Ordinanza ingiunzione nei confronti di Findomestic Banca spa - 7 aprile...
Ordinanza ingiunzione nei confronti di Findomestic Banca spa - 7 aprile 2022 [9771122]
Condividi
VEDI NEWSLETTER DEL 19 MAGGIO 2022
[doc. web n. 9771122]
Ordinanza ingiunzione nei confronti di Findomestic Banca spa - 7 aprile 2022
Registro dei provvedimenti
n. 122 del 7 aprile 2022
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;
VISTO il reclamo presentato al Garante ai sensi dell’articolo 77 del Regolamento in data 23 aprile 2021, con il quale il Sig. XX ha lamentato una presunta violazione del Regolamento da parte di Findomestic Banca spa;
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il prof. Pasquale Stanzione;
PREMESSO
1. L’avvio del procedimento.
Con il reclamo presentato a questa Autorità in data 23 aprile 2021, il sig. XX, titolare di tre posizioni debitorie nei confronti di Findomestic Banca spa (di seguito “la Società”), lamentava una presunta violazione del Regolamento da parte della Società che, al fine di tutelare i propri interessi creditori, avrebbe contattato più volte la sig.ra XX (coniuge del reclamante e garante per un singolo rapporto di finanziamento intestato al sig. XX) in relazione a un altro finanziamento per il quale, invece, il reclamante risulta essere l’unico obbligato.
Con la comunicazione del 23 settembre 2021, l’Ufficio invitava la Società a fornire osservazioni in ordine a quanto rappresentato dal reclamante.
La Società, nella nota di riscontro del 25 ottobre 2021, dichiarava, tra l’altro, che “dalle nostre evidenze non ci risulta che, nel corso dei contatti telefonici con la Signora XX, si siano verificate eventuali violazioni della suddetta normativa, fatta eccezione per l’invio di sms, contenenti informazioni riferibili allo stato dei pagamenti delle pratiche intestate al solo Signor XX; tali messaggi sono stati inviati esclusivamente nelle date del 13.10.2020 e del 19.10.2020 al numero telefonico della Signora XX che, per un mero disguido interno, era stato inserito tra i recapiti utili del cliente.
Spiacenti per l’accaduto, si precisa che gli operatori che hanno utilizzato il recapito in questione non sono più dipendenti Findomestic e che, in ogni caso, è già stato effettuato un intervento formativo rivolto alle strutture coinvolte, al fine di sensibilizzarle in merito all’utilizzo dei contatti riferiti a un cliente in ritardo nei pagamenti”.
In relazione a queste risultanze, l’Ufficio provvedeva a notificare alla Società l’atto di avvio del procedimento sanzionatorio, ai sensi dell’art. 166, comma 5, del Codice in relazione alla violazione dell’art. 5, par. 1, lett. a) e c) del Regolamento (nota del 7 gennaio 2022). Secondo le richiamate disposizioni del Regolamento, il trattamento di dati personali deve avvenire nel rispetto dei principi di “liceità, correttezza e trasparenza” nonché di “minimizzazione”; i medesimi principi sono alla base del provvedimento generale “Liceità, correttezza e pertinenza nell'attività di recupero crediti” del 30 novembre 2005 con cui il Garante ha prescritto agli operatori del settore le misure necessarie ed opportune a rendere il trattamento conforme alla normativa in materia di protezione dei dati personali.
In data 18 febbraio 2022 la Società inviava la propria memoria difensiva, ai sensi dell’art.18 della legge n. 689/1981 con cui forniva ulteriori informazioni e precisazioni sui fatti oggetto della vicenda: “Come già rappresentato a codesta Autorità, solo con riferimento a uno dei finanziamenti richiesti il Reclamante si è obbligato, nei confronti della Società unitamente alla coniuge, sig.ra XX (di seguito, per brevità, la “Sig.ra XX” o la “Garante”, la Sig.ra XX e il Sig. XX, congiuntamente, gli “Interessati”), che interveniva nel contratto in qualità di garante del credito. Tuttavia, il Reclamante, che risultava – e risulta tutt’oggi- inadempiente rispetto a due delle tre posizioni (cfr. pag. 1 del Riscontro) – dal settembre 2020 si rendeva irreperibile ai numeri telefonici forniti a Findomestic, impedendo così alla Società di effettuare un recupero, per così dire, amichevole del credito vantato. Infatti, la Società, nonostante l’inadempimento del Sig. XX, prima, e l’irreperibilità dello stesso, dopo, ha ritenuto di non attivare i rimedi giudiziari per la tutela del proprio credito e, in un’ottica di protezione e salvaguardia della propria clientela, ha tentato ulteriori vie di contatto con il Reclamante, attraverso metodi, sia consentito evidenziarlo, tutt’altro che invasivi. In tale contesto si inseriscono i contatti telefonici lamentati dalla Sig.ra XX, nell’ambito dei quali, diversamente da quanto paventato dalla stessa, nessun riferimento è stato effettuato in merito ai finanziamenti attivati dal Sig. XX e alle relative posizioni debitorie (vedi infra, par. III).
A valle dei contatti suesposti, a seguito degli approfondimenti ed analisi effettuate, risulta che il soggetto incaricato della pratica del Reclamante ha, per un mero errore materiale, inserito il numero della Sig.ra XX come recapito principale da contattare per la riscossione del credito. Tale accidentale circostanza ha fatto sì che, alla luce delle impostazioni del sistema utilizzato da Findomestic, i messaggi di norma volti a ricordare al cliente la scadenza del pagamento fossero inviati alla Garante… Alla luce di quanto suesposto, appare chiaro che i contatti lamentati dagli interessati – lungi dall’essere frutto di una condotta sistematica della Società – sono scaturiti da un unico errore di tipo umano (ossia, l’inserimento del numero della Sig.ra XX quale contatto principale sul sistema GE.CO.) che ha tuttavia causato l’invio delle due comunicazioni via SMS lamentate dagli interessati.
A seguito dei summenzionati contatti, come noto all’Autorità, la Sig.ra XX faceva pervenire a Findomestic un reclamo il 13 ottobre 2020 (cfr. All. 1), contestualmente al ricevimento della prima comunicazione, che la Società ha prontamente gestito e rispetto al quale ha fornito riscontro già il successivo 21 ottobre (cfr. All. 2), nel pieno rispetto dei tempi imposti dal Regolamento per rispondere alle richieste degli interessati. Medio tempore, tuttavia, una successiva comunicazione veniva inoltrata il 19 ottobre alla Sig.ra XX, posto che, in quel momento, la pratica di gestione del reclamo era ancora in lavorazione presso la competente funzione aziendale. La Società provvedeva tempestivamente all’eliminazione del dato personale (il numero di utenza mobile di titolarità della Sig.ra XX) dalla pratica summenzionata, la quale, difatti, non riceveva successivamente ulteriori contatti da parte di Findomestic.”
2. L’esito dell’istruttoria.
All’esito dell’esame della documentazione prodotta e delle dichiarazioni rese dalla parte nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice, è emerso che la Società ha inviato a un soggetto terzo messaggi contenenti informazioni inerenti alla situazione debitoria dell’interessato.
Nella trattazione del caso rileva che, con il provvedimento generale del 30 novembre 2005, il Garante ha disposto che “chiunque effettui un trattamento di dati personali nell´ambito dell´attività di recupero crediti deve osservare il principio di liceità nel trattamento: tale precetto è violato dal comportamento (attuato da taluni operatori economici) consistente nel comunicare ingiustificatamente a soggetti terzi rispetto al debitore (quali, ad esempio, familiari, coabitanti, colleghi di lavoro o vicini di casa), informazioni relative alla condizione di inadempimento nella quale versa l´interessato (comportamento talora tenuto per esercitare indebite pressioni sul debitore al fine di conseguire il pagamento della somma dovuta)”.
Il trattamento di dati personali posto in essere dalla Società nel caso di specie risulta dunque illecito poiché effettuato in maniera non conforme ai principi di “liceità, correttezza e trasparenza”, nonché di “minimizzazione” dei dati, in violazione dell’art. 5, par. 1, lett. a) e c) del Regolamento.
3. Adozione dell’ordinanza ingiunzione (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).
La violazione dell’artt. 5, par. 1, lett. a) e c) “è soggetta a sanzioni amministrative pecuniarie fino a 20.000.000 euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore” (art. 83, par. 5, lett. a) del Regolamento).
Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che le sanzioni devono “in ogni caso [essere] effettive, proporzionate e dissuasive” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:
a) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare, è stata presa in considerazione la condotta della Società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati, rispetto alla quale, sin dal 2005, il Garante ha fornito chiare indicazioni alle banche;
b) l’assenza di precedenti specifici a carico della Società e della circostanza che si tratta di un reclamo isolato, che la comunicazione di dati è stata effettuata nei confronti del garante di un rapporto di finanziamento ed ha riguardato un solo interessato;
c) la decisione della Società di cancellare il numero di utenza mobile della sig.ra XX dalla pratica relativa al finanziamento intestato al reclamante.
Si ritiene inoltre che assumano rilevanza, nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), le condizioni economiche del contravventore, determinate con riferimento al bilancio di esercizio per l’anno 2020.
Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare, nei confronti della Società, la sanzione amministrativa del pagamento di una somma pari ad euro 10.000 (diecimila).
In considerazione della natura e della gravità della violazione accertata, si ritiene, altresì, di disporre, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito Internet del Garante.
Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
TUTTO CIÒ PREMESSO, IL GARANTE
rileva l’illiceità del trattamento effettuato da Findomestic Banca spa, con sede in Firenze, Via Jacopo da Diacceto 48, nei termini di cui in motivazione, ai sensi dell’art. 143 del Codice, per la violazione dell’art. 5, par. 1, lett. a) e c) del Regolamento;
ORDINA
ai sensi dell’art. 58, par. 2, lett. i), del Regolamento a Findomestic Banca spa, di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per la violazione dell’art. 5, par. 1, lett. a) e c) del Regolamento;
INGIUNGE
quindi, alla medesima Società di pagare la predetta somma di euro 10.000,00 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);
DISPONE
la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019, e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019.
Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Roma, 7 aprile 2022
IL PRESIDENTE
Stanzione
IL RELATORE
Stanzione
IL SEGRETARIO GENERALE
Mattei
