Recupero crediti e privacy dei debitori sul trattamento dati
Professionisti
29 Lug 2016
 
L'autore
Edizioni Simone
 


Leggi tutti gli articoli dell'autore
 

Recupero crediti e privacy dei debitori sul trattamento dati

Cos’è l’informatica sulla privacy? Come avviene il trattamento dei dati personali? Il debitore ha diritto di accesso ai dati trattati? La notificazione.

 

 

 

Cos’è l’informatica sulla privacy?

L’informativa sula privacy è il mezzo attraverso il quale si realizza la trasparenza del trattamento.

 

L’informativa sulla privacy, orale (ma in questo caso deve essere documentata per iscritto) o scritta, deve essere idonea a rendere edotto l’interessato della identità del titolare del trattamento e della sua organizzazione, delle caratteristiche del trattamento e dei diritti attribuiti dal Codice della privacy, nonché delle modalità e finalità del trattamento e dei diritti attribuiti dall’art. 7 del Codice della privacy. Solo sulla base di una corretta informativa si può acquisire un idoneo consenso da

parte dell’interessato.

Il creditore deve dare al debitore l’informativa sulla privacy al momento della conclusione del contratto da cui sorge il credito ed è quella, secondo il provvedimento del Garante del 30 novembre 2005, la sede in cui si deve informare della possibilità di comunicazione dei dati all’ente o professionista per il recupero crediti.

Se i dati del debitore sono raccolti presso terzi il provvedimento richiama l’art. 13, comma 4, del Codice, lasciando intendere che non vi è obbligo di informativa attenendo l’attività di recupero crediti ad attività stragiudiziale di tutela dei diritti (art. 5 lett. b).

 

 

Come si attua il trattamento dei dati sensibili?

Il legislatore ha previsto una disciplina peculiare per ciò che concerne il trattamento dei dati sensibili, ossia di quelle informazioni che vanno a toccare la sfera più intima del soggetto cui sono riferite.

Per trattare dati diversi da quelli sensibili occorre un consenso espresso e almeno documentato per iscritto (art. 23); per i dati sensibili, idonei a rilevare l’origine razziale ed etnica, le convinzioni religiose, filosofiche e di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, politico o sindacale, nonché i dati personali idonei a rilevare lo stato di salute e la vita sessuale, è necessario un consenso scritto dell’interessato ed inoltre l’autorizzazione del Garante nell’osservanza e nei limiti previstidal Codice stesso, nonché dalle leggi e dai regolamenti (art. 26).

 

 

Esistono diritti di accesso ai dati trattati?

Il Codice della privacy ha riconosciuto all’interessato al trattamento dei dati una serie di diritti di accesso agli stessi.

Il diritto di accesso può riguardare anche dati personali di tipo valutativo salvo che concerna la rettificazione o l’integrazione dei medesimi.

 

In merito all’affidabilità economica, già in vigenza della legge n. 675 del 1996, il Garante aveva precisato che costituiscono dati personali del soggetto che chiede un finanziamento, le valutazioni sulla sua affidabilità economica che una società finanziaria pone a base della decisione di rigetto della domanda. Tali motivazioni, quindi, possono essere oggetto dell’istanza d’accesso prevista dall’art. 13 — attuale art. 7 del d.lgs. n.196 — della legge e del successivo eventuale ricorso al Garante proposto ai sensi dell’art. 29 — attuale art. 145 del d.lgs. n. 196 (Garante 25 ottobre 2001, in bollettino n. 23, pag. 91 — v. anche www.garanteprivacy.it: doc. n. 40305). Sempre con riferimento all’esercizio dei diritti dell’interessato e nello specifico a quello della cancellazione del dato, il Garante, con pronuncia del 2 febbraio 2001  ha avuto modo di sostenere che l’art. 13 della legge n. 675 del 1996 riconosce all’interessato il diritto di ottenere la cancellazione sostanziale dei dati trattati in violazione della legge.

 

È quindi infondato, e deve essere conseguentemente respinto, il ricorso proposto dall’interessato ai sensi dell’art. 29 della legge per ottenere da un istituto di credito la cancellazione dei dati riguardanti la propria situazione patrimoniale, raccolti in relazione ad una richiesta di finanziamento, qualora tali dati — che, ai sensi dell’art. 12, comma 1, lett. f) e 20, comma 1, lett. e), della legge n. 675 del 1996, in quanto attengono allo svolgimento di attività economiche, possono essere trattati anche senza il consenso dell’interessato — siano detenuti in attuazione di disposizioni impartite dall’autorità di vigilanza in tema di rilevazione del rischio creditizio e di obblighi di legge in materia di scritture e documenti contabili che ne delimitano le modalità di utilizzo, imponendone anche la conservazione solo per periodi di tempo limitati (Garante 2 febbraio 2001, in bollettino n. 17, pag. 28 — v. anche www.garanteprivacy.it: doc. n. 40879).

 

 

È ammessa la conservazione dei dati trattati?

Il provvedimento del Garante del novembre 2005, relativo all’attività di recupero crediti, ha previsto, di regola, l’obbligatorietà della cancellazione dei dati trattati, una volta portato a termine l’incarico.

 

Con riferimento alla conservazione dei dati, nel provvedimento del Garante del novembre 2005, con il quale sono stati fissati i principi dell’attività professionale di recupero crediti, da chiunque svolta (società di recupero crediti, finanziarie, banche, concessionari di pubblici servizi, compagnie telefoniche), ha precisato che una volta portato a termine l’incarico, i dati non devono formare oggetto di ulteriore trattamento e che gli stessi devono essere cancellati, salva una conservazione prolungata per l’assolvimento di specifici obblighi di legge, quali rendere conto al committente dell’attività svolta. In caso di conservazione prolungata si devono istituire due archivi, quello delle pratiche correnti e quello delle pratiche cessate; ciò al fine di impedire agli incaricati del trattamento la ordinaria consultabilità di pratiche ormai chiuse. In mancanza di adesione del titolare del trattamento, l’interessato potrà ottenere la tutela dei propri diritti in via coattiva, mediante ricorso al Garante o in alternativa ricorso al Tribunale (art. 145).

 

 

La notificazione

Il Codice in materia di protezione dei dati personali elenca i trattamenti di dati personali soggetti a notificazione (art. 37). Si tratta di trattamenti considerati potenzialmente pericolosi per i diritti dell’interessato e pertanto che necessitano di un’autorizzazione preventiva da parte dell’Authority.

 

Il Codice definisce le fattispecie soggette a notificazione prendendo in considerazione i seguenti aspetti di un trattamento: la natura dei dati trattati (categorie di dati e di interessati a cui i dati si riferiscono); le modalità del trattamento; le finalità del trattamento. Le fattispecie soggette a notifica sono definite non solo in base alla natura del dato trattato (personale o sensibile) ma risultano dalla combinazione delle caratteristiche richiamate. In alcuni casi, pertanto, sarà necessario notificare anche il trattamento di semplici dati personali. In altri casi, invece, il trattare dati sensibili non implicherà necessariamente la notificazione al Garante.

 

Con provvedimento del 23 aprile 2004 il Garante ha fornito chiarimenti sulle esclusioni in materia di notificazione. Con specifico riferimento ai trattamenti di dati relativi alla rilevazione del rischio sulla solvibilità economica o di comportamenti illeciti o fraudolenti (lett. f dell’art. 37 del Codice) l’interpretazione offerta limita notevolmente l’ambito di operatività della fattispecie nei confronti delle imprese.

 

Si tratta, in primo luogo, dei trattamenti svolti dalle cd. centrali rischi, che gestiscono, in autonomia e con potere decisionale in relazione alle finalità ed alle modalità del trattamento, apposite banche dati relative al rischio sulla solvibilità economica.

 

Con il provvedimento n. 1 del 31 marzo 2004 il Garante ha escluso dall’obbligo di notifica i trattamenti di dati registrati in banche dati e utilizzati in rapporti con l’interessato di fornitura di beni, prestazioni o servizi, o per adempimenti contabili o fiscali, anche in caso di inadempimenti contrattuali, azioni di recupero del credito e contenzioso con l’interessato. Tale esclusione si rivela di particolare utilità in quanto consente di sottrarre all’obbligo di notifica tutte le banche di dati relative ai rapporti con l’interessato, trovando applicazione non solo in riferimento alla fase contrattuale ma anche a quella precontrattuale. Il Garante ha chiarito che la fattispecie prevista dal punto 6, lett. b), del provvedimento di esclusione riguarda anche dati di cui sia necessario il trattamento in sede precontrattuale. Restano quindi soggette a notificazione le imprese che detengono apposite banche di dati (gestite con strumenti elettronici) per la rilevazione del rischio sulla solvibilità o di comportamenti illeciti contenenti dati relativi a soggetti con i quali non intrattengono alcun rapporto specifico, sia di tipo contrattuale che precontrattuale.

 

Il Garante ha precisato che non devono essere notificati al Garante i trattamenti effettuati da soggetti che utilizzano banche di dati centralizzate o sistemi informativi gestiti autonomamente da altri soggetti — titolari del relativo trattamento — e che li alimentano, comunicando i dati personali di propria pertinenza, ma che non hanno alcun potere decisionale in ordine alle finalità ed alle modalità del trattamento dei dati e agli strumenti utilizzati in tali ambiti. Lo stesso vale anche qualora, per ragioni tecniche, copia dell’intera banca di dati gestita da un altro soggetto, autonomo titolare, risieda, per la sola consultazione (anche in caso di esercizio dei diritti dell’interessato ai sensi dell’art. 7 del Codice), presso il soggetto abilitato all’accesso.

 

 

Come è organizzata la struttura del titolare del trattamento dei dati?

L’organizzazione della struttura del titolare del trattamento, disciplinata dall’art. 28 nel d.lgs. 196/2003 — aziende, professionisti, enti pubblici e privati — deve conformarsi alle disposizioni della legislazione sulla privacy.

 

Si distinguono i responsabili del trattamento (art. 29), ovvero i soggetti in posizione apicale preposti al trattamento dei dati personali, e gli incaricati del trattamento, ovvero le persone fisiche che compiono le operazioni dei trattamenti (art. 30). Possono essere designati responsabili del trattamento anche soggetti esterni a cui si attribuisce il compimento di alcune attività in outsourcing, quali l’attività di recupero crediti.

 

Con la nomina a responsabile del trattamento di detti soggetti esterni si ottiene la possibilità di comunicare i dati senza dover chiedere all’interessato il consenso alla comunicazione dei suoi dati fermo restando, in ogni caso, l’obbligo di fornire l’informativa. Peraltro, operando questo tipo di scelta, il titolare del trattamento deve vigilare sull’osservanza dei compiti e sull’attuazione delle istruzioni relative alle misure di sicurezza (art. 31) affidati al responsabile esterno del trattamento. Una scelta diversa, invece, richiede che venga resa al debitore un’informativa preventiva circa la comunicazione dei propri dati a soggetti terzi e vedrà attribuito a questi soggetti la veste di titolare o contitolare del trattamento con le relative specifiche responsabilità e obblighi disposti dal d.lgs. n.196 del 2003 in capo ai medesimi. Al riguardo, il Garante ha precisato, sempre con il provvedimento del 30 novembre 2005, che i soggetti esterni possono assumere il ruolo eventualmente di responsabili del trattamento se, però, svolgono il trattamento in autonomia decisionale, anche con riferimento alle misure di sicurezza, saranno da considerarsi titolari autonomi del trattamento.

 

 

Le sanzioni

In caso di violazione degli obblighi posti dal d.lgs. 196/2003, il Codice stesso ha previsto l’applicazione di sanzioni, tanto di carattere amministrativo, quanto di carattere penale.

La mancata osservanza degli obblighi disposti dal d.lgs. n. 196 del 2003 espone i titolari del trattamento ad un severo sistema sanzionatorio (artt. da 161 a 172). I citati dodici articoli, infatti, prevedono trentuno ipotesi di violazioni, di cui sei perseguite con sanzione amministrativa (da 500,00 a 60.000,00 euro e quando la sanzione risulta inefficace la stessa può arrivare a 90.000,00 euro) e ben venticinque con norma penale (da sei mesi a tre anni di reclusione). Il Codice ha ridotto il numero delle sanzioni per i comportamenti commissivi ma ha aumentato quello dei comportamenti omissivi, sollecitando chiaramente i titolari ad attuare gli adempimenti previsti a tutela dei diritti dell’interessato.

 

Solo per richiamare l’attenzione sulle entità delle sanzioni conseguenti al mancato adempimento delle prescrizioni previste dal Codice, si evidenzia che l’omessa applicazione delle misure minime di sicurezza, previste dall’art. 33 e dall’allegato b) al Codice, ovvero l’attuazione di una serie di misure atte ad assicurare un livello minimo di protezione delle informazioni contenute nei propri archivi, è sanzionata con l’ammenda da 10.000,00 a 50.000,00 euro o con l’arresto fino a due anni.

 

Il-Recupero-dei-Crediti


In pratica

L’informativa ha lo scopo di consentire all’interessato di conoscere il titolare del trattamento dei dati, la sua organizzazione, nonché le caratteristiche, le modalità e le finalità del trattamento dei dati.

L’informativa può essere scritta oppure orale, ma in tale ultimo caso si richiede che sia documentata per iscritto, ed il creditore deve renderla al debitore al momento della conclusione del contratto.

Il Codice della privacy dispone che, ai fini del trattamento dei dati sensibili — ossia quelli relativi, tra le altre cose, a dati idonei a rilevare origine religiosa, razziale ed etnica, o l’adesione a partiti o ad altre associazioni — sia sempre necessario il consenso scritto dell’interessato, accompagnato dall’autorizzazione del Garante.

Il legislatore ha previsto la possibilità, per il titolare dei dati trattati, dell’accesso ai dati stessi, di modo da poterne chiedere la modificazione, la rettificazione, l’integrazione o la cancellazione.

La conservazione dei dati trattati, nell’ambito dell’attività di recupero crediti, concluso l’incarico, è permessa solo per l’assolvimento di specifici obblighi di legge, svolti i quali i dati devono essere cancellati e non possono essere oggetto di successivo trattamento.

Sono soggetti a notificazione, previa autorizzazione del Garante, i trattamenti di dati personali che prendano in considerazione i seguenti aspetti, anche incrociati:

— natura dei dati trattati;

— modalità del trattamento;

— finalità del trattamento.

Sono tuttavia previste deroghe e, tra queste, restano esclusi dall’obbligo di notificazione i dati trattati dalle Centrali Rischi.

La struttura del titolare del trattamento dei dati è organizzata distinguendo tra:

— responsabile del trattamento, che può anche essere di designazione esterna, nel qual caso è possibile comunicare i dati senza previo consenso dell’interessato, fermo restando l’obbligo di rendere l’informativa.

Nel caso di mancata osservanza degli obblighi disposti dal Codice della privacy, i titolari del trattamento saranno esposti a sanzioni. Sono, infatti, previste 31 tipi di violazione, e di queste 6 sono perseguite con sanzione amministrativa, mentre alle rimanenti viene applicata sanzione penale.

 


richiedi consulenza ai nostri professionisti

 


Download PDF SCARICA PDF
 
 
Commenti