Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Titolarità del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali - 15 giugno 2011 [1821257]

[doc. web n. 1821257]

vedi anche
[
comunicato stampa]

Titolarità del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali - 15 giugno 2011
(Pubblicato sulla Gazzetta Ufficiale n. 153 del 4 luglio 2011)

Registro dei provvedimenti
n. 230 del 15 giugno 2011

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito Codice) ed, in particolare, gli artt. 4, comma 1, lett. f) e g), 28 e 29 che disciplinano, rispettivamente, le figure soggettive del titolare e del responsabile del trattamento di dati personali nonché gli artt. 129 e 130 in materia di elenchi di abbonati e di comunicazioni indesiderate effettuate con mezzi diversi;

VISTO l'art. 20 bis della legge 20 novembre 2009, n. 166 (pubblicata in G.U. n. 215 del 24 novembre 2009, con la quale è stato convertito, con modificazioni, il decreto legge 25 settembre 2009, n. 135) che, novellando l'art. 130 del Codice, ha consentito il trattamento dei dati personali pubblicati negli elenchi di abbonati ai servizi di telefonia per l'effettuazione di chiamate con operatore a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, salvo il diritto di opposizione dell'interessato;

VISTO il "Regolamento recante istituzione e gestione del registro pubblico degli abbonati che si oppongono all'utilizzo del proprio numero telefonico per vendite o promozioni commerciali", di seguito Registro pubblico delle opposizioni (decreto del Presidente della Repubblica del 7 settembre 2010, n. 178, pubblicato in G.U. n. 256 del 2 novembre 2010);

VISTO il parere n. 1/2010 WP 169 adottato il 16 febbraio 2010 dal Gruppo di lavoro art. 29 (http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_it.pdf), che ha ulteriormente chiarito, in linea con la direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 (doc web n. 432175), le nozioni di responsabile e di incaricato del trattamento specificando, tra l'altro, che ai fini dell'individuazione della titolarità concretamente esercitata occorre esaminare anche "elementi extracontrattuali, quali il controllo reale esercitato da una parte, l'immagine data agli interessati e il legittimo affidamento di questi ultimi sulla base di questa visibilità";

CONSIDERATO che detto parere, peraltro corredato di alcuni dettagliati esempi, ha evidenziato la necessità di riconoscere la titolarità del trattamento dei dati dei destinatari di iniziative di telemarketing in capo alla società che si avvalga di soggetti esterni incaricati di effettuare campagne promozionali per suo conto, quando ai menzionati soggetti esterni siano state impartite specifiche istruzioni, ed in considerazione, altresì, del controllo esercitato dalla società circa il rispetto di tali istruzioni e delle condizioni contrattuali pattiziamente previste;

VISTO il provvedimento del Garante del 16 febbraio 2006 (doc. web n. 1242592) che, in materia di servizi telefonici non richiesti, ha sottolineato la necessità che l'eventuale designazione, in qualità di responsabili del trattamento, di rivenditori o agenti incaricati della commercializzazione di prodotti e servizi per conto di altra società risponda alla realtà effettiva dei rapporti rilevanti in materia di trattamento dei dati;

VISTO il provvedimento del Garante del 29 aprile 2009 (doc. web n. 1617709) che, analizzando il concreto rapporto intercorrente tra un titolare del trattamento e distinti operatori ai quali venivano affidati taluni servizi, ha fornito criteri per la corretta individuazione delle figure del titolare e del responsabile del trattamento di dati personali;

CONSIDERATO che nell'ipotesi, ora richiamata, di servizi resi da diverse società appaltatrici, subordinate al rispetto delle istruzioni ed al potere di controllo esercitato dalla società appaltante, quest'ultima è stata riconosciuta agire quale unico titolare del trattamento e, appunto in virtù di tale qualifica, le è stato prescritto di designare le società appaltatrici responsabili del trattamento, ai sensi delle disposizioni del Codice;

VISTO il provvedimento del Garante del 12 maggio 2011 (doc web n. 1813953) che, in materia di circolazione dei dati dei clienti in ambito bancario, ha precisato che le società esterne alle banche che gestiscono in outsourcing i sistemi informativi contenenti i dati della clientela devono essere effettivamente considerate non già titolari, bensì responsabili del trattamento dei medesimi dati quando, in concreto, le banche mantengono i poteri che il Codice attribuisce in esclusiva, appunto, al titolare (quali, ad esempio, l'assunzione di decisioni relative alle finalità del trattamento, l'imposizione di istruzioni e direttive vincolanti e lo svolgimento di funzioni di controllo);

RIBADITE le considerazioni già oggetto dei richiamati provvedimenti;

RITENUTO di dover definire, nel contesto sopra delineato, un quadro unitario di misure e di accorgimenti necessari ed opportuni con lo scopo di fornire utili orientamenti sia agli operatori del settore (titolari e responsabili del trattamento) sia agli interessati, individuando i comportamenti più appropriati da adottare alla luce della richiamata normativa anche in ordine all'imputazione delle responsabilità eventualmente gravanti sui soggetti che, anche a seguito dell'istituzione del Registro pubblico delle opposizioni, avviano contatti commerciali;

RITENUTA la necessità di prescrivere alle società che si avvalgono di soggetti esterni (c.d. outsourcer) per le attività di promozione e di commercializzazione di propri beni e servizi, in qualità di titolari del trattamento, ai sensi dell'art. 143, comma 1, lett. b) e art. 154, comma 1, lett. c) del Codice, le misure necessarie per rendere il trattamento conforme alle disposizioni vigenti, anche in considerazione delle recenti modifiche normative e regolamentari sopra richiamate;

VISTA la documentazione in atti;

VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del Regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE il prof. Francesco Pizzetti

PREMESSO

Il presente provvedimento intende fornire prescrizioni in relazione al trattamento di dati personali dei destinatari di iniziative di carattere commerciale per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale attuate in favore di un soggetto da parte di un altro soggetto che agisce in nome o, comunque, per conto del primo in base a specifico mandato o accordo.

Nel redigere il provvedimento sono state, in particolare, tenute in considerazione le numerose istanze (segnalazioni, reclami e richieste di pareri) pervenute in materia di trattamento dei dati personali degli abbonati ai servizi di telefonia i quali, nonostante l'iscrizione dei propri dati anagrafici e dell'utenza della quale sono intestatari nel Registro pubblico delle opposizioni, ed in assenza di altre condizioni legittimanti, hanno lamentato la ricezione di contatti indesiderati per finalità promozionali di carattere commerciale, ovvero hanno segnalato la ricezione di comunicazioni a carattere pubblicitario non richieste trasmesse via telefax.

Nel corso dell'attività istruttoria avviata dall'Autorità è emerso che in diversi casi le società che producono o vendono beni ed erogano i servizi oggetto delle campagne promozionali (di seguito, preponenti) si avvalgono di soggetti terzi (gli outsourcer) cui, previa sottoscrizione di specifico accordo - generalmente nella forma del contratto di agenzia di cui agli artt. 1742 ss. del codice civile - è conferito mandato, spesso con rappresentanza, e demandata l'attività di promozione e commercializzazione dei menzionati beni e servizi. Lo svolgimento di tale attività è normalmente effettuato su base territoriale; con indicazione, cioè, di una specifica area geografica di competenza dell'agente. Vi sono ricompresi, tra l'altro, il contatto con il potenziale cliente, la sottoposizione della proposta commerciale, la raccolta dell'eventuale adesione, l'utilizzo della modulistica fornita dalla società preponente ed, infine, la trasmissione dei dati a quest'ultima perché curi gli adempimenti di propria competenza. È stato accertato, inoltre, che gli agenti sono nella maggior parte dei casi tenuti a seguire specifiche attività di formazione (attraverso incontri, seminari o apposite convention) e ricevono puntuali, aggiornate istruzioni anche con riguardo al trattamento dei dati personali dei soggetti contattati.

