[doc. web n. 3115085]

Comunicazione a terzi di informazioni relative a una situazione di morosità legata ad un rapporto di finanziamento - 20 marzo 2014

Registro dei provvedimenti
n. 136 del 20 marzo 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano, componente, e del dott. Giuseppe Busia, segretario generale;

Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");

VISTA la segnalazione presentata dal sig. XY nei confronti di Findomestic Banca S.p.A.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

PREMESSO

1. La segnalazione.

1.1. Con segnalazione del 22 giugno 2013, il sig. XY, dipendente dell´I.B.M., ha lamentato un´indebita comunicazione a terzi di informazioni relative a una situazione di morosità legata ad un rapporto di finanziamento in corso tra lui e Findomestic Banca S.p.A.

In particolare, il segnalante ha riferito che, nel mese di aprile 2013, recatosi all´estero per dieci giorni, aveva deciso di evitare "di rispondere a tutte le chiamate" che giungevano al proprio telefono, "considerati i costi per gli addebiti delle chiamate ricevute" e l´impossibilità di "riconoscere i numeri telefonici dei chiamanti, che apparivano come anonimi (Numero Sconosciuto)".

In data 10 aprile, mentre egli si trovava ancora all´estero, un dipendente di Findomestic Banca S.p.A. aveva telefonato al centralino della "Sede IBM di Roma" e, dopo aver chiesto di poter parlare con il "Responsabile" del suo ufficio di appartenenza, lo aveva informato di agire per conto dell´"Ufficio Recupero Crediti di Findomestic" e di essersi visto costretto a telefonare sul luogo di lavoro del cliente non essendo riuscito a reperirlo presso l´utenza telefonica personale; quindi, il chiamante aveva invitato il predetto "Responsabile" ad avvisare il sig. XY "della situazione" e a "sensibilizzarlo" al riguardo.

Pochi minuti dopo la conclusione della telefonata, l´odierno segnalante, attraverso il telefono di servizio, era stato informato dell´accaduto dal proprio superiore, il quale, nell´occasione, gli aveva garantito "che avrebbe tenuto il massimo riserbo sull´argomento".

In ragione di ciò, il sig. XY, appena rientrato in Italia, si era messo in contatto con Findomestic Banca S.p.A. per manifestare il proprio disappunto per l´accaduto, ma l´interlocutore di turno, rimasto anonimo, gli aveva riferito che la società aveva il diritto di "agire" anche sul suo datore di lavoro per sensibilizzarlo ad adempiere ai suoi impegni contrattuali; successivamente, a fronte di ulteriori rimostranze, il segnalante era stato contattato da altro dipendente della società che, nello scusarsi "per il comportamento assunto dal suo collega", lo aveva pregato di continuare ad ottemperare agli obblighi contrattuali che, stante l´episodio, l´interessato aveva minacciato di non voler più onorare.

Ciò premesso, nel ritenere che il comportamento osservato da Findomestic Banca S.p.A. fosse in contrasto con i principi di protezione dei dati personali, il segnalante aveva deciso di rivolgersi al Garante, chiedendo che venisse dichiarata l´illiceità del trattamento dei suoi dati personali.

2. Le dichiarazioni della società

In data 18 luglio 2013 l´ufficio ha inviato una specifica richiesta istruttoria a Findomestic Banca S.p.A per acquisire informazioni sul caso di specie e, più in generale, per conoscere –anche alla luce delle regole poste dal Garante con il provvedimento generale del 30 novembre 2005 [doc. web n. 1213644]- quali fossero gli accorgimenti adottati dalla società per gestire correttamente i dati personali dei clienti nell´attività di recupero crediti.

Nel rendere il riscontro, Findomestic Banca S.p.A. ha preliminarmente fornito una puntuale descrizione dell´attività di "phone collection" normalmente svolta a fini di recupero crediti, evidenziando anche le iniziative intraprese dall´azienda per assicurare un´ampia "diffusione a tutti i livelli organizzativi di una cultura dell´attenzione costante al rispetto alle regole, interne ed esterne".

In particolare, la società ha riferito di aver predisposto una specifica "regolamentazione interna", volta a "fornire a tutto il personale una adeguata informazione/formazione sulla normativa di riferimento e sui principi di carattere etico e di sicurezza adottati" da Findomestic Banca S.p.A., nonché ad indirizzarne i comportamenti durante lo svolgimento delle attività di recupero; in particolare, la società ha dichiarato di aver predisposto un apposito "sistema documentale" a più livelli, comprendente non solo atti di carattere generale (tra cui un "Codice etico", adottato dalla società nel 2006, ed una sorta di manuale su "Il recupero amichevole di Findomestic Banca S.p.A. e delle altre società del Gruppo che erogano credito al consumo"), ma anche "disposizioni di dettaglio relative allo svolgimento di specifiche attività" da parte degli incaricati (cfr. all. b) alla nota del 2 settembre 2013.

A sostegno di quanto asserito, la società ha prodotto anche copia di un atto di nomina a "responsabile del trattamento" −concernente proprio l´area "Direzione-Studio", cui è riservata l´attività di recupero crediti− che, nell´ambito dei "compiti particolari del responsabile", menziona espressamente quello di "assicurare che la comunicazione a terzi e la diffusione dei dati personali avvenga, se prevista, nelle modalità regolamentate dalla normativa di riferimento" (cfr. punto d) del documento stesso).

Ciò premesso, con riguardo alla specifica segnalazione, Findomestic Banca S.p.A. ha ammesso che nell´aprile 2013, non risultando il sig. XY in regola con il versamento della rata mensile e stante la sua irreperibilità presso l´utenza telefonica da lui stesso indicata in occasione della conclusione del rapporto, un incaricato della società aveva telefonato presso il datore di lavoro di costui, "ma al solo fine di essere ricontattati dal cliente stesso, nel massimo rispetto della sua privacy e senza fornire informazioni relative al rapporto in essere con Findomestic a soggetti ad esso estranei"; inoltre, la società ha aggiunto che, sulla base delle informazioni a disposizione, non sarebbero state riscontrate "anomalie nel comportamento tenuto dall´addetto al recupero nel caso in esame". 

Il segnalante, chiamato ad esprimere le proprie osservazioni al riguardo, ha dapprima ribadito le proprie doglianze, affermando che, "malgrado l´apparente attenzione posta nel modello organizzativo per il recupero crediti e la descritta metodologia descritta per istruire gli incaricati e i controlli permanenti messi in atto  nelle attività telefoniche", la società non sarebbe riuscita ad impedire la "divulgazione della condizione debitoria a soggetti terzi"; inoltre, al fine di comprovare tale assunto, l´interessato ha prodotto una e.mail datata 13 giugno 2013, inviatagli dal proprio superiore gerarchico, con la quale quest´ultimo gli aveva ribadito di aver ricevuto una telefonata da parte di una persona che si era qualificata "come Findomestic", la quale gli aveva rappresentato la necessità che il sig. XY si mettesse in contatto con la società "con urgenza per problemi di morosità legati al conto corrente" (cfr. nota datata 20 ottobre 2013).

Pertanto, il segnalante ha insistito per l´accoglimento delle richieste già rassegnate.

3. Le valutazioni sul trattamento dei dati personali dei clienti.

In via generale, l´Autorità ha avuto modo di affermare che chiunque effettui un trattamento di dati personali nell´ambito di una attività di recupero crediti, in ossequio ai principi di liceità e correttezza (art. 11, comma 1, lett. a) del Codice), debba astenersi dal "comunicare ingiustificatamente a soggetti terzi rispetto al debitore (quali ad esempio, familiari, coabitanti, colleghi di lavoro o vicini di casa) informazioni relative alla condizione di inadempimento nella quale versa l´interessato", avendo cura di evitare "nel tentativo di prendere contatto con il medesimo (anche attraverso terzi) comportamenti suscettibili di incidere sulla sua dignità" (provv. 30 novembre 2005, doc. web n. 1213644).

Findomestic Banca S.p.A., nell´illustrare la propria struttura organizzativa, ha dichiarato che responsabile dell´attività di recupero crediti telefonico è la "Direzione Studio-Recupero Crediti, dipendente in linea gerarchica dal Direttore Generale", che ha anche il compito di ridurre i rischi connessi al suo svolgimento "attraverso lo sviluppo, la gestione ed il seguito delle attività di recupero crediti, nel rispetto delle regole di deontologia vigenti e salvaguardando l´immagine aziendale ed il rapporto con i clienti".

In particolare, la società ha dichiarato –e, al contempo, documentato- di aver predisposto non solo specifiche regole scritte (tra cui il Codice etico ed un "manuale", già menzionati) in favore del personale operante nel settore del "recupero amichevole", ma anche di aver organizzato specifiche attività "formative e di sensibilizzazione" in vista di una corretta applicazione -anche in occasione dell´eventuale contatto con soggetti diversi dal debitore- dei principi di liceità e di correttezza così come declinati nel provvedimento generale del 30 novembre del 2005.

Inoltre, la Società ha anche riferito di aver predisposto un sistema di controlli interni, strutturato su più livelli, per garantire l´esatta applicazione della normativa di riferimento e per contenere i "rischi legali e reputazionali collegati all´attività", cui si aggiunge "un monitoraggio sistematico dei reclami relativi all´attività di phone collection" effettuato "dall´unità Gestione Reclami" posta nell´ambito della Direzione Affari Legali, Societari e Conformità".

Tutto ciò premesso, si tratta di verificare se, nel caso di specie, la società abbia effettivamente osservato i principi di liceità e correttezza più volte richiamati all´interno della documentazione prodotta.

In primo luogo, sul piano fattuale, si rileva che Findomestic Banca S.p.A. ha ammesso di aver tentato di contattare a più riprese il debitore e, stante la sua irreperibilità "ai numeri telefonici forniti dal medesimo al momento della stipula del contratto", di aver contattato il suo datore di lavoro, interloquendo con esso.

Circa il contenuto del colloquio intercorso, la società ha asserito di essersi limitata a chiedere al datore di lavoro di informare il dipendente dell´infruttuoso tentativo di mettersi in contatto con lui e di essersi astenuta dal "fornire informazioni relative al rapporto in essere con Findomestic".

Tale asserzione, però, non solo contrasta con quanto riferito dal segnalante, ma è contraddetta dalla e.mail inviata il 13 giugno 2013 dal superiore gerarchico –che ricevette personalmente la telefonata- al sig. XY, con la quale egli ha confermato quanto già anticipato verbalmente al dipendente, e cioè che "in data 10 aprile 2013, intorno alle 17,00", una persona "qualificatasi" come "Findomestic" lo aveva contattato, chiedendogli di intervenire affinché il sig. XY richiamasse la società "con urgenza per problemi di morosità legati al conto corrente".

Ad avviso di questa Autorità i fatti riportati nella e.mail prodotta sono talmente circostanziati -recando l´indicazione della data e dell´ora dell´avvenuto contatto, gli estremi dell´ufficio della società procedente, le ragioni che avevano indotto il chiamante a tentare di contattare il debitore sul luogo di lavoro e, cosa più grave, l´esistenza di una condizione di morosità- da far ritenere che essi siano stati effettivamente portati a conoscenza del superiore gerarchico dell´interessato –e in assenza del consenso di quest´ultimo- da una persona ben informata sulla vicenda debitoria e, verosimilmente, da colui che tentò di contattare il sig. XY sul luogo di lavoro per conto della Findomestic Banca S.p.A..

Acclarato quanto sopra, non può non rilevarsi che vari aspetti della vicenda risultano in palese contrasto con i principi posti dalla disciplina sulla protezione dei dati personali.

Infatti, il servizio di "phone collection", cui si è soliti ricorrere nell´esercizio dell´attività di recupero crediti, comportando il costante rischio di instaurare contatti anche con persone diverse dal debitore, deve essere svolto con estrema accortezza, sì da evitare che possa determinarsi una comunicazione di informazioni in favore di soggetti estranei al rapporto obbligatorio; di ciò risulta essere consapevole la stessa Findomestic Banca S.p.A., che, non solo nell´adottato schema di designazione a "responsabile del trattamento" ha espressamente richiamato l´attenzione di ciascun designato all´osservanza dei principi di cui all´art. 11 del d.lg. n. 196/2003, ma con lo stesso "manuale" interno dedicato al c.d. "recupero amichevole" ha dettato al personale una serie di regole da osservare nell´attività di recupero "telefonico", prescrivendo che, nel caso in cui si renda necessario instaurare un "contatto con i terzi", è fatto divieto all´incaricato di dichiarare di agire per conto di Findomestic e di svelare la ragione per la quale si stia cercando il cliente (cfr., Parte generale II, punto c7).

Tali fondamentali prescrizioni, però, non risultano essere state osservate nella vicenda in questione, in cui il dipendente di Findomestic Banca S.p.A., cercando infruttuosamente di contattare il debitore presso il suo luogo di lavoro, ha dapprima preteso di conferire con il suo superiore gerarchico e, dopo avergli riferito di appartenere all´Ufficio Recupero Crediti di Findomestic, lo ha portato a conoscenza dell´irreperibilità del debitore e dell´esistenza di una situazione di morosità a suo carico.

Tale condotta si è risolta in un´illecita comunicazione a terzi dei dati del sig. XY relativi al rapporto obbligatorio in essere con Findomestic Banca S.p.A., con la conseguenza che il loro trattamento deve essere dichiarato illecito perché in contrasto con gli artt. 2 (in riferimento al rispetto della dignità dell´interessato), 11 e 23 del Codice (cfr. Provv. 28 maggio 2009, doc. web n. 1624734; Provv. 8 marzo 2007, doc. web n. 1390910); in ragione di ciò, l´Autorità si riserva, con autonomo procedimento, di formulare un´eventuale contestazione in sede amministrativa.
Inoltre, avendo la vicenda denotato una parziale inefficacia del sistema di controllo permanente predisposto dalla società per l´attività di recupero "telefonico", ai sensi degli artt. 143, comma 1, lett. b)  e 154, comma 1, lett. c) del Codice, si ritiene di prescrivere a Findomestic Banca S.p.a. di adottare ulteriori adeguate misure al fine di monitorare in modo più assiduo l´operato dei responsabili e degli incaricati del trattamento, anche attraverso verifiche periodiche sulle concrete modalità di attuazione, da parte di costoro, delle istruzioni impartite dalla banca.

TUTTO CIÒ PREMESSO, IL GARANTE:

a) dichiara l´illiceità del trattamento dei dati personali del sig. XY posto in essere da Findomestic Banca S.p.A.;

b) ai sensi degli artt. 143, comma 1, lett. b)  e 154, comma 1, lett. c) del Codice, prescrive a Findomestic Banca S.p.a. di adottare, entro 90 giorni dalla ricezione del presente provvedimento, ulteriori adeguate misure volte a rafforzare il livello di controllo sull´operato dei responsabili e degli incaricati del trattamento, anche attraverso verifiche periodiche sulle concrete modalità di attuazione, da parte di costoro, delle istruzioni impartite dalla banca;

c) prescrive a Findomestic Banca S.p.a., ai sensi dell´art. 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione al presente provvedimento entro 120 giorni dalla ricezione dello stesso; si ricorda che il mancato riscontro alla richiesta ex art. 157 è punito con la sanzione amministrativa di cui all´art. 164 del Codice.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 20 marzo 2014

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia