Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Comunicazione di informazioni eccedenti e non pertinenti in ambito bancario - 21 ottobre 2010 [1771017]

[doc. web n. 1771017]

Comunicazione di informazioni eccedenti e non pertinenti in ambito bancario - 21 ottobre 2010

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

IN DATA ODIERNA, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Giuseppe Fortunato e del dott. Mauro Paissan, componenti, e del dott. Daniele De Paoli, segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali);

VISTE le "Linee guida in materia di trattamento di dati personali della clientela in ambito bancario" adottate dal Garante con deliberazione n. 53 del 25 ottobre 2007, pubblicate sulla G.U. 23 novembre 2007, n. 273, con specifico riferimento ai punti 2.1 e 3.2 relativi, rispettivamente, all´inosservanza di misure di sicurezza e alla comunicazione a terzi di dati personali della clientela che ne può discendere;

VISTO il provvedimento di natura generale (adottato con deliberazione del 30 novembre 2005) con il quale il Garante si è pronunciato in ordine al trattamento di dati personali nell´ambito delle attività di recupero crediti;

VISTA la segnalazione presentata dal signor XY nei confronti di UniCredit;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Giuseppe Chiaravalloti;

PREMESSO

1. Con segnalazione pervenuta il 3 agosto 2009, il signor XY ha riferito che "UniCredit Banca Direzione di Milano ufficio recupero crediti" aveva contattato telefonicamente sua moglie, titolare di un mutuo chirografario "appoggiato" per il versamento delle rate su un conto corrente intestato in via esclusiva allo stesso segnalante, per sollecitare il pagamento di una mensilità ancora non corrisposta. In tale occasione, però, la dipendente della banca, anziché limitarsi al semplice sollecito, avrebbe reso noto al coniuge dell´interessato anche ulteriori vicende concernenti lo stato del conto corrente, portando la stessa a conoscenza dell´esistenza di un fido concesso al titolare del rapporto e dell´avvenuto sconfinamento rispetto al fido. Ritenendo tale comportamento contrario alla disciplina di protezione dei dati personali, l´interessato si è rivolto al Garante, chiedendo l´adozione di misure atte ad impedire il ripetersi di episodi analoghi a quello segnalato (v. nota del 29 luglio 2009). Successivamente, il signor XY ha fornito ulteriori ragguagli sulla vicenda, indicando il nominativo della dipendente autrice del lamentato trattamento dei suoi dati personali e precisando che, in occasione di un´ulteriore conversazione telefonica, una collega di costei gli aveva confermato che la banca non era in possesso di alcuna sua autorizzazione volta a consentire la comunicazione a terzi di "tutti i dettagli" del suo conto corrente (v. nota del 12 ottobre 2009).

2.1. L´Autorità ha inviato ad UniCredit Banca S.p.A. (di seguito "la banca") una prima richiesta, volta ad acquisire informazioni sul caso di specie e, più in generale, sulle misure poste in essere dalla banca per conformare il trattamento dei dati personali dei propri clienti alle indicazioni contenute nelle "Linee guida in materia di trattamento di dati personali della clientela in ambito bancario" adottate dal Garante il 25 ottobre 2007.

La banca, assumendo al riguardo ogni responsabilità ai sensi dell´art. 168 del Codice, ha dichiarato che il "finanziamento chirografario intestato [alla coniuge del segnalante era] stato appoggiato fin dalla sua apertura, per il pagamento delle rate, sul conto corrente intestato a XY […]" e che "al mancato pagamento della rata in scadenza il 2.07.2009, la pratica [era stata] acquisita al monitoraggio di Customer Recovery per svolgere attività finalizzata alla regolarizzazione del finanziamento". Detta attività era consistita nell´effettuazione di una "telefonata al numero telefonico […] comunicato e autorizzato dalla cliente medesima" per informarla "circa l´esito negativo del tentativo di addebito in conto", stante la persistenza del debito "anche in mancanza della possibilità di addebitare il conto corrente" (v. nota UniCredit Banca S.p.A. del 4 novembre 2009).

