DATI PERSONALI

Privacy e credit management: equilibri e bilanciamenti

L’attività di recupero stragiudiziale del credito impone a chi la esercita di destreggiarsi abilmente all’interno di un terreno scivoloso: come spesso invocato dal GDPR, occorre bilanciare i diritti di tutte le parti coinvolte nelle attività di trattamento. Ecco gli equilibri e i bilanciamenti in ambito privacy e credit management

18 Ott 2021
C
Vittorio Colomba

Avvocato esperto di diritto delle nuove tecnologie - SC Avvocati Associati

L’economia moderna ha visto crescere, spesso in modo disordinato e irrazionale, un fiorente mercato del credito, cui ricorrono costantemente sia le imprese che i consumatori: in questo scenario hanno assunto un ruolo di primaria importanza i concetti di privacy e credit management.

Privacy e credit management: lo scenario

La storia è nota: debiti su debiti, contratti non solo per acquistare beni e servizi essenziali, ma sempre più spesso finalizzati alla fruizione di utilità accessorie, quelle che gli esperti ricondurrebbero alla categoria dei cosiddetti “beni di consumo emozionale”.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza

Nella più assoluta fisiologia, gli inadempimenti sono cresciuti proporzionalmente ai debiti.

Tuttavia, le crisi economiche che nel corso di pochi anni si sono accavallate senza tregua hanno aggravato il sistema, fino alle note conseguenze: esplosione delle sofferenze, crisi del sistema bancario, una mole semplicemente incalcolabile di crediti da recuperare.

Una buona attività di recupero crediti – anche quella fuoriuscita dal perimetro degli avvocati ed esercitata dalle società specializzate nella gestione stragiudiziale – è diventata strategica e di fondamentale importanza per la tenuta economica stessa del Paese.

Si tratta, tuttavia, di un’attività tanto importante quanto delicata, perché potenzialmente in grado di incidere sulla dignità e la riservatezza delle parti coinvolte: debitori cercati a domicilio, inseguiti per telefono, raggiunti per posta.

L’individuazione del limite che separa l’esercizio delle facoltà del creditore dalla violazione dei diritti del debitore è piuttosto labile e non sempre semplice da cogliere.

Il punto di partenza del ragionamento non può che trarre origine dalla nostra Carta Costituzionale, che nella sua gerarchia di valori si propone di offrire adeguata tutela alla dignità delle persone fisiche rispetto all’iniziativa economica privata.

È infatti l’art. 41 della Costituzione a riconoscere che l’iniziativa economica privata non possa svolgersi con modalità tali da recare danno alla dignità umana.

Si tratta di principi da coniugare con i diritti alla privacy ed alla protezione dei dati personali riconosciuti dall’art. 8 CEDU – e quindi in qualche modo anche dagli artt. 2 e 21 della Costituzione – per comprendere entro quali limiti debbano porsi i tentativi stragiudiziali di recupero crediti.

Il danno da violazione della privacy e della riservatezza

Ed è proprio su queste basi che si sono sedimentati i pareri e i provvedimenti delle Autorità europee (ad es. doc. web n. 1213644 del 30.11.2005 e il doc. web n. 2751860 del 10.10.2013 del GPDP italiano) e sono emerse significative pronunce giurisprudenziali di legittimità, (ad es. Cass. Civ. sent. n. 18783/2021 e Cass. Pen. sent. n. 29292/2019).

Il danno da violazione della privacy e della riservatezza, compreso quello eventualmente subito dai consumatori-debitori durante l’attività di recupero credito svolta in maniera non compliant, è definibile come danno non patrimoniale, risarcibile ai sensi degli artt. 2043, 2050 e 2059 c.c..

Ne consegue che l’ipotesi di risarcimento debba superare la verifica della “gravità della lesione” e della “serietà del danno”.

Anche in questo contesto, tuttavia, trova applicazione il bilanciamento tra il danno lamentato ed il principio di solidarietà previsto dall’art. 2 Cost., nonché il suo naturale corollario, consistente nel principio di tolleranza della lesione minima.

In sostanza, applicando all’attività di recupero crediti il nostro assetto ordinamentale, per essere concretamente risarcibile, una violazione deve offendere in modo sensibile la privacy, la riservatezza e la tranquillità del domicilio – inteso in senso lato – del debitore.

L’accertamento della rilevanza e non trascurabilità del danno subìto dal debitore è rimesso al giudice civile di merito, sicché la mera allegazione da parte del ricorrente-attore, che l’illecito trattamento dei suoi dati personali gli avrebbe procurato patimenti e sofferenze, potrebbe verosimilmente non essere sufficiente.

Un’asserzione generica, quindi, risulterebbe inidonea a fondare una richiesta di risarcimento, poiché per il riconoscimento del danno dovrebbero potersi misurare, in concreto, le conseguenze materiali, tutte da dimostrare (seppur anche tramite presunzioni) della condotta contestata.

Un mero richiamo all’apodittica lesione dell’interesse tutelato dall’ordinamento, avulsa dall’effettiva situazione del debitore, risulterebbe insufficiente ed inefficace.

Superati positivamente questi ostacoli, ed accertato l’an ed il quantum del danno da risarcire, la sentenza di condanna potrebbe colpire sia il titolare del trattamento che il suo eventuale responsabile, in tal senso obbligati in solido.

Nel mondo del recupero crediti si tratta di figure rivestite dal creditore-committente (titolare del trattamento) e dall’impresa di recupero crediti (responsabile del trattamento).

Riforma della riscossione, lo scambio di dati cambierà tutto in Italia: ecco come

Privacy e credit management: bilanciamenti normativi

La giurisprudenza, anche sulla scorta dei pareri espressi dall’Autorità Garante, ha ritenuto dimostrato un danno risarcibile (e quindi una violazione rilevante, non minima e neppure tollerabile) in alcune casistiche ormai scolastiche, ad esempio il tentativo di reperire informazioni sul debitore tramite vicini di casa, colleghi, datori di lavoro o familiari, con annessa rivelazione a tali soggetti delle finalità della ricerca, appunto consistenti nel tentativo di recupero del credito.

Sono stati, altresì, sanzionati gli atteggiamenti riconosciuti petulanti, di arrogante invadenza e intromissione continua e inopportuna, nella altrui sfera di libertà, pur sapendo di non fare cosa gradita, che sono stati perfino ricondotti a molteplici circostanze penalmente rilevanti, come ad esempio la violazione di domicilio (614 c.p.), molestie (660 c.p.) e addirittura minacce (612 c.p.).

Altre condotte rilevanti sono state riconosciute nell’utilizzo di sistemi che permettono di indirizzare solleciti di pagamento standardizzati e automatizzati su più fronti allo stesso debitore, vale a dire tramite chiamate pre-registrate, e-mail, messaggistica istantanea, e lettere spedite alla residenza.

L’Autorità GPDP italiana su tali sistemi automatizzati ha sollevato più di una qualche perplessità, laddove attraverso idonei accorgimenti tecnici – basati ad esempio anche su forme di autenticazione – non permettano l’accertamento dell’identità del destinatario con ragionevole certezza.

La comunicazione a soggetti diversi dal debitore dei dati personali relativi al suo stato d’inadempimento, interromperebbe la catena di legittimità del trattamento, salva la sussistenza di legittimi motivi, per esempio fondanti nell’apposita delega rilasciata dall’interessato a terzi, con l’incarico di trattare le ragioni del credito per suo conto.

In difetto di un simile presupposto di legittimità, l’addetto al recupero crediti realizzerebbe un vero e proprio data breach, da trattarsi secondo le rigide procedure previste dal GDPR.

Conclusioni

L’attività di recupero stragiudiziale del credito, in definitiva, impone a chi la esercita di destreggiarsi abilmente all’interno di un terreno straordinariamente scivoloso.

L’esigenza, così come spesso invocato dal GDPR, risiede nello sforzo di bilanciare adeguatamente i diritti di tutte le parti coinvolte nelle attività di trattamento.

Bilanciamento complesso, forse a tratti impossibile da raggiungere, ma che è senz’altro indispensabile inseguire.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA