Il Garante Privacy, con provvedimenti n. 386 e 387 del 28 maggio 2026, in tema di trattamento di dati personali ha sanzionato due società – una in qualità di titolare e l’altra in qualità di responsabile del trattamento in quanto società incaricata del recupero crediti per la prima.
In particolare, il Garante è intervenuto a seguito di segnalazione operata dal debitore della società titolare de trattamento alla luce dell’utilizzo, nell’ambito delle attività di recupero del credito, di un numero di cellulare a lui intestato ma non più nella sua disponibilità.
Il debitore lamentava le modalità tramite cui la società di recupero crediti trattava i propri dati personali e richiedeva informazioni su come il citato numero di cellulare fosse stato recuperato.
Dall’istruttoria condotta dal Garante è emerso come la società titolare del trattamento non avesse adeguatamente vigilato sul trattamento dei dati da parte del responsabile del trattamento nonché sul rispetto da parte di quest’ultimo delle disposizioni impartite.
Con riguardo, invece, al responsabile del trattamento, il Garante ha evidenziato come non avesse fornito al titolare del trattamento i dati trattati durante l’incarico e non l’avesse informato della richiesta da parte del debitore delle modalità tramite cui la società incaricata del recupero del credito avesse avuto accesso al suo numero di telefono.
Nella presente occasione ci si focalizzerà sul provvedimento emesso nei confronti del responsabile del trattamento, ovvero una società di recupero crediti.
Sul mancato rispetto delle istruzioni del titolare del trattamento e sulla mancata comunicazione dei dati trattati (art. 28 par. 3 lett. a) e h) GDPR)
L’art. 28 par. 3 del GDPR, si ricorda, definisce il contenuto dell’accordo di incarico del responsabile del trattamento e impone a quest’ultimo specifici obblighi tra cui il rispetto delle istruzioni impartite dal titolare del trattamento e l’assistenza che deve a questi fornire al fine di garantire il rispetto della disciplina privacy.
Ai sensi del par. 2 dell’art 28 GDPR il responsabile del trattamento deve avere misure tecniche ed organizzative adeguate al soddisfacimento del Regolamento stesso.
Si evidenzia, inoltre, come il responsabile del trattamento possa raccogliere e trattare ulteriori dati rispetto a quelli forniti dal titolare purché tali informazioni siano messe a disposizione del titolare – in modo che questi possa verificarne la legittimità.
Nel caso di specie, il responsabile ha raccolto un dato di recapito ulteriore rispetto a quelli forniti dal titolare (ossia il numero di telefono oggetto di contestazione) senza comunicare al titolare del trattamento – nemmeno al momento della restituzione della posizione debitoria a conclusione del mandato – né il trattamento del citato dato e neppure l’opposizione operata dall’interessato.
Il Garante ha quindi ritenuto che il responsabile del trattamento non disponesse delle misure tecniche e organizzative idonee richieste dal GDPR.
L’Autorità ha, quindi, ritenuto violato l’art. 28 par. 3 lett. a) e h) del GDPR alla luce del mancato rispetto delle istruzioni impartite dal titolare e della mancata messa a disposizione di quest’ultimo delle informazioni necessaria alla verifica della conformità al Regolamento.
Sulla mancata assistenza al titolare del trattamento nell’esercizio dei diritti dell’interessato (art. 28, par. 3, lett. e) GDPR)
Ai sensi dell’art. 15 del GDPR, l’interessato ha fatto richiesta di accesso che, precisa il Garante, è destinata al titolare del trattamento alla luce dell’art. 12 par. 3 GDPR, che prevede specifico lo obbligo a suo carico di fornire all’interessato le informazioni richieste.
Nonostante non vi sia, quindi, uno specifico obbligo in tal senso in capo al responsabile del trattamento, si evidenzia come l’art. 28, par. 3, lett. e) riconosca il dovere di assistenza al titolare.
Il Garante ricorda come però debba essere il contratto a dover prevedere che il responsabile del trattamento abbia l’obbligo di fornire tale assistenza – come previsto nel caso di specie.
E nel contratto oggetto del provvedimento infatti era previsto che il responsabile comunicasse al titolare ogni richiesta concernente l’esercizio dei diritti dell’interessato.
Nonostante ciò il responsabile non ha provveduto ad ottemperare alle citate istruzioni impartite dal titolare, né ha dimostrato di disporre di misure tecnico-organizzative destinate ad assistere il titolare nel dare riscontro alle istanze di esercizio dei diritti dell’interessato.
Per tale motivo il Garante ha ritenuto violato da parte del responsabile del trattamento anche l’art. 28, par. 3, lett. e) del GDPR poiché non ha comunicato l’istanza di cui all’art. 15 del GDPR affinché il titolare potesse darvi seguito e non ha messo a disposizione di quest’ultimo le informazioni aggiornate circa i dati trattati che avrebbero consentito al titolare di fornire un riscontro tempestivo e completo.

