Indice
>>>Garante per la protezione dei dati personali: Ordinanza ingiunzione n. 215 del 9 giugno 2022<<<
1. I fatti
Un reclamante inviava, per il tramite del proprio legale, una segnalazione al Garante per la protezione dei dati personali con cui lamentava che una società di recupero crediti avesse violato la normativa in materia di privacy, comunicando i propri dati personali ad un proprio collega di lavoro. In particolare, il reclamante sosteneva che Sky Italia s.r.l. le aveva dato l’incarico di recuperare un credito commerciale nei confronti del reclamante e per tale ragione una collaboratrice della società aveva cercato di contattare detto debitore ai contatti dal medesimo indicati a Sky, senza tuttavia riuscire a reperirlo. In considerazione di ciò, la collaboratrice della società reperiva sul web un indirizzo email che riteneva appartenesse al debitore e quindi inviava a detto indirizzo una email contenente la richiesta di ricontatto e alcuni dati personali del reclamante: fra cui, il nome, cognome e la sua posizione debitoria nei confronti di Sky (in particolare, un invito al pagamento di €. 179,97 dovuto alla cessazione per morosità dell’abbonamento con Sky).
Tuttavia, l’email utilizzata dalla collaboratrice della società risultava appartenere ad un dipendente della società di cui il reclamante era il legale rappresentante. Il dipendente, quindi, provvedeva a inoltrare l’email al reclamante. Tant’è che, qualche giorno dopo, l’avvocato del reclamante contattava la collaboratrice della società e proponeva un pagamento a saldo e stralcio per l’ estinzione del debito dello stesso reclamante nei confronti di Sky.
Successivamente, la medesima collaboratrice – dopo aver risposto all’avvocato del reclamante e non avendo tuttavia ricevuto il pagamento concordato – inviava una nuova email all’ indirizzo email del dipendente del reclamante chiedendo nuovamente di essere contattata.
A seguito di questa seconda email, la società riceveva il pagamento concordato da parte del reclamante e quindi provvedeva a segnalare a Sky l’avvenuta definizione della posizione.
Dopo aver ricevuto il reclamo, il Garante privacy, quindi, invitava Sky, in qualità di titolare del trattamento, e la società di recupero crediti, in qualità di responsabile del trattamento, a fornire le proprie osservazioni sulla vicenda.
La titolare del trattamento dichiarava di non aver condiviso con la società di recupero crediti l’indirizzo email che era stato utilizzato dalla collaboratrice della società per inviare le due comunicazioni oggetto di causa, né tanto meno di aver inviato le suddette comunicazioni.
La società di recupero crediti, invece, illustrava i fatti verificatisi – come sopra esposti – e sosteneva che l’erroneo utilizzo dell’indirizzo email era dipeso da un naturale ed inevitabile errore commesso in maniera del tutto accidentale dalla propria collaboratrice, nonostante la società avesse adottato tutti i presidi tecnici ed organizzativi volti ad impedire che si verificasse una violazione del genere.
Potrebbero interessarti anche:
- La comunicazione da fornire agli utenti in caso di data breach consistente nel furto delle password di un account email
- È reato leggere e spiare le email altrui
2. La valutazione del Garante
Preliminarmente, il Garante ha evidenziato come, ai sensi del regolamento europeo sul trattamento dei dati personali (c.d. GDPR) il trattamento dei dati personali debba avvenire nel rispetto dei principi di liceità, correttezza e trasparenza, nonché di minimizzazione dei dati; inoltre, il trattamento deve essere effettuato in presenza di una idonea base giuridica.
Tali principi, inoltre, sono richiamati anche nel provvedimento generale del 2005 con cui il Garante ha disciplinato l’attività di recupero crediti, prescrivendo agli operator idi settore le misure necessarie per effettuare dei trattamenti in maniera conforme alla normativa privacy.
Ciò premesso, il Garante ha evidenziato come il sopra richiamato provvedimento generale stabilisca che i soggetti che effettuano l’attività di recupero crediti debbono rispettare il principio di liceità del trattamento e che la comunicazione ingiustificata a soggetti terzi rispetto al debitore, quali familiari, coabitanti, colleghi di lavoro o vicini di casa, di informazioni relative alla condizione di inadempimento in cui si trova l’interessato, costituisce una violazione della normativa in materia di privacy.
Tale previsione contenuta nel richiamato provvedimento generale, infatti, mira a evitare che le società di recupero crediti possano utilizzare l’invio di comunicazioni a tali soggetti terzi, per effettuare delle indebite pressioni nei confronti del debitore per indurlo a pagare il proprio debito.
Nel caso di specie, secondo il Garante, il trattamento dei dati è stato effettuato dalla società in maniera non conforme ai principi di liceità, correttezza e trasparenza dei dati nonché quello di minimizzazione dei dati e pertanto costituisce una violazione della normativa privacy, proprio in quanto i dati personali del reclamante (quali nome, cognome e posizione debitoria) sono stati comunicati a un soggetto terzo, senza alcuna base giuridica idonea.
3. La decisione del Garante
In base alle valutazioni di cui sopra, il Garante per la protezione dei dati personali ha quindi ritenuto che l’invio delle due email, da parte della società di recupero crediti, all’indirizzo email del dipendente della società di cui il reclamante era il legale rappresentante, costituisse una violazione della normativa in materia di protezione dei dati personali e conseguentemente ha comminato alla suddetta società una sanzione pecuniaria amministrativa.
Per quanto concerne la quantificazione della sanzione, il Garante ha valutato il fatto che la violazione è stata di natura colposa e che non vi erano stati dei precedenti specifici a carico della società di recupero crediti, che tuttavia non si è conformata alla disciplina in materia di protezione dei dati personali nonostante le indicazioni specifiche in materia fossero state fornite dal Garante sin dal 2005. In considerazione di ciò, la sanzione è stata quantificata in €. 10.000.
Volume consigliato:
I ricorsi al Garante della privacy
Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Michele Iaselli | 2022 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento