La violazione della privacy nell’attività di recupero crediti
La Corte di Cassazione riconosce la violazione in materia di protezione dei dati personali come meritevole di risarcimento del danno, patrimoniale e non patrimoniale.
di Maura Mialich
La privacy assume particolare rilievo nell’ambito dell’attività di recupero crediti, atteso che quest’ultima può facilmente tradursi in comportamenti lesivi della dignità e del diritto alla riservatezza del debitore.
Sul punto, l’Autorità Garante per i trattamento dei dati, ha elaborato nel 2016 il vademecum “Privacy e recupero crediti” [1], che illustra una serie di principi ai quali si devono ispirare coloro che legittimamente svolgono l’attività in parola, a tutela dei debitori.
Tali regole di condotta, seppur stilate prima dell’applicazione del Regolamento (UE) 679/2016 (GDPR), sono da considerarsi ancora valide per un corretto trattamento dei dati personali e compatibili, mutatis mutandis, con la vigente normativa di settore.
Vediamo, quindi, come si delinea l’attività di recupero crediti nello scenario normativo e giurisprudenziale attuale, tenendo presente che le norme del GDPR trovano applicazione con esclusivo riferimento alle persone fisiche e non alle persone giuridiche.
L’attività di recupero crediti, innanzitutto, può essere intrapresa direttamente dal creditore o, tendenzialmente sulla scorta di un contratto di mandato, per il tramite di avvocati o società di recupero crediti i possesso dei requisiti di cui all’art. 115 TULPS.
Nell’ambito dell’attività di riscossione del credito, pertanto, si verifica un trattamento dei dati del debitore sia nella fase di raccolta delle informazioni, sia nel tentativo di presa di contatto, finalizzata al recupero del dovuto.
Ma quali dati personali può legittimamente trattare il creditore?
Partiamo dalla definizione di dato personale e di trattamento, ai sensi dall’art. 4 del GDPR.
Per dato personale s’intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
Costituisce, invece, un trattamento “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”
Nell’ambito delle attività finalizzate al recupero di un credito, possono formare oggetto di trattamento i soli dati necessari all’esecuzione dell’incarico (dati anagrafici del debitore, codice fiscale o partita IVA, ammontare del credito vantato e condizioni del pagamento e recapiti) e che, di norma, sono forniti dall’interessato in occasione del rapporto intercorso con il creditore o desumibili da elenchi o registri pubblici.
Il trattamento sarà lecito se, a norma dell’art. 6 GDPR, i) “l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità”; ovvero ii) “il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore”.
Possiamo dire che il diritto di credito è tutelato dall’Ordinamento e il creditore, nell’attività di recupero, può legittimamente trattare i dati del debitore sulla base di un legittimo interesse, prescindendo dal consenso dell’interessato. Verosimilmente, infatti, nei rapporti tra privati, il contratto in forza del quale potrà sorgere un diritto di credito non prevede ab origine il consenso dell’interessato al trattamento dei dati anche per l’eventuale riscossione.
Se pensiamo poi all’ipotesi di un credito derivante da un illecito di tipo extra-contrattuale, è evidente che il preventivo consenso è incompatibile con la fonte del credito stesso.
Si tratta di limitazioni rispondenti a principi liceità, correttezza, pertinenza e finalità del trattamento, già vigenti con il vecchio Codice Privacy e oggi richiamati dall’art. 5 del GDPR.
I dati, inoltre, devono essere: a) trattati in modo lecito, equo e trasparente nei confronti dell’interessato (“liceità, equità e trasparenza”); b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità (“limitazione della finalità”); c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (“minimizzazione dei dati”); d) esatti e, se necessario, aggiornati (“esattezza”); e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; (“limitazione della conservazione”); f) trattati in modo da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (“integrità e riservatezza”).
Infine, il creditore dovrà rendere all’interessato l’informativa ai sensi dell’art. 13 GDPR per renderlo edotto in merito alla raccolta, all’utilizzo, alla condivisione e alla conservazione dei suoi dati personali, nonché rispetto ai suoi diritti.
In tutti i casi in cui i dati personali non siano stati ottenuti presso l’interessato (es. agenzia di recupero credito che ha acquisito i dati dal creditore o da banche di dati di business information), l’informativa dovrà essere integrata alla luce delle indicazioni di cui all’art. 14 GDPR.
Tanto premesso, sono da ritenersi illecite le condotte del creditore non rispettose dei limiti sopra evidenziati. Sono, pertanto, da ritenersi illecite le modalità invasive di ricerca e presa di contatto che si traducano, ad esempio, in: visite al domicilio o sul luogo di lavoro con comunicazione ingiustificata a soggetti terzi rispetto al debitore di informazioni relative alla condizione di inadempimento nella quale versa l’interessato; comunicazioni telefoniche di sollecito preregistrate, poste in essere senza intervento di un operatore, perché con questa modalità persone diverse dal debitore possono venire a conoscenza di una sua eventuale condizione di inadempienza; utilizzo di cartoline postali o invio di plichi recanti all’esterno la scritta “recupero crediti” o formule simili che rendono visibile a persone estranee il contenuto della comunicazione.
È corretto, al contrario, che le sollecitazioni di pagamento vengano portate a conoscenza del solo debitore, usando plichi chiusi e senza scritte specifiche, che riportino all’esterno le sole indicazioni necessarie ad identificare il mittente al fine di evitare un’inutile divulgazione di dati personali.
Dalle violazioni della privacy derivano responsabilità amministrative, civili e penali e il sistema sanzionatorio è uno dei capisaldi del GDPR.
Quello che in questa sede ci interessa approfondire, tuttavia, è il tema della responsabilità civile.
Recentemente, infatti, la giurisprudenza di legittimità si è pronunciata in merito a un aspetto ancora poco considerato della violazione dei dati personali: il risarcimento del danno, patrimoniale e non patrimoniale.
Il caso trae origine dalla condotta del Ministero degli Affari Esteri e della Cooperazione Internazionale (MAECI) che, al fine di recuperare forzosamente un credito da un dipendente di un altro ente pubblico, inviava al datore di lavoro del debitore alcune comunicazioni contenenti dati personali del dipendente e informazioni afferenti al contenzioso in cui quest’ultimo era risultato soccombente.
Il dipendente, ritenendo che la Pubblica Amministrazione, utilizzando un canale di comunicazione istituzionale, avesse violato la sua riservatezza (permettendo al dirigente scolastico e al personale di segreteria addetto alla ricezione della corrispondenza di accedere ai dati personali dell’interessato), agiva con ricorso al Tribunale.
Il Tribunale di Roma, in linea con l’orientamento del Garante, evidenziava quindi la necessità di adottare modalità di trasmissione riservate per le comunicazioni relative alla tutela del credito, ammettendo l’invio delle medesime presso il luogo di lavoro del debitore solo in caso di infruttuoso invio presso l’indirizzo privato dello stresso.
Fu accolta la domanda risarcitoria proposta dalla parte lesa e ravvisata la responsabilità della P.A. a norma degli artt. 2043, 2050 e 2059 Codice Civile, nonché dell’art. 15 del D. Lgs 196/2003, con condanna del Ministero al risarcimento del danno non patrimoniale subito dal dipendente, quantificato in via equitativa.
Il MAECI , convenuto soccombente, decideva quindi di portare il caso al vaglio della Corte di Cassazione [2].
La Suprema Corte, sez. I Civile, con ordinanza 24 marzo – 2 luglio 2021, n. 18783, rigettava il ricorso presentato dalla PA e dichiarava ammissibile il controricorso presentato dal dipendente per lesione del diritto alla protezione dei dati personali, accogliendo la domanda di risarcimento del danno per la lesione dei diritti alla riservatezza e all’immagine.
La pronuncia in commento, fondata proprio sui principi enunciati dal Garante e descritti in premessa, si articola nelle seguenti motivazioni logico argomentative.
Sul piano normativo, innanzitutto, la Corte rammenta il contenuto dell’art. 11 del D. Lgs. 196/2003 (vigente ratione temporis) in ordine alle modalità del trattamento [3].
A norma di tale previsione, infatti, i dati personali oggetto di trattamento devono essere: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi, e utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti successivamente trattati.
La Corte richiama altresì un provvedimento generale dell’Autorità Garante per la protezione dei dati del 30 Novembre 2005, che prescrive le misure necessarie affinché l’attività di recupero crediti, sia che si realizzi direttamente a cura del creditore, sia che venga attuata da terzi nel suo interesse, si svolga nel rispetto dei principi di liceità, correttezza e pertinenza fissati dal succitato art. 11, evitando comportamenti che possano ledere la riservatezza del debitore in merito alle sue vicende personali.
La Suprema Corte, inoltre, puntualizza come per sollecitare e ottenere il pagamento di somme dovute non è lecito comunicare informazioni relative ai mancati pagamenti ad altri soggetti che non siano l’interessato (es. familiari, coabitanti, colleghi di lavoro o vicini di casa) ed esercitare indebite pressioni su quest’ultimo.
Tornando al caso che ci occupa, quanto sopra è sintetizzato nel principio diritto espresso dalla Corte di Cassazione a conclusione del provvedimento: “in tema di trattamento dei dati personali, di cui al Decreto Legislativo n. 196 del 2003, integra una violazione del diritto alla riservatezza e dell’articolo 11 del cit. Decreto Legislativo, il comportamento di un creditore il quale, nell’ambito dell’attività di recupero credito, svolta direttamente ovvero avvalendosi di un incaricato, comunichi a terzi (familiari, coabitanti, colleghi di lavoro o vicini di casa), piuttosto che al debitore, le informazioni, i dati e le notizie relative all’inadempimento nel quale questo versi oppure utilizzi modalità che palesino a osservatori esterni il contenuto della comunicazione senza rispettare il dovere di circoscrivere la comunicazione, diretta al debitore, ai dati strettamente necessari all’attività recuperatoria”.
Tale ordinanza contribuisce a delineare un preciso orientamento nella giurisprudenza di legittimità, che riconosce la violazione in materia di protezione dei dati personali come meritevole di risarcimento del danno, sia esso patrimoniale o non patrimoniale.
Si tratta di un importante precedente, utile a prevenire e contrastare le pratiche di recupero del credito invadenti e aggressive.
[1] Cfr. documento del Garante della Privacy del 30 novembre 2005 “Liceità, correttezza e pertinenza nell’attività di recupero Crediti”.
[2] Quanto alla scelta del mezzo di impugnazione, si precisa quanto segue: il giudizio aveva ad oggetto sia la lesione del diritto alla protezione dei dati personali (cui si applica la disciplina processuale speciale di cui all’art. 10 del D. Lgs. n. 150/2011, che non prevede la ricorribilità in appello), sia la domanda di risarcimento del danno per la lesione dei diritti alla riservatezza e all’immagine (cui si applica il rito ordinario). Nel caso in esame, il Tribunale ha ritenuto di giudicare unitariamente sulle domande, applicando il rito speciale mutuato dal diritto del lavoro, atteso che i danni risarcibili erano stati prospettati come conseguenza dell’illecita diffusione dei dati personali (cfr. Cass. Civ. n. 29336/2020).
[3] L’art. 11 del Codice Privacy è stato abrogato dal D. Lgs. n. 101/2018, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)” (in G.U. 4 settembre 2018 n. 205). L’articolo di riferimento attuale è l’art. 5 del GDPR.
