Avvocati. Attenzione al rispetto dei dati personali del debitore nell’attività del recupero crediti

Fonte: https://www.garanteprivacy.it/

Tra le attività svolte dall'avvocato rientra certamente quella del recupero crediti. È indubbio che nello svolgimento di questa attività siano inevitabilmente coinvolti determinati dati del debitore, sia nella fase di raccolta delle informazioni, sia nel tentativo di presa di contatto finalizzata alla riscossione del credito. In tal caso l'avvocato agisce in qualità di soggetto designato responsabile del trattamento. Ma quali dati personali possono essere trattati nell'attività di recupero crediti e come deve avvenire il trattamento?

Nel Vademecum dell'aprile 2026 "Privacy e recupero crediti, le regole per il corretto trattamento dei dati personali" redatto del Garante per la protezione di dati personali, quest'ultimo ha affermato che possono formare oggetto di trattamento, finalizzato al recupero crediti, solamente i dati necessari all'esecuzione dell'incarico quali:

-i dati anagrafici del debitore,

-il codice fiscale o la partita IVA,

-l'ammontare del credito vantato, unitamente alle condizioni del pagamento,

-i recapiti, anche telefonici, di norma forniti dall'interessato in occasione del rapporto intrattenuto con il creditore,

-le altre informazioni desumibili da elenchi o registri pubblici.

La condizione di liceità del trattamento. Sebbene il Vademecum del Garante risalga al 2016, esso è tutt'oggi valido in quanto rispondente ad almeno una delle condizioni di liceità del trattamento dei dati personali di cui all'art.6 GDPR e, precisamente, alla condizione della necessarietà del trattamento "per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore" (art.6 lett. f GDPR). Infatti, il diritto di credito rientra perfettamente tra gli interessi meritevoli di tutela da parte dell'ordinamento, con la conseguenza che il creditore può legittimamente trattare tutti i dati del debitore che siano necessari ai fini dell'esercizio del diritto di credito, ossia i dati indicati dal Garante. 

 In base ai principi applicabili al trattamento dei dati personali indicati nell'art.5 GDPR i dati personali devono essere: a) trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»); b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità («limitazione della finalità»); c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»); d) esatti e, se necessario, aggiornati («esattezza»); e) conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati («limitazione della conservazione»); f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali («integrità e riservatezza»).

Sulla base di questi principi, la giurisprudenza di legittimità ha affermato che

• -il trattamento delle informazioni personali effettuato nell'ambito dell'attività di recupero crediti può essere considerato lecito "purché, avvenga nel rispetto del criterio di minimizzazione nell'uso dei dati personali, dovendo essere utilizzati solo i dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati", in conformità all'art.5 GDPR (e come già prevedevano i previgenti artt.3 e 11 D. Lgs. n. 196/2003, che stabilivano il "principio di necessità nel trattamento dei dati" e la pertinenza, la completezza e non eccedenza dei dati rispetto alle finalità per cui sono raccolti e trattati).
• -in caso di cessione del credito, il creditore non incorre nella violazione della legge sulla protezione dei dati personali per il solo fatto che fornisca ai soggetti acquirenti del credito informazioni riguardanti il debitore che siano funzionali alla cessione del credito, quali la situazione debitoria, ubicazione dell'immobile vincolato alla garanzia del credito, etc., ove non venga fornita prova che la comunicazione a terzi sia avvenuta in violazione del principio di "minimizzazione nell'uso dei dati personali" (Corte di Cassazione, ordinanza n.34113 del 19 dicembre 2019). 

 Le prassi illecite. Al fine di sollecitare e ottenere il pagamento delle somme dovute il creditore o il suo avvocato (o altro terzo incaricato) non devono porre in essere prassi che possano ingiustificatamente fornire informazioni relative ai mancati pagamenti a soggetti diversi dall'interessato. Sono, pertanto, da ritenersi illecite:

• le visite al domicilio o sul luogo di lavoro con comunicazione ingiustificata a soggetti terzi rispetto al debitore di informazioni relative alla condizione di inadempimento nella quale versa l'interessato;

• le comunicazioni telefoniche di sollecito preregistrate, poste in essere senza intervento di un operatore, perché con questa modalità persone diverse dal debitore possono venire a conoscenza di una sua eventuale condizione di inadempienza;

• l'utilizzo di cartoline postali o invio di plichi recanti all'esterno la scritta "recupero crediti" o formule simili che rendono visibile a persone estranee il contenuto della comunicazione;

• affissioni di avvisi di mora (o, comunque, di sollecitazioni di pagamento) sulla porta dell'abitazione del debitore (Garante, Vademecum, cit.).

Al riguardo la giurisprudenza di legittimità, ha dichiarato la responsabilità di un Ministero che, al fine di recuperare forzosamente un credito da un dipendente di un altro ente pubblico, ha inviato al datore di lavoro del debitore alcune comunicazioni contenenti dati personali del dipendente e informazioni afferenti al contenzioso in cui quest'ultimo era risultato soccombente. La Suprema Corte richiamando le modalità del trattamento di cui all'art.11 D. Lgs. 196/2003, (vigente ratione temporis e oggi previste nell'art.5 GDPR, n.d.r.) ha affermato che "integra una violazione del diritto alla riservatezza e dell'articolo 11 del cit. Decreto Legislativo, il comportamento di un creditore il quale, nell'ambito dell'attività di recupero credito, svolta direttamente ovvero avvalendosi di un incaricato, comunichi a terzi (familiari, coabitanti, colleghi di lavoro o vicini di casa), piuttosto che al debitore, le informazioni, i dati e le notizie relative all'inadempimento nel quale questo versi oppure utilizzi modalità che palesino a osservatori esterni il contenuto della comunicazione senza rispettare il dovere di circoscrivere la comunicazione, diretta al debitore, ai dati strettamente necessari all'attività recuperatoria" (Corte di Cassazione, Sezione I, ordinanza 24 marzo – 2 luglio 2021, n. 18783).