HOME COLLECTION PHONE COLLECTION RICERCHE ANAGRAFICHE SOCIETÀ FINANZIARIE (UNIREC ASSOFIN)

Transcript

1 per

2 1. PRIVACY E GESTIONE AMMINISTRATIVA DELL IMPRESA 2 2. PRIVACY NELLO SVOLGIMENTO DELL ATTIVITÀ DI RECUPERO CREDITI HOME COLLECTION PHONE COLLECTION RICERCHE ANAGRAFICHE SOCIETÀ FINANZIARIE (UNIREC ASSOFIN)

3 3 Misure di sicurezza Art. 31. D.Lgs. 196/2003 Obblighi di sicurezza I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Misure minime di sicurezza Art. 33. D.Lgs. 196/2003 Misure minime Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capooaisensidell'articolo58,comma3, volte ad assicurare un livello minimo di protezione dei dati personali.

4 4 Art D.Lgs. 196/2003Misure di sicurezza 1. (1) Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni. 2. (2) All'autore del reato, all'atto atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo della sanzione stabilita per la violazione amministrativa. L'adempimento e ilpagamento estinguono ilreato ( ). (1) Comma così modificato dall art. 44, comma 9, lett. a), del decreto legge 30 dicembre 2008, n. 207 convertito, con modificazioni, dalla legge 27 febbraio 2009, n. 14. (2) Comma così modificato dall art. 44, comma 9, lett. b), del decreto legge 30 dicembre 2008, n. 207 convertito, con modificazioni, dalla legge 27 febbraio 2009, n. 14. Art D.Lgs. 196/2003 Inosservanza di provvedimenti del Garante 1. Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 26, comma 2, 90, 150, commi 1 e 2, e 143, comma 1, lettera c), è punito con la reclusione da tre mesi a due anni.

5 5 Art. 34. D.Lgs. 196/2003 Trattamenti con strumenti elettronici 1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza,il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. 1 bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativiaipropridipendentiecollaboratori,ancheseextracomunitari,compresiquellirelativialconiugeeaiparenti,latenutadiun aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell' articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattarett soltanto t tlidtii tali dati in osservanza delle misure minime i di sicurezza previste it dl dal presente codice e dldi dal disciplinarei tecnico contenuto nell'allegato B). In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrativo contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l'innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all'adozione delle misure minime di cui al comma 1. 1 ter. ( Ai finii dell'applicazione li i delle disposizionii i i in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile,aprescinderedallanaturadeidatitrattati.inparticolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all'adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all'applicazione delle norme in materia fiscale, sindacale, previdenziale assistenziale, di salute, igiene e sicurezza sul lavoro.

6 6 Art. 35. D.Lgs. 196/2003 Trattamenti senza l ausiliodistrumenti strumenti elettronici Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a. aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative; b. previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c. previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.

7 7 Lettera a) Autenticazione informatica Lettera b) Adozione di procedure di gestione delle credenziali di autenticazione Lettera c) Utilizzazione di un sistema di autorizzazione Questi punti hanno lo scopo di disciplinare alcune questioni di sicurezza inerenti le password utilizzate per la protezione delle banche dati.

8 8 Le indicazioni dell art.34 (lettera a, b, c) devono essere concordate con il proprio tecnico informatico. Devono seguire le prescrizioni contenute nell All. B), Disciplinaretecnicoi i in materia dimisurei minime i disicurezza: i a) le parole chiave devono essere formate da almeno otto caratteri; b) ogni incaricato autorizzato ad accedere alle banche dati dell impresa deve essere dotato di una propria parola chiave; c) le credenziali di autenticazione perdute o non utilizzate per almeno sei mesi devono essere disattivate; d) la parola chiave deve essere modificata dall incaricato al primoutilizzoedalmenoogniseimesi,mentreincasodi trattamento di dati sensibili il cambio deve essere effettuato almeno ogni tre mesi.

9 9 Lettera e) Protezione degli strumenti elettronici i e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici. Lettera f) Adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi. Il punto e) prescrive l adozione di sistemi firewall ed antivirus, anch essi obbligatori e da adottare, tenendo conto delle caratteristiche della propria struttura informatica. Il punto f) disciplina il cosiddetto back up, ossia il ripristino dei dati contenuti nelle banche dati in seguito a perdita accidentale o parziale distruzione. Nello specifico, l art. 23 del Disciplinare Tecnico preso in considerazione, prescrive che il ripristino delle banche dati deve essere garantito in termini non superiori a sette giorni dall avvenuta perdita o distruzione.

10 10 lettera g) tenuta di un aggiornato Documento Programmatico sulla Sicurezza. La più importante prescrizione contenuta nell art. 34 è rappresentata dalla lettera g) che impone l adozione obbligatoria di un Documento Programmatico sulla Sicurezza (D.P.S.) da stilare entro il 31 marzo di ogni anno. Tale documento deve racchiudere in estrema sintesi: l elenco dei trattamenti; la distribuzione dei compiti; l analisi dei rischi; le misure da adottare per garantire l integrità dei dati; la descrizione dei criteri del ripristino; le misure minime di sicurezza adottate; la previsione di interventi formativi per gli incaricati del trattamento.

11 11 Ai sensi dell'articolo l 4 comma 1 lettera f) delcodice della Pi Privacy, si definisce titolare del trattamento dei dati la persona fisica, giuridica, la Pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali ed agli strumenti utilizzati, ivi compreso il profilo della sicurezza. Nell azione di recupero crediti in via stragiudiziale, la figura del Titolare del trattamento si identifica con il creditore che è il detentore delle informazione raccolte nei confronti della controparte contrattuale inadempiente.

12 12 Ai sensi dell'art art. 4, comma 1, lett. g) del Codice, per responsabile del trattamento si intende lapersonafisica,giuridica,lapubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento dei dati personali. L atto di designazione dovrà essere redatto per iscritto e contenere le istruzioni del Titolare in merito al trattamento dei dati (art. 29, comma 4). Nell azione di recupero crediti i in via stragiudiziale i il ruolo del responsabile del trattamento è affidato all impresa che esercita il recupero crediti (art. 5 provvedimento del Garante del 30 novembre 2005).

13 13 Per incaricato del trattamento dei dati si intende, ai sensi dell art.4, comma 1, lett. h) del Codice, la persona fisica autorizzata a compiere le operazioni di trattamento dal titolare o dal responsabile. L'art. 30 del Codice precisa che le operazioni di trattamento possono essere compiute solo da soggetti nominati incaricati. Tl Tale specificazione i rende doverosa la designazione i all'interno della struttura del titolare. Laqualifica diincaricato i del trattamento appartiene: Agli addetti al recupero, tanto nell ambito della phone collection, quanto in quello della home collection. A tutti i collaboratori della società di recupero crediti a cui sono affidati operazioni di trattamento dati (amministrativi).

14 14 La peculiarità ità della posizione ii giuridica idi in materia privacy delle società di recupero crediti consiste nel fatto che esse: oltre ad essere responsabili del trattamento circa i dati forniti dal creditore sono allo stesso tempo titolari del trattamento di daticircaleinformazionirelativealdebitoreraccolte da parte dei propri dipendenti, d i collaboratori e fornitori

15 15 L art.5 del provvedimento dell Autorità àgarante per la protezione dei dati personali del 30 Novembre 2005 dispone che: In attuazione dei principi di protezione dei dati personali, il titolare del trattamento deve rendere edotti gli interessati (di norma in sede di conclusione del contratto) delle informazioni previste all'art. 13 del Codice, con particolare riferimento all'indicazione i degli eventuali responsabili dlt del trattamentott t ai quali è rimesso l'incarico di procedere al recupero crediti (se del caso, ai sensi dell'art art. 13, comma 1, lett. f), del Codice, indicandoli nel proprio sito Internet e facendo ad esso espresso riferimento nell'informativa resa.

16 16 Sebbene questo provvedimento possa essere letto come una limitazione all attività delle società di recupero crediti, analizzandolo nello specifico si vedrà come piccoli accorgimenti possano, da un lato, garantire il rispetto della norma e dall altro altro consentire il corretto svolgimento dell attività delle società stesse.

17 DalTitolaredeltrattamento(Creditore)al l dl di l Responsabile(SocietàdiR.C.) i 17 È necessario che le informazioni ed i dati forniti dal creditore alla società di recupero crediti siano stati trattati in maniera legittima. Infatti se in sede di redazione contrattuale la società creditrice non abbia acquisito un espresso consenso, da parte del soggetto finanziato, a che i propri dati possano essere comunicati a terzi soggetti, la detenzione o l utilizzo di detti dati potrebbero essere dichiarato nullo, esponendo anche la società di recupero crediti ad una richiesta risarcimento danni in sede civile.

18 Dal Titolare del trattamento (Creditore) al Responsabile (Società di R.C.) È consigliabile inserire nelle fattispecie contrattuali la seguente formula: 18 Con la sottoscrizione del presente accordo dichiariamo di avere informato i nostri clienti circa il possibile trattamento dei loro dati da parte di società di recupero crediti nell'ambito del testo informativa/consenso da noi utilizzato. Dichiariamo, inoltre, che la raccolta e la comunicazione dei dati dei debitori sono effettuate nel rispetto delle disposizioni previste dal D.lgs. 196/2003 e successivemodificheeintegrazioni. (Vademecum UNIREC su privacy e recupero crediti acuradi Vittorio Colomba) Nel caso di nomina a responsabile del trattamento la formula da utilizzare potrebbe essere la seguente: Con il presente atto nominiamo la quale Responsabile del trattamento delle informazioni dei nostri clienti autorizzando la stessa al trattamento dei loro dati nei limiti econle modalità imposte dal D.Lgs. 196/2003 e succ. mod. e int. (Vademecum UNIREC su privacy e recupero crediti a cura di Vittorio Colomba)

19 19 Dal Responsabile del trattamento (Società di R.C.) alla nomina dell incaricato del trattamento Acquisito il mandato ed i relativi dati dal creditore, la società di recupero affida la pratica ai propri collaboratori i quali sono giuridicamente configurabili come Incaricati del trattamento, pertanto, ai sensi dell art. 30 del D.Lgs. 196/2003 gli stesi debbono sottostare a due condizioni di legittimità: 1. essere nominati per iscritto; 2. individuare,in base alla competenza ed alle mansioni dell incaricato, gli ambiti di trattamento consentito.

20 Conclusionedel llavoro e conservazione deidti dati 20 Una volta concluso il proprio p mandato, le questioni che si pongono nell ambito del trattamento dei dati personali sono due: 1. è possibileconservare alcune informazioni? 2. e se sì, quali informazioni è possibile conservare e per quanto tempo? A queste due domande danno risposta sempre il Provvedimento dell Autorità Garante del 30 Novembre 2005 e l art. 11 del D.lgs. 196/2003 lettera e).

21 Conclusione del lavoro e conservazione dei dati 21 Da un lato, l art.11 consente la conservazione dei dati per un periodo di tempo non superiore a quello necessario allo svolgimento li del lavoro della società di recupero crediti, dall altro lato il provvedimento del 30 novembre permette una loro ulteriore conservazione in caso di assolvimento di specifici obblighi di legge. La conservazione dovrà essere attuata con modalità tali da precluderne agli incaricati del trattamento la normale consultabilità. Si rendono quindi necessarie la creazione di un apposito archivio dati e la nomina di un Responsabile del trattamento con compito specifico di gestione e controllo.

22 22 Per evitare che il trattamento illecito di dati da parti di collaboratori, anche esterni, determini eventuali sanzioni anche in capo alla società di recupero crediti e necessario dotare gli stessi collaboratori sia della lettera di incarico sia dell annesso mansionario con la specifica indicazione dei compiti ad essi affidati e delle procedure da rispettare per rendere la propria attività conforme alla norma. Solo le persone fisichei possono essere nominate Incaricati del trattamento: se in una società di persona è lo stesso titolare a fare attività di recupero esterno, la nomina deve essere riferita alla persona in quanto tale e non alla società; se l impresa di recupero affida mandato ad altre società, è indispensabile individuare, all interno della società submandataria, singole persone fisiche per procedere alla loro formale ae nomina aadad Incaricati. cat

23 23 Il recuperatore non può raccogliere indiscriminatamente ogni tipo di informazione del debitore o di terzi soggetti per ragione del proprioincarico. L impresa di recupero non può conservare né comunicare alla propria cliente ogni tipo di informazione raccolta dai propri collaboratori. Il cliente non può pretendere che il proprio service di recupero raccolga per suo conto un indiscriminato patrimonio informativo.

24 24 Il collaboratore può raccogliere, in assenza di espresso consenso del debitore, solo i dati strettamente necessari all esecuzione del proprio mandato, nel rispetto dell art art.24, lett.b) del D.Lgs. 196/2003 nonché in ottemperanza al Provvedimento dell Autorità Garante in materia del 30 novembre 2005 ed i dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque. È necessario invece ottenere il consenso espresso per poter trattare i dati sensibili, i dati giudiziari ed i dati di terzi soggetti estranei al finanziamento.

25 25 I principali dati sensibili (origine razziale od etnica di un individuo, politiche, religiose e filosofiche, l orientamento sessuale) non hanno alcuna rilevanza nella raccolta dati relativa al recupero crediti. Discorso diverso per i cosiddetti dati sanitari (idonei a rivelare lo stato di salute). La comunicazione di tale dato potrebbe essere di particolare importanza per la mandante la quale, a fronte di ciò, potrebbe usufruire di una eventuale assicurazione sul credito ousufruire delle agevolazioni fiscali previste nel caso di inserimento in bilancio di crediti inesigibili.

26 26 Per poter produrre la documentazione medica relativa all effettivo stato di salute è necessario acquisire il consenso scritto del debitore. Per questa ragione, ogni qual volta il debitore desideri comunicare propri dati sanitari, è opportuno che il recuperatore provveda a fargli sottoscrivere una dichiarazione come questa: opportunamente informato ai sensi dell art. 13 del D.Lgs. 196/2003, presto il consenso al trattamento dei miei dati, anche sensibili, bl alla (impresa di recupero), per finalità connesse all attività di recupero crediti.

27 27 Il provvedimento del 30 novembre 2005 non prevede espressamente la possibilità di effettuare visite domiciliari non concordate con il debitore, prassi che, nella realtà, è di gran lunga dominante nel mondo della home collection. Nonostante ciò la stessa Autorità Garante ha chiarito, seppur non ancora per iscritto, la legittimità della visita domiciliare non concordata, a condizione che il recuperatore si comporti in maniera tl tale da salvaguardare la riservatezza e la dignitàità personale del debitore. A tal proposito, vale la pena ricordare che esistono altre previsioni cui attenersi per garantire la legittimità della propria azione di recupero.

28 28 Art. 660 Codice Penale Molestia o disturboallepersone. Chiunque, in un luogo pubblicooapertoalpubblico, ovvero col mezzo del telefono, per petulanza o per altro biasimevole motivo, reca a taluno molestia o disturbo è punito con l'arresto fino a sei mesi o con l'ammenda fino a 516 euro. Art. 610 Codice Penale Violenza privata. Chiunque, con violenza o minaccia, costringe altri a fare, tollerare od omettere qualche cosa è punito con la reclusione fino a quattro anni La pena è aumentata se concorrono le condizioni previste dall'articolo 339. Art. 614 Codice Penale Violazione di domicilio. Chiunque s'introduce nell'abitazione i altrui, o in altro luogo di privata dimora, o nelle appartenenze di essi, contro la volontà espressa o tacita di chi ha il diritto di escluderlo, ovvero vi s'introduce clandestinamente o con l'inganno, è punito con la reclusione fino a tre anni. Alla stessa pena soggiace chi si trattiene nei detti luoghi contro l'espressa volontà di chi ha il dirittoitt di escluderlo, l ovvero vi si trattienetti clandestinamente t ocon inganno. Il dlitt delitto è punibile a querela della persona offesa. La pena è da uno a cinque anni, e si procede d'ufficio, se il fatto è commesso con violenza sulle cose, o alle persone, ovvero se il colpevole è palesemente armato. Art. 612 Codice Penale Minaccia. Chiunque minaccia ad altri un ingiusto danno è punito, a querela della persona offesa, con la multa fino a 51 euro. Se la minaccia è grave, o è fatta in uno dei modi indicati nell'articolo, la pena è della reclusione fino a un anno e si procede d'ufficio.. Si riportano di seguito, a puro titolo esemplificativo, alcune fattispecie aventi penale rilevanza in cui può incorrere il recuperatore non dotato di adeguata formazione professionale.

29 29 Chiunque effettui un trattamento di dati personali nell'ambito dell'attività di recupero crediti deve osservare il principio di liceità nel trattamento: tale precetto è violato dal comportamento (attuato da taluni operatori economici) consistente nel comunicare ingiustificatamente a soggetti terzi rispetto al debitore (quali, ad esempio, familiari, coabitanti, colleghi di lavoro o vicini di casa), informazioni relative alla condizione di inadempimento nella quale versa l'interessato (comportamento talora tenuto per esercitare indebite pressioni sul debitore al fine di conseguire il pagamento della somma dovuta) Provvedimento Autorità Garante del 30 Novembre 2005, art. 2, comma 1. Tale principio, p non pone un divieto assoluto circa l attività di recupero crediti esercitata attraverso il contatto con terze persone, appartenenti alla sfera del debitore, ma sancisce che ai terzi non possono essere comunicate chiaramente le ragioni della visita. Tale comunicazione è senz altro vietata se lo scopo è quello di esercitare indebite pressioni sul debitore stesso.

30 30 Il riconoscimento del diritto del debitore a che soggetti terzi non vengano a conoscenza della sua morosità è rafforzato dai seguenti principi: 1. divieto di utilizzo di telefonate pre registrate volte a sollecitare il pagamento; 2. divieto di affissione di avvisi di mora sulla porta del debitore; 3. divieto di utilizzo di solleciti di pagamento con modalità che palesino ad osservatori esterni il contenuto t della comunicazione: i ciò può accadere nel caso di utilizzo di cartoline postali o tramite l'invio di plichi recanti all'esterno la scritta "recupero crediti". Con riferimento ai punti 2) e 3), la corretta procedura prevede che ogni comunicazione scritta sia lasciata possibilmente nella cassetta della posta, all indirizzo del debitore, opportunamente pinzata. Con riferimento al punto 3 l utilizzo della locuzione recupero crediti all esterno della busta, non è in assoluto vietata, maèdaevitarsiin modalità tale da rendere palese il contenuto della comunicazione.

31 31 In attuazione dei principi i i di protezione dei dati personali, il titolare del trattamento deve fornire agli interessati l'indicazione degli eventuali responsabili del trattamento ai quali è rimesso l'incarico di procedere al recupero crediti (se del caso, indicandoli nel proprio sito Internet e facendone riferimento nell'informativa resa). Nel caso i dti dati vengano raccolti presso terzi, l'informativa, comprensiva delle categorie di dati trattati, è fornita all interessato all'atto atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione.

32 32 L informativa i deve contenere i seguenti elementi: a. le finalità e le modalità del trattamento cui sono destinati i dati; b. la natura obbligatoria o facoltativa del conferimento dei dati; c. le conseguenze di un eventuale rifiuto di rispondere; d. isoggettiolecategoriedisoggettiaiqualiidatipersonali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusionedeii d idti datimedesimi; d i i e. i diritti di cui all articolo 7 del Codice Privacy; f. gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile.

33 33 Come nella Home collection, anche nella Phone collection vi è la necessità che il collaboratore riceva, da parte dell impresa di recupero, un incarico ed un apposito mansionario ai sensi dell art. 30, D.Lgs 196/2003. Non esiste alcuna differenza, sotto il profilo della tipologia delle informazioni che possono essere raccolte per finalità connesse al recupero stragiudiziale i del credito, tra collaboratori addetti alla Phone collection e recuperatori esterni per cui, valgono le stesse regole.

34 34 Il Provvedimento del 30 Novembre del 2005 indica, come condizione di legittimità dell utilizzo di un numero telefonico per finalità connesse al recupero stragiudiziale del credito il fatto che: tale recapito sia stato fornito direttamente dal suo titolare al momento della conclusione del contratto di finanziamento sia contenuto in elenchi conosciuti o conoscibili da chiunque. I riferimenti presenti nei nuovi elenchi sono generalmente divisi in due categorie: quelli utilizzabili per comunicazioni interpersonali (contrassegnati da un icona rappresentante una cornetta del telefono) ; quelli utilizzabili anche per finalità statistiche o di marketing (contrassegnati da un icona rappresentante una busta da lettere). Non svolgendo alcuna attività qualificabile come marketing, l impresa di recupero può utilizzare tutti i riferimenti presenti negli elenchi, a prescindere dall icona che ne contrassegna l utilizzo voluto dal proprio titolare.

35 35 Sempre più frequente è l uso di sms quali strumenti di contatto e di sollecito di pagamento del debitore. È opportuno segnalare il carattere fortemente invasivo di tale strumento, raccomandandone l utilizzo alle seguenti condizioni: modalità concordata con il debitore stesso, ed esclusa quale sistema it di primo contatto; ttt invio di un solo sms per comunicazione, evitando la spedizione ripetuta del medesimo messaggio in un arco temporale limitato.

36 36 Per un corretto svolgimento della propria attività, le società di recupero crediti si interfacciano con gli uffici di Anagrafe Civile. Gli ostacoli incontrati per l accesso laccesso alle informazioni nascono, nella maggior parte dei casi, all interpretazione della normativa sulla privacy ed della circolare del Ministero dell Interno n. 11 del 2003, cui fa solitamente riferimento il personale degliuffici Anagrafici. FONTI NORMATIVE DI RIFERIMENTO Codice della Privacy (art. 62 e art. 20) D.P.R. 223/89 (art. 33) Circolare del Ministero dell Interno n.11 del 2003

37 37 Il Codice Privacy riconosce lo status di rilevante interesse pubblico alle finalità connesse alla tenuta dei registri anagrafici (art. 62 Codice Privacy) sancendo che qualora non siano individuati i tipi di dati sensibili e di operazioni eseguibili (come nel caso dell Anagrafe) Anagrafe), si debba far riferimento ad un atto interno di natura regolamentare (art. 20 comma 2 Codice Privacy). L interpretazione indicata dagli Uffici di Stato di Civile fa riferimento alla Circolare del Ministero dell Interno n.11 del 2003, che a sua volta si riferisce esclusivamente all attività posta in essere dagli Avvocati e, pertanto, non applicabile a quella del recupero crediti stragiudiziale. Invece la normativa di riferimento dovrebbe essere l art. 33 del D.P.R. n. 223/89 che, al comma 1 sancisce: L'ufficiale i l di anagrafe rilascia i a chiunque ne faccia richiesta, fatte salve le limitazioni di legge, i certificati concernenti la residenza e lo stato di famiglia.

38 38 In conclusione non esistono cause ostative alla richiesta, ai competenti Uffici dell Anagrafe, di certificati di residenza da parte di società di recupero crediti in quanto l art. 33 del D.P.R. n. 223/89 dispone che l ufficiale di anagrafe rilascia a chiunque ne faccia richiesta, fatte salve le limitazioni di legge, tali certificati. Solo nel caso in cui il soggetto risulti aver trasferito la propria residenza in altro comune è possibile ottenere solo informazioni sul Comune di emigrazione.

39 39 Per facilitare la corretta applicazione della normativa vigente, UNIREC e ASSOFIN hanno provveduto a regolamentare i rapporti tra le proprie associate, nel pienorispetto i deidirittii i dei soggetti finanziati. i i

40 40 Nella fase di conclusione del contratto è necessario rispettare le prescrizioni previste dall art. 13 lettera D del Codice Privacy che prevedeede l obbligo di informare il soggetto finanziatoiato circa i soggettiolecategoriedisoggettiaiqualiidatipersonalipossono essere comunicati ochepossono venirne a conoscenza in qualità di responsabili o incaricati. Tale fase informativa, necessaria per una legittima acquisizione di dati, deve realizzarsi mediante l esplicita previsione, all interno del contratto di finanziamento, di una possibile ed eventuale comunicazione dei dati del soggetto finanziario a società di recupero crediti, operanti in qualità di Responsabili del trattamento.

41 41 Vengono individuate alcune categorie di informazioni raccolte, di norma, all atto atto della sottoscrizione del contratto, essenziali per la buona esecuzione del mandato ricevuto e, nello specifico, nome e cognome; codice fiscale; residenza/domicilio; recapiti telefonici; ammontare del credito e condizioni di pagamento; copia del modulodidi consenso prestato.

42 Comunicazione delle informazioni del cliente all impresa di recupero 42 Per garantire che i dati trasmessi siano sempre aggiornati, è opportuno che vengaprevisto, it già nella fase contrattuale: tt a. l obbligo per il soggetto finanziato di comunicare ogni variazione dei dati originariamente forniti; b. l autorizzazione del cliente a favore della società finanziaria, ed il contestuale impegno di quest ultima ultima, alla verifica periodica della pertinenza ed esattezza delle informazioni presenti nelle proprie banche dati; c. l estensione dell autorizzazione allo svolgimento dell attività di cui al punto b) anche all outsourcer incaricato del recupero.