g-docweb-display Portlet

Acquisto di crediti derivanti da assegno e trattamento di dati dei debitori - 17 maggio 2007 [1409251]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1409251]

Acquisto di crediti derivanti da assegno e trattamento di dati dei debitori - 17 maggio 2007

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Fortunato;

PREMESSO

1. Trattamento di dati personali relativi alla clientela da parte di Centax S.p.A. nell´ambito del servizio "garanzia assegni"

1.1. A seguito di segnalazioni riguardanti in particolare il profilo dell´informativa alla clientela, sono stati avviati accertamenti per verificare la conformità alla disciplina in materia di protezione dei dati personali delle operazioni di trattamento effettuate da Centax S.p.A. (di seguito, la società) nel prestare il servizio denominato "garanzia assegni".

Gli accertamenti si sono svolti, in particolare, sulla base di una richiesta di informazioni rivolta alla società (26 gennaio 2007, prot. n. 1513; successive richieste di integrazione documentale del 6 marzo 2007 n. 4130 e del 30 aprile 2007 n. 7454) e di un´acquisizione presso alcuni esercizi commerciali convenzionati (individuati a campione, per lo più nei capoluoghi di regione) di informazioni e documenti ai sensi dell´art. 157 del Codice tramite il "Comando Nucleo Speciale Funzione pubblica e privacy" della Guardia di finanza.

1.2. Gli esercizi commerciali convenzionati si avvalgono del servizio in questione cedendo alla società, previa sua approvazione, gli assegni incassati a titolo di corrispettivo per beni e servizi forniti alla clientela.

Il servizio fornito dalla società consiste nell´acquisto pro-soluto del credito vantato dall´esercizio convenzionato e sorto in occasione di un´operazione della clientela che abbia pagato a mezzo assegno bancario.

L´esercente (anche tramite il personale addetto all´esercizio commerciale), qualora intenda avvalersi del servizio e prima di accettare l´assegno, effettua un´interrogazione presso la società telefonicamente o con altra modalità di comunicazione, quale la trasmissione di dati a mezzo Pos.

In tale circostanza sono comunicate alla società alcune informazioni personali relative al cliente: in particolare, i dati identificativi del traente (nome, cognome, indirizzo, tipologia e numero del documento di identità, recapito telefonico) e i dati idonei ad identificare l´assegno presentato per il pagamento (codice Abi e Cab della banca sul quale il titolo è tratto, conto corrente e numero dell´assegno).

Queste informazioni sono utilizzate dalla società per valutare se acquistare il credito nei confronti degli esercizi convenzionati prima che gli stessi accettino il titolo. La società ha dichiarato di conservarle per un periodo "indefinito", in quanto "i soggetti ai quali si riferiscono possono ripetere […] più volte nel tempo acquisti in esercizi convenzionati […] nonché per promuovere o proseguire azioni giudiziarie per il recupero dei crediti […] e per rispondere a eventuali richieste di pubbliche autorità" (cfr. nota Centax 22 febbraio 2007, in atti).

Le medesime informazioni sono trattate unitamente a eventuali dati provenienti dalla consultazione di archivi pubblici o privati (quali la Centrale d´allarme interbancaria –limitatamente ai dati dell´assegno, circostanza ulteriormente confermata (su richiesta dell´Autorità) dalla comunicazione della Banca d´Italia del 15 maggio 2007, in atti– o società che forniscono dati relativi a protesti o "pregiudizievoli": cfr. nota Centax cit.). A tale proposito la società ha precisato che le informazioni relative agli interessati attinte presso "banche dati pubbliche (CAI o controllo protesti e pregiudizievoli) […] vengono raccolte e registrate nei nostri sistemi informatici" (cfr. nota Centax 2 maggio 2007, in atti).

Effettuati i necessari controlli, un operatore interno alla società si limita a dichiarare "se l´acquisto del credito relativo ad un dato assegno richiestole venga o meno […] in concreto accettato, senza espressione di alcun tipo di giudizi e/o valutazioni in ordine alla persona, fisica o giuridica, che ha presentato l´assegno in pagamento e/o sul titolo stesso" (cfr. nota Centax cit.). Se l´esito è negativo, in base alle istruzioni della società viene consegnato al cliente un "biglietto di cortesia" nel quale sono contenuti i recapiti della medesima società dove si possono ricevere ulteriori informazioni.

1.3. I dati conferiti dagli interessati vengono raccolti nell´interesse della società a cura del personale operante presso gli esercizi commerciali convenzionati, cui vengono conferite dalla società medesima, previa designazione con lettera di "affidamento di incarico ex art. 30 d.lgs. n. 196/2003", acquisita agli atti), istruzioni sintetiche mediante una "guida all´utilizzo del servizio" (v. nota Centax, cit.).

Con l´accordo di convenzionamento gli esercenti sono allo stato designati quali "incaricati" (ai sensi dell´art. 30 del Codice) attribuendo loro il compito di rendere l´informativa, di raccogliere il consenso del cliente (cfr. Sez. A, art. 1, lett. n) e art. 9 dell´accordo; v. altresì nota Centax, cit., secondo cui sono considerati incaricati "i sottoscrittori, persone fisiche, degli accordi di convenzionamento oltre che i dipendenti e/o collaboratori degli stessi designati a gestire il servizio garanzia assegni presso l´esercizio convenzionato" ), di fornire i dati alla società e di contattare telefonicamente il suo call center (oppure di trasmettere i dati alla società medesima mediante apposito terminale Pos).

1.4. In base alle dichiarazioni della società, l´informativa (prevista dall´art. 13 del Codice) relativa ai dati raccolti presso gli interessati deve essere resa agli stessi tramite un avviso sintetico visibile nell´esercizio commerciale (tenuto ad esporre una vetrofania Centax) e mettendola a disposizione della clientela grazie ad un depliant di cui gli esercizi commerciali vengono dotati (cfr. allegati alla comunicazione del 22 febbraio 2007, cit.); sia l´avviso, sia il depliant vengono appunto forniti dalla società.

Nell´informativa non risulta presente alcun riferimento alla circostanza che la società possa raccogliere e registrare dati personali riferiti all´interessato presso terzi (nel caso di specie, banche dati pubbliche e private).

1.5. A seguito degli accertamenti effettuati in loco presso alcuni esercizi convenzionati, volti a confermare le dichiarazioni rese dalla società, sono emerse circostanze non sempre pienamente concordanti con quanto la società ha dichiarato di aver predisposto.

In linea di massima trova conferma la circostanza secondo cui i legali rappresentanti degli esercizi commerciali ritengono di poter operare per conto della società quali "incaricati del trattamento", limitatamente alla fase della raccolta delle informazioni.

In taluni casi, le istruzioni per le operazioni di trattamento sono fornite per iscritto dalla società unitamente alla documentazione contenente l´informativa da rendere alla clientela, anche nella forma del "cavalletto Centax" da esibire in prossimità della cassa (cfr. verbale accertamento del 18 aprile 2007, presso "A.B. Motors s.r.l., nonché presso "Casa del ricambio s.n.c. di Franco Cocco & Co"; verbale accertamento del 18 aprile 2007 presso "Colombo gioielli s.n.c."; verbale accertamento del 23 aprile 2007, presso "Elettroingross s.p.a."; verbale accertamento del 9 maggio 2007 presso "Ironia s.r.l."; verbale accertamento del 19 aprile 2007 presso "Connecto s.r.l.").

Talora, le istruzioni sono state fornite oralmente dal "responsabile di zona" della società (cfr. verbale accertamento del 23 aprile 2007, presso "Armando Giusti s.r.l." a Bologna; verbale accertamento del 19 aprile 2007, presso "Cassani gioielli s.a.s.", a Firenze; cfr. anche il verbale di accertamento del 23 aprile 2007, presso "Avantgard s.r.l." a Pescara).

In qualche caso, dalle dichiarazioni rese non risultano essere state impartite istruzioni agli esercizi commerciali (cfr. verbale accertamento del 18 aprile 2007, presso "MM Comunicazione e immagine" a Catanzaro; verbale accertamento del 19 aprile 2007, presso "Teichner S.p.A." a Roma; verbale accertamento del 19 aprile 2007, presso L.A. Rialto s.r.l a Venezia; verbale accertamento del 17 aprile 2007, presso "Giorgio Minghetti gioielli s.a.s, a Reggio Emilia).

Difformità nei comportamenti degli esercenti commerciali si rilevano anche in relazione all´obbligo di informativa da rendere alla clientela, che non risulta essere sempre fornita a quest´ultima secondo le modalità stabilite dalla società e sopra descritte (cfr. verbale accertamento del verbale accertamento del 19 aprile 2007, presso "Teichner S.p.A.", cit.; verbale accertamento del 19 aprile 2007, presso "Sinesi gioielli s.r.l."; verbale accertamento del 20 aprile 2007, presso "Defilla s.n.c. di Lidia Defilla").

