g-docweb-display Portlet

Provvedimento del 28 maggio 2026 [10270836]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

VEDI ANCHE Newsletter del 16 luglio 2026

 

[doc. web n. 10270836]

Provvedimento del 28 maggio 2026

Registro dei provvedimenti
n. 387 del 28 maggio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. del 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. del 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Premessa.

In data 11 agosto 2022, è pervenuta al Garante la segnalazione del Sig. XX, con la quale lo stesso ha lamentato un illecito trattamento dei propri dati personali utilizzati per finalità di recupero crediti da parte di Spinbridge S.p.A. (già Euro Service S.p.A. e successivamente Zolva S.p.A.) e di Europa Factor S.p.A. 

In particolare, il segnalante ha ivi riferito che Spinbridge S.p.A. avrebbe utilizzato, in tale contesto, un’utenza telefonica a sé intestata che non sarebbe stata mai comunicata dall’interessato, quale dato di contatto, a quest’ultima. 

Tanto premesso, quanto sopra riportato va ricondotto nel più ampio quadro degli accadimenti di seguito descritti:

- in data 9 agosto 2021, il Sig. XX ha segnalato all’Autorità di aver avanzato, il 21 giugno 2021, un'istanza di esercizio di diritti, nei confronti di Euro Service S.p.A. (ora Spinbridge S.p.A.) − società di recupero crediti che riteneva di “vantare nei [suoi] confronti un credito” −, al fine di conoscere l’origine del dato di contatto relativo all'utenza XX; utenza che, sebbene intestata allo stesso, non sarebbe mai stata nella sua disponibilità (cfr. atto di reclamo del 9 agosto 2021); 

- con la nota di riscontro resa il 21 luglio 2021 da Euro Service S.p.A.(ora Spinbridge S.p.A.), la Società ha rappresentato che il trattamento dei dati concernenti il segnalante era stato effettuato in ragione dell’incarico ricevuto da Europa Factor S.p.A. (in qualità di committente) al fine di gestire, nonché recuperare un credito −concernente tra l’altro un contratto di fornitura posto in essere con Acea Energia S.p.A.− vantato da Europa Factor S.p.A. nei confronti dell’interessato (cfr. nota del 21 luglio 2021);

- in virtù di quanto sopra rilevato, in data 25 novembre 2021, e nuovamente il 31 marzo 2022, l’Autorità ha fornito alcuni chiarimenti all’interessato in ordine ai diritti esercitabili (e alle modalità di esercizio degli stessi) alla luce della disciplina vigente in materia di protezione dei dati personali; ciò anche al fine di consentire allo stesso di formulare la sopra citata istanza nei confronti del titolare del trattamento oggetto di contestazione, ossia, nella fattispecie, Europa Factor S.p.A. (cfr. note del 25 novembre 2022 e del 31 marzo 2022);

- a fronte dei suddetti chiarimenti, il Sig. XX ha quindi rappresentato di aver chiesto, in data 4 luglio 2022, a Europa Factor S.p.A. “di confermare di aver essa reperito il numero di telefono XX e quindi di averlo trasferito, unitamente al credito, alla EURO SERVICE Spa e di fornire in caso di risposta affermativa, la fonte dalla quale abbia a sua volta ottenuto il numero telefonico sopraddetto [e] in caso di risposta negativa di esplicitarla in modo chiaro” (v. comunicazione del 5 agosto 2022);

- il 10 agosto 2022, la Società nel fornire riscontro al segnalante ha dato conferma che “Europa Factor S.p.A. aveva affidato, in forza di specifici incarichi di gestione  stragiudiziale dei crediti, l’attività di recupero stragiudiziale del sopracitato credito a Euro Service S.p.A., la quale è stata nominata a tal fine responsabile del trattamento dei dati personali” e al contempo, in merito al numero telefonico XX,  ha precisato che “tale numero non  risulta[va] presente nei (..) sistemi e, pertanto, conferm[ava] che lo stesso non poteva essere comunicato alla Società incaricata, Euro Service S.p.A”. Con la medesima comunicazione Europa Factor S.p.A. ha inoltre informato il segnalante dell’avvenuta rinuncia alla relativa pretesa creditoria da parte della stessa facendo presente che i dati personali riferiti al Sig. XX sarebbero stati pertanto “conservati presso gli archivi separati ad accesso limitato per le sole finalità connesse all’adempimento degli obblighi di legge spettanti ad Europa Factor S.p.A.” (cfr. nota del 10 agosto 2022);

- in ragione di quanto complessivamente riportato da entrambe le sopra menzionate Società, il Sig. XX, con comunicazione trasmessa via e mail l’11 agosto 2022, ha rilevato talune incongruenze nei riscontri forniti dalle medesime in ordine all’origine del dato di contatto oggetto di contestazione nel caso di specie, segnalando al riguardo presunti profili di illiceità in merito al trattamento dei dati personali dei debitori posto in essere dalle stesse nell’ambito delle svolgimento delle attività di recupero crediti (cfr. comunicazione dell’11 agosto 2022).   

2. Gli elementi acquisiti in sede istruttoria.

Preso atto delle istanze avanzate dal Sig. XX e tenuto conto in particolare della segnalazione al riguardo dell’11 agosto 2022, questo Ufficio ha avviato un’attività istruttoria ai sensi dell’art. 20 del Regolamento del Garante n. 1/2019 volta ad acquisire informazioni e chiarimenti in ordine ai fatti oggetto di contestazione, nonché a verificare le modalità di trattamento dei dati personali (nello specifico quelli di contatto) dei debitori adottate da Europa Factor S.p.A. e Spinbridge S.p.A. nell’ambito dello svolgimento di attività di recupero crediti. 

Tutto ciò, effettuando, innanzitutto, alcuni accertamenti in loco presso Spinbridge S.p.A., l’11 luglio 2023. Nel corso degli stessi è stato constatato quanto segue:

- “in data 9 febbraio 2022 Euro Service S.p.A. (..) veniva ceduta interamente alla Zolva Service Co S.arl”, cambiando poi denominazione in Zolva Spa (ora Spinbridge S.p.A.); 

- all’epoca dei fatti, la predetta Società “aveva in essere con la Europa Factor S.p.A. un contratto per il servizio di Gestione e recupero crediti stragiudiziale” (cfr. All. 4 al verbale dell’11 luglio 2023, pag. 3). Lo stesso prevedeva “la gestione di un portafoglio pratiche secondo precisi “lotti di affido” e “lettere di incarico” sulla base di crediti vantati da diversi creditori originari” (tra i quali Acea Energia S.p.A.). Sul punto, la Spinbridge S.p.A. ha rappresentato che “il committente generalmente invia dei “lotti” di posizioni debitorie alla società” consistenti in “una serie di file contenenti liste di anagrafiche di clienti/Debitori. I dati anagrafici possono essere più o meno completi secondo i dati ad origine in possesso della Europa Factor Spa e in genere sono il codice di riferimento del credito originario (codice cliente), nome e cognome, codice fiscale, indirizzo di riferimento dell’utenza (residenza o punto di fornitura), indirizzo mail, numeri di telefono ecc.” (cfr. verbale dell’11 luglio 2023, pag. 4);

- con specifico riguardo al caso di specie, “il lotto (n. 3) [comprensivo della posizione debitoria del Sig. XX] è stato affidato alla società in data 19 gennaio 2021 (..) con data di restituzione 28 febbraio 2022”, in virtù del contratto di cui sopra, sottoscritto tra Spinbridge S.p.A. e Europa Factor S.p.A. in data 11 marzo 2020 (cfr. verbale dell’11 luglio 2023, pagg. 2 e 3);

- Spinbridge S.p.A. ha agito, nel caso di specie, in qualità di responsabile ex art. 28 del Regolamento per conto di Europa Factor S.p.A., come previsto dall’Allegato 1 al sopra menzionato Contratto recante la “Nomina a responsabile del trattamento di dati personali ai sensi del regolamento (UE) 2016/679” (cfr. verbale dell’11 luglio 2023, pag. 3); 