Alcune delle società preponenti risultano aver opportunamente provveduto a nominare responsabili del trattamento le agenzie che, operando in outsourcing, si occupano, appunto, della promozione e della commercializzazione di prodotti e servizi per conto della società avviando, a tal fine, mirati contatti commerciali nei confronti di potenziali clienti; altre, invece (tra queste, ad esempio, BT Italia S.p.A., Wind Telecomunicazioni S.p.A., Vodafone Omnitel N.V., Teletu S.p.A.) hanno affermato che gli agenti in questione agiscono in qualità di titolari autonomi del trattamento dei dati dei potenziali clienti, ed hanno pertanto rivendicato la propria estraneità rispetto ad eventuali illeciti (quali, ad esempio, contatti promozionali indesiderati avviati nei confronti di titolari di utenze telefoniche che abbiano curato la propria iscrizione nel Registro pubblico delle opposizioni, spesso perfino a seguito del reiterato esercizio del diritto di opposizione da parte degli interessati; trasmissione, in assenza del consenso informato dell'interessato, di messaggi a carattere pubblicitario via telefax etc.).

Le risultanze istruttorie hanno dimostrato, tuttavia, che in tutti i casi oggetto di indagine gli outsourcer agiscono in carenza degli imprescindibili presupposti perché possa essere loro riconosciuta autonoma titolarità nel trattamento di dati personali, come risulta alla stregua delle seguenti, numerose considerazioni:

- i contatti a carattere promozionale sono effettuati in nome, comunque per conto e nell'interesse della società preponente; con l'effetto che negli interessati si ingenera un legittimo affidamento, dal momento che essi percepiscono di essere destinatari di iniziative pubblicitarie condotte direttamente dalla società per conto della quale viene formulata la proposta di vendita di prodotti o servizi;

- i preponenti forniscono agli agenti dettagliate istruzioni sulle finalità del trattamento, sui mezzi da impiegare per il conseguimento di tali finalità e sui compiti assegnati, che sono specificamente e rigorosamente definiti;

- gli agenti sono, inoltre, contrattualmente tenuti anche al rispetto della normativa vigente in materia di privacy;

- il mandato, spesso con rappresentanza, di volta in volta conferito vincola l'agente alla presentazione di offerte ed alla conclusione di contratti in nome, comunque per conto del preponente utilizzando, peraltro, la modulistica predisposta da quest'ultimo. Tali modalità sono strettamente connesse ai concetti giuridici di "procura" e di "delega", con ogni riflesso anche in ordine alla ripartizione delle responsabilità in materia di trattamento dei dati personali;

- agli agenti vengono fornite, per il tramite di circolari informative ovvero di incontri, convention, istruzioni etc., anche le specifiche indicazioni operative da seguire per lo svolgimento dell'attività di marketing, spesso aggiornate con riferimento alle nuove modalità connesse all'entrata in vigore del Registro pubblico delle opposizioni;

- a seguito dell'intervento dell'Autorità, con il dichiarato fine di evitare futuri, indesiderati contatti telefonici o via telefax verso i segnalanti, i preponenti, nella quasi totalità dei casi, hanno provveduto ad inserire quei nominativi e le connesse utenze telefoniche all'interno di una propria black list a disposizione delle strutture anche esterne alle società (gli outsourcer).

Considerato che gli artt. 4, comma 1, lett. f) e 28 del Codice definiscono, rispettivamente, il titolare come il soggetto "cui competono … le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati" e che esercita "un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza", deve essere, allora, ribadito che le agenzie in outsourcing che effettuano il trattamento di dati personali nei termini indicati nel presente provvedimento non possono essere considerate quali titolari autonomi, dal momento che all'asserita titolarità formale non corrispondono, anche in termini concreti, i poteri tassativamente previsti dal Codice per la configurazione e l'esercizio della titolarità, che sono e restano appannaggio esclusivo dei preponenti. Tra questi, innanzitutto:

- assumere decisioni relative alle finalità del trattamento dei dati dei destinatari di campagne promozionali ai fini di invio di materiale pubblicitario o di vendita diretta o di ricerche commerciali o di comunicazione commerciale effettuate da soggetti terzi che agiscono in outsourcing per lo svolgimento delle richiamate attività di promozione e di commercializzazione di beni, prodotti e servizi;

- impartire istruzioni e direttive vincolanti nei confronti degli outsourcer, sostanzialmente corrispondenti alle istruzioni che il titolare del trattamento deve impartire al responsabile;

- svolgere funzioni di controllo rispetto all'operato degli outsourcer medesimi.

D'altro canto, se gli agenti rivestissero la qualifica di autonomi titolari, la comunicazione dei dati dei clienti alla società preponente, a qualunque titolo e per qualunque causa effettuata, ivi compresa quella già emersa nel corso dell'attività istruttoria relativamente ai contratti stipulati, risulterebbe lecita soltanto ove fosse stato preventivamente acquisito il consenso informato dell'interessato (artt. 13 e 23 del Codice) ovvero sussistesse uno dei presupposti di esonero rispetto all'obbligo della sua acquisizione (art. 24 del Codice). In difetto, la trasmissione di quelle informazioni sarebbe non conforme al Codice, con conseguenti applicabilità delle relative sanzioni e inutilizzabilità dei dati ai sensi dell'art. 11, comma 2.

Al pari viziata sarebbe anche la comunicazione, da parte della società agli outsourcer, dei dati personali dei soggetti che, avendo manifestato la propria opposizione al trattamento, vengono inseriti nella black list per evitare il reiterarsi dell'indesiderato contatto commerciale.

Alla luce delle richiamate considerazioni risulta, per converso, evidente che gli agenti operano di fatto, e a tutti gli effetti, come se fossero stati "preposti dal titolare al trattamento di dati personali", dunque in piena e sostanziale aderenza alla definizione del "responsabile" di cui all'art. 4, comma 1, lett. g) del Codice.

Nel sistema delineato dal Codice, segnatamente ai sensi del combinato disposto di cui agli artt. 4, comma 1, lett. g) ed f), 28 e 29, l'esternalizzazione delle attività promozionali costituisce senz'altro una libera scelta organizzativa ed imprenditoriale di competenza esclusiva del titolare e dunque, nella specie, delle società preponenti; cionondimeno, nelle situazioni verificate dall'Autorità ed in tutte quelle in cui, pur non oggetto di formale indagine, l'atteggiarsi concreto dei rapporti tra i diversi operatori coinvolti sia riconducibile alle fattispecie fin qui esaminate, occorre assicurare la conformità dei relativi trattamenti, ivi compresi quelli già in essere, alle norme in materia di protezione di dati personali.

È, in altri termini, sempre rimessa al titolare, quale esercizio di una propria libera facoltà, la scelta di avvalersi di uno o più soggetti i quali, anche in outsourcing, svolgano comunque, anche in via di fatto, le attività tipiche del responsabile; qualora, tuttavia - come nei casi esaminati - il titolare decida in tal senso, sarà tenuto ad adoperarsi affinché all'atteggiarsi concreto dei rapporti corrisponda anche la loro corretta qualificazione giuridica sotto il profilo della protezione dei dati personali.

Ne consegue che in tali situazioni, affinché i connessi trattamenti di dati personali risultino conformi alla disciplina sulla protezione dei dati personali, è necessario che gli outsourcer, i quali - lo si ripete - già concretamente operano, in via di fatto, nella specifica qualità di responsabili del trattamento secondo la definizione del Codice, ricevano anche una espressa e formale designazione in tal senso, secondo il disposto dell'art. 29.

TUTTO CIO' PREMESSO

ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice, il Garante dispone che tutti i preponenti, che sono titolari del trattamento in quanto, ai sensi di cui in motivazione, svolgono le attività proprie di tale qualifica, procedano, entro 60 giorni dalla pubblicazione del presente provvedimento sulla Gazzetta Ufficiale, a designare le società ovvero i soggetti terzi che agiscono in outsourcing, responsabili del trattamento ai sensi e per gli effetti degli artt. 4, comma 1, lett. g) e 29, commi 4 e 5 del Codice.

L'Autorità si riserva inoltre, con autonomi procedimenti, la verifica dei presupposti per contestare ai titolari del trattamento così identificati le violazioni amministrative di cui agli artt. 130, comma 3 bis, 161 e 162, commi 2-bis e 2-quater.

Avverso il presente provvedimento può essere proposta opposizione ai sensi dell'art. 152 del Codice con ricorso dinanzi all'autorità giudiziaria ordinaria, in particolare al tribunale del luogo ove risiede il titolare del trattamento, da presentarsi entro il termine di trenta giorni dalla data della sua pubblicazione nella Gazzetta Ufficiale della Repubblica Italiana. Si ricorda che l'opposizione non sospende l'esecuzione del provvedimento (art. 152, comma 5 del Codice).

Si dispone la trasmissione di copia del presente provvedimento al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.

Roma, 15 giugno 2011

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
De Paoli