Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Adempimenti semplificati per il customer care Adempimenti semplificati per il customer care (inbound) - 15 novembre 2007 [1462788]

[doc. web n. 1462788]
[v. anche Comunicato stampa]

Adempimenti semplificati per il customer care (inbound) - 15 novembre 2007
(G.U. 7 dicembre 2007, n. 285)

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196), con particolare riguardo agli artt. 2 e 13;

Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Francesco Pizzetti;

PREMESSO

1. Misure di semplificazione e trattamento di dati nell'ambito di servizi telefonici di assistenza e informazione al pubblico
1.1. La disciplina di protezione dei dati personali prevede che il trattamento dei dati deve assicurare un livello elevato di tutela dei diritti e delle libertà fondamentali "nel rispetto dei princìpi di semplificazione, armonizzazione ed efficacia" (art. 1, comma 2, del Codice).

Specifiche disposizioni attuano tali princìpi semplificando il contenuto e le modalità per informare gli interessati rispetto al trattamento, in particolare per quanto riguarda i servizi telefonici di assistenza e di informazione al pubblico (art. 13, commi 2 e 3, del Codice).

Il Garante intende sviluppare ulteriormente tali disposizioni attraverso il presente provvedimento che tiene conto del principio secondo cui l'informativa, quando i dati sono raccolti presso gli interessati, "può non comprendere gli elementi già noti alla persona che fornisce i dati" (art. 13, comma 2).

1.2. Numerosi soggetti pubblici e privati utilizzano in modo crescente servizi telefonici di assistenza e di informazione al pubblico nello svolgimento della propria attività istituzionale, professionale, commerciale o di natura personale.

Alcune scelte organizzative valorizzano il mezzo telefonico quale canale di contatto privilegiato con l'utenza, specie nell'ambito di società di grandi dimensioni e di enti pubblici, il che può accrescere l'economicità e l'efficienza nei servizi resi (cfr. in merito art. 3 dir. min. 21 dicembre 2001, Linee guida in materia di digitalizzazione dell'amministrazione, in G.U. 5 febbraio 2002, n. 30; dir. min. 4 gennaio 2005, Linee guida in materia di digitalizzazione dell'amministrazione, in G.U. 12 febbraio 2005).

La gestione del flusso delle chiamate, attraverso appositi servizi di assistenza telefonica, può assumere in talune circostanze una particolare complessità, strutturandosi su un insieme integrato di sistemi informativi e di risorse umane.

A seconda delle caratteristiche dei servizi e dei relativi destinatari è possibile individuare una vasta gamma di funzioni. Tra le più ricorrenti, possono evidenziarsi quelle di informazione e/o di assistenza alla clientela (c.d. "customer care"), con riferimento all'instaurazione e all'esecuzione di rapporti contrattuali in vari contesti (prenotazione di servizi, phone-banking, ecc.), quelle svolte a vantaggio della collettività da parte di amministrazioni pubbliche (si pensi alle chiamate di pubblica utilità, incluse le chiamate ai numeri di emergenza) o soggetti privati anche per quanto riguarda servizi a sovrapprezzo di tipo sociale-informativo, di assistenza, di consulenza tecnico-professionale e di intrattenimento.

1.3. Il presente provvedimento riguarda solo le attività che comportano un trattamento di dati personali prestate in modalità inbound, ossia oggetto di una chiamata dell'interessato anche se effettuate senza la mediazione di un operatore (attraverso canali di comunicazione interamente automatizzati).

Non formano invece oggetto di esame i servizi c.d. outbound, di solito ricorrenti nello svolgimento di attività di tele-marketing, nell'ambito delle quali vengono contattati destinatari di comunicazioni commerciali anche attraverso call center: al riguardo, vige infatti un apposito quadro normativo (cfr. art. 58 del Codice del consumo di cui al d.lg. 6 settembre 2005, n. 206; art. 130 del Codice in materia di protezione dei dati personali; in merito, v. pure i Provv. del 30 maggio 2007, doc. web n. 1412626; doc. web n. 1412610; doc. web n. 1412598; doc. web n. 1412557 e doc. web n. 1412586).

1.4. Il Garante, tenendo anche conto delle indicazioni e delle richieste di chiarimento formulate (con specifico riguardo ai rapporti con i committenti) da un'associazione di categoria rappresentativa delle società di call center operanti in outsourcing, intende altresì precisare alcune modalità di comportamento da osservare nella gestione dei servizi telefonici di assistenza e informazione al pubblico (v. infra punti 2, 3, 4 e 5).

2. Tipologie di dati e modalità del loro trattamento
Nello svolgimento delle attività qui considerate possono essere utilizzate legittimamente solo le informazioni personali pertinenti e non eccedenti in relazione ai servizi richiesti, informazioni che sono di regola comunicate direttamente dall'interessato.

Le tipologie di informazioni trattate sono piuttosto varie comprendendo dati sia comuni (ad esempio, anagrafici o di natura economica), sia sensibili (si pensi, esemplificativamente, alle informazioni raccolte nell'ambito di servizi prestati da strutture sanitarie). Alcune informazioni personali sono trattate mediante sistemi automatizzati (ad esempio, con l'ausilio di risponditori vocali automatici o grazie a sistemi informatici integrati idonei a fornire informazioni sulla linea chiamante, attraverso il dispositivo di individuazione della medesima).

La raccolta anche automatizzata di tali informazioni da parte dell'operatore che gestisce il servizio di assistenza telefonica al pubblico può avvenire senza che gli interessati ne siano specificamente consapevoli, come ad esempio nel caso di registrazione automatica dei numeri chiamanti da terminali che lo consentono e che permettono, quindi, di risalire all'identità dei relativi utilizzatori.

In relazione a questo contesto il Garante, prima di provvedere in merito all'informativa agli interessati, intende richiamare l'attenzione degli operatori del settore su alcuni profili connessi a tale problematica, utili per assicurare una piena conformità del trattamento alle disposizioni vigenti in materia di protezione dei dati personali dei trattamenti effettuati nell'ambito dei servizi telefonici di assistenza e informazione al pubblico.

3. Titolare e responsabile del trattamento
3.1. Il soggetto pubblico e privato "titolare del trattamento" può svolgere le attività volte a fornire servizi di assistenza e di informazione al pubblico per via telefonica, tramite personale operante sotto la sua diretta autorità in qualità di "incaricato del trattamento" (art. 30 del Codice) o terzi cui è affidato il servizio all'esterno sulla base di contratti di collaborazione (c.d. outsourcing) che disciplinano le modalità per prestare questa attività strumentale.

Questa seconda soluzione è volta ad assecondare legittime esigenze organizzative. Mentre in altre discipline settoriali possono essere previste specifiche cautele (si pensi, esemplificativamente, a quelle contenute nel Comunicato della Banca d'Italia, in G.U. 21 agosto 2002, n. 195, Esternalizzazione di attività di sportello e, sulla medesima materia, nella Comunicazione della Commissione nazionale per la società e la borsa n. Din/2073042 del 7 novembre 2002) la disciplina di protezione dei dati personali ammette e non ostacola tale esternalizzazione. L'outsourcer va però designato quale "responsabile del trattamento" preposto ad attuare in concreto le decisioni del "titolare del trattamento" sulle finalità e modalità del trattamento, sugli strumenti utilizzati e sulla sicurezza (artt. 4, 28 e 29 del Codice; v. pure Provv. 16 febbraio 2006, punto 6, doc. web n. 1242592).

3.2. Al fine di garantire una rigorosa osservanza dei princìpi di protezione dei dati personali (e apprestare una tutela più intensa a favore degli interessati), il Codice richiede che chi operi in tale veste debba essere particolarmente qualificato –dovendo essere "individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza" (art. 29, comma 2, del Codice)– e, nell'ambito dei compiti che gli sono assegnati, debba conformare il proprio operato alle istruzioni del "titolare del trattamento" (art. 29, commi 4 e 5, del Codice).

Il titolare del trattamento è chiamato a svolgere un'analisi anche preventiva al trattamento delle implicazioni che le modalità operative prescelte possono comportare in ordine ai diritti degli interessati, e a porre particolare cura nella valutazione delle capacità professionali, nonché dell'adeguatezza organizzativa del responsabile del trattamento, tenuto conto della natura dei dati trattati. Questa valutazione d'insieme deve riguardare anche l'adeguatezza delle soluzioni tecnico-organizzative e di quelle concernenti la sicurezza dei dati e dei sistemi.

In questo quadro assume una particolare criticità la situazione nella quale un medesimo outsourcer si trovi a gestire contemporaneamente, specie se in un contesto logistico di promiscuità, una pluralità di servizi di assistenza telefonica al pubblico per distinti committenti titolari del trattamento. Tale concorrenza di attività non deve tradursi, in concreto, in un abbassamento o in una banalizzazione dei livelli di sicurezza, né, tantomeno, in una sostanziale commistione tra i differenti insiemi di dati da utilizzare per prestare distinti servizi per più titolari.

Occorre poi assicurare le condizioni per uno svolgimento corretto e trasparente delle relazioni con l'utenza, la quale deve poter individuare in maniera univoca il titolare del trattamento con il quale viene in contatto tramite il servizio di assistenza telefonica al pubblico.

Acquista quindi rilievo l'opportunità di un'approfondita verifica che le parti e, in particolare, il "titolare del trattamento", dovrebbero effettuare in sede di stipula e di attuazione del contratto di fornitura del servizio.

Il titolare del trattamento deve esercitare in concreto reali funzioni di controllo della corretta attuazione delle decisioni che è chiamato ad assumere, anche per ciò che riguarda le modalità di consultazione ed eventuale riproduzione degli archivi del titolare posti a disposizione dell'outsourcer e in relazione alla cessazione del loro utilizzo all'atto dell'estinzione del rapporto contrattuale.

4. Finalità, necessità, pertinenza e non eccedenza dei dati trattati
4.1. Nel rendere il servizio di assistenza e di informazione al pubblico non devono essere utilizzati dati personali di abbonati e di utenti che non siano necessari per prestare il servizio, come può avvenire in caso di servizi di natura meramente informativa. Efficaci analisi e monitoraggi della funzionalità e dell'effettiva prestazione del servizio possono essere a volte compiuti a volte disponendo solo di dati statistici anonimi (art. 3 del Codice).

Il trattamento di dati personali che sia realmente necessario per il servizio (anche quando si tratta di dati non direttamente identificativi, ma agevolmente riconducibili a un soggetto identificabile come nel caso degli identificativi delle linee chiamanti) deve comunque avvenire nel rispetto dei princìpi di pertinenza e non eccedenza (artt. 3 e 11 del Codice).

4.2. Occorre assicurare un quadro di correttezza nei riguardi dell'utenza. In particolare, le informazioni raccolte devono essere utilizzate solo per scopi determinati, espliciti e legittimi. I soggetti privati devono di regola raccogliere il consenso informato qualora intendano utilizzare i dati per finalità diverse e compatibili, come nel caso del marketing o della creazione di profili relativi all'utenza (artt. 23 e 24 del Codice), mentre i soggetti pubblici devono operare pur sempre per dichiarate finalità istituzionali, nell'osservanza delle pertinenti disposizioni del Codice (cfr. artt. 18 ss. del Codice).

Eventuali registrazioni legittime del contenuto delle comunicazioni, effettuate con l'operatore o per il tramite di dispositivi automatici, possono essere conservate solo per un periodo di tempo necessario al corretto assolvimento delle operazioni richieste dagli utenti o alle eventuali esigenze di fatturazione, nei casi di servizi a pagamento, salva l'osservanza di specifici obblighi di legge che ne legittimino l'ulteriore conservazione.

5. Informativa agli interessati e modalità semplificate (art. 13, commi 2 e 3, del Codice)
5.1. I servizi di assistenza telefonica al pubblico sono prestati, non di rado, senza trattare specificamente dati di carattere personale.

In secondo luogo, nei casi in cui, sulla base del principio di necessità, occorre utilizzare alcune informazioni di carattere personale, è di regola possibile fornire alla clientela un'idonea informativa una tantum sulle finalità e sulle caratteristiche essenziali del trattamento, già in occasione dell'instaurazione del rapporto contrattuale che spesso precede i contatti telefonici con il servizio (si pensi, ad esempio, ai servizi di assistenza tecnica post-vendita).

In tutti questi casi, non è quindi necessario fornire un'informativa in occasione del contatto telefonico con il servizio.

5.2. Tuttavia, può verificarsi il caso in cui il servizio non è preceduto da un contratto o da contatti in occasione dei quali vi sia stata già la possibilità di informare adeguatamente l'interessato.

Anche per questi casi, non è però necessario informare l'interessato rispetto agli elementi che gli siano già noti in base alle circostanze del caso.

A questo riguardo, se si pone attenzione alle specifiche caratteristiche dei servizi di assistenza e di informazione al pubblico, si può infatti constatare agevolmente che diversi elementi che dovrebbero far parte dell'informativa (art. 13 del Codice) sono già chiaramente evidenti, in particolare per quanto riguarda:

a) gli estremi identificativi del titolare del trattamento (art. 13, comma 1, lett. f));

b) le varie circostanze che emergono comunque, sotto altro profilo, nel corso della conversazione telefonica (ad esempio, le conseguenze di un eventuale rifiuto di rispondere e la natura obbligatoria o facoltativa del conferimento: art. 13, comma 1, lett. b) e c));

c) la finalità del servizio e l'ambito di utilizzazione dei dati (art. 13, comma 1, lett. a) e d)), in particolare quando non si perseguono altri scopi quali quelli di marketing o di profilazione per i quali dovrebbe essere peraltro acquisito il consenso.

5.3. Per ogni altro caso in cui risulti comunque opportuno o necessario indicare alcuni elementi dell'informativa in occasione di un contatto telefonico, deve tenersi conto della peculiarità di questo mezzo di comunicazione e della natura dei servizi resi i quali devono poter essere svolti con celerità e senza costi aggiuntivi.

Il principio di semplificazione richiamato nell'art. 2 del Codice esige che ogni eventuale altro elemento da indicare all'interessato e che non gli sia stato eventualmente già spiegato gli venga comunque rappresentato con formule sintetiche, chiare e di immediata comprensione, anche mediante brevi messaggi preregistrati nel corso di eventuali tempi di attesa del servizio.

Come premesso, il Garante intende sviluppare ulteriormente tali modalità semplificate autorizzando coloro che prestano i servizi in esame a indicare la modalità attraverso la quale l'interessato potrà consultare o ascoltare a richiesta un'informativa più specifica, ad esempio mediante un sito web o tramite operatore o messaggio registrato ascoltabile digitando una cifra sulla tastiera del telefono (art. 13, comma 3, del Codice).

I fornitori del servizio titolari del trattamento sono già autorizzati ad avvalersi di tutte le predette opportunità senza rivolgere al Garante alcuna richiesta, da formulare eventualmente solo per specifiche situazioni ritenute meritevoli di apposito esame.

5.4. Va infine disposto che i servizi abilitati in base alla legge a ricevere chiamate d'emergenza (d.m. Min. comunicazioni 27 aprile 2006 sul servizio "112" quale numero unico europeo d'emergenza; v. anche Parere del Garante 6 aprile 2006, doc. web n. 1269346), attesa la loro peculiare natura, possano rendere l'informativa agli interessati (se dovuta in base al Codice: cfr. art. 53) inserendola nei siti web di riferimento.

TUTTO CIÒ PREMESSO IL GARANTE

1. individua le seguenti linee guida per i titolari del trattamento che prestano servizi di assistenza e di informazione al pubblico, in particolare ove si avvalgano di soggetti esterni designati "responsabili del trattamento" (punti 2, 3, 4 e 5):

a. la raccolta delle informazioni personali deve limitarsi a quelle pertinenti e non eccedenti in relazione ai servizi richiesti;

b. deve essere effettuata una previa analisi delle implicazioni che il trattamento di dati personali mediante servizi di assistenza telefonica al pubblico potranno comportare, anche tenuto conto della natura dei dati trattati;

c. il contratto di fornitura del servizio di assistenza telefonica al pubblico deve contenere concrete modalità operative idonee ad assicurare condizioni di trasparente e corretto svolgimento delle relazioni con l'utenza, indicando altresì le misure di sicurezza idonee che dovranno essere adottate, anche al fine di prevenire commistioni tra distinti archivi gestiti dal medesimo responsabile del trattamento;

d. deve essere posta particolare cura, ai sensi dell'art. 29 del Codice, nella valutazione delle capacità professionali e dell'adeguatezza organizzativa della struttura deputata a svolgere la funzione di servizi di assistenza telefonica al pubblico;

e. le informazioni raccolte devono essere utilizzate solo per scopi determinati, espliciti e legittimi;

f. eventuali registrazioni legittime del contenuto delle comunicazioni possono essere conservate solo per un periodo di tempo necessario al corretto assolvimento delle operazioni richieste dagli utenti o alle eventuali esigenze di fatturazione;

g. non è necessario fornire l'informativa quando non sono trattati dati personali o in relazione ai diversi elementi già noti all'interessato; nei soli casi in cui è invece necessario rappresentare alcuni elementi, vanno comunque utilizzate formule sintetiche, chiare e di immediata comprensione;

2. autorizza i titolari del trattamento che prestano servizi di assistenza e di informazione al pubblico anche con la collaborazione di terzi designati responsabili del trattamento, ai sensi dell'art. 13, comma 3, del Codice, a rappresentare in modo semplificato ad abbonati e utenti interessati gli eventuali elementi dell'informativa che risulti necessario fornire, indicando la modalità attraverso la quale l'interessato potrà consultare o ascoltare a richiesta un'informativa più specifica, ad esempio mediante un sito web o tramite operatore o messaggio ascoltabile digitando una cifra sulla tastiera del telefono (punto 5.3.);

3. autorizza i servizi abilitati in base alla legge a ricevere chiamate d'emergenza, ai sensi dell'art. 13, comma 3, del Codice, a rendere l'informativa semplificata inserendola in un sito Internet (punto 5.4.);

4. dispone che copia del presente provvedimento sia trasmessa al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana ai sensi dell'art. 143, comma 2, del Codice.

Roma, 15 novembre 2007

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
Buttarelli