- a fronte dell’accesso effettuato al gestionale aziendale, “è [stata] visualizzata la pagina contenente i dati personali dell’interessato”, ove è risultato presente anche l’informazione relativa al numero XX; numero che “è [risultato essere] stato contattato la prima volta in data 07 giugno 2021” (verbale dell’11 luglio 2023, pag. 4);

- il dato di contatto del debitore oggetto di contestazione non era ricompreso tra quelli trasmessi dal titolare del trattamento (ovvero Europa Factor S.p.A.), in occasione dell’affidamento dell’incarico, bensì era stato acquisito da Spinbridge S.p.A., in epoca successiva, per il tramite di un fornitore esterno. In particolare “dall’accesso al database, [è emerso] che l’anagrafica dell’interessato è stata creata in data 26 gennaio 2021 (..)  ed era costituita, inizialmente, dal nome, cognome, codice fiscale e dall’indirizzo di residenza” e che “il numero XX è stato inserito in un momento successivo, è cioè il 7 giugno 2021” da un’incaricata del call center della Società che lo ha “inserito manualmente in quanto non faceva parte dell’insieme dei dati trasmessi dal titolare del trattamento” (cfr. verbale dell’11 luglio 2023, pagg. 4 e 5); 

- da ultimo, con specifico riguardo alle modalità di reperimento del dato di contatto in questione, Spinbridge S.p.A. ha precisato che lo stesso  “è stato acquisito tramite il fornitore esterno SERVIZISICURI.COM S.r.l” in data 7 maggio 2021; tutto ciò in quanto la società opera su dati forniti dalla mandante come stabilito dalle condizioni contrattuali, ma “nel caso in cui [gli stessi] non siano sufficienti per avere un contatto con il debitore, nel rispetto del provvedimento del Garante del 2005, la società procede alla verifica e all’acquisizione di numerazioni alternative tramite la consultazione di banche dati pubbliche o provider di informative commerciali dotati di licenza ex art. 134 TULPS” (cfr. verbale dell’11 luglio 2023, pag. 6). 

Alla luce di quanto emerso nel corso dei predetti accertamenti, sono state avanzate tre richieste di informazioni, ai sensi dell’art. 157 del Codice, nei confronti di Europa Factor S.p.A. (v. la nota del 22 dicembre 2023, e cfr. le successive note rispettivamente del 21 maggio 2024 e del 12 novembre 2024), al fine di acquisire alcuni chiarimenti in ordine al trattamento oggetto di esame. 

In merito, con le note di riscontro trasmesse in data 23 gennaio 2024, nonché il 20 giugno 2024 e il 13 dicembre 2024, la stessa ha fornito le seguenti precisazioni:

- Europa Factor S.p.A. è un intermediario finanziario ex art. 106 del TUB (Testo Unico Bancario) che effettua trattamenti di dati personali, “in qualità di titolare del trattamento, per le finalità connesse all’attività di recupero dei crediti acquistati in forza di contratti di cessione dei crediti pro soluto sottoscritti con le società cedenti. Per la gestione e il recupero delle posizioni debitorie Europa Factor S.p.A. si avvale di società titolari di licenza ai sensi dell’art. 115 T.U.L.P.S. (Testo Unico delle Leggi di Pubblica sicurezza- R.D. 18 giugno 1931, n. 773 e successive modifiche ed integrazioni) disciplinando il rapporto tramite apposito contratto e nomina a responsabile del trattamento dei dati ex art. 28 del GDPR” (cfr. nota del 24 gennaio 2024, pag. 1; ma v. anche nota del 20 giugno 2024, pag. 1);

- più, nello specifico, per quanto concerne i fatti segnalati dal Sig. XX, la predetta Società “a seguito dell’intervenuta cessione dei crediti da parte di Acea Energia S.p.A., in data 15/12/2020, ha acquistato il credito (..) relativo alla posizione intestata a [quest’ultimo]” e ha successivamente “affidato in data 19/01/2021 l’attività di recupero stragiudiziale del suddetto credito a Euro Service S.p.A. [ora Spinbridge S.p.A], comunicando all’uopo i dati personali anagrafici e contabili necessari ad una corretta gestione della posizione debitoria”. Tutto ciò in forza “dell’incarico di gestione stragiudiziale dei crediti perfezionato in data 11/03/2020 con Euro Service S.p.A. [ora Spinbridge S.p.A], la quale a tal fine è stata nominata responsabile del trattamento dei dati personali ex art. 28 GDPR” (v. nota del 23 gennaio 2024, pag. 1);

- il menzionato Contratto per il Servizio di gestione e Recupero di crediti (di seguito “Contratto di servizio”) –avente “l’obiettivo di definire le attività e i relativi trattamenti dei dati personali da affidare alle società terze” − stabilisce “l’oggetto dell’incarico, nonché le attività affidate alle (..) società, fornendo al contempo idonee istruzioni e linee guida da seguire nell’esecuzione dell’incarico ricevuto” (v. nota del 20 giugno 2024, pag. 2);

- Europa Factor S.p.A., in qualità di titolare del trattamento, ha fornito a  Spinbridge S.p.A. le “istruzioni in relazione alle attività di trattamento dei dati personali dei debitori [e] alle modalità operative da rispettare nello svolgimento del servizio” rinvenibili nel predetto Contratto di Servizio, nonché nel relativo Allegato 1, recante la designazione a Responsabile del trattamento di Spinbridge S.p.A. (v. nota del 23 gennaio 2024, pag. 2);

- per verificare la idoneità del servizio offerto dalle agenzie di credito incaricate quale Spinbridge S.p.A., Europa Factor S.p.A. si avvale di “prassi operative che prevedono il monitoraggio ongoing sull’andamento dell’incarico, attraverso lo scambio di comunicazioni durante il periodo di affido, con cui i fornitori trasmettono aggiornamenti circa lo stato di avanzamento dei lavori riguardanti le posizioni debitorie affidate in loro gestione [ivi compreso il report di chiusura della lavorazione]” (v. nota del 20 giugno 2024, pag. 2, e v. anche nota del 13 dicembre 2024, pag. 2);

- nel corso dell’incarico ricevuto, pertanto, Spinbridge S.p.A., in virtù di quanto sopra, “ha fornito periodici aggiornamenti sullo stato di lavorazione delle posizioni affidate, (..), tra le quali veniva inclusa anche la posizione oggetto di reclamo da parte del Sig. XX”. All’esito di tali comunicazioni non sono stati riscontrati “elementi di anomalia che richiedessero interventi da parte di Europa Factor S.p.A.” (v. nota del 20 giugno 2024, pag. 2). Ciò in quanto dall’esame dei predetti report non sono emerse “segnalazioni sull’impossibilità di procedere al recupero della posizione creditoria in oggetto per incompletezza dei dati ricevuti, ricezione di reclami, contestazioni, o richieste di esercizio dei diritti; e non viene mai dato atto, ai fini del rintraccio, dell’utilizzo di altra numerazione telefonica, né risultavano anomalie in ordine al modus operandi del fornitore” (v. nota del 13 dicembre 2024, pag. 2);

- in particolare, con specifico riferimento all’attività di assistenza che, ai sensi dell’art. 28, par. 1, lett. e) del Regolamento, il responsabile è tenuto porre in essere al fine di consentire al titolare del trattamento di soddisfare le richieste per l’esercizio dei diritti degli interessati, il titolare ha previsto, nell’art. 10 del sopra menzionato Contratto di servizio, l’obbligo di comunicazione nei propri confronti da parte delle società fornitrici (tra cui è ricompresa anche Spinbridge S.p.A.) di “qualunque reclamo espresso dalla clientela riconducibile all’erogazione del Servizio ed in particolare ogni richiesta relativa all’esercizio dei diritti in tema di protezione dei dati personali da parte degli interessati e comunicazione ricevuta da qualsiasi autorità di vigilanza, in relazione ai dati personali” (v. nota del 20 giugno 2024, pag. 2 e  anche nota del 13 dicembre 2024, pag. 2);

- sul punto, Europa Factor S.p.A. ha rappresentato che l’unica richiesta di accesso, ex art. 15 del Regolamento, riferita all’interessato di cui ha avuto contezza è quella pervenuta direttamente alla stessa, in data 4 luglio 2022, ad affido ormai terminato e in assenza di altre precedenti comunicazioni. In riscontro alla stessa, “considerato che nella richiesta l’interessato chiedeva specificatamente la provenienza del numero di telefono “XX” (..)  si rendeva noto [a quest’ultimo] che Europa Factor S.p.A. non era mai stata in possesso del numero telefonico segnalato” (v. nota del 20 giugno 2024, pag. 3 e nota del 13 dicembre 2024, pag. 2);

- in seguito, Europa Factor S.p.A. “non ha più proseguito con ulteriori lavorazioni e azioni di recupero stragiudiziale del credito riferito alla suddetta posizione” (v. nota del 23 gennaio 2024, pag. 2).

Da ultimo, il 12 novembre 2024, è stata effettuata una nuova richiesta di informazioni nei confronti di Spinbridge S.p.A., a fronte della quale, quest’ultima, in data 11 dicembre 2024, ha dato conferma che nell’ambito dell’espletamento dell’incarico conferitole le comunicazioni intercorse con il titolare hanno avuto ad oggetto i soli “SAL [ossia i Repori di Stato Avanzamento Lavori]” che  per prassi e secondo gli accordi intercorsi con la mandante, comprendevano, (..), tutte le pratiche facenti parte del relativo lotto di affido” e che venivano “inviati [dalla stessa] periodicamente ad Europa Factor”. 

La predetta Società ha altresì precisato che “quanto alla loro natura, i file [recanti i predetti report] erano indicatori pro forma, [che fungevano] da indicatori base di performance” per la committente e che l’invio degli stessi ha avuto luogo “fino al 28/2/2022, data di scadenza dell’affido di cui faceva parte la pratica in questione” (cfr. nota del’11 dicembre 2024, pag. 3 e relativi allegati recanti i report prodotti nel periodo ricompreso tra maggio 2021 e febbraio 2022). 

3. La notifica delle violazioni e le memorie difensive.

A seguito della notifica delle presunte violazioni di cui all’art. 28, par. 3, lettere a), e) e h) del Regolamento, trasmessa a Spinbridge S.p.A. con comunicazione del 7 aprile 2025, la Società, con nota del 7 maggio 2025, ha fatto pervenire i propri scritti difensivi, ulteriormente integrati in sede di audizione del 22 luglio 2025 e con successive note del 28 novembre 2025 e del 10 aprile 2026.

Nell’ambito delle sopra menzionate memorie difensive, Spinbridge S.p.A. ha innanzitutto inteso puntualizzare, in punto di fatto, quanto di seguito riportato:

- con specifico riguardo alle modalità operative adottate, nel caso in esame, ai fini della gestione del lotto recante la pratica del sig. XX è stata osservata la “procedura operativa stabilita da Europa Factor”−le cui modalità di attuazione venivano indicate dal titolare per il tramite della comunicazione trasmessa a Spinbridge S.p.A. in data 11 marzo 2020 (v. All. 1 alla nota del 7 maggio 2025)− che prevedeva “l’invio periodico [da parte di quest’ultima] di report, c.d. SAL, distinti a seconda della fase in cui si trovava il recupero” (cfr. nota del 7 maggio 2025, pagg. 3 e 4);

- più nel dettaglio, alla luce di quanto sopra, la pratica in questione “figurava per la prima volta nel SAL inviato alla Mandante in data 29/05/2021, (..) nel quale la stessa era segnalata come (..) “Rintraccio”, intendendosi per tale un’attività di chiamate e/o ricerche in corso” (cfr. in tal senso e anche in relazione agli ulteriori codici menzionati infra, la tabella, contenuta nel documento “Codici Scarico”, denominata “Codici da utilizzare durante la lavorazione” di cui alla comunicazione dell’11 marzo 2020 sopra citata). Tutto ciò, in considerazione della circostanza che “le informazioni in possesso della Mandataria non avevano portato ad un contatto telefonico utile” (cfr. nota del 7 maggio 2025, pag. 4);

- successivamente, “in data 09/06/2021, (..) venivano tentati dall’operatore telefonico di [Spinbridge S.p.A.] due contatti con il sig. XX, dei quali soltanto uno andava a buon fine, e cioè quello sull’utenza mobile: XX”. In tale occasione, il contatto in questione aveva luogo con un soggetto diverso dall’interessato. Vista l’assenza di quest’ultimo, l’interlocutore rappresentava all’operatore “che lo avrebbe [comunque] invitato a ricontattare la Società”. Seguivano, quindi, in pari data alcune chiamate inbound con il sig. XX, provenienti dall’utenza telefonica n. XX, nel corso delle quali da una parte l’interessato veniva edotto dall’operatore circa l’avvenuta cessione del credito, dall’altra lo stesso “confermava i [propri] dati anagrafici e chiedeva espressamente di essere contattato solo su tale numero e di non utilizzare più, da allora in avanti, il XX”. Da ciò ne consegue che, “in data 12/06/2021, a seguito del contatto del 09/06/2021, la pratica figurava nel SAL inviato alla Mandante (..), come “Contatto utile”, a significare che l’utente debitore era stato raggiunto e edotto circa la cessione del credito. È importante evidenziare che il contatto utile a cui si riferiva la nota era evidentemente quello avvenuto sull’utenza telefonica XX, e cioè il numero dal quale [la Società] aveva ricevuto il contatto inbound da parte del sig. XX e sul quale, unicamente, questo aveva chiesto di essere contattato, da quel momento in poi (..). Ciò spiega la ragione per la quale l’utenza in questione - e cioè il dato aggiornato XX - non sia stata comunicata ad Europa Factor nei SAL successivi al 12 giugno fino alla restituzione dell’affido” (cfr. nota del 7 maggio 2025, pag. 5);

- in seguito, il Sig. XX, contestava le fatture ricevute e negava di essere obbligato al relativo pagamento e, al contempo, con specifico riferimento alla fattispecie in esame, il “21/6/2021, (..) chiedeva di conoscere la fonte da cui Euro Service [ora Spinbridge S.p.A.] aveva acquisito il dato relativo all’utenza XX”. Pertanto, “in data 26/06/2021, la pratica figurava nel SAL inviato alla Mandante, (..) e nello specifico segnalata con (..) “Rifiuta Pagamento”, cioè “utente debitore, edotto circa la cessione, non manifesta più volontà di effettuare pagamento”; dicitura che veniva quindi “replicata in tutti i SAL successivi fino al termine dell’affido (cfr. SAL 16/7/2021-18/2/2022)” (cfr. nota del 7 maggio 2025, pagg. 6-7, nonché la tabella, contenuta nel documento “Codici Scarico”, denominata “Codici per la revoca” di cui alla comunicazione dell’11 marzo 2020, sopra citata).

