[doc. web n. 2497407]

Comunicazione a terzi di informazioni relative ad un rapporto di finanziamento - 11 aprile 2013

Registro dei provvedimenti
n. 181 dell´11 aprile 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro Presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");

VISTA la segnalazione presentata dalla sig.ra XY nei confronti della Santander Consumer Bank S.p.a.;

VISTA la comunicazione della Santander Consumer Bank S.p.a. del  19 novembre 2012;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

PREMESSO

1. La segnalazione.

1.1. Con segnalazione del 29 giugno 2012, la sig.ra XY ha lamentato l´indebita comunicazione a terzi –segnatamente, al proprio figlio ed alla nuora- di informazioni relative ad un rapporto di finanziamento in corso tra lei e Santander Consumer Bank S.p.a..

In particolare, la segnalante ha riferito che il 30 aprile 2012, poco prima di essere sottoposta ad un intervento chirurgico, aveva affidato il telefono cellulare al proprio figlio, il quale si trovava presso la clinica ove lei era ricoverata; poco dopo, nel corso dell´intervento, una "operatrice della Banca Santander", nel tentativo di contattarla sulla sua utenza mobile per invitarla a pagare alcuni ratei scaduti concernenti il suddetto finanziamento, aveva interloquito con suo figlio e, pur prendendo atto della riferita impossibilità dell´interessata a rispondere, aveva comunque ritenuto di metterlo a conoscenza della situazione debitoria di costei, indicandone l´entità e pretendendo, al contempo, "risposte immediate".

Successivamente, nei giorni 3 e 4 maggio 2012, mentre la XY era ancora ricoverata, la stessa operatrice aveva effettuato altre due chiamate all´utenza telefonica dell´abitazione di costei, le quali erano state ricevute, rispettivamente, dalla nuora –che così era stata anch´essa portata a conoscenza della vicenda- e dal figlio della segnalante.

Ritenendo il comportamento osservato da Santander Consumer Bank S.p.a. in contrasto con i principi di protezione dei dati personali, la segnalante si è rivolta al Garante, chiedendo la declaratoria d´illiceità del trattamento dei suoi dati personali e il risarcimento del danno.

Nel corso dell´istruttoria, la XY ha comunicato nuove circostanze, riferendo di ulteriori telefonate che la banca avrebbe effettuato presso il suo posto di lavoro, al fine di poter acquisire dai suoi colleghi informazioni riguardo ai suoi turni lavorativi e ad ulteriori recapiti presso cui contattarla.

2. Le dichiarazioni della società

In data 16 ottobre 2012 l´ufficio ha inviato una specifica richiesta istruttoria per acquisire informazioni sul caso di specie e, più in generale, sugli accorgimenti adottati da Santander Consumer Bank S.p.a. –anche alla luce delle regole poste dal Garante con il provvedimento generale del 30 novembre 2005 [doc. web n. 1213644]- per gestire correttamente i dati personali dei clienti nell´attività di recupero crediti.

In sede di riscontro, Santander Consumer Bank S.p.a. ha confermato che, effettivamente, in data 30 aprile 2012, una dipendente di Transcom Worldwide S.p.a. –società incaricata dalla banca di procedere al recupero del credito- aveva tentato di contattare l´interessata presso un´utenza telefonica da lei originariamente indicata; alla telefonata, però, aveva risposto il figlio della debitrice, il quale, pur riferendo che la madre "si trovava in ospedale", aveva mostrato "di essere a conoscenza del finanziamento", con la conseguenza che l´operatore, nel reputare che costui fosse stato incaricato di ricevere messaggi per conto della madre, lo aveva ritenuto anche "autorizzato […] a ricevere le informazioni relative al finanziamento" stesso.

Inoltre, la società, pur dichiarando di non aver rinvenuto alcuna traccia della telefonata asseritamente ricevuta dalla nuora della segnalante in data 3 maggio 2012 (cfr. nota del 19 novembre 2012 p. 2), ha confermato che il 4 maggio 2012 era stato effettuato un nuovo tentativo di contatto telefonico con la sig.ra XY; anche in tale occasione alla telefonata aveva risposto il figlio, al quale, "sulla scorta del precedente colloquio, l´operatore della società di recupero" aveva giudicato "legittimo riferire della richiesta di pagamento".

Infine, è stato precisato che Transcom Worldwide S.p.a., società cui la banca affida una parte del recupero crediti, nello svolgimento della sua attività è tenuta a conformarsi a quanto pattuito in "appositi contratti che determinano anche l´ambito delle attività che [si]  possono compiere nei confronti dei clienti di Santander"; a tal fine, la banca ha prodotto copia del contratto concluso con la predetta società (cfr. all. n. 4 alla nota di riscontro), il quale, nel fissare le regole per la gestione del servizio di recupero crediti stragiudiziale, ha previsto che l´appaltatore si impegni a trattare i dati personali relativi alla clientela dell´appaltante "in qualità di autonomo titolare del trattamento, nell´osservanza del decreto legislativo del 30 giugno 2003, n. 196" […] garantendo, fra l´altro, che il trattamento di tali dati avvenga "esclusivamente nei limiti delle finalità connesse all´esecuzione" del contratto stesso.

Nel corso dell´istruttoria, la segnalante ha richiamato le circostanze già evidenziate, ribadendo, in particolare, che suo figlio e sua nuora, prima di ricevere le telefonate in questione, erano sempre stati all´oscuro dell´esistenza del rapporto di finanziamento (cfr. nota datata 28 novembre 2012).

3. Le valutazioni sul trattamento dei dati personali dei clienti.

In via generale, l´Autorità ha avuto modo di affermare che chiunque effettui un trattamento di dati personali nell´ambito di una attività di recupero crediti, in ossequio ai principi di liceità e correttezza (art. 11, comma 1, lett. a) del Codice), debba astenersi dal "comunicare ingiustificatamente a soggetti terzi rispetto al debitore (quali ad esempio, familiari, coabitanti, colleghi di lavoro o vicini di casa) informazioni relative alla condizione di inadempimento nella quale versa l´interessato", avendo cura di evitare "nel tentativo di prendere contatto con il medesimo (anche attraverso terzi) comportamenti suscettibili di incidere sulla sua dignità" (v. Provv. 30 novembre 2005, doc. web n. 1213644).

Santander Consumer Bank S.p.a., nell´illustrare la propria struttura organizzativa riguardo al recupero crediti, ha dichiarato  che, "a seconda delle caratteristiche assunte dalla condizione di inadempimento del cliente", può decidere di avvalersi, oltre che dei propri dipendenti, anche "di società esterne specializzate"; in tal caso, la banca stipula appositi accordi con dette società, nei quali, oltre ad essere contenuto un richiamo al doveroso rispetto della normativa in materia di protezione dati e dei principi fissati dal Garante con il provvedimento generale del 2005, viene incluso anche il testo di un "codice deontologico" interno, cui il "recuperatore" deve necessariamente attenersi, pena la risoluzione del rapporto contrattuale.

Inoltre, la banca ha anche riferito che ogni cliente, sin dalla negoziazione del finanziamento, viene informato del fatto che, in caso di inadempimento, i suoi dati personali potrebbero essere utilizzati per finalità di recupero crediti e, quindi, comunicati a "società di factoring e/o di recupero crediti, il cui elenco è disponibile presso Santander o le sue filiali".

Tutto ciò premesso, si tratta di verificare se, nel caso di specie, i principi posti dal Codice e ulteriormente declinati dal Garante con il provvedimento del 2005, lungi dall´essere solo richiamati all´interno dei testi contrattuali, siano stati anche concretamente osservati.

Preliminarmente, si rileva che buona parte dei fatti riferiti dalla segnalante non solo non sono stati contestati da Santander Consumer Bank S.p.a., ma addirittura sostanzialmente ammessi.

Pertanto, può ritenersi provato che, nei giorni 30 aprile e 4 maggio 2012, un´operatrice di Transcom Worldwide S.p.a., società incaricata di procedere al recupero dei ratei non versati dalla XY, nel tentativo di contattare quest´ultima, abbia effettivamente interloquito con il figlio di costei, rendendolo quantomeno edotto –seppur in carenza di consenso dell´interessata- dell´esistenza di alcuni ratei di un finanziamento non pagati e del loro  complessivo ammontare.

Acclarato quanto sopra, questa Autorità rileva che vari aspetti della vicenda risultano in palese contrasto con i principi posti dalla disciplina sulla protezione dei dati personali.

Per quanto riguarda l´attività svolta da Transcom Worldwide S.p.a., non si ritiene ammissibile che ad un operatore venga attribuita la facoltà di modificare discrezionalmente, sulla base di propri convincimenti personali ("a parere") legati al caso di specie, le modalità operative che debbono essere seguite in caso di contatto instaurato –seppur presso un´utenza telefonica indicata dal cliente- con persona diversa dal debitore.

Infatti, il servizio di "phone collection", cui si è soliti ricorrere nell´esercizio dell´attività di recupero crediti, comportando il costante rischio di instaurare contatti anche con persone diverse dal debitore, deve essere svolto con estrema accortezza, sì da evitare che possa determinarsi una comunicazione di informazioni in favore di soggetti estranei al rapporto obbligatorio; non è un caso, infatti, che anche il contratto intercorso tra Santander Consumer Bank S.p.a. e Transcom Worldwide S.p.a. abbia previsto l´obbligo di quest´ultima di rispettare –tra l´altro- le norme poste dal d.lg. n. 196/2003 e le prescrizioni impartite dal Garante con il provvedimento del 30 novembre 2005 ("con speciale attenzione a quanto statuito nei punti 2, 3 e 4 del Provvedimento medesimo" – vedi punto 10 del contratto), nonché quanto stabilito dal "Manuale operativo" fornito dall´appaltante e dal "Codice deontologico" allegato al contratto stesso, il quale, alla lettera b), pone espressamente a carico dell´appaltatore l´obbligo di "trattare la vertenza sempre con il titolare, con il legale rappresentante o con il garante e comunque prendere sempre nota della persona con cui si è parlato".

Nel caso in questione, invece, è stato appurato che l´operatrice della società incaricata di procedere al recupero dei ratei scaduti, nonostante avesse la certezza di non essere entrata in contatto con la debitrice -e pur non avendo alcuna prova circa l´avvenuto conferimento, da parte di costei, di un potere di rappresentanza in favore del proprio figlio (il quale, peraltro, non aveva mai assunto alcun ruolo di garanzia all´atto dell´instaurazione del rapporto obbligatorio)-, anziché attendere prudentemente un altro momento per interloquire con l´interessata, ha discrezionalmente ritenuto che l´interlocutore telefonico fosse a conoscenza del finanziamento in essere, giungendo a comunicare ad un terzo anche le intervenute vicende patologiche del rapporto obbligatorio. Ciò, ovviamente, è del tutto in contrasto sia con le regole poste dal Codice e dall´Autorità garante, sia con gli obblighi contrattualmente assunti con la banca, con la conseguenza che il trattamento dei dati personali della XY va dichiarato illecito perché in contrasto con gli artt.2 (in riferimento al rispetto della dignità dell´interessato), 11 e 23 del Codice (cfr. Provv. 28 maggio 2009, doc. web n. 1624734; Provv. 8 marzo 2007, doc. web n. 1390910).

Per quanto concerne, poi, l´individuazione del soggetto cui concretamente ricondurre la responsabilità del trattamento in questione, dalla documentazione acquisita emerge chiaramente che Transcom Worldwide S.p.a. si è obbligata a svolgere l´attività di recupero crediti attenendosi pedissequamente alle specifiche modalità elencate al punto 3 del contratto di appalto ("modalità di svolgimento del servizio") e "a quanto dedotto nel Manuale Operativo (…) fornito all´Appaltatore contestualmente al primo affidamento e sostituito/aggiornato per ogni tipo di prodotto o nuova procedura operativa"; l´appaltante, al contempo, si è riservato il potere di effettuare verifiche nei confronti della società appaltatrice e, in particolare, di "controllare e rivedere tramite personale incaricato, anche presso la sede dell´appaltatore, la gestione delle pratiche affidate, i controlli posti in essere dall´appaltatore a garanzia della correttezza operativa e le misure di sicurezza adottate" (punto 2 del contratto di appalto).

Alla luce di quanto appena rilevato, si ritiene che la valutazione congiuntamente effettuata al punto 10 del contratto d´appalto, secondo cui il ruolo di Transcom Worldwide S.p.a. sarebbe quello di autonomo e distinto "titolare del trattamento" rispetto a Santander Consumer Bank S.p.a., non sia conforme a quanto previsto dagli artt. 4, comma 1, lett. f) e g), 28 e 29 del Codice.

Infatti, benché l´esternalizzazione dei compiti connessi allo svolgimento dell´attività di recupero crediti (e del connesso trattamento di dati personali, finalizzati al contatto, anche telefonico, con i soggetti debitori) costituisca una libera scelta organizzativa di esclusiva pertinenza di Santander Consumer Bank S.p.a., affinché i connessi trattamenti di dati personali dei clienti risultino conformi alla disciplina sulla protezione dei dati personali è indispensabile procedere ad una attenta valutazione delle concrete attività svolte dall´appaltatore nella gestione del recupero crediti (a prescindere dal fatto che si tratti di soggetto interno o esterno), da effettuarsi anche sulla base dei compiti e delle responsabilità attribuiti mediante lo specifico contratto di servizio.

Infatti, come ripetutamente affermato dal Garante, "solo sulla base di tali criteri valutativi è possibile capire se l´appaltatore debba essere effettivamente considerato quale autonomo titolare" o non vada, invece, designato quale "responsabile" del trattamento ai sensi dell´art. 29 del Codice (cfr. Provv. 12 maggio 2011, doc web n. 1813953; Provv. 24 gennaio 2003, doc. web n. 1067875; Provv. 16 febbraio 2006, doc. web n. 1242592; in questo senso, v. anche il parere del Gruppo Art. 29 sulla protezione dei dati, n. 1/2010 -WP 169, del 16 febbraio 2010).

Nel caso in esame, la qualifica di "titolare del trattamento" deve essere ascritta solo in capo a Santander Consumer Bank S.p.a., risultando attribuito solo a quest´ultima il potere di assumere decisioni sulle finalità e modalità del trattamento svolto dalla società appaltatrice (vedi contratto del 5 gennaio 2012, in particolare, art. 3, art. 6 e 10), di impartire istruzioni e direttive vincolanti (art. 2 e 3) e di effettuare pregnanti controlli sull´operato della medesima (v. art. 2, comma 4), tanto da poter addirittura pretendere circostanziate relazioni in caso di diretta ricezione di reclami avverso condotte osservate dagli "operatori dell´Appaltatore".

Ciò vale ad escludere che in capo a Transcom Worldwide S.p.a. possa essere concretamente ravvisato, nei termini previsti dall´art. 4, comma 1, lett. f) del Codice, un ampio ed autonomo potere decisionale sugli aspetti fondamentali del trattamento dei dati dei debitori sottoposti a recupero crediti, sicché si deve concludere che quest´ultima, in realtà, abbia svolto, di fatto, il ruolo di "semplice" responsabile del trattamento.

Accertata nei termini di cui sopra l´effettiva realtà dei rapporti intercorrenti tra le due società, affinché il trattamento dei dati dei clienti sottoposti ad attività di recupero crediti risulti conforme alla disciplina sulla protezione dei dati personali si rende necessario, "in primis", che Santander Consumer Bank S.p.a., ai sensi dell´art. 4, comma 1, lett. g) e 29 del Codice, effettui una formale designazione della Transcom Worldwide S.p.a. quale "responsabile del trattamento".

Inoltre, tenuto conto del dovere di vigilanza che il legislatore impone al titolare del trattamento (art. 29, comma 5 del Codice), si ritiene di prescrivere a Santander Consumer Bank S.p.a. di verificare periodicamente le misure organizzative adottate da Transcom Worldwide S.p.a., al fine di garantire la costante e puntuale osservanza, da parte di quest´ultima e dei suoi incaricati del trattamento, delle specifiche istruzioni impartite dalla banca.

Infine, dalla lettura del testo dell´informativa (all. 9.) che la Santander Consumer Bank S.p.a. rende ai propri clienti ai sensi dell´art. 13 del D.lgs. 196/2003, emerge che la banca si riserva la possibilità di effettuare l´attività di recupero crediti "anche mediante comunicazioni telefoniche preregistrate senza intervento di un operatore".

Tale modalità di trattamento, però, se non accompagnata dall´adozione di specifici accorgimenti a tutela della riservatezza degli interessati, può risultare non conforme ai principi fissati dal Garante con il citato provvedimento generale del 30 novembre 2005, che considera illecito "il ricorso alle […] comunicazioni telefoniche preregistrate volte a sollecitare il pagamento" allorché "tale modalità di contatto"  risulti "suscettibile di rendere edotti soggetti diversi dal debitore della sua asserita condizione di inadempimento". Pertanto, l´Autorità si riserva di accertare, attraverso un autonomo procedimento, l´eventuale trattamento dei dati personali della clientela effettuato secondo le descritte modalità.

Per quanto concerne la richiesta di risarcimento danni avanzata dalla segnalante, la stessa va dichiarata inammissibile, trattandosi di profilo rispetto al quale la legge non ha attribuito a questa Autorità alcuna competenza.

TUTTO CIÒ PREMESSO, IL GARANTE,

acclarata l´illiceità del trattamento dei dati personali riferiti alla sig.ra XY, ai sensi degli artt. 143, comma 1, lett. b)  e 154, comma 1, lett. c) del Codice:

1) prescrive a Santander Consumer Bank S.p.a. di designare Transcom Worldwide S.p.a. quale responsabile del trattamento, ai sensi degli artt. 4, comma 1, lett. g) e 29 del Codice;

2) prescrive altresì a Santander Consumer Bank S.p.a. di verificare periodicamente le misure organizzative adottate da Transcom Worldwide S.p.a., al fine di garantire la costante e puntuale osservanza, da parte di quest´ultima e dei suoi incaricati del trattamento, delle specifiche istruzioni impartite dalla banca;

3) dichiara l´inammissibilità della richiesta di risarcimento danni avanzata dalla segnalante;

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 11 aprile 2013

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia