Nessun titolare è un fantasma: anche le Special Purpose Vehicle devono garantire il rispetto del GDPR

Il Garante per la protezione dei dati personali (“Garante Privacy”) si è pronunciato con un recente provvedimento in un settore poco esplorato, ma tutt’altro che marginale: quello delle società veicolo di cartolarizzazione (“Special Purpose Vehicle” o “SPV”).
L’istruttoria è nata da un reclamo presentato da un interessato che ha lamentato il trattamento illecito dei propri dati personali utilizzati per finalità di recupero crediti. Il reclamante era infatti stato sollecitato per il pagamento di un debito, attraverso una comunicazione destinata a lui ma inviata a un indirizzo e-mail di un proprio conoscente e mai fornito né al titolare del credito né successivamente alla società che quel credito lo aveva acquistato a seguito dell’operazione di cartolarizzazione.
Il quadro giuridico e il ruolo della SPV
La legge sulla cartolarizzazione (L. n. 130 del 30 aprile 1999) consente alle società veicolo di funzionare senza dipendenti esternalizzando le attività operative (come la riscossione dei crediti ceduti e i servizi di cassa e pagamento) a soggetti regolamentati. Pertanto, in virtù del contratto di cessione dei crediti sottoscritto con la società cedente, la SPV subentra nei rapporti di credito con i debitori rivestendo la qualifica di titolare del trattamento, mentre a valle – per disposizione normativa – affida tutti gli atti di gestione a soggetti terzi (cd. servicer e sub-servicer), quali responsabili del trattamento.
La SPV, interpellata dal Garante Privacy, ha affermato di aver affidato la gestione operativa del trattamento a soggetti terzi e di non avere dipendenti né propri applicativi e database, motivi per i quali tutti i servizi, anche quelli amministrativi, sono esternalizzati. Ma per il Garante Privacy questa configurazione non è sufficiente a escludere la piena responsabilità degli obblighi imposti dalla normativa sul trattamento dei dati in capo alla SPV, nel suo ruolo di titolare.
Il Garante Privacy ricorda che il GDPR non ammette “titolari fantasma”: anche chi si avvale esclusivamente di fornitori esterni deve garantire che il trattamento sia lecito, corretto e trasparente. In questo caso, la SPV ha invece omesso di verificare l’esattezza dei dati trattati, permettendo l’utilizzo di un indirizzo e-mail non riconducibile all’interessato.
Gli adempimenti per garantire il pieno rispetto del GDPR
Il provvedimento sottolinea tre carenze fondamentali nella governance privacy della SPV:
Mancata nomina del DPO: vista la natura sistematica e su larga scala dei trattamenti svolti, il Garante Privacy ha ritenuto che la SPV fosse obbligata a designare il Responsabile della protezione dei dati ex art. 37 GDPR, non essendo sufficiente che tale figura venisse nominata soltanto dai fornitori che operativamente svolgevano tutte le attività di trattamento.
Registro dei trattamenti: il Garante ha ritenuto che la SPV dovesse redigere un registro dei trattamenti non potendo trovare applicazione la deroga di cui all’art. 30, par. 5, GDPR per le imprese con meno di 250 dipendenti, visto che la previsione riguarda trattamenti occasionali che non presentino rischi per i diritti e le libertà degli interessati. Nel caso di specie, invece, il trattamento di dati dei debitori può avere implicazioni sulla loro reputazione, presentando un elevato livello di rischio.
Audit lacunosi sui responsabili: la SPV non aveva effettuato verifiche e controlli sostanziali sull’operato dei responsabili esterni (i servicer e sub-servicer), limitandosi principalmente a stipulare contratti di nomina. Questo approccio è stato ritenuto insufficiente: il GDPR impone di vigilare in modo attivo sul rispetto delle istruzioni da parte dei responsabili.
Un precedente rilevante per il settore
Questo provvedimento segna un passaggio importante: viene chiarito che le SPV, pur essendo dei meri contenitori dal punto di vista operativo, hanno gli stessi obblighi in materia di protezione dei dati personali delle società che impiegano dipendenti e che svolgono le attività prevalentemente con risorse proprie.
Si tratta di un segnale chiaro per il mercato delle società veicolo che devono strutturarsi per garantire la conformità privacy, con strumenti concreti e documentabili, atti a garantire un rispetto sostanziale alla normativa.