Tanto chiarito, Spinbridge S.p.A., con particolare riguardo alle contestazioni avanzate nell’atto di notifica del 7 aprile 2025 da questa Autorità, ha rappresentato: 

a) rispetto a quanto ivi sollevato in ordine alla circostanza che la Società, in qualità di Responsabile del trattamento, abbia violato gli obblighi di cui all’art. 28, par. 1, lettere a) ed h) del Regolamento −ciò avendo la stessa “omesso di mettere a disposizione del titolare le informazioni personali relative ai debitori, raccolte successivamente al conferimento dell’incarico e utilizzate dalla Società ai fini dello svolgimento dell’attività di recupero stragiudiziale del credito per conto di Europa Factor S.p.A. (nello specifico il nuovo dato di contatto oggetto di contestazione, relativo all’utenza XX intestata al sig. XX)”−, non può essere negato che Spinbridge S.p.A. “abbia omesso di fornire ad Europa Factor il dato aggiornato relativo alla predetta utenza” (come emerge chiaramente “dall’esame dei SAL periodicamente inviati dalla Mandataria alla Mandante tra il maggio 2021 e il febbraio 2022, mese, quest’ultimo, di restituzione dell’affido comprensivo della posizione del sig. XX”) (cfr. nota del 7 maggio 2025, pagg. 10, 11 e 13). Tale operato, però, non costituisce in alcun modo una “condotta illecita e sanzionabile” in quanto “la comunicazione ad Europa Factor del dato relativo all’utenza telefonica XX [e di conseguenza anche del riferimento alla fonte di tale informazione] (..)-reperito (..) a seguito di aggiornamento nel corso di svolgimento dell’incarico- (..) avrebbe integrato (..) una grave violazione della normativa in materia di protezione dei dati personali”. Tale condotta, infatti, “avrebbe comportato il serio e concreto rischio che quel dato venisse utilizzato  −eventualmente anche in future gestioni – come dato di contatto, e, pertanto, trattato in assenza del consenso dell’interessato che, anzi, tale consenso aveva espressamente negato” e al contempo “avrebbe [anche] costituito una violazione dei fondamentali principi imposti dal RGPD, in quanto non coerente con la finalità del trattamento correlato al recupero del credito nei confronti del debitore”. La predetta informazione, ad avviso della Società, “di fatto era [dunque] “inutilizzabile” (cfr. nota del 7 maggio 2025, pagg. 11-14).
Inoltre, è stato da ultimo evidenziato “che l’obbligo di cui all’art. 4.2. del Contratto di servizio −che prevede, al momento della restituzione della posizione del debitore, nel caso di esito negativo dell’intervento di recupero, la trasmissione al titolare di una “relazione sull’attività svolta integrata da eventuale documentazione, se acquisita, quale: rintracci, certificati di stato di famiglia o residenza etc.” − non viene di fatto adempiuto dalla Società mediante la redazione di relazioni dettagliate e ad hoc rispetto ad ogni singola posizione debitoria. Tutto ciò considerato l’ingente numero di affidi oggetto del Contratto in questione; circostanza che renderebbe l’adempimento di tale obbligo nei termini di cui sopra particolarmente oneroso”. Spinbridge S.p.A., secondo quanto richiesto dalla mandante, ha invece eseguito il proprio incarico limitandosi “a compilare i campi indicati nei format dei report messi a disposizione dal titolare” nei termini sopra descritti (v. verbale dell’audizione del 22 luglio 2025);

b) con riferimento alla ulteriore contestazione sollevata da questa Autorità, nell’atto di notifica sopra citato, in ordine al mancato adempimento, nel caso di specie, da parte della Società dell’obbligo di cui all’art. 28, par. 1, lett. e) del Regolamento, non può negarsi che “effettivamente [quest’ultima] abbia omesso di comunicare tempestivamente ad Europa Factor la ricezione dell’istanza ex art. 15 del RGPD presentata dal sig. XX, in violazione di quanto previsto dall’art. 10.1 del contratto di servizi”, sebbene tale condotta non abbia definitivamente compromesso l’effettiva applicazione  della disposizione in  questione. Ciò considerato che “al fine di soddisfare la [successiva] richiesta del sig. XX [del 4 luglio 2022] sarebbe bastato, (..), che Europa Factor rivolgesse (..) una specifica richiesta a [Spinbridge S.p.A. per] conoscere la fonte di arricchimento dei dati del sig. XX originariamente forniti” (cfr. nota del 7 maggio 2025, pagg. 14-15 e 17).

Infine, la Società ha sottolineato, tra gli elementi a proprio favore per l’eventuale determinazione della sanzione amministrativa, l’impegno profuso dalla stessa, a seguito dell’avvio del procedimento da parte del Garante, volto a rafforzare il livello di compliance in materia di protezione dei dati personali all’interno della propria organizzazione. 

Più nel dettaglio, Spinbridge S.p.A. ha reso noto, al riguardo, all’Autorità che:

- “si è da tempo dotata di un sistema completo di compliance al RGPD, che, tra l’altro, comprende anche la procedura di riscontro alle istanze di esercizio dei diritti ex art. 15, la pianificazione di cicli di formazione di tutto il personale e i collaboratori a vario titolo della Società, modelli completi di istruzioni da fornire agli incaricati dei vari trattamenti di dati, la designazione di un DPO, tutte misure atte a prevenire il rischio del verificarsi di situazioni analoghe a quella che ha interessato il sig. XX” (cfr. nota della Società del 7 maggio 2025, pagg. 15-16);

- ha avviato con Europa Factor S.p.A. “un tavolo di lavoro finalizzato ad implementare le "misure correttive" necessarie [in materia di flussi di dati] (..) per rendere le relative procedure interne, conformi al GDPR” (cfr. nota del 28 novembre 2025, pag. 1). In particolare, all’esito dello stesso è stata adottata la procedura di “Gestione diritti dell’interessato_2026” (cfr. All. 1, della nota del 10 aprile 2026 recante la specifica sezione 9 sulla “Gestione come Responsabile del trattamento”), nonché introdotta una nuova prassi operativa, attualmente in vigore nei rapporti contrattuali esistenti tra Spinbridge S.p.A. e Europa Factor S.p.A., volta a superare “il problema del disallineamento delle informazioni in possesso del titolare e del responsabile in merito alla fonte di aggiornamento del dato”. In virtù di tale prassi, “l’attività di aggiornamento dei dati dei debitori è ad oggi effettuata direttamente da Europa Factor S.p.A. e non dalla responsabile del trattamento”. Più nello specifico, “ove i dati di contatto inizialmente forniti da Europa Factor al momento dell’affido delle pratiche non abbiano condotto ad un contatto utile con il debitore da parte di Spinbridge, la Mandante esegue l’attività di aggiornamento del dato [di contatto]” e all’esito della stessa “provvede a comunicare [l’ulteriore] dato del debitore alla società appaltatrice, che può così proseguire nell’attività di recupero del credito” (cfr. nota del 7 maggio 2025, pagg. 15 e 16, nonché verbale dell’audizione del 22 luglio 2025 e nota del 10 aprile 2026).

4. L’esito dell’istruttoria: prime osservazioni sul trattamento dei dati personali posto in essere da Spinbridge S.p.A. 

In primis, si rappresenta che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”. 

Tanto doverosamente premesso, occorre osservare preliminarmente che il trattamento dei dati personali del Sig. XX, posto in essere nel caso in esame, è stato effettuato, da Europa Factor S.p.A., in qualità di titolare. In tale contesto, Spinbridge S.p.A. ha agito invece quale responsabile del trattamento dei dati del debitore ceduto; tutto ciò, in virtù del Contratto di servizio sottoscritto dalle Società in data 11 marzo 2020 e dell’avvenuta designazione in tal senso ed ivi allegata.

A fronte degli elementi complessivamente acquisiti nel corso delle menzionate verifiche e delle successive valutazioni svolte dall’Autorità rispetto al quadro sopra indicato, il trattamento dei dati personali dei debitori ceduti posto in essere da Spinbridge S.p.A. (di seguito “Società”), nell’ambito dello svolgimento dell’attività di recupero stragiudiziale del credito, in qualità di responsabile, è risultato essere stato effettuato in violazione del Regolamento, per le ragioni di seguito più diffusamente esplicitate. 

4.1. Gli obblighi direttamente imposti al responsabile del trattamento ai sensi dell’art. 28 del Regolamento. 

In termini generali, per quanto concerne gli specifici profili inerenti al trattamento dei dati personali dei debitori interessati dalle operazioni di recupero crediti effettuate nella fattispecie in esame, è necessario osservare quanto segue.

Merita innanzitutto segnalare che rispetto al precedente quadro normativo, il Regolamento ha conferito al responsabile del trattamento una più evidente rilevanza esterna e una maggiore responsabilità nella gestione del trattamento dei dati. 

Sul punto, il Comitato europeo per la protezione dei dati personali ha, invero, evidenziato come “un’innovazione distintiva introdotta [dalla nuova normativa sia] costituita dalle disposizioni che impongono obblighi direttamente ai responsabili del trattamento” (quali ad esempio quelli previsti dagli artt. 30, par. 2, 32, 33, par. 2 e 37 del Regolamento; cfr., in tal senso, Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR” – di seguito “Linee guida 07/2020”, adottate dal Comitato europeo per la protezione dei dati, di seguito “EDPB”, il 7 luglio 2021, par. 93) e che disciplinano le varie forme di cooperazione che il responsabile è tenuto a porre in essere con il titolare (v., in tal senso, provv. 20 giugno 2024, doc web n. 10039471).

L’art. 28, par. 3 del Regolamento, in particolare, oltre a specificare nel dettaglio il contenuto dell’accordo di designazione del responsabile, impone obblighi gravanti direttamente su quest’ultimo; obblighi, peraltro, da cui derivano, ai sensi dell’art. 83, par. 4, lett. a) del Regolamento, specifiche sanzioni in caso di inosservanza degli stessi (v. Linee guida 07/2020, cit., par. 93).

Tra questi, occorre rammentare, in ragione delle caratteristiche del caso di specie, l’obbligo di agire nel rispetto delle istruzioni fornite dal titolare, nonché quello di assistere quest’ultimo “nel garantire la conformità alle disposizioni della normativa in materia di protezione dei dati personali” (v. Linee guida 07/2020, cit. par. 93).

In tale quadro, si tenga conto, altresì, che la stessa giurisprudenza di legittimità ha di recente sottolineato come, in termini generali, anche il responsabile del trattamento −che deve ai sensi dell’art. 28, par. 1 del Regolamento, “mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato”− è sostanzialmente “tenuto, [in ragione di tale previsione] (..), ad osservare, il principio [generale] di «responsabilizzazione»”; principio che, come noto, “connota, in termini del tutto innovativi, l'intero impianto del regolamento 2016/679 (v., oltre l'art. 5 e tra gli altri, gli artt.23-25, l'art. 28 e i considerando 74 e 78 del regolamento)” (cfr., in tal senso, Cass. civ., Sez. I, Ordinanza dell’11 aprile 2024, n. 9880).

Ne consegue che −a fronte delle idonee istruzioni che il titolare deve ad ogni modo impartire in ordine alle finalità dello stesso e agli elementi essenziali che ne costituiscono i mezzi− compete comunque al responsabile, a sensi dell’art. 28 del Regolamento, l’individuazione, sulla base delle indicazioni di principio fornite dal data controller, dei mezzi tecnici e organizzativi più idonei a porre in essere le operazioni di trattamento oggetto di incarico (in tal senso, si veda, tra gli altri, provv. 17 ottobre 2024, doc. web n. 10084403). 

Tutto ciò, correttamente declinando, in virtù delle specifiche competenze da questi maturate nel relativo contesto di riferimento, le istruzioni impartite dal titolare al fine di conformare al Regolamento le attività di trattamento poste in essere per conto di quest’ultimo (art. 28, par. 3 del Regolamento).

Sul punto, si rileva che Spinbridge S.p.A., nel caso in esame, è la società contraente che, in virtù dell’apposita licenza rilasciata dall’Autorità competente, svolge un servizio specifico, ossia quello “di gestione di recupero crediti in sofferenza o di difficile recuperabilità di qualsiasi natura per conto di terzi”, che viene reso dalla stessa “con autonoma organizzazione di mezzi e a proprio rischio” (cfr., al riguardo, la sezione “Premessa” del Contratto di Servizio sottoscritto con Europa Factor S.p.A. in data 11 marzo 2020).

In virtù di quanto sopra complessivamente esplicitato, la stessa, dunque, –quale società dotata delle risorse, sia in termini di personale che di applicativi, e dell’expertise che la medesima vanta nel precipuo settore in esame, nonché soggetto all’uopo incaricato al trattamento, nello svolgimento di attività di recupero crediti, dei dati personali dei debitori– ha il compito di determinare, in concreto, le modalità di adempimento delle istruzioni al riguardo impartite dal titolare.

In particolare, l’esatto adempimento delle predette istruzioni da parte di una società che, come Spinbridge S.p.A., offre servizi specialistici nel settore di riferimento, deve ricomprendere l’adozione di misure tecniche e organizzative adeguate, volte ad assistere il titolare nel garantire la conformità del trattamento alle disposizioni del Regolamento, nonché a consentire che vengano adeguatamente soddisfatte le richieste per l’esercizio dei diritti dell’interessato; tutto ciò mettendo a disposizione le informazioni necessarie per dimostrare il rispetto di tali adempimenti (v., in particolare, art. 28, par. 3, lettere a), e) e h) del Regolamento). 

4.2. L’obbligo di tenere traccia degli ulteriori dati raccolti e di metterli a disposizione del titolare.

In via preliminare, si ritiene opportuno precisare che, nell’ambito dello svolgimento dell’attività di recupero crediti da parte del soggetto terzo, incaricato dal titolare di effettuare le operazioni di contatto del debitore, possono essere oggetto di trattamento non solo i “dati anagrafici riferiti al debitore, codice fiscale (o partita Iva del medesimo), ammontare del credito vantato (unitamente alle condizioni del pagamento) e recapiti (anche telefonici)” −in quanto dati “necessari all´esecuzione dell´incarico (..) di norma forniti dall´interessato in sede di conclusione del contratto” e dunque trasmessi dal creditore al mandatario al momento dell’affidamento dell’incarico− ma anche quelli ulteriori, comunque desumibili, attraverso attività di ricerca effettuate, nel corso del mandato, a fronte della consultazione di banche dati pubbliche/pubblici registri e/o di fonti terze autorizzate, nonché di informazioni raccolte nel normale svolgimento dell’incarico ricevuto (cfr. provv. 30 novembre 2005, doc. web n. 1213644).  

Ne deriva quindi che, nel contesto delle attività di recupero crediti, i dati utilizzati dal predetto terzo incaricato possono essere, spesso, nella pratica, nella esclusiva disponibilità di quest’ultimo, trattandosi di informazioni che non sempre sono fornite direttamente dal creditore, ma che piuttosto sono raccolte autonomamente da tale soggetto nel corso dell’incarico (quali, ad esempio, come nel caso di specie, gli ulteriori recapiti del debitore anche telefonici e la fonte degli stessi); tutto ciò a fronte dell’avvenuto svolgimento dell’attività di ricerca di cui sopra (ad esempio, qualora sia necessario recuperare, per il compimento delle operazioni di rintraccio, dati di contatto dei debitori e ci si avvalga, a tal fine, di attività investigative utilizzando i poteri conferiti a taluni soggetti ai sensi dell’art. 134 del Testo unico delle leggi di pubblica sicurezza “TULPS”, R.D. 18 giugno 1931, n. 773; v. in tal senso anche provv. 17 ottobre 2024, doc. web n. 10084420).  

Tanto premesso, merita evidenziare che, il responsabile in ragione degli obblighi più diffusamente esplicitati nel par. 4.1. della presente decisione, è tenuto a mettere a disposizione del titolare le informazioni personali −autonomamente acquisite− in quanto correlate alla posizione del debitore nei cui confronti viene espletata l’attività di recupero del credito (quali i dati di contatto degli interessati). 

D’altronde, l’indicazione, da parte del responsabile, delle predette informazioni, così come della fonte da cui sono state tratte, “è indispensabile per consentire al titolare di verificare la legittimità del trattamento posto in essere e risponde all’obbligo (..) previsto dall’art. 28, comma 3, lett. h) del Regolamento” (cfr. provv. 17 ottobre 2024, doc. web n. 10084403).

Inoltre, occorre tener conto che l’adozione di misure tecniche e organizzative consistenti nel tener traccia degli ulteriori dati acquisiti e della loro origine, “è (..) uno degli “obblighi diretti” del responsabile previsti dall’art. 28, comma 3, lettere e) del Regolamento”, in quanto trattasi di misure adeguate anche funzionali ad assistere il titolare nel dare riscontro alle istanze di esercizio dei diritti dell’interessato (cfr. provv. 17 ottobre 2024, doc. web n. 10084403).

Merita evidenziare che gli adempimenti in questione sono posti in essere dal responsabile, a fronte, ovviamente, delle istruzioni che il titolare è tenuto a fornire al riguardo a quest’ultimo, ai sensi dell’art. 28, comma 1, lett. a) del Regolamento; ossia di istruzioni che, seppur non dettagliate al punto da contemplare un obbligo specifico in tal senso, contengano, a carico del soggetto incaricato del recupero dei crediti, come constatato nel caso di specie, un generale dovere di reportistica relativamente alle informazioni inerenti alle posizioni debitorie oggetto del contratto e prevedano l’aggiornamento costante dei dati dei debitori, raccolti nell’ambito dell’esecuzione dell’incarico.  

Sul punto, è stato già puntualizzato in passato dal Garante che l’esatto adempimento di tali prescrizioni, da parte del responsabile, deve ricomprendere la necessaria verifica in termini di liceità di raccolta, nonché l’esattezza e il relativo aggiornamento dei dati personali di fatto utilizzati per contattare il debitore e la contestuale trasmissione degli stessi al titolare (cfr., in tal senso, provv. 17 ottobre 2024, doc. web n. 10084403).

Tali attività sono infatti finalizzate ad assicurare la conformità del trattamento concretamente posto in essere al principio di liceità, correttezza e trasparenza, e al principio di esattezza di cui all’art. 5, par. 1, lett. a) e d) del Regolamento e, al contempo, sono strettamente funzionali a consentire al titolare di poter soddisfare adeguatamente eventuali istanze presentate dagli interessati ai sensi degli artt. 15 e ss. del Regolamento.  

In conclusione, il responsabile −in conformità a quanto stabilito dal Regolamento e nel rispetto dei relativi obblighi e correlate istruzioni− deve avere cura di adottare misure tecniche e organizzative volte a mettere a disposizione del titolare un quadro esatto ed aggiornato delle informazioni effettivamente raccolte e trattate con riferimento alla gestione della posizione creditizia del debitore nello svolgimento dell’incarico ricevuto.

4.3. La violazione dell’art. 28, comma 3, lett. a) e h) del Regolamento. 

Alla luce delle considerazioni sopra espresse, per quanto concerne il caso oggetto della presente decisione, è stato di contro accertato che Spinbridge S.p.A., in qualità di responsabile del trattamento, all’atto del trattamento dei dati personali del Sig. XX per le finalità di recupero crediti, non ha trasmesso ad Europa Factor S.p.A. tutte le informazioni aggiornate in ordine alla pratica di credito riferita all’interessato e all’anagrafica dello stesso.

Ciò, nonostante le previsioni in materia di aggiornamento dei dati dei debitori da parte del responsabile da effettuarsi, in esecuzione del vigente Contratto di servizio, “in piena osservanza dei principi applicabili al trattamento dei dati sanciti dall’art. 5 del Regolamento (UE) 2016/679” e “tenendo conto dei provvedimenti tempo per tempo emanati dall’Autorità Garante per la protezione dei dati personali e inerenti al trattamento svolto dal Responsabile”, come indicato nella “Nomina a responsabile del trattamento di dati personali ai sensi del regolamento (UE) 2016/679” (cfr. All. 1 al sopra menzionato Contratto di servizio), e gli obblighi di comunicazione “entro due giorni lavorativi, di qualunque reclamo espresso dalla clientela riconducibile all’erogazione del Servizio, ed in particolare di ogni richiesta relativa all’esercizio dei diritti in tema di protezione dei dati personali da parte degli interessati (..),  fornendole con precisione tutte le informazioni ed i dati in suo possesso in merito” (v. art. 10.1. del Contratto di Servizio citato). 

Nello specifico, nel corso degli accertamenti, è stato constatato che la Società ha raccolto un dato di recapito ulteriore, rispetto a quelli in origine trasmessi dal titolare a Spinbridge S.p.A., consistente nell’utenza telefonica oggetto di contestazione nella fattispecie in esame (trattasi del numero XX), che peraltro è risultata essere intestata all’interessato, seppur, all’epoca, non più nella sua disponibilità.

Sebbene il Sig. XX, in data 9 giugno 2021, −come sottolineato dalla Società− abbia manifestato all’operatore la sua contrarietà all’utilizzo di tale recapito nel proseguo delle operazioni volte alla riscossione del credito, è indubbio che la predetta informazione sia stata oggetto di trattamento da parte di Spinbridge S.p.A. nell’ambito della gestione della posizione affidata.

La circostanza che il dato di contatto non sia più utilizzabile, per il perseguimento delle finalità strettamente connesse alle attività di contatto volte al recupero del credito in conformità a quanto stabilito dall’art. 5 del Regolamento, non esime infatti la Società  −diversamente da quanto rappresentato dalla stessa nelle memorie difensive del 7 maggio 2025 (v., al riguardo, supra, paragrafo 3, lett. a) della presente decisione)− a tenere traccia di tali informazioni (ivi compresa quella relativa alla fonte del dato oggetto di contestazione) e a comunicarle al titolare. 

Quanto sopra, nell’ottica di assicurare che il titolare possa disporre di tutte le informazioni relative ai propri debitori, anche di quelle acquisite dal responsabile successivamente al conferimento dell’incarico, e più nello specifico possa avere piena contezza dei dati di contatto del debitore (e della relativa fonte) legittimamente utilizzabili (o meno) ai fini del recupero del credito, affinché sia garantita la conformità del trattamento da parte dello stesso alle disposizioni del Regolamento. 

Sul punto, si tenga conto altresì che, la Società, sebbene abbia preso correttamente atto della manifestazione di volontà resa dal Sig. XX il 9 giugno 2021, non ha al contempo reso noto, in qualità di responsabile, al titolare dell’avvenuta opposizione al trattamento del predetto dato di contatto, di fatto esercitata dall’interessato nel corso del contatto telefonico avvenuto nei termini descritti al paragrafo 3 della presente decisione (più in generale, in ordine agli obblighi di comunicazione al titolare in capo a Spinbridge S.p.A. rispetto ai diritti esercitati dagli interessati ai sensi del Regolamento ai sensi dell’art. 10.1 del citato Contratto di servizio, v. infra, più diffusamente, par. 4.4.). 

Da ultimo, si rileva, inoltre come, con riferimento alle comunicazioni periodiche (c.d. SAL) di aggiornamento in ordine allo stato della pratica di credito riferita al Sig. XX trasmesse ad Europa Factor S.p.A., il titolare abbia espressamente dichiarato che, dall’analisi dei predetti report, non “sono mai emerse segnalazioni sull’impossibilità di procedere al recupero della posizione creditoria in oggetto per incompletezza dei dati ricevuti, ricezione di reclami, contestazioni, o richieste di esercizio dei diritti” né è stato dato mai “atto, ai fini del rintraccio, dell’utilizzo di altra numerazione telefonica” (v. nota del 13 dicembre 2024, pag. 2).

Tali informazioni non sono state trasmesse neanche al momento della restituzione della posizione del debitore a conclusione del mandato, non avendo la Società predisposto in tale occasione −come peraltro confermato dalla stessa− la “relazione sull’attività svolta integrata da eventuale documentazione, se acquisita, quale: rintracci, certificati di stato di famiglia o residenza etc.” di cui all’art. 4.2. del sopra menzionato Contratto di servizio; relazione che, visto l’esito negativo dell’intervento di recupero nel caso di specie avrebbe dovuto essere invece fornita ad Europa Factor S.p.A. ai sensi della predetta clausola (v., supra, paragrafo 3 della presente decisione).

Alla luce di quanto sopra complessivamente rilevato, come accertato nel corso dell’istruttoria, la Società −tenuta a effettuare, sulla base delle istruzioni impartite, l’aggiornamento dei dati riferiti al debitore (anche in ordine all’origine degli stessi), in esecuzione del mandato ricevuto− non disponeva, dunque, nel complesso, all’epoca dei fatti, delle misure tecniche e organizzative relative alla messa a disposizione, con riguardo alle posizione affidate, degli ulteriori dati raccolti e trattati dalla medesima per conto dei propri committenti, atte a garantire un aggiornamento delle informazioni personali dei debitori, nei confronti del titolare, nell’ottica di prevenire criticità analoghe al caso di specie.  

La condotta di Spinbridge S.p.A., quale responsabile del trattamento, ha pertanto comportato la violazione, da parte della stessa dell’art. 28, par. 3, lettere a) e h) del Regolamento.

4.4. La mancata assistenza al titolare del trattamento al fine di soddisfare gli obblighi in materia di esercizio dei diritti.

Con specifico riferimento all’istanza di accesso avanzata dal Sig. XX nei confronti della Società in data 21 giugno 2021 e all’ulteriore profilo di contestazione sollevato da questa Autorità al riguardo, si ribadisce nuovamente che il destinatario della richiesta avanzata ai sensi dell’art. 15 del Regolamento è, in base al quadro normativo vigente in materia di protezione dei dati personali in ordine all’esercizio dei diritti da parte dell’interessato, il titolare del trattamento.

È infatti quest’ultima la figura tenuta, ai sensi dell’art. 12, par. 3 del Regolamento, a fornire “all'interessato le informazioni relative all'azione intrapresa riguardo [alla stessa] senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal [suo] ricevimento”.
Fermo restando quanto sopra, merita però al contempo evidenziare che, sebbene il responsabile del trattamento non sia il soggetto deputato, in base disciplina in materia di protezione dei dati personali, a fornire direttamente riscontro alle menzionate istanze, l’art. 28, par. 3, lett. e) del Regolamento prevede, comunque, un ulteriore “obbligo diretto” al riguardo in capo allo stesso (v. al riguardo, anche provv. 12 settembre 2024, doc. web n. 10070832). 

In base a tale disposizione, il responsabile infatti è tenuto ad assistere “il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo del titolare del trattamento di dare seguito alle richieste per l'esercizio dei diritti dell'interessato di cui al capo III” (art. 28, par. 1, lett. e) del Regolamento). 

Come noto, è il contratto a dover prevedere che il responsabile del trattamento abbia l’obbligo di fornire tale assistenza; assistenza che “può consistere semplicemente anche nel trasmettere tempestivamente qualsiasi richiesta ricevuta e/o nel consentire al titolare del trattamento di estrarre e gestire direttamente i dati personali pertinenti” (cfr. sul punto EDPB, Linee Guida 7/2020, cit., par. 1.3.5). 

Con riferimento al caso di specie, è stato rilevato che Europa Factor S.p.A., in qualità di titolare del trattamento, ha fornito, nel menzionato Contratto di Servizio, specifiche istruzioni a Spinbridge S.p.A. al riguardo. 

In tale atto, è infatti stabilito che la Società si impegna a comunicare ad Europa Factor S.p.A. “ogni richiesta relativa all’esercizio dei diritti in tema di protezione dei dati personali da parte degli interessati” e a fornire “con precisione tutte le informazioni e i dati in suo possesso” (cfr. art. 10.1 del citato Contratto di servizio).

È stato tuttavia accertato che Spinbridge S.p.a. −come peraltro confermato dalla stessa (cfr. in tal senso le dichiarazioni della Società riportate nel paragrafo 3, lett. b) della presente decisione)− a fronte dell’istanza presentata dall’interessato in data 21 giugno 2021 ex art. 15 del Regolamento, non ha provveduto ad ottemperare alle predette istruzioni legittimamente impartite dal titolare, né ha dimostrato di disporre di misure tecnico-organizzative volte ad assistere il titolare nel dare riscontro alle istanze di esercizio dei diritti dell’interessato (quali, ad esempio, quelle di contro implementate a seguito della notifica di violazione del Garante e descritte al paragrafo 3 della presente decisione).

Merita inoltre evidenziare, che la mancata adozione, da parte di Spinbridge S.p.A., delle adeguate misure di cui ai paragrafi 4.2. e 4.3. della presente decisione, non ha consentito al titolare di avere a disposizione tutte le informazioni riferite al Sig. XXche sono state oggetto di trattamento nell’ambito dell’esecuzione del mandato da parte della Società, e di adempiere così all’obbligo di soddisfare in maniera compiuta anche la successiva istanza di esercizio dei diritti dell’interessato, inoltrata dal Sig. XX all’attenzione di quest’ultima in data 4 luglio 2022.

In conclusione, la condotta tenuta da Spinbridge S.p.A. ha determinato la violazione dell’art. 28, par. 3, lett. e) del Regolamento non avendo la stessa da un parte provveduto a veicolare l’istanza ex art. 15 del Regolamento del 21 giugno 2021 affinché il titolare del trattamento potesse darvi seguito, e dall’altra non avendo messo a disposizione di quest’ultimo le informazioni aggiornate, in ordine al trattamento dei dati afferenti all’interessato, che avrebbero consentito ad Europa Factor S.p.A. di fornire un riscontro tempestivo e completo, nel rispetto dell’art. 12, par. 3 del Regolamento, alle istanze avanzate dal Sig.XX.

5. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Alla luce di quanto complessivamente rilevato, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento, nel corso dell’istruttoria, non consentano di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultino pertanto inidonee a disporre l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato da Spinbridge S.p.A., risulta infatti illecito, nei termini su esposti, in quanto posto in essere in violazione dell’art. 28, par. 3, lettere a), h) ed e) del Regolamento.

Per quanto concerne l’esercizio dei poteri correttivi di cui all’art. 58, par. 2, del Regolamento, si prende atto della circostanza che Spinbridge S.p.A., nel corso del procedimento, ha provveduto ad adottare alcune prime misure tecniche e organizzative volte ad allineare il trattamento oggetto del presente procedimento al Regolamento.

Sul punto, si fa riferimento, in particolare, all’avvenuta implementazione, a seguito della notifica di violazione del Garante, della “Procedura di gestione dei diritti dell’interessato_2026”.

Al contempo, merita però evidenziare −rispetto alle ulteriori iniziative assunte dalla Società in materia di protezione dei dati personali, come più diffusamente descritte al paragrafo 3 della presente decisione− che le modalità individuate dalla stessa, volte all’arricchimento dei dati di contatto relativi ai debitori, attualmente in vigore nei rapporti contrattuali in essere con Europa Factor S.p.A., non consentono di superare tutte le specifiche criticità rilevate nella presente decisione. 

Le stesse si limitano di fatto a prevedere −per il tramite di un impegno assunto dalla committente peraltro frutto di una mera prassi operativa− un’attività di aggiornamento, a carico di quest’ultima, avente ad oggetto i dati di contatto (telefonici) dei debitori qualora quelli forniti in origine a Spinbridge S.p.A. non si rivelino utili; cui segue la comunicazione degli stessi alla predetta Società, che può così proseguire nell’attività di contatto volte al recupero del credito.

Nell’ottica di assicurare l’aggiornamento costante, nei confronti del titolare del trattamento, del complesso dei dati personali dei debitori raccolti e trattati dal responsabile, si ritiene necessario ingiungere a Spinbridge S.p.A., ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di adottare misure tecniche e/o organizzative aggiuntive, volte a garantire che sia messo, sistematicamente, a disposizione del titolare, nel corso dello svolgimento dell’incarico, un quadro esatto ed aggiornato di tutte le informazioni personali dei debitori relative alla gestione delle posizioni affidate, che possono essere comunque acquisite autonomamente dal responsabile, quali ad esempio, quelle eventualmente recuperate da quest’ultimo nel corso delle operazioni di rintraccio, ovvero ottenute a fronte delle specifiche richieste avanzate dagli interessati.

Da ultimo, si rileva che le violazioni, accertate nei termini di cui in motivazione, non possono in alcun modo essere considerate “minori”, ai sensi del considerando 148 del Regolamento; ciò tenuto conto della pluralità delle violazioni contestate e del numero di interessati coinvolti, nonché degli ulteriori elementi più diffusamente esplicitati al paragrafo 6 della presente decisione.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83 del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali posto in essere da Spinbridge S.p.A., di cui è stata accertata l’illiceità, nei termini esposti. 

La violazione dell’art. 28, par. 3, lettere a), h) ed e) del Regolamento e comporta l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 4, lett. a) del Regolamento (cfr. anche art. 166, comma 2 del Codice).

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5 del Regolamento.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nell’ipotesi in esame, sono state tenute in considerazione le circostanze sotto riportate:

- la rilevante gravità della violazione (art. 83, par. 2, lettere a) e g) del Regolamento), in relazione alla natura (in quanto concernente l’inosservanza degli obblighi attribuiti al responsabile ex art. 28 del Regolamento all’atto dell’incarico), alle modalità (consistenti nell’assenza di misure organizzative idonee ad assicurare l’aggiornamento dei dati personali dei debitori oggetto di trattamento) nonché alle finalità del relativo trattamento (effettuato nel contesto di un’attività di recupero crediti). In merito, rileva in particolare sia la posizione, in termini di professionalità e competenza, della Società −dotata, come rilevato, di un “autonoma organizzazione di mezzi” per la “gestione di recupero crediti in sofferenza o di difficile recuperabilità di qualsiasi natura per conto di terzi”− sia la circostanza che la stessa, con specifico riferimento al caso in esame, a seguito della ricezione, il 21 giugno 2021, dell’istanza ex art. 15 del Regolamento del Sig. XX, non abbia adempiuto a quanto espressamente prescritto dall’art. 10.1. del relativo Contratto di servizio, non ottemperando all’obbligo, ivi previsto, di trasmettere al titolare ogni richiesta relativa all’esercizio dei diritti in tema di protezione dei dati personali da parte degli interessati, nonché di fornire con precisione tutte le informazioni ed i dati in suo possesso in merito. A favore del trasgressore, si è tenuto comunque conto della tipologia delle informazioni oggetto di contestazione che non sono riconducibili a categorie particolari di dati personali e del limitato numero di interessati coinvolti nella vicenda in esame (trattandosi di un interessato); nonché della circostanza che sebbene la condotta tenuta abbia compromesso il pieno esercizio dei diritti dell’interessato, Spinbridge S.p.A. ha fornito un primo autonomo, anche se incompleto, riscontro alla predetta istanza di accesso;

- il carattere colposo della violazione (art. 83, par. 2, lett. b) del Regolamento); ciò in ragione della circostanza che sulla base di quanto significato dalla Società (cfr. nota del 7 maggio 2025, pagg. 18-20) “l’omissione di informazioni ad Europa Factor [può essere considerata] al massimo frutto di un comportamento negligente”, tenuto conto che non vi era l’intenzione da parte di quest’ultima di compromettere l’esercizio dei diritti dell’interessato quanto piuttosto quella di soddisfare in primis la sua opposizione all’utilizzo del dato di contatto in questione;

- il rilevante grado di responsabilità del contravventore, in ordine all’inadeguatezza delle misure tecniche e organizzative messe in atto da quest’ultimo (art. 83, par. 2, lett. d) del Regolamento); ciò preso atto dell’assenza, all’epoca dei fatti contestati, di procedure idonee a prevenire il verificarsi di eventi analoghi a quello oggetto di esame nel caso di specie;

- l’adozione di misure atte a mitigare o a eliminare le conseguenze della violazione (art. 83, par. 2, lett. c), del Regolamento). Al riguardo va positivamente considerata la circostanza che Spinbridge S.p.A. abbia spontaneamente adottato, nel corso del procedimento, alcune misure volte a rafforzare il livello di compliance in materia di protezione dei dati personali all’interno della propria organizzazione, quali quelle finalizzate a garantire l’assistenza al titolare del trattamento nel soddisfare gli obblighi in materia di esercizio dei diritti (v. supra, par. 3, punto ii) del presente provvedimento); 

- l’assenza di precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all'art. 58 del Regolamento relativamente allo stesso oggetto (art. 83, par. 2, lettere e) ed i) del Regolamento);

- la circostanza che la Società abbia attivamente cooperato con l’Autorità nel corso del procedimento (art. 83, par. 2, lett. f) del Regolamento). 

Da ultimo, si è tenuto conto altresì a favore del trasgressore (art. 83, par. 2, lett. k) del Regolamento), delle ulteriori iniziative che la Società ha assunto spontaneamente, quali il tavolo di lavoro tenuto con Europa Factor S.p.A., nell’ottica di avviare azioni utili a conformare le attività di trattamento al Regolamento (cfr. al riguardo, paragrafo 3. punti i) e ii) della presente decisione).  

Si ritiene inoltre che assumano rilevanza nell’ipotesi di specie, in ragione dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), le condizioni economiche del contravventore, determinate in base al volume d’affari della Società, di cui al bilancio d’esercizio per l’anno 2024 (ultimo disponibile).

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Spinbridge S.p.A. la sanzione amministrativa del pagamento di una somma pari ad euro 30.000,00 (trentamila/00).

In tale quadro, si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l’ordinanza ingiunzione sul sito Internet del Garante.

Ciò in considerazione del peculiare contesto del trattamento (attività di recupero crediti), nonché della tipologia della violazione accertata, che ha riguardato i principali obblighi del responsabile e interessato gli adempimenti in materia di principi generali del trattamento di cui all’art. 5, par. 1 del Regolamento e di esercizio dei diritti degli interessati di cui al capo III del Regolamento.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

a) dichiara, ai sensi degli artt. 57, par. 1, lett. f) del Regolamento, l’illiceità del trattamento effettuato da Spinbridge S.p.A., con sede in Roma, p. iva 02486240613, nei termini di cui in motivazione, per la violazione dell’art. 28, par. 3, lettere a), h) ed e) del Regolamento; 

b) ingiunge, ai sensi dell'art. 58, par. 2, lett. d) del Regolamento, alla summenzionata Società di conformarsi, entro sei mesi dalla data della notifica del presente provvedimento, alla prescrizione formulata al par. 5 della presente decisione, richiedendo al contempo alla stessa di fornire, entro il predetto termine, un riscontro adeguatamente documentato ai sensi dell'art. 157 del Codice; l’eventuale mancato riscontro può comportare l'applicazione della sanzione amministrativa pecuniaria prevista dall'art. 83, par. 5, lett. e) del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento alla medesima Spinbridge S.p.A., di pagare la somma di euro 30.000,00 (trentamila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento alla medesima Società di pagare la predetta somma di euro 30.000,00 (trentamila/00), a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento, secondo le modalità illustrate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall'art. 27 della legge n. 689/1981. 

Si rappresenta che, ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento di un importo pari alla metà della sanzione irrogata entro il termine di cui all'art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato;

DISPONE

- ai sensi dell'art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell'ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell'art. 154-bis, comma 3 del Codice e dell'art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell'Autorità;

- ai sensi dell'art. 17 del Regolamento del Garante n. 1/2019, l'annotazione delle violazioni e delle misure adottate in conformità all'art. 58, par. 2 del Regolamento, nel registro interno dell'Autorità previsto dall'art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 28 maggio 2026 

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Montuori