 

2. Principi di pertinenza e proporzionalità: tempi di conservazione

In base alla documentazione acquisita i dati trattati dalla società risultano pertinenti e non eccedenti rispetto alle legittime finalità perseguite nell´espletare il servizio "incasso assegni" e nell´eventuale, successiva tutela dei diritti derivanti dall´acquisto del credito.

Con particolare riferimento alla circostanza secondo la quale "i dati vengono trattati per un periodo indefinito", va tuttavia prescritto alla società, in applicazione dei principi di pertinenza e proporzionalità (art. 11, comma 1, lett. d) ed e), del Codice), di individuare termini massimi di conservazione dei dati trattati in relazione a tali finalità.

Ferma restando la necessità che i dati personali del traente siano conservati (ed utilizzati) in conformità a puntuali disposizioni normative (ad esempio, quelle relative alla tenuta delle scritture contabili), le informazioni necessarie a gestire il servizio possono essere trattate per conto della società o da essa stessa direttamente solo per il tempo strettamente necessario e, comunque, non oltre i termini di prescrizione delle azioni eventualmente esercitabili a tutela del credito.

I dati personali dei quali non è necessaria la conservazione in relazione agli scopi per i quali sono stati trattati devono essere cancellati o trasformati in forma anonima (art. 11, comma 1, lett. e), del Codice).

 

3. Informativa alla clientela

3.1. Il trattamento di informazioni personali della clientela in relazione al "servizio assegni" richiede che siano rese all´interessato le informazioni contenute nell´art. 13 del Codice.

La modalità per adempiere a tale obbligo dichiarate dalla società, e in taluni casi poste effettivamente in essere presso gli esercizi convenzionati (come è stato possibile riscontrare dai predetti accertamenti effettuati), non risultano pienamente conformi alla disciplina di protezione dei dati.

Alla luce di tali accertamenti, gli accorgimenti predisposti dalla società per rendere l´informativa non risultano anzitutto essere osservati in modo uniforme presso gli esercizi commerciali convenzionati: presso taluni di essi, l´informativa non viene infatti resa o viene fornita senza fare riferimento ai trattamenti effettuati dalla società (cfr., ad esempio, verbale accertamento del 19 aprile 2007 presso "Teichner S.p.A.", cit.; verbale accertamento del 19 aprile 2007 presso "Sinesi gioielli s.r.l."; verbale accertamento del 20 aprile 2007 presso "Defilla s.n.c. di Lidia Defilla").

Deve pertanto prescriversi alla società, quale titolare del trattamento, una verifica puntuale (sia in sede di sottoscrizione del contratto, impartendo le dovute istruzioni, sia con controlli periodici, anche a campione, a mezzo di propri incaricati) dell´adempimento da parte del personale operante presso gli esercizi commerciali e che svolge alcune operazioni per conto della società di rendere l´informativa ai sensi dell´art. 13 del Codice.

3.2. Sotto un diverso profilo deve poi rilevarsi l´inidoneità dell´informativa resa mediante gli strumenti predisposti dalla società ("cavalletto Centax" e depliant). In caso di attivazione del "servizio assegni", la società consulta infatti dati personali riferiti alla clientela con altri archivi (pubblici o privati) procedendo, altresì, a registrare nelle proprie banche dati alcune informazioni personali relative all´interessato di volta in volta ritenute pertinenti (senza comunque procedere "alla comunicazione e diffusione dei dati trattati a soggetti terzi") (cfr. nota Centax 2 maggio, cit.).

Rispetto a tali operazioni di trattamento non risulta allo stato degli atti adempiuto l´obbligo di informare l´interessato, da assolvere nel caso di specie per legge al più tardi "all´atto della registrazione dei dati" (art. 13, comma 4, del Codice).

Si procederà quindi in separata sede e con distinto provvedimento a valutare i presupposti per contestare la violazione amministrativa relativa all´inidonea informativa agli interessati (art. 161 del Codice).

In ogni caso, la società deve rendere edotti gli interessati delle predette modalità di trattamento, se del caso anche con la stessa modalità con la quale fornisce l´informativa relativamente ai dati raccolti direttamente presso l´interessato nell´esercizio commerciale (in tal caso, integrando quindi quanto riportato nel modello di informativa stampato sul "cavalletto Centax" e sul depliant sopra menzionati, indicando pertanto specificamente anche le categorie di dati raccolti presso terzi e trattati dalla società stessa).

3.3. Va inoltre constatata la scarsa chiarezza dell´informativa resa nella parte in cui si dichiara che, per i servizi di concessione di finanziamento, "in caso di Sua richiesta Le sarà fornita altra specifica informativa ai sensi di legge". A tale proposito si rappresenta infatti la necessità di fornire compiuta informativa anche in ordine agli eventuali ulteriori trattamenti effettuati (a prescindere da espresse richieste dell´interessato) anche in caso di fornitura di servizi finanziari.

 

4. Responsabili e incaricati del trattamento

4.1. In base alla disciplina di protezione dei dati personali gli "incaricati del trattamento" sono solo "le persone fisiche autorizzate a compiere operazioni trattamento dal titolare o dal responsabile", operanti "sotto la diretta autorità" di questi ultimi (sulla base di un atto scritto di designazione che individui puntualmente l´ambito del trattamento consentito) e tenuti ad attenersi alle istruzioni impartite (artt. 4, comma 1, lett. h) e 30 del Codice).

Il Garante ha ribadito più volte che "possono essere designati quali incaricati del trattamento solo ed esclusivamente le persone fisiche e non anche le entità personificate", le quali possono invece rivestire la qualità di responsabile del trattamento (artt. 4, comma 1, lett. g) e 29 del Codice: Provv. 8 giugno 1999, in www.garanteprivacy.it, doc. web. n. 42260).

In relazione a questi presupposti, nel caso di specie non risulta conforme al Codice la qualificazione e designazione quali "incaricati del trattamento" degli esercizi commerciali convenzionati e/o dei rappresentanti legali dei punti vendita. Peraltro, tali soggetti non risultano operare sotto la "diretta autorità" della società, godendo piuttosto di una più ampia libertà nell´effettuare operazioni di trattamento dei dati.

Le società convenzionate devono essere quindi preposte correttamente al trattamento dei dati per conto della società, con particolare riferimento alla fase della raccolta, quali "responsabili" (anziché "incaricati") del trattamento designati in conformità al Codice (art. 29), con conseguente modifica da apportare alle condizioni generali di contratto utilizzate per regolare tali rapporti.

Le singole persone che, presso i punti vendita convenzionati, siano abilitate a svolgere operazioni di trattamento dati per conto della società devono essere designate quali "incaricati" del trattamento; la designazione può essere fatta anche dalla persona a ciò legittimata presso la società convenzionata.

 

5. Prescrizioni e termine per adempiere

Alla luce della documentazione acquisita questa Autorità ravvisa taluni profili di violazione della disciplina vigente in relazione al trattamento dei dati personali; pertanto, ai sensi dell´art. 154, comma 1, lett. c), del Codice, prescrive con il presente provvedimento le misure necessarie al fine di rendere i trattamenti sopra indicati conformi alle disposizioni contenute nel Codice.

Valutati gli adempimenti da svolgere e tenuto conto dei diritti delle persone interessate appare congruo e necessario che la società ottemperi alle medesime prescrizioni entro e non oltre il 28 settembre 2007, dando dettagliato e documentato riscontro a questa Autorità entro lo stesso termine.

TUTTO CIÒ PREMESSO, IL GARANTE

a) prescrive a Centax S.p.A., ai sensi dell´art. 154, comma 1, lett. c), del Codice, di individuare, nel rispetto di puntuali disposizioni normative, i termini massimi di  conservazione dei dati personali della clientela, cancellando o trasformando in forma anonima i dati personali di cui non risulti giustificata la conservazione ed adottando al più presto, e comunque non oltre il 28 settembre 2007, le misure necessarie a prevenire la conservazione per tempi indefiniti dei dati medesimi (punto 2);

b) prescrive a Centax S.p.A., ai sensi dell´art. 154, comma 1, lett. c), del Codice di adottare al più presto, e comunque non oltre il 28 settembre 2007 le misure organizzative necessarie per garantire la scrupolosa osservanza presso gli esercizi commerciali convenzionati delle misure volte a rendere l´informativa prevista dall´art. 13 del Codice, anche mediante controlli a campione da parte dei "responsabili di zona" (punti 3.1. e 3.2.);

c) prescrive a Centax S.p.A., ai sensi dell´art. 154, comma 1, lett. c), del Codice, di designare al più presto, e comunque non oltre il 28 settembre 2007, quali "responsabili del trattamento" ai sensi dell´art. 29 del Codice, le società convenzionate che raccolgono dati personali nel suo interesse (punto 4), disciplinando anche le modalità per l´eventuale designazione entro lo stesso termine di persone fisiche incaricate del trattamento;

d) prescrive che Centax S.p.A. dia dettagliato e documentato riscontro a questa Autorità, entro il 28 settembre 2007, delle misure adottate per conformare i trattamenti effettuati alle prescrizioni del presente provvedimento, fornendo ogni informazione utile al riguardo ed allegando la pertinente documentazione.

Roma, 17 maggio 2007

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
Buttarelli