Garante per la protezione
    dei dati personali


Comunicazione a terzi di informazionirelative a una situazione di morosità legata ad un rapporto di finanziamento

PROVVEDIMENTO DEL 20 MARZO 2014

Registro dei provvedimenti
 n. 136 del 20 marzo 2014

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

Nellariunione odierna, in presenza del dott. Antonello Soro presidente, delladott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano,componente, e del dott. Giuseppe Busia, segretario generale;

Vistoil Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n.196, di seguito "Codice");

VISTAla segnalazione presentata dal sig. XY nei confronti di Findomestic BancaS.p.A.;

ESAMINATAla documentazione in atti;

VISTEle osservazioni formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000;

RELATOREla prof.ssa Licia Califano;

PREMESSO

1. La segnalazione.

1.1.Con segnalazione del 22 giugno 2013, il sig. XY, dipendente dell'I.B.M., halamentato un'indebita comunicazione a terzi di informazioni relative a unasituazione di morosità legata ad un rapporto di finanziamento in corso tra luie Findomestic Banca S.p.A.

Inparticolare, il segnalante ha riferito che, nel mese di aprile 2013, recatosiall'estero per dieci giorni, aveva deciso di evitare "di rispondere atutte le chiamate" che giungevano al proprio telefono, "considerati icosti per gli addebiti delle chiamate ricevute" e l'impossibilità di"riconoscere i numeri telefonici dei chiamanti, che apparivano comeanonimi (Numero Sconosciuto)".

Indata 10 aprile, mentre egli si trovava ancora all'estero, un dipendente diFindomestic Banca S.p.A. aveva telefonato al centralino della "Sede IBM diRoma" e, dopo aver chiesto di poter parlare con il"Responsabile" del suo ufficio di appartenenza, lo aveva informato diagire per conto dell'"Ufficio Recupero Crediti di Findomestic" e diessersi visto costretto a telefonare sul luogo di lavoro del cliente nonessendo riuscito a reperirlo presso l'utenza telefonica personale; quindi, ilchiamante aveva invitato il predetto "Responsabile" ad avvisare ilsig. XY "della situazione" e a "sensibilizzarlo" alriguardo.

Pochiminuti dopo la conclusione della telefonata, l'odierno segnalante, attraversoil telefono di servizio, era stato informato dell'accaduto dal propriosuperiore, il quale, nell'occasione, gli aveva garantito "che avrebbetenuto il massimo riserbo sull'argomento".

Inragione di ciò, il sig. XY, appena rientrato in Italia, si era messo incontatto con Findomestic Banca S.p.A. per manifestare il proprio disappunto perl'accaduto, ma l'interlocutore di turno, rimasto anonimo, gli aveva riferitoche la società aveva il diritto di "agire" anche sul suo datore dilavoro per sensibilizzarlo ad adempiere ai suoi impegni contrattuali;successivamente, a fronte di ulteriori rimostranze, il segnalante era statocontattato da altro dipendente della società che, nello scusarsi "per ilcomportamento assunto dal suo collega", lo aveva pregato di continuare adottemperare agli obblighi contrattuali che, stante l'episodio, l'interessatoaveva minacciato di non voler più onorare.

Ciòpremesso, nel ritenere che il comportamento osservato da Findomestic BancaS.p.A. fosse in contrasto con i principi di protezione dei dati personali, ilsegnalante aveva deciso di rivolgersi al Garante, chiedendo che venissedichiarata l'illiceità del trattamento dei suoi dati personali.

2. Le dichiarazioni della società

Indata 18 luglio 2013 l'ufficio ha inviato una specifica richiesta istruttoria aFindomestic Banca S.p.A per acquisire informazioni sul caso di specie e, più ingenerale, per conoscere –anche alla luce delle regole poste dal Garantecon il provvedimento generale del 30 novembre 2005- quali fossero gli accorgimenti adottati dalla societàper gestire correttamente i dati personali dei clienti nell'attività direcupero crediti.

Nelrendere il riscontro, Findomestic Banca S.p.A. ha preliminarmente fornito unapuntuale descrizione dell'attività di "phone collection" normalmentesvolta a fini di recupero crediti, evidenziando anche le iniziative intrapresedall'azienda per assicurare un'ampia "diffusione a tutti i livelliorganizzativi di una cultura dell'attenzione costante al rispetto alle regole,interne ed esterne".

Inparticolare, la società ha riferito di aver predisposto una specifica"regolamentazione interna", volta a "fornire a tutto ilpersonale una adeguata informazione/formazione sulla normativa di riferimento esui principi di carattere etico e di sicurezza adottati" da FindomesticBanca S.p.A., nonché ad indirizzarne i comportamenti durante lo svolgimentodelle attività di recupero; in particolare, la società ha dichiarato di averpredisposto un apposito "sistema documentale" a più livelli,comprendente non solo atti di carattere generale (tra cui un "Codiceetico", adottato dalla società nel 2006, ed una sorta di manuale su"Il recupero amichevole di Findomestic Banca S.p.A. e delle altre societàdel Gruppo che erogano credito al consumo"), ma anche "disposizionidi dettaglio relative allo svolgimento di specifiche attività" da partedegli incaricati (cfr. all. b) alla nota del 2 settembre 2013.

Asostegno di quanto asserito, la società ha prodotto anche copia di un atto dinomina a "responsabile del trattamento" −concernente propriol'area "Direzione-Studio", cui è riservata l'attività di recuperocrediti− che, nell'ambito dei "compiti particolari delresponsabile", menziona espressamente quello di "assicurare che lacomunicazione a terzi e la diffusione dei dati personali avvenga, se prevista,nelle modalità regolamentate dalla normativa di riferimento" (cfr. puntod) del documento stesso).

Ciòpremesso, con riguardo alla specifica segnalazione, Findomestic Banca S.p.A. haammesso che nell'aprile 2013, non risultando il sig. XY in regola con ilversamento della rata mensile e stante la sua irreperibilità presso l'utenzatelefonica da lui stesso indicata in occasione della conclusione del rapporto,un incaricato della società aveva telefonato presso il datore di lavoro dicostui, "ma al solo fine di essere ricontattati dal cliente stesso, nelmassimo rispetto della sua privacy e senza fornire informazioni relative alrapporto in essere con Findomestic a soggetti ad esso estranei"; inoltre,la società ha aggiunto che, sulla base delle informazioni a disposizione, nonsarebbero state riscontrate "anomalie nel comportamento tenutodall'addetto al recupero nel caso in esame". 

Ilsegnalante, chiamato ad esprimere le proprie osservazioni al riguardo, hadapprima ribadito le proprie doglianze, affermando che, "malgradol'apparente attenzione posta nel modello organizzativo per il recupero creditie la descritta metodologia descritta per istruire gli incaricati e i controllipermanenti messi in atto  nelle attività telefoniche", la società nonsarebbe riuscita ad impedire la "divulgazione della condizione debitoria asoggetti terzi"; inoltre, al fine di comprovare tale assunto,l'interessato ha prodotto una e.mail datata 13 giugno 2013, inviatagli dalproprio superiore gerarchico, con la quale quest'ultimo gli aveva ribadito diaver ricevuto una telefonata da parte di una persona che si era qualificata"come Findomestic", la quale gli aveva rappresentato la necessità cheil sig. XY si mettesse in contatto con la società "con urgenza perproblemi di morosità legati al conto corrente" (cfr. nota datata 20ottobre 2013).

Pertanto,il segnalante ha insistito per l'accoglimento delle richieste già rassegnate.

3. Le valutazioni sul trattamento dei dati personalidei clienti.

Invia generale, l'Autorità ha avuto modo di affermare che chiunque effettui untrattamento di dati personali nell'ambito di una attività di recupero crediti,in ossequio ai principi di liceità e correttezza (art. 11, comma 1, lett. a)del Codice), debba astenersi dal "comunicare ingiustificatamente asoggetti terzi rispetto al debitore (quali ad esempio, familiari, coabitanti,colleghi di lavoro o vicini di casa) informazioni relative alla condizione diinadempimento nella quale versa l'interessato", avendo cura di evitare"nel tentativo di prendere contatto con il medesimo (anche attraverso terzi)comportamenti suscettibili di incidere sulla sua dignità" (provv. 30 novembre 2005).

FindomesticBanca S.p.A., nell'illustrare la propria struttura organizzativa, ha dichiaratoche responsabile dell'attività di recupero crediti telefonico è la"Direzione Studio-Recupero Crediti, dipendente in linea gerarchica dalDirettore Generale", che ha anche il compito di ridurre i rischi connessial suo svolgimento "attraverso lo sviluppo, la gestione ed il seguitodelle attività di recupero crediti, nel rispetto delle regole di deontologiavigenti e salvaguardando l'immagine aziendale ed il rapporto con iclienti".

Inparticolare, la società ha dichiarato –e, al contempo, documentato- diaver predisposto non solo specifiche regole scritte (tra cui il Codice etico edun "manuale", già menzionati) in favore del personale operante nelsettore del "recupero amichevole", ma anche di aver organizzatospecifiche attività "formative e di sensibilizzazione" in vista diuna corretta applicazione -anche in occasione dell'eventuale contatto consoggetti diversi dal debitore- dei principi di liceità e di correttezza cosìcome declinati nel provvedimento generale del 30 novembre del 2005.

Inoltre,la Società ha anche riferito di aver predisposto un sistema di controlliinterni, strutturato su più livelli, per garantire l'esatta applicazione dellanormativa di riferimento e per contenere i "rischi legali e reputazionalicollegati all'attività", cui si aggiunge "un monitoraggio sistematicodei reclami relativi all'attività di phone collection" effettuato"dall'unità Gestione Reclami" posta nell'ambito della DirezioneAffari Legali, Societari e Conformità".

Tuttociò premesso, si tratta di verificare se, nel caso di specie, la società abbiaeffettivamente osservato i principi di liceità e correttezza più volterichiamati all'interno della documentazione prodotta.

Inprimo luogo, sul piano fattuale, si rileva che Findomestic Banca S.p.A. haammesso di aver tentato di contattare a più riprese il debitore e, stante lasua irreperibilità "ai numeri telefonici forniti dal medesimo al momentodella stipula del contratto", di aver contattato il suo datore di lavoro,interloquendo con esso.

Circail contenuto del colloquio intercorso, la società ha asserito di essersilimitata a chiedere al datore di lavoro di informare il dipendentedell'infruttuoso tentativo di mettersi in contatto con lui e di essersiastenuta dal "fornire informazioni relative al rapporto in essere conFindomestic".

Taleasserzione, però, non solo contrasta con quanto riferito dal segnalante, ma ècontraddetta dalla e.mail inviata il 13 giugno 2013 dal superiore gerarchico –chericevette personalmente la telefonata- al sig. XY, con la quale egli haconfermato quanto già anticipato verbalmente al dipendente, e cioè che "indata 10 aprile 2013, intorno alle 17,00", una persona"qualificatasi" come "Findomestic" lo aveva contattato,chiedendogli di intervenire affinché il sig. XY richiamasse la società"con urgenza per problemi di morosità legati al conto corrente".

Adavviso di questa Autorità i fatti riportati nella e.mail prodotta sono talmentecircostanziati -recando l'indicazione della data e dell'ora dell'avvenutocontatto, gli estremi dell'ufficio della società procedente, le ragioni cheavevano indotto il chiamante a tentare di contattare il debitore sul luogo dilavoro e, cosa più grave, l'esistenza di una condizione di morosità- da farritenere che essi siano stati effettivamente portati a conoscenza del superioregerarchico dell'interessato –e in assenza del consenso di quest'ultimo-da una persona ben informata sulla vicenda debitoria e, verosimilmente, dacolui che tentò di contattare il sig. XY sul luogo di lavoro per conto dellaFindomestic Banca S.p.A..

Acclaratoquanto sopra, non può non rilevarsi che vari aspetti della vicenda risultano inpalese contrasto con i principi posti dalla disciplina sulla protezione deidati personali.

Infatti,il servizio di "phone collection", cui si è soliti ricorrerenell'esercizio dell'attività di recupero crediti, comportando il costanterischio di instaurare contatti anche con persone diverse dal debitore, deveessere svolto con estrema accortezza, sì da evitare che possa determinarsi unacomunicazione di informazioni in favore di soggetti estranei al rapportoobbligatorio; di ciò risulta essere consapevole la stessa Findomestic BancaS.p.A., che, non solo nell'adottato schema di designazione a "responsabiledel trattamento" ha espressamente richiamato l'attenzione di ciascundesignato all'osservanza dei principi di cui all'art. 11 del d.lg. n. 196/2003,ma con lo stesso "manuale" interno dedicato al c.d. "recuperoamichevole" ha dettato al personale una serie di regole da osservarenell'attività di recupero "telefonico", prescrivendo che, nel caso incui si renda necessario instaurare un "contatto con i terzi", è fattodivieto all'incaricato di dichiarare di agire per conto di Findomestic e disvelare la ragione per la quale si stia cercando il cliente (cfr., Partegenerale II, punto c7).

Talifondamentali prescrizioni, però, non risultano essere state osservate nellavicenda in questione, in cui il dipendente di Findomestic Banca S.p.A.,cercando infruttuosamente di contattare il debitore presso il suo luogo dilavoro, ha dapprima preteso di conferire con il suo superiore gerarchico e,dopo avergli riferito di appartenere all'Ufficio Recupero Crediti diFindomestic, lo ha portato a conoscenza dell'irreperibilità del debitore edell'esistenza di una situazione di morosità a suo carico.

Talecondotta si è risolta in un'illecita comunicazione a terzi dei dati del sig. XYrelativi al rapporto obbligatorio in essere con Findomestic Banca S.p.A., conla conseguenza che il loro trattamento deve essere dichiarato illecito perchéin contrasto con gli artt. 2 (in riferimento al rispetto della dignitàdell'interessato), 11 e 23 del Codice (cfr. Provv. 28 maggio 2009; Provv. 8 marzo 2007); in ragione di ciò, l'Autorità si riserva, conautonomo procedimento, di formulare un'eventuale contestazione in sedeamministrativa.
Inoltre, avendo la vicenda denotato una parzialeinefficacia del sistema di controllo permanente predisposto dalla società perl'attività di recupero "telefonico", ai sensi degli artt. 143, comma1, lett. b)  e 154, comma 1, lett. c) del Codice, si ritiene diprescrivere a Findomestic Banca S.p.a. di adottare ulteriori adeguate misure alfine di monitorare in modo più assiduo l'operato dei responsabili e degliincaricati del trattamento, anche attraverso verifiche periodiche sulleconcrete modalità di attuazione, da parte di costoro, delle istruzioniimpartite dalla banca.

TUTTO CIO' PREMESSO, IL GARANTE:

a)dichiara l'illiceità del trattamento dei dati personali del sig. XY posto inessere da Findomestic Banca S.p.A.;

b) aisensi degli artt. 143, comma 1, lett. b)  e 154, comma 1, lett. c) delCodice, prescrive a Findomestic Banca S.p.a. di adottare, entro 90 giorni dallaricezione del presente provvedimento, ulteriori adeguate misure volte arafforzare il livello di controllo sull'operato dei responsabili e degliincaricati del trattamento, anche attraverso verifiche periodiche sulleconcrete modalità di attuazione, da parte di costoro, delle istruzioniimpartite dalla banca;

c)prescrive a Findomestic Banca S.p.a., ai sensi dell'art. 157 del Codice, dicomunicare quali iniziative siano state intraprese al fine di dare attuazioneal presente provvedimento entro 120 giorni dalla ricezione dello stesso; siricorda che il mancato riscontro alla richiesta ex art. 157 è punito con lasanzione amministrativa di cui all'art. 164 del Codice.

Ai sensidegli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presenteprovvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 20 marzo 2014

Il presidente
Soro

Il relatore
Califano

Il segretario generale
Busia