Garante per la protezione
    dei dati personali


Comunicazione a terzi di informazionirelative ad un rapporto di finanziamento

PROVVEDIMENTO DEL 11 APRILE 2013

Registro dei provvedimenti
n. 181 dell'11 aprile 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

Nellariunione odierna, in presenza del dott. Antonello Soro Presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;

Vistoil Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n.196, di seguito "Codice");

VISTAla segnalazione presentata dalla sig.ra XY nei confronti della SantanderConsumer Bank S.p.a.;

VISTAla comunicazione della Santander Consumer Bank S.p.a. del  19 novembre2012;

ESAMINATAla documentazione in atti;

VISTEle osservazioni formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000;

RELATOREla dott.ssa Giovanna Bianchi Clerici;

PREMESSO

1. La segnalazione.

1.1.Con segnalazione del 29 giugno 2012, la sig.ra XY ha lamentato l'indebitacomunicazione a terzi –segnatamente, al proprio figlio ed alla nuora- diinformazioni relative ad un rapporto di finanziamento in corso tra lei eSantander Consumer Bank S.p.a..

Inparticolare, la segnalante ha riferito che il 30 aprile 2012, poco prima diessere sottoposta ad un intervento chirurgico, aveva affidato il telefonocellulare al proprio figlio, il quale si trovava presso la clinica ove lei eraricoverata; poco dopo, nel corso dell'intervento, una "operatrice dellaBanca Santander", nel tentativo di contattarla sulla sua utenza mobile perinvitarla a pagare alcuni ratei scaduti concernenti il suddetto finanziamento,aveva interloquito con suo figlio e, pur prendendo atto della riferitaimpossibilità dell'interessata a rispondere, aveva comunque ritenuto dimetterlo a conoscenza della situazione debitoria di costei, indicandone l'entitàe pretendendo, al contempo, "risposte immediate".

Successivamente,nei giorni 3 e 4 maggio 2012, mentre la XY era ancora ricoverata, la stessaoperatrice aveva effettuato altre due chiamate all'utenza telefonicadell'abitazione di costei, le quali erano state ricevute, rispettivamente,dalla nuora –che così era stata anch'essa portata a conoscenza dellavicenda- e dal figlio della segnalante.

Ritenendoil comportamento osservato da Santander Consumer Bank S.p.a. in contrasto con iprincipi di protezione dei dati personali, la segnalante si è rivolta alGarante, chiedendo la declaratoria d'illiceità del trattamento dei suoi datipersonali e il risarcimento del danno.

Nelcorso dell'istruttoria, la XY ha comunicato nuove circostanze, riferendo diulteriori telefonate che la banca avrebbe effettuato presso il suo posto dilavoro, al fine di poter acquisire dai suoi colleghi informazioni riguardo aisuoi turni lavorativi e ad ulteriori recapiti presso cui contattarla.

2. Le dichiarazioni della società

Indata 16 ottobre 2012 l'ufficio ha inviato una specifica richiesta istruttoriaper acquisire informazioni sul caso di specie e, più in generale, sugliaccorgimenti adottati da Santander Consumer Bank S.p.a. –anche alla lucedelle regole poste dal Garante con il provvedimento generale del 30 novembre 2005- per gestire correttamente i dati personali deiclienti nell'attività di recupero crediti.

Insede di riscontro, Santander Consumer Bank S.p.a. ha confermato che,effettivamente, in data 30 aprile 2012, una dipendente di Transcom WorldwideS.p.a. –società incaricata dalla banca di procedere al recupero delcredito- aveva tentato di contattare l'interessata presso un'utenza telefonicada lei originariamente indicata; alla telefonata, però, aveva risposto il figliodella debitrice, il quale, pur riferendo che la madre "si trovava inospedale", aveva mostrato "di essere a conoscenza delfinanziamento", con la conseguenza che l'operatore, nel reputare checostui fosse stato incaricato di ricevere messaggi per conto della madre, loaveva ritenuto anche "autorizzato [] a ricevere le informazioni relativeal finanziamento" stesso.

Inoltre,la società, pur dichiarando di non aver rinvenuto alcuna traccia dellatelefonata asseritamente ricevuta dalla nuora della segnalante in data 3 maggio2012 (cfr. nota del 19 novembre 2012 p. 2), ha confermato che il 4 maggio 2012era stato effettuato un nuovo tentativo di contatto telefonico con la sig.raXY; anche in tale occasione alla telefonata aveva risposto il figlio, al quale,"sulla scorta del precedente colloquio, l'operatore della società direcupero" aveva giudicato "legittimo riferire della richiesta dipagamento".

Infine,è stato precisato che Transcom Worldwide S.p.a., società cui la banca affidauna parte del recupero crediti, nello svolgimento della sua attività è tenuta aconformarsi a quanto pattuito in "appositi contratti che determinano anchel'ambito delle attività che [si]  possono compiere nei confronti deiclienti di Santander"; a tal fine, la banca ha prodotto copia delcontratto concluso con la predetta società (cfr. all. n. 4 alla nota diriscontro), il quale, nel fissare le regole per la gestione del servizio direcupero crediti stragiudiziale, ha previsto che l'appaltatore si impegni atrattare i dati personali relativi alla clientela dell'appaltante "inqualità di autonomo titolare del trattamento, nell'osservanza del decretolegislativo del 30 giugno 2003, n. 196" [] garantendo, fra l'altro, cheil trattamento di tali dati avvenga "esclusivamente nei limiti dellefinalità connesse all'esecuzione" del contratto stesso.

Nelcorso dell'istruttoria, la segnalante ha richiamato le circostanze giàevidenziate, ribadendo, in particolare, che suo figlio e sua nuora, prima diricevere le telefonate in questione, erano sempre stati all'oscurodell'esistenza del rapporto di finanziamento (cfr. nota datata 28 novembre2012).

3. Le valutazioni sul trattamento dei dati personalidei clienti.

Invia generale, l'Autorità ha avuto modo di affermare che chiunque effettui untrattamento di dati personali nell'ambito di una attività di recupero crediti,in ossequio ai principi di liceità e correttezza (art. 11, comma 1, lett. a)del Codice), debba astenersi dal "comunicare ingiustificatamente asoggetti terzi rispetto al debitore (quali ad esempio, familiari, coabitanti,colleghi di lavoro o vicini di casa) informazioni relative alla condizione diinadempimento nella quale versa l'interessato", avendo cura di evitare"nel tentativo di prendere contatto con il medesimo (anche attraversoterzi) comportamenti suscettibili di incidere sulla sua dignità" (v.Provv. 30 novembre 2005).

SantanderConsumer Bank S.p.a., nell'illustrare la propria struttura organizzativariguardo al recupero crediti, ha dichiarato  che, "a seconda dellecaratteristiche assunte dalla condizione di inadempimento del cliente", puòdecidere di avvalersi, oltre che dei propri dipendenti, anche "di societàesterne specializzate"; in tal caso, la banca stipula appositi accordi condette società, nei quali, oltre ad essere contenuto un richiamo al doverosorispetto della normativa in materia di protezione dati e dei principi fissatidal Garante con il provvedimento generale del 2005, viene incluso anche iltesto di un "codice deontologico" interno, cui il"recuperatore" deve necessariamente attenersi, pena la risoluzionedel rapporto contrattuale.

Inoltre,la banca ha anche riferito che ogni cliente, sin dalla negoziazione delfinanziamento, viene informato del fatto che, in caso di inadempimento, i suoidati personali potrebbero essere utilizzati per finalità di recupero crediti e,quindi, comunicati a "società di factoring e/o di recupero crediti, il cuielenco è disponibile presso Santander o le sue filiali".

Tuttociò premesso, si tratta di verificare se, nel caso di specie, i principi postidal Codice e ulteriormente declinati dal Garante con il provvedimento del 2005,lungi dall'essere solo richiamati all'interno dei testi contrattuali, sianostati anche concretamente osservati.

Preliminarmente,si rileva che buona parte dei fatti riferiti dalla segnalante non solo non sonostati contestati da Santander Consumer Bank S.p.a., ma addiritturasostanzialmente ammessi.

Pertanto,può ritenersi provato che, nei giorni 30 aprile e 4 maggio 2012, un'operatricedi Transcom Worldwide S.p.a., società incaricata di procedere al recupero deiratei non versati dalla XY, nel tentativo di contattare quest'ultima, abbiaeffettivamente interloquito con il figlio di costei, rendendolo quantomenoedotto –seppur in carenza di consenso dell'interessata- dell'esistenza dialcuni ratei di un finanziamento non pagati e del loro  complessivoammontare.

Acclaratoquanto sopra, questa Autorità rileva che vari aspetti della vicenda risultanoin palese contrasto con i principi posti dalla disciplina sulla protezione deidati personali.

Perquanto riguarda l'attività svolta da Transcom Worldwide S.p.a., non si ritieneammissibile che ad un operatore venga attribuita la facoltà di modificarediscrezionalmente, sulla base di propri convincimenti personali ("aparere") legati al caso di specie, le modalità operative che debbonoessere seguite in caso di contatto instaurato –seppur presso un'utenzatelefonica indicata dal cliente- con persona diversa dal debitore.

Infatti,il servizio di "phone collection", cui si è soliti ricorrerenell'esercizio dell'attività di recupero crediti, comportando il costanterischio di instaurare contatti anche con persone diverse dal debitore, deveessere svolto con estrema accortezza, sì da evitare che possa determinarsi unacomunicazione di informazioni in favore di soggetti estranei al rapportoobbligatorio; non è un caso, infatti, che anche il contratto intercorso traSantander Consumer Bank S.p.a. e Transcom Worldwide S.p.a. abbia previstol'obbligo di quest'ultima di rispettare –tra l'altro- le norme poste dald.lg. n. 196/2003 e le prescrizioni impartite dal Garante con il provvedimentodel 30 novembre 2005 ("con speciale attenzione a quanto statuito nei punti2, 3 e 4 del Provvedimento medesimo" – vedi punto 10 del contratto),nonché quanto stabilito dal "Manuale operativo" fornito dall'appaltantee dal "Codice deontologico" allegato al contratto stesso, il quale,alla lettera b), pone espressamente a carico dell'appaltatore l'obbligo di"trattare la vertenza sempre con il titolare, con il legale rappresentanteo con il garante e comunque prendere sempre nota della persona con cui si èparlato".

Nelcaso in questione, invece, è stato appurato che l'operatrice della societàincaricata di procedere al recupero dei ratei scaduti, nonostante avesse lacertezza di non essere entrata in contatto con la debitrice -e pur non avendoalcuna prova circa l'avvenuto conferimento, da parte di costei, di un potere dirappresentanza in favore del proprio figlio (il quale, peraltro, non aveva maiassunto alcun ruolo di garanzia all'atto dell'instaurazione del rapportoobbligatorio)-, anziché attendere prudentemente un altro momento perinterloquire con l'interessata, ha discrezionalmente ritenuto chel'interlocutore telefonico fosse a conoscenza del finanziamento in essere,giungendo a comunicare ad un terzo anche le intervenute vicende patologiche delrapporto obbligatorio. Ciò, ovviamente, è del tutto in contrasto sia con leregole poste dal Codice e dall'Autorità garante, sia con gli obblighicontrattualmente assunti con la banca, con la conseguenza che il trattamentodei dati personali della XY va dichiarato illecito perché in contrasto con gliartt.2 (in riferimento al rispetto della dignità dell'interessato), 11 e 23 delCodice (cfr. Provv. 28 maggio 2009; Provv. 8 marzo 2007).

Perquanto concerne, poi, l'individuazione del soggetto cui concretamentericondurre la responsabilità del trattamento in questione, dalla documentazioneacquisita emerge chiaramente che Transcom Worldwide S.p.a. si è obbligata asvolgere l'attività di recupero crediti attenendosi pedissequamente allespecifiche modalità elencate al punto 3 del contratto di appalto ("modalitàdi svolgimento del servizio") e "a quanto dedotto nel ManualeOperativo () fornito all'Appaltatore contestualmente al primo affidamento esostituito/aggiornato per ogni tipo di prodotto o nuova proceduraoperativa"; l'appaltante, al contempo, si è riservato il potere dieffettuare verifiche nei confronti della società appaltatrice e, inparticolare, di "controllare e rivedere tramite personale incaricato,anche presso la sede dell'appaltatore, la gestione delle pratiche affidate, icontrolli posti in essere dall'appaltatore a garanzia della correttezzaoperativa e le misure di sicurezza adottate" (punto 2 del contratto diappalto).

Allaluce di quanto appena rilevato, si ritiene che la valutazione congiuntamenteeffettuata al punto 10 del contratto d'appalto, secondo cui il ruolo diTranscom Worldwide S.p.a. sarebbe quello di autonomo e distinto "titolaredel trattamento" rispetto a Santander Consumer Bank S.p.a., non siaconforme a quanto previsto dagli artt. 4, comma 1, lett. f) e g), 28 e 29 delCodice.

Infatti,benché l'esternalizzazione dei compiti connessi allo svolgimento dell'attivitàdi recupero crediti (e del connesso trattamento di dati personali, finalizzatial contatto, anche telefonico, con i soggetti debitori) costituisca una liberascelta organizzativa di esclusiva pertinenza di Santander Consumer Bank S.p.a.,affinché i connessi trattamenti di dati personali dei clienti risultinoconformi alla disciplina sulla protezione dei dati personali è indispensabileprocedere ad una attenta valutazione delle concrete attività svoltedall'appaltatore nella gestione del recupero crediti (a prescindere dal fattoche si tratti di soggetto interno o esterno), da effettuarsi anche sulla basedei compiti e delle responsabilità attribuiti mediante lo specifico contrattodi servizio.

Infatti,come ripetutamente affermato dal Garante, "solo sulla base di tali criterivalutativi è possibile capire se l'appaltatore debba essere effettivamenteconsiderato quale autonomo titolare" o non vada, invece, designato quale"responsabile" del trattamento ai sensi dell'art. 29 del Codice (cfr.Provv. 12 maggio 2011; Provv. 24 gennaio 2003; Provv. 16 febbraio 2006; in questo senso, v. anche il parere del Gruppo Art.29 sulla protezione dei dati, n. 1/2010 -WP 169, del 16 febbraio 2010).

Nelcaso in esame, la qualifica di "titolare del trattamento" deve essereascritta solo in capo a Santander Consumer Bank S.p.a., risultando attribuitosolo a quest'ultima il potere di assumere decisioni sulle finalità e modalitàdel trattamento svolto dalla società appaltatrice (vedi contratto del 5 gennaio2012, in particolare, art. 3, art. 6 e 10), di impartire istruzioni e direttivevincolanti (art. 2 e 3) e di effettuare pregnanti controlli sull'operato dellamedesima (v. art. 2, comma 4), tanto da poter addirittura pretenderecircostanziate relazioni in caso di diretta ricezione di reclami avversocondotte osservate dagli "operatori dell'Appaltatore".

Ciòvale ad escludere che in capo a Transcom Worldwide S.p.a. possa essereconcretamente ravvisato, nei termini previsti dall'art. 4, comma 1, lett. f)del Codice, un ampio ed autonomo potere decisionale sugli aspetti fondamentalidel trattamento dei dati dei debitori sottoposti a recupero crediti, sicché sideve concludere che quest'ultima, in realtà, abbia svolto, di fatto, il ruolodi "semplice" responsabile del trattamento.

Accertatanei termini di cui sopra l'effettiva realtà dei rapporti intercorrenti tra ledue società, affinché il trattamento dei dati dei clienti sottoposti ad attivitàdi recupero crediti risulti conforme alla disciplina sulla protezione dei datipersonali si rende necessario, "in primis", che Santander ConsumerBank S.p.a., ai sensi dell'art. 4, comma 1, lett. g) e 29 del Codice, effettuiuna formale designazione della Transcom Worldwide S.p.a. quale"responsabile del trattamento".

Inoltre,tenuto conto del dovere di vigilanza che il legislatore impone al titolare deltrattamento (art. 29, comma 5 del Codice), si ritiene di prescrivere aSantander Consumer Bank S.p.a. di verificare periodicamente le misureorganizzative adottate da Transcom Worldwide S.p.a., al fine di garantire lacostante e puntuale osservanza, da parte di quest'ultima e dei suoi incaricatidel trattamento, delle specifiche istruzioni impartite dalla banca.

Infine,dalla lettura del testo dell'informativa (all. 9.) che la Santander ConsumerBank S.p.a. rende ai propri clienti ai sensi dell'art. 13 del D.lgs. 196/2003,emerge che la banca si riserva la possibilità di effettuare l'attività direcupero crediti "anche mediante comunicazioni telefoniche preregistratesenza intervento di un operatore".

Talemodalità di trattamento, però, se non accompagnata dall'adozione di specificiaccorgimenti a tutela della riservatezza degli interessati, può risultare nonconforme ai principi fissati dal Garante con il citato provvedimento generaledel 30 novembre 2005, che considera illecito "il ricorso alle []comunicazioni telefoniche preregistrate volte a sollecitare il pagamento"allorché "tale modalità di contatto"  risulti "suscettibiledi rendere edotti soggetti diversi dal debitore della sua asserita condizionedi inadempimento". Pertanto, l'Autorità si riserva di accertare,attraverso un autonomo procedimento, l'eventuale trattamento dei dati personalidella clientela effettuato secondo le descritte modalità.

Perquanto concerne la richiesta di risarcimento danni avanzata dalla segnalante,la stessa va dichiarata inammissibile, trattandosi di profilo rispetto al qualela legge non ha attribuito a questa Autorità alcuna competenza.

TUTTO CIO' PREMESSO, IL GARANTE,

acclaratal'illiceità del trattamento dei dati personali riferiti alla sig.ra XY, aisensi degli artt. 143, comma 1, lett. b)  e 154, comma 1, lett. c) delCodice:

1)prescrive a Santander Consumer Bank S.p.a. di designare Transcom WorldwideS.p.a. quale responsabile del trattamento, ai sensi degli artt. 4, comma 1,lett. g) e 29 del Codice;

2)prescrive altresì a Santander Consumer Bank S.p.a. di verificare periodicamentele misure organizzative adottate da Transcom Worldwide S.p.a., al fine digarantire la costante e puntuale osservanza, da parte di quest'ultima e deisuoi incaricati del trattamento, delle specifiche istruzioni impartite dallabanca;

3)dichiara l'inammissibilità della richiesta di risarcimento danni avanzata dallasegnalante;

Aisensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 11 aprile 2013

Il presidente
Soro

Il relatore
Bianchi Clerici

Il segretario generale
Busia