g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Cribis Credit Management s.r.l. - 9 giugno 2022 [9794913]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9794913]

Ordinanza ingiunzione nei confronti di Cribis Credit Management s.r.l. - 9 giugno 2022

Registro dei provvedimenti
n. 215 del 9 giugno 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTA la segnalazione presentata in data 4 febbraio 2021 con la quale il sig. XX ha lamentato una presunta violazione del Regolamento da parte di Cribis Credit Management srl;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. L’attività istruttoria.

Con la nota trasmessa a questa Autorità in data 4 febbraio 2021, il sig. XX, rappresentato dall’avv.XX, lamentava una presunta violazione del Regolamento imputabile alla Società Cribis Credit Management s.r.l. che, nell’interesse di Sky Italia srl, in data 14 gennaio 2021 inviava, sulla e-mail aziendale del sig. XX, responsabile commerciale della società XX, un invito al pagamento dell’importo di euro 179,97, relativo alla cessazione per morosità dell’abbonamento Sky intestato al sig. XX. Una seconda e-mail veniva poi inoltrata, al medesimo indirizzo, in data 22 gennaio 2021.

Con la comunicazione del 15 luglio 2021, l’Ufficio invitava Sky Italia s.r.l., in qualità di titolare del trattamento, e Cribis Credit Management s.r.l. a fornire osservazioni in ordine a quanto rappresentato dall’istante.

Nella nota di riscontro del 29 luglio 2021, Sky Italia s.r.l. (di seguito “Sky”) dichiarava “di non avere mai condiviso con CRIBIS – perché neppure presente all’interno dei propri sistemi informativi né all’epoca dei fatti né tanto meno successivamente (Evidenza 01) – l’indirizzo e-mail oggetto di invio della richiesta di pagamento nei confronti del signor XX, né di avere mai inviato le comunicazioni menzionate in reclamo. Non sussiste quindi alcun illegittimo trattamento di dati personali del reclamante effettuato da parte di Sky e a questi imputabile (art. 82 GDPR)…”.

“Sky ha fornito a CRIBIS dedicate istruzioni per proteggere i dati personali (Evidenza 02 - Allegato 12, p. 42), in termini di: a. misure tecniche ed organizzative da adottare e rispettare, tra cui, le misure tecniche descritte dagli Sky Supplier Security Standard (Evidenza 02 – Allegato C – p. 49); b. misure organizzative, quali l’adozione di personale in possesso di adeguati requisiti professionali le istruzioni (art. 11 Evidenza 02) e la formazione agli incaricati sull'adeguata gestione dei dati personali (cfr. artt. 2.1.1., 3.1., 3.4., 4.2.8., 4.2.12. del documento di nomina – Evidenza 02 -Allegato 12, p. 42); Sky ha inoltre fornito procedure dedicate a disciplina dell’attività di recupero crediti, conformi alla normativa in materia (Evidenza 03 – confidenziale).  Sky ha infine effettuato periodiche verifiche del fornitore, che si allegano a campione (Evidenza 04)…”

A seguito della segnalazione dell’evento da parte di Cribis, Sky precisava, inoltre, di avere “attivato la propria Data Breach Notification Policy (Evidenza 06 - confidenziale) e la Metodologia per la Valutazione della gravità del breach (Evidenza 07 - confidenziale) … a fronte della quale l’incidente - considerato il contesto di elaborazione dei dati, facilità di identificazione, circostanze della violazione e gravità della violazione – è stato valutato a basso rischio ex art. 33 GDPR, non rendendosi quindi necessaria la notifica al Garante. Infatti, si trattava di pochi dati comuni (ossia: nome, cognome, email, posizione debitoria) relativi ad un solo cliente, condivisi per un mero errore eccezionale ed imprevedibile di una singola collaboratrice. Inoltre, l’interessato non pareva aver subito alcun danno, avendo transatto a saldo e stralcio la posizione stessa…”.

Sky, infine, evidenziava di avere anche inviato formale lettera di diffida, al fine di ridurre gli effetti negativi della violazione, raccomandando a Cribis l’adozione di ulteriori azioni correttive (Evidenza 11), in particolare, di aggiornare il documento contenente le istruzioni privacy per gli operatori, facendosi assistere in ciò da un soggetto competente in materia e di includere “istruzioni che non lascino alcun margine di iniziativa in merito alla modalità di contatto del debitore, a partire dalla fonte di reperimento dei dati. Tra le indicazioni puntuali, occorrerà specificare il divieto assoluto per l'operatore di attingere al web per ricercare i dati personali dei debitori di Sky in tutta la documentazione privacy fornita all'operatore…”.

Con la nota di riscontro del 3 agosto 2021, Cribis Credit Management s.r.l. (di seguito “Cribis” o la “Società”), nel precisare di avere posto in essere il trattamento per conto di Sky Italia s.r.l., dichiarava che: “in data 9 febbraio 2021, la funzione aziendale incaricata di gestire i flussi inbound di posta certificata inoltrava internamente alla Scrivente la comunicazione dell’Avv. XX, inviata anche al Vs indirizzo PEC, avente ad oggetto reclamo ex art. 77 del GDPR in nome e per conto del proprio assistito, sig. XX. In tale data, CRIBIS Credit Management S.r.l., quindi, veniva a conoscenza dell’evento descritto all’interno della suddetta comunicazione dell’Avv. XX e, fatti i propri accertamenti interni, lo notificava a Sky Italia S.r.l., titolare del trattamento, il 12 febbraio successivo ai sensi dell’art. 33 comma 2 del GDPR.

Nella notifica a Sky Italia S.r.l., CRIBIS Credit Management S.r.l. riferiva che, da un immediato confronto con la collaboratrice, dott.ssa XX, emergeva che in data 14/01/2021, data l’irreperibilità telefonica del sig. XX, debitore di Sky Italia S.r.l., ai recapiti forniti in tracciato da quest’ultima, la dott.ssa XX individuava sul web l’indirizzo di posta elettronica XX e ritenendo appartenesse al debitore effettivo lo utilizzava per inviare una e-mail di ricontatto che invece giungeva al sig. XX, dipendente della società di cui il sig. XX è rappresentante. Specifichiamo, ad ogni modo, che il rintraccio di soggetti irreperibili rientra tra le attività oggetto di contratto con Sky Italia S.p.a. e che la Scrivente è titolata in virtù di licenza ex art. 115 TULPS a svolgerla propedeuticamente al recupero dei crediti di titolarità della committente. Il sig. XX, ricevuta tale comunicazione, provvedeva ad inoltrarla al sig. XX. In data 18/01/2021, il legale del sig. XX inviava un messaggio di posta certificata all’indirizzo di posta elettronica della collaboratrice di CRIBIS Credit Management S.r.l. in cui contestava l’insoluto e proponeva un pagamento a saldo e stralcio per definire la posizione debitoria del proprio assistito nei confronti di Sky Italia S.r.l..

Tuttavia, la collaboratrice, in totale autonomia, decideva di rispondere alla Pec del legale del sig. XX e, in data 22/01/2021, non avendo ricevuto il pagamento concordato inviava nuovamente una e-mail con richiesta di ricontatto all’indirizzo di posta elettronica XX. In pari data, poi, segnalava tramite il portale Arcadia (applicativo informatico della società committente) a Sky Italia S.r.l. la registrazione del pagamento avvenuto come da accordi con il procuratore del debitore. Sebbene, i dati personali del sig. XX erroneamente trasmessi al sig. XX fossero minimi (ossia: nome, cognome, credito vantato da Sky Italia S.r.l., situazione di morosità) e tutti appartenenti a categorie “comuni” di dati personali, CRIBIS Credit Management S.r.l. offriva a Sky Italia S.r.l. totale disponibilità e collaborazione nella gestione ed eventuale intervento in mitigazione dell’evento in parola”.

