Diritti interna

Doveri interna

ricerca avanzata

Invio alla clientela di comunicazioni telefoniche preregistrate senza l'intervento di un operatore per finalità di recupero crediti - 10 ottobre 2013 [2751860]

[doc. web n. 2751860]

Invio alla clientela di comunicazioni telefoniche preregistrate senza l´intervento di un operatore per finalità di recupero crediti - 10 ottobre 2013

Registro dei provvedimenti
n. 445 del 10 ottobre 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro Presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

VISTO il provvedimento generale in tema di trattamento dei dati personali effettuato in occasione dello svolgimento dell´attività di recupero crediti, emanato da questa Autorità il 30 novembre 2005;

VISTA la segnalazione presentata dal sig. XY nei confronti della Santander Consumer Bank S.p.a.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

PREMESSO

1. La segnalazione.
Con segnalazione in data 11 settembre 2012, il sig. XY, titolare di un contratto di finanziamento con Santander Consumer Bank S.p.a., ha riferito che, nonostante il regolare versamento dei relativi ratei, sarebbe solito ricevere, "dopo qualche giorno dalla scadenza e per i giorni a seguire e anche 3/4 volte al giorno", un "sollecito preregistrato" di pagamento, con un contestuale invito a certificare l´avvenuto adempimento attraverso l´invio a mezzo fax della relativa ricevuta.

Ciò premesso, il segnalante ha sostenuto che tale prassi contrasterebbe con il provvedimento generale in tema di recupero crediti emesso dal Garante il 30 novembre 2005, secondo cui non sarebbero accettabili condotte finalizzate al recupero stragiudiziale dei crediti ove "caratterizzate da modalità di ricerca e di presa di contatto invasive e, talora, lesive della riservatezza e della dignità personale", con conseguente illiceità di eventuali "comunicazioni telefoniche preregistrate volte a sollecitare il pagamento, realizzate senza l´intervento di un operatore, essendo tale modalità di contatto suscettibile di rendere edotti soggetti diversi dal debitore della sua asserita condizione di inadempimento".

2. La posizione della società
Alla luce delle riferite circostanze, l´Ufficio ha avviato un´istruttoria volta a conoscere sia gli accorgimenti adottati da Santander Consumer Bank S.p.a. per gestire correttamente i dati personali dei clienti nell´attività di recupero crediti, sia le modalità utilizzate nelle operazioni di presa contatto con il debitore –anche mediante solleciti preregistrati− per evitare che i terzi (conoscenti, amici, familiari) possano prendere conoscenza dello stato di inadempimento del debitore.

Nel fornire riscontro Santander Consumer Bank S.p.a., in primo luogo, ha dichiarato di svolgere una costante attività di controllo nei confronti degli operatori –interni ed esterni- impegnati nell´attività di recupero crediti; più specificamente, la Banca ha riferito che il controllo nei confronti dei propri dipendenti avverrebbe attraverso processi aziendali consolidati (che "vedono l´intervento del responsabile di funzione e della relativa struttura aziendale preposta alla compliance normativa e regolamentare), mentre gli operatori delle società esterne incaricate del recupero crediti sarebbero destinatari "di un corso di induction (informativo) circa i Prodotti/Servizi di Santander e circa eventuali regole contenute nell´accordo tra le parti".

Inoltre, la Banca ha confermato di essere solita impiegare –e di aver impiegato anche nel caso oggetto di segnalazione- lo strumento delle "telefonate preregistrate", il quale sarebbe utilizzato "solo nei confronti di clienti che hanno scelto quale modalità di pagamento il bollettino postale e sulla cui posizione vengano rilevati ritardi nel rimborso delle rate di finanziamento".

Secondo la Banca, le suddette chiamate si sostanzierebbero "in un messaggio di presentazione del chiamante in grado di fornire al destinatario della comunicazione, e solo previa sua espressa identificazione, la possibilità di scegliere –tramite selezione numerica da digitare sulla tastiera telefonica− tra diverse opzioni"; pertanto, "nessuna informazione circa la posizione debitoria dell´interessato, né circa la natura della telefonata [verrebbe] fornita nel corso del preliminare messaggio preregistrato".

Di conseguenza vi sarebbe una fase "preliminare" in cui al soggetto che risponde al telefono, previamente ammonito circa la rilevanza penale della violazione di una comunicazione ad altri diretta, sarebbe offerta -attraverso un´apposita selezione da effettuare tramite la tastiera telefonica (c.d. tasti-funzione)- la possibilità di identificarsi, senza che in tale frangente la società fornisca alcun dato circa i mancati pagamenti. Soltanto nel caso in cui colui che risponde abbia a "dichiarare" –mediante la descritta selezione sulla tastiera- di essere l´effettivo destinatario della comunicazione (e quindi il debitore), lo stesso viene portato a conoscenza delle informazioni relative al rapporto di finanziamento, con conseguente possibilità per costui di riferire se il pagamento sia già stato effettuato o se sia in via di effettuazione, oppure, in caso di contatto successivo al primo, di chiedere di conferire con un operatore.

Circa la sequenza dei solleciti telefonici preregistrati, la Banca ha precisato (cfr. nota del 27 settembre 2012, inviata al segnalante) che le chiamate vengono ripetute "solo allorché il ricevitore non venga sollevato affatto o sia immediatamente riagganciato, oppure se l´interlocutore non scelga alcuna delle opzioni proposte".

Infine, nell´evidenziare che le suddette telefonate "sono ordinariamente instradate su recapiti telefonici indicati dal cliente interessato al momento della sottoscrizione del contratto o nel corso del rapporto", "con tendenziale priorità all´utenza cellulare rispetto a quella fissa", la banca ha concluso ritenendo lecita tale modalità di trattamento dei dati dei clienti, in quanto, a suo dire, "per aversi una presa di conoscenza da parte di terzi del contenuto della chiamata, non solo il terzo deve poter disporre dell´utenza telefonica indicata dal cliente della Banca, ma deve altresì deliberatamente scegliere – ponendo in essere una condotta illecita sanzionata per legge- di proseguire nell´ascolto del messaggio, nonostante esser stato debitamente e puntualmente avvisato circa l´illiceità di una simile condotta". Quindi, a parere della Banca, tale modalità di contatto non sarebbe "sussumibile all´interno della diversa tipologia di quelle stigmatizzate nel provvedimento del Garante del 30 novembre 2005, consistenti per contro in comunicazioni telefoniche preregistrate, realizzate senza l´intervento di un operatore e generanti il rischio che terzi possano prendere ingiustificatamente conoscenza dello stato di asserito indebitamento dell´interessato": infatti, le cautele implementate non determinerebbero l´insorgenza di detto rischio, "salvo in caso di azione fraudolenta e dolosa posta in essere (in quanto previamente ammonito) da un soggetto terzo".

3. Il trattamento dei dati personali connesso all´impiego, da parte del colui che svolga attività di recupero crediti, di telefonate "preregistrate" senza l´intervento di un operatore.

Con il provvedimento generale del 30 novembre 2005 (pubblicato sul sito www.garanteprivacy.it, doc. web n. 1213644), l´Autorità, facendo applicazione dei  principi di liceità e correttezza posti dal Codice (art. 11, comma 1, lett. a), ha affermato che chiunque effettui un trattamento di dati personali nell´ambito di una attività di recupero crediti debba astenersi dal "comunicare ingiustificatamente a soggetti terzi rispetto al debitore (quali ad esempio, familiari, coabitanti, colleghi di lavoro o vicini di casa) informazioni relative alla condizione di inadempimento nella quale versa l´interessato", avendo cura di evitare "nel tentativo di prendere contatto con il medesimo (anche attraverso terzi) comportamenti suscettibili di incidere sulla sua dignità".

Proprio in ragione di ciò, l´Autorità ha espressamente considerato illecito il ricorso a "comunicazioni telefoniche preregistrate volte a sollecitare il pagamento, realizzate senza l´intervento di operatore, essendo tale modalità di contatto suscettibile di rendere edotti soggetti diversi dal debitore della sua asserita condizione di inadempimento"; ciò, ovviamente, sempre che il creditore –o comunque, chi agisca per il recupero del credito- non utilizzi un sistema tale da garantire la ragionevole certezza che il soggetto contattato telefonicamente sia effettivamente colui che abbia il diritto di avere conoscenza delle informazioni concernenti le vicende del rapporto di finanziamento (il debitore, oppure persona da lui autorizzata in tal senso).

Santander Consumer Bank S.p.a., nonostante la stringente previsione contenuta nel provvedimento generale del 2005, ha comunque inteso utilizzare, a fini di recupero crediti, comunicazioni telefoniche preregistrate senza intervento di operatore (essendo prevista l´opportunità di avere un´interlocuzione con un operatore solo in occasione dei contatti successivi al primo), tanto da rendere edotto il cliente di tale eventualità già nell´informativa resa ai sensi dell´art. 13 del Codice.

Tutto ciò premesso, si tratta di verificare se, nel caso di specie, il trattamento dei dati personali effettuato dalla Banca attraverso le descritte modalità di comunicazione telefonica "preregistrata" possa considerarsi conforme ai principi posti dal Codice e ulteriormente declinati dal Garante con il provvedimento generale del 2005.

Preliminarmente si deve rilevare che, nel caso specifico, le comunicazioni preregistrate presso l´utenza telefonica del debitore, effettuate senza l´intervento di un operatore, sono avvenute in occasione dello svolgimento dell´attività di c.d. "phone collection", cui tutte le società che effettuano attività di finanziamento sono solite inizialmente ricorrere per ottenere il pagamento di somme non ancora versate alle rispettive scadenze. Ciò non toglie che anche in tale fase, generalmente propedeutica all´instaurazione di una vera e propria attività (stragiudiziale o giudiziale) volta al recupero del credito, sussiste il rischio di instaurare contatti anche con persone diverse dal debitore, con la conseguenza che il creditore è tenuto ad operare con estrema accortezza, in modo tale da evitare che, anche involontariamente, possa determinarsi una comunicazione di informazioni a soggetti estranei al rapporto obbligatorio o, comunque, a terzi a cui il debitore non abbia inteso far conoscere le vicende negoziali.

Questo, in via generale, comporta che colui che intenda effettuare attività di recupero crediti, dopo aver adempiuto agli obblighi di legge concernenti  la designazione dei responsabili e degli incaricati del trattamento, il conferimento, in loro favore, delle relative istruzioni e l´attuazione delle misure di sicurezza (artt. 31 e ss. del Codice), debba necessariamente dotarsi -soprattutto nel caso in cui intenda effettuare chiamate preregistrate in assenza di operatore telefonico- di accorgimenti tecnici tali da assicurare che la presa di conoscenza delle informazioni avvenga solo da parte di chi ne abbia il diritto (debitore o persone da lui autorizzate).

Nel caso di specie, il sistema predisposto da Santander Consumer Bank S.p.a., accuratamente descritto nella memoria difensiva, non risulta fornire alcuna garanzia in tal senso.

Infatti, detto sistema, lungi dall´assicurare la certezza non solo dell´identità di colui che risponde alla chiamata, ma anche del suo diritto di venire a conoscenza delle informazioni inerenti la posizione debitoria, si limita soltanto a rimettere all´interlocutore la facoltà di effettuare "una dichiarazione espressa di identificazione".

E´ del tutto evidente che, in realtà, a differenza di quanto sostenuto dalla Banca, non viene in essere alcuna "fase di accertamento dell´identità del soggetto legittimato ad avere conoscenza di detta comunicazione" (vedi punto 2.1 della memoria datata 25 marzo 2013), ma si verifica soltanto un´evidente violazione, da parte del titolare del trattamento, dell´obbligo di accertare la titolarità del diritto a conoscere le vicende del rapporto, la quale non può essere emendata dalla sola attribuzione al chiamato -non identificato- della possibilità di rendere un´inverificabile dichiarazione d´identità. Il fatto, poi, che l´interlocutore venga previamente ammonito "sulla circostanza che il contenuto della chiamata è protetto dalla legge, coperto da riservatezza e che la sua apprensione ingiustificata costituisce reato" è circostanza del tutto inconferente, in quanto, se da un lato può ingenerare un "metus" nei confronti del destinatario, dall´altro -per le ragioni appena espresse- non vale ad escludere che un terzo, anche per mera curiosità, possa venire a conoscenza di informazioni che non avrebbe titolo a conoscere.

Diversa, invece, sarebbe la valutazione allorché la Banca, in sede di conclusione del contratto, fornisse al proprio cliente un codice identificativo personale (eventualmente corrispondente al codice identificativo del contratto), da digitare sull´apparecchio telefonico per poter ascoltare eventuali comunicazioni preregistrate a lui dirette; infatti, tale accorgimento, pur non consentendo di avere la certezza dell´identità dell´interlocutore, risolvendosi in una forma di "autenticazione" sarebbe comunque in grado di fornire la ragionevole certezza del diritto di costui di venire a conoscenza delle informazioni che si intendono comunicare, dovendosi presumere che l´utilizzatore di tale codice sia il contraente/debitore o, comunque, altro soggetto dal medesimo autorizzato a prendere conoscenza della sua condizione di inadempimento (attraverso la preventiva comunicazione in suo favore, da parte del debitore, del codice identificativo d´accesso).

5. Conclusioni
Tanto premesso, poiché il sistema attualmente utilizzato da Santander Consumer Bank S.p.a. a fini di recupero crediti, per le suindicate ragioni, non è in grado di assicurare che le informazioni veicolate attraverso le comunicazioni telefoniche preregistrate siano effettivamente ricevute da chi ne abbia il diritto (debitore o soggetti da costui autorizzati), il trattamento di dati personali della clientela connesso all´invio di siffatte comunicazioni dev´essere considerato illecito, perché in contrasto non solo con i principi posti dalla disciplina sulla protezione dei dati personali, ma anche con le specifiche prescrizioni impartite dal Garante con il provvedimento generale del 2005; ne consegue che, ai sensi dell´art. 154, comma 1, lett. d) del Codice, dev´essere disposto il divieto per la Banca di procedere all´ulteriore trattamento dei dati personali. A tale proposito si  ricorda che, ai sensi dell´art. 170 del Codice, chiunque essendovi tenuto non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che ai sensi dell´art. 162, comma 2-ter, del Codice, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro.

L´odierno provvedimento di divieto non esclude che Santander Consumer Bank S.p.a., in futuro, possa utilizzare, a fini di recupero crediti, un sistema basato su solleciti di pagamento preregistrati, purché la Banca adotti idonei accorgimenti tecnici –basati anche su forme di autenticazione- tali da assicurare la ragionevole certezza che la presa di conoscenza delle informazioni oggetto di comunicazione avvenga soltanto da parte di chi via abbia effettivamente diritto (il debitore o terzi da lui autorizzati).

TUTTO CIÒ PREMESSO, IL GARANTE,

a) ai sensi dell´art. 154, comma 1, lett. d) del Codice, dichiara l´illiceità del trattamento dei dati personali effettuato da Santander Consumer Bank S.p.a. in occasione dell´invio alla clientela, per finalità di recupero crediti, di comunicazioni telefoniche preregistrate senza l´intervento di un operatore; per l´effetto, vieta a Santander Bank S.p.A. l´ulteriore trattamento dei dati personali connesso all´effettuazione di siffatte comunicazioni;

b) ai sensi dell´art. 154, comma 1, lett. c) del Codice, prescrive a Santander Consumer Bank S.p.a. -ove la stessa intenda continuare ad avvalersi di tali forme di comunicazione- di adottare idonei accorgimenti tecnici, basati anche su forme di autenticazione, tali da assicurare la ragionevole certezza che la presa di conoscenza delle informazioni oggetto di comunicazione avvenga soltanto da parte di chi via abbia effettivamente diritto (il debitore o terzi da lui autorizzati) secondo quanto indicato in motivazione.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 10 ottobre 2013

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia