Garante per la protezione
    dei dati personali


Invio alla clientela di comunicazionitelefoniche preregistrate senza l'intervento di un operatore per finalità direcupero crediti

PROVVEDIMENTO DEL 10 OTTOBRE 2013

Registro dei provvedimenti
n. 445 del 10 ottobre 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

Nellariunione odierna, in presenza del dott. Antonello Soro Presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;

VISTOil Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n.196);

VISTOil provvedimento generale in tema di trattamento dei dati personali effettuatoin occasione dello svolgimento dell'attività di recupero crediti, emanato da questaAutorità il 30 novembre 2005;

VISTAla segnalazione presentata dal sig. XY nei confronti della Santander ConsumerBank S.p.a.;

ESAMINATAla documentazione in atti;

VISTEle osservazioni formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000;

RELATOREla dott.ssa Augusta Iannini;

PREMESSO

1. La segnalazione.
Con segnalazione indata 11 settembre 2012, il sig. XY, titolare di un contratto di finanziamentocon Santander Consumer Bank S.p.a., ha riferito che, nonostante il regolareversamento dei relativi ratei, sarebbe solito ricevere, "dopo qualchegiorno dalla scadenza e per i giorni a seguire e anche 3/4 volte algiorno", un "sollecito preregistrato" di pagamento, con uncontestuale invito a certificare l'avvenuto adempimento attraverso l'invio amezzo fax della relativa ricevuta.

Ciòpremesso, il segnalante ha sostenuto che tale prassi contrasterebbe con ilprovvedimento generale in tema di recupero crediti emesso dal Garante il 30novembre 2005, secondo cui non sarebbero accettabili condotte finalizzate alrecupero stragiudiziale dei crediti ove "caratterizzate da modalità diricerca e di presa di contatto invasive e, talora, lesive della riservatezza edella dignità personale", con conseguente illiceità di eventuali"comunicazioni telefoniche preregistrate volte a sollecitare il pagamento,realizzate senza l'intervento di un operatore, essendo tale modalità dicontatto suscettibile di rendere edotti soggetti diversi dal debitore della suaasserita condizione di inadempimento".

2. La posizione della società
Allaluce delle riferite circostanze, l'Ufficio ha avviato un'istruttoria volta aconoscere sia gli accorgimenti adottati da Santander Consumer Bank S.p.a. pergestire correttamente i dati personali dei clienti nell'attività di recuperocrediti, sia le modalità utilizzate nelle operazioni di presa contatto con ildebitore –anche mediante solleciti preregistrati− per evitare che iterzi (conoscenti, amici, familiari) possano prendere conoscenza dello stato diinadempimento del debitore.

Nelfornire riscontro Santander Consumer Bank S.p.a., in primo luogo, ha dichiaratodi svolgere una costante attività di controllo nei confronti degli operatori –internied esterni- impegnati nell'attività di recupero crediti; più specificamente, laBanca ha riferito che il controllo nei confronti dei propri dipendentiavverrebbe attraverso processi aziendali consolidati (che "vedonol'intervento del responsabile di funzione e della relativa struttura aziendalepreposta alla compliance normativa e regolamentare), mentre gli operatori dellesocietà esterne incaricate del recupero crediti sarebbero destinatari "diun corso di induction (informativo) circa i Prodotti/Servizi di Santander ecirca eventuali regole contenute nell'accordo tra le parti".

Inoltre,la Banca ha confermato di essere solita impiegare –e di aver impiegatoanche nel caso oggetto di segnalazione- lo strumento delle "telefonatepreregistrate", il quale sarebbe utilizzato "solo nei confronti diclienti che hanno scelto quale modalità di pagamento il bollettino postale esulla cui posizione vengano rilevati ritardi nel rimborso delle rate difinanziamento".

Secondola Banca, le suddette chiamate si sostanzierebbero "in un messaggio dipresentazione del chiamante in grado di fornire al destinatario dellacomunicazione, e solo previa sua espressa identificazione, la possibilità discegliere –tramite selezione numerica da digitare sulla tastieratelefonica− tra diverse opzioni"; pertanto, "nessunainformazione circa la posizione debitoria dell'interessato, né circa la naturadella telefonata [verrebbe] fornita nel corso del preliminare messaggiopreregistrato".

Diconseguenza vi sarebbe una fase "preliminare" in cui al soggetto cherisponde al telefono, previamente ammonito circa la rilevanza penale dellaviolazione di una comunicazione ad altri diretta, sarebbe offerta -attraversoun'apposita selezione da effettuare tramite la tastiera telefonica (c.d.tasti-funzione)- la possibilità di identificarsi, senza che in tale frangentela società fornisca alcun dato circa i mancati pagamenti. Soltanto nel caso incui colui che risponde abbia a "dichiarare" –mediante ladescritta selezione sulla tastiera- di essere l'effettivo destinatario dellacomunicazione (e quindi il debitore), lo stesso viene portato a conoscenzadelle informazioni relative al rapporto di finanziamento, con conseguentepossibilità per costui di riferire se il pagamento sia già stato effettuato ose sia in via di effettuazione, oppure, in caso di contatto successivo alprimo, di chiedere di conferire con un operatore.

Circala sequenza dei solleciti telefonici preregistrati, la Banca ha precisato (cfr.nota del 27 settembre 2012, inviata al segnalante) che le chiamate vengonoripetute "solo allorché il ricevitore non venga sollevato affatto o siaimmediatamente riagganciato, oppure se l'interlocutore non scelga alcuna delleopzioni proposte".

Infine,nell'evidenziare che le suddette telefonate "sono ordinariamenteinstradate su recapiti telefonici indicati dal cliente interessato al momentodella sottoscrizione del contratto o nel corso del rapporto", "contendenziale priorità all'utenza cellulare rispetto a quella fissa", labanca ha concluso ritenendo lecita tale modalità di trattamento dei dati deiclienti, in quanto, a suo dire, "per aversi una presa di conoscenza daparte di terzi del contenuto della chiamata, non solo il terzo deve poterdisporre dell'utenza telefonica indicata dal cliente della Banca, ma devealtresì deliberatamente scegliere – ponendo in essere una condottaillecita sanzionata per legge- di proseguire nell'ascolto del messaggio,nonostante esser stato debitamente e puntualmente avvisato circa l'illiceità diuna simile condotta". Quindi, a parere della Banca, tale modalità dicontatto non sarebbe "sussumibile all'interno della diversa tipologia diquelle stigmatizzate nel provvedimento del Garante del 30 novembre 2005,consistenti per contro in comunicazioni telefoniche preregistrate, realizzatesenza l'intervento di un operatore e generanti il rischio che terzi possanoprendere ingiustificatamente conoscenza dello stato di asserito indebitamentodell'interessato": infatti, le cautele implementate non determinerebberol'insorgenza di detto rischio, "salvo in caso di azione fraudolenta e dolosaposta in essere (in quanto previamente ammonito) da un soggetto terzo".

3. Il trattamento dei dati personali connessoall'impiego, da parte di colui che svolga attività di recupero crediti, ditelefonate "preregistrate" senza l'intervento di un operatore.

Conil provvedimento generale del 30 novembre 2005, l'Autorità, facendo applicazione dei  principidi liceità e correttezza posti dal Codice (art. 11, comma 1, lett. a), haaffermato che chiunque effettui un trattamento di dati personali nell'ambito diuna attività di recupero crediti debba astenersi dal "comunicareingiustificatamente a soggetti terzi rispetto al debitore (quali ad esempio,familiari, coabitanti, colleghi di lavoro o vicini di casa) informazionirelative alla condizione di inadempimento nella quale versal'interessato", avendo cura di evitare "nel tentativo di prenderecontatto con il medesimo (anche attraverso terzi) comportamenti suscettibili diincidere sulla sua dignità".

Proprioin ragione di ciò, l'Autorità ha espressamente considerato illecito il ricorsoa "comunicazioni telefoniche preregistrate volte a sollecitare ilpagamento, realizzate senza l'intervento di operatore, essendo tale modalità dicontatto suscettibile di rendere edotti soggetti diversi dal debitore della suaasserita condizione di inadempimento"; ciò, ovviamente, sempre che ilcreditore –o comunque, chi agisca per il recupero del credito- nonutilizzi un sistema tale da garantire la ragionevole certezza che il soggettocontattato telefonicamente sia effettivamente colui che abbia il diritto diavere conoscenza delle informazioni concernenti le vicende del rapporto difinanziamento (il debitore, oppure persona da lui autorizzata in tal senso).

SantanderConsumer Bank S.p.a., nonostante la stringente previsione contenuta nelprovvedimento generale del 2005, ha comunque inteso utilizzare, a fini direcupero crediti, comunicazioni telefoniche preregistrate senza intervento dioperatore (essendo prevista l'opportunità di avere un'interlocuzione con unoperatore solo in occasione dei contatti successivi al primo), tanto da rendereedotto il cliente di tale eventualità già nell'informativa resa ai sensidell'art. 13 del Codice.

Tuttociò premesso, si tratta di verificare se, nel caso di specie, il trattamentodei dati personali effettuato dalla Banca attraverso le descritte modalità dicomunicazione telefonica "preregistrata" possa considerarsi conformeai principi posti dal Codice e ulteriormente declinati dal Garante con ilprovvedimento generale del 2005.

Preliminarmentesi deve rilevare che, nel caso specifico, le comunicazioni preregistrate pressol'utenza telefonica del debitore, effettuate senza l'intervento di unoperatore, sono avvenute in occasione dello svolgimento dell'attività di c.d."phone collection", cui tutte le società che effettuano attività difinanziamento sono solite inizialmente ricorrere per ottenere il pagamento disomme non ancora versate alle rispettive scadenze. Ciò non toglie che anche intale fase, generalmente propedeutica all'instaurazione di una vera e propriaattività (stragiudiziale o giudiziale) volta al recupero del credito, sussisteil rischio di instaurare contatti anche con persone diverse dal debitore, conla conseguenza che il creditore è tenuto ad operare con estrema accortezza, inmodo tale da evitare che, anche involontariamente, possa determinarsi unacomunicazione di informazioni a soggetti estranei al rapporto obbligatorio o,comunque, a terzi a cui il debitore non abbia inteso far conoscere le vicendenegoziali.

Questo,in via generale, comporta che colui che intenda effettuare attività di recuperocrediti, dopo aver adempiuto agli obblighi di legge concernenti  ladesignazione dei responsabili e degli incaricati del trattamento, ilconferimento, in loro favore, delle relative istruzioni e l'attuazione dellemisure di sicurezza (artt. 31 e ss. del Codice), debba necessariamente dotarsi-soprattutto nel caso in cui intenda effettuare chiamate preregistrate inassenza di operatore telefonico- di accorgimenti tecnici tali da assicurare chela presa di conoscenza delle informazioni avvenga solo da parte di chi ne abbiail diritto (debitore o persone da lui autorizzate).

Nelcaso di specie, il sistema predisposto da Santander Consumer Bank S.p.a.,accuratamente descritto nella memoria difensiva, non risulta fornire alcunagaranzia in tal senso.

Infatti,detto sistema, lungi dall'assicurare la certezza non solo dell'identità dicolui che risponde alla chiamata, ma anche del suo diritto di venire aconoscenza delle informazioni inerenti la posizione debitoria, si limitasoltanto a rimettere all'interlocutore la facoltà di effettuare "unadichiarazione espressa di identificazione".

E'del tutto evidente che, in realtà, a differenza di quanto sostenuto dallaBanca, non viene in essere alcuna "fase di accertamento dell'identità delsoggetto legittimato ad avere conoscenza di detta comunicazione" (vedipunto 2.1 della memoria datata 25 marzo 2013), ma si verifica soltantoun'evidente violazione, da parte del titolare del trattamento, dell'obbligo diaccertare la titolarità del diritto a conoscere le vicende del rapporto, laquale non può essere emendata dalla sola attribuzione al chiamato -nonidentificato- della possibilità di rendere un'inverificabile dichiarazioned'identità. Il fatto, poi, che l'interlocutore venga previamente ammonito"sulla circostanza che il contenuto della chiamata è protetto dalla legge,coperto da riservatezza e che la sua apprensione ingiustificata costituiscereato" è circostanza del tutto inconferente, in quanto, se da un lato puòingenerare un "metus" nei confronti del destinatario, dall'altro -perle ragioni appena espresse- non vale ad escludere che un terzo, anche per meracuriosità, possa venire a conoscenza di informazioni che non avrebbe titolo aconoscere.

Diversa,invece, sarebbe la valutazione allorché la Banca, in sede di conclusione delcontratto, fornisse al proprio cliente un codice identificativo personale(eventualmente corrispondente al codice identificativo del contratto), dadigitare sull'apparecchio telefonico per poter ascoltare eventualicomunicazioni preregistrate a lui dirette; infatti, tale accorgimento, pur nonconsentendo di avere la certezza dell'identità dell'interlocutore, risolvendosiin una forma di "autenticazione" sarebbe comunque in grado di fornirela ragionevole certezza del diritto di costui di venire a conoscenza delleinformazioni che si intendono comunicare, dovendosi presumere chel'utilizzatore di tale codice sia il contraente/debitore o, comunque, altrosoggetto dal medesimo autorizzato a prendere conoscenza della sua condizione diinadempimento (attraverso la preventiva comunicazione in suo favore, da partedel debitore, del codice identificativo d'accesso).

5. Conclusioni
Tanto premesso, poiché ilsistema attualmente utilizzato da Santander Consumer Bank S.p.a. a fini direcupero crediti, per le suindicate ragioni, non è in grado di assicurare chele informazioni veicolate attraverso le comunicazioni telefoniche preregistratesiano effettivamente ricevute da chi ne abbia il diritto (debitore o soggettida costui autorizzati), il trattamento di dati personali della clientelaconnesso all'invio di siffatte comunicazioni dev'essere considerato illecito,perché in contrasto non solo con i principi posti dalla disciplina sullaprotezione dei dati personali, ma anche con le specifiche prescrizioniimpartite dal Garante con il provvedimento generale del 2005; ne consegue che,ai sensi dell'art. 154, comma 1, lett. d) del Codice, dev'essere disposto ildivieto per la Banca di procedere all'ulteriore trattamento dei dati personali.A tale proposito si  ricorda che, ai sensi dell'art. 170 del Codice,chiunque essendovi tenuto non osserva il presente provvedimento di divieto èpunito con la reclusione da tre mesi a due anni e che ai sensi dell'art. 162,comma 2-ter, del Codice, in caso di inosservanza del medesimo provvedimento, èaltresì applicata in sede amministrativa, in ogni caso, la sanzione delpagamento di una somma da trentamila a centottantamila euro.

L'odiernoprovvedimento di divieto non esclude che Santander Consumer Bank S.p.a., infuturo, possa utilizzare, a fini di recupero crediti, un sistema basato susolleciti di pagamento preregistrati, purché la Banca adotti idoneiaccorgimenti tecnici –basati anche su forme di autenticazione- tali daassicurare la ragionevole certezza che la presa di conoscenza delleinformazioni oggetto di comunicazione avvenga soltanto da parte di chi viaabbia effettivamente diritto (il debitore o terzi da lui autorizzati).

TUTTO CIO' PREMESSO, IL GARANTE,

a) aisensi dell'art. 154, comma 1, lett. d) del Codice, dichiara l'illiceità deltrattamento dei dati personali effettuato da Santander Consumer Bank S.p.a. inoccasione dell'invio alla clientela, per finalità di recupero crediti, dicomunicazioni telefoniche preregistrate senza l'intervento di un operatore; perl'effetto, vieta a Santander Bank S.p.A. l'ulteriore trattamento dei datipersonali connesso all'effettuazione di siffatte comunicazioni;

b) aisensi dell'art. 154, comma 1, lett. c) del Codice, prescrive a SantanderConsumer Bank S.p.a. -ove la stessa intenda continuare ad avvalersi di taliforme di comunicazione- di adottare idonei accorgimenti tecnici, basati anchesu forme di autenticazione, tali da assicurare la ragionevole certezza che lapresa di conoscenza delle informazioni oggetto di comunicazione avvengasoltanto da parte di chi via abbia effettivamente diritto (il debitore o terzida lui autorizzati) secondo quanto indicato in motivazione.

Aisensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presenteprovvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 10 ottobre 2013

Il presidente
Soro

Il relatore
Iannini

Il segretario generale
Busia