Il Garante della privacy avverte: diffondere liste di indirizzi email e informazioni sulla morosità dei destinatari è una violazione del GDPR e comporta sanzioni.

Il Garante per la privacy sanziona chi, inviando mail collettive, lascia visibili gli indirizzi mail di coloro che hanno morosità in corso. E’ quanto prevede il Regolamento Generale sulla Protezione dei Dati (GDPR), la cui violazione costituisce un illecito se manca il consenso dell’interessato o un obbligo di legge.

La situazione diventa ancora più grave se i messaggi contengono i riferimenti ai debiti non pagati. A stabilirlo è il provvedimento n. 6 del 16 gennaio 2026, in cui si chiarisce che l’indirizzo di posta elettronica va considerato un dato personale autonomamente rilevante, la cui diffusione a più destinatari rende identificabili i soggetti coinvolti anche sotto il profilo della loro condizione economica.

Perché l’invio collettivo di mail in chiaro viola i diritti dei debitori?

La diffusione di questi dati viola i principi di correttezza, liceità e riservatezza, poiché i soggetti destinatari “in chiaro” – secondo il Garante – possono essere facilmente riconoscibili dagli altri destinatari. Ciò comporta un’indebita esposizione della loro identità e della loro posizione debitoria, incidendo sulla sfera personale ed economica degli interessati.

Le comunicazioni, a prescindere dallo scopo per cui sono inviate, devono rispettare la tutela dei dati altrui. Per impedire la visibilità gli indirizzi mail degli altri destinatari, possono essere sufficienti l’invio individuale dei messaggi o l’uso del campo di copia conoscenza nascosta (CCN).

I dati personali non riguardano infatti solo il nome e cognome, ma qualsiasi informazione in grado di rendere identificabile una persona, inclusi gli indirizzi email e le informazioni relative a eventuali inadempimenti contrattuali.

Quali sono le conseguenze per i responsabili in caso di errore?

L’errore non attenua la pena dei responsabili, anche quando viene commesso senza dolo. Il GDPR prevede che il titolare del trattamento risponda delle violazioni commesse, indipendentemente dall’intenzionalità, quando non adotta misure tecniche e organizzative adeguate a garantire la protezione dei dati personali.

In caso di trattamento illecito, il Garante può irrogare sanzioni amministrative pecuniarie, ordinare la cessazione del trattamento e imporre misure correttive. Nei casi più gravi, la violazione può esporre il responsabile anche a richieste di risarcimento danni da parte degli interessati, per la lesione della loro riservatezza e dignità personale.

Il provvedimento ribadisce dunque un principio fondamentale: la gestione delle morosità non può mai tradursi in una compressione dei diritti alla privacy, che restano tutelati anche in presenza di debiti non saldati.