Nella notifica a Sky Italia s.r.l., CRIBIS Credit Management s.r.l. riferiva inoltre che “La condotta della dott.ssa XX, peraltro svolta in telelavoro per via delle restrizioni dovute all’emergenza sanitaria, purtroppo è di eccezionalità ed imprevedibilità tale da aver vanificato tutte le misure organizzative e di sicurezza implementate proprie di CCM nonché quelle adottate dalla stessa su richiesta di Sky Italia S.r.l. con la nomina a responsabile e pertanto l’azienda sta attualmente valutando quale sia il provvedimento più appropriato da prendere nei confronti di quest’ultima. La Dott.ssa XX è stata cautelativamente sospesa dall’attività di recupero in attesa della conclusione del processo di contestazione dell’accaduto. Abbiamo avviato un processo di controllo delle pratiche in gestione alla collaboratrice affidato al Team leader dell’attività […] che si preoccuperà di prendere in carico la gestione e verificarne personalmente la gestione con contatto verso i titolari del debito. Abbiamo inoltre dato mandato al nostro IT di bloccare l’invio di e-mail verso l’esterno della nostra organizzazione aziendale provenienti da tutti gli indirizzi email con dominio XX e strutturalmente impegnati sulle attività di recupero per conto di Sky Italia S.r.l. Nella giornata odierna abbiamo inoltre istituito delle classi di re-training per tutti i collaboratori operanti per conto di Sky Italia S.r.l, nei quali oltre a ricapitolare i concetti base delle principali regole e prassi vigenti nell’attività del recupero ribadiremo il manuale operativo delle attività di recupero per Sky Italia S.r.l e le procedure in essere”.

2.  L’avvio del procedimento sanzionatorio

In relazione a queste risultanze l’Ufficio rilevava una responsabilità specifica, nel caso di specie, da parte del responsabile del trattamento e provvedeva di conseguenza a notificare a Cribis l’atto di avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice in relazione alla violazione dell’art. 5, par. 1, lett. a) e c) e 6 del Regolamento (nota del 18 gennaio 2022).

Secondo le richiamate disposizioni del Regolamento, il trattamento di dati personali deve avvenire nel rispetto dei principi di “liceità, correttezza e trasparenza” nonché di “minimizzazione” e in presenza di un’idonea base giuridica; i medesimi principi sono contenuti nel provvedimento generale “Liceità, correttezza e pertinenza nell'attività di recupero crediti” del 30 novembre 2005 con cui il Garante ha prescritto agli operatori del settore le misure necessarie ed opportune a rendere il trattamento conforme alla normativa in materia di protezione dei dati personali.

In data 4 febbraio 2022, la Società inviava la propria memoria difensiva, ai sensi dell’art. 18 della legge n. 689/1981, con cui, nel fornre ulteriori informazioni e precisazioni sui fatti oggetto della vicenda, ribadiva quanto già rappresentato all’Autorità: “Appare essenziale, per permettere una corretta valutazione dell’evento in questione da parte di questa pregiata Autorità, ribadire in estrema sintesi che la dott.ssa XX, collaboratrice di CRIBIS Credit Management S.r.l. (“CCM”), rintracciava sul web un indirizzo che erroneamente reputava appartenere all’effettivo debitore, indirizzandogli due messaggi di posta elettronica contenenti alcuni dati personali di quest’ultimo…”.

“Pertanto, una supposta violazione degli art. 5 par. 1 lett. a) e c) nonché dell’art. 6 par. 1 del GDPR appare tutt’al più una conseguenza (naturale ed inevitabile) dell’errore commesso accidentalmente dalla collaboratrice di CCM nonostante l’adozione di tutti i presidi tecnici ed organizzativi atti ad impedire casi simili ma non una violazione di default delle previsioni delle precitate norme essendo CCM legittimata a compiere l’attività in questione per conto di Sky Italia s.r.l.…”.

