La pendenza di una procedura di concordato preventivo incide direttamente sulla commisurazione delle sanzioni amministrative da parte del Garante per la protezione dei dati personali, potendo condurre all’esclusione di sanzioni pecuniarie. L’Autorità, con il provvedimento numero 6 del 16 gennaio 2026, ha preferito irrogare la misura correttiva dell’ammonimento a una società in stato di crisi concorsuale [1].
La diffusione di dati personali tramite l’invio di un sollecito di pagamento cumulativo con indirizzi e-mail in chiaro integra una violazione del Regolamento europeo. Tuttavia, la pendenza del concordato impone di valutare l’efficacia concreta della sanzione monetaria, la quale risulterebbe di difficile soddisfacimento e non conseguirebbe il risultato di rafforzare il rispetto delle norme sul trattamento.
Il sollecito collettivo in chiaro e la contestazione del Garante
La vicenda trae origine da una complessa situazione di gestione dei servizi idrici nella località Campo di Mare nel Comune di Cerveteri. Una società privata, la O. S.r.l., gestiva da anni la rete idrica locale in virtù di vecchi accordi. La società ripartiva tra i fruitori finali i costi delle bollette anticipate all’operatore di rete generale ACEA ATO2. L’attività avveniva in un quadro organizzativo precario. La società era priva di dipendenti e non operava a scopo di lucro. La gestione registrava gravissime difficoltà finanziarie. Molti utenti rifiutavano di pagare i consumi. Solo settanta soggetti su oltre novecento debitori avevano saldato le pendenze alla data del maggio del 2023. Per questa ragione, la società ha accumulato un debito superiore a quattro milioni di euro verso i fornitori. Tale esposizione ha condotto all’apertura di una procedura di concordato preventivo davanti al Tribunale di Roma.
Consiglio: per approfondimenti in materia, segnaliamo il volume “Le tutele del nuovo sovraindebitamento. Come uscire dal debito”, a cura dell’Avv. Monica Mandico, e acquistabile cliccando su Shop Maggioli o su Amazon.
Le tutele del nuovo sovraindebitamento. Come uscire dal debito
Aggiornato al terzo decreto correttivo del CCII (D.Lgs. 13 settembre 2024, n. 136), il volume, giunto alla sua II edizione, propone un’ampia ricognizione delle rilevanti novità normative e del panorama giurisprudenziale sul tema della crisi da sovraindebitamento. Sono raccolti diversi casi giudiziari riguardanti piani, omologati e non, ove emergono gli orientamenti dei vari fori e le problematiche applicative della normativa di riferimento. Il taglio pratico rende l’opera uno strumento utile per il professionista – gli organismi di composizione e i gestori della crisi, gli advisor e i liquidatori – al fine di offrire un supporto nelle criticità e i dubbi che possano sorgere nella predisposizione del Piano.
Monica Mandico
Avvocato cassazionista, Founder di Mandico&Partners. Gestore della crisi, curatore, liquidatore e amministratore giudiziario. È presidente di Assoadvisor e coordinatrice della Commissione COA Napoli “Sovrain- debitamento ed esdebitazione”. Già componente della Commissione per la nomina degli esperti indipendenti della composizione negoziata presso la CCIAA di Napoli. Esperta in crisi d’impresa e procedure di sovraindebitamento e presidente di enti di promozione sociale. Autrice di numerose pubblicazioni, dirige la Collana “Soluzioni per la gestione del debito” di Maggioli Editore, ed è docente di corsi di alta formazione e master accreditati presso Università e ordini professionali.
Leggi descrizione
Monica Mandico, 2025, Maggioli Editore
68.00 €
64.60 €
Le tutele del nuovo sovraindebitamento. Come uscire dal debito
Aggiornato al terzo decreto correttivo del CCII (D.Lgs. 13 settembre 2024, n. 136), il volume, giunto alla sua II edizione, propone un’ampia ricognizione delle rilevanti novità normative e del panorama giurisprudenziale sul tema della crisi da sovraindebitamento. Sono raccolti diversi casi giudiziari riguardanti piani, omologati e non, ove emergono gli orientamenti dei vari fori e le problematiche applicative della normativa di riferimento. Il taglio pratico rende l’opera uno strumento utile per il professionista – gli organismi di composizione e i gestori della crisi, gli advisor e i liquidatori – al fine di offrire un supporto nelle criticità e i dubbi che possano sorgere nella predisposizione del Piano.
Monica Mandico
Avvocato cassazionista, Founder di Mandico&Partners. Gestore della crisi, curatore, liquidatore e amministratore giudiziario. È presidente di Assoadvisor e coordinatrice della Commissione COA Napoli “Sovrain- debitamento ed esdebitazione”. Già componente della Commissione per la nomina degli esperti indipendenti della composizione negoziata presso la CCIAA di Napoli. Esperta in crisi d’impresa e procedure di sovraindebitamento e presidente di enti di promozione sociale. Autrice di numerose pubblicazioni, dirige la Collana “Soluzioni per la gestione del debito” di Maggioli Editore, ed è docente di corsi di alta formazione e master accreditati presso Università e ordini professionali.
Leggi descrizione
Monica Mandico, 2025, Maggioli Editore
68.00 €
64.60 €
Nel tentativo di recuperare le somme per soddisfare i creditori concorsuali, la società ha avviato azioni di sollecito. Il 9 maggio 2023 la direzione ha inviato una comunicazione di posta elettronica a trentasette utenti morosi. L’e-mail conteneva l’intimazione a pagare i consumi degli anni 2021 e 2022. La missiva preannunciava l’imminente iscrizione a ruolo di decreti ingiuntivi. L’e-mail recava in calce anche le comunicazioni inviate nell’aprile 2023 dal legale della società. Questa ha commesso un errore materiale di digitazione durante la trasmissione. Gli indirizzi e-mail dei trentasette destinatari sono stati inseriti in chiaro. In taluni casi risultavano visibili anche i nomi e i cognomi degli interessati. Il messaggio palesava che i soggetti in indirizzo condividevano la medesima condizione di morosità. Una delle destinatarie ha presentato reclamo al Garante Privacy il 28 luglio 2023. L’esponente lamentava la violazione della riservatezza e la diffusione non autorizzata dei propri dati di contatto.
L’attività istruttoria del Garante si è articolata in due richieste di informazioni inviate alla società tra il dicembre del 2023 e il giugno del 2024. La società ha fornito i propri riscontri scritti. La difesa ha confermato l’invio cumulativo. I rappresentanti hanno evidenziato la natura colposa dell’evento. Hanno ricondotto la svista a un mero errore di digitazione causato dalle gravi difficoltà e carenze gestionali della società. Il Garante, completata l’istruttoria, ha notificato l’avvio del procedimento sanzionatorio per la violazione delle norme sulla liceità del trattamento. La società ha scelto di non depositare scritti difensivi ulteriori prima della decisione definitiva.
Consiglio: torna ad ottobre 2026 il “Corso abilitante per Gestore della crisi d’impresa, Curatore, Commissario giudiziale, Liquidatore e Attestatore”, SCOPRI IN ANTEMPRIMA IL PROGRAMMA COMPLETO E ISCRIVITI QUI.
L’indirizzo e-mail come dato personale e il divieto di comunicazione a terzi del debito
L’indirizzo di posta elettronica riferito a una persona fisica costituisce un dato personale protetto a tutti gli effetti [2]. La qualificazione opera anche quando l’indirizzo non contiene espressamente il nome o il cognome del titolare. Il Gruppo dei Garanti europei ha chiarito che l’e-mail permette di identificare o rendere identificabile l’interessato [3]. La giurisprudenza della Corte di Cassazione ha definitivamente confermato questa impostazione, precisando che il concetto di dato personale è molto ampio e comprende «qualsiasi informazione» che consenta di identificare una persona fisica, direttamente o indirettamente [4]. La Suprema Corte ha specificato che il «dato identificativo» non va tenuto distinto da quello personale, rappresentando semplicemente una specie all’interno del genere principale. L’indirizzo e-mail rientra quindi pienamente nell’ambito di applicazione oggettivo della tutela della riservatezza, imponendo la preventiva informativa e il consenso per il suo utilizzo.
Consiglio: per approfondimenti in materia, segnaliamo, con piacere, l’uscita della seconda edizione del “Formulario commentato della privacy”, acquistabile cliccando su Shop Maggioli o su Amazon.
Formulario commentato della privacy
La nuova edizione dell’opera affronta con taglio pratico gli aspetti sostanziali e procedurali del trattamento dei dati personali alla luce delle nuove sfide poste dall’evoluzione normativa e tecnologica degli ultimi due anni. La disciplina di riferimento è commentata tenendo conto dei rilevanti interventi a livello europeo e nazionale (tra cui le Linee Guida EDPB, i regolamenti AI Act e DORA, l’attuazione della direttiva NIS 2), offrendo al Professionista una guida completa e aggiornata.
Il libro è suddiviso in tredici sezioni, che coprono ogni aspetto della materia e tutti gli argomenti sono corredati da oltre 100 formule e modelli. Tra le novità più rilevanti:
• Connessioni tra il nuovo AI Act e il GDPR, differenze tra FRIA e DPIA, valutazione dei rischi e incidenti
• Gestione del personale: smart working, telelavoro e whistleblowing
• Strumenti di monitoraggio: controlli a distanza dei lavoratori, cloud computing e gestione degli strumenti informatici in azienda
• Tutela degli interessati: una guida completa su profilazione, processi decisionali automatizzati e sull’esercizio dei diritti
• Strumenti di tutela: sanzioni, reclami, segnalazioni e ricorsi al Garante.
Giuseppe Cassano
Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi.
Enzo Maria Tripodi
attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici.
Cristian Ercolano
Partner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
Leggi descrizione
Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano, 2025, Maggioli Editore
62.00 €
58.90 €
Formulario commentato della privacy
La nuova edizione dell’opera affronta con taglio pratico gli aspetti sostanziali e procedurali del trattamento dei dati personali alla luce delle nuove sfide poste dall’evoluzione normativa e tecnologica degli ultimi due anni. La disciplina di riferimento è commentata tenendo conto dei rilevanti interventi a livello europeo e nazionale (tra cui le Linee Guida EDPB, i regolamenti AI Act e DORA, l’attuazione della direttiva NIS 2), offrendo al Professionista una guida completa e aggiornata.
Il libro è suddiviso in tredici sezioni, che coprono ogni aspetto della materia e tutti gli argomenti sono corredati da oltre 100 formule e modelli. Tra le novità più rilevanti:
• Connessioni tra il nuovo AI Act e il GDPR, differenze tra FRIA e DPIA, valutazione dei rischi e incidenti
• Gestione del personale: smart working, telelavoro e whistleblowing
• Strumenti di monitoraggio: controlli a distanza dei lavoratori, cloud computing e gestione degli strumenti informatici in azienda
• Tutela degli interessati: una guida completa su profilazione, processi decisionali automatizzati e sull’esercizio dei diritti
• Strumenti di tutela: sanzioni, reclami, segnalazioni e ricorsi al Garante.
Giuseppe Cassano
Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi.
Enzo Maria Tripodi
attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici.
Cristian Ercolano
Partner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
Leggi descrizione
Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano, 2025, Maggioli Editore
62.00 €
58.90 €
L’invio cumulativo di un messaggio con gli indirizzi visibili in chiaro realizza una comunicazione di dati personali a soggetti terzi in assenza di una idonea base giuridica. Il recupero dei crediti non legittima la diffusione a terzi dello status di moroso. La condotta contrasta con i principi di liceità, correttezza e transparanza previsti dal GDPR. Il titolare deve garantire la sicurezza dei dati e la riservatezza tramite adeguate misure tecniche. La prassi del Garante impone di procedere con invii in forma individualizzata per ciascun destinatario [5]. In alternativa, in caso di e-mail collettive, il titolare deve ricorrere alla funzione di copia conoscenza nascosta [6]. Nel caso esaminato, la visibilità degli indirizzi in chiaro ha rivelato a terzi una posizione debitoria privata. Questo genere di informazioni appartiene alla sfera personale del destinatario. Il trattamento ha leso la dignità e la riservatezza delle persone fisiche coinvolte.
L’incidenza del concordato preventivo e il principio di proporzionalità della sanzione
Il nucleo innovativo del provvedimento risiede nella scelta delle misure correttive applicate all’impresa in crisi. La violazione delle regole sulla sicurezza del trattamento consente al Garante di infliggere sanzioni pecuniarie elevate. Tuttavia, l’esercizio del potere sanzionatorio non è rigido. L’Autorità deve valutare tutte le circostanze del caso concreto. Il Regolamento ammette la qualificazione della condotta come violazione minore. In tali circostanze, l’ammonimento può sostituire la sanzione pecuniaria. La decisione richiede un esame approfondito dello stato economico dell’impresa trasgressrice.
La O. S.r.l. si trova in stato di concordato preventivo sotto la vigilanza del Tribunale di Roma. L’eventuale irrogazione di una sanzione amministrativa pecuniaria si porrebbe come di difficile soddisfacimento in pendenza della procedura concorsuale. Il Garante ha rilevato che l’applicazione di una sanzione monetaria in questa fase non conseguirebbe il risultato di rafforzare il rispetto del Regolamento, rendendo opportuno l’utilizzo di strumenti alternativi.
Il Garante ha applicato i principi stabiliti dalla Corte di Giustizia dell’Unione Europea in materia di sanzioni [7]. La Corte ha chiarito che l’imposizione di una sanzione correttiva deve essere appropriata, necessaria e proporzionata al fine di porre rimedio all’inadeguatezza constatata. L’autorità di controllo gode di un margine di discrezionalità nel valutare se infliggere una sanzione pecuniaria, e l’interessato non vanta un diritto soggettivo al riguardo. Nel caso in esame, il Garante ha ritenuto che l’eventuale sanzione pecuniaria sarebbe di difficile soddisfacimento e non conseguirebbe la finalità di rafforzare il rispetto delle regole. L’ammonimento si configura come la reazione idonea per sanzionare l’illecito senza ricorrere a misure pecuniarie sproporzionate.
Riflessi civilistici: la responsabilità risarcitoria residua
L’esclusione della sanzione pecuniaria operata dal Garante non elimina le conseguenze civilistiche che possono derivare dall’illecito trattamento. Il diritto al risarcimento dei danni subiti, patrimoniali o non patrimoniali, resta impregiudicato per i soggetti interessati, trovando fondamento nell’art. 82 del GDPR [8]. Il danno risarcibile comprende sia il pregiudizio patrimoniale sia il danno non patrimoniale. La giurisprudenza civile assimila il trattamento dei dati personali all’esercizio di attività pericolose ai sensi dell’articolo 2050 del codice civile. La responsabilità del titolare ha natura aggravata. L’impresa deve dimostrare di aver adottato tutte le misure idonee a evitare il danno per andare esente da responsabilità.
La diffusione a terzi dello status di debitore moroso integra una lesione della reputazione e della riservatezza. I trentasette destinatari dell’e-mail visibile possono agire in sede civile per ottenere il risarcimento dei danni non patrimoniali subiti. L’azione può essere promossa davanti al tribunale ordinario. I crediti risarcitori derivanti da un illecito commesso prima dell’apertura della procedura concorsuale hanno natura concorsuale. I soggetti danneggiati possono far accertare il proprio credito risarcitorio nelle forme ordinarie, per ottenerne il riconoscimento nel piano di concordato ed essere soddisfatti. Tali crediti si collocano in rango chirografario, salvo che ricorrano specifiche ipotesi di privilegio.
La nascita di nuovi crediti risarcitori da illecito privacy rappresenta un rischio per la stabilità del concordato. Gli organi della procedura devono stimare le passività potenziali derivanti dai contenziosi pendenti o probabili. La presenza di decine di potenziali creditori risarcitori rende più incerto il calcolo del riparto concorsuale. I commissari giudiziali devono valutare l’opportunità di accantonare somme per fare fronte a queste pretese. La prevenzione del rischio privacy assume rilevanza economica diretta per i gestori della crisi d’impresa. La conformità alle regole sul trattamento dei dati deve essere mantenuta anche durante la gestione straordinaria dell’impresa in crisi.
Conclusioni
Il provvedimento del Garante Privacy numero 6 del 2026 definisce un punto di equilibrio coerente tra la protezione dei dati e la tutela dei creditori. L’Autorità riconosce che la sanzione amministrativa pecuniaria non deve trasformarsi in uno strumento di punizione dei creditori innocenti. L’uso dell’ammonimento valorizza la funzione correttiva e pedagogica del controllo pubblico. La decisione conferma che lo stato di crisi concorsuale rappresenta un fattore di mitigazione della sanzione.
I professionisti che gestiscono le procedure concorsuali devono trarre indicazioni operative chiare da questo caso. Le difficoltà finanziarie non giustificano l’allentamento delle misure di sicurezza informatica. Le comunicazioni verso l’esterno, specialmente quelle relative al recupero crediti, devono rispettare i protocolli di riservatezza. L’utilizzo di strumenti di invio massivo deve essere monitorato per evitare errori materiali di digitazione. La tutela dei dati personali rimane un obbligo inderogabile per l’impresa, anche quando essa opera nell’interesse del ceto creditorio.
Note e Riferimenti
[1] Garante per la Protezione dei Dati Personali, Provvedimento del 16 gennaio 2026, n. 6, registro dei provvedimenti, doc. web n. 10213865.
[2] Art. 4, n. 1, Regolamento (UE) 2016/679 (GDPR).
[3] Gruppo di lavoro ex art. 29, Parere 4/2007 sul concetto di dato personale (WP 136), 20 giugno 2007.
[4] Cass. civ., sez. II, ordinanza 5 luglio 2018, n. 17665.
[5] Garante per la Protezione dei Dati Personali, Provvedimento del 30 novembre 2005, doc. web n. 1213644.
[6] Garante per la Protezione dei Dati Personali, Provvedimento del 9 gennaio 2020, doc. web n. 9261234.
[7] Corte di Giustizia UE, Sezione Prima, sentenza 26 settembre 2024, causa C-768/21, TR contro Land Hessen.
[8] Art. 82, Regolamento (UE) 2016/679 (GDPR) e art. 2050 c.c.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Avv. Federico Palumbo
Source link
