1. La rilevanza del tema della Privacy nell’attività di recupero dei crediti e di raccolta di dati
L’attività di recupero crediti può essere intrapresa direttamente dal creditore come pure, nel suo interesse, da terzi (quali avvocati e società specializzate nel recupero crediti, queste ultime in possesso della licenza di cui all’art. 115 TULPS), generalmente operanti in virtù di un contratto di mandato.
Nello svolgimento dell’attività, il creditore, ovvero il terzo incaricato, sono inevitabilmente coinvolti nel trattamento di determinati dati del debitore, sia nella fase di raccolta delle informazioni, sia nel tentativo di presa di contatto, finalizzata alla riscossione del credito.
Vi sono quindi due principali aspetti che vengono in rilievo:
a) quali dati e informazioni possono essere oggetto di trattamento, nella fase che è propedeutica al recupero vero e proprio del credito;
b) sulla base dei dati forniti, quali comportamenti possono essere messi in atto per sollecitare ed ottenere il pagamento delle somme dovute.
Il Regolamento UE del 27 aprile 2016, n. 679 (“GDPR”) ha apportato sostanziali modifiche al D.Lgs. 30 giugno 2003, n. 196 (“Codice della Privacy”). Si cercherà quindi di capire se ed in quale misura dette modifiche abbiano una rilevanza (anche e soprattutto a livello di pratica) nel settore del recupero dei crediti, con specifico riferimento, per quanto attiene alla presente diserzione, ai rilievi sub a).
V’è da fare sin d’ora una necessaria premessa: le norme del GDPR trovano applicazione con esclusivo riferimento alle persone fisiche, non già, invece, verso persone giuridiche quali enti e società. I rilievi più sotto affrontati, quindi, riguarderanno le sole persone fisiche.
2. I dati oggetto di trattamento e la liceità del trattamento
Al fine di comprendere quali dati possono legittimamente essere oggetto di trattamento, v’è anzitutto da chiarire cosa si debba intendere per dati e cosa, invece, per trattamento.
Ai sensi dell’art. 4 del GDPR, rubricato “definizioni”, per «dato personale» si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
Il medesimo articolo, specifica che per «trattamento», si intende “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.
Ora, il Garante della Privacy, già nel Vademecum dell’aprile 2016 “Privacy e recupero crediti, le regole per il corretto trattamento dei dati personali”, ha stabilito che possono formare oggetto di trattamento, finalizzato al recupero crediti, solamente i dati necessari all’esecuzione dell’incarico (dati anagrafici del debitore, codice fiscale o partita IVA, ammontare del credito vantato, unitamente alle condizioni del pagamento, e recapiti, anche telefonici) di norma forniti dall’interessato in occasione del rapporto intrattenuto con il creditore, o comunque desumibili da elenchi o registri pubblici.
Per comprendere se l’assetto prospettato dal Garante nel 2016 sia ancora attuale, è necessario fare riferimento all’art. 6 del GDPR, che illustra le circostanze in cui il trattamento possa dirsi lecito. Per quanto d’interesse, tale è qualora: i) “l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità”; ovvero ii) “il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore”.
La norma, dal contenuto assimilabile a quello dell’art. 24 del Codice della Privacy (ora abrogato), consente il trattamento dei dati personali vuoi in virtù di un consenso prestato, vuoi in virtù della necessità dello stesso al fine di tutelare i legittimi interessi del titolare del trattamento.
Va da sé che nella maggior parte dei rapporti tra privati (eccezione è data rinvenire, ad esempio, nei contratti stipulati con istituti di credito), il contratto, in forza del quale potrà sorgere un diritto di credito, non contempla al suo interno il preventivo consenso dell’interessato a che i suoi dati vengano trattati ai fini di una futura escussione del credito. Inoltre, detto consenso sarebbe inverosimile da ottenere qualora il credito derivi, ad esempio, da un illecito di tipo extra-contrattuale.
Ora, giacché il diritto di credito è un interesse (o meglio, un diritto) meritevole di tutela da parte dell’Ordinamento, il trattamento dei dati del debitore potrà avvenire anche senza che vi sia il consenso dello stesso.
Ne consegue che il creditore, ed il suo mandatario, potranno legittimamente trattare tutti i dati del debitore, senza che debba essere assunto il preventivo consenso di questi, purché, tuttavia, gli stessi dati siano necessari ai fini dell’esercizio del diritto di credito.
Quest’ultimo inciso è invero rilevante giacché pone il dubbio di quali dati debbano essere considerati necessari e quali, invece superflui. In assenza di precise indicazioni legislative, è opportuno, se non d’obbligo, rifarsi alle già citate indicazioni fornite dal Garante.
Ne deriva che il “nocciolo duro” dei dati che potrà essere oggetto di trattamento è costituito da: i) dati anagrafici riferiti al debitore; ii) codice fiscale (o partita Iva del medesimo); iii) ammontare del credito vantato (unitamente alle condizioni del pagamento); iv) recapiti (anche telefonici); v) altre informazioni desumibili da elenchi o registri pubblici.
3. L’informativa al soggetto interessato da parte del soggetto riscossore
Dato per lecito il trattamento, non sarà sfuggito che il soggetto riscossore si trova a trattare, in ogni caso, determinati dati personali. Ne consegue che lo stesso soggetto si deve porre il problema della necessità, o meno, di fornire una idonea informativa (di cui all’art. 13 del GDPR) nei confronti dei soggetti debitori interessati del trattamento.
L’informativa, infatti, ha lo scopo di illustrare all’interessato le informazioni su come vengono raccolti, utilizzati, condivisi e conservati i suoi dati personali, rendendolo allo stesso tempo edotto di quali siano i suoi diritti.
Oltretutto, i dati trattati dal creditore o dal terzo incaricato, sono, nella maggior parte dei casi, non direttamente raccolti dall’interessato, in quanto forniti da un terzo. È il caso, ad esempio, in cui l’agenzia di recupero dei crediti si trovi a trattare dati del debitore che le sono stati forniti direttamente dal creditore; o ancora, il caso in cui il creditore, ovvero l’agenzia di recupero dei crediti, acquisisca determinate informazioni da banche dati private di Business Information.
In tutti questi casi, l’informativa dovrà essere integrata alla luce delle indicazioni di cui all’art. 14, GDPR, che prevede quali informazioni debbano essere fornite qualora i dati personali non siano stati ottenuti presso l’interessato.
Ai sensi della disposizione appena citata l’informativa dovrà contenere: l’identità e i dati di contatto del titolare e del responsabile del trattamento; le finalità del trattamento; le categorie di dati personali oggetto di trattamento; gli eventuali destinatari dei dati personali; l’eventuale intenzione del titolare del trattamento di trasferire dati personali a un destinatario in un paese terzo; il periodo di conservazione dei dati personali; i legittimi interessi perseguiti dal titolare del trattamento o da terzi; l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi, nonché il diritto di proporre reclamo a un’autorità di controllo; la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico; l’esistenza o meno di un processo decisionale automatizzato (profilazione).
Oltre al contenuto dell’informativa, è altresì opportuno porsi il problema del momento in cui è da effettuarsi la comunicazione della medesima.
Sul punto, particolarmente interessante per i suoi risvolti pratici è il comma 3 dell’art. 14 che prevede che tutte le informazioni più sopra elencate debbano essere comunicate all’interessato: i) “entro un termine ragionevole dall’ottenimento dei dati personali, ma al più tardi entro un mese, in considerazione delle specifiche circostanze in cui i dati personali sono trattati”; ovvero ii) “nel caso in cui i dati personali siano destinati alla comunicazione con l’interessato, al più tardi al momento della prima comunicazione all’interessato”.
Per fare un esempio pratico, in un’ottica di stretta interpretazione del dato normativo, la diffida di pagamento, che costituisce il primo atto tipico con cui viene contattato il debitore, dovrebbe essere corredata di una informativa ai sensi dell’art. 14, GDPR. Ciò in quanto, in applicazione della lettera b), la preventiva raccolta dei dati è finalizzata a comunicare efficacemente all’interessato-debitore la sua situazione debitoria.
Ora, dato che le agenzie di recupero dei crediti basano la propria attività sul recupero massivo delle somme, fornire ad ogni singolo soggetto debitore un’informativa individualizzata, introdurrebbe una pratica a oggi estranea alle prassi di settore perché eccessivamente gravosa.
Peraltro, proprio in ragione dell’eccesiva onerosità dell’adempimento prescritto dalla legge, potrebbe trovare applicazione il comma 5, lettera b) dell’art. 14 del GDPR. La disposizione prevede che non sussiste alcun obbligo di comunicare al soggetto interessato l’informativa qualora “comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato”.
L’applicabilità di tale eccezione ai casi illustrati è tuttavia dubbia, di talché si auspica un intervento chiarificatore del Garante.
È da segnalare, tuttavia, che nelle more del precedente Codice della Privacy, la prassi di settore, adottando una soluzione maturata dal Garante con riferimento al trattamento dei dati nell’attività di raccolta di informazioni commerciali (si veda il paragrafo successivo), ha indotto gli operatori a rendere l’informativa mediante pubblicazione, generalmente sul proprio sito web, delle modalità di assunzione e trattamento dei dati, e dei diritti degli interessati.
Per valutare l’attualità di tale soluzione è dunque opportuno illustrare quali sono, alla luce del GDRP, gli obblighi di informativa che coinvolgono le società che si occupano di business information.
4. (segue) L’informativa al soggetto interessato da parte delle banche dati di Informazioni Commerciali
Le Banche Dati di Informazioni Commerciali (Business Information) raccolgono ed elaborano dati relativi a perone fisiche o società perlopiù attraverso la consultazione di pubblici registri. In altri casi, i dati possono essere raccolti con il consenso esplicito (diretto o indiretto) dagli interessati, fornito, per esempio, in occasione di ricerche di mercato o questionari.
Le tipologie di dati raccolti possono quindi essere estremamente variabili: dati relativi alla situazione patrimoniale dell’interessato (debiti, mancati pagamenti, protesti, situazione reddituale), recapiti quali e-mail, numeri telefonici, indirizzi di residenza, ma anche interessi o preferenze.
A queste banche dati possono accedere tutti, mediante il pagamento del prezzo del servizio.
Ora, anche questi soggetti, raccogliendo i dati presso terzi (quali sono i pubblici registri, ovvero le società che a loro volta svolgono ricerche di mercato e/o questionari) dovrebbero – ai sensi di una stretta interpretazione delle norme del GDPR sopra analizzate – essere onerate a fornire un’informativa a tutti quei soggetti interessati del trattamento. Il che, come è dato intuire, introdurrebbe un onere molto gravoso, legato ai costi di rilascio di questa informativa individualizzata agli interessati.
La situazione ora delineata è invero già stata affrontata e risolta dal Garante della Privacy con la “sanatoria” contenuta nel Provvedimento del 14 maggio 2009, “Esonero dall’informativa per l’Associazione nazionale tra le imprese di informazioni commerciali e di gestione del credito (ANCIC)”, e, successivamente, nel Provvedimento del 22 maggio 2014, “Modifica parziale del provvedimento di esonero dall’informativa per l’Associazione nazionale tra le imprese di informazioni commerciali e di gestione del credito (ANCIC)”.
Il Garante ha dapprima, con il provvedimento del 2009, esonerato le imprese associate ANCIC dall’obbligo di rendere una informativa individualizzata agli interessati in occasione del trattamento dei loro dati per finalità di business information, per poi stabilire, con il provvedimento del 2014, due criteri “semplificati” regolanti le modalità di comunicazione dell’informativa da parte delle suddette società.
In particolare, il secondo criterio, risolveva il problema del rilascio dell’informativa mediante “la permanente pubblicazione, da parte di ciascuna società di informazione commerciale aderente ad Ancic, sul proprio sito web, dell’informativa prevista dall’art. 13 del Codice, da evidenziarsi adeguatamente in autonomi riquadri di immediata consultazione”.
Le società di Business Information, sostanzialmente, non devono fare altro che produrre e pubblicare l’informativa all’interno del proprio sito web: l’onere di lettura della stessa ricade sull’interessato.
Con l’introduzione del GDPR, il problema della produzione dell’informativa individualizzata potrebbe presentarsi nuovamente, qualora i Provvedimenti del Garante risalenti al 2009 e al 2014 fossero ritenuti non conformi a quanto previsto dall’art. 14 del Regolamento.
Si sottolinea, inoltre, che l’art. 118 del Codice della Privacy, dedicato alle “Informazioni Commerciali” è stato abrogato. La circostanza rileva, dal momento che la norma prevedeva la possibilità di elaborare “modalità semplificate per l’informativa all’interessato e idonei meccanismi per garantire la qualità e l’esattezza dei dati raccolti e comunicati”.
Anche in questo caso, quindi, in attesa di un auspicabile intervento del Garante, le società di Business Information potrebbero, mediante l’applicazione della fattispecie di cui al comma 5, lettera c) dell’art. 14 del GDPR, derogare agli stringenti ed onerosi obblighi previsti dal Regolamento, optando per il regime di comunicazione semplificato, già adottato nella vigenza del Codice della Privacy.
In tal senso, l’obbligo di rendere l’informativa risulterebbe essere adempiuto mediante la pubblicazione permanente della stessa sul sito internet della società che presta il servizio.
Fonte: Altalex, 9 novembre 2018