[doc. web n. 10084403]

Provvedimento del 17 ottobre 2024

Registro dei provvedimenti
n. 615 del 17 ottobre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. del 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. del 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il reclamo presentato al Garante ai sensi dell’articolo 77 del Regolamento, in data 19 novembre 2021, con il quale il Sig. XX ha lamentato un illecito trattamento dei propri dati personali utilizzati per finalità di recupero crediti da parte di Serfin 97 S.r.l.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo e l’attività istruttoria.

In data 19 novembre 2021, il Sig. XX ha lamentato un illecito trattamento dei propri dati personali utilizzati per finalità di recupero crediti da parte di Serfin 97 S.r.l.

Più nello specifico, il reclamante ha riferito che Serfin 97 S.r.l. avrebbe utilizzato, quale recapito per contattare il debitore un indirizzo e-mail facente capo ad un proprio conoscente, nella specie il contatto di posta elettronica XX, al fine di sollecitare il pagamento di un debito, contratto originariamente con Eni gas e luce S.p.A. e, poi, ceduto, previa operazione di cartolarizzazione, a P.E.S. S.r.l. (v. All. 1 – “e-mail del 23 ottobre 2021” all’istanza di reclamo in oggetto).

Ha inoltre precisato che il predetto indirizzo e-mail non era mai stato dallo stesso comunicato al summenzionato fornitore di energia, né tanto meno a P.E.S. S.r.l. o a Serfin 97 S.r.l. (v. istanza di reclamo in epigrafe, pag. 1).

Al riguardo è stata avviata un’istruttoria dalla scrivente Autorità, mediante la trasmissione, ai sensi dell’art. 157 del Codice, di una richiesta di informazioni con cui Serfin 97 S.r.l. è stata invitata a fornire osservazioni in ordine ai fatti oggetto di reclamo (v. nota del 24 gennaio 2022).

Dal riscontro pervenuto (v. nota di Serfin 97 S.r.l. del 21 febbraio 2022) è emerso, tra l’altro, che la stessa avrebbe agito in qualità di responsabile ex art. 28 del Regolamento per conto di P.E.S. S.r.l. individuata quale titolare del trattamento dei dati del Sig. XX, giusta la summenzionata operazione di cartolarizzazione dei crediti acquisiti da Eni gas e luce S.p.A.

È stata pertanto trasmessa una richiesta di informazioni a P.E.S. S.r.l. (v. nota del Garante del 18 luglio 2022) al fine di acquisire alcuni chiarimenti in merito, cui sono seguiti alcuni accertamenti ispettivi, condotti dal Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, nelle giornate del 26 e del 27 ottobre 2022.

Sono state altresì fornite ulteriori precisazioni da P.E.S. S.r.l. con riscontro dell’11 aprile 2023, a seguito di specifica richiesta del Garante trasmessa, ai sensi dell’art. 157 del Codice, il 14 marzo 2023.

2. Gli elementi acquisiti in sede istruttoria.

Nell’ambito dei riscontri sopra indicati e nel corso delle attività ispettive poste in essere dal Nucleo speciale tutela privacy e frodi tecnologiche (v. verbali del 26 e 27 ottobre 2022), il titolare ha rappresentato quanto riportato di seguito:

‒ P.E.S. S.r.l. è “una società a responsabilità limitata costituita in Italia ai sensi dell'articolo 3 della Legge n. 130 del 30 aprile 1999 (“Legge sulla Cartolarizzazione”), iscritta nell'elenco delle società veicolo tenuto da Banca d’Italia ai sensi dell'articolo 4 della delibera di Banca d’Italia del 7 giugno numero 35371.4 e avente ad oggetto esclusivo la realizzazione di una o più operazioni di cartolarizzazione dei crediti. A tale scopo, (…) -in ossequio all’art. 2, comma 3 e comma 6-bis della Legge sulla Cartolarizzazione- ha riservato la riscossione dei crediti ceduti e i servizi di cassa e pagamento, nonché le verifiche di conformità delle operazioni alla legge e ai prospetti informativi, alla Centotrenta Servicing S.p.a., quale intermediario finanziario iscritto all'albo ex art. 106 TUB” (v. nota dell'11 aprile 2023, pagg. 1-2). Dalla “sua nascita, in data 1/8/2017, ha posto in essere tre operazioni di cartolarizzazione (…), ciascuna con patrimonio separato. Tutte (…) riconducibili ad operazioni di cessione di crediti commerciali” (v. verbale del 27 ottobre 2022, pag. 1);

‒ per quanto concerne la fattispecie oggetto di reclamo, “la Società in data 14 dicembre 2018, ha concluso un contratto di cessione di crediti pecuniari con Eni gas e luce S.p.A. (..) pubblicato in Gazzetta Ufficiale della Repubblica Italiana del 10/1/2019”. In tale contesto, P.E.S. S.r.l., per le attività di servicing (art. 2, comma 3, lett. c) e comma 6 della l. n. 130/99) “si è avvalsa di Centotrenta Servicing S.p.A., la quale ha nominato a sua volta come sub servicer, Serfin 97 S.r.l. per la riscossione dei recuperi crediti per suo conto” (v. verbale del 27 ottobre 2022, pag. 1 e allegato 12);

‒ l’attività di “acquisizione dei crediti insoluti descritta nel contratto tra la cedente Eni Gas e Luce S.p.a. (…) e il cessionario Pes S.r.l., è stata gestita interamente dalla Centotrenta Servicing S.p.a., in quanto Pes, essendo una società veicolo per la cartolarizzazione dei crediti, non ha dipendenti, né possiede applicativi e database, motivi per i quali tutti i servizi, anche quelli amministrativi, sono stati affidati alla società Centotrenta Servicing S.p.A.” (v. verbale del 27 ottobre 2022, pag. 2 e allegato 12).

‒ nell’ambito dell’operazione di cartolarizzazione avente ad oggetto i rapporti di debito del reclamante, P.E.S. S.r.l. -in quanto operante “in forza ad un contratto concluso di cessione di crediti pecuniari” - è “titolare [della] pluralità dei crediti pecuniari acquistati in blocco e pro-soluto dall[a] Cedente [Eni gas e luce S.p.A.]. Detta cessione di crediti ha comportato necessariamente la comunicazione a PES dei dati personali contenuti nei documenti e nelle evidenze informatiche afferenti ai debitori ceduti a cui i crediti si riferiscono, nonché dei dati personali afferenti ai rispettivi (eventuali) garanti, successori o aventi causa. (…) I dati raccolti e trattati dalla società per assolvere le finalità di recupero crediti, sono [consistiti in] dati personali identificativi e di contatto, informazioni patrimoniali e reddituali degli Interessati” (v. verbale del 26 ottobre 2022, pag. 1);

‒ con specifico riferimento al trattamento dei dati personali riferiti al Sig. XX, “la Società [ha] opera[to] come titolare del trattamento dei dati personali, [mentre] la Serfin S.r.l., in ordine al credito acquistato dalla ENI S.p.A., [ha] opera[to] in qualità di responsabile del trattamento” (v. verbale del 26 ottobre 2022, pag. 1).

Nel corso degli accertamenti ispettivi sopra menzionati, è stato acquisito “un link SharePoint con il tracciato originario [dei dati del reclamante] acquistato da Eni Gas e Luce (Allegato B al contratto) in formato excel, nonché l’estratto del fascicolo dei crediti insoluti del reclamante e i suoi dati anagrafici”. Dalla predetta documentazione è risultata “l’esistenza di crediti insoluti per n. 3 fatture del reclamante, nonché l’assenza di qualsiasi indirizzo e-mail [del reclamante], tra i dati anagrafici” ivi presenti (v. verbale del 27 ottobre 2022, pag. 2 e All. n. 11).

Sul punto, in relazione alle istruzioni impartite da P.E.S. S.r.l. alle società responsabili e sub-responsabili del trattamento relativamente all’eventuale aggiornamento e/o acquisizione di ulteriori dati dei debitori utili ai fini della riscossione del credito, è stato altresì rappresentato da P.E.S. S.r.l. che la stessa “non ha (…) mai ricevuto [dai propri responsabili e sub-responsabili] comunicazioni di un aggiornamento o incremento dei dati personali dei debitori” (v. verbale del 27 ottobre 2022, pag. 3).

Infine, con riferimento alla richiesta di informazioni trasmessa dalla scrivente Autorità a Serfin 97 S.r.l., la predetta Società, con nota di riscontro del 21 febbraio 2022, ha rappresentato quanto segue:

- Serfin 97 S.r.l. “eroga servizi a tutela del credito per conto di diverse importanti realtà commerciali e finanziarie e, nell’ambito di tale attività, in data 18/12/2020, ha ricevuto mandato da parte di Pes S.r.l al fine di verificare le condizioni di una definizione stragiudiziale delle morosità maturate -tra gli altri- anche dal Sig. XX” (v. nota del 21 febbraio 2022, cit., pag. 1);

- la predetta Società, ricevuto il reclamo del Sig. XX, “ha attivato un'istruttoria interna al fine di verificare le modalità di gestione della pratica coinvolgendo il personale incaricato di assolvere il mandato ricevuto dalla Committente. Si è potuto accertare che -così come da prassi- sono state effettuate chiamate ai recapiti telefonici forniti dalla Committente nell’anagrafica al momento dell’affido nelle seguenti date: 16/09/2021; 07/10/2021; 23/10/2021; 27/10/2021. Solo successivamente è stata inviata una comunicazione a mezzo mail” (v. nota del 21 febbraio 2022, cit., pag. 1);

- il personale coinvolto nelle summenzionate verifiche “ha peraltro confermato di essersi attenuto alle prescrizioni della scrivente società in materia di gestione delle pratiche e di corretto trattamento di dati personali, senza ricordare esattamente la fonte dalla quale abbia attinto l’indirizzo mail XX, individuabile, con ogni probabilità, nella comunicazione da parte dell’interessato durante i contatti telefonici intervenuti, ovvero nell’acquisizione del dato attraverso la consultazione di fonti pubbliche (…). La difficoltà di rielaborare con esattezza lo svolgimento delle operazioni dipende, comprensibilmente, dall’elevato numero di posizioni gestite contemporaneamente dalla società Serfin 97 S.r.l.: si consideri, a titolo esemplificativo, che, nel corso dell'anno 2021, sono stati affidati alla Società quasi 1.130.936 di pratiche di tentativi di recupero stragiudiziale del credito” (v. nota del 21 febbraio 2022, cit., pag. 2);

- più in generale, in ordine alle modalità di reperimento dei dati di contatto del debitore, le procedure adottate dalla Società prevedono “l’utilizzo di dati esclusivamente reperibili attraverso le seguenti fonti: indicazione dei recapiti nel format contrattuale sottoscritto dall’interessato; comunicazione del dato da parte dell’interessato al creditore/committente in corso di svolgimento del rapporto contrattuale; comunicazione del dato durante i contatti intervenuti direttamente con l’interessato; acquisizione del dato attraverso la consultazione di fonti pubbliche; acquisizione del dato tramite società specializzate, munite di licenza ex art. 134 T.U.L.P.S." (v. nota del 21 febbraio 2022, cit., pag. 1);

- a seguito della richiesta del Sig. XX di non utilizzo dell’indirizzo e-mail contestato, la società, il 1° dicembre 2021, “ha provveduto alla definitiva cancellazione di tale dato non solo dalla pratica del Sig. XX, ma anche dal proprio database” e “ha inoltre provveduto a riscontrare, entro i termini normativamente previsti, la comunicazione [del reclamante], informandolo delle evidenze emerse dall’attività istruttoria, nonché dell’immediata cancellazione del dato contestato” (v. nota del 21 febbraio 2022, cit., pag. 2 e All. 1).

3. La notifica della violazione e le memorie difensive.

Con comunicazione del 17 maggio 2023, l’Ufficio, sulla base della documentazione in atti e degli elementi acquisiti nel corso dell’istruttoria, ha provveduto a notificare a Serfin 97 S.r.l. l’avvio del procedimento per l’adozione dei provvedimenti di cui agli artt. 58, par. 2, e 83 del Regolamento in relazione alla violazione dell’art. 28, par. 3, lettere a), e) e h) del Regolamento; ciò in conformità a quanto previsto dall’art. 166, comma 5, del Codice.

Al riguardo, la Società, con comunicazione del 16 giugno 2023, ha fatto pervenire i propri scritti difensivi, ulteriormente integrati in sede di audizione del 22 marzo 2024 e per il tramite di una nota integrativa del 28 marzo 2024, rappresentando quanto segue:

a) in ordine all’origine dei dati personali oggetto di contestazione, l’indirizzo e-mail XX, per un errore umano attribuibile esclusivamente al dipendente incaricato di gestire la pratica, non è stato correttamente inserito nel database gestionale della Società, rimanendo pertanto privo dell’indicazione inerente alla “fonte” dalla quale era stato acquisito. Tutto ciò nonostante la vigenza all’interno della Società di apposite procedure aziendali che “prevedono espressamente di indicare la fonte del dato nel campo note della pratica, inserendo i dati negli opportuni campi ad essi destinati”; procedure in merito alle quali i collaboratori ricevono periodicamente adeguata formazione (v. nota del 16 giugno 2023, pagg. 2-5 e All. 4; v. anche nota del 28 marzo 2024, pagg. 1-2 e Allegati nn. 25 e 26);

b) con riferimento alla mancata comunicazione dell’indirizzo e-mail XX al titolare, lo stesso è parimenti imputabile all’errore eccezionale e imprevedibile del predetto operatore il quale, inserendo tale dato nel campo errato del gestionale aziendale, non ha permesso al sistema l’invio in automatico a P.E.S. S.r.l. di detta informazione in occasione dei consueti aggiornamenti periodici trasmessi al committente (v. nota del 16 giugno 2024, pagg. 6-7).

La Società, nell’ambito delle summenzionate memorie difensive, ha inoltre indicato, tra gli elementi a proprio favore per l’eventuale determinazione della sanzione amministrativa, la circostanza che “nel caso di specie, nessun terzo estraneo è stato messo al corrente della situazione di insolvenza dell’interessato, considerato che la comunicazione via e-mail in parola non contiene alcuna informazione in tal senso, limitandosi a richiedere un contatto al Sig. XX” (v. nota del 16, giugno 2023, pag. 6).

Da ultimo, Serfin 97 S.r.l. ha rappresentato di avere implementato, a seguito della notifica della violazione trasmessa dal Garante, alcune misure tecniche e organizzative volte a prevenire eventuali criticità in merito alla tracciabilità dei dati raccolti e trattati per conto dei propri committenti. In particolare:

è stato reso operativo un sistema automatico di gestione delle comunicazioni via e-mail dedicato alla validazione degli indirizzi dei debitori. Più nello specifico, è stato previsto che, quando un utente del sistema invia una comunicazione e-mail diretta a un indirizzo non proveniente dal committente, tale sistema si frappone fra l’utente del gestionale e il destinatario sospendendo l’invio del contenuto originario e sostituendolo con una richiesta di conferma dell’identità del destinatario e contestuale autorizzazione all’invio della comunicazione originaria attraverso quella specifica casella di posta elettronica. Tale sistema, “in ultima analisi, consente di ottenere un esplicito consenso dal reale destinatario di una comunicazione via e-mail a utilizzare – per lo scambio di messaggi con la Società – l’indirizzo di posta elettronica eventualmente aggiunto alla pratica in corso di lavorazione” (v. nota del 16 giugno 2023, pagg. 14-15);

è stato effettuato un intervento di modifica del sistema gestionale utilizzato dalla Società per l’attività di recupero del credito al fine di aggiornare le regole ivi previste per la definizione delle modifiche ai dati di contatto dei debitori, nei casi in cui le stesse vengano manualmente effettuate dagli operatori. Al riguardo, la Società ha implementato, in primis, una procedura di controllo e di preventiva autorizzazione a sistema di tali proposte di modifica da parte del Team Leader, che ne valida l’inserimento, pena l’invalidità dello stesso. In secondo luogo, ha operato una diversa strutturazione dei moduli di immissione dati compilati dal personale addetto. Nello specifico, “i form che consentono l’inserimento di nuovi contatti (dunque numeri di telefono o indirizzi e-mail) prevedono che l’operatore, oltre ad indicare il dato nel campo corretto, specifichi obbligatoriamente la fonte dalla quale il dato inserito è stato acquisito (ad esempio tramite “ricerca web” o “contatto telefonico”)”. In aggiunta, “lo stesso è altresì obbligato a compilare un campo note all’interno del quale inserire tutte le informazioni utili a descrivere in modo dettagliato le modalità attraverso cui il dato ulteriore è stato raccolto” (v. nota del 28 marzo 2024, pag. 2). Diversamente, “qualora l’operatore inserisca il dato nel campo errato e/o non specifichi la fonte del dato, il sistema non permette di salvare la modifica e quindi di utilizzare il contatto, sia esso telefonico o e-mail” (v. nota del 16 giugno 2023, pagg. 12-13).

4. L’esito dell’istruttoria: prime osservazioni sul trattamento dei dati personali posto in essere nel caso di specie.

In primis si rappresenta che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Tanto doverosamente premesso, occorre osservare preliminarmente che, ai fini della trattazione del reclamo in oggetto, è necessario tener conto del peculiare contesto sotteso alle attività di trattamento poste in essere nel caso di specie, in quanto inerenti ad un’operazione di cartolarizzazione dei crediti ai sensi dell’art. 3 della legge del 30 aprile 1999, n. 130 – “Disposizioni sulla cartolarizzazione dei crediti” (di seguito “l. n. 130/99”).

La summenzionata normativa disciplina il complesso di operazioni con cui è effettuata la cessione a titolo oneroso di un gruppo di crediti detenuti da una Società (“originator” o cedente) ad un terzo soggetto (“special purpose vehicle” o cessionario), previo obbligo, in capo a quest’ultimo, di procurare il corrispettivo dovuto, per la predetta acquisizione, attraverso l’emissione di titoli. Più nello specifico, è previsto che lo special purpose vehicle abbia “per oggetto esclusivo la realizzazione di una o più operazioni di cartolarizzazione dei crediti” (art. 3, comma 1 della L. 130/99) e sia a tal fine tenuto ad individuare un soggetto qualificato (il servicer) incaricato “della riscossione dei crediti ceduti e dei servizi di cassa e di pagamento” (art. 2, comma 3, lett. c) della l. n. 130/99).

Con il contratto di servicing, invero, viene conferito al servicer un mandato con rappresentanza ai fini della gestione, amministrazione, incasso e recupero dei crediti per l’intero periodo in cui l’operazione di cartolarizzazione è in essere.

Tra i compiti attribuiti allo stesso rientrano: la cura dei rapporti con i debitori, comprese le attività di invio delle comunicazioni agli stessi e quelle di promozione o prosecuzione delle azioni volte ad esercitare i diritti dell’acquirente (c.d. funzione operativa; v. art. 2, comma 3, lett. c) della l. n. 130/99), nonché l’obbligo di controllare e verificare la correttezza delle operazioni e la loro conformità alla legge (c.d. funzione di garanzia; v. art. 2, comma 6-bis della l. 130/99).

Nell’ambito della funzione operativa, alcune delle attività del servicer (specialmente quelle inerenti alle operazioni di recupero crediti) possono essere delegate ad altri soggetti in qualità di “special servicer”; parimenti, in relazione alla funzione di garanzia, determinate attività (quale ad esempio quelle inerenti al monitoraggio dei compiti affidati agli special servicer) possono essere attribuite ad un terzo soggetto denominato “advisor”.

In ragione del sopra descritto quadro normativo, lo special purpose vehicle assume la titolarità delle attività di trattamento dei dati personali dei debitori ceduti in virtù del contratto di cessione dei crediti sottoscritto con la società cedente nell’ambito dell’operazione di cartolarizzazione, subentrando di diritto nei rapporti di credito con i debitori e dunque anche nella titolarità del trattamento inerente ai dati personali riferiti a questi ultimi (v. provv. del 18 gennaio 2007 – “Cessione in blocco e cartolarizzazione dei crediti”, doc. web n. 1392461; più in generale, cfr. provv. del 25 ottobre 2007 – “Linee guida per trattamenti dati relativi al rapporto banca-clientela”, doc. web n. 1457247).

Tutto ciò, sebbene lo special purpose vehicle, nella prassi, non disponga di una propria struttura organizzativa per la gestione delle attività sociali, in quanto giuridicamente tenuta, come illustrato in precedenza, ad affidare interamente gli atti di gestione della propria impresa a un diverso soggetto (il servicer).

Quest’ultimo -che, ai sensi della normativa di protezione dei dati, assume il ruolo di responsabile del trattamento ex art. 28 del Regolamento- deve rispondere, per specifica disposizione normativa (art. 2, comma 6 della l. n. 130/99), a peculiari caratteristiche ed essere dotato di competenze specialistiche che gli consentano di svolgere l’incarico conferitogli; allo stesso è espressamente conferito altresì l’onere di verificare che “le operazioni siano conformi alla legge ed al prospetto informativo” (art. 2, comma 6-bis della l. n. 130/99).

Nel caso di specie, tenuto conto della ricostruzione sopra descritta, è emerso che le attività di trattamento del Sig. XX sono state poste in essere da P.E.S. S.r.l., nella veste di special purpose vehicle, in qualità di titolare del trattamento, e da Serfin 97 S.r.l. con l’incarico di special servicer, quale responsabile ex art. 28 del Regolamento per le attività di trattamento dei dati dei debitori ceduti ai fini del recupero dei relativi crediti.

4.1. Gli obblighi direttamente imposti al responsabile del trattamento ai sensi dell’art. 28 del Regolamento.

Tanto chiarito in termini generali, per quanto concerne gli specifici profili inerenti al trattamento dei dati personali dei debitori interessati dalle operazioni di cartolarizzazione effettuate nel caso di specie, è necessario osservare quanto segue.

Dal complesso delle disposizioni sopra richiamate, emerge una configurazione soggettiva dei ruoli privacy che, nell’attribuire la titolarità del trattamento dei dati dei debitori ceduti allo special purpose vehicle (ovvero a P.E.S. S.r.l.), riconosce al contempo la necessaria delega delle specifiche operazioni di trattamento ad un soggetto terzo, lo special servicer (nel caso di specie, Serfin 97 S.r.l.) che, per specifica previsione normativa, deve essere qualificato per lo svolgimento dei predetti incarichi.

Quest’ultimo, in quanto dotato delle risorse, sia in termini di personale, sia di applicativi, nonché dell’expertise all’uopo necessaria, è il soggetto che pone di fatto in essere (sebbene in nome e per conto del titolare) i trattamenti di dati personali dei debitori interessati dall’operazione di cartolarizzazione, per lo svolgimento dell’incarico di recupero dei crediti allo stesso conferito.

A Serfin 97 S.r.l. è pertanto attribuito il compito di determinare, in concreto, le modalità di adempimento alle istruzioni impartite dal titolare in ragione dell’esperienza dal primo vantata nel precipuo settore di riferimento (cfr. in tal senso la distinzione tra “mezzi essenziali” e “mezzi non essenziali” del trattamento chiarita dal Comitato europeo per la protezione dei dati – “Comitato”, nelle “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR” – di seguito “Linee guida 07/2020”, adottate il 7 luglio 2021, par. 40).

Come già ribadito dal Comitato, infatti, “un’innovazione distintiva introdotta dal Regolamento è costituita dalle disposizioni che impongono obblighi direttamente ai responsabili del trattamento” (quali ad esempio quelli previsti dagli artt. 30, par. 2, 32, 37 e 28, par. 3 del Regolamento), conferendo a tali soggetti, rispetto al precedente quadro normativo, una più evidente rilevanza esterna e una maggiore responsabilità nella gestione del trattamento dei dati.

L’art. 28, par. 3 del Regolamento, in particolare, oltre a specificare nel dettaglio il contenuto dell’accordo di designazione del responsabile, impone obblighi gravanti direttamente su quest’ultimo e da cui derivano, ai sensi dell’art. 83, par. 4, lett. a) del Regolamento, specifiche sanzioni in caso di inosservanza degli stessi (v. Linee guida 07/2020, par. 93).

Tra questi occorre rammentare, in ragione delle caratteristiche del caso di specie, l’obbligo di agire nel rispetto delle istruzioni fornite dal titolare, nonché quello di assistere quest’ultimo nel garantire la conformità alle disposizioni del Regolamento.

In tale ottica, tenuto altresì conto del peculiare contesto in cui si è svolto il trattamento oggetto di reclamo, è necessario rilevare che, a fronte delle idonee istruzioni che il titolare è ad ogni modo tenuto ad impartire in ordine alle finalità del trattamento e agli elementi essenziali che ne costituiscono i mezzi, è comunque attribuito al responsabile ex art. 28 del Regolamento il compito di individuare, alla luce delle indicazioni di principio fornite dal data controller, i mezzi tecnici e organizzativi più idonei a porre in essere le attività di trattamento oggetto di incarico.

Tutto ciò correttamente declinando, in virtù dell’expertise e delle specifiche competenze da questi possedute, le istruzioni impartite dal titolare al fine di conformare al Regolamento le attività di trattamento poste in essere per conto di quest’ultimo (art. 28, par. 3 del Regolamento).

Al responsabile, infatti, proprio in ragione del ruolo dallo stesso ricoperto, ai sensi della normativa in materia di cartolarizzazione (nell’ipotesi in esame, quello di special servicer), è richiesto, più che in altri settori, di disporre di un elevato livello di competenze specialistiche in relazione alle attività specificatamente attribuitegli, comprese quelle inerenti al trattamento dei dati personali dei debitori ceduti.

Il livello di professionalità che si esige da tale responsabile è ancor maggiore laddove quest’ultimo -come nel caso di Serfin 97 S.r.l.- sia altresì un soggetto che si presenta sul mercato quale operatore altamente specializzato nella fornitura di determinati servizi, ingenerando pertanto nel titolare la convinzione di essersi affidato ad un fornitore leader nel predetto settore.

4.2. L’obbligo di tenere traccia dell’origine dei dati di contatto del debitore.

In relazione alle istruzioni da impartire nel contesto delle attività di trattamento dei dati dei debitori ceduti per finalità di recupero crediti, il titolare è tenuto, tra l’altro, a prescrivere al responsabile a tal fine designato ai sensi dell’art. 28 del Regolamento, l’adozione di misure atte a garantire l’aggiornamento costante dei dati personali dei debitori ceduti.

L’esatto adempimento di tale prescrizione deve ricomprendere la necessaria verifica (anche in termini di liceità di raccolta) dei dati personali di fatto utilizzati per contattare il debitore e la contestuale trasmissione degli stessi al titolare.

Tali attività sono in primis finalizzate ad assicurare, in applicazione dei principi di cui all’art. 5, par. 1, lett. a) e d) del Regolamento, che le predette informazioni siano state lecitamente raccolte (principio di liceità e correttezza) e che siano effettivamente attribuibili all’interessato (principio di esattezza); ciò soprattutto nell’ottica di evitare che terzi estranei siano messi al corrente della situazione di insolvenza del debitore, pena la lesione della dignità di quest’ultimo (v. provv. del 30 novembre 2005 – “Liceità, correttezza e pertinenza nell’attività di recupero crediti”, doc. web n. 1213644).

L’obbligo di osservanza dei suddetti principi è ancor più cogente laddove, come nel caso di specie, le istruzioni fornite dal titolare, seppur non dettagliate al punto da contemplare la specifica previsione di tenere traccia dell’origine dei dati personali oggetto di trattamento, contengano comunque, a carico del responsabile incaricato del recupero dei crediti, un più generale dovere di reportistica relativamente alle informazioni inerenti ai debiti oggetto del contratto.

Occorre altresì rammentare che il titolare del trattamento è competente anche in ordine all’esercizio dei diritti dell’interessato e che, in tale ottica, deve disporre delle informazioni di cui all’art. 15 del Regolamento al fine di poter fornire compiuto riscontro all’interessato, anche con riferimento alla “fonte” dei dati personali oggetto di effettivo trattamento (art. 15, comma 1, lett. g) del Regolamento).
Informazioni –in particolare quelle inerenti all’origine dei dati– che, nel contesto delle attività di recupero crediti, sono spesso, nella pratica, di esclusiva disponibilità del responsabile specificamente incaricato (nel caso in esame, Serfin 97 S.r.l.), ai sensi dell’art. 28 del Regolamento, di contattare il debitore (ad esempio, ove sia necessario integrare i dati forniti dal committente mediante consultazione di pubblici registri o acquisizioni di informazioni presso fonti private; cfr. in tal senso, la Circolare del Ministero dell’Interno dell’8 marzo 2017, n. 577-PAS-6909-120151).

L’adozione di misure tecniche e organizzative adeguate (quale quella di tener traccia dell’origine dei dati acquisiti) volte ad assistere il titolare nel dare riscontro alle istanze di esercizio dei diritti dell’interessato, è pertanto uno degli “obblighi diretti” del responsabile previsti dall’art. 28, comma 3, lettere e) del Regolamento.

Al contempo, l’indicazione della fonte da cui l’informazione è stata tratta, ove la stessa sia acquisita per il tramite del responsabile del trattamento, è indispensabile per consentire al titolare di verificare la legittimità del trattamento posto in essere e risponde all’obbligo del responsabile previsto dall’art. 28, comma 3, lett. h) del Regolamento (“mettere a disposizione del titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all’art. 28 medesimo”).

4.3. La violazione dell’art. 28, comma 3, lett. a), e) ed h) del Regolamento.

Alla luce delle considerazioni sopra espresse, per quanto concerne il reclamo  oggetto della presente decisione, è stato di contro accertato che, all’atto del trattamento dei dati personali del Sig. XX per le finalità di recupero crediti, Serfin 97 S.r.l., in qualità di responsabile del trattamento, non ha tenuto traccia dell’origine dei dati personali trattati in nome e per conto di P.E.S. S.r.l., né ha inserito il dato inerente all’indirizzo e-mail XX nel “fascicolo dei crediti ceduti” detenuto dal titolare (v. verbale del 27 ottobre 2022, pag. 3, ove è stata espressamente accertata “l’assenza di qualsiasi indirizzo e-mail [del reclamante], tra i dati anagrafici” nella documentazione del titolare inerente alle pratiche di credito riferite al Sig. XX e all’anagrafica dello stesso).

Il tutto, sebbene l’esame dell’incarico sottoscritto ai sensi dell’art. 28 del Regolamento tra P.E.S. S.r.l. e Serfin 97 S.r.l. congiuntamente alle specifiche disposizioni previste nel contratto di sub-servicing stipulato tra le parti, abbia invece evidenziato che il titolare, all’atto della predetta designazione, aveva compiutamente fornito a Serfin 97 S.r.l. idonee istruzioni in ordine alle modalità di trattamento da porre in essere. Ciò, prevedendo espressamente che la predetta Società:

- acquisisse “e aggiorna[ss]e tutti i dati e le informazioni utili per avere una conoscenza costante ed approfondita dello stato delle singole pratiche afferenti ai crediti” (v. All. 3 – “Contratto di sub-servicing”, par. 3.2, lett. vi), allegato al verbale del 26 ottobre 2022);

- mantenesse “evidenza, anche in forma elettronica, delle operazioni effettuate in relazione ai crediti” e le aggiornasse “in via continuativa, in modo tale che [fosse] possibile ricostruire in qualsiasi momento con certezza il complesso delle operazioni poste in essere” (v. All. 3 – “Contratto di sub-servicing”, par. 3.2, lett. j), allegato al verbale del 26 ottobre 2022);

- gestisse i “crediti con la migliore professionalità e diligenza richiesti dalla prassi di settore”, in particolare attenendosi “alle linee di condotta fissate dal Garante per la protezione dei dati personali con il Provvedimento 30 novembre 2005 relativo alla Liceità, correttezza e pertinenza nell’attività di recupero crediti” (v. All. 3 – Contratto di sub-servicing”, par. 3.4, lett. b) e par. 4.1, lett. b) allegato al verbale del 26 ottobre 2022);

- effettuasse “ogni necessaria comunicazione in relazione ai Crediti e all’avvenuta cessione dei medesimi, nonché all’esecuzione del contratto di servicing (..) anche ai sensi del Codice Privacy , e coopera[sse] (…) con l’Emittente e con il Servicer affinché [fossero] rispettare tutte le disposizioni (..) relative al trattamento dei dati e delle informazioni relative ai Crediti e ai debitori ceduti richieste dal Codice Privacy” (v. All. 3 – “Contratto di sub-servicing”, par. 3.2, lett. c), allegato al verbale del 26 ottobre 2022);

- fornisse “prontamente [a P.E.S. S.r.l.] tutti i dati e le informazioni necessarie (…) in relazione ai crediti (…) al fine di adempiere agli obblighi di legge” (v. All. 3 – “Contratto di sub-servicing”, par. 3.2, lett. k), allegato al verbale del 26 ottobre 2022).

Diversamente da quanto pertanto espressamente richiesto dal titolare, Serfin 97 S.r.l. non ha correttamente adempiuto a tali istruzioni, contravvenendo di contro a quelle inerenti all’aggiornamento dei dati personali dei debitori ceduti; l’inosservanza delle predette istruzioni non appare giustificabile soprattutto tenuto conto dell’elevato livello di competenza anche in materia di trattamento dei dati personali richiesto a quest’ultimo in ragione delle caratteristiche e delle dimensioni dell’attività dallo stesso svolta nel settore del recupero crediti.

Più nello specifico, invero, Serfin 97 S.r.l. non ha provveduto a tenere traccia dell’origine del dato consistente nell’e-mail XX, erroneamente attribuita al Sig. XX, impedendo di fatto al titolare di disporre di informazioni esatte e aggiornate in ordine al trattamento dei dati afferenti all’interessato.

Al contempo, il mancato rispetto delle istruzioni impartite da P.E.S. S.r.l. (v., in particolare, gli obblighi di aggiornamento dei dati riferiti ai crediti di cui alle sopracitate disposizioni del contratto di servicing), ha determinato l’impossibilità per il suddetto titolare di fornire un riscontro tempestivo e completo all’istanza in materia di diritto d’accesso presentata dal Sig. XX ai sensi dell’art. 15 del Regolamento.

Sul punto, infatti, non si ritiene di poter accogliere quanto sostenuto dalla Società in ordine alla circostanza che le condotte oggetto di contestazione siano state frutto di un errore eccezionale e imprevedibile dell’operatore specificatamente incaricato e che le stesse siano state poste in essere da quest’ultimo in violazione delle istruzioni impartite allo stesso da Serfin 97 S.r.l. (cfr. par. 3, lettere a) e b) della presente decisione).

Merita invero evidenziare al riguardo che la Società, come accertato nel corso dell’istruttoria, -sebbene tenuta (v. supra, par. 4.2. della presente decisione) a garantire l’esattezza dei dati utilizzati per contattare il debitore (ivi compresa l’origine degli stessi)- non disponeva, all’epoca dei fatti, di misure tecniche atte a prevenire il verificarsi di situazioni analoghe al caso di specie (quali, ad esempio, quelle di contro implementate a seguito della notifica di violazione del Garante e descritte al par. 3, lettere i) e ii) della presente decisione). 

Si rileva in merito altresì che, a differenza di quanto dichiarato da Serfin 97 S.r.l. in ordine alla periodica trasmissione a P.E.S. S.r.l. di comunicazioni di aggiornamento dei dati di contatto dei debitori acquisiti dalla stessa successivamente al conferimento dell’incarico, il titolare, in sede di ispezione, ha espressamente dichiarato di “non aver (..) mai ricevuto [dallo stesso] comunicazioni di (..) un incremento dei dati personali dei debitori” (v. verbale del 27 ottobre 2022, pag. 3).

Per tutte le ragioni supra complessivamente illustrate, pertanto, si ritiene che la condotta di Serfin 97 S.r.l., nel caso di specie, sia stata posta in essere in violazione dell’art. 28, par. 3, lettere a), e) e h) del Regolamento. La predetta violazione è stata posta in essere dal 23 ottobre 2021 (data di trasmissione dell’email oggetto di contestazione) al 1° dicembre 2021 (data in cui la Società ha proceduto a cancellare il suddetto indirizzo dall’anagrafica afferente al reclamante).

5. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Alla luce di quanto complessivamente rilevato, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dalla Società nel corso dell’istruttoria, non consentano di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultino pertanto inidonee a disporre l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato da Serfin 97 S.r.l. risulta infatti illecito, nei termini su esposti, con riferimento alla violazione dell’art. 28, par. 3, lettere a), e) e h) del Regolamento.

Per quanto concerne l’esercizio dei poteri correttivi di cui all’art. 58, par. 2, del Regolamento, si prende atto della circostanza che Serfin 97 S.r.l., nel corso del procedimento, ha provveduto ad adottare misure tecniche e organizzative volte ad allineare il trattamento oggetto del presente procedimento al Regolamento, apportando diverse modifiche alle modalità operative del proprio gestionale aziendale, come descritte al par. 3, lettere i) e ii) della presente decisione.

In tale quadro, pertanto, considerato che sono state adottate specifiche misure idonee a conformare il trattamento in esame alla disciplina vigente in materia di protezione dei dati personali, non ricorrono allo stato i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione dell’art. 28, par. 3, lettere a), e) e h) del Regolamento sopra richiamata comporta l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 4, lett. a) del del Regolamento.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83 del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali posto in essere da Serfin 97 S.r.l., di cui è stata accertata l’illiceità, nei termini sopra esposti.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nell’ipotesi in esame, sono state tenute in considerazione le circostanze sotto riportate:

la rilevante gravità della violazione (art. 83, par. 2, lett. a) del Regolamento), in relazione alla natura (concernente l’inosservanza degli obblighi attribuiti al responsabile ex art. 28 del Regolamento all’atto dell’incarico), alle modalità (consistenti nell’assenza di misure organizzative idonee ad assicurare la liceità e l’esattezza dei dati personali autonomamente acquisiti dalla Società) e alle finalità del relativo trattamento (effettuato nel contesto di un’attività di recupero crediti). In merito, rileva in particolare la circostanza che la violazione abbia riguardato, nello specifico, le operazioni di contatto dei debitori, attività che, nel settore del recupero crediti, richiede l’impiego di estrema accuratezza al fine di evitare che possa determinarsi una comunicazione di informazioni personali in favore di soggetti estranei al rapporto obbligatorio. Hanno inciso, sul punto, anche la peculiare posizione, in termini di competenza e professionalità, assunta dalla Società, in qualità di special servicer, nel contesto dell’operazione di cartolarizzazione dei crediti oggetto di esame, nonché il ruolo di primario operatore nazionale ricoperto dalla stessa nel predetto settore. In favore del trasgressore, si è, invece, tenuto conto della durata –di pochi mesi (precisamente dal 23 ottobre al 1° dicembre 2021) della violazione– e dell’esiguo numero di interessati coinvolti (costituito da due persone fisiche);

la natura colposa della violazione (art. 83, par. 2, lett. b) del Regolamento), preso atto delle istruzioni operative fornite dalla Società al proprio personale dipendente che, per quanto non adeguate rispetto al rischio del trattamento, hanno ad ogni modo evidenziato il carattere non intenzionale della condotta tenuta da Serfin 97 S.r.l. (v. par. 3, lett. a) della presente decisione);

l’adozione, da parte della Società, di misure atte a mitigare o a eliminare le conseguenze della violazione (art. 83, par. 2, lett. c) del Regolamento). Al riguardo va positivamente considerata la circostanza che i dati personali del reclamante siano stati tempestivamente aggiornati, mediante cancellazione dell’indirizzo e-mail erroneamente utilizzato da Serfin 97 S.r.l. (v. supra, par. 2 della presente decisione);

il rilevante grado di responsabilità del contravventore in ordine all’inadeguatezza delle misure tecniche e organizzative messe in atto da quest’ultimo (art. 83, par. 2, lett. d) del Regolamento); ciò preso atto dell’assenza, all’epoca dei fatti contestati, di procedure idonee a prevenire il verificarsi di eventi analoghi a quello oggetto di reclamo;

la circostanza che la Società abbia attivamente cooperato con l’Autorità nel corso del procedimento (art. 83, par. 2, lett. f) del Regolamento) anche in relazione alle azioni spontaneamente avviate dalla stessa per conformare le attività di trattamento al Regolamento (v. par. 3, lettere i) e ii) della presente decisione);

il fatto che non risultino precedenti violazioni commesse da Serfin 97 S.r.l. o precedenti provvedimenti nei confronti della stessa ai sensi dell’art. 58 del Regolamento (art. 83, par. 2, lett. e) del Regolamento);

altri fattori attenuanti (art. 83, par. 2, lett. k) del Regolamento). A tal fine si prende atto della circostanza che, nel caso di specie, la comunicazione trasmessa da Serfin 97 S.r.l., sebbene rivolta ad un indirizzo e-mail non appartenente al reclamante, non sia in concreto risultata idonea a rilevare la condizione di insolvenza dell’interessato (v. par. 3 della presente decisione).

Si ritiene inoltre che assumano rilevanza, in ragione dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), le condizioni economiche del contravventore, determinate in base al volume d’affari della Società, di cui al bilancio d’esercizio per l’anno 2023 (ultimo disponibile).

Alla luce degli elementi sopra indicati e delle valutazioni complessivamente effettuate, si ritiene, nell’ipotesi in esame, di applicare nei confronti di Serfin 97 S.r.l. la sanzione amministrativa del pagamento di una somma pari ad euro 60.000/00 (sessantamila/00).

In tale quadro si dispone, altresì, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si proceda alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Tutto ciò in considerazione della tipologia della violazione accertata che ha riguardato i principali obblighi del responsabile del trattamento in considerazione della peculiare attività svolta dalla Società che, in ragione della natura del proprio oggetto sociale, ricopre, nella maggior parte delle operazioni di trattamento di dati personali svolte dalla stessa, il ruolo di data processor.

Rilevano a tal fine altresì il peculiare contesto del trattamento (attività di recupero crediti), la tipologia di operazione posta in essere dal trasgressore (utilizzo di dati di contatto del debitore inesatti e non aggiornati), nonché gli elevati rischi per la dignità dell’interessato derivanti da tale condotta (comunicazione a terzi dello stato di insolvenza dello stesso).

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 57, par. 1, lett. f) e 83, del Regolamento, rileva l’illiceità del trattamento effettuato da Serfin 97 S.r.l., con sede in Roma, p. iva n. 05272341008 nei termini di cui in motivazione, per la violazione dell’art. 28, par. 3, lettere a), e) e h) del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento alla medesima Serfin 97 S.r.l., di pagare la somma di euro 60.000/00 (sessantamila/00) a titolo di sanzione amministrativa pecuniaria per la violazione indicata nel presente provvedimento.

INGIUNGE

quindi a Serfin 97 S.r.l. di pagare la predetta somma di euro 60.000/00 (sessantamila/00), secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall'art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento -sempre secondo le modalità indicate in allegato- di un importo pari alla metà della sanzione irrogata entro il termine di cui all'art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 17 ottobre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei