Garante - Relazione 2013

Le attività economiche

Viste le numerosissime segnalazioni che sono continuate a pervenire, nonostante la vigenza del provvedimento generale adottato dal Garante il 30 novembre 2005 (doc. web n. 1213644), l’Autorita' ha avviato un’attivita' istruttoria tesa a verificare non solo la liceita' del trattamento dei dati personali posto in essere dalle societa' che svolgono, eventualmente in qualita' di “responsabili del trattamento”, le concrete attivita' di recupero crediti, ma anche in che termini le societa' creditrici, ove titolari, vigilino sull’operato delle predette.

All’esito degli accertamenti, il Garante ha adottato due provvedimenti, con i quali ha inibito l’uso di forme di comunicazione ritenute lesive della dignita' dei debitori. Con il primo (cfr. provv. 11 aprile 2013, n. 181, doc. web n. 2497407), il Garante, nel ribadire i principi gia' affermati con il citato provvedimento del 2005, ha rilevato l’illiceita' del comportamento della societa' incaricata di procedere al recupero del credito, la quale, nel tentativo di contattare la debitrice, aveva interloquito con il figlio e la nuora di costei, rendendoli edotti – in carenza di consenso dell’interessata – dell’esistenza di alcuni ratei di un finanziamento non pagati e del loro complessivo ammontare. Nella medesima fattispecie, il Garante, procedendo ad una attenta valutazione delle concrete attivita' svolte dall’appaltatore nella gestione del recupero crediti, anche sulla base dei compiti e delle responsabilita' previste dallo specifico contratto di servizio, ha altresì riconosciuto che la qualifica di “titolare del trattamento”, contrariamente a quanto stabilito nel contratto, poteva essere attribuita solo alla banca creditrice, risultando solo quest’ultima titolare del potere di assumere decisioni sulle finalita' e modalita' del trattamento svolto dalla societa' appaltatrice, di impartire istruzioni e direttive vincolanti, nonchè di effettuare pregnanti controlli sull’operato della medesima.

Con il secondo provvedimento del 10 ottobre 2013, n. 445 (doc. web n. 2751860), invece, il Garante ha dichiarato illecito il trattamento dei dati personali effettuato a mezzo di “comunicazioni telefoniche preregistrate volte a sollecitare il pagamento”, in quanto – come affermato dal provvedimento generale del 2005 – “suscettibile di rendere edotti soggetti diversi dal debitore della sua asserita condizione di inadempimento”.

In particolare, l’Autorita', dando seguito ad una segnalazione concernente alcuni solleciti di pagamento preregistrati inviati da una banca, ha ritenuto che il sistema utilizzato non garantisse l’accertamento dell’identita' di colui che rispondeva alla chiamata, nè desse certezze circa il diritto di costui di venire a conoscenza delle informazioni inerenti la posizione debitoria dell’effettivo interessato. Detto sistema, infatti, limitandosi a rimettere all’interlocutore la sola facolta' di effettuare “una dichiarazione espressa di identificazione”, non era idoneo ad assicurare che le informazioni veicolate attraverso le comunicazioni telefoniche preregistrate potessero essere ricevute dall’effettivo avente diritto (debitore o soggetti da costui autorizzati), con conseguente violazione non solo dei principi posti dalla disciplina sulla protezione dei dati personali, ma anche delle specifiche prescrizioni impartite dal Garante con il provvedimento generale del 2005. In tale occasione, comunque, il Garante ha precisato che l’utilizzo, a fini di recupero crediti, di un sistema basato su solleciti di pagamento preregistratinon integra di per sè un trattamento illecito di dati, potendo essere utilizzato in presenza di idonei accorgimenti tecnici – basati anche su forme di autenticazione – tali da assicurare la ragionevole certezza che la presa di conoscenza delle informazioni oggetto di comunicazione avvenga soltanto da parte di chi ne possa essere il legittimo destinatario (il debitore o terzi da lui autorizzati).