Provvedimento prescrittivo in materia di trattamento dei dati personali effettuato mediante l'utilizzo di call center siti in Paesi al di fuori dell'Unione europea

Garante per la Protezione dei dati personali, Delibera 10.10.2013

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

DELIBERA 10 ottobre 2013

Provvedimento prescrittivo in materia di trattamento dei dati personali effettuato mediante l'utilizzo di call center siti in Paesi al di fuori dell'Unione europea. (Delibera n. 444). (13A09019)

(GU n.266 del 13-11-2013)

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito Codice) e, in particolare, gli artt. 42, 43, 44 e 45; Vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione dei dati; Visto l'art. 24-bis del d.l. 22 giugno 2012, n. 83 convertito con legge 7 agosto 2012, n.134;

Viste le segnalazioni e le richieste di chiarimento pervenute in materia di trattamento dei dati personali effettuato da call center ubicati all'estero anche in conseguenza delle disposizioni introdotte dal citato art. 24-bis;

Ritenuto necessario assicurare le opportune garanzie al trattamento dei dati effettuato da parte di call center situati fuori dal territorio dell'Unione europea utilizzati da titolari italiani per fornire servizi di assistenza ai clienti/utenti o per attivita' promozionale tramite chiamate con operatore (telemarketing);

Viste le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento n. 1/2000; Relatore la dott.ssa Giovanna Bianchi Clerici;

1. Premessa

L'importanza dell'attivita' svolta dai call center, da sempre utilizzati sia per le attivita' di assistenza ai clienti o agli utenti di pubblici servizi sia per quelle dirette all'acquisizione di nuovi clienti, e' aumentata negli ultimi anni in quanto consente di fornire numerosi servizi contenendo i costi e offrendo agli utenti un canale piu' immediato di contatto. La necessita' di soddisfare richieste sempre piu' specifiche dei committenti e l'inevitabile ricerca del contenimento dei costi, hanno portato negli ultimi anni al trasferimento di molte commesse verso call center con sede fuori dal territorio nazionale ed in particolare in paesi non appartenenti all'Unione europea. Questa tendenza mette in luce possibili criticita' sulle modalita' di trattamento dei dati da parte di tutti i soggetti a vario titolo coinvolti con specifico riferimento a quelli svolti al di fuori dei confini europei dove non sono assicurate le adeguate garanzie per i diritti degli interessati previste dalla normativa comunitaria.

