Provvedimento 04 febbraio 2010
Provvedimento del Garante per la protezione dei dati personali 4 febbreio 2010: "Agenzie matrimoniali e uso dei dati sensibili relativi al credo religioso".
[Bollettino – Garante per la protezione dei dati personali n.113/febbraio 2010, consultabile sul sito www.garanteprivacy.it ]
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
IN DATA ODIERNA, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale reggente;
ESAMINATI, per i profili di competenza di questa Autorità, i documenti trasmessi dall'Ufficio del giudice di pace di Roma, riguardanti un procedimento monitorio pendente tra il cessionario di un credito vantato da un'agenzia matrimoniale della rete Meeting e il debitore ceduto (cliente dell'agenzia);
VISTI gli elementi in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Giuseppe Chiaravalloti;
PREMESSO
1. L'Ufficio del giudice di pace di Roma ha trasmesso al Garante copia di alcuni atti inerenti un procedimento per ingiunzione, dai quali emerge che, in occasione della cessione di un credito vantato da un'agenzia di mediazione per fini matrimoniali nei confronti di una cliente (relativo al corrispettivo pattuito e da costei non corrisposto per le prestazioni ottenute in esecuzione dell'incarico), è stata consegnata al cessionario una copia del contratto originario – contenente dati personali anche sensibili dell'interessata (in particolare, il credo religioso) –, per consentire il recupero in sede giudiziale della somma ancora dovuta.
2. Ciò premesso, impregiudicata ogni valutazione sull'utilizzabilità di tale documentazione nell'ambito del procedimento giudiziario (artt. 47 e 160, comma 6, del Codice), perché spettante soltanto all'autorità giudiziaria dinanzi a cui il procedimento è pendente, in questa sede, al fine di verificare la liceità dei trattamenti effettuati nel caso di specie e di acquisire, in particolare, elementi idonei ad accertarne la conformità alla disciplina di protezione dei dati personali, sono state chieste all'agenzia matrimoniale informazioni volte a conoscere specificamente: la tipologia di dati personali trattati in sede di stipula dei contratti di mediazione matrimoniale; le modalità del loro trattamento, con specifico riguardo al rispetto dei principi di correttezza, finalità, pertinenza e non eccedenza (art. 11, comma 1, lett. a), b) e d) del Codice); l'ambito soggettivo di divulgazione dei dati personali dei clienti in caso di cessione dei crediti derivanti dai contratti di mediazione stipulati; l'individuazione degli incaricati e degli eventuali responsabili del loro trattamento; l'attuazione delle disposizioni dettate dall'art. 13 del Codice in tema di informativa resa ai clienti.
Stante il mancato riscontro alla suddetta richiesta di informazioni (inviata il 17 dicembre 2008) da parte dell'agenzia destinataria, e tenuto conto che quest'ultima apparteneva ad una rete di agenzie matrimoniali affiliate in franchising a Meeting s.r.l. (di seguito, la società), il 4 febbraio 2009 la richiesta è stata ribadita direttamente nei confronti della società e, successivamente, è stata integrata da un'ulteriore richiesta (formulata il 18 marzo 2009 e rinnovata, ai sensi dell'art. 157 del Codice, il 10 aprile 2009) volta ad acquisire ulteriori elementi, risultati medio tempore necessari per la compiuta valutazione della vicenda.
3. A seguito di ciò, la società -anche ai sensi e per gli effetti dell'art. 168 del Codice- ha dichiarato:
a. che l'agenzia matrimoniale autrice del segnalato trattamento era un'affiliata alla Meeting s.r.l., oggi non più esistente per effetto dell'intervenuta risoluzione, in data 29 marzo 2007, del rapporto contrattuale di affiliazione commerciale;
b. di non essere in grado di fornire le informazioni richieste riguardo alla specifica agenzia, in considerazione del fatto che "ogni singolo affiliato esercita un'attività a se stante con posizione fiscale propria, e quindi [quale] autonomo titolare del trattamento" (v. nota del 9 febbraio 2009);
c. di essere, "in qualità di affiliante", "giuridicamente distinta e separata da ognuna delle aziende affiliate come si evince dal contratto di affiliazione commerciale, il quale si sostanzia in un contratto […] tra imprese giuridicamente ed economicamente indipendenti", con conseguente diretta responsabilità verso i terzi di ogni singolo affiliato per il proprio operato (v. nota del 24 aprile 2009).
La società ha altresì allegato copia sia del contratto di affiliazione commerciale stipulato con la cessata agenzia affiliata, sia del "manuale operativo meeting" (documento più volte richiamato nel contratto di affiliazione).
