Nelle attività di recupero crediti il titolare del trattamento deve effettuare controlli periodici, documentati e verificabili per monitorare, sotto il profilo della protezione dei dati personali, le attività di recupero crediti affidate a società terze responsabili. Quest’ultime, a loro volta, devono adottare misure tecniche e organizzative che mettano a disposizione del titolare un quadro esatto ed aggiornato delle informazioni effettivamente raccolte e trattate per gestire la posizione del debitore.
Lo ha ribadito il Garante per la protezione dei dati personali che ha comminato una sanzione di 50mila euro alla società titolare del trattamento e di 30mila euro alla società incaricata del recupero del credito, destinataria dei dati del debitore trasmessi dal titolare, quale responsabile del trattamento.
L’Autorità è intervenuta a seguito di una segnalazione con cui il debitore indicava l’utilizzo, nell’ambito delle attività di recupero del credito nei suoi confronti, di un numero di cellulare a lui intestato ma non più nella sua disponibilità.
Il debitore lamentava le modalità con cui le due società avevano trattato i suoi dati personali e in particolare chiedeva in che modo fossero stati recuperati.
Dall’istruttoria è emerso che la società titolare del trattamento non aveva vigilato adeguatamente sulle attività effettuate dalla società responsabile e sulle istruzioni a questa impartite. Mentre la società responsabile non aveva fornito a quella titolare un quadro aggiornato delle informazioni raccolte durante l’incarico e non l’aveva informata del fatto che il debitore aveva chiesto di conoscere la provenienza del numero di telefono contattato ai fini del recupero del credito.
Nel determinare l’importo delle sanzioni, l’Autorità ha tenuto conto sia della gravità delle violazioni sia delle iniziative assunte dalle due società per prevenire il ripetersi di situazioni analoghe.
