Recupero crediti, Garante Privacy: ecco chi paga il conto della mancata vigilanza


Nel settore del recupero crediti, il rapporto tra titolare del trattamento (il creditore o il cessionario del credito) e responsabile del trattamento (l’agenzia incaricata del recupero stragiudiziale) è caratterizzato da una fisiologica asimmetria informativa.

Il titolare, infatti, raramente dispone di una conoscenza diretta delle attività svolte nel corso dell’incarico: nuovi recapiti telefonici, esiti dei tentativi di contatto, informazioni acquisite durante le interlocuzioni con il debitore o dati reperiti nell’ambito di attività informative consentite dalla normativa applicabile, anche mediante soggetti autorizzati ai sensi dell’art. 134 TULPS, restano normalmente nella disponibilità dell’agenzia che gestisce operativamente la pratica.

I contrappesi del GDPR

Si tratta di un’asimmetria fisiologica, che tuttavia il GDPR (General Data Protection Regulation) non lascia priva di adeguati contrappesi.

Da un lato, l’art. 28 GDPR impone al responsabile obblighi propri e direttamente derivanti dal Regolamento, tra i quali assume particolare rilievo quello di mettere a disposizione del titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dal Regolamento europeo sulla protezione dei dati personali e privacy e consentire lo svolgimento delle attività di verifica e di audit.

Nel contesto del recupero crediti ciò implica, sul piano sostanziale, che il titolare sia costantemente informato anche in merito ai dati personali raccolti autonomamente dal responsabile durante l’esecuzione dell’incarico. Infatti, tali informazioni incidono direttamente sulla correttezza, sull’esattezza e sulla liceità del trattamento complessivamente svolto.

Il dovere del titolare

Dall’altro lato, gli artt. 5, par. 2, e 24 GDPR impongono al titolare un dovere permanente di controllo sull’operato del responsabile.

Come chiarito dall’EDPB nelle Linee guida 07/2020 sui concetti di titolare e responsabile del trattamento, tale obbligo non può esaurirsi nella stipula del contratto previsto dall’art. 28. Ma richiede verifiche documentate e svolte a intervalli adeguati, attraverso audit periodici, questionari di compliance, richieste di evidenze documentali e ulteriori misure di monitoraggio proporzionate ai rischi del trattamento.

È proprio questo il principio sistematico che emerge con particolare chiarezza dai due provvedimenti del Garante.

L’accountability non si esaurisce nella corretta formalizzazione del rapporto contrattuale mediante la nomina del responsabile del trattamento. Un contratto conforme all’art. 28 GDPR costituisce certamente una condizione necessaria, ma non sufficiente.

Se il titolare omette di verificare in modo effettivo e documentato l’operato del responsabile, continua a rispondere personalmente delle violazioni dei principi di liceità, correttezza, trasparenza ed esattezza di cui all’art. 5 GDPR, anche quando la causa immediata dell’illecito sia riconducibile alla condotta del responsabile.

Il principio che ispira i due provvedimenti del Garante

È proprio questo il principio sistematico che emerge con particolare chiarezza dai due provvedimenti del Garante.

L’accountability non si esaurisce nella corretta formalizzazione del rapporto contrattuale mediante la nomina del responsabile del trattamento.

Un contratto conforme all’art. 28 GDPR costituisce certamente una condizione necessaria, ma non sufficiente.

Se il titolare omette di verificare in modo effettivo e documentato l’operato del responsabile, continua a rispondere personalmente delle violazioni dei principi di liceità, correttezza, trasparenza ed esattezza di cui all’art. 5 GDPR, anche quando la causa immediata dell’illecito sia riconducibile alla condotta del responsabile.

Specularmente, il responsabile del trattamento non può ritenersi esonerato dai propri obblighi informativi nei confronti del titolare per il solo fatto che i dati raccolti non risultino più utili ai fini dell’attività di recupero.

L’obbligo di cooperazione e di trasparenza previsto dall’art. 28 GDPR conserva infatti autonomia rispetto alla concreta utilità operativa delle informazioni acquisite e costituisce uno degli strumenti essenziali attraverso i quali il titolare può esercitare il proprio dovere di controllo.

La vicenda

L’istruttoria trae origine dal reclamo di un interessato che chiedeva di conoscere l’origine di un’utenza telefonica, a lui intestata ma non più nella sua disponibilità, utilizzata nell’ambito di un’attività di recupero crediti.

Le risposte fornite separatamente dal titolare del trattamento e dal responsabile del trattamento, risultavano tra loro inconciliabili: la prima dichiarava di non aver mai trattato quel recapito, mentre la seconda non forniva elementi idonei a chiarirne la provenienza.

L’istruttoria del Garante

Questo disallineamento ha indotto il Garante ad avviare un’approfondita istruttoria.

Gli accertamenti hanno poi evidenziato cheil numero telefonico non proveniva dal titolare, ma era stato acquisito autonomamente dal responsabile tramite un fornitore esterno e successivamente utilizzato per contattare il debitore.

In occasione della telefonata, quest’ultimo precisava tuttavia che quell’utenza non era più nella sua disponibilità e chiedeva di essere ricontattato esclusivamente su un diverso recapito.

Ritenendo il primo numero ormai inutilizzabile ai fini dell’attività di recupero, il responsabile ometteva di comunicarne l’acquisizione al titolare e, successivamente, non trasmetteva neppure l’istanza con cui l’interessato chiedeva di conoscerne l’origine, nonostante il contratto imponesse di inoltrare tempestivamente ogni richiesta di esercizio dei diritti.

Proprio tale ricostruzione difensiva è stata espressamente disattesa dal Garante.

Secondo l’Autorità, infatti, la perdita di utilità operativa del dato non fa venir meno gli obblighi di cooperazione e di informazione gravanti sul responsabile del trattamento.

Anche un dato che non sia più utilizzabile per le finalità del recupero crediti resta parte dell’attività di trattamento svolta per conto del titolare e, in quanto tale, deve essere portato a conoscenza di quest’ultimo quando ciò sia necessario per consentirgli di riscontrare correttamente le richieste degli interessati e di adempiere ai propri obblighi di accountability.

L’omessa comunicazione da parte del responsabile

L’istruttoria ha inoltre accertato che il responsabile non aveva riportato, nei periodici flussi informativi destinati al titolare, né l’acquisizione del nuovo recapito telefonico né la ricezione dell’istanza di accesso.

Anche la relazione finale prevista contrattualmente al termine dell’incarico non era stata trasmessa. Di conseguenza, il titolare ha fornito all’interessato una risposta formalmente veritiera – non avendo mai ricevuto quel dato – ma sostanzialmente incompleta, proprio a causa dell’omessa comunicazione da parte del responsabile.

Quanto alla posizione del titolare, il Garante ha rilevato che i controlli predisposti nei confronti del responsabile risultavano prevalentemente orientati agli aspetti di sicurezza informatica e al monitoraggio operativo del servizio, senza essere inseriti in un sistema strutturato e periodico di verifica della conformità privacy.

Ne è derivata una responsabilità concorrente: il responsabile per non aver assicurato un adeguato flusso informativo verso il titolare e il titolare per non aver predisposto un sistema di vigilanza idoneo a intercettare tali omissioni.

Gli obblighi diretti del responsabile

Il profilo di maggiore interesse del provvedimento riguarda la qualificazione dell’obbligo del responsabile di mettere a disposizione del titolare le informazioni relative ai dati personali acquisiti autonomamente nel corso dell’incarico.

Secondo il Garante, tale obbligo non dipende dalla presenza di una specifica clausola contrattuale che ne disciplini ogni singola modalità operativa, ma trova il proprio fondamento direttamente nel GDPR e, in particolare, negli obblighi di cooperazione e trasparenza previsti dall’art. 28 GDPR.

