CORSO

DI FORMAZIONE
PRIVACY (GDPR)
1
Indice per moduli

Modulo n° 1:
Quadro normativo
Nozioni generali
Il diritto alla protezione dei dati personali

Modulo n° 2:
Soggetti interessati
Rapporti tra mandante e società di recupero crediti

Modulo n° 3:
Adempimenti principali

Modulo n° 4:
Esecuzione dell’incarico di recupero

Modulo n° 5:
Reclami – Casi pratici

2
Indice dettagliato
Modulo n° 1:
1) Riferimenti normativi ….………………………………………….…………………………..…….……..…... 5
2) Nozioni generali …………………………………………………………………………….…………….………… 7
3) Il diritto alla protezione dei dati personali ……………………………..…………………..….......... 11
Modulo n° 2:
1) Soggetti:
- Il Titolare del trattamento dei dati ………………………………………………………….………. 14
- Il Responsabile del trattamento dei dati …………………………………………………………. 16
- Il Responsabile della protezione dei dati …………………………………………………………. 18
- L’incaricato del trattamento dei dati e l’interessato …….………………………………….. 19
Modulo n° 3:
1) Adempimenti principali …………………………………………………………………………………..…….. 20
- Privacy by design ……………………………………………………………………….……………………. 22
- Privacy by default …………………………………………………………………….……………………… 24
2) Principi fondamentali per il trattamento dati ………………………………………………………… 27
Modulo n° 4:
1) Esecuzione dell’incarico di recupero
- Obblighi e doveri dell’incaricato in generale………………………………...………………..... 29
- Aspetti particolari legati al recupero del credito ……………………....……………………… 30
- Rapporti con i terzi …………………………………………………………………………………………… 37
- Conservazione dei dati e delle informazioni …………………………………………………….. 43
Modulo n°5
1) Reclami …………………………………………………………………….…............................................. 46
2) Casistica e esercizi pratici ……………………………………………………………………………………….. 47
3
 Modulo n° 1

Riferimenti normativi

Nozioni generali

Il diritto alla protezione dei dati personali

4
Riferimenti normativi
Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27.04.2016
relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione
di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).

→ LO SCOPO - consentire l’aggiornamento e l’armonizzazione della disciplina sulla protezione dei dati personali. Per le
peculiarità della fonte regolamentare, è applicabile a tutti gli Stati membri in maniera uniforme.
→ L’ATTUAZIONE - per ciò che concerne l’ordinamento italiano, il Regolamento abroga la direttiva 95/46/CE e le relative
disposizioni contenute nel Codice della privacy (rimangono in vigore quelle di attuazione della Direttiva 58/2002 e
quelle della Direttiva 136/2009, entrambe relative alla tutela della vita privata e alle comunicazioni elettroniche).
→ VERSO UN DIRITTO UNICO – a fronte di una razionalizzazione e maggiore semplificazione di alcuni processi, anche
con sostanziale sburocratizzazione di alcuni requisiti, viene tuttavia innalzato il livello di guardia a livello europeo,
uniformando sanzioni e procedure, finora molto diverse. La materia della protezione dei dati diventa a questo punto
centrale in tutte le politiche di compliance aziendale, ma anche elemento cruciale delle politiche produttive e di
business. Trattasi di una nuova riorganizzazione del tessuto imprenditoriale che diventa più “privacy-centrica”.
5
Riferimenti normativi

Regolamento (UE) 2016/679 del

Entrato in vigore in data 24/05/2016,
Parlamento Europeo e del con applicazione obbligatoria dal 25/05/2018
Consiglio del 27.04.2016

Sul diritto alla Sull’autorità Sulla

Sull’applicazion
portabilità Sul DPO capofila valutazione
e delle sanzioni
WP 243 d’impatto
WP 242 WP 244 WP 253
WP 248
Linee Guida del Gruppo di Lavoro
Art. 29 Sulla notificazione
Sul processo
Sulla
decisionale Sul Consenso
di Data Breach trasparenza
automatizzato WP 259
WP 250 WP 260
WP 251

Orientamenti generali e decisioni

vincolanti del Comitato Europeo
per la protezione dei dati (EDPB)

Codice Privacy (D.Lgs. 196/2003)

come modificato dal
Decreto Legislativo n. 101 del
10/08/2018

Provvedimenti del Garante per la

protezione dei dati personali

6
Nozioni generali

Cos’è il TRATTAMENTO dei dati?

Il TRATTAMENTO è qualsiasi operazione o complesso di operazioni, effettuati

anche senza l’ausilio di strumenti elettronici e applicate ai dati personali che
possono riguardare:
• la raccolta, • il raffronto,
• la registrazione, • l’interconnessione,
• l’organizzazione, • la limitazione,
• la strutturazione, • la cancellazione,
• la conservazione, • la distruzione di dati,
• l’adattamento o la modifica, • la comunicazione mediante
• l’estrazione,
trasmissione,
• la consultazione,
• l’uso, • la diffusione o altra forma di
• il blocco, messa a disposizione.

Nota Bene:
Il trattamento è lecito solo se (art. 6 GDPR):
❑ è necessario all’esecuzione di un contratto,
❑ è necessario per adempiere ad un obbligo legale,
❑ è necessario per l’esecuzione di un compito di interesse pubblico,
❑ l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più
specifiche finalità.

7
Nozioni generali

Cosa significa la COMUNICAZIONE?

Il dare conoscenza dei dati personali a uno o più Nota Bene:
soggetti determinati diversi dall’interessato, dal è fatto divieto assoluto dare
rappresentante del titolare nel territorio dello comunicazione ai soggetti
Stato, dal responsabile e dagli incaricati, in
terzi non autorizzati diversi
qualunque forma, anche mediante la loro messa
dall’interessato
a disposizione o consultazione.

Cosa significa la DIFFUSIONE?

Il dare conoscenza dei dati personali a soggetti
Nota Bene:
indeterminati, in qualunque forma, anche
mediante la loro messa a disposizione o è fatto divieto assoluto
consultazione. diffondere dati personali
dell’interessato

Cosa significa la LIMITAZIONE?

La limitazione di trattamento dei dati prevede una sospensione temporanea di tutte le operazioni di trattamento.

Cosa significa la PSEDUONIMIZZAZIONE?

Il trattamento dei dati personali in modo tale da escludere la possibilità di attribuire i dati ad un interessato
specifico senza l’utilizzo di informazioni aggiuntive.
8
Nozioni generali

Cosa significa la PROFILAZIONE?

Qualsiasi forma di trattamento automatizzato Nota Bene:

di dati personali che consiste nell’attività di
raccolta ed elaborazione dei dati per
categorizzare gli interessati in base al loro
comportamento o scelte da loro effettuate.
L’interessato ha il diritto di non
essere sottoposto alla profilazione,
ma tale processo è lecito qualora:
❑ sia necessario per esecuzione
di un contratto,
❑ sia autorizzato dalla legge,
❑ si basi sul consenso espresso
dell’interessato.

Cosa significa IL DIRITTO ALL’OBLIO? Nota Bene:

La cancellazione in tal caso
Prevede la possibilità per l’interessato di essere «dimenticato» dal dovrà riguardare tutti i dati trattati
titolare e/o responsabili del trattamento attraverso la cancellazione di da tutti i soggetti che ne hanno
tutti i dati personali che lo riguardano. ricevuto comunicazione
in modo da eliminare
completamente ogni riferimento
alla persona dell’interessato.

9
Nozioni generali

Tipologie dei dati

Dati personali:
qualsiasi informazione relativa a persona fisica, identificata o identificabile (l’interessato),
anche indirettamente, mediante riferimento a qualsiasi altra informazione (esempio:
nominativo, numero di telefono).

Particolari categorie di dati: Nota Bene:

Si tratta di dati personali idonei a rivelare: Il GDPR vieta il trattamento delle categorie
- l’origine razziale ed etnica, particolari dei dati.
- le opinioni politiche o l’appartenenza sindacale, Il loro trattamento è permesso solo:
❑ dietro il consenso scritto dell’interessato
- le convinzioni religiose, filosofiche o di altro genere,
❑ per obblighi specifici del titolare del
- dati genetici, biometrici intesi ad identificare in modo
trattamento in materia di diritto del
univoco una persona; lavoro.
- dati relativi allo stato di salute o l’orientamento sessuale.

Dati personali dei minori: Nota Bene:

I dati personali riferiti al minorenne di età inferiore a Ai sensi del GDPR il trattamento dei dati dei minori è
16 anni. lecito solo in presenza di un consenso prestato o
autorizzato dal titolare della responsabilità genitoriale.

Dati relativi a condanne penali e reati

I dati personali idonei a rivelare provvedimenti penali in Nota Bene:
materia di casellario giudiziale, di anagrafe delle sanzioni Secondo il GDPR il trattamento dei dati giudiziari deve
amministrative di pendenti da reato e dei relativi carichi essere presidiato da un’autorità pubblica.
pendenti, o la qualità di imputato o di indagato.
10
Il diritto alla protezione dei dati personali

IL DIRITTO ALLA PROTEZIONE DEI DATI PERSONALI

è un diritto fondamentale dell'individuo

tutelato dal Regolamento (UE) 2016/679
e dalla Carta dei diritti fondamentali dell’Unione europea (2000/C 364/01).

Nota Bene: In base al diritto alla protezione dei dati ogni individuo può pretendere che i propri dati
personali siano trattati da terzi solo nel rispetto delle regole e dei principi stabiliti dalla legge.

Accesso ai Rettifica e Limitazione Diritto Portabilità Opposizione

dati cancellazione del all’oblio dei dati al
dei dati trattamento trattamento
Permette Una forma Garantisce il
Garantisce Si applica ai
all’interessato Esercitabile in rafforzata di diritto di
all’interessato soli dati
di esercitare caso di cancellazione opporsi al
che vengano trattati in
un controllo violazione, di dei dati, non trattamento
trattati solo i forma
sul richiesta di esercitabile per finalità di
dati esatti e automatizzata
trattamento rettifica dei per marketing o
che vengano sulla base del
dei propri dati dati e di trattamenti per motivi
cancellati i dati consenso o per
personali e opposizione al necessari per connessi alla
non più esecuzione del
verificarne la trattamento. obblighi di sua situazione
necessari. contratto.
liceità. legge particolare.

11
Il diritto alla protezione dei dati personali

Diritto di accedere ai propri dati personali

L’interessato può richiedere ed ottenere tutte le informazioni circa il
trattamento dei dati che lo riguardano avanzando una richiesta al titolare
del trattamento; in particolare può conoscere:
- le finalità del trattamento,
- le categorie dei dati trattati,
- tutte le informazioni circa l’origine dei dati e modalità di raccolta,
- i destinatari a cui i dati vengono comunicati,
- il periodo di conservazione.

Diritto all'aggiornamento, alla rettifica o alla cancellazione dei dati Nota Bene:
Per esercitare i diritti
E' possibile richiedere al titolare che i dati personali trattati vengano: l’interessato deve
a) aggiornati, rettificati o integrati; presentare una richiesta:
b) bloccati, cancellati o pseudonimizzati (trasformati in forma anonima) se: • formale (per iscritto)
- il trattamento non è più necessario per le finalità stabilite; • all’Ufficio Reclami,
- l’interessato revoca il consenso; • mediante e-mail, fax o
- i dati sono trattati illecitamente; posta raccomandata,
- se devono essere cancellati per obbligo di legge. • corredata da copia di
Diritto di opposizione un documento
d’identità.
E' possibile opporsi al trattamento, inclusa la profilazione, dei propri dati
personali:
Sul sito web è presente
a) per motivi particolari relativi alla situazione dell’interessato;
«Modulo di esercizio di
b) quando i dati sono trattati per finalità commerciali o di marketing.
diritti»

Diritto di proporre il reclamo presso Autorità di controllo competente

12
 Modulo n° 2

Soggetti principali

13
I Soggetti

IL TITOLARE DEL TRATTAMENTO DATI

DATA CONTOLLER - Soggetto competente per il rispetto dei principi
applicabili al trattamento dei dati personali e dotato di potere
decisionale in ordine alle finalità e alle modalità del trattamento dei
dati personali trattati
(es. il creditore, ovvero la mandante, che detiene dati del cliente raccolti
in sede di sottoscrizione del contratto).
Il titolare è vincolato da due elementi:
1. L’obbligo di garantire l’attuazione delle misure
e procedure necessari per la protezione e
IL PRINCIPIO DI ACCOUNTABILITY sicurezza dei dati
(la responsabilizzazione)
2. L’obbligo di essere in grado di comprovare una
deve tradursi nell’adozione di comportamenti proattivi corretta applicazione di misure adeguate.
da parte del Titolare e messa in atto di misure tecniche
ed organizzative adeguate per assicurare ed essere in
grado di dimostrare la conformità dei trattamenti
effettuati alle disposizioni del GDPR, in considerazione
della natura, dell'ambito di applicazione, del contesto e
delle finalità del trattamento, nonché dei rischi aventi
probabilità e gravità diverse per i diritti e le libertà delle
persone fisiche.
14
I Soggetti
adottare misure tecniche e organizzative adeguate per garantire sin dalla fase della
GLI OBBLIGHI progettazione la tutela dei diritti dell’interessato (privacy by design) e per garantire che
i dati non siano persi, alterati, distrutti o comunque trattati illecitamente
DEL TITOLARE
dotarsi di misure tali da garantire che vengano trattati, per impostazione predefinita,
DEL TRATTAMENTO solamente i dati necessari in funzione delle finalità di trattamento (privacy by default)
DATI
predisporre il registro dei trattamenti

istruire ed autorizzare gli addetti al trattamento dei dati

informare l’interessato in merito all’eventuale comunicazione dei dati ai soggetti terzi

oppure fuori UE

documentare le violazioni dei dati personali, comprese le relative circostanze, le

conseguenze e i provvedimenti adottati per porvi rimedio

notificare al Garante per la protezione dei dati, oltre che all’interessato, le violazioni dei
dati con cui si verifichino la perdita, la distruzione o la diffusione indebita di dati
personali conservati, trasmessi o comunque trattati (data breach)

nominare uno o più responsabili del trattamento, ove necessario

• la responsabilità per il trattamento effettuati dai soggetti incaricati resta sempre in

capo al titolare del trattamento.
• nel caso in cui il responsabile del trattamento ecceda i limiti di utilizzo dei dati fissati
dal titolare diventa titolare della gestione illecita dei dati e ne risponde come tale,
insieme all'effettivo titolare.
15
I Soggetti

IL RESPONSABILE DEL TRATTAMENTO DATI

DATA PROCESSOR - Soggetto formalmente incaricato al trattamento dei
dati dal titolare del trattamento.
(es. società di recupero crediti, ovvero la mandataria, a cui vengono
affidati i dati al fine di svolgimento dell’incarico di recupero del credito);

Rispetto al titolare, il responsabile del trattamento si differenzia principalmente per:

❑ l’impossibilità di determinare le finalità del trattamento e decidere in ordine al trattamento dei dati;
❑ l’obbligo di rispettare le istruzioni ricevute dal titolare;
❑ l’obbligo di interrompere ogni trattamento alla scadenza dell’incarico;

Nota Bene:
Ai sensi del GDPR la responsabilità per danno causato dal trattamento può essere attribuita al responsabile solo:
• in caso di non corretto adempimento degli obblighi previsti dalle norme in capo al responsabile stesso;
• se ha agito in modo difforme rispetto alla istruzioni del titolare del trattamento.

Pertanto, il responsabile potrebbe rispondere nei casi in cui:

❖travalica le istruzioni del titolare o agisce in contrasto con le istruzioni ricevute;
❖non assiste il titolare (ad esempio per le violazioni dei dati o la valutazione di impatto) o non collabora durante i
controlli attuati dall’audit del titolare;
❖pur essendovi obbligato non designa il DPO;
❖designa un sub-responsabile in assenza di autorizzazione o che risulti privo di requisiti sufficienti;
❖non tiene il registro dei trattamenti.
16
I Soggetti
limitare il trattamento ai soli dati e alle sole finalità previste dal titolare del
GLI OBBLIGHI trattamento
DEL RESPONSABILE
cancellare i dati alla fine del trattamento (ovvero dopo la scadenza del mandato)
DEL TRATTAMENTO
DATI garantire misure tecniche ed organizzative adeguate al fine di effettuare il trattamento
in pieno rispetto del Regolamento (UE) 2016/679

garantire la sicurezza dei dati in rispetto dei principi di privacy by design e by default

istruire ed autorizzare gli addetti al trattamento dei dati

garantire la riservatezza dei dati vincolando i dipendenti al segreto d’ufficio

informare il titolare delle eventuali violazioni avvenute

avvisare, assistere e consigliare il titolare:

• consentire e contribuire alle attività di revisione, comprese le ispezioni (o audit),

• avvisare se ritiene che un'istruzione ricevuta viola qualche norma in materia,
• prestare assistenza al titolare per l'evasione delle richieste degli interessati,
• avvisare il titolare in caso di violazioni dei dati, e assisterlo nella conduzione di una
valutazione di impatto (DPIA).

salvo alcuni casi, predisporre il registro dei trattamenti.

17
I Soggetti

RESPONSABILE DELLA PROTEZIONE DEI DATI

DATA PROTECTION OFFICER (DPO) - Persona fisica nominata dal titolare
del trattamento per svolgere la funzione di:
a) consulenza circa gli obblighi e la valutazione d’impatto,
b) sorveglianza sulla conformità con il GDRP,
c) formazione e sensibilizzazione dei dipendenti,
d) cooperazione con l’Autorità di controllo.
Autorità Garante per
la protezione dei dati
Titolare o
Responsabile DPO
del trattamento
Gli interessati

La nomina del responsabile della protezione dei dati è prevista se:

❑ il trattamento è effettuato da un’autorità pubblica,
❑ le attività principali consistono nel trattamento di categorie particolari dei dati,
❑ il trattamento richiesto dalle attività principali necessita il monitoraggio regolare e sistematico degli interessati su
larga scala.

I requisiti del responsabile della protezione sono:

❑ un'adeguata conoscenza delle normative e delle prassi di gestione dei dati personali,
❑ assenza di conflitti di interesse al fine di garantire adempimento delle funzioni in piena autonomia ed
indipendenza,
❑ operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio.
18
I Soggetti

L’INCARICATO AL TRATTAMENTO DATI

Persona fisica autorizzata al trattamento dei dati in funzione dell’incarico
ricevuto relativamente ai compiti affidati:
→ la nomina viene rilasciata in fase di sottoscrizione del contratto di lavoro
insieme alle istruzioni,
→ tutti i dipendenti devono ricevere la nomina agli incaricati al trattamento
dati e devono impegnarsi alla riservatezza nello svolgimento delle loro
mansioni.

Nota Bene:
Il GDPR non prevede espressamente la figura dell’incaricato ma non ne esclude l’esistenza, in quanto all’art. 29
sancisce l’obbligo, in capo al titolare e al responsabile, di istruire il personale con accesso ai dati personali.

L’INTERESSATO
Persona fisica a cui i dati si riferiscono:
→ ha il diritto di essere sempre informato sul trattamento dei propri dati
personali;
→ ha il diritto che i suoi dati vengano trattati in modo lecito e corretto;
→ ha il diritto di esercitare i propri diritti avanzando una richiesta formale
(per iscritto) al soggetto che esercita il trattamento o proponendo un
reclamo dinanzi al Garante per la protezione dei dati personali.
19
 Modulo n° 3

Adempimenti principali

Principi fondamentali per il trattamento dati

20
Adempimenti principali

Adempimenti Privacy

PRIVACY BY DEFAULT:
protezione dei dati per
PRIVACY BY DESIGN:
impostazione predefinita
adozione di misure tecniche ed
volta a garantire il
organizzative adeguate per la
trattamento dei dati nel
protezione dei dati
rispetto dei principi di
Misure minime di necessità e finalità
sicurezza
Informativa
Pseudonimizzazione e
cifratura
ACCOUNTABILITY
Minimizzazione Impone al titolare del trattamento l’adozione di Fondamenti di
politiche e misure adeguate per garantire la liceità
protezione dei dati e la conformità con il livello
Registro dei trattamenti di sicurezza richiesto dal GDPR, lasciando la
massima discrezionalità nella scelta delle
misure ma richiedendo la possibilità di
Valutazione d’impatto Data Breach
(DPIA) dimostrare l’adeguatezza delle misure applicate
nell’ottica dei possibili rischi.
21
Adempimenti principali

Misure minime di sicurezza

Privacy by Design
Il titolare del trattamento è obbligato ad adottare misure di sicurezza idonee a ridurre
al minimo i rischi di:
❑ distruzione e/o perdita,
❑ accesso non autorizzato,
❑ trattamento dei dati non consentito o non conforme alle finalità della raccolta.
Tra le misure minime volte ad assicurare un livello minimo di protezione dei dati personali
possiamo elencare:
• autenticazione informatica;
• adozione di procedure di gestione delle credenziali di autenticazione;
• utilizzazione di un sistema di autorizzazione;
• l'individuazione dell'ambito del trattamento consentito ai singoli incaricati;
• adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità
dei dati e dei sistemi.

Pseudonimizzazione e cifratura
Misure di sicurezza che mirano ad oscurare il dato per renderlo incomprensibile a
coloro che non hanno i codici per accedervi.

Minimizzazione
Impone l’adozione dei provvedimenti per garantire che i dati personali vengano:
1) raccolti per finalità determinate, esplicite e lecite nei limiti di quanto necessario
per il raggiungimento dello scopo per i quali sono stati raccolti;
2) conservati per il tempo necessario al perseguimento delle finalità specifiche per le
quali sono state raccolte.
22
Adempimenti principali

Registro dei trattamenti

La tenuta del registro, prevista per i titolari e responsabili, è indice di una corretta
gestione dei trattamenti ed è utile per una completa ricognizione e valutazione dei
trattamenti svolti e quindi finalizzata anche all'analisi del rischio e ad una corretta
pianificazione dei trattamenti.

Privacy by Design
Valutazione d’impatto (DPIA)
Si tratta di una procedura imposta dal GDPR, da effettuare prima di dare inizio
al trattamento dei dati personali, per valutare la necessità, la proporzionalità
ed i rischi del trattamento di alcune tipologie di dati in modo da preparare
idonee misure di sicurezza, soggetto alla revisione periodica.
La DPIA è obbligatoria in caso di:
❑ valutazione sistematica e globale di aspetti personali relativi a persone
fisiche;
❑ trattamento su larga scala di categorie particolari di dati;
❑ sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Nota Bene:
Qualora l’esito della DPIA presenti rischio residuale elevato per i diritti e le libertà degli interessati:
- occorre astenersi dall’effettuare il trattamento,
- se il trattamento è necessario, occorre avviare la procedura per la consultazione preventiva presso il
Garante per la protezione dei dati.

23
Adempimenti principali

Privacy by Default
Informativa
Fatte salve alcune eccezioni, chi intende effettuare un trattamento di dati
personali deve prima fornire all'interessato alcune informazioni per metterlo
nelle condizioni di esercitare i propri diritti e garantire la massima trasparenza
del trattamento.
L’informativa va fornita nei tempi ragionevoli (massimo un mese) o comunque
alla prima comunicazione utile anche nel caso in cui i dati vengano raccolti
presso terzi.

Il Titolare e/o Responsabile del trattamento è tenuto a dare un’adeguata informativa sul trattamento dei dati,
relativamente a:
• l’identità e dati di contatto del titolare e del responsabile;
• le finalità del trattamento e la sua base giuridica,
• destinatari o categorie dei destinatari a cui i dati possono essere comunicati;
• eventuale intenzione di trasferire i dati all’estero con indicazione di mezzi e garanzie applicati;
• la natura obbligatoria e facoltativa del conferimento dei dati,
• Il periodo di conservazione;
• l’esistenza dei diritti dell’interessato circa il trattamento dei dati personali che lo riguardano;
• eventuale esistenza del processo decisionale automatizzato (inclusa la profilazione).

→ L’informativa è resa pubblica e liberamente consultabile sul sito internet dell’Azienda sotto la Sezione
“Trasparenza”.

Nota bene:
Qualora il debitore richieda espressamente l’informativa, l’operatore è tenuto ad inviarla al debitore.
24
Adempimenti principali

Fondamenti di liceità
Per fondamenti di liceità si intende un’idonea base giuridica che permette di
effettuare il trattamento in modo lecito:
❖ ESPRESSO CONSENSO dell’interessato;
❖ necessità di ESECUZIONE DI UN CONTRATTO di cui l’interessato è parte;
❖ necessità di adempiere ad un OBBLIGO LEGALE imposto al titolare del
Privacy by Default trattamento;
❖ perseguimento di un LEGITTIMO INTERESSE DEL TITOLARE;
❖ necessità nell’esecuzione di un COMPITO DI INTERESSE PUBBLICO o connesso
all’esercizio di pubblici poteri;
❖ necessità di salvaguardare INTERESSI VITALI dell’interessato.

In particolare, al fine della validità del consenso è necessario che lo stesso sia:
LIBERO espresso liberamente dall'interessato
SPECIFICO prestato per le determinate finalità
INFORMATO all'interessato deve essere stata resa l'informativa
INEQUIVOCABILE dimostrabile da parte del titolare e/o responsabile (es. raccolto per iscritto).

Nota bene:
Le società di recupero crediti o factoring effettuano il trattamento dei dati per necessità in relazione all’esecuzione
dell’obbligazione contrattuale rimasta inadempiuta di cui l’interessato è parte insolvente.
Il consenso espresso da parte dei debitori e obbligatorio solo se vengono raccolti i dati per finalità ulteriori o
diverse.
25
Adempimenti principali

Data Breach
Data Breach rappresenta la violazione di sicurezza che comporta
accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la
divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati
o comunque trattati.
Privacy by Default

❖ Il GDPR sancisce l’obbligo di notificare all’Autorità di controllo eventuali violazioni di dati senza
ingiustificato ritardo e, ove possibile, entro 72 ore, dal momento in cui si è venuto a conoscenza della
violazione
❖ Inoltre, è previsto l’obbligo di notificare all’interessato eventuali violazioni che presentino elevati rischi per i
diritti e le libertà delle persone fisiche, a meno che:
- i dati violati non siano stati protetti da cifratura o misure simili che rendono incomprensibili i dati a
chiunque non sia autorizzato ad accedervi;
- il titolare non abbia attuato misure atte a scongiurare il sopraggiungere il rischio a seguito della
violazione;
- La comunicazione comporterebbe sforzi sproporzionati.

26
Principi fondamentali per le modalità di trattamento
I dati devono essere raccolti per le finalità determinate, esplicite e legittime e devono essere trattati in modo conforme.
La conservazione deve essere soggetta ai specifici criteri e non può eccedere i tempi necessari per il conseguimento delle finalità
di trattamento.
LIMITAZIONE DI I dati trattati devono essere adeguati,
La trasparenza va espressa sin FINALITÀ E DI pertinenti e limitati a quanto necessario
dall’inizio attraverso CONSERVAZIONE rispetto alle finalità preposte.
l’informativa e si traduce in
facilità nell’accesso ai dati, MINIMIZZAZIONE
comprensibilità ed un
TRASPARENZA
DEI DATI
linguaggio semplice e chiaro.

Impone di conservare
Il trattamento dei dati è solo i dati precisi, di
corretto se è pertinente alle eliminare i dati inesatti
finalità per le quali sono stati
CORRETTEZZA ESATTEZZA
e di aggiornarli se
raccolti i dati e se non eccede necessario.
nei dati trattati oltre il
necessario.

LICEITÀ INTEGRITÀ E Il trattamento deve essere

RISERVATEZZA sempre protetto, mediante
Il trattamento è lecito se: adeguate misure tecniche ed
- è necessario all’esecuzione di un contratto, organizzative, da trattamenti
- è necessario per adempiere ad un obbligo legale, ACCOUNTABILITY non autorizzati, perdita o
- è necessario per l’esecuzione di un compito di distruzione anche
interesse pubblico, accidentale.
- l’interessato ha espresso il consenso al Il principio di responsabilizzazione impone
trattamento dei propri dati personali per una o più al titolare del trattamento di presidiare sul
rispetto dei principi durante le operazioni
specifiche finalità. di trattamento e di poter comprovare
l’adeguata applicazione delle prescrizioni
per la protezione dei dati personali trattati. 27
 Modulo n° 4

Esecuzione dell’incarico di recupero

28
Obblighi e doveri dell’incaricato in generale

• L’incaricato deve assolutamente accertare l’identità del debitore richiedendo

conferma dei dati anagrafici.
• Non può assolutamente comunicare ai terzi i motivi della telefonata, ovvero
Principio di comunicare ingiustificatamente a soggetti terzi informazioni relative alla condizione
Riservatezza debitoria dell’interessato e esercitare indebite pressioni (è preferibile usare
dei dati l’espressione «questioni amministrative riservate all’interessato).
• Deve salvaguardare la riservatezza e la dignità personale del debitore, con
professionalità e assertività.

• Deve presentarsi e riferire per conto di chi si chiama Nota Bene:

Principio di (Europa Factor S.p.A. e nome mandante o cedente). È diritto del debitore:
Correttezza nel 1. conoscere l’identità
• Deve informare il debitore sulla collocazione della sede dell’incaricato, della società
trattamento operativa (specificare da dove si sta chiamando). di recupero del credito e del
creditore per il quale si sta
tentando il recupero

• Deve limitarsi al trattamento di soli dati strettamente 2. essere sempre informato

Principio di necessari all’esecuzione del proprio incarico. sulla localizzazione
Minimizzazione geografica dell’interlocutore
• Può raccogliere i dati provenienti da pubblici registri, e, se localizzato fuori da UE,
dei dati richiedere di essere
elenchi, atti o documenti conoscibili da chiunque.
contattato da operatore
collocato nell’Unione (art.
24-bis del Decreto-legge n.
Divieto di • Nota Bene: le violazioni possono comportare
83/2012, modificato dalla L.
232/2016)
arrecare molestie conseguenze anche penali
o disturbo e di
• Reati puniti dagli artt. 660 e 612 c.p..
minacciare
29
Aspetti particolari del recupero crediti: Contatti telefonici

Contatti telefonici E’ possibile utilizzare i contatti pubblicati nei pubblici registri;

I numeri telefonici iscritti presso le c.d. «liste di opposizione» possono essere
utilizzati nell’attività di recupero del credito, in quanto il divieto si riferisce
esclusivamente alle attività promozionali, di marketing e televendita.

➢ Si indica come condizione di legittimità dell’utilizzo di un numero telefonico

per finalità connesse al recupero stragiudiziale del credito il fatto che tale
recapito:
• sia stato fornito direttamente dal suo titolare al momento della
conclusione del contratto commerciale o di finanziamento.
• sia contenuto in elenchi conosciuti o conoscibili da chiunque.
➢ E’ fatto divieto di effettuare rintraccio telefonico del debitore o solleciti
telefonici presso il luogo di lavoro (salvo che i riferimenti del luogo di lavoro
non siano stati dati direttamente dall’interessato).

➢ È possibile effettuare l’attività telefonica nei seguenti orari:

• 8.30-21.00 dal lunedì al venerdì,
• 8.30-15.00 il sabato.
➢ Salvo diversi accordi con il debitore, è possibile effettuare i contatti in seguito all’attività outbound alle seguenti
condizioni:
può svolgersi al massimo
1) nell’arco della medesima giornata
1 colloquio effettivo col debitore

possono svolgersi al massimo

2) nell’arco della medesima settimana
3 colloqui effettivi col debitore

30
Aspetti particolari del recupero crediti: Contatti telefonici

Contatti telefonici e obblighi dell’incaricato:

Durante il colloquio con il debitore, l’incaricato è tenuto a:

• Presentarsi con proprio nome e cognome;
• Accertarsi dell’identità della persona con cui sta parlando (richiedere conferma dei dati
anagrafici del debitore)
• Dare comunicazione sulla posizione debitoria esclusivamente al debitore, e fornire
riferimenti corretti dell’Azienda per cui sta contattando
• Gestire la conversazione con professionalità ed in maniera educata, avendo cura di utilizzare
un linguaggio rispettoso e comprensibile verso l’interlocutore (es. evitare i giudizi
personali);
• In tutte le fasi dell’espletamento dell’incarico di recupero sono preclusi comportamenti
suscettibili di incidere sulla dignità del debitore;
• Rendersi disponibile ad instaurare un percorso di confronto concordato in merito alle cause
di insolvenza e alle possibili soluzioni, in accordo con le indicazioni della società mandante o
della direzione;
• Valutare tutte le eventuali contestazioni e richieste presentate dal debitore in merito
all’insoluto ed al trattamento dei dati personali;
• Limitarsi a raccogliere, in assenza di espresso consenso del debitore, solo i dati
strettamente necessari all’esecuzione del proprio mandato (dati necessari per portare a
compimento un’obbligazione contrattuale);
• Salvaguardare sempre la buona reputazione sia dell’Azienda che della società cliente
(mandate o cedente).

31
Aspetti particolari del recupero crediti: Contatti epistolari

Contatti epistolari Lettere ordinarie / raccomandata – vengono predisposte direttamente

dal Back Office.

Contatti via sms SMS – è possibile utilizzare i messaggi, previo accertamento di

appartenenza del numero di cellulare all’interessato, relativamente alle
comunicazioni operative (es. riferimenti per il versamento).
Dato il carattere fortemente invasivo degli sms, si raccomanda il loro
utilizzo alle seguenti condizioni:
1. modalità concordata con il debitore stesso, ed esclusa quale
sistema di primo contatto;
2. invio di un solo sms per comunicazione, evitando la spedizione
ripetuta del medesimo messaggio in un arco temporale limitato;
3. invio di soli text message approvati da parte dell’Azienda e
predisposti come modelli nei cellulari forniti per l’espletamento di
tali attività.

32
Aspetti particolari del recupero crediti: Contatti elettronici

Contatti via fax FAX – è possibile utilizzare il fax per l’invio delle comunicazioni previo
consenso del debitore, salvo che il recapito non sia fornito
direttamente dall’interessato per ricevere informazioni inerenti il
rapporto obbligatorio.

Contatti via e-mail E-MAIL – è possibile utilizzare l’e-mail, previo accertamento di

appartenenza dell’indirizzo e-mail all’interessato, relativamente alle
comunicazioni operative.
Si raccomanda l’utilizzo della posta elettronica alle seguenti condizioni:
1. Inviare solamente i testi e-mail approvati da parte dell’Azienda e
predisposti come modelli nel tasto «Backoffice» presente sulle
pratiche;
2. astenersi dall’invio di e-mail sugli account palesemente aziendali,
salvo che tale recapito non sia fornito direttamente
dall’interessato con il relativo consenso;
3. è fatto divieto di espletare il rintraccio mediante invio di e-mail
agli indirizzi di posta elettronica di dubbia appartenenza.

33
Aspetti particolari del recupero crediti: Contatti elettronici

Nota Bene:
L’utilizzo delle COMUNICAZIONI ELETTRONICHE è soggetto
a specifiche condizioni

1. Le comunicazioni contenenti il DETTAGLIO possono essere inoltrate

DELLA POSIZIONE DEBITORIA inviate allo previo accordo con l’interessato
scopo informativo
2. Le comunicazioni contenenti RICHIESTE DI possono essere inoltrate solamente:
CONTATTO inviate allo scopo di sollecito di
• ai recapiti certi
pagamento
• al massimo quattro richieste di contatto
nell’arco di un mese (max 1 a settimana)
• se il recapito non è certo e/o verificato, la
comunicazione deve limitarsi esclusivamente
ad una richiesta di contatto senza riferimenti
a posizioni debitorie/solleciti di pagamento.
Limitarsi ad indicare «questioni
amministrative»
✓ In ogni caso, le comunicazioni elettroniche non possono essere utilizzate come sistema di primo
sollecito di pagamento, salvo che il debitore non abbia fornito il recapito nella fase di stipula
contrattuale allo scopo di ricevere informazioni sul rapporto.
✓ E’ permesso utilizzare solamente i modelli di testi già approvati da parte dell’Azienda.
34
Aspetti particolari del recupero crediti: Home collection

Esazione domiciliare E’ possibile svolgere L’ATTIVITÀ DI ESAZIONE DOMICILIARE alle seguenti

condizioni.
In particolare, le visite esattoriali devono essere:
➢ improntate a buona educazione e rispetto
➢ finalizzate ad instaurare un percorso di confronto concordato in merito
alle cause dell’insolvenza e alle possibili soluzioni
➢ non devono essere reiterate in maniera petulante ed aggressiva

Sia nella fase di raccolta delle informazioni sul debitore, sia nel
tentativo di presa di contatto, non sono ammesse prassi invasive o
lesive della dignità personale.

➢ L’eventuale consegna di una comunicazione scritta da parte dell’incaricato che documenta il tentativo di contatto
“domiciliare”, non potrà rendere visibili esternamente alla lettera riferimenti espliciti alle ragioni della
comunicazione (busta e/o lettera pinzata) .
La comunicazione recapitata a domicilio deve indicare:
a) nome e cognome dell’incaricato, precisando altresì i riferimenti del Professionista;
b) il soggetto creditore ed il motivo della visita;
c) un recapito telefonico da contattare per eventuali richieste di chiarimenti e/o informazioni.

➢ Non possono essere effettuare visite sul posto di lavoro dell’interessato se non in accordo con il medesimo.
Il contatto sul luogo di lavoro è possibile:
- laddove sia il Consumatore/Debitore a farne richiesta
- qualora il relativo indirizzo sia stato fornito contrattualmente come recapito utile al contatto

35
Aspetti particolari del recupero crediti: Potenziali rischi penali

➢ Art.660 Codice Penale ‐ Molestia o disturbo alle persone.

Chiunque, in un luogo pubblico o aperto al pubblico, ovvero col mezzo del telefono, per petulanza o per altro biasimevole
motivo, reca a taluno molestia o disturbo è punito con l'arresto fino a sei mesi o con l'ammenda fino a 516 euro.

➢ Art.610 Codice Penale ‐ Violenza privata.

Chiunque, con violenza o minaccia, costringe altri a fare, tollerare od omettere qualche cosa è punito con la reclusione
fino a quattro anni. La pena è aumentata se concorrono le condizioni previste dall'articolo 339.

➢ Art.614 Codice Penale ‐ Violazione di domicilio.

Chiunque s'introduce nell'abitazione altrui, o in altro luogo di privata dimora, o nelle appartenenze di essi, contro la
volontà espressa o tacita di chi ha il diritto di escluderlo, ovvero vi s'introduce clandestinamente o con l'inganno, è punito
con la reclusione fino a tre anni.
Alla stessa pena soggiace chi si trattiene nei detti luoghi contro l'espressa volontà di chi ha il diritto di escluderlo, ovvero
vi si trattiene clandestinamente o con inganno. Il delitto è punibile a querela della persona offesa. La pena è da uno a
cinque anni, e si procede d'ufficio, se il fatto è commesso con violenza sulle cose, o alle persone, ovvero se il colpevole è
palesemente armato.

➢ Art.612 Codice Penale ‐ Minaccia.

Chiunque minaccia ad altri un ingiusto danno è punito, a querela della persona offesa, con la multa fino a 1.032 euro. Se
la minaccia è grave, o è fatta in uno dei modi indicati nell'articolo, la pena è della reclusione fino a un anno e si procede
d'ufficio.

➢ Art. 498 Codice Penale - Usurpazione di titoli o di onori

Chiunque abusivamente porta in pubblico la divisa o i segni distintivi di un ufficio o impiego pubblico, o di un Corpo politico,
amministrativo o giudiziario, ovvero di una professione per la quale è richiesta una speciale abilitazione dello Stato, ovvero
indossa abusivamente in pubblico l'abito ecclesiastico, oppure si arroga dignità o gradi accademici, titoli, decorazioni o altre
pubbliche insegne onorifiche, è punito con la sanzione amministrativa pecuniaria da 154 euro a 929 euro.
36
Rapporti con i terzi

Contatti con i terzi Nota bene:

Il DIVIETO DI COMUNICARE AI TERZI
le ragioni della telefonata o della
visita è assoluto

Nota bene:
E’ fatto DIVIETO ASSOLUTO di
comunicare con i MINORI.

✓ E’ possibile il contatto con i terzi ai fini di rintraccio, avendo cura a non comunicare assolutamente le
informazioni relative alla condizione debitoria dell’interessato;
• Nelle conversazioni con i terzi è preferibile motivare il contatto usando l’espressione «questioni
amministrative riservate all’interessato».

✓ E’ fatto divieto assoluto di comunicare ai terzi la condizione di inadempienza del debitore allo scopo di
esercitare indebite pressioni sul debitore stesso.

II diritto del debitore a che soggetti terzi non vengano a conoscenza della sua morosità è, inoltre, rafforzato dalla
prescrizione di talune prassi considerate illecite:
1) divieto di visite al domicilio o sul luogo di lavoro con comunicazione ingiustificata a soggetti terzi di
informazioni relative alla condizione di inadempimento nella quale versa l'interessato;
2) divieto di utilizzo di telefonate pre‐registrate volte a sollecitare il pagamento, poste in essere senza
intervento di un operatore;
3) divieto di affissione di avvisi di mora sulla porta del debitore;
4) divieto di utilizzo di solleciti di pagamento con modalità che palesino ad osservatori esterni il contenuto
della comunicazione: ciò può accadere nel caso di utilizzo di cartoline postali o tramite l'invio di plichi
recanti all'esterno la scritta "recupero crediti". 37
Rapporti con i terzi: la fase di rintraccio
TERZI DESIGNATI DALL’INTERESSATO
Quando è possibile Quando lo stesso interessato fornisce l’autorizzazione in tal senso.
comunicare ai terzi → Il modulo di «Acquisizione consenso comunicazione dati ai terzi» è disponibile
nella intranet aziendale.
le informazioni
sulla condizione
GLI EREDI
debitoria
Quando l’interessato sia deceduto.
dell’interessato?

L’attività di rintraccio
Il RINTRACCIO PRESSO I TERZI può essere effettuato alle seguenti condizioni:
a) in seguito ai tentativi di rintraccio diretto del debitore (irreperibilità
comprovata)
b) limitando al massimo il numero di soggetti contattati ed evitando di ripetere i
contatti con i terzi e di dare comunicazione di qualsiasi informazione relativa
allo stato di insolvenza dell’interessato.
c) evitando di effettuare il ritraccio presso il luogo di lavoro dell’interessato

LE RICERCHE ANAGRAFICHE – per un corretto svolgimento della propria attività, le società di recupero crediti si
interfacciano con gli uffici di Anagrafe Civile.
→ Non esistono cause ostative alla richiesta, ai competenti Uffici dell’Anagrafe, di certificati di residenza da parte di società di
recupero crediti in quanto l’art. 33 del D.P.R. n.223/89 dispone che l’ufficiale di anagrafe rilascia a chiunque ne faccia
richiesta, fatte salve le limitazioni di legge, tali certificati. Solo nel caso in cui il soggetto risulti aver trasferito la propria
residenza in altro comune è possibile ottenere solo informazioni sul Comune di emigrazione.

38
Conservazione dei dati e delle informazioni

IL GDPR sancisce IL PRINCIPIO DI LIMITAZIONE DELLA CONSERVAZIONE:

✓ i dati possono essere conservati per un arco di tempo non superiore al
conseguimento delle finalità per le quali sono trattati;
✓ la conservazione dei dati per i periodi più lunghi, fatta salva attuazione di
adeguate misure, è ammessa esclusivamente a fini di archiviazione per
ragioni di:
• pubblico interesse
• ricerca scientifica o storica
• finalità statistiche

IL PROVVEDIMENTO DEL GARANTE PER LA PROTEZIONE DEI DATI DEL 30 NOVEMBRE 2005 ribadisce la prescrizione per cui una
volta portato a termine l'incarico, i dati non devono formare oggetto di ulteriore trattamento.
Il Garante specifica che potrebbe essere richiesta una prolungata conservazione dei dati e delle informazioni raccolte durante
la fase di recupero nei casi in cui si rende necessario l’assolvimento di specifici obblighi di legge (ad esempio, per rendere conto
delle attività svolte; gestire un reclamo; adempiere agli obblighi di antiriciclaggio; etc.)
In casi di prolungata conservazione dei dati, occorre assicurare che:
➢ l’eventuale conservazione ulteriore dei dati e delle informazioni sia realizzata con modalità comunque
tali da precluderne agli incaricati del trattamento la normale consultabilità (con l'adozione di
opportune misure logiche o provvedendo alla trasposizione dei dati in archivi separati);
➢ la creazione di un apposito archivio dati;
➢ la nomina di un responsabile del trattamento con il compito di sovrintendere alla gestione di questa
banca dati;
➢ nel caso in cui la mandante inviasse un secondo affidamento, avente ad oggetto una posizione già
trattata in precedenza, questo responsabile avrebbe il compito di estrarre le informazioni contenute
nella banca dati storica e di riconsegnarle per l’ulteriore lavorazione al competente recuperatore.

42
Modulo n° 5

Reclami

Casi pratici

40
Reclami – la casistica

Lo scopo dell’Ufficio Reclami è individuare e attenuare i conflitti d’interesse,

intervenendo nei casi controversi, ovvero qualora il cliente presenti una lamentela, e
fornendo tutti i chiarimenti necessari al cliente.
Nello svolgimento delle attività, l’Ufficio reclami deve bilanciare i diritti del cliente,
eventualmente lesi, con i diritti del creditore ad ottenere il pagamento.

CONTESTAZIONE DEL CREDITO –
l’opposizione avanzata in forma scritta da parte del
consumatore/debitore direttamente nei confronti del
creditore/committente avente ad oggetto elementi
strettamente attinenti al rapporto di credito.
Modalità di gestione:
Qualora risulti fondata – deve essere
interrotta la lavorazione della pratica e
segnalata la situazione al Referente del
prodotto; in taluni casi la gestione verrà
affidata all’Ufficio Reclami.
Qualora sia infondata – occorre motivare
al debitore le ragioni della mancata
fondatezza anche telefonicamente.

RECLAMO –
è l’obiezione avanzata in forma scritta dal La gestione è affidata all’Ufficio Reclami
consumatore/debitore in ordine alle procedure di gestione che sospenderà la lavorazione della
del credito realizzate dall’Azienda. pratica al fine di ottemperare all’obbligo di
risposta.

PROCEDURA DI CONCILIAZIONE –
qualsiasi procedura di risoluzione alternativa di una
Deve essere interrotta la lavorazione della
controversia riconosciuta dal creditore/committente ovvero
pratica e segnalata la situazione alla Società
disciplinata dalla legge. mandante.
41
Reclami

Casi di intervento obbligatorio dell’Ufficio Reclami:

❑ Violazione privacy;
❑ Comportamento scorretto dell’operatore;
❑ Esercizio dei diritti ai sensi degli artt. 15 – 18 del Regolamento (UE)
2016/679 in tema di protezione dei dati personali;
❑ Omonimia;
❑ In alcuni casi relativi agli aspetti operativi del credito (esempio,
inesigibilità del credito; credito già saldato; disconoscimento del debito)
→ Le modalità di presentazione reclami sono:
- formulario presente sul sito aziendale
- lettera raccomandata
- e-mail indirizzata a: [email protected] o posta certificata
- fax
→ Nel caso di reclamo, occorre dare segnalazione all’Ufficio Reclami affinché apra la procedura di gestione della
segnalazione e provvede a dare riscontro al cliente entro il termine di 30 giorni.

→ Devono essere, inoltre, portate a conoscenza dell’Ufficio Reclami tutte le comunicazioni scritte inviate, anche solo per
conoscenza, alle Autorità (esempio: Garante per la protezione dei dati; Banca d’Italia; Autorità per la concorrenza e
per il mercato (Agcom)).

→ La presentazione del reclamo è il requisito primario per poter avanzare la richiesta di conciliazione:
- se non ottiene alcuna risposta al reclamo presentato;
- se la risposta ricevuta risulti insoddisfacente.

42
Reclami – la casistica e esercizi pratici

❑ Violazione privacy;
➢ Non avendo a disposizione alcun riferimento utile per il contatto diretto con il
debitore, l’operatore nella stessa giornata telefona ai recapiti di diversi vicini di
casa del debitore, reperiti sull’elenco telefonico, chiedendo di essere ricontattato
dall’interessato, in quanto doveva dare comunicazioni amministrative al sig.
Bruno.
Il sig. Bruno lamenta violazione privacy, in quanto l’amministratore del
condominio l’avrebbe avvertito che è stato cercato presso i vicini di casa da una
società di recupero crediti. Il sig. Bruno è un avvocato.

? Perché l’operatore ha sbagliato?

RISPOSTA:
# Perché avrebbe dovuto iniziare il rintraccio da una ricerca generica su fonti
pubbliche (Google), utilizzando il codice fiscale dell’interessato. Avrebbe ottenuto
così tutti i recapiti certi provenienti da fonti pubbliche sui quali contattare
direttamente l’interessato, evitando contatti con i vicini.
# In secondo luogo, avrebbe dovuto, in ogni caso, limitare i contatti con i vicini al
fine di non arrecare l’eccessivo disturbo, evitando di suscitare eventuali agitazioni
tra i condomini.

43
Reclami – la casistica e esercizi pratici

❑ Comportamento scorretto dell’operatore;

➢ La sig.ra Bianchi riferisce di essere stata contattata da un certo avvocato
Esposito, operatore di Europa Factor, e lamenta il linguaggio maleducato e
volgare dell’operatore che, senza considerare le precedenti contestazioni
avanzate dalla Sig.ra Bianchi e le difficoltà economiche della debitrice, ha
preteso il pagamento, riferendo che a breve avrebbe provveduto ad inviare il
funzionario giudiziario presso la sua abitazione.

? Perché l’operatore ha sbagliato?

RISPOSTA:
# Perché nel presentarsi ha utilizzato un titolo che non gli appartiene (avvocato).
# Perché ha ignorato le precedenti contestazioni ed eventuali situazioni di indigenza
economica della debitrice e non ha cercato di instaurare un confronto
professionale con la debitrice al fine di prospettare delle possibili soluzioni.
# Perché ha minacciato la debitrice, prospettando situazioni ingiuste ed improbabili
al fine di esercitare indebite pressioni sulla debitrice.

44
Reclami – la casistica e esercizi pratici

❑ Esercizio dei diritti ai sensi dell’art. 16 del Regolamento (UE) 2016/679 in tema di
modifica e cancellazione dei dati personali;
➢ Il sig. Rossi ha avanzato la richiesta di cancellazione dei propri dati personali,
presentando un modulo di richiesta sottoscritto con allegato documento
d’identità, mentre manteneva contatti con l’Azienda in merito ad una posizione
in gestione intestata ad una società in liquidazione. Il sig. Rossi detiene la
qualifica del liquidatore della società debitrice.

? Sarà possibile accogliere la richiesta del sig. Rossi?

RISPOSTA:
# No, non sarà possibile accogliere la richiesta di cancellazione dei dati riferibili
all’interessato per i seguenti motivi:
- il sig. Rossi è il liquidatore della società debitrice,
- la posizione di riferimento è tuttora aperta ed in lavorazione, pertanto i dati
del liquidatore risultano necessari per le attività di recupero crediti,
- Il mandato di gestione non è ancora scaduto, pertanto non è ancora venuta
meno la necessità della conservazione dei dati.

45
Reclami – la casistica e esercizi pratici

❑ Omonimia;
➢ L’operatore ha inviato una lettera di contatto ad un indirizzo e-mail trovato sul
sito internet appartenente ad un’attività imprenditoriale di una persona con
nome e cognome del cliente. La persona che ha ricevuto l’e-mail ha presentato il
disconoscimento e ha lamentato di non aver debiti con nessuno.

? Ha sbagliato l’operatrice?

RISPOSTA:
# Si, perché la mail è stata recapitata ad una persona omonima.
# L’operatrice avrebbe dovuto accertarsi in merito all’appartenenza dell’indirizzo
e-mail:
- esaminando il dominio dell’indirizzo (esempio, se professionale o
personale);
- facendo controlli incrociati (esempio, verificare se la debitrice dispone di
una partita iva attraverso il suo codice fiscale).

46
Reclami – la casistica e esercizi pratici

❑ Altri casi relativi agli aspetti operativi del credito (esempio, inesigibilità del credito;
credito già saldato; disconoscimento del debito)
➢ La sig.ra Ferrari lamenta di essere stata contattata dall’operatore in merito ad un
credito ceduto ad Europa Factor S.p.A., rappresentando che l’inesigibilità del
credito è stata accertata dal tribunale competente ancor prima dell’avvenuta
cessione.

? Sarà possibile accogliere il reclamo della sig.ra Ferrari?

RISPOSTA:
# Si, perché, in forza dell’accertamento giudiziario, il credito non esiste e come tale
non può formare oggetto di cessione.

47
Fonti
Diritto dell’Unione Europea:
• Regolamento (UE) 2016/679
• Carta dei diritti fondamentali dell’Unione europea (2000/C 364/01)
• Direttiva 58/2002 relativa al trattamento dei dati personali e alla tutela della vita privata
nel settore delle comunicazioni elettroniche e Direttiva 136/2009
• Linee Guida Gruppo di Lavoro Art. 29

Normativa nazionale:
• Codice Privacy (D.Lgs. 196/2003) come modificato dal D. Lgs. n. 101 del 10/08/2018

Garante per il trattamento dei dati personali

• Guida all´applicazione del Regolamento europeo in materia di protezione dei dati
personali
• Provvedimento Garante del 30 novembre 2005 – «Liceità, correttezza e pertinenza
nell'attività di recupero crediti»
• Il Vademecum del Garante in tema di Privacy e Recupero Crediti, aprile 2016
• Provvedimento Garante n. 445 del 10 ottobre 2013 – «Invio alla clientela di
comunicazioni telefoniche preregistrate senza l'intervento di un operatore per finalità di
recupero crediti»

Autorità Garante della concorrenza e del mercato:

• D. Lgs. n. 206 del 6 settembre 2005 - Codice del Consumo; con particolare riguardo
all’art. 20 «Divieto delle pratiche commerciali scorrette» e segg.

Unirec – Unione Nazionale Imprese a Tutela del Credito:

• Codice di condotta 2.0 Unirec – 13 maggio 2015
• Protocollo comportamentale Unirec 2014
• Guida del consumatore ai servizi di tutela del credito

Copyright © Europa Factor S.p.A. 2018

Tutti i diritti sono riservati. È vietata qualsiasi riproduzione, totale o parziale, dei contenuti inseriti nel presente manuale,
ivi inclusa la memorizzazione, rielaborazione, diffusione o distribuzione dei contenuti senza previa autorizzazione scritta di Europa Factor S.p.A.. 48