La banca, inoltre, ha chiarito che:

"la Unit Customer Recovery (CU.RE) di UniCredit S.p.A. – struttura della quale le banche del Gruppo UniCredit si avvalgono per le attività di recupero crediti non ancora scritturati a incaglio/sofferenze – non effettua registrazione delle conversazioni telefoniche intercorse con i clienti nello svolgimento dell´attività demandata", con conseguente impossibilità di "procedere al riscontro diretto dei contenuti della chiamata oggetto della contestazione";

- la telefonata non era stata effettuata nell´interesse di UniCredit Banca S.p.A. ma "per conto di UniCredit Family Financing Bank S.p.A., la banca del gruppo specializzata nell´erogazione di finanziamenti ai privati […]";
"neppure mediante gli accertamenti ulteriormente esperiti [era] stato possibile riscontrare la circostanza lamentata", che risulterebbe estranea "alla modalità operativa che gli addetti CU.RE devono adottare quando [vengono] incaricati del recupero di scadenze impagate su rapporti rateali; gli stessi si limitano infatti a segnalare che la rata è stata restituita ad UCFIN non pagata dalla banca (del gruppo ovvero estranea al medesimo) richiesta del pagamento in quanto detentrice del conto corrente indicato per il regolamento e suggeriscono di effettuare al più presto il pagamento della stessa con modalità "per cassa"";

"UniCredit, che ─ per l´attività prestata da CU.RE nell´interesse delle società del gruppo ─ riveste la qualità di responsabile, è impegnata ad operare con la massima attenzione nell´esecuzione degli incarichi conferiti, anche con riferimento alla formazione dei propri addetti ed è stata richiamata alla necessità del massimo rigore […]" a seguito della segnalazione in argomento.

2.2. Poiché nella vicenda risultavano coinvolti più soggetti facenti parte del gruppo UniCredit, l´Autorità ha chiesto ad UniCredit Banca S.p.A. e ad UniCredit Family Financing Bank S.p.A.(di seguito "la società finanziaria") chiarimenti in ordine ai ruoli rivestiti, anche in riferimento alle regole sulla protezione dei dati personali, da ciascuno di essi (UniCredit Banca S.p.A.; UniCredit Family Financing Bank S.p.A.; la "Unit Customer Recovery"; la dipendente indicata dal segnalante con la nota del 12 ottobre 2009).

In risposta a tale richiesta, la banca ha precisato di aver curato la raccolta della domanda di finanziamento e di averla trasmessa alla società finanziaria "per la successiva valutazione, autorizzazione ed erogazione avvenuta direttamente sul conto corrente intestato al segnalante"; inoltre, ha specificato che "UniCredit CU.RE ha agito su mandato [della società finanziaria], titolare del credito erogato alla predetta cliente e svolto attività finalizzata al recupero del credito scaduto e impagato esclusivamente sulla base dei dati forniti nel mandato [dalla società finanziaria], allegando copia del contratto di finanziamento e della lettera con la quale il 3 novembre 2008 ha designato UniCredit S.p.A. responsabile del trattamento dei dati connesso alla gestione in outsourcing di "[…] servizi ausiliari, amministrativi, strategici e di business […]" (v. nota UniCredit Banca S.p.A. del 18 maggio 2010 ed acclusi allegati).

La società finanziaria, nel confermare le dichiarazioni della banca, ha ribadito:

- di aver affidato alla banca "la promozione e il collocamento di alcune tipologie di finanziamento di propria erogazione, tra le quali anche il prestito personale [che viene in considerazione nel caso di specie]", prevedendo sia l´accredito dell´importo finanziato, sia la domiciliazione del pagamento del mutuo in forma rateale sul conto corrente intestato al signor XY, in base a disposizioni impartite dalla mutuataria con l´accordo del coniuge. Inoltre, ha confermato che "UniCredit S.p.A. Customer Recovery (Cu.Re.) svolge su mandato della [società finanziaria] ed esclusivamente sulla base di dati forniti [dalla medesima] attività finalizzata al recupero dei crediti scaduti e non pagati";

- che la telefonata della dipendente di UniCredit S.p.A. Customer Recovery era finalizzata esclusivamente ad informare "del mancato pagamento della rata [in scadenza] il 2 luglio 2009";

- che "gli addetti ai contatti con la clientela di UniCredit S.p.A. Customer Recovery (Cu.Re.) si limitano a segnalare agli interessati che l´addebito della rata scaduta non è andato a buon fine, suggerendo di provvedere a saldare il pagamento a mezzo bonifico bancario";

- che "non è possibile procedere al riscontro diretto dei contenuti delle telefonate effettuate dagli addetti di Cu.Re. poiché le conversazioni non vengono registrate".

