle finalità del relativo trattamento (effettuato nel contesto di un’attività di recupero crediti). A favore del trasgressore, si è tenuto conto della tipologia delle informazioni oggetto di contestazione che non sono riconducibili a categorie particolari di dati personali e del limitato numero di interessati coinvolti nella vicenda in esame (trattandosi di un interessato); ma anche della circostanza che la stessa abbia fornito un riscontro all'istanza di accesso presentata da quest’ultimo in data 4 luglio 2022, sulla base delle informazioni disponibili all’epoca;
- il carattere colposo della violazione e il grado di responsabilità del trasgressore (art. 83, par. 2, lettere b) e d) del Regolamento); al riguardo, in favore di quest’ultimo, è stato considerato che la vicenda oggetto dell’istruttoria sia dipesa prevalentemente dall’inosservanza delle istruzioni fornite al responsabile del trattamento (cfr., supra, paragrafo 4.2 del presente provvedimento), nonché che Europa Factor S.p.A., già in epoca precedente alle verifiche poste in essere dal Garante, avesse adottato alcune prime misure volte alla verifica dell’operato dei responsabili designati ai sensi dell'art. 28 del Regolamento (cfr., supra, paragrafi 3, lett. c) e 4.2. della presente decisione);
- l’adozione di misure atte a mitigare o a eliminare le conseguenze della violazione (art. 83, par. 2, lett. c), del Regolamento). Sul punto, va positivamente considerata la circostanza che Europa Factor S.p.A. abbia spontaneamente implementato, nel corso del procedimento, specifiche procedure volte a potenziare le attività di controllo rispetto ai diversi profili in materia di protezione dei dati personali (tra i quali quelli oggetto di esame nella presente decisione) nei confronti di Spinbridge S.p.A. e, più in generale, dei responsabili ex art. 28 del Regolamento coinvolti nel trattamento di dati nell’ambito dello svolgimento di attività di recupero crediti effettuate per suo conto (v. supra, paragrafo 3, lett. d) e paragrafo 5 del presente provvedimento);
- l’attiva collaborazione del titolare con l’Autorità nel corso del procedimento (art. 83, par. 2, lett. f) del Regolamento);
- l’assenza di precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all'art. 58 del Regolamento relativamente allo stesso oggetto (art. 83, par. 2, lettere e) ed i) del Regolamento).
Da ultimo, si è tenuto conto altresì a favore del trasgressore (art. 83, par. 2, lett. k) del Regolamento), delle ulteriori iniziative che la Società ha dichiarato di aver assunto, nonché, in termini generali, delle misure di carattere organizzativo complessivamente adottate da Europa Factor S.p.A. rispetto al processo di gestione delle agenzie incaricate dalla stessa del recupero del credito (cfr. al riguardo, paragrafo 3 della presente decisione).
Si ritiene inoltre che assumano rilevanza, nell’ipotesi di specie, in ragione dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), le condizioni economiche del contravventore, determinate in base al volume d’affari della Società, di cui al bilancio d’esercizio per l’anno 2024 (ultimo disponibile).
Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Europa Factor S.p.A. la sanzione amministrativa del pagamento di una somma pari ad euro 50.000,00 (cinquantamila/00).
In tale quadro, si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l’ordinanza ingiunzione sul sito Internet del Garante.
Ciò in considerazione del peculiare contesto del trattamento (attività di recupero crediti) e della tipologia della violazione accertata, che ha riguardato i principi generali del trattamento di cui all’art. 5, par. 1 del Regolamento, nonché il principio di responsabilizzazione del titolare (in virtù della mancata adozione di adeguate misure volte alla verifica del corretto e puntuale adempimento, sotto il profilo della protezione dei dati personali, dei compiti affidati al responsabile del trattamento).
Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.
TUTTO CIÒ PREMESSO, IL GARANTE
dichiara, ai sensi degli artt. 57, par. 1, lett. f) del Regolamento, l’illiceità del trattamento effettuato da Europa Factor S.p.A., con sede in Roma, p. iva n. 07552111002, nei termini di cui in motivazione, per la violazione dell’art. 5, par. 1, lettere a) e d) e par. 2 e dell’art. 24 del Regolamento;
ORDINA
ai sensi dell’art. 58, par. 2, lett. i) del Regolamento alla medesima Europa Factor S.p.A., di pagare la somma di euro 50.000,00 (cinquantamila/00), a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;
INGIUNGE
ai sensi dell’art. 58, par. 2, lett. i) del Regolamento alla medesima Società di pagare la predetta somma di euro 50.000,00 (cinquantamila/00), a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento, secondo le modalità illustrate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall'art. 27 della legge n. 689/1981.
Si rappresenta che, ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento di un importo pari alla metà della sanzione irrogata entro il termine di cui all'art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato;
DISPONE
- ai sensi dell'art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell'ordinanza ingiunzione sul sito internet del Garante;
- ai sensi dell'art. 154-bis, comma 3 del Codice e dell'art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell'Autorità;
- ai sensi dell'art. 17 del Regolamento del Garante n. 1/2019, l'annotazione delle violazioni e delle misure adottate in conformità all'art. 58, par. 2 del Regolamento, nel registro interno dell'Autorità previsto dall'art. 57, par. 1, lett. u) del Regolamento.
Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.
Roma, 28 maggio 2026
IL PRESIDENTE
Stanzione
IL RELATORE
Ghiglia
IL SEGRETARIO GENERALE
Montuori
Condividi