Garante Privacy , provvedimento 30.11.2005
Garante per la Protezione dei dati personali Provvedimento 30 novembre 2005 Liceità, correttezza e pertinenza nell’attività di recupero crediti IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI In data odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Giuseppe Fortunato e del dott. Mauro Paissan, componenti, e del dott. Giovanni Buttarelli, segretario generale; Esaminate le segnalazioni presentate da singoli ed associazioni di tutela dei consumatori concernenti il trattamento di dati personali nell’ambito dell’attività di recupero crediti; Visti gli elementi acquisiti a seguito degli accertamenti avviati ai sensi dell’art. 154, comma 1, lettere a) e b), del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196); Ritenuta la necessità di prescrivere ai titolari del trattamento alcune misure necessarie al fine di rendere detti trattamenti conformi alle disposizioni vigenti (art. 154, comma 1, lett. c), del Codice); Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000; Relatore il dott. Giuseppe Fortunato; PREMESSO 1. Il trattamento di dati personali nelle attività di recupero crediti Le risultanze hanno evidenziato l’esistenza di alcune prassi finalizzate al recupero stragiudiziale dei crediti, caratterizzate da modalità di ricerca e di presa di contatto invasive e, talora, lesive della riservatezza e della dignità personale. In particolare, le modalità di ricerca, presa di contatto, sollecitazione, o altrimenti connesse all’esazione della somma dovuta, si manifestano nelle forme più varie: visite al domicilio o sul luogo di lavoro; sollecitazioni su utenze di telefonia fissa o mobile, comprensive dell’invio di messaggi sms di sollecito; comunicazioni telefoniche il cui contenuto a carattere sollecitatorio è preregistrato, poste in essere senza intervento di un operatore (con il rischio che soggetti diversi dal destinatario vengano a conoscenza del contenuto della chiamata); invii di avvisi relativi all’apertura della procedura di recupero crediti tramite comunicazioni individualizzate, con l’inoltro di corrispondenza recante informazioni idonee a lasciar trasparire la situazione debitoria (ad esempio, plichi recanti all’esterno la scritta “recupero crediti” o locuzioni simili) relativa agli interessati o contenenti riferimenti suscettibili di indurre il destinatario in errore circa il valore e la provenienza dell’intimazione a pagare (usuale è il ricorso a formule quali “preavviso esecuzione notifica” o il richiamo di norme di rito con il riferimento alla futura attivazione di “ufficiali giudiziari“); affissioni di avvisi di mora sulla porta del debitore. Non di rado, inoltre, l’attività preordinata al recupero crediti, coinvolge non soltanto il debitore, ma anche terzi, con modalità tali da metterli a conoscenza di vicende personali riferite a quest’ultimo (ad esempio, familiari, conoscenti o vicini di casa, anche utilizzando recapiti non forniti al momento della stipula del contratto e non reperibili in pubblici elenchi). Al fine di rendere conformi alle disposizioni vigenti in materia di protezione dei dati personali i trattamenti effettuati nell’ambito dell’attività di recupero crediti il Garante, ai sensi dell’art. 154, comma 1, lett. c), del Codice, prescrive ai titolari del trattamento l’adozione delle misure necessarie di seguito specificamente indicate, evidenziando che il creditore deve comunque adoperarsi affinché i principi richiamati con il presente provvedimento siano rispettati nell’attività materiale di recupero crediti, anche se affidata a terzi, e che gli interessati, ove i comportamenti tenuti in sede di recupero crediti integrino un illecito civile (per quanto attiene al profilo del risarcimento del danno eventualmente subito) o penale (in quanto suscettibili di integrare fattispecie di reato quali le molestie o le minacce), possono ricorrere all’autorità giudiziaria ordinaria per i profili di rispettiva competenza. Integra, altresì, un trattamento illecito il ricorso alle descritte comunicazioni telefoniche preregistrate volte a sollecitare il pagamento, realizzate senza l’intervento di operatore, essendo tale modalità di contatto suscettibile di rendere edotti soggetti diversi dal debitore della sua asserita condizione di inadempimento. Del pari, diffusione illecita di dati personali si ha con l’affissione ad opera di incaricati del recupero crediti di avvisi di mora (o, comunque, di sollecitazioni di pagamento) sulla porta del debitore, potendo tali dati personali venire a conoscenza di una serie indeterminata di soggetti nell’intervallo di tempo (talora prolungato) in cui l’avviso risulta visibile. Sono pertanto illecite le operazioni di trattamento consistenti nel sollecitare il pagamento con modalità che palesino ad osservatori esterni il contenuto della comunicazione: ciò può accadere nel caso di utilizzo di cartoline postali o tramite l’invio di plichi recanti all’esterno la scritta “recupero crediti” (o locuzioni simili dalle quali possa comunque desumersi l’informazione relativa all’asserito stato di inadempimento del destinatario della comunicazione). Attesa la natura delle informazioni trattate e l’elevato rischio di diffusione a terzi di informazioni personali relative al debitore, è pertanto necessario che le sollecitazioni di pagamento siano portate a conoscenza del solo debitore, ricorrendo a plichi chiusi, che riportino all’esterno le sole indicazioni necessarie ad identificare il mittente, prive di dati eccedenti rispetto a quelli necessari al recapito della comunicazione (in questo senso, al fine di evitare un’inutile divulgazione di dati personali, v. già in materia di notificazione degli atti giudiziari, Provv. 22 ottobre 1998, in Boll. n. 6/1998, p. 13; v. altresì, con riferimento ad una fattispecie particolare, Provv. 12 giugno 2000, in Boll. n. 13/2000, p. 38, 41). In tal senso, inoltre, depongono alcune innovazioni apportate al codice di procedura civile (cfr., in particolare, gli artt. 137, comma 3, 140, 250, comma 2, c.p.c., come modificati dall’art. 174 del Codice), introdotte per rendere tale disciplina compatibile con le finalità di protezione dei valori personali menzionati all’art. 2, comma 1, del Codice, come pure alcune norme (settoriali) che, disciplinando la modalità trasmissiva di intimazioni di pagamento, ne prevedono la comunicazione in plico chiuso (cfr., ad esempio, art. 26 d.P.R. 29 settembre 1973 n. 602, Disposizioni sulla riscossione delle imposte sul reddito, relativo alla notificazione della cartella di pagamento; art. 11, comma 1, d.m. 14 giugno 2004, Approvazione delle modalità di gestione del fondo di garanzia per il credito al consumo, di cui al d.m. 22 dicembre 2003; art. 4, comma 1, d.m. 9 marzo 2001 n. 124, Regolamento concernente le modalità di istituzione del Fondo di garanzia sulle operazioni di credito relative al programma “P.C. per gli studenti”). A tal fine possono formare oggetto di trattamento i soli dati necessari all’esecuzione dell’incarico, con particolare riferimento ai dati anagrafici riferiti al debitore, codice fiscale (o partita Iva del medesimo), ammontare del credito vantato (unitamente alle condizioni del pagamento) e recapiti (anche telefonici), di norma forniti dall’interessato in sede di conclusione del contratto o comunque desumibili da elenchi o registri pubblici. Salvo l’assolvimento di specifici obblighi di legge (ad esempio, per rendere conto delle attività svolte), che può richiedere una conservazione prolungata dei dati raccolti, una volta portato a termine l’incarico, i medesimi non devono formare oggetto di ulteriore trattamento. La loro eventuale conservazione ulteriore deve essere realizzata con modalità comunque tali da precluderne agli incaricati del trattamento la normale consultabilità (con l’adozione di opportune misure logiche o provvedendo alla trasposizione dei dati in archivi separati). 5. Informativa agli interessati Ove i dati vengano raccolti presso terzi trova applicazione l’art. 13, comma 4, del Codice. TUTTO CIÒ PREMESSO, IL GARANTE prescrive, ai sensi dell’art. 154, comma 1, lett. c), del Codice, ai titolari di trattamenti di dati personali nell’ambito dell’attività di recupero crediti le misure necessarie ed opportune di cui ai punti da 1 a 5 del presente provvedimento al fine di rendere il trattamento conforme alle disposizioni vigenti. Roma, 30 novembre 2005 IL PRESIDENTE IL RELATORE IL SEGRETARIO GENERALE
Sono pervenute a questa Autorità numerose segnalazioni concernenti trattamenti di dati personali (e comportamenti) posti in essere a danno di debitori (e, più in generale, di soggetti comunque tenuti all’adempimento) in occasione dello svolgimento di attività di recupero crediti. Tale attività può essere realizzata direttamente dal creditore come pure, nel suo interesse, da terzi, di regola operanti in virtù di contratti di collaborazione (in particolare, attraverso la figura del mandato o dell’appalto di servizi). In quest’ultima ipotesi, l’attività di recupero crediti è preceduta dalla messa a disposizione di dati personali relativi al debitore. Si tratta, per lo più, di dati anagrafici, di informazioni utili per contattarlo (quali, ad esempio, i recapiti telefonici), oltre ai dati relativi alla somma dovuta (entità della medesima causale eventualmente indicata, termini apposti all’obbligazione pecuniaria, oltre che titolo della stessa).
2. Principio di liceità nel trattamento
Chiunque effettui un trattamento di dati personali nell’ambito dell’attività di recupero crediti deve osservare il principio di liceità nel trattamento: tale precetto è violato dal comportamento (attuato da taluni operatori economici) consistente nel comunicare ingiustificatamente a soggetti terzi rispetto al debitore (quali, ad esempio, familiari, coabitanti, colleghi di lavoro o vicini di casa), informazioni relative alla condizione di inadempimento nella quale versa l’interessato (comportamento talora tenuto per esercitare indebite pressioni sul debitore al fine di conseguire il pagamento della somma dovuta).
3. Principio di correttezza nel trattamento
In occasione dello svolgimento delle attività di recupero crediti deve altresì essere osservata la clausola generale di correttezza (art. 11, comma 1, lett. a), del Codice): in base ad essa sono preclusi, sia in fase di raccolta delle informazioni sul debitore, sia nel tentativo di prendere contatto con il medesimo (anche attraverso terzi), comportamenti suscettibili di incidere sulla sua dignità, qui riguardata sul solo piano della disciplina di protezione dei dati personali.
4. Principi di pertinenza e finalità
Il trattamento delle informazioni personali effettuato nell’ambito delle attività di recupero crediti deve svolgersi, altresì, nel rispetto dei principi di pertinenza, finalità e qualità dei dati (artt. 11 del Codice).
In attuazione dei principi di protezione dei dati personali, il titolare del trattamento deve rendere edotti gli interessati (di norma in sede di conclusione del contratto) delle informazioni previste all’art. 13 del Codice, con particolare riferimento all’indicazione degli eventuali responsabili del trattamento ai quali è rimesso l’incarico di procedere al recupero crediti (se del caso, ai sensi dell’art. 13, comma 1, lett. f), del Codice, indicandoli nel proprio sito Internet e facendo ad esso espresso riferimento nell’informativa resa).
Pizzetti
Fortunato
Buttarelli