Infine, la società finanziaria, in qualità di titolare del trattamento, ha allegato sia la lettera con la quale UniCredit S.p.A. Customer Recovery è stata designata "responsabile" per i trattamenti di dati personali effettuati nell´ambito delle attività di recupero crediti, sia la nota di designazione, come "incaricata", della lavoratrice autrice del contatto telefonico, comprensiva delle istruzioni impartite alla medesima (v. nota UniCredit Family Financing Bank S.p.A. del 3 giugno 2010 e allegati 3 e 4 alla nota).

2.3. Chiamato ad esprimersi in relazione alle risultanze istruttorie, il segnalante ha ribadito le dichiarazioni già rese in precedenza (v. nota del 6 luglio 2010).

3.1. Dagli elementi in atti risulta, in primo luogo, che UniCredit S.p.A. Customer Recovery effettua, in qualità di "responsabile" e sulla base di puntuali istruzioni impartite da UniCredit Family Financing Bank S.p.A. (a sua volta "titolare"), i trattamenti di dati personali connessi al recupero dei crediti scaduti, non pagati ma ancora non "scritturati a sofferenza". Tale attività, alla luce delle dichiarazioni rese tanto dalla banca quanto dalla società finanziaria, è svolta per conto di quest´ultima ed esclusivamente sulla base dei dati da essa forniti; inoltre è emerso che UniCredit S.p.A. Customer Recovery si è impegnata, nei confronti della predetta, all´osservanza del "divieto di comunicazione […] dei dati trattati (v. allegato 3/2 alla nota UniCredit Family Financing Bank S.p.A. del 3 giugno 2010 cit.).

Anche i dipendenti di UniCredit S.p.A. Customer Recovery preposti all´attività di recupero crediti (inclusa la lavoratrice alla quale ha fatto riferimento il segnalante), sono stati designati direttamente dalla stessa quali "incaricati" del trattamento, con apposita lettera corredata da adeguate istruzioni (artt. 4, comma 1 lett. g) e 30 del Codice). La lettera di designazione, infatti, prescrive agli incaricati che il trattamento debba avere ad oggetto "i soli dati personali la cui conoscenza sia strettamente necessaria per adempiere ai compiti loro assegnati" (v. allegato 4/3 alla nota UniCredit Family Financing Bank S.p.A. del 3 giugno 2010 cit.), e UniCredit S.p.A. Customer Recovery, in conseguenza, risulta espressamente obbligata a vigilare sull´operato di costoro e sulla corretta applicazione delle istruzioni impartite (v. lett. b), allegato 3/1 alla nota UniCredit Family Financing Bank S.p.A. del 3 giugno 2010 cit.).

3.2. Stando alle dichiarazioni rese dalla banca e dalla società finanziaria (che, in proposito, hanno assunto ogni responsabilità -anche penale- ai sensi dell´art. 168 del Codice), la lamentata comunicazione di dati ─ eccedenti e non pertinenti rispetto alla finalità di recupero crediti perseguita ─ riferiti al conto corrente intestato al segnalante, rappresenterebbe un´evenienza estranea alla procedura operativa che gli addetti di UniCredit S.p.A. Customer Recovery sono tenuti ad osservare per il recupero di scadenze impagate su rapporti rateali, la quale prevede che gli incaricati si limitino a segnalare al titolare di un contratto di finanziamento che una o più rate del mutuo sono state restituite non pagate dalla banca (anche esterna al gruppo UniCredit) richiesta del pagamento, suggerendo di effettuare al più presto il pagamento con diverse modalità.

L´Autorità, in passato, ha avuto modo di affermare che, nel rispetto dei principi di pertinenza, finalità e qualità dei dati (artt. 11 del Codice) "possono formare oggetto di trattamento nell´ambito delle attività di recupero crediti i soli dati necessari all´esecuzione dell´incarico", che consistono "di norma, nei dati anagrafici riferiti al debitore, codice fiscale (o partita Iva del medesimo), ammontare del credito vantato (unitamente alle condizioni del pagamento) e recapiti (anche telefonici), solitamente forniti dall´interessato in sede di conclusione del contratto o comunque desumibili da elenchi o registri pubblici" (v. Provv. 30 novembre 2005, doc web n. 1213644, punto 4). Alla luce di tali principi, nell´esercizio dell´attività di recupero di rate scadute e non pagate riferite a mutui chirografari garantiti solo dall´impegno personale del debitore, ancorché appoggiati per il versamento dei ratei su conti correnti intestati a terzi, può essere considerato lecito anche il trattamento, ivi inclusa la comunicazione ai mutuatari, di alcune informazioni riferite ai titolari dei conti correnti su cui vengono domiciliati gli addebiti dei ratei. Con specifico riferimento a tale peculiare ipotesi di finanziamento, si ritiene pertinente e non eccedente, rispetto alla finalità di recupero crediti perseguita, la comunicazione al mutuatario del numero di conto corrente, del nominativo del relativo intestatario, della banca di appoggio e dell´esito negativo del tentativo di addebito del conto per incapienza del medesimo, sempre che al titolare del rapporto di conto corrente sia stata resa un´adeguata informativa (art. 13 del Codice). Infatti, in tali ipotesi si tratta di informazioni connesse e, di fatto, indispensabili per la gestione del rapporto di mutuo, peraltro in larga parte già rinvenibili nel relativo contratto. Nel caso in questione, pur non essendo stata reperita la documentazione di riferimento, è pacifico tra le parti che la domiciliazione sul conto personale del XY delle rate del mutuo erogato alla moglie sia avvenuta con il consenso del medesimo.

Diversamente, va considerato sproporzionato il trattamento di informazioni concernenti l´esistenza di "fidi" o eventuali loro "sconfinamenti" che, se necessarie in vista della regolare gestione, con il relativo titolare, del rapporto di conto corrente di "appoggio", sono invece del tutto ininfluenti ai fini di una corretta informazione del mutuatario sulle vicende strettamente inerenti al saldo dei ratei in scadenza. Nel caso in questione, tuttavia, le attuali risultanze istruttorie non hanno consentito di raggiungere la prova piena che vi sia stata un´effettiva comunicazione anche di informazioni strettamente riguardanti il conto corrente del XY, le quali sarebbero state senz´altro eccedenti rispetto alla finalità di recupero crediti perseguita nei confronti della di lui moglie.

4.1. Pertanto, nonostante all´esito dell´istruttoria le misure "minime" di sicurezza poste a presidio dei dati trattati nell´esercizio delle attività di recupero crediti (artt. 33-35 del Codice e Allegato B) al Codice) siano risultate adottate, si ritiene, tuttavia, di prescrivere a UniCredit Banca S.p.A. e a UniCredit Family Financing Bank S.p.A, che, in qualità di titolari dei trattamenti di dati personali della clientela effettuati nell´esercizio delle rispettive attività, sono tenuti a vigilare sull´operato sia del "responsabile" (UniCredit S.p.A. Customer Recovery) che degli "incaricati" del trattamento (articoli 29, comma 5 e 30, comma 1 del Codice), di richiamare costoro (eventualmente in occasione di specifiche iniziative di formazione del personale, peraltro prescritte, con riferimento agli "incaricati" dalla regola 19.6 dell´Allegato B), al rispetto delle istruzioni già impartite.

4.2. Alla luce delle difficoltà, riferite dalla banca e dalla società finanziaria, a verificare eventuali violazioni da parte degli "incaricati" del trattamento, delle procedure adottate e/o delle istruzioni loro impartite, e al fine di ovviare a episodi analoghi a quello oggetto di segnalazione, si ritiene di dover, inoltre, prescrivere a UniCredit Family Financing Bank S.p.A. le seguenti misure da adottare nel caso in cui l´attività di recupero crediti abbia ad oggetto mutui chirografari, garantiti semplicemente dall´impegno personale del debitore, ma con domiciliazione dell´addebito delle rate su conti correnti intestati a terzi.

UniCredit Family Financing Bank S.p.A. dovrà escludere dalla comunicazione al mutuatario i dati bancari concernenti il titolare del conto corrente di appoggio eccedenti e non pertinenti (quali, nel caso oggetto di segnalazione, l´esistenza di "fidi" o eventuali loro "sconfinamenti") rispetto alla finalità di informare il titolare del finanziamento sulle vicende relative al mutuo e di consentirgli di regolarizzare la posizione debitoria.

Al fine di verificare la tipologia e la pertinenza delle informazioni rese al debitore ove sorgano contestazioni al riguardo ed impedire che al mutuatario vengano comunicate informazioni eccedenti e non pertinenti, si ritiene di dover altresì prescrivere ad UniCredit Family Financing Bank S.p.A., quale misura opportuna, di privilegiare l´invio dei solleciti di pagamento al mutuatario mediante l´impiego di idonee modalità, quali, a titolo esemplificativo, la comunicazione elettronica all´indirizzo e-mail eventualmente fornito dal debitore o, in difetto, la spedizione in plico chiuso presso l´indirizzo del medesimo o presso il domicilio eletto da costui.

TUTTO CIÒ PREMESSO, IL GARANTE

prescrive, ai sensi degli artt. 144, 143, comma 1 lett. b) e 154, comma 1, lett. c), del Codice:

1. a UniCredit Banca S.p.A. e a UniCredit Family Financing Bank S.p.A, che, in qualità di titolari dei trattamenti di dati personali della clientela effettuati nell´esercizio delle rispettive attività, sono tenuti a vigilare sull´operato sia del "responsabile" (UniCredit S.p.A. Customer Recovery) che degli "incaricati" del trattamento, di richiamare costoro (eventualmente in occasione di specifiche iniziative di formazione del personale, peraltro prescritte, con riferimento agli "incaricati" dalla regola 19.6 dell´Allegato B), al rispetto delle istruzioni già impartite;

2. a UniCredit Family Financing Bank S.p.A., di adottare, nell´esercizio di attività di recupero crediti avente ad oggetto mutui chirografari garantiti semplicemente dall´impegno personale del debitore, ma con domiciliazione dell´addebito delle rate su conti correnti intestati a terzi:

a. quale misura necessaria, l´esclusione dalla comunicazione al mutuatario di dati bancari concernenti il titolare del conto corrente di appoggio eccedenti e non pertinenti (quali, nel caso oggetto di segnalazione, l´esistenza di "fidi" o eventuali loro "sconfinamenti") rispetto alla finalità di informare il titolare del finanziamento sulle vicende relative al mutuo e di consentirgli di regolarizzare la posizione debitoria;

b. quale misura opportuna al fine di verificare la tipologia e la pertinenza delle informazioni rese al debitore ove sorgano contestazioni al riguardo ed impedire che al mutuatario vengano comunicate informazioni eccedenti e non pertinenti, di privilegiare l´invio dei solleciti di pagamento al mutuatario mediante l´impiego di idonee modalità, quali, a titolo esemplificativo, la comunicazione elettronica all´indirizzo e-mail eventualmente fornito dal debitore o, in difetto, la spedizione in plico chiuso presso l´indirizzo del medesimo o presso il domicilio eletto da costui.

3. di dare conferma a questa Autorità, entro 90 giorni dal ricevimento del presente provvedimento, delle iniziative intraprese o che si intendono intraprendere al fine di conformare il trattamento dei dati personali degli interessati a tali misure.

Roma, 21 ottobre 2010

IL PRESIDENTE
Pizzetti

IL RELATORE
Chiaravalloti

IL SEGRETARIO GENERALE
De Paoli