Recupero crediti, la gestione di due diverse categorie di informazioni

Come già anticipato, nel settore del recupero crediti il responsabile si trova normalmente a gestire due diverse categorie di informazioni:

  • da un lato, i dati ricevuti dal titolare al momento dell’affidamento della pratica (quali dati anagrafici, importo del credito e recapiti già disponibili);
  • dall’altro, i dati acquisiti autonomamente durante lo svolgimento dell’incarico, come nuovi recapiti reperiti tramite fornitori esterni, informazioni raccolte nell’ambito delle verifiche consentite dall’art. 134 TULPS o risultanze dei tentativi di contatto effettuati.

I precedenti

Proprio rispetto a questa seconda categoria il Garante richiama un precedente provvedimento (17 ottobre 2024, doc. web n. 10084403), evidenziando come la conoscenza da parte del titolare delle informazioni raccolte autonomamente dal responsabile – inclusa la relativa provenienza – sia necessaria per consentirgli di verificare la liceità e la correttezza del trattamento complessivamente svolto.

Tale obbligo costituisce espressione dell’art. 28, par. 3, lett. h), GDPR, che riconosce al titolare il diritto di effettuare attività di verifica, revisione e ispezione nei confronti del responsabile.
La conseguenza pratica è rilevante: il dovere di rendicontazione del responsabile non può essere considerato un adempimento meramente eventuale, rimesso alla sola disciplina contrattuale.

Il contratto di nomina ex art. 28 può certamente definire procedure, tempistiche e modalità di comunicazione, ma non può eliminare gli obblighi di collaborazione già previsti dal Regolamento.

Pertanto, anche una nomina a responsabile formalmente corretta non è sufficiente se, nella concreta gestione del rapporto, il titolare non riceve informazioni complete sui trattamenti effettuati per suo conto.

Particolarmente significativa è anche la valutazione del Garante rispetto alla decisione di non comunicare al titolare l’acquisizione del nuovo recapito dopo che il debitore aveva manifestato la volontà di non essere più contattato su quella utenza.

La società aveva sostenuto che la comunicazione del dato avrebbe potuto risultare illegittima, in quanto il recapito era divenuto inutilizzabile ai fini del recupero.

Tale impostazione è stata respinta dall’Autorità. Il fatto che un dato non sia più utilizzabile per la finalità originaria non significa che perda rilevanza ai fini della gestione del trattamento.

Al contrario, la manifestazione di dissenso dell’interessato costituiva un’informazione essenziale da portare a conoscenza del titolare, affinché quest’ultimo potesse valutare le conseguenze sulla gestione complessiva della posizione e sul corretto esercizio dei diritti dell’interessato.

Recupero crediti, il Garante Privacy ha rilevato la sovrapposizione tra due piani distinti

L‘errore concettuale individuato dal Garante è quindi la sovrapposizione tra due piani distinti: un dato può non essere più utilizzabile nell’attività di recupero crediti, ma può comunque essere un dato che il titolare deve conoscere per adempiere ai propri obblighi di accountability.

L’assistenza per l’esercizio dei diritti

Il secondo profilo contestato riguarda l’obbligo di assistenza al titolare nell’adempimento delle richieste degli interessati, previsto dall’art. 28, par. 3, lett. e), GDPR.

Anche su questo punto il Garante adotta un’interpretazione rigorosa, richiamando le Linee guida EDPB 07/2020 sui concetti di titolare e responsabile del trattamento.

Non si tratta, infatti, di un obbligo di risposta autonoma da parte del responsabile.

Il responsabile non assume il ruolo di interlocutore istituzionale dell’interessato ai sensi dell’art. 12 GDPR, salvo specifiche previsioni o autorizzazioni del titolare, ma deve assicurare che la richiesta venga correttamente indirizzata al soggetto competente a valutarla e a fornire il riscontro nei termini previsti dal Regolamento.

Nel caso esaminato, tale obbligo non solo derivava direttamente dall’art. 28 GDPR, ma era stato anche puntualmente disciplinato nel contratto di servizio tra le parti, che imponeva di comunicare al titolare, entro due giorni lavorativi, ogni richiesta relativa all’esercizio dei diritti degli interessati.

La mancata trasmissione dell’istanza ricevuta dal debitore ha quindi rappresentato una doppia violazione: da un lato, dell’obbligo generale di assistenza previsto dal Regolamento; dall’altro, della specifica procedura concordata tra titolare e responsabile.

La natura della violazione e il profilo di gravità

L’aspetto più significativo della decisione riguarda la natura della violazione. Il mancato inoltro di una richiesta ricevuta dal responsabile non costituisce una semplice irregolarità organizzativa interna, perché incide direttamente sulla capacità del titolare di rispettare gli obblighi di cui agli artt. 12 e seguenti GDPR e di fornire un riscontro completo e tempestivo all’interessato.

Per questa ragione il Garante ha ritenuto la violazione non qualificabile come “minore” ai sensi del considerando 148 GDPR, nonostante il procedimento riguardasse una singola richiesta individuale.

Il profilo di gravità, infatti, non dipende esclusivamente dal numero degli interessati coinvolti, ma anche dalla presenza di una carenza organizzativa che potrebbe ripetersi in altri casi analoghi e compromettere sistematicamente il corretto funzionamento del modello di gestione dei diritti degli interessati.

L’accountability del titolare: dall’obbligo “in eligendo” a quello “in vigilando”

Il cuore del provvedimento riguarda la portata concreta dell’obbligo di vigilanza del titolare sul responsabile del trattamento.

Il Garante distingue chiaramente due momenti, tra loro complementari, della responsabilità del titolare nella scelta e nella gestione del rapporto con il responsabile, secondo una distinzione concettuale tradizionalmente utilizzata anche nella valutazione dei profili organizzativi.

Il controllo in eligendo

Il primo riguarda il controllo in eligendo, ossia la verifica preventiva delle garanzie offerte dal responsabile prima dell’affidamento dell’attività.

Nel caso esaminato, il Titolare aveva acquisito informazioni sulle misure tecnico-organizzative adottate dal fornitore e aveva effettuato un audit nel 2021 focalizzato sugli aspetti di sicurezza informatica.

L’obbligo in vigilando

Il secondo riguarda il controllo in vigilando, vale a dire la verifica, durante l’esecuzione dell’incarico, che il responsabile operi effettivamente nel rispetto delle istruzioni ricevute e degli obblighi previsti dal GDPR.

È proprio su questo secondo profilo che il Garante haì individuato la principale criticità: le attività documentate dal titolare dimostravano un’attenzione agli aspetti di sicurezza, ma non un sistema strutturato di monitoraggio della compliance privacy complessiva del responsabile, per esempio con riferimento alla gestione dei dati acquisiti autonomamente, alle richieste degli interessati e ai flussi informativi verso il titolare.

Un rilievo generale

Il richiamo alle Linee guida EDPB 07/2020 assume, sotto questo profilo, un rilievo generale.

L’art. 28, par. 1, GDPR non richiede un controllo occasionale attivato solo in presenza di anomalie o segnali di rischio, ma impone al titolare una verifica proporzionata e continuativa, svolta a intervalli adeguati rispetto alla natura del trattamento e ai rischi connessi.

La vigilanza sul responsabile non è quindi un evento isolato, ma un processo permanente.

Su questo principio il provvedimento richiama anche Cass. civ., Sez. I, ord. 11 aprile 2024, n. 9880, valorizzando il concetto secondo cui l’accountability deve tradursi in attività concrete, specifiche e dimostrabili.

La conformità non si dimostra attraverso la sola esistenza di procedure interne o clausole contrattuali, ma attraverso evidenze che dimostrino la loro effettiva applicazione.

Nel caso esaminato, infatti, esistevano strutture organizzative e presidi interni dedicati alla gestione dei rapporti con i fornitori, ma mancava la prova di un piano di verifica periodico e specificamente orientato alla protezione dei dati personali trattati dai responsabili.

L’audit documentato riguardava prevalentemente la sicurezza delle sedi e delle infrastrutture, mentre non emergeva un analogo livello di controllo sulla corretta gestione privacy delle attività affidate all’esterno.

L’allarme senza conseguenze

Un ulteriore elemento valorizzato dal Garante riguarda un segnale di allarme rimasto privo di seguito: la mancata ricezione, al termine dell’incarico, della relazione finale prevista contrattualmente in caso di esito negativo del recupero.

La previsione contrattuale dell’adempimento non era quindi sufficiente; sarebbe stato necessario un meccanismo di monitoraggio capace di rilevare l’omissione e attivare le conseguenti verifiche.

La lezione del provvedimento è chiara: l’accountability del titolare non coincide con la capacità di dimostrare di aver scelto un responsabile affidabile, ma richiede la capacità di dimostrare di averlo controllato nel tempo.

Il rapporto tra le due sanzioni: responsabilità concorrente, non alternativa

Un ultimo profilo consente di cogliere pienamente la portata dei due provvedimenti: il rapporto tra la responsabilità del titolare e quella del responsabile.

Sebbene le decisioni siano strettamente collegate perché riguardano il medesimo trattamento e la medesima filiera di recupero crediti, il Garante non configura una responsabilità sostitutiva o alternativa tra le due società.

La logica sottesa ai provvedimenti è quindi quella della responsabilità concorrente, non della responsabilità alternativa.

La configurazione di una responsabilità concorrente tra titolare e responsabile non pone, nel caso di specie, un problema di violazione del principio del ne bis in idem.

Tale principio presuppone infatti una duplicazione sanzionatoria riferibile al medesimo soggetto per il medesimo fatto, mentre in questa vicenda l’Autorità ha sanzionato soggetti giuridici diversi per condotte illecite distinte e dotate di autonoma rilevanza causale.

La relazione tra i due soggetti non è quella tra un soggetto responsabile e un semplice esecutore privo di autonomia, ma quella di due attori della medesima catena di trattamento, ciascuno titolare di specifici obblighi.

Entrambi i provvedimenti richiamano l’art. 83, par. 3, GDPR, relativo alla determinazione della sanzione in presenza di più violazioni connesse allo stesso trattamento, ma ciascuna Autorità valuta le condotte riferibili al singolo soggetto coinvolto.

Si tratta quindi di procedimenti autonomi, nei quali titolare e responsabile rispondono dei propri specifici obblighi:

  • il responsabile per non aver assicurato adeguata trasparenza e cooperazione nei confronti del titolare;
  • il titolare per non aver predisposto un sistema di vigilanza idoneo a prevenire o intercettare tali criticità.

Caso recupero crediti: la diversa quantificazione delle sanzioni da parte del Garante Privacy

Il Garante ha inoltre operato una diversa valutazione del grado di gravità delle condotte.

Nel caso del responsabile del trattamento sono stati valorizzati, tra gli altri elementi, la professionalità specifica del settore, il ruolo operativo svolto nella gestione dei dati e la violazione di obblighi informativi puntualmente previsti sia dal GDPR sia dal contratto di servizio.

Nel caso del titolare del trattamento, pur essendo stata accertata una carenza nell’attività di vigilanza, l’Autorità ha tenuto conto del fatto che la criticità originaria era maturata nella gestione operativa del responsabile.

La diversa quantificazione delle sanzioni riflette quindi non una diversa esistenza della responsabilità, ma una differente valutazione complessiva delle condotte secondo i criteri dell’art. 83, par. 2, GDPR.

Il principio che emerge dai due provvedimenti è chiaro: nella filiera del trattamento affidato a terzi, la violazione del responsabile non assorbe la responsabilità del titolare, così come la responsabilità del titolare per mancata vigilanza non elimina gli obblighi autonomi del responsabile.


#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
 Rosario Palumbo

Source link

Di