[doc. web n. 10196194]

Provvedimento del 23 ottobre 2025

Registro dei provvedimenti
n. 630 del 23 ottobre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Angelo Fanizza, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato il 13 maggio 2025 ai sensi dell’art. 77 del Regolamento dal Sig. XX nei confronti di Experian Italia S.p.a. (di seguito “Experian” o “la Società”;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. Il reclamo nei confronti dell’istituto di credito e l’attività istruttoria.

Con il reclamo presentato a questa Autorità in data 13 maggio 2025, il Sig. XX ha lamentato di non avere ottenuto riscontro all’istanza di accesso ai dati personali contenuti nel sistema di informazioni creditizie gestito da Experian Italia S.p.a., avanzata ai sensi dell’art. 15 del Regolamento in data 31 marzo 2025 (e ulteriormente sollecitata il 5 maggio 2025).

A seguito dell’invito, formulato dall’Ufficio l’11 luglio 2025, a fornire osservazioni in ordine ai fatti oggetto di reclamo nonché ad aderire spontaneamente all’istanza di accesso formulata dal reclamante, Experian, con nota del 29 luglio 2025 (corredata di allegati), nel dichiarare di avere provveduto a fornire all’interessato i dati richiesti con comunicazione del 22 maggio 2025, ha rappresentato che:

“A seguito di verifiche interne, è emerso che, in risposta alla richiesta di accesso ai dati personali presentata dall’interessato in data 31 marzo 2025, la scrivente Società ha predisposto e inviato un riscontro in data 22 aprile 2025 all’indirizzo PEC fornito dall’interessato. Tuttavia, a causa di un errore tecnico non rilevato dal nostro sistema gestionale, la comunicazione non risulta essere stata effettivamente trasmessa”;

quindi, “In data 22 maggio 2025, a seguito di un sollecito da parte dell’interessato, è stato fornito ulteriore riscontro alla medesima istanza. Dalle evidenze in nostro possesso, tale comunicazione risulta correttamente ricevuta all’indirizzo PEC fornito dal Sig. XX”;

infine, “In ottemperanza all’invito ricevuto, lo scorso 21 luglio abbiamo provveduto a reinviare entrambe le comunicazioni all’interessato tramite PEC, allegando nuovamente i riscontri” precedentemente forniti.

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori dell’Autorità.

Alla luce di quanto sopra, l’Ufficio, con nota del 29 agosto 2025, ha provveduto a notificare alla Società l’atto di avvio del procedimento sanzionatorio, ai sensi dell’art. 166, comma 5, del Codice per la violazione degli artt. 12, par. 3 e 4 e 15 del Regolamento.

La Società, con nota del 26 settembre 2025, ha fatto pervenire le proprie memorie difensive sulla base dell’art. 18 della legge n. 689/1981, con le quali, nel rappresentare come “il presunto omesso riscontro alla richiesta di accesso ai dati personali avanzata dall’Interessato […]” sia imputabile a una “impossibilità sopravvenuta incolpevole, derivante da un evento tecnico imprevedibile ed eccezionale che ha impedito il recapito del riscontro nonostante l’adempimento formale di Experian”, ha ricostruito le circostanze specifiche dell’accaduto, fornendo alcuni elementi di precisazione. In particolare:

la Società “ha predisposto ed inviato la risposta alla richiesta dell’Interessato nei termini previsti dal Regolamento, il 22 aprile 2025. Tuttavia, a causa dell’accidentale e incolpevole errore tecnico […] la comunicazione non è stata effettivamente trasmessa all’Interessato.  [….] Pertanto, Experian ha appreso che il Sig. XX non aveva ricevuto il primo riscontro soltanto il 5 maggio successivo, in occasione del sollecito rivolto alla Società, la quale ha provveduto a inoltrare nuovamente il riscontro in data 22 maggio 2025. Tale riscontro […] risulta correttamente trasmesso all’indirizzo PEC fornito dal Sig. XX”. Peraltro, “Nel periodo intercorrente tra il sollecito trasmesso dall’Interessato in data 5 maggio 2025 alla Società e il riscontro fornito da quest’ultima il successivo 22 maggio, il Sig. XX ha presentato, il 13 maggio, il Reclamo. Sia consentito evidenziare che Experian non era a conoscenza del suddetto Reclamo - né avrebbe potuto esserlo, non essendo tra i destinatari dello stesso - fino al momento della ricezione dell’Invito da parte dell’Autorità” avvenuta ben oltre il 22 maggio 2025, data in cui è stato inviato all’interessato il secondo riscontro;