4.1. Dal contratto di affiliazione emerge l'obbligo per l'agenzia di "attenersi strettamente alle indicazioni contenute nel manuale operativo nella conduzione della propria attività (art. 7, lett. h)", documento "inerente ogni aspetto gestionale ed organizzativo della metodologia Meeting (art. 1, lett. b). Con specifico riguardo alla gestione finanziaria dell'agenzia, il contratto, pur suggerendo all'affiliata di attenersi alla procedura di recupero crediti indicata nel manuale operativo, prevede che la stessa possa, "nell'ambito della propria autonomia imprenditoriale, decidere di procedere con modalità differenti, nel qual caso gestirà il processo autonomamente, anche in termini di rischio imprenditoriale" (art. 7, lett. v).
In particolare, la procedura del manuale prevede che la società affiliante stipuli una convenzione, valevole per tutte le agenzie della rete, con uno studio legale predeterminato (designato responsabile del trattamento dei dati personali trattati nell'ambito dell'incarico conferito), convenzione che "verrà in ogni caso fornita all'affiliato in fase di apertura dell'agenzia [e che] per essere attivata [dall'agenzia] deve essere timbrata e firmata foglio per foglio"; in ogni caso, come già detto, è fatta salva la possibilità, per ciascuna agenzia, di avviare pratiche di recupero crediti anche al di fuori di tale procedura, avvalendosi della collaborazione di società scelte autonomamente (v. p. 17, manuale operativo cit.).
Gli elementi in atti hanno confermato che la cessata agenzia matrimoniale ha optato per questa seconda soluzione, avvalendosi, per recuperare il credito, di un soggetto diverso da quello originariamente designato dalla società affiliante quale responsabile del trattamento. Però, alla luce di quanto dichiarato dalla società circa l'impossibilità di fornire qualsiasi informazione sul caso di specie, non è stato possibile né accertare il ruolo (di autonomo titolare o di responsabile del trattamento dei dati della cliente) assunto dal cessionario del credito, né le violazioni della disciplina rilevante in materia di protezione dei dati personali scaturenti dalle modalità con le quali la cessata agenzia ed il cessionario del credito hanno trattato i dati personali della cliente.
4.2. Dalle risultanze istruttorie, tuttavia, risulta che, in termini generali, la società affiliante si è riservata il potere di svolgere attività di controllo nei confronti delle agenzie affiliate: ciò può avvenire sia mediante l'adozione di "una propria articolata metodologia di lavoro ed una propria modulistica necessaria per una razionale e corretta organizzazione […]" (v. premessa al contratto di affiliazione), sia svolgendo attività di formazione obbligatoria in favore delle affiliate, sia effettuando "rapporti periodici di analisi e revisione della gestione dell'agenzia" (v. art. 3 del contratto di affiliazione cit.).
L'esistenza di tali poteri in capo alla società, peraltro, emerge anche dal manuale operativo, nel quale, muovendo dalla premessa che l'affiliato, pur mantenendo "la propria autonomia imprenditoriale nell'ambito del suo punto vendita (…) non deve cadere nell'errore di discostarsi dal gruppo attuando iniziative proprie" (v. "presentazione della rete "Meeting", p. 2), sono meticolosamente descritti gli adempimenti ai quali sono tenute le agenzie affiliate alla rete Meeting dal momento della loro apertura fino all'eventuale cessazione dell'attività, che è strettamente vincolata all'osservanza delle istruzioni impartite dalla società anche con riguardo al trattamento dei dati personali della clientela.
Con specifico riguardo al trattamento dei dati personali, il modello di contratto di mediazione a fini matrimoniali, il cui uso è stato imposto dalla società affiliante a tutti i soggetti della rete Meeting, statuisce che il cliente, all'atto del conferimento dell'incarico, dia il consenso al trattamento dei propri dati personali "[…] alla società nonché a tutte le agenzie Meeting e alla Meeting s.r.l.", sicché i medesimi dati possono essere oggetto di comunicazione nell'ambito dell'intera rete Meeting (v. art. 13 del contratto stipulato tra la cessata agenzia affiliata e la cliente, in atti).
Infine, nello stesso contratto di affiliazione sono dettate specifiche norme anche in vista dell'eventuale risoluzione del rapporto di affiliazione commerciale. Infatti, l'art. 18 del contratto prevede che, in caso di cessazione del contratto per qualsiasi causa, l'affiliato debba "restituire la modulistica in giacenza nonché tutti gli archivi cartacei e non", oltre a "cedere senza alcuna riserva la gestione e la titolarità dei clienti in essere alla data di cessazione del presente contratto alla Meeting s.r.l. o ad altri affiliati indicati dalla stessa Meeting s.r.l. o ancora a terze parti all'uopo appositamente incaricate dalla Meeting s.r.l.". Si tratta di quanto accaduto nel caso di specie, come dimostrato dalla lettera di risoluzione contrattuale del 29 marzo 2007, inviata dalla Meeting s.r.l. all'agenzia oggetto della presente segnalazione, con la quale quest'ultima è stata espressamente invitata proprio al rispetto di quanto stabilito dal citato art. 18.
4.3. Tutto ciò premesso, fermo restando che lo svolgimento di attività di mediazione a fini matrimoniali mediante la costituzione di una rete di agenzie operanti in franchising costituisce una libera scelta imprenditoriale e che, ove sussista un contratto di affiliazione commerciale, le parti possono regolare in vario modo i loro rapporti in relazione al trattamento dei dati personali della rispettiva clientela, all'esito dell'esame del complessivo assetto organizzativo della Meeting si deve ritenere che sia la società affiliante, sia le singole agenzie affiliate, debbano essere considerate quali "contitolari del trattamento" dei dati personali dei clienti (artt. 4, comma 1, lett. f) e 28 del Codice), con tutte le conseguenze che ciò comporta anche in termini di eventuale responsabilità civile nei confronti degli interessati.
Infatti, sulla base di quanto stabilito nel contratto di affiliazione, nel "manuale operativo" e nel modello di contratto di mediazione, obbligatoriamente adottato dalle singole agenzie affiliate, emerge che a queste ultime non può essere riconosciuta la qualità di "titolare autonomo del trattamento", stante l'acclarato potere decisionale sulle finalità e modalità del trattamento dei dati riservato anche alla società affiliante, la quale è in condizione di trattare anche in via diretta le informazioni inerenti ai vari incarichi assunti dalle singole affiliate da parte dei rispettivi clienti; ciò, come visto, non solo in caso di cessazione del contratto di affiliazione commerciale stipulato con la singola agenzia affiliata (così l'art. 18 del contratto di affiliazione cit.) ma anche nella stessa fase di esecuzione dei singoli contratti stipulati a fini di mediazione matrimoniale da ciascuna agenzia affiliata (in tal senso, vedi l'ampiezza del consenso al trattamento dei dati che, ai sensi dell'art. 13 del contratto di mediazione, viene rilasciato dai singoli clienti).
4.4. Inoltre, dagli atti è emerso che, mediante il modello di contratto di mediazione utilizzato da tutti i soggetti operanti nell'ambito della rete Meeting vengono trattati anche dati sensibili dei clienti, tra cui, in particolare, quelli idonei a rivelarne le convinzioni religiose. Tali informazioni, che sono state trattate anche nel caso oggetto della presente segnalazione, rientrano tra quelle che il cliente rende compilando il campo "religione", inserito nella sezione "caratteristiche personali" dell'Allegato A, il quale costituisce parte integrante del contratto (v. art. 6 del contratto).
In linea generale, per legge, i dati sensibili possono essere trattati da soggetti privati solo con il consenso scritto e informato degli interessati e sempre che il medesimo trattamento sia autorizzato preventivamente dal Garante, anche tramite autorizzazioni generali (artt. 26, 40 e 41 del Codice). Con riferimento al caso in questione, poi, il trattamento di dati sensibili da parte della società va considerato lecito laddove: sia indispensabile per adempiere agli obblighi strettamente inerenti all'esecuzione dei singoli incarichi conferiti; risulti osservato quanto disposto da questa Autorità con l'autorizzazione generale n. 5/2009, Capi V e VI (in http//www.garanteprivacy.it, doc. web n. 1683005); gli interessati abbiano fornito il consenso scritto sulla base di una previa informativa, la quale, per essere adeguata, "deve porre in particolare evidenza le categorie di dati trattati e le modalità della loro comunicazione a terzi" (punto 4, Capo V cit.).
Ciò premesso, anche il trattamento dei dati idonei a rivelare le convinzioni religiose rientra nell'ambito di applicazione della menzionata autorizzazione generale. Tuttavia, si deve rilevare che, mentre detto trattamento risulta conforme ai principi di indispensabilità, pertinenza e non eccedenza rispetto alle ordinarie finalità connesse allo svolgimento dell'attività di mediazione a fini matrimoniali (stante l'indubbia rilevanza che il profilo religioso può assumere per coloro che aspirano all'eventuale instaurazione del vincolo matrimoniale), la comunicazione di tali informazioni -come pure di altri dati sensibili riferiti agli interessati- deve ritenersi sicuramente sproporzionata allorché venga effettuata in favore di soggetti che la società abbia preposto all'espletamento di attività aventi contenuto del tutto diverso. Tale è proprio il caso in cui siffatte informazioni vengano fornite a soggetti che svolgono attività di recupero di crediti vantati dalla società verso i clienti, i quali, come nel caso di specie, potrebbero vedersi tenuti ad acquisire e ad utilizzare –anche in relazione a possibili procedimenti monitori- la copia degli originari contratti di mediazione per dimostrare l'esistenza dei crediti loro ceduti (cfr. art. 1262, comma 1, cod. civ.).
Pertanto, alla luce di ciò, nei confronti della società si deve disporre il divieto di comunicare ulteriormente i dati sensibili dei clienti, inclusi quelli idonei a rivelare la confessione religiosa da loro praticata, a soggetti che svolgano attività che non richiedano necessariamente il trattamento di tali informazioni e, in particolare, a coloro che agiscano per il recupero di crediti vantati dalla società stessa (art. 154, comma 1, lett. d) del Codice); a tal fine, quale misura necessaria, si deve prescrivere l'inserimento di tali informazioni in un'apposita e distinta sezione del contratto di mediazione, da non trasmettere a tali soggetti.
4.5. Infine, anche l'informativa resa dalla società e dalle agenzie della rete Meeting ai clienti (v. punto 13 del contratto cit.) presenta alcune carenze. Infatti, essa, oltre a non essere del tutto esauriente in ordine all'individuazione delle varie tipologie di trattamenti effettuati, risulta anche inidonea in quanto:
– enuncia in forma estremamente generica le finalità del trattamento ("tutte le finalità connesse e conseguenti all'esecuzione del presente contratto"), senza neanche indicare quella concernente proprio lo svolgimento di attività di mediazione a fini matrimoniali (art. 13, comma 1, lett. a) del Codice);
– non contiene indicazioni circa la natura obbligatoria o facoltativa del conferimento dei dati, né indica le conseguenze di un eventuale rifiuto a rispondere (art. 13, comma 1, lett. b) e c) del Codice).
Di conseguenza, riservata l'instaurazione di un autonomo procedimento per la contestazione della violazione amministrativa per inidonea informativa di cui all'art. 161 del Codice, si ritiene di dover prescrivere alla società di riformulare l'informativa in stretta aderenza a quanto previsto dall'art. 13 del Codice.
5. In caso di inosservanza del presente provvedimento, si renderanno applicabili le sanzioni (rispettivamente penale e amministrativa) di cui agli artt. 170 e 162, comma 2-ter del Codice.
TUTTO CIÒ PREMESSO IL GARANTE
1) ai sensi dell'art. 154, comma 1, lett. d) del Codice, vieta a Meeting s.r.l., con effetto dalla data di ricezione del presente atto, l'ulteriore comunicazione di dati sensibili riferiti ai clienti, inclusi quelli idonei a rivelarne la confessione religiosa, a soggetti preposti dalla società all'espletamento di specifici compiti non compatibili con il loro trattamento, anche con riguardo a coloro che svolgano attività di recupero crediti (punto 4.4.);
2) ai sensi degli artt. 154, comma 1, lett. c), prescrive a Meeting s.r.l., quali misure necessarie, di:
a) riformulare il modello di contratto utilizzato per acquisire gli incarichi di mediazione matrimoniale da parte della clientela, prevedendo l'inserimento dei dati sensibili dei clienti, inclusi quelli idonei a rivelare la confessione religiosa da loro praticata, in un'apposita sezione, da non trasmettere a soggetti che svolgano attività che non richiedano necessariamente il loro trattamento, anche con riguardo a coloro che agiscano per il recupero di crediti vantati dalla società (punto 4.4.);
b) riformulare, in riferimento ai trattamenti leciti, l'informativa resa (punto 4.5.), con espresso riferimento alla:
– indicazione chiara ed esaustiva dei trattamenti effettuati e delle finalità con essi perseguite;
– natura obbligatoria o facoltativa del conferimento dei dati e all'indicazione delle conseguenze di un eventuale rifiuto a rispondere (art. 13, comma 1, lett. b) e c) del Codice);
c) trasmettere al Garante, entro 60 giorni dalla ricezione del presente provvedimento, un esemplare del nuovo modello di informativa che verrà predisposto.
Roma, 4 febbraio 2010
IL PRESIDENTE
Pizzetti
IL RELATORE
Chiaravalloti
IL SEGRETARIO GENERALE REGGENTE
De Paoli
Autore:
Garante per la protezione dei dati personali
Dossier:
Libertà religiosa, Famiglia e Religione, Tutela dati personali, Italia
Nazione:
Italia
Natura:
Provvedimento