domenica, 27 novembre 2022

Provvedimento prescrittivo in materia di trattamento dei dati personali effettuato mediante l'utilizzo di call center siti in Paesi al di fuori dell'Unione europea

Garante per la Protezione dei dati personali, Delibera 10.10.2013

 

GARANTE PER LA PROTEZIONE DEI  DATI PERSONALI 

DELIBERA 10 ottobre 2013 

Provvedimento prescrittivo in materia di trattamento dei dati  personali effettuato mediante l'utilizzo di call center siti in Paesi  al di fuori dell'Unione europea. (Delibera n. 444). (13A09019)

(GU n.266 del 13-11-2013) 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro,  presidente, della dott.ssa Augusta Iannini, vice presidente, della  dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano,  componenti e del dott. Giuseppe Busia, segretario generale;  Visto il Codice in materia di protezione dei dati personali (d.lg.  30 giugno 2003, n. 196, di seguito Codice) e, in particolare, gli  artt. 42, 43, 44 e 45;  Vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio,  del 24 ottobre 1995, relativa alla tutela delle persone fisiche con  riguardo al trattamento dei dati personali, nonche' alla libera  circolazione dei dati;  Visto l'art. 24-bis del d.l. 22 giugno 2012, n. 83 convertito con  legge 7 agosto 2012, n.134; 

Viste le segnalazioni e le richieste di chiarimento pervenute in  materia di trattamento dei dati personali effettuato da call center  ubicati all'estero anche in conseguenza delle disposizioni introdotte  dal citato art. 24-bis; 

Ritenuto necessario assicurare le opportune garanzie al trattamento  dei dati effettuato da parte di call center situati fuori dal  territorio dell'Unione europea utilizzati da titolari italiani per  fornire servizi di assistenza ai clienti/utenti o per attivita'  promozionale tramite chiamate con operatore (telemarketing); 

Viste le osservazioni dell'Ufficio, formulate dal segretario  generale ai sensi dell'art. 15 del regolamento n. 1/2000;  Relatore la dott.ssa Giovanna Bianchi Clerici; 

1. Premessa 

L'importanza dell'attivita' svolta dai call center, da sempre  utilizzati sia per le attivita' di assistenza ai clienti o agli  utenti di pubblici servizi sia per quelle dirette all'acquisizione di  nuovi clienti, e' aumentata negli ultimi anni in quanto consente di  fornire numerosi servizi contenendo i costi e offrendo agli utenti un  canale piu' immediato di contatto.  La necessita' di soddisfare richieste sempre piu' specifiche dei  committenti e l'inevitabile ricerca del contenimento dei costi, hanno  portato negli ultimi anni al trasferimento di molte commesse verso  call center con sede fuori dal territorio nazionale ed in particolare  in paesi non appartenenti all'Unione europea. Questa tendenza mette  in luce possibili criticita' sulle modalita' di trattamento dei dati  da parte di tutti i soggetti a vario titolo coinvolti con specifico  riferimento a quelli svolti al di fuori dei confini europei dove non  sono assicurate le adeguate garanzie per i diritti degli interessati previste dalla normativa comunitaria. 

2. Trasferimento dei dati personali all'estero 

La direttiva 95/46/CE fornisce, agli artt. 25 e 26, una serie di  prescrizioni atte a garantire che, pur nel rispetto della necessaria  e imprescindibile liberta' di circolazione dei dati personali  all'interno della Comunita' europea, vengano salvaguardati i diritti  fondamentali delle persone. Il recepimento della direttiva nei  singoli ordinamenti, dunque, fa si' che tutti gli Stati membri  possano assicurare un equivalente livello di tutela del trattamento.  Conseguentemente la disciplina nazionale condiziona il  trasferimento dei dati, anche temporaneo, verso un Paese terzo che  non garantisca un livello di protezione adeguato (artt. 42, 43 e 45  del Codice) all'adozione di stringenti misure. E' infatti previsto  che il trasferimento sia consentito se autorizzato dal Garante  qualora il livello di garanzia offerto dal Paese terzo sia stato  ritenuto idoneo da apposite decisioni della Commissione europea  oppure qualora il titolare presti opportune garanzie in sede  contrattuale mediante l'adozione di regole di condotta infragruppo  (le cosiddette binding corporate rules, BCR) o mediante la  sottoscrizione fra le parti delle clausole contrattuali tipo previste  dalle relative decisioni della Commissione europea (art. 44 del  Codice).  In relazione a tale ultima ipotesi la Commissione europea ha  adottato quattro decisioni contenenti altrettanti set di clausole:  per il trasferimento dei dati da un titolare stabilito nel  territorio europeo ad un altro titolare stabilito in un Paese  extra-UE, sono state adottate le decisioni 2001/497/CE (pubblicata  sulla G.U.C.E. L 181/19 del 4 luglio 2001), contenente un primo  insieme di clausole tipo e la decisione 2004/915/CE (pubblicata sulla  G.U.U.E. L 385/74 del 29 dicembre 2004), contenente il secondo  insieme di clausole; i titolari possono utilizzare gli insiemi  alternativamente;  per il trasferimento dei dati da un titolare stabilito nel  territorio europeo ad un responsabile stabilito in un Paese extra-UE,  e' stata adottata la decisione 2002/16/CE (pubblicata sulla G.U.C.E.  L 6/52 del 10 gennaio 2002) abrogata a decorrere dal 15 maggio 2010  dalla decisione 2010/87/UE (pubblicata sulla G.U.U.E. L 39/5 del 12  febbraio 2010).  Le suddette decisioni introducono nuove definizioni: "esportatore"  e' il titolare che trasferisce i dati personali e "importatore" e' il  responsabile o il titolare stabilito nel Paese terzo che riceve i  dati. La decisione 2010/87/UE in particolare, prende in esame  l'eventualita' del subappalto effettuato in conseguenza di un  rapporto contrattuale fra un titolare stabilito nella Unione europea  ed un responsabile, residente in un Paese extra-UE che non fornisca  adeguate garanzie, il quale affidi il trattamento ad un soggetto  terzo, anch'esso residente in un Paese extra-UE; tale decisione, in  particolare, definisce "sub-incaricato" il soggetto designato  dall'importatore che si impegni a ricevere i dati dall'importatore  stesso per trattarli secondo le istruzioni dell'esportatore. E'  previsto inoltre che il subcontratto possa effettuarsi, previo  consenso scritto dell'esportatore, solo se l'importatore faccia  sottoscrivere al sub-incaricato le medesime clausole contrattuali  tipo e fermo restando che l'importatore rimane l'unico responsabile  nei confronti dell'esportatore per eventuali inadempimenti da parte  del sub-incaricato.  Queste indicazioni, tuttavia, valgono solo (ai sensi del  considerando 23 della decisione 2010/87/UE) nel caso in cui  l'importatore che trasmette i dati ad un sub-incaricato, sia  stabilito in un Paese non appartenente all'Unione europea; tuttavia  e' piu' frequente, nell'attuale situazione di mercato dei call  center, la condizione per cui l'importatore sia residente all'interno  dell'Unione europea e subappalti tutto o parte del trattamento ad un  soggetto terzo extracomunitario. Al fine di dare risposta ai numerosi quesiti conseguenti proprio l'esclusione di questa particolare  condizione, il Gruppo "Articolo 29" dei Garanti europei ha adottato  il documento WP 176 del 12 luglio 2010 (in www.garanteprivacy.it,  doc. web n. 1791942); in tale documento si suggerisce l'adozione di  tre soluzioni alternative: sottoscrizione diretta delle clausole  contrattuali tipo tra il titolare ed il soggetto terzo; conferimento  da parte del titolare di un mandato al responsabile per la  sottoscrizione delle clausole contrattuali tipo con il terzo;  sottoscrizione di contratti ad hoc tra il titolare ed il terzo.  Con il provvedimento del 15 novembre 2012 (doc. web n. 2191156), il  Garante ha, in parte, recepito le indicazioni del citato WP 176,  prescrivendo ai titolari che - in forza di un rapporto contrattuale  con soggetti (stabiliti nell'Unione europea) designati responsabili  del trattamento - intendano avvalersi di sub-incaricati stabiliti in  Paesi extra-UE, di stipulare con il responsabile un apposito mandato  ai sensi dell'art. 1704 c.c. per la sottoscrizione delle clausole  contrattuali tipo di cui all'allegato della decisione 2010/87/UE o,  in alternativa, di chiedere all'Autorita' un'apposita autorizzazione  ai sensi dell'art. 44, comma 1, lett. a) del Codice.  Si ricorda, inoltre, che con il provvedimento del 15 giugno 2011  (doc. web n. 1821257), il Garante ha prescritto a tutti i committenti  - cui possa essere imputato nella pratica un effettivo potere  decisionale sul trattamento, agendo quindi in qualita' di titolari -  di designare quali responsabili, ai sensi dell'art. 29 del Codice,  gli outsourcer di cui si avvalgano per la realizzazione di iniziative  di carattere commerciale; cio' anche in considerazione del legittimo  affidamento dell'interessato nell'identificare col committente il  soggetto da cui viene contattato.  Ne consegue che, qualora ricorra la condizione per cui si abbia un  titolare residente nella Unione europea che appalta il servizio di  call center ad un responsabile, anch'esso comunitario, che a sua  volta subappalta ad un terzo (previo accordo con il titolare)  stabilito al di fuori dell'Unione europea, il titolare puo' scegliere  tra le seguenti modalita' operative:  1. sottoscrizione diretta delle clausole tra il titolare ed il  soggetto terzo (che lo fara' in qualita' di importatore e non di  sub-incaricato e per questo dovra' essere designato responsabile:  l'importatore infatti risponde direttamente al titolare di eventuali  illiceita' mentre se firmasse come sub-incaricato la responsabilita'  rimarrebbe in capo all'appaltatore che ha il ruolo di responsabile);  2. conferimento da parte del titolare di un mandato con  rappresentanza, generale o speciale, al responsabile per la  sottoscrizione delle clausole con il terzo (il titolare rimane  esportatore ed il sub-incaricato e' importatore in quanto importa i  dati dal responsabile) facendo menzione del mandato tra gli incarichi  e i compiti previsti dall'atto di designazione; in questo caso,  devono essere sottoscritte clausole contrattuali tipo ad hoc per ogni  specifica commessa, non potendo accettarsi accordi quadro o clausole  contrattuali tipo sottoscritte tra il responsabile ed il sub  incaricato per regolare genericamente l'affidamento del servizio  (anche se questi hanno diversi rapporti contrattuali al di la' della  specifica commessa);  3. sottoscrizione di contratti ad hoc tra il titolare ed il  sub-incaricato che siano pero' in grado di fornire le stesse garanzie  previste dalle clausole contrattuali tipo: solo in questo caso il  contratto deve essere vagliato dall'Autorita' che potra' o meno  autorizzare il trattamento (come previsto anche dal Codice all'art.  44, comma 1, lett. a).  Le tre soluzioni sopra descritte sono volte ad evitare che il  titolare possa perdere il controllo sui dati nel corso delle diverse  fasi del trattamento: si ricorda a tal proposito che la designazione  a responsabile puo' essere effettuata solo dal titolare, non essendo  lecito che un responsabile designi a sua volta un altro responsabile.  I subappalti devono comunque sempre essere autorizzati per iscritto dal titolare e gli esportatori devono tenere un elenco, aggiornato  almeno una volta l'anno, dei subcontratti conclusi, da esibire al  Garante se richiesto (cosi' come disposto dalle clausole 8 e 11 della  decisione 2010/87/UE).  In caso di trasferimenti infragruppo, questi possono essere  realizzati utilizzando lo schema di BCR elaborato dal Gruppo  "Articolo 29" dei Garanti europei (cfr. i WP 74, WP 153, WP 154 e WP  155) integrato dal WP 195 del 6 giugno 2012 contenente un nuovo  modello di norme vincolanti d'impresa definito «BCR for processor». 

3. Adempimenti ulteriori nel trattamento di dati personali  effettuato mediante call center. 

Fermo restando quanto gia' previsto dal Codice in merito ai compiti  del titolare ed alla designazione dei responsabili e degli  incaricati, nello specifico caso di trattamento effettuato da parte  di call center, e' opportuno ribadire che il titolare deve, tra le  altre cose, provvedere alla formazione degli operatori di call center  che tratteranno i dati in qualita' di incaricati (anche per il  tramite del soggetto designato responsabile), nonche' effettuare  verifiche periodiche presso il responsabile sull'osservanza delle  istruzioni impartite.  Le misure di sicurezza devono essere stabilite dal titolare in  conformita' agli artt. 31 e seguenti e all'allegato B del Codice; dal  punto di vista tecnico, la soluzione, gia' adottata da diverse  societa', di consentire la centralizzazione degli accessi ai sistemi  di CRM (Customer Relationship Management) del titolare da parte degli  incaricati appare, ad oggi, in grado di prevenire trattamenti dei  dati non conformi alle finalita' per cui sono stati raccolti purche'  il titolare imposti regole e procedure in grado di limitare  l'autonomia degli incaricati. Tale procedura, inoltre, consente di  uniformare il trattamento svolto dai singoli call center,  indipendentemente dalla localizzazione.  Le garanzie che puo' offrire la centralizzazione dei trattamenti  utilizzando il sistema di CRM del titolare, sono infatti tanto piu'  elevate quanto piu' il sistema e' impostato verso la minore  interoperabilita' possibile, consentendo agli incaricati di  effettuare sui dati solo le operazioni in lettura e scrittura che  siano strettamente necessarie ai compiti che devono svolgere, in base  a quanto disposto dall'art. 3 del Codice. In tale contesto, devono  essere oscurati i dati eccedenti o non pertinenti evitando che ci sia  la possibilita' per gli incaricati di estrarre i dati, effettuarne  copia o alterarli: in quest'ultimo caso, e' da ritenersi valida la  prassi di chiudere verso l'esterno le postazioni degli operatori (con  restrizioni all'accesso alla rete Internet, blocco degli invii di  e-mail e disattivazione delle porte USB esterne).  Quanto prescritto dal presente provvedimento non modifica, ma  integra, gli adempimenti gia' previsti dal Codice per i soggetti che  effettuino trattamenti di dati personali, in ambito pubblico o  privato, per i quali siano gia' in essere specifiche norme o  prescrizioni in relazione alle finalita', alle modalita' o ai  soggetti coinvolti. Il trasferimento o l'affidamento all'estero del  servizio di call center dovra' rispettare quindi anche la disciplina  prevista dagli artt. 42 e seguenti del Codice; il conseguente  trasferimento di dati personali potra', pertanto, essere effettuato  soltanto alle condizioni gia' sintetizzate al paragrafo 2 del  presente provvedimento.  Devono, altresi', essere osservati tutti gli adempimenti indicati  dal Garante in relazione agli specifici ambiti di attivita' di volta  in volta interessati (ad es. per i trattamenti effettuati per  finalita' di marketing mediante l'impiego del telefono con operatore,  si richiama il provvedimento del Garante del 19 gennaio 2011, doc.  web n. 1784528, pubblicato in G.U. del 31 gennaio 2011, n. 24; per i  trattamenti effettuati da operatori bancari che rendano servizi alla  clientela mediante l'impiego del telefono, si rimanda al punto 2.3  delle "Linee guida per trattamenti dati relativi al rapporto banca-clientela" del 25 ottobre 2007, doc. web n. 1457247, in G.U.  del 23 novembre 2007, n. 273). 

4. Il trasferimento dei dati personali fuori dall'Unione europea  per i trattamenti operati dai call center e prescrizioni derivanti  dall'attuazione del decreto-legge n. 83/2012

L'art. 24-bis del decreto-legge 22 giugno 2012, n. 83, convertito  con modificazioni, dalla legge 7 agosto 2012, n. 134, ha introdotto  dei nuovi adempimenti per le aziende con almeno venti dipendenti che  intendano trasferire la propria attivita' al di fuori del territorio  nazionale. In particolare, la richiamata disposizione prevede che  queste sono tenute a darne comunicazione al Ministero del lavoro e  delle politiche sociali e al Garante per la protezione dei dati  personali 120 giorni prima del trasferimento, stabilendo, altresi',  che gli interessati, nel rivolgersi a (o nell'essere contattati da)  un call center, siano sempre informati del fatto che l'operatore  possa essere collocato in un Paese estero. Nel caso in cui  l'interessato che effettua la chiamata ad un call center venga messo  in contatto con un operatore collocato all'estero, inoltre, e' stato  previsto che deve sempre essere fornita a questi la possibilita' di  scegliere che il servizio sia reso tramite un operatore collocato nel  territorio nazionale.  Il Ministero del lavoro e delle politiche sociali ha fornito  chiarimenti interpretativi della norma citata (orientata in primo  luogo ad evitare la flessione degli standard occupazionali) con la  circolare n. 14 del 2 aprile 2013.

Con la circolare il Ministero  suddetto ha precisato innanzitutto che devono ritenersi interessate  dalle misure prescritte dall'art. 24-bis «... solo le aziende che  svolgono in via assolutamente prevalente (core business aziendale)  un'attivita' di call center e che, pertanto, operano in regime di  appalto, restando viceversa escluse quelle attivita' di call center  che vanno semplicemente ad integrare lo svolgimento dell'impresa  rappresentando, il piu' delle volte, un mero "sportello di front  office"». Inoltre, a maggior chiarimento della ratio della norma, la  circolare specifica che per delocalizzazione debba intendersi il  trasferimento a personale operante all'estero, prima della scadenza  del contratto, di attivita' gia' avviate sul territorio nazionale non  ricorrendo, dunque, gli obblighi di comunicazione se la  delocalizzazione avvenga senza generare esuberi. 

L'Autorita', concordando con l'interpretazione fornita dal  Ministero del lavoro e delle politiche sociali, ritiene innanzitutto  che l'art. 24-bis del decreto-legge 22 giugno 2012, n. 83 debba  essere interpretato come riguardante il solo trasferimento di dati  personali verso Paesi che sono al di fuori della Unione europea, cio'  anche in conformita' all'art. 42 del Codice e all'articolo 1, comma 2  della stessa direttiva 95/46/CE; diversamente interpretando, infatti,  il maggior onere connesso al rispetto delle prescrizioni del suddetto  art. 24-bis - se applicato anche agli Stati membri dell'Unione  europea - comporterebbe restrizioni alla liberta' di stabilimento ed  alla libera prestazione dei servizi e sarebbe, altresi',  incompatibile con la disciplina europea in materia di protezione dei  dati personali.  D'altra parte, in ragione dell'ampiezza assunta dal fenomeno, ivi  compresi gli aspetti derivanti dalla difficolta' di arginare  efficacemente il fenomeno delle chiamate indesiderate, l'Autorita' ha  la necessita' di acquisire elementi utili a comprendere la portata  del trasferimento dei dati personali fuori dall'Unione europea per i  trattamenti operati dai call center, al fine di intervenire con  tempestivita' ed efficacia in caso di violazioni del Codice; si  richiama, a tal proposito, la citata delibera del Garante del 27  maggio 2010 che, in linea con quanto previsto dalle clausole 8 e 11  della decisione 2010/87/UE, dispone che vengano fornite al Garante,  su richiesta, le informazioni relative ai subcontratti conclusi con  soggetti residenti al di fuori dell'Unione europea.  Quanto premesso rende opportuno prescrivere, unitamente all'integrazione dell'informativa ex art. 13 da rendere al momento  del contatto telefonico all'interessato, l'obbligo di comunicazione  al Garante per tutti i soggetti, pubblici e privati, che svolgono in  qualita' di titolare del trattamento, direttamente o in affidamento a  terzi, un'attivita' di call center effettuata in Paesi situati al di  fuori dell'Unione europea, indipendentemente dal numero di dipendenti  impiegati e dal fatto che esercitino tale attivita' in maniera  prevalente. 

Tutto cio' premesso  Ai sensi dell'art. 154, comma 1, lett. c) del Codice, prescrive a  tutti i soggetti, pubblici e privati, che svolgono in qualita' di  titolare del trattamento, direttamente o in affidamento a terzi,  un'attivita' di call center effettuata in Paesi situati al di fuori  dell'Unione europea, indipendentemente dal numero di dipendenti  impiegati e dal fatto che esercitino tale attivita' in maniera  prevalente:  a) di specificare preliminarmente agli interessati, che  effettuino la chiamata ad un call center o che siano destinatari  della stessa, quale sia l'ubicazione dell'operatore, adottando, nel  solo caso in cui la chiamata venga effettuata dal cittadino, apposite  procedure per consentire agli stessi di scegliere che il servizio sia  reso tramite un operatore sito nel territorio nazionale;  b) di effettuare, in caso di trasferimento (o di affidamento del  trattamento) di dati personali ad un call center sito al di fuori  dell'Unione europea, un'apposita comunicazione al Garante prima del  trasferimento o dell'affidamento, utilizzando il modello pubblicato  sul sito istituzionale www.garanteprivacy.it;  c) di inviare al Garante, entro 30 giorni dalla pubblicazione in  Gazzetta Ufficiale del presente provvedimento, la comunicazione  descritta alla precedente lettera b) anche nel caso in cui siano gia'  operanti trattamenti di dati personali affidati a call center situati  al di fuori dell'Unione europea.  Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011,  avverso il presente provvedimento puo' essere proposta opposizione  all'autorita' giudiziaria ordinaria, con ricorso depositato al  tribunale ordinario del luogo ove ha la residenza il titolare del  trattamento dei dati, entro il termine di trenta giorni dalla data di  comunicazione del provvedimento stesso. Si ricorda che l'opposizione  non sospende l'esecuzione del provvedimento (art. 152, comma 5 del  Codice).  Si dispone la trasmissione di copia del presente provvedimento al  Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per  la sua pubblicazione nella Gazzetta Ufficiale della Repubblica  italiana. 

Roma, 10 ottobre 2013  Il Presidente  Soro  Il Relatore  Bianchi Clerici  Il segretario generale  Busia

Invia per email

LaPrevidenza.it, 18/11/2013

ANDREA BAVA
mini sito

Via Xx Settembre 14/12 A, 16121, Genova (GE)

Telefono:

010/8680494

Professione:

Avvocato

Aree di attività:

Vasta esperienza nel contenzioso davanti al Giudice Ordinario, Giudice Amministrativo, Corte dei Conti, Giudice Tri...

ALESSANDRO BAVA
mini sito

Via Alla Porta Degli Archi 10/17, 16121, (GE)

Telefono:

0108686258

Professione:

Avvocato

Aree di attività:

tributario, giudizi responsabilità Corte dei conti, giudizi presso Cedu