La Società precisava inoltre che la propria collaboratrice inviava a un soggetto diverso dal debitore di Sky Italia s.r.l. esclusivamente due messaggi di posta elettronica contenenti dati personali comuni quali nome, cognome, credito vantato da Sky Italia s.r.l., stato di morosità e che l’evento si era verificato all’interno di una finestra temporale molto limitata e legata a due singoli episodi (messaggio di posta elettronica del 14 e del 22 gennaio 2021). “Nel caso di specie, la dott.ssa XX utilizzava l’indirizzo di posta elettronica XX indotta in errore dal dominio dello stesso: “XX” riconducibile a primo acchito al nominativo dell’effettivo debitore ossia il sig. XX, rappresentante legale dell’omonima società di cui, invece, il sig. XX si rivelava essere un dipendente. Tale circostanza, ascrivibile alla categoria dell’errore umano, può essere ricondotta a leggerezza, scarsa attenzione o negligenza, ma non certo al dolo. Si noti, inoltre, che l’errore da parte della collaboratrice non è stata assolutamente tollerato da CCM che, a in ragione di ciò, ha risolto il rapporto di lavoro con quest’ultima”.

Cribis, inoltre, dava evidenza delle misure tecniche e organizzative trasmesse a Sky Italia s.r.l. in data 18 febbraio 2021 (Allegato 7 – misure tecniche e organizzative) a seguito di richiesta di audit documentale da parte della committente.

La Società dichiarava di avere “aderito e rispettato in qualità di responsabile del trattamento anche tutte le procedure e istruzioni ricevute da Sky (Allegati 2 – manuale operativo Sky, 3 – nomina a responsabile e contratto Sky). A tal riguardo, preme anche rilevare che Sky Italia S.r.l., a seguito di audit documentale effettuato nei confronti di CCM a seguito dell’evento in questione non ha rilevato, riscontrato e/o contestato difformità o scollamenti di sorta (Allegato 8). Pare, altresì importante evidenziare in particolare come l’operatrice si sia attenuta alle previsioni di cui al Manuale Operativo Sky (Allegato 2), in particolare all’art. 6 “Gestione delle contestazioni” e 6.1 “Disdetta non gestita” (cfr. Allegato 9). Ed ancora come abbia in buona fede agito nel rispetto dei precetti di Etica e Buone Prassi CCM (Allegato 10) che riporta best practice sulla pertinenza e la minimizzazione dei dati (cfr. paXX 4), contatti con eventuali terzi nel corso dell’attività di recupero in conformità con il Provvedimento del Garante del 30 novembre 2015 (cfr. pag. 6). Infatti, a tal riguardo, preme inoltre evidenziare come il sig. XX, errato destinatario delle comunicazioni in questione non abbia mai evidenziato all’operatrice che l’indirizzo utilizzato non apparteneva al sig. XX, tantomeno l’Avv. XX nella sua comunicazione successiva alla dott.ssa XX si è premurato di specificare ciò”. “Da considerare, inoltre, che nel momento in cui CCM è venuta a conoscenza dell’evento è stata tempestivamente aperta un’istruttoria interna da parte del DPO di CCM per ricostruire quanto accaduto, che ha permesso una gestione puntuale e responsabile del caso caratterizzato da un errore della collaboratrice di CCM”.

3. L’esito dell’istruttoria e del procedimento sanzionatorio.

All’esito dell’esame della documentazione prodotta e delle dichiarazioni rese dalla parte nel corso del procedimento, della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice, risulta accertato che Cribis, in qualità di responsabile del trattamento dei dati da parte di Sky s.r.l. con il compito di effettuare, per conto di tale società, l’attività di recupero crediti, ha inviato a un soggetto terzo due e-mail contenenti informazioni inerenti alla situazione debitoria dell’interessato.

Con particolare riferimento alla questione prospettata, si evidenzia inoltre che, secondo quanto disposto dal Garante con il provvedimento generale del 30 novembre 2005, “chiunque effettui un trattamento di dati personali nell´ambito dell´attività di recupero crediti deve osservare il principio di liceità nel trattamento: tale precetto è violato dal comportamento (attuato da taluni operatori economici) consistente nel comunicare ingiustificatamente a soggetti terzi rispetto al debitore (quali, ad esempio, familiari, coabitanti, colleghi di lavoro o vicini di casa), informazioni relative alla condizione di inadempimento nella quale versa l´interessato (comportamento talora tenuto per esercitare indebite pressioni sul debitore al fine di conseguire il pagamento della somma dovuta)”.

Gli elementi forniti nella memoria difensiva, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento. Il trattamento di dati personali posto in essere dalla Società nel caso di specie risulta, dunque, illecito poiché effettuato in maniera non conforme ai principi di “liceità, correttezza e trasparenza”, nonché di “minimizzazione” dei dati, in violazione dell’art. 5, par. 1, lett. a) e c) e in violazione dell’art. 6 par. 1 del Regolamento.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti e che la Società ha implementato specifiche misure per evitare il ripetersi dell’evento contestato, non ricorrono i presupposti per l’adozione di provvedimenti, di tipo prescrittivo o inibitorio, di cui all’art. 58, par. 2 del Regolamento.

4. Adozione dell’ordinanza ingiunzione (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1, lett. a) e c) e 6 par. 1 del Regolamento “è soggetta a sanzioni amministrative pecuniarie fino a 20.000.000 euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore” (art. 83, par. 5, lett. a) del Regolamento).

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che le sanzioni devono “in ogni caso [essere] effettive, proporzionate e dissuasive” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

il carattere colposo della violazione;

il grado di responsabilità della Società che non si è conformata alla disciplina in materia di protezione dei dati, rispetto alla quale, sin dal 2005, il Garante ha fornito chiare indicazioni agli operatori del settore del recupero crediti;

l’assenza di precedenti specifici a carico della Società;

la circostanza che la parte ha cooperato con l’Autorità nel corso del procedimento e che, per evitare il ripetersi di situazioni come quella alla base del reclamo, si è impegnata a prendere iniziative sia di carattere tecnico (blocco dell’invio di comunicazioni e-mail verso l’esterno provenienti da tutti gli indirizzi e-mail con dominio XX e strutturalmente impegnati sulle attività di recupero crediti) sia di carattere organizzativo (istituzione di classi di formazione per tutti i collaboratori operanti per conto di Sky Italia, nei quali, oltre a ricapitolare i concetti base da seguire nell’esercizio dell’attività di recupero crediti, saranno anche ribadite le procedure corrette per la gestione delle attività e il manuale operativo delle attività di recupero per Sky Italia).

Si ritiene inoltre che assumano rilevanza, nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), le condizioni economiche del contravventore, determinate con riferimento al bilancio di esercizio per l’anno 2020.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare, nei confronti della Società, la sanzione amministrativa del pagamento di una somma pari ad euro 10.000 (diecimila).

In considerazione della natura e della gravità della violazione accertata, si ritiene, altresì, di disporre, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, inoltre, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da Cribis Credit Management s.r.l., con sede in via della Beverara 19 (Bologna) nei termini di cui in motivazione, ai sensi dell’art. 143 del Codice, per la violazione degli artt. art. 5, par. 1, lett. a) e c) e 6 del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento a Cribis Credit Management s.r.l., di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per la violazione degli artt. 5, par. 1, lett. a) e c) e 6 del Regolamento;

INGIUNGE

quindi, alla medesima Società di pagare la predetta somma di euro 10.000,00 (diecimila), secondo le modalità indicate in allegato, a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento.

Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento di un importo pari alla metà della sanzione comminata, sempre secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019, nonché l’annotazione delle violazioni nel registro interno dell’Autorità ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 9 giugno 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei