DEBT COLLECTION & GDPR

Il trattamento dei dati nel recupero dei crediti

La disciplina del GDPR ha avuto un forte impatto in diversi settori e non ha risparmiato neppure quello del recupero crediti.

Il trattamento dei dati assume infatti un ruolo fondamentale anche quando si intraprende un’azione di recupero del credito. Invero, nello svolgimento di questa attività il creditore, o un soggetto da quest’ultimo incaricato (società specializzate, legali o altri liberi professionisti), avrà a disposizione diverse informazioni riguardanti il debitore. I soggetti incaricati – a mezzo di un contratto di servizio quale mandato o appalto – vengono a tutti gli effetti designati quali responsabili del trattamentodei dati del debitore ai fini della riscossione della somma dovuta.

Generalmente questa attività si suddivide in una prima fase di raccolta dei dati ed in una successiva nella quale si realizza il recupero vero e proprio.

Si precisa che, sebbene sia noto, il Regolamento europeo trova applicazione con esclusivo riferimento ai debitori in qualità di persone fisiche (art. 1 GDPR), pertanto enti e società esulano dall’ambito di operatività di tale normativa.

Quali dati possono essere trattati

Una prima questione sulla quale occorre soffermarsi riguarda la tipologia dei dati che vengono trattati e, in assenza di precise indicazioni legislative, pare opportuno rifarsi alle indicazioni fornite dal Garante.

Il Garante della Privacy si era già espresso in punto ritenendo che: “… possono formare oggetto di trattamento, finalizzato al recupero crediti, solamente i dati necessari all’esecuzione dell’incarico (dati anagrafici del debitore, codice fiscale o partita IVA, ammontare del credito vantato, unitamente alle condizioni del pagamento, e recapiti, anche telefonici) di norma forniti dall’interessato in occasione del rapporto intrattenuto con il creditore, o comunque desumibili da elenchi o registri pubblici. ” (Vademecum in tema di Privacy e Recupero crediti del 18 aprile 2016).  

Il GDPR evidenzia inoltre che il trattamento dei dati personali per essere lecito debba soddisfare una delle condizioni elencate nell’art. 6 dello stesso Regolamento. In particolare, la predetta disposizione prevede che il titolare dei dati debba prestare il proprio consenso al trattamento degli stessi (in difetto di altra base giuridica), quale condizione di liceità.

E’ di tutta evidenza che nei contratti tra privati, nei quali sorge un diritto di credito in capo ad uno dei contraenti, l’interessato può informare l’altra parte che, in caso di inadempienza degli obblighi contrattuali, i suoi dati verranno ceduti a terzi per le attività di recupero del credito ed in questo caso dovrà indicare espressamente i soggetti incaricati sia nell’informativa resa in sede di stipula del contratto che nel proprio sito internet (qualora ne abbia uno).

Questa rimane una eventualità perché non è prevista una clausola che disponga in merito al preventivo consenso dell’interessato finalizzato al trattamento dei dati per una futura escussione del credito. C’è anche da aggiungere, sebbene lapalissiano, che se un soggetto si rende inadempiente non ha alcun interesse nel prestare il proprio consenso (ex post) e pertanto far dipendere il recupero del credito ad un consenso del soggetto insolvente pare inverosimile.

Analizzando il dettato della norma la condizione che meglio aderisce al caso che stiamo trattando risulta essere quella prevista alla lettera f) p.to 1:” il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.”

Il diritto di credito che sorge dal contratto è meritevole di tutela da parte dell’Ordinamento, per tale ragione è riconducibile ad un legittimo interesse del creditore o dei terzi. In presenza di tale presupposto viene meno la necessità del consenso del debitore.

Ne consegue che il creditore, o il suo mandatario, al fine di ottenere quanto dovuto contrattualmente potranno trattare i dati del debitore, senza il preventivo consenso di questi, purché i dati raccolti rientrino nell’elenco fornito dal Garante.

L’informativa sulla privacy

Un altro aspetto da chiarire concerne l’informativa al soggetto debitore interessato del trattamento.
Ai sensi dell’art. 13 GDPR l’informativa è il documento che consente al soggetto interessato di avere contezza di come vengano trattati i suoi dati personali (raccolta, impiego, finalità, trasferimento, conservazione, etc.) nonché dei diritti che ne scaturiscono. Tutte queste informazioni devono essere comunicate al debitore entro un termine ragionevole, ma al più tardi entro un mese dall’ottenimento dei suoi dati personali, salvo non siano destinate alla comunicazione con l’interessato, in questo caso dovranno essere unite alla prima comunicazione con quest’ultimo.

Nel caso concreto, la prima comunicazione al debitore di sollecito al pagamento (nella prassi la diffida ad adempiere) sarà trasmessa unitamente all’informativa, poiché la raccolta dei dati è finalizzata a comunicare all’interessato/debitore la sua situazione debitoria.

Le modalità di riscossione del credito

Il Garante è intervenuto altresì per prescrivere le modalità di riscossione dei crediti, al fine di ridimensionare i costanti e ripetuti atteggiamenti coattivi compiuti in violazione della privacy del soggetto inadempiente.

Il soggetto riscossore, nel sollecitare il pagamento delle somme dovute, dovrà attenersi a delle regole di condotta e, a tal fine, non potrà fornire informazioni relative alle condizioni di inadempimento nonché sui mancati pagamenti ad altri soggetti diversi dall’interessato, anche familiari, e non potrà esercitare indebite pressioni su quest’ultimo.

Saranno pertanto vietate visite presso il suo domicilio o sul luogo di lavoro del debitore o dei suoi familiari/amici/conoscenti. Il creditore non potrà affiggere avvisi di mora alla porta del debitore perché i terzi potrebbero leggerne il contenuto e non potrà scrivere “recupero crediti” o formule similare sulle missive trasmesse al debitore. Deve astenersi infine dall’effettuare telefonate di sollecito pre-registrate senza intervento di operatore poiché anche in questo caso potrebbero essere intercettate da soggetti terzi. Una volta acquisite le somme i dati raccolti non potranno/dovranno essere conservati, salvo il rispetto di specifici obblighi di legge che richiedano una conservazione prolungata.

Conclusioni

Il Garante ha nel complesso predisposto tutti i livelli di difesa richiesti per una tutela adeguata verso ogni tipo di intrusione.
Il soggetto insolvente potrà quindi richiedere al titolare del trattamento l’origine dei dati personali che lo riguardano; potrà opporsi, per motivi legittimi, al trattamento dei dati che lo riguardano anche se pertinenti alla raccolta; potrà opporsi al trattamento dei dati che lo riguardano ai fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale; potrà sporgere denuncia nei confronti della società di recupero credito qualora assuma condotte antigiuridiche; potrà chiedere la cancellazione dei propri dati e porre in essere tutte le azioni possibili per vedersi tutelata la propria privacy.  In definitiva il debitore potrà esercitare tutti i diritti che il regolamento gli ha riservato.

Articolo di
Dott.ssa Valentina PerneyData Protection Specialist


Articolo originariamente pubblicato su www.mycyberlaw.com in data 11 Novembre 2018

Fonti :
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4893296