Ricevere una raccomandata in cui una società di recupero crediti annuncia l’intenzione di agire giudizialmente per un debito che non si è mai contratto è già di per sé una situazione difficile da gestire. Scoprire che la stessa comunicazione è stata recapitata a moglie, madre e fratelli trasforma la vicenda in qualcosa di più grave, che tocca la sfera personale e la reputazione di chi non ha alcun rapporto con quella posizione debitoria. È il caso che ha portato il Garante per la protezione dei dati personali a emettere il provvedimento n. 193 del 12 marzo 2026 nei confronti di Sagitter S.p.A., società attiva nel recupero crediti.
Un debito di qualcun altro, comunicato alla famiglia sbagliata
Il procedimento ha preso avvio dal reclamo di un cittadino che contestava sia la titolarità del credito sia le modalità con cui Sagitter aveva gestito la vicenda. Nel corso dell’istruttoria è emerso il dato più rilevante dell’intera vicenda: il debito era intestato a un soggetto diverso, che condivideva con il reclamante nome, cognome e codice fiscale. Un caso di omonimia completa, dunque, che avrebbe richiesto verifiche immediate non appena il cittadino aveva inviato la propria contestazione formale. Sagitter aveva invece proseguito l’attività di recupero, motivando la scelta con la valutazione che quella lettera non contenesse elementi sufficienti a far supporre un errore di identificazione. Una valutazione che il Garante ha ritenuto del tutto inadeguata, anche alla luce del fatto che le comunicazioni erano già state recapitate ai familiari del reclamante, soggetti estranei al rapporto obbligatorio e del tutto inconsapevoli di essere stati raggiunti da informazioni economiche riservate.
La società aveva giustificato l’invio ai familiari – cointestatari di alcuni beni immobili – richiamando la necessità di informarli in vista di una possibile futura azione esecutiva sui beni in comproprietà.
Legittimo interesse, una base giuridica che ha dei limiti precisi
Il Garante ha esaminato con attenzione l’argomento proposto da Sagitter e lo ha respinto. Il legittimo interesse, che rappresenta una delle basi giuridiche ammesse dal Regolamento europeo sulla protezione dei dati per il trattamento finalizzato al recupero crediti, non è una clausola aperta. Deve essere bilanciato con i diritti e le libertà fondamentali dell’interessato, deve rispondere a un’esigenza concreta e attuale e deve superare il test di proporzionalità rispetto alla finalità perseguita. Nel caso in esame, nessuna di queste condizioni risultava soddisfatta: l’eventualità di un futuro pignoramento non costituisce un interesse attuale e verificabile, e la comunicazione a soggetti terzi non era necessaria per perseguire la finalità del recupero. L’Autorità ha inoltre chiarito che l’art. 599 del codice di procedura civile, che disciplina l’espropriazione di beni in comproprietà, prevede l’obbligo di notifica ai contitolari solo al momento dell’avvio della procedura esecutiva, non in una fase meramente esplorativa o preventiva. Comunicare prima, a titolo cautelativo, si traduce in una diffusione di dati priva di qualsiasi fondamento normativo.
Il provvedimento ha quindi qualificato il trattamento come illecito per violazione degli artt. 5 e 6 del GDPR, con riferimento ai principi di liceità, minimizzazione e limitazione della finalità.
Sagitter è stata ingiunta ad adeguare le proprie procedure interne entro tre mesi, con l’obbligo di introdurre regole specifiche per i casi in cui sussistano dubbi sull’identità del debitore o in cui quest’ultimo risulti cointestatario di beni con soggetti terzi.
Un richiamo che riguarda l’intero settore
Il caso Sagitter non è isolato e il Garante lo sa. Il recupero crediti si svolge oggi in larga misura attraverso banche dati aggregate, portafogli ceduti più volte e processi automatizzati che gestiscono migliaia di posizioni in parallelo. In questo tipo di architettura operativa, il rischio di errori di identificazione cresce in modo diretto con la scala delle operazioni, e la probabilità che una contestazione formale venga valutata con la dovuta attenzione diminuisce quanto più il processo è standardizzato. Il provvedimento segnala con chiarezza che questa dinamica non può essere accettata come un effetto collaterale inevitabile dell’efficienza organizzativa: i sistemi di verifica dell’identità del debitore devono essere parte integrante del modello operativo, non un elemento opzionale da attivare solo in caso di contestazione esplicita.
Sul piano dei diritti individuali, la diffusione indebita di informazioni economiche all’interno del contesto familiare produce effetti che vanno ben oltre il disagio momentaneo. Incide sulla reputazione economica del soggetto coinvolto, può alterare rapporti personali e genera un danno che, quando è conseguenza di un errore di identità, assume una dimensione ancora più seria. Il Garante lo rileva esplicitamente, aprendo così uno spazio che potrebbe essere percorso anche in sede civile, dove il danno alla reputazione economica può trovare una qualificazione autonoma e una tutela risarcitoria indipendente dalla sanzione amministrativa già irrogata.