2. Trasferimento dei dati personali all'estero

La direttiva 95/46/CE fornisce, agli artt. 25 e 26, una serie di prescrizioni atte a garantire che, pur nel rispetto della necessaria e imprescindibile liberta' di circolazione dei dati personali all'interno della Comunita' europea, vengano salvaguardati i diritti fondamentali delle persone. Il recepimento della direttiva nei singoli ordinamenti, dunque, fa si' che tutti gli Stati membri possano assicurare un equivalente livello di tutela del trattamento. Conseguentemente la disciplina nazionale condiziona il trasferimento dei dati, anche temporaneo, verso un Paese terzo che non garantisca un livello di protezione adeguato (artt. 42, 43 e 45 del Codice) all'adozione di stringenti misure. E' infatti previsto che il trasferimento sia consentito se autorizzato dal Garante qualora il livello di garanzia offerto dal Paese terzo sia stato ritenuto idoneo da apposite decisioni della Commissione europea oppure qualora il titolare presti opportune garanzie in sede contrattuale mediante l'adozione di regole di condotta infragruppo (le cosiddette binding corporate rules, BCR) o mediante la sottoscrizione fra le parti delle clausole contrattuali tipo previste dalle relative decisioni della Commissione europea (art. 44 del Codice). In relazione a tale ultima ipotesi la Commissione europea ha adottato quattro decisioni contenenti altrettanti set di clausole: per il trasferimento dei dati da un titolare stabilito nel territorio europeo ad un altro titolare stabilito in un Paese extra-UE, sono state adottate le decisioni 2001/497/CE (pubblicata sulla G.U.C.E. L 181/19 del 4 luglio 2001), contenente un primo insieme di clausole tipo e la decisione 2004/915/CE (pubblicata sulla G.U.U.E. L 385/74 del 29 dicembre 2004), contenente il secondo insieme di clausole; i titolari possono utilizzare gli insiemi alternativamente; per il trasferimento dei dati da un titolare stabilito nel territorio europeo ad un responsabile stabilito in un Paese extra-UE, e' stata adottata la decisione 2002/16/CE (pubblicata sulla G.U.C.E. L 6/52 del 10 gennaio 2002) abrogata a decorrere dal 15 maggio 2010 dalla decisione 2010/87/UE (pubblicata sulla G.U.U.E. L 39/5 del 12 febbraio 2010). Le suddette decisioni introducono nuove definizioni: "esportatore" e' il titolare che trasferisce i dati personali e "importatore" e' il responsabile o il titolare stabilito nel Paese terzo che riceve i dati. La decisione 2010/87/UE in particolare, prende in esame l'eventualita' del subappalto effettuato in conseguenza di un rapporto contrattuale fra un titolare stabilito nella Unione europea ed un responsabile, residente in un Paese extra-UE che non fornisca adeguate garanzie, il quale affidi il trattamento ad un soggetto terzo, anch'esso residente in un Paese extra-UE; tale decisione, in particolare, definisce "sub-incaricato" il soggetto designato dall'importatore che si impegni a ricevere i dati dall'importatore stesso per trattarli secondo le istruzioni dell'esportatore. E' previsto inoltre che il subcontratto possa effettuarsi, previo consenso scritto dell'esportatore, solo se l'importatore faccia sottoscrivere al sub-incaricato le medesime clausole contrattuali tipo e fermo restando che l'importatore rimane l'unico responsabile nei confronti dell'esportatore per eventuali inadempimenti da parte del sub-incaricato. Queste indicazioni, tuttavia, valgono solo (ai sensi del considerando 23 della decisione 2010/87/UE) nel caso in cui l'importatore che trasmette i dati ad un sub-incaricato, sia stabilito in un Paese non appartenente all'Unione europea; tuttavia e' piu' frequente, nell'attuale situazione di mercato dei call center, la condizione per cui l'importatore sia residente all'interno dell'Unione europea e subappalti tutto o parte del trattamento ad un soggetto terzo extracomunitario. Al fine di dare risposta ai numerosi quesiti conseguenti proprio l'esclusione di questa particolare condizione, il Gruppo "Articolo 29" dei Garanti europei ha adottato il documento WP 176 del 12 luglio 2010 (in www.garanteprivacy.it, doc. web n. 1791942); in tale documento si suggerisce l'adozione di tre soluzioni alternative: sottoscrizione diretta delle clausole contrattuali tipo tra il titolare ed il soggetto terzo; conferimento da parte del titolare di un mandato al responsabile per la sottoscrizione delle clausole contrattuali tipo con il terzo; sottoscrizione di contratti ad hoc tra il titolare ed il terzo. Con il provvedimento del 15 novembre 2012 (doc. web n. 2191156), il Garante ha, in parte, recepito le indicazioni del citato WP 176, prescrivendo ai titolari che - in forza di un rapporto contrattuale con soggetti (stabiliti nell'Unione europea) designati responsabili del trattamento - intendano avvalersi di sub-incaricati stabiliti in Paesi extra-UE, di stipulare con il responsabile un apposito mandato ai sensi dell'art. 1704 c.c. per la sottoscrizione delle clausole contrattuali tipo di cui all'allegato della decisione 2010/87/UE o, in alternativa, di chiedere all'Autorita' un'apposita autorizzazione ai sensi dell'art. 44, comma 1, lett. a) del Codice. Si ricorda, inoltre, che con il provvedimento del 15 giugno 2011 (doc. web n. 1821257), il Garante ha prescritto a tutti i committenti - cui possa essere imputato nella pratica un effettivo potere decisionale sul trattamento, agendo quindi in qualita' di titolari - di designare quali responsabili, ai sensi dell'art. 29 del Codice, gli outsourcer di cui si avvalgano per la realizzazione di iniziative di carattere commerciale; cio' anche in considerazione del legittimo affidamento dell'interessato nell'identificare col committente il soggetto da cui viene contattato. Ne consegue che, qualora ricorra la condizione per cui si abbia un titolare residente nella Unione europea che appalta il servizio di call center ad un responsabile, anch'esso comunitario, che a sua volta subappalta ad un terzo (previo accordo con il titolare) stabilito al di fuori dell'Unione europea, il titolare puo' scegliere tra le seguenti modalita' operative: 1. sottoscrizione diretta delle clausole tra il titolare ed il soggetto terzo (che lo fara' in qualita' di importatore e non di sub-incaricato e per questo dovra' essere designato responsabile: l'importatore infatti risponde direttamente al titolare di eventuali illiceita' mentre se firmasse come sub-incaricato la responsabilita' rimarrebbe in capo all'appaltatore che ha il ruolo di responsabile); 2. conferimento da parte del titolare di un mandato con rappresentanza, generale o speciale, al responsabile per la sottoscrizione delle clausole con il terzo (il titolare rimane esportatore ed il sub-incaricato e' importatore in quanto importa i dati dal responsabile) facendo menzione del mandato tra gli incarichi e i compiti previsti dall'atto di designazione; in questo caso, devono essere sottoscritte clausole contrattuali tipo ad hoc per ogni specifica commessa, non potendo accettarsi accordi quadro o clausole contrattuali tipo sottoscritte tra il responsabile ed il sub incaricato per regolare genericamente l'affidamento del servizio (anche se questi hanno diversi rapporti contrattuali al di la' della specifica commessa); 3. sottoscrizione di contratti ad hoc tra il titolare ed il sub-incaricato che siano pero' in grado di fornire le stesse garanzie previste dalle clausole contrattuali tipo: solo in questo caso il contratto deve essere vagliato dall'Autorita' che potra' o meno autorizzare il trattamento (come previsto anche dal Codice all'art. 44, comma 1, lett. a). Le tre soluzioni sopra descritte sono volte ad evitare che il titolare possa perdere il controllo sui dati nel corso delle diverse fasi del trattamento: si ricorda a tal proposito che la designazione a responsabile puo' essere effettuata solo dal titolare, non essendo lecito che un responsabile designi a sua volta un altro responsabile. I subappalti devono comunque sempre essere autorizzati per iscritto dal titolare e gli esportatori devono tenere un elenco, aggiornato almeno una volta l'anno, dei subcontratti conclusi, da esibire al Garante se richiesto (cosi' come disposto dalle clausole 8 e 11 della decisione 2010/87/UE). In caso di trasferimenti infragruppo, questi possono essere realizzati utilizzando lo schema di BCR elaborato dal Gruppo "Articolo 29" dei Garanti europei (cfr. i WP 74, WP 153, WP 154 e WP 155) integrato dal WP 195 del 6 giugno 2012 contenente un nuovo modello di norme vincolanti d'impresa definito «BCR for processor».

3. Adempimenti ulteriori nel trattamento di dati personali effettuato mediante call center.

Fermo restando quanto gia' previsto dal Codice in merito ai compiti del titolare ed alla designazione dei responsabili e degli incaricati, nello specifico caso di trattamento effettuato da parte di call center, e' opportuno ribadire che il titolare deve, tra le altre cose, provvedere alla formazione degli operatori di call center che tratteranno i dati in qualita' di incaricati (anche per il tramite del soggetto designato responsabile), nonche' effettuare verifiche periodiche presso il responsabile sull'osservanza delle istruzioni impartite. Le misure di sicurezza devono essere stabilite dal titolare in conformita' agli artt. 31 e seguenti e all'allegato B del Codice; dal punto di vista tecnico, la soluzione, gia' adottata da diverse societa', di consentire la centralizzazione degli accessi ai sistemi di CRM (Customer Relationship Management) del titolare da parte degli incaricati appare, ad oggi, in grado di prevenire trattamenti dei dati non conformi alle finalita' per cui sono stati raccolti purche' il titolare imposti regole e procedure in grado di limitare l'autonomia degli incaricati. Tale procedura, inoltre, consente di uniformare il trattamento svolto dai singoli call center, indipendentemente dalla localizzazione. Le garanzie che puo' offrire la centralizzazione dei trattamenti utilizzando il sistema di CRM del titolare, sono infatti tanto piu' elevate quanto piu' il sistema e' impostato verso la minore interoperabilita' possibile, consentendo agli incaricati di effettuare sui dati solo le operazioni in lettura e scrittura che siano strettamente necessarie ai compiti che devono svolgere, in base a quanto disposto dall'art. 3 del Codice. In tale contesto, devono essere oscurati i dati eccedenti o non pertinenti evitando che ci sia la possibilita' per gli incaricati di estrarre i dati, effettuarne copia o alterarli: in quest'ultimo caso, e' da ritenersi valida la prassi di chiudere verso l'esterno le postazioni degli operatori (con restrizioni all'accesso alla rete Internet, blocco degli invii di e-mail e disattivazione delle porte USB esterne). Quanto prescritto dal presente provvedimento non modifica, ma integra, gli adempimenti gia' previsti dal Codice per i soggetti che effettuino trattamenti di dati personali, in ambito pubