DEBT COLLECTION & GDPR
Il trattamento dei dati nel recupero dei crediti
La disciplina del GDPR ha avuto un forte impatto in diversi settori e non ha risparmiato neppure quello del recupero crediti.
Il trattamento dei dati assume infatti un ruolo fondamentale anche quando si intraprende un’azione di recupero del credito. Invero, nello svolgimento di questa attività il creditore, o un soggetto da quest’ultimo incaricato (società specializzate, legali o altri liberi professionisti), avrà a disposizione diverse informazioni riguardanti il debitore. I soggetti incaricati – a mezzo di un contratto di servizio quale mandato o appalto – vengono a tutti gli effetti designati quali responsabili del trattamentodei dati del debitore ai fini della riscossione della somma dovuta.
Generalmente questa attività si suddivide in una prima fase di raccolta dei dati ed in una successiva nella quale si realizza il recupero vero e proprio.
Si precisa che,
sebbene sia noto, il Regolamento europeo trova applicazione con esclusivo
riferimento ai debitori in qualità di persone
fisiche (art. 1 GDPR), pertanto enti e società esulano dall’ambito
di operatività di tale normativa.
Quali dati possono essere trattati
Una prima questione sulla quale occorre soffermarsi
riguarda la tipologia dei dati che vengono trattati e, in assenza di
precise indicazioni legislative, pare opportuno rifarsi alle indicazioni
fornite dal Garante.
Il Garante della Privacy si era già
espresso in punto ritenendo che: “… possono formare oggetto di trattamento,
finalizzato al recupero crediti, solamente i dati necessari all’esecuzione
dell’incarico (dati anagrafici del debitore, codice fiscale o partita IVA,
ammontare del credito vantato, unitamente alle condizioni del pagamento, e
recapiti, anche telefonici) di norma forniti dall’interessato in occasione del
rapporto intrattenuto con il creditore, o comunque desumibili da elenchi o
registri pubblici. ” (Vademecum in tema di Privacy e Recupero crediti
del 18 aprile 2016).
Il GDPR evidenzia inoltre che il trattamento dei dati personali per essere lecito debba soddisfare una delle condizioni elencate nell’art. 6 dello stesso Regolamento. In particolare, la predetta disposizione prevede che il titolare dei dati debba prestare il proprio consenso al trattamento degli stessi (in difetto di altra base giuridica), quale condizione di liceità.
E’ di tutta
evidenza che nei contratti tra privati, nei quali sorge un diritto di
credito in capo ad uno dei contraenti, l’interessato può informare l’altra
parte che, in caso di inadempienza degli obblighi contrattuali, i suoi dati
verranno ceduti a terzi per le attività di recupero del credito ed in questo caso
dovrà indicare espressamente i soggetti incaricati sia nell’informativa resa in
sede di stipula del contratto che nel proprio sito internet (qualora ne abbia
uno).
Questa rimane una eventualità perché non è prevista una clausola che disponga in merito al preventivo consenso dell’interessato finalizzato al trattamento dei dati per una futura escussione del credito. C’è anche da aggiungere, sebbene lapalissiano, che se un soggetto si rende inadempiente non ha alcun interesse nel prestare il proprio consenso (ex post) e pertanto far dipendere il recupero del credito ad un consenso del soggetto insolvente pare inverosimile.
Analizzando il
dettato della norma la condizione che meglio aderisce al caso che stiamo
trattando risulta essere quella prevista alla lettera f) p.to 1:” il
trattamento è necessario per il perseguimento del legittimo interesse del
titolare del trattamento o di terzi, a condizione che non prevalgano gli
interessi o i diritti e le libertà fondamentali dell’interessato che richiedono
la protezione dei dati personali, in particolare se l’interessato è un minore.”
Il diritto di credito che sorge dal
contratto è meritevole di tutela da parte dell’Ordinamento, per tale ragione è
riconducibile ad un legittimo interesse del creditore o dei terzi. In presenza
di tale presupposto viene meno la necessità del consenso del debitore.
Ne consegue che
il creditore, o il suo mandatario, al fine di ottenere quanto dovuto
contrattualmente potranno trattare i dati del debitore, senza il preventivo
consenso di questi, purché i dati raccolti rientrino nell’elenco fornito dal
Garante.
L’informativa sulla privacy
Un altro aspetto da chiarire concerne l’informativa al soggetto debitore interessato del trattamento.
Ai sensi dell’art. 13 GDPR l’informativa è il documento che consente al soggetto interessato di avere contezza di come vengano trattati i suoi dati personali (raccolta, impiego, finalità, trasferimento, conservazione, etc.) nonché dei diritti che ne scaturiscono. Tutte queste informazioni devono essere comunicate al debitore entro un termine ragionevole, ma al più tardi entro un mese dall’ottenimento dei suoi dati personali, salvo non siano destinate alla comunicazione con l’interessato, in questo caso dovranno essere unite alla prima comunicazione con quest’ultimo.
Nel caso
concreto, la prima comunicazione al debitore di sollecito al pagamento (nella
prassi la diffida ad adempiere) sarà
trasmessa unitamente all’informativa, poiché la raccolta dei dati è finalizzata
a comunicare all’interessato/debitore la sua situazione debitoria.
Le modalità di riscossione del credito
Il Garante è
intervenuto altresì per prescrivere le modalità di riscossione dei crediti,
al fine di ridimensionare i costanti e ripetuti atteggiamenti coattivi compiuti
in violazione della privacy del soggetto inadempiente.
Il soggetto
riscossore, nel sollecitare il pagamento delle somme dovute, dovrà attenersi a
delle regole di condotta e, a tal fine, non potrà fornire informazioni relative
alle condizioni di inadempimento nonché sui mancati pagamenti ad altri soggetti diversi dall’interessato,
anche familiari, e non potrà esercitare indebite pressioni su quest’ultimo.
Saranno
pertanto vietate visite presso il suo domicilio o sul luogo di lavoro del
debitore o dei suoi familiari/amici/conoscenti. Il creditore non potrà
affiggere avvisi di mora alla porta del debitore perché i terzi potrebbero
leggerne il contenuto e non potrà scrivere “recupero crediti” o formule
similare sulle missive trasmesse al debitore. Deve astenersi infine
dall’effettuare telefonate di sollecito pre-registrate senza intervento di
operatore poiché anche in questo caso potrebbero essere intercettate da
soggetti terzi. Una volta acquisite le somme i dati raccolti non
potranno/dovranno essere conservati, salvo il rispetto di specifici obblighi di
legge che richiedano una conservazione prolungata.
Conclusioni
Il Garante ha nel complesso predisposto tutti i livelli di difesa richiesti per una tutela adeguata verso ogni tipo di intrusione.
Il soggetto insolvente potrà quindi richiedere al titolare del trattamento l’origine dei dati personali che lo riguardano; potrà opporsi, per motivi legittimi, al trattamento dei dati che lo riguardano anche se pertinenti alla raccolta; potrà opporsi al trattamento dei dati che lo riguardano ai fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale; potrà sporgere denuncia nei confronti della società di recupero credito qualora assuma condotte antigiuridiche; potrà chiedere la cancellazione dei propri dati e porre in essere tutte le azioni possibili per vedersi tutelata la propria privacy. In definitiva il debitore potrà esercitare tutti i diritti che il regolamento gli ha riservato.
Articolo di
Dott.ssa Valentina Perney - Data Protection Specialist
Articolo originariamente pubblicato su www.mycyberlaw.com in data 11 Novembre 2018
Fonti :
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4893296