Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Provvedimento prescrittivo in materia di trattamento dei dati personali effettuato mediante l’utilizzo di call center siti in Paesi al di fuori della Unione europea - 10 ottobre 2013 [2724806]

* Vedere anche il provvedimento del 18 dicembre 2013

[doc. web n. 2724806]

Provvedimento prescrittivo in materia di trattamento dei dati personali effettuato mediante l'utilizzo di call center siti in Paesi al di fuori della Unione europea - 10 ottobre 2013*
(Pubblicato sulla Gazzetta Ufficiale n. 266 del 13 novembre 2013)

Registro dei provvedimenti
n. 444 del 10 ottobre 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito Codice) e, in particolare, gli artt. 42, 43, 44 e 45;

Vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati;

Visto l'art. 24-bis del d.l. 22 giugno 2012, n. 83 convertito con legge 7 agosto 2012, n.134;

Viste le segnalazioni e le richieste di chiarimento pervenute in materia di trattamento dei dati personali effettuato da call center ubicati all'estero anche in conseguenza delle disposizioni introdotte dal citato art. 24-bis;

Ritenuto necessario assicurare le opportune garanzie al trattamento dei dati effettuato da parte di call center situati fuori dal territorio dell'Unione europea utilizzati da titolari italiani per fornire servizi di assistenza ai clienti/utenti o per attività promozionale tramite chiamate con operatore (telemarketing);

Viste le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento n. 1/2000;

Relatore la dott.ssa Giovanna Bianchi Clerici; 

1. Premessa

L'importanza dell'attività svolta dai call center, da sempre utilizzati sia per le attività di assistenza ai clienti o agli utenti di pubblici servizi sia per quelle dirette all'acquisizione di nuovi clienti, è aumentata negli ultimi anni in quanto consente di fornire numerosi servizi contenendo i costi e offrendo agli utenti un canale più immediato di contatto.

La necessità di soddisfare richieste sempre più specifiche dei committenti e l'inevitabile ricerca del contenimento dei costi, hanno portato negli ultimi anni al trasferimento di molte commesse verso call center con sede fuori dal territorio nazionale ed in particolare in paesi non appartenenti all'Unione europea. Questa tendenza mette in luce possibili criticità sulle modalità di trattamento dei dati da parte di tutti i soggetti a vario titolo coinvolti con specifico riferimento a quelli svolti al di fuori dei confini europei dove non sono assicurate le adeguate garanzie per i diritti degli interessati previste dalla normativa comunitaria.

2. Trasferimento dei dati personali all'estero

La direttiva 95/46/CE fornisce, agli artt. 25 e 26, una serie di prescrizioni atte a garantire che, pur nel rispetto della necessaria e imprescindibile libertà di circolazione dei dati personali all'interno della Comunità europea, vengano salvaguardati i diritti fondamentali delle persone. Il recepimento della direttiva nei singoli ordinamenti, dunque, fa sì che tutti gli Stati membri possano assicurare un equivalente livello di tutela del trattamento.

Conseguentemente la disciplina nazionale condiziona il trasferimento dei dati, anche temporaneo, verso un Paese terzo che non garantisca un livello di protezione adeguato (artt. 42, 43 e 45 del Codice) all'adozione di stringenti misure. È infatti previsto che il trasferimento sia consentito se autorizzato dal Garante qualora il livello di garanzia offerto dal Paese terzo sia stato ritenuto idoneo da apposite decisioni della Commissione europea oppure qualora il titolare presti opportune garanzie in sede contrattuale mediante l'adozione di regole di condotta infragruppo (le cosiddette binding corporate rules, BCR) o mediante la sottoscrizione fra le parti delle clausole contrattuali tipo previste dalle relative decisioni della Commissione europea (art. 44 del Codice).

In relazione a tale ultima ipotesi la Commissione europea ha adottato quattro decisioni contenenti altrettanti set di clausole:

- per il trasferimento dei dati da un titolare stabilito nel territorio europeo ad un altro titolare stabilito in un Paese extra-UE, sono state adottate le decisioni 2001/497/CE (pubblicata sulla G.U.C.E. L 181/19 del 4 luglio 2001), contenente un primo insieme di clausole tipo e la decisione 2004/915/CE (pubblicata sulla G.U.U.E. L 385/74 del 29 dicembre 2004), contenente il secondo insieme di clausole; i titolari possono utilizzare gli insiemi alternativamente;

- per il trasferimento dei dati da un titolare stabilito nel territorio europeo ad un responsabile stabilito in un Paese extra-UE, è stata adottata la decisione 2002/16/CE (pubblicata sulla G.U.C.E. L 6/52 del 10 gennaio 2002) abrogata a decorrere dal 15 maggio 2010 dalla decisione 2010/87/UE (pubblicata sulla G.U.U.E. L 39/5 del 12 febbraio 2010).

Le suddette decisioni introducono nuove definizioni: "esportatore" è il titolare che trasferisce i dati personali e "importatore" è il responsabile o il titolare stabilito nel Paese terzo che riceve i dati. La decisione 2010/87/UE in particolare, prende in esame l'eventualità del subappalto effettuato in conseguenza di un rapporto contrattuale fra un titolare stabilito nella Unione europea ed un responsabile, residente in un Paese extra-UE che non fornisca adeguate garanzie, il quale affidi il trattamento ad un soggetto terzo, anch'esso residente in un Paese extra-UE; tale decisione, in particolare, definisce "sub-incaricato" il soggetto designato dall'importatore che si impegni a ricevere i dati dall'importatore stesso per trattarli secondo le istruzioni dell'esportatore. È previsto inoltre che il subcontratto possa effettuarsi, previo consenso scritto dell'esportatore, solo se l'importatore faccia sottoscrivere al sub-incaricato le medesime clausole contrattuali tipo e fermo restando che l'importatore rimane l'unico responsabile nei confronti dell'esportatore per eventuali inadempimenti da parte del sub-incaricato.

Queste indicazioni, tuttavia, valgono solo (ai sensi del considerando 23 della decisione 2010/87/UE) nel caso in cui l'importatore che trasmette i dati ad un sub-incaricato, sia stabilito in un Paese non appartenente all'Unione europea; tuttavia è più frequente, nell'attuale situazione di mercato dei call center, la condizione per cui l'importatore sia residente all'interno dell'Unione europea e subappalti tutto o parte del trattamento ad un soggetto terzo extracomunitario. Al fine di dare risposta ai numerosi quesiti conseguenti proprio l'esclusione di questa particolare condizione, il Gruppo "Articolo 29" dei Garanti europei ha adottato il documento WP 176 del 12 luglio 2010 (in www.garanteprivacy.it, doc. web n. 1791942); in tale documento si suggerisce l'adozione di tre soluzioni alternative: sottoscrizione diretta delle clausole contrattuali tipo tra il titolare ed il soggetto terzo; conferimento da parte del titolare di un mandato al responsabile per la sottoscrizione delle clausole contrattuali tipo con il terzo; sottoscrizione di contratti ad hoc tra il titolare ed il terzo.

Con il provvedimento del 15 novembre 2012 (doc. web n. 2191156), il Garante ha, in parte, recepito le indicazioni del citato WP 176, prescrivendo ai titolari che - in forza di un rapporto contrattuale con soggetti (stabiliti nell'Unione europea) designati responsabili del trattamento - intendano avvalersi di sub-incaricati stabiliti in Paesi extra-UE, di stipulare con il responsabile un apposito mandato ai sensi dell'art. 1704 c.c. per la sottoscrizione delle clausole contrattuali tipo di cui all'allegato della decisione 2010/87/UE o, in alternativa, di chiedere all'Autorità un'apposita autorizzazione ai sensi dell'art. 44, comma 1, lett. a) del Codice.

Si ricorda, inoltre, che con il provvedimento del 15 giugno 2011 (doc. web n. 1821257), il Garante ha prescritto a tutti i committenti – cui possa essere imputato nella pratica un effettivo potere decisionale sul trattamento, agendo quindi in qualità di titolari - di designare quali responsabili, ai sensi dell'art. 29 del Codice, gli outsourcer di cui si avvalgano per la realizzazione di iniziative di carattere commerciale; ciò anche in considerazione del legittimo affidamento dell'interessato nell'identificare col committente il soggetto da cui viene contattato.

Ne consegue che, qualora ricorra la condizione per cui si abbia un titolare residente nella Unione europea che appalta il servizio di call center ad un responsabile, anch'esso comunitario, che a sua volta subappalta ad un terzo (previo accordo con il titolare) stabilito al di fuori dell'Unione europea, il titolare può scegliere tra le seguenti modalità operative:

1. sottoscrizione diretta delle clausole tra il titolare ed il soggetto terzo (che lo farà in qualità di importatore e non di sub-incaricato e per questo dovrà essere designato responsabile: l'importatore infatti risponde direttamente al titolare di eventuali illiceità mentre se firmasse come sub-incaricato la responsabilità rimarrebbe in capo all'appaltatore che ha il ruolo di responsabile);

2. conferimento da parte del titolare di un mandato con rappresentanza, generale o speciale, al responsabile per la sottoscrizione delle clausole con il terzo (il titolare rimane esportatore ed il sub-incaricato è importatore in quanto importa i dati dal responsabile) facendo menzione del mandato tra gli incarichi e i compiti previsti dall'atto di designazione; in questo caso, devono essere sottoscritte clausole contrattuali tipo ad hoc per ogni specifica commessa, non potendo accettarsi accordi quadro o clausole contrattuali tipo sottoscritte tra il responsabile ed il sub incaricato per regolare genericamente l'affidamento del servizio (anche se questi hanno diversi rapporti contrattuali al di là della specifica commessa);

3. sottoscrizione di contratti ad hoc tra il titolare ed il sub-incaricato che siano però in grado di fornire le stesse garanzie previste dalle clausole contrattuali tipo: solo in questo caso il contratto deve essere vagliato dall'Autorità che potrà o meno autorizzare il trattamento (come previsto anche dal Codice all'art. 44, comma 1, lett. a).

Le tre soluzioni sopra descritte sono volte ad evitare che il titolare possa perdere il controllo sui dati nel corso delle diverse fasi del trattamento: si ricorda a tal proposito che la designazione a responsabile può essere effettuata solo dal titolare, non essendo lecito che un responsabile designi a sua volta un altro responsabile.

I subappalti devono comunque sempre essere autorizzati per iscritto dal titolare e gli esportatori devono tenere un elenco, aggiornato almeno una volta l'anno, dei subcontratti conclusi, da esibire al Garante se richiesto (così come disposto dalle clausole 8 e 11 della decisione 2010/87/UE).

In caso di trasferimenti infragruppo, questi possono essere realizzati utilizzando lo schema di BCR elaborato dal Gruppo "Articolo 29" dei Garanti europei (cfr. i WP 74, WP 153, WP 154 e WP 155) integrato dal WP 195 del 6 giugno 2012 contenente un nuovo modello di norme vincolanti d'impresa definito "BCR for processor".

3. Adempimenti ulteriori nel trattamento di dati personali effettuato mediante call center

Fermo restando quanto già previsto dal Codice in merito ai compiti del titolare ed alla designazione dei responsabili e degli incaricati, nello specifico caso di trattamento effettuato da parte di call center, è opportuno ribadire che il titolare deve, tra le altre cose, provvedere alla formazione degli operatori di call center che tratteranno i dati in qualità di incaricati (anche per il tramite del soggetto designato responsabile), nonché effettuare verifiche periodiche presso il responsabile sull'osservanza delle istruzioni impartite.

Le misure di sicurezza devono essere stabilite dal titolare in conformità agli artt. 31 e seguenti e all'allegato B del Codice; dal punto di vista tecnico, la soluzione, già adottata da diverse società, di consentire la centralizzazione degli accessi ai sistemi di CRM (Customer Relationship Management) del titolare da parte degli incaricati appare, ad oggi, in grado di prevenire trattamenti dei dati non conformi alle finalità per cui sono stati raccolti purché il titolare imposti regole e procedure in grado di limitare l'autonomia degli incaricati. Tale procedura, inoltre, consente di uniformare il trattamento svolto dai singoli call center, indipendentemente dalla localizzazione.

Le garanzie che può offrire la centralizzazione dei trattamenti utilizzando il sistema di CRM del titolare, sono infatti tanto più elevate quanto più il sistema è impostato verso la minore interoperabilità possibile, consentendo agli incaricati di effettuare sui dati solo le operazioni in lettura e scrittura che siano strettamente necessarie ai compiti che devono svolgere, in base a quanto disposto dall'art. 3 del Codice. In tale contesto, devono essere oscurati i dati eccedenti o non pertinenti evitando che ci sia la possibilità per gli incaricati di estrarre i dati, effettuarne copia o alterarli: in quest'ultimo caso, è da ritenersi valida la prassi di chiudere verso l'esterno le postazioni degli operatori (con restrizioni all'accesso alla rete Internet, blocco degli invii di e-mail e disattivazione delle porte USB esterne).

Quanto prescritto dal presente provvedimento non modifica, ma integra, gli adempimenti già previsti dal Codice per i soggetti che effettuino trattamenti di dati personali, in ambito pubblico o privato, per i quali siano già in essere specifiche norme o prescrizioni in relazione alle finalità, alle modalità o ai soggetti coinvolti. Il trasferimento o l'affidamento all'estero del servizio di call center dovrà rispettare quindi anche la disciplina prevista dagli artt. 42 e seguenti del Codice; il conseguente trasferimento di dati personali potrà, pertanto, essere effettuato soltanto alle condizioni già sintetizzate al paragrafo 2 del presente provvedimento.
Devono, altresì, essere osservati tutti gli adempimenti indicati dal Garante in relazione agli specifici ambiti di attività di volta in volta interessati (ad es. per i trattamenti effettuati per finalità di marketing mediante l'impiego del telefono con operatore, si richiama il provvedimento del Garante del 19 gennaio 2011, doc. web n. 1784528, pubblicato in G.U. del 31 gennaio 2011, n. 24; per i trattamenti effettuati da operatori bancari che rendano servizi alla clientela mediante l'impiego del telefono, si rimanda al punto 2.3 delle "Linee guida per trattamenti dati relativi al rapporto banca-clientela" del 25 ottobre 2007, doc. web n. 1457247, in G.U. del 23 novembre 2007, n. 273).

4. Il trasferimento dei dati personali fuori dall'Unione europea per i trattamenti operati dai call center e prescrizioni derivanti dall'attuazione del decreto legge n. 83/2012

L'art. 24-bis del decreto legge 22 giugno 2012, n. 83, convertito con modificazioni, dalla legge 7 agosto 2012, n. 134, ha introdotto dei nuovi adempimenti per le aziende con almeno venti dipendenti che intendano trasferire la propria attività al di fuori del territorio nazionale. In particolare, la richiamata disposizione prevede che queste sono tenute a darne comunicazione al Ministero del lavoro e delle politiche sociali e al Garante per la protezione dei dati personali 120 giorni prima del trasferimento, stabilendo, altresì, che gli interessati, nel rivolgersi a (o nell'essere contattati da) un call center, siano sempre informati del fatto che l'operatore possa essere collocato in un Paese estero. Nel caso in cui l'interessato che effettua la chiamata ad un call center venga messo in contatto con un operatore collocato all'estero, inoltre, è stato previsto che deve sempre essere fornita a questi la possibilità di scegliere che il servizio sia reso tramite un operatore collocato nel territorio nazionale.

Il Ministero del lavoro e delle politiche sociali ha fornito chiarimenti interpretativi della norma citata (orientata in primo luogo ad evitare la flessione degli standard occupazionali) con la circolare n. 14 del 2 aprile 2013. Con la circolare il Ministero suddetto ha precisato innanzitutto che devono ritenersi interessate dalle misure prescritte dall'art. 24-bis «… solo le aziende che svolgono in via assolutamente prevalente (core business aziendale) un'attività di call center e che, pertanto, operano in regime di appalto, restando viceversa escluse quelle attività di call center che vanno semplicemente ad integrare lo svolgimento dell'impresa rappresentando, il più delle volte, un mero "sportello di front office"». Inoltre, a maggior chiarimento della ratio della norma, la circolare specifica che per delocalizzazione debba intendersi il trasferimento a personale operante all'estero, prima della scadenza del contratto, di attività già avviate sul territorio nazionale non ricorrendo, dunque, gli obblighi di comunicazione se la delocalizzazione avvenga senza generare esuberi.

L'Autorità, concordando con l'interpretazione fornita dal Ministero del lavoro e delle politiche sociali, ritiene innanzitutto che l'art. 24-bis del decreto legge 22 giugno 2012, n. 83 debba essere interpretato come riguardante il solo trasferimento di dati personali verso Paesi che sono al di fuori della Unione europea, ciò anche in conformità all'art. 42 del Codice e all'articolo 1, comma 2 della stessa direttiva 95/46/CE; diversamente interpretando, infatti, il maggior onere connesso al rispetto delle prescrizioni del suddetto art. 24-bis – se applicato anche agli Stati membri dell'Unione europea – comporterebbe restrizioni alla libertà di stabilimento ed alla libera prestazione dei servizi e sarebbe, altresì, incompatibile con la disciplina europea in materia di protezione dei dati personali.

D'altra parte, in ragione dell'ampiezza assunta dal fenomeno, ivi compresi gli aspetti derivanti dalla difficoltà di arginare efficacemente il fenomeno delle chiamate indesiderate, l'Autorità ha la necessità di acquisire elementi utili a comprendere la portata del trasferimento dei dati personali fuori dall'Unione europea per i trattamenti operati dai call center, al fine di intervenire con tempestività ed efficacia in caso di violazioni del Codice; si richiama, a tal proposito, la citata delibera del Garante del 27 maggio 2010 che, in linea con quanto previsto dalle clausole 8 e 11 della decisione 2010/87/UE, dispone che vengano fornite al Garante, su richiesta, le informazioni relative ai subcontratti conclusi con soggetti residenti al di fuori dell'Unione europea.

Quanto premesso rende opportuno prescrivere, unitamente all'integrazione dell'informativa ex art. 13 da rendere al momento del contatto telefonico all'interessato, l'obbligo di comunicazione al Garante per tutti i soggetti, pubblici e privati, che svolgono in qualità di titolare del trattamento, direttamente o in affidamento a terzi, un'attività di call center effettuata in Paesi situati al di fuori dell'Unione europea, indipendentemente dal numero di dipendenti impiegati e dal fatto che esercitino tale attività in maniera prevalente.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell'art. 154, comma 1, lett. c) del Codice, prescrive a tutti i soggetti, pubblici e privati, che svolgono in qualità di titolare del trattamento, direttamente o in affidamento a terzi, un'attività di call center effettuata in Paesi situati al di fuori dell'Unione europea, indipendentemente dal numero di dipendenti impiegati e dal fatto che esercitino tale attività in maniera prevalente:

a) di specificare preliminarmente agli interessati, che effettuino la chiamata ad un call center o che siano destinatari della stessa, quale sia l'ubicazione dell'operatore, adottando, nel solo caso in cui la chiamata venga effettuata dal cittadino, apposite procedure per consentire agli stessi di scegliere che il servizio sia reso tramite un operatore sito nel territorio nazionale;

b) di effettuare, in caso di trasferimento (o di affidamento del trattamento) di dati personali ad un call center sito al di fuori dell'Unione europea, un'apposita comunicazione al Garante prima del trasferimento o dell'affidamento, utilizzando il modello pubblicato sul sito istituzionale www.garanteprivacy.it;

c) di inviare al Garante, entro 30 giorni dalla pubblicazione in Gazzetta ufficiale del presente provvedimento, la comunicazione descritta alla precedente lettera b) anche nel caso in cui siano già operanti trattamenti di dati personali affidati a call center situati al di fuori dell'Unione europea.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso. Si ricorda che l'opposizione non sospende l'esecuzione del provvedimento (art. 152, comma 5 del Codice).

Si dispone la trasmissione di copia del presente provvedimento al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.

Roma, 10 ottobre 2013

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia