GDPR – Recupero Crediti e Raccolta Dati – SIC e Business Information L'impatto del GDPR sulle attività di Recupero Crediti e Raccolta Dati con particolare riguardo alle Centrali di Rischi e alle Banche Dati di Informazioni Commerciali

GDPR - Recupero Crediti e Raccolta Dati - SIC e Business Information

In questo articolo proveremo a mettere in evidenza alcuni aspetti fondamentali relativi all’impatto che il nuovo Regolamento UE 2016/679 per la Protezione dei Dati Personali (GDPR) ha sulle attività di recupero crediti, sui dati raccolti dalle Centrali di Rischi (SIC) e dalle Banche Dati di Informazioni Commerciali (Business Information).

Per poter far questo è necessario fare un piccolo passo indietro e analizzare la normativa previgente, ovvero le disposizioni presenti nel Codice Privacy (2003/196), allegati e linee-guida pubblicate dal Garante della Privacy negli ultimi decenni.

Il punto di partenza è quanto stabilito da Vademecum in tema di Privacy e Recupero Crediti, pubblicato nel 2016 e disponibile a questo link in formato PDF e che ricorda e riassume – tra le altre cose – quanto dettagliato nel provvedimento Liceità, correttezza e pertinenza nell’attività di recupero crediti del 30 novembre 2005 e pubblicazioni correlate (come ad es. il comunicato del 20 gennaio 2006 che evidenzia i comportamenti lesivi della dignità). Nel suddetto provvedimento viene stabilito che i dati personali raccolti nell’esercizio delle funzioni di recupero crediti non possono più essere oggetto di ulteriore trattamento una volta portato a termine l’incarico.

Al tempo stesso è opportuno ricordare che nell’ultimo comma dell’Art. 160 del Codice Privacy si precisa che:

La validità, l’efficacia e l’utilizzabilità di atti, documenti e provvedimenti nel procedimento giudiziario basati sul trattamento di dati personali non conforme a disposizioni di legge o di regolamento restano disciplinate dalle pertinenti disposizioni processuali nella materia civile e penale.

Il riferimento ai codici di procedura civile e penale determina due fattispecie che è opportuno analizzare: nel Codice di Procedura Penale viene chiarito (Art 191 – Prove illegittimamente acquisite) che la prova è inammissibile nel momento in cui è stata prodotta in violazione delle leggi vigenti: poiché il Codice Privacy (e, dal 25 maggio 2018, il GDPR) è anch’essa una legge, si evince che qualsiasi dato personale ottenuto in violazione di quanto disposto nel Regolamento UE 2016/679 è a sua volta inammissibile.

Di contro, nel Codice di Procedura Civile, si precisa (Art. 116 – Valutazione delle prove) che il giudice può formare il proprio giudizio sulle prove ricevute a prescindere da come sono state ottenute: in altre parole, anche i dati personali raccolti in modo illecito avranno un valore probatorio a livello di giudizio civile. Si riscontra qui una certa vulnerabilità del Codice Privacy rispetto alle normative vigenti in merito ai suddetti dati, non risolta dal GDPR e pertanto destinata a protrarsi fino a quando il Garante non si pronuncerà a riguardo.

Linee Guida del Garante

Il sovracitato Vademecum del Garante in tema di recupero crediti contiene una serie di linee-guida di buon senso, in gran parte già presenti nel comunicato del 20 gennaio 2006 e riassumibili nel seguente elenco:

  • No a prassi invasive o lesive della dignità personale.
  • No a comunicazioni ingiustificate ai mancati pagamenti ad altri soggetti diversi dall’interessato (es. familiari, colleghi di lavoro, vicini di casa) per solleciare ed ottenere il pagamento di somme dovute. Di conseguenza.
  • No al ricorso ad auto-risponditori, telefonate pre-registrateaffissione di avvisi di mora sulla porta di casa e tutto ciò che potrebbe portare persone diverse dal debitore a venire a conoscenza di una sua eventuale inadempienza.
  • No all’esercizio di indebite pressioni sull’interessato.
  • E’ necessario che le sollecitazioni di pagamento vengano portate a conoscenza del solo debitore, utilizzando plichi chiusi e privi di scritte specifiche.
  • No all’uso di dati diversi da quelli necessari all’esecuzione del mandato (dati anagrafici, codice fiscale, ammontare del credito, recapiti telefonici).
  • I dati devono essere cancellati una volta assolto l’incarico e acquisite le somme, fatto salvo l’assolvimento di specifici obblighi di legge (ad esempio, per rendere conto delle attività svolte), che può richiedere una conservazione prolungata dei dati raccolti.

La parte finale dell’ultimo punto, unitamente a quanto previsto dall’Allegato A5 del Codice Privacy, può rivestire una particolare rilevanza in tema di recupero crediti (e non solo), come avremo modo di vedere nei prossimi paragrafi.

Centrali di Rischi (SIC)

Prima di procedere ulteriormente è opportuno precisare cosa sono e come operano le Centrali di Rischi, note anche come SIC (acronimo di Sistema di Informazioni Creditizie). Si tratta in buona sostanza di banche dati gestite da società private che si occupano di attività riconducibili all’apertura di linee di credito nei confronti di uno o più clienti: finanziarie, banche, istituti che emettono carte di credito, ma anche grandi catene di distribuzione e/o operatori telefonici, informatici o di forniture che forniscono servizi similari (es. rateizzazioni), con o senza l’intermediazione di finanziarie.

I soggetti che possono accedere alle SIC sono, solitamente, gli stessi che contribuiscono ad alimentarle: in altre parole, la SIC non è altro che uno strumento a disposizione delle società creditizie che può essere utilizzato per ridurre i rischi elevati connessi all’adempimento del loro lavoro. In aggiunta all’accesso da parte degli istituti di credito, qualsiasi persona fisica o soggetto giuridico ha la possiblità di accedere ai dati di una SIC, limitatamente alla sua posizione (presenza o meno): l’accesso a una SIC per tali finalità è solitamente subordinato al versamento di un obolo (dai 4 ai 10 euro), giustificato dal fatto che si tratta di banche dati private che non svolgono un pubblico servizio. Si può qui chiaramente osservare una prima incompatibilità con quanto previsto dal GDPR in termini di diritti dell’interessato all’accesso ai dati (Art. 15, comma 3), dove la possibilità di addebito di un contributo spese è prevista solo quando l’interessato fa richiesta di “ulteriori copie”.

[…] For any further copies requested by the data subject, the controller may charge a reasonable fee based on administrative costs.

Trasmissione dei dati

E’ importante tenere presente che le informazioni patrimoniali e finanziarie relative all’interessato possono essere trasmesse alle SIC solo previo consenso di quest’ultimo, che solitamente viene raccolto al momento della stipula del contratto di fornitura del servizio, con una sola eccezione: il consenso non è necessario in tutti i casi in cui vengano trasmesse informazioni relative ai mancati pagamenti, nel qual caso si rende necessaria una semplice informativa.

L’attuale Codice di Condotta del Garante (Allegato A5 – Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti) consente alle SIC di utilizzare i dati raccolti esclusivamente per finalità correlate alla tutela del credito e al contenimento dei relativi rischi e, in particolare, per valutare la situazione finanziaria e il merito creditizio degli interessati o, comunque, la loro affidabilità e puntualità nei pagamenti. Non può essere perseguito alcun altro scopo, specie se relativo a ricerche di mercato e promozione, pubblicità o vendita diretta di prodotti o servizi (Art. 2, commi A e B). In altre parole, le Centrali di Rischi non possono quindi essere utilizzate per effettuare attività di prospecting, marketing, e così via.

Banche Dati di Informazioni Commerciali

Le SIC non sono le uniche banche dati nelle quali che raccolgono informazioni sulle persone fisiche e giuridiche. Esistono anche le Banche Dati di Informazioni Commerciali (Business Information), che raccolgono dati accessibili pubblicamente (es. dai registri pubblici) ovvero attraverso il consenso esplicito fornito dagli interessati direttamente o indirettamente, ovvero attraverso il consenso alla trasmissione di dati personali con finalità statistiche ovvero di profilazione. Per questo motivo, le tipologie di dati raccolti dalle Business Information possono essere estremamente variabili: dati relativi alla situazione patrimoniale dell’interessato (debiti, mancati pagamenti, protesti, reddito et al.) ma anche e-mail, indirizzi, interessi, preferenze ed opinioni risultanti da ricerche di mercato o questionari, et al.

A differenza delle SIC, che sono alimentabili e consultabili solo da un ristretto numero di imprese e dal diretto interessato, alle Business Information possono accedere tutti, pagando l’accesso in modalità una-tantum oppure (se previsto) mediante abbonamento.

Le attività delle Banche Dati di Informazioni Commerciali sono disciplinate dall’Art. 118 del Codice Privacy e ulteriormente chiarite nell’Allegato A7 – Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale, che pone delle condizioni piuttosto vantaggiose per l’esercizio delle loro funzioni.

Raccolta dati

L’introduzione del GDPR pone una serie di problemi, nuovi ma a ben vedere tutt’altro che inediti, tanto alle SIC quanto alle Business Information, in termini di organizzazione della raccolta dei dati e relativo consenso da richiedere – o informativa da produrre – all’interessato. Ai sensi dell’Art. 14 del GDPR, nel caso in cui i dati vengano raccolti presso terzi, il rilascio dell’informativa all’interessato è comunque dovuto. Per le summenzionate banche dati si tratta dell’ennesima riproposizione di un annoso e indigesto problema, che il Garante aveva risolto a loro vantaggio già nel 2009 con la “sanatoria” contenuta prima nel Provvedimento del 14 maggio 2009 – Esonero dall’informativa per l’Associazione nazionale tra le imprese di informazioni commerciali e di gestione del credito (ANCIC) e successivamente, con un minimo inasprimento degli obblighi, nel Provvedimento del 22 maggio 2014 – Modifica parziale del provvedimento di esonero dall’informativa per l’Associazione nazionale tra le imprese di informazioni commerciali e di gestione del credito (ANCIC) del 14 maggio 2009.

Il problema, come è facile immaginare, è relativo ai costi legati al rilascio obbligatorio di questa informativa individualizzata agli interessati. Nei provvedimenti di cui sopra il Garante ha inizialmente (2009) esonerato le imprese associate dall’obbligo di rendere una informativa individualizzata agli interessati in occasione del trattamento dei loro dati per finalità di informazione commerciale, per poi rettificare parzialmente la “sanatoria” (2014) imponendo due nuovi criteri per il rilascio dell’informativa da parte delle suddette società:

A) La diffusione di un’unica informativa contenente gli estremi identificativi di tutti i titolari del trattamento e gli altri elementi previsti dall´art. 13, commi 1 e 2 del Codice, da effettuarsi, con cadenza almeno annuale, a cura delle imprese associate ad Ancic, anche per il tramite dell´associazione di categoria, attraverso l´implementazione di un servizio di comunicazione complesso che, avvalendosi della “banneristica” già esistente sui Portali di SEAT e di un sistema “multilocator web”, assicuri all´utente che ricerchi il nominativo “ANCIC” o la ragione sociale  di una delle sue associate sui siti  di “Pagine Gialle” e di “Pagine Bianche” (www.paginegialle.it e www.paginebianche.it) di accedere ad un “ambiente” virtuale in grado di fornire, oltre al testo dell´informativa, ulteriori informazioni -anche georeferenziate- sulle singole associate, nonché il link al sito proprietario e l´immediato reperimento di ulteriori notizie di specifico interesse (tra cui, a titolo di esempio, convegni, conferenze stampa, ecc.);

 

B) La permanente pubblicazione, da parte di ciascuna società di informazione commerciale aderente ad Ancic, sul proprio sito web, dell´informativa prevista dall´art. 13 del Codice, da evidenziarsi adeguatamente in autonomi riquadri di immediata consultazione;

Poiché l’informativa non necessita di una conferma di avvenuta lettura, in buona sostanza le SIC e le Business Information non dovevano fare altro che produrre e pubblicare l’informativa all’interno del proprio sito web: l’onere di lettura della stessa ricadeva dunque interamente sull’interessato, a prescindere dalla sua possibilità o meno di avere contezza su quante e quali banche dati siano entrate in possesso dei propri dati personali.

Con l’introduzione del GDPR, il problema della produzione dell’informativa individualizzata potrebbe presentarsi nuovamente: i Provvedimenti del Garante del 2009 e 2014 non appaiono infatti conformi a quanto previsto dall’Art. 14, a meno di non far ricadere le SIC e le Business Information nella fattispecie di cui al comma 5, lettera C:

I paragrafi da 1 a 4 non si applicano se e nella misura in cui: […] C) Comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato; […]

Anche in questo caso una pronunciazione del Garante appare quantomai urgente, considerando la quantità e la qualità delle banche dati nate nel corso degli ultimi anni e l’aumento esponenziale della mole dei dati raccolti e trattati anche con strumenti automatizzati (AI, algoritmi di profilazione, et al.).

Rating e Scoring

E’ indubbio che, vista la particolare tipologia di dati raccolti, tanto le SIC quanto le Business Information potrebbero facilmente produrre un gran numero di elaborazioni statistiche relative alla salute finanziaria, e quindi all’affidabilità, di ciascun record presente nei loro archivi. Ad esempio, potrebbero dotarsi di una serie di algoritmi che consentano loro di produrre un sistema di Rating e/o Scoring delle varie posizioni: valutazioni che sarebbero certamente di grande interesse per qualsiasi società di recupero crediti e che potrebbero persino rendere conveniente, per le suddette società, di occuparsi di recupero crediti in modo diretto.

Per quanto riguarda le SIC, abbiamo già chiarito come le disposizioni del Garante Privacy (Allegato A5) vietino in modo esplicito l’utilizzo dei dati raccolti per qualsiasi scopo diverso dalle attività di recupero crediti: non è quindi consentito produrre statistiche, rating e scoring, né tantomeno effettuare attività di profilazione o clustering sulla base di algoritmi più o meno complessi, che richiederebbero il consenso esplicito dell’interessato. Per approfondire questo aspetto specifico, suggeriamo la lettura di questo articolo su GDPR, Privacy e Profilazione che contiene una serie di approfondimenti complementari.

Del resto, la normativa (pre)vigente consentirebbe all’interessato – e di conseguenza al Garante – di eccepire persino sulle pratiche di archiviazione dei dati oltre i termini strettamente necessari del recupero crediti, che sarebbero una conditio sine qua non per strutturare un archivio e, di conseguenza, uno storico avente ampiezza e profondità sufficienti a consentire qualsiasi attività di questo tipo in modo realmente efficace (cfr. principio di pertinenza e finalità del trattamento, punto 4 del sovracitato provvedimento del 30 novembre 2005).

L’impatto del GDPR

In che modo il GDPR impatta sulle SIC e sulle Banche Dati di Informazioni Commerciali? Anzitutto sulle modalità di diritto di accesso (art. 15), diritto alla rettifica (art. 16), diritto alla portabilità (art. 20) e – soprattutto – di revoca del consenso (art. 7 comma 3) per tutti i dati eventualmente raccolti che non siano pertinenti all’attività di recupero crediti, che l’interessato deve poter esercitare in qualsiasi momento e con la stessa facilità con cui è stato accordato: questo significa che tutte le banche dati che abbiano previsto in passato la raccolta di dati ulteriori a quelli strettamente necessari dovranno necessariamente dotarsi di una tecnologia (es. un sito web) che consenta ad ogni interessato di poter consultare la propria posizione e revocare il consenso, ovvero prevedere un canale di comunicazione (e-mail, call-center o altro servizio preesistente o ad-hoc) che possa occuparsi di ciò.

Vi sono poi tutte le problematiche connesse ai nuovi oneri in carico al Titolare del trattamento: compilazione del Registro dei Trattamenti (art. 30), nomina del DPO (art. 37) qualora i dati trattati rientrino nella definizione di “larga scala”: a tal proposito il WP29 (acronimo per Art. 29 Data Protection Working Party) ricorda che per definire il concetto di “larga scala” occorre tener conto – tra le altre cose – del numero dei dati trattati, del numero di interessati coinvolti, dell’estensione territoriale dei trattamenti, della durata e/o della permanenza degli stessi).

Questo articolo fa parte di una serie di approfondimenti e riflessioni sul GDPR e sulle modalità di applicazione del Nuovo Regolamento Europeo della Protezione dei Dati in Italia, con focus specifico sulla compliance rispetto alla normativa previgente in materia civile e penale. Leggi gli altri articoli.

 

RELATED POSTS

About Ryan

IT Project Manager, Web Interface Architect e Lead Developer di numerosi siti e servizi web ad alto traffico in Italia e in Europa. Dal 2010 si occupa anche della progettazione di App e giochi per dispositivi Android, iOS e Mobile Phone per conto di numerose società italiane.

View all posts by Ryan