quanto “all’errore tecnico accidentale e incolpevole del sistema informatico” verificatosi nel caso in questione, dagli “approfondimenti e analisi condotte internamente, è emerso che lo stesso è verosimilmente riconducibile a un’interruzione momentanea della rete. Il Sistema ha correttamente prodotto il report di riscontro al XX e ha attivato il processo di trasmissione alla PEC, contrassegnando conseguentemente la pratica come correttamente lavorata. Tuttavia, a causa della temporanea indisponibilità di rete, il processo di trasmissione è fallito senza inviare l’input alla casella PEC e STC [sistema gestionale dedicato] non ha potuto segnalare al Servizio Consumatori né l’errore né il mancato invio della PEC all’Interessato. L’errore tecnico ha quindi fatto sì che la pratica del Sig. XX risultasse erroneamente tra quelle correttamente lavorate, portando il Servizio Consumatori a ritenere ragionevolmente completato l’invio. Si è potuto altresì verificare che, su un volume di oltre 128.000 istanze annue, questo singolo caso rappresenta un’anomalia dello 0,0008%, percentuale che testimonia l’affidabilità complessiva del Sistema e la ragionevolezza del legittimo affidamento riposto nel corretto funzionamento di STC”;

ai fini della gestione delle istanze degli interessati, la Società ha “implementato una struttura interna […] i cui cardini sono, in sintesi: (i) l’istituzione del  Consumer Service (di seguito, il “Servizio Consumatori” o “CS”), ossia una funzione specificamente deputata all’attività in commento; (ii) un sistema gestionale dedicato, denominato STC System (di seguito, “STC” o “Sistema”), a supporto dell’attività dei dipendenti addetti al Servizio Consumatori; (iii) una procedura interna che disciplina la gestione delle istanze degli interessati ai sensi del Capo III del GDPR, definendo ruoli, responsabilità e modalità operative per la loro elaborazione e il relativo riscontro (di seguito, la “Procedura”, sub. Allegato A).  Nello specifico, tutte le richieste degli interessati vengono registrate all’interno del Sistema, il quale consente la generazione del report di risposta e ne gestisce l’invio agli istanti tramite l’indirizzo di PEC dedicato della Società, affinché il riscontro venga recapitato all’indirizzo fornito dall’interessato. Considerato l’elevato volume di istanze gestite annualmente da Experian […] l’invio dei riscontri e il relativo monitoraggio non possono che essere affidati a un sistema informatico, nella specie il sopra citato STC, strutturato per garantire efficienza, tracciabilità e tempestività nell’evasione delle richieste”;

va inoltre evidenziato che, “appena individuato l’errore tecnico occorso e già a partire dai primi giorni dell’agosto 2025 - dunque anteriormente all’avvio del procedimento - la Società ha introdotto una modifica strutturale al Sistema, grazie alla quale una pratica relativa a un’istanza viene inserita tra quelle correttamente lavorate non solo quando la verifica effettuata da STC non rileva un errore, ma anche nei casi in cui il Sistema non ha potuto eseguire tale verifica. Quest’ultima circostanza, si ribadisce, può verificarsi esclusivamente in caso di indisponibilità di STC dovuta a inevitabili cause di forza maggiore (come, ad esempio, una temporanea interruzione della connessione alla rete). In tal modo, qualora si verifichi un errore - come nel caso di specie - la pratica rimane contrassegnata nel Sistema come non conclusa, consentendo agli operatori del Servizio Consumatori di effettuare un ulteriore invio del riscontro”;

all’esito di quanto sopra descritto, deve essere “consentito rilevare che le impostazioni del Sistema, come qualsiasi soluzione informatica, non si basano su meccanismi deterministici e infallibili, ma sono il risultato di una continua attività di perfezionamento e adattamento, guidata dall’esperienza applicativa e dall’evoluzione delle best practice di settore. Come noto, il principio di accountability sancito dal GDPR impone al titolare non già la garanzia assoluta di un risultato, bensì l’onere di adottare e poter dimostrare misure tecniche e organizzative “appropriate” rispetto al rischio, alla natura dei dati e al progresso tecnologico. In tal senso, l’adeguamento progressivo delle funzionalità del Sistema, anche in risposta a eventi eccezionali o feedback operativi, costituisce espressione fisiologica e doverosa di tale principio, assicurando una gestione responsabile e dinamica del rischio, senza che possa pretendersi – né in diritto né in fatto – l’eliminazione assoluta di ogni possibilità di anomalia”. Per questa ragione si deve ritenere che “l’episodio oggetto di contestazione appare riconducibile a un’anomalia tecnica isolata, prontamente analizzata dalla Società e determinata da fattori esterni non imputabili a quest’ultima. Una volta identificata la causa di tale anomalia, Experian è andata oltre ed ha verificato la possibilità di intervenire sui sistemi per ridurre ulteriormente questi seppur sporadici casi, ed ha effettivamente individuato una soluzione strutturale idonea a diminuire sensibilmente i rischi di reiterazione di episodi analoghi. L’approccio adottato dalla Società riflette un modello di accountability dinamica, improntato alla costante evoluzione delle misure tecniche e organizzative in funzione delle circostanze concrete e alla capacità di risposta tempestiva ed efficace rispetto a situazioni eccezionali”;

quanto agli elementi di cui all’art. 83, par. 2 del Regolamento, la Società ha rappresentato, in particolare:

a. “la natura modesta e circoscritta della presunta violazione, che ha coinvolto unicamente un soggetto interessato”, il cui “disagio” può “al più configurare un disservizio di natura temporanea e privo di impatti effettivi”;

b. il carattere “meramente colposo” della violazione;

c. l’avvenuta “implementazione, in un’ottica di privacy by design, di un sistema di misure - sia tecniche sia organizzative - volto ad assicurare una gestione delle istanze conforme alle norme del Regolamento”, ivi comprese sessioni di formazione, per i dipendenti addetti al Servizio Consumatori, dedicate alla gestione delle istanze;

d. “le misure tecniche e organizzative messe in atto già prima dell’avvio del procedimento, nell’agosto 2025, per prevenire il ripetersi di eventi eccezionali e imprevedibili come quelli oggetto del caso che ci occupa”,

e. l’assenza di precedenti violazioni pertinenti a carico della Società;  

f. la fattiva cooperazione con l’Autorità;

g. il fatto che la Società sia tra i soggetti che hanno promosso e aderito al “Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti” approvato dal Garante con provvedimento n. 163 del 12 settembre 2019;

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori di cui all’art. 58, par. 2, del Regolamento.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice, è emerso che Experian, in qualità di titolare del trattamento, non ha fornito riscontro alla richiesta di accesso ai dati personali formulata dal reclamante, entro il termine previsto dall’art. 12, par. 3 del Regolamento (“senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta”); né ha provveduto a informare l’istante, entro il medesimo termine, dei motivi dell'inottemperanza nonché della possibilità di proporre reclamo a un'autorità di controllo o un ricorso giurisdizionale (art. 12, par. 4 del Regolamento).

Nel corso dell’istruttoria, è stato tuttavia accertato che il titolare del trattamento, dopo la presentazione del reclamo - ancorché in data antecedente l’avvio del procedimento - ha aderito all’istanza di accesso avanzata dall’interessato, ai sensi dell’art. 15 del Regolamento, comunicando allo stesso le informazioni richieste.

In proposito, merita di essere ricordato che le “ Linee guida 01/2022 sui diritti degli interessati – Diritto di accesso” adottate dall’EDPB il 28/3/2023, al par. 5.3 ( “Tempistica entro cui fornire l'accesso”), ribadiscono il dettato normativo di cui all’art. 12, par. 3 e 4 del Regolamento confermando la perentorietà del termine ultimo di 30 giorni per fornire riscontro a una istanza di accesso, salva la possibilità di proroga del predetto termine fino a due mesi e sempre “a condizione che l'interessato sia stato informato dei motivi del ritardo entro un mese dal ricevimento della richiesta”.

4. Conclusioni: dichiarazioni di illiceità del trattamento. Provvedimenti correttivi ai sensi dell’art. 58, par. 2 del Regolamento.

Alla luce di quanto complessivamente rilevato, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria, non consentano di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultino pertanto inidonee a disporre l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Risulta, quindi, accertato che la condotta posta in essere da Experian Italia S.p.a., con riferimento al mancato riscontro nei termini all’istanza di accesso presentata dal reclamante, è illecita, nei termini su esposti, in relazione agli artt. 12, par. 3 e 4 e 15 del Regolamento.

Preso atto di tutti gli elementi acquisiti nel corso dell’istruttoria e, in particolare, tenuto conto del carattere colposo della violazione, del fatto che la Società ha comunicato i dati richiesti, non appena ha avuto contezza del disguido occorso, dell’assenza di precedenti violazioni pertinenti, nonché del complesso delle misure tecniche e organizzative adottate dalla Società, dopo l’evento, al fine di assicurare la corretta gestione delle istanze di accesso (con particolare riguardo alle ulteriori implementazioni del sistema informatico volte ad evitare il ripetersi di ritardi quale quello avvenuto nel caso di specie), si ritiene che il caso de quo possa essere qualificato come “violazione minore” ai sensi dell’art. 83, par. 2 e cons. 148 del Regolamento.

Tenuto inoltre conto che, ai sensi del considerando 148 del Regolamento, “in caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere imposta costituisse un onere sproporzionato per una persona fisica, potrebbe essere rivolto un ammonimento anziché imposta una sanzione pecuniaria”, si ritiene sufficiente ammonire il titolare del trattamento ai sensi dell’art. 58, par. 2, lett. b), del Regolamento.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da Experian Italia S.p.a., P.I. IVA 06016221001, in persona del legale rappresentante pro tempore, con sede legale in Roma, Piazza dell’Indipendenza, 11b - CAP 00185, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 12, par. 3 e 4 e 15 del Regolamento;

ai sensi dell’art. 58, par. 2, lett. b), del Regolamento ammonisce Experian Italia S.p.a., quale titolare del trattamento in questione, per aver effettuato un trattamento di dati personali in violazione della disciplina in materia di protezione dei dati personali;

DISPONE

ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del Regolamento con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019;

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 23 ottobre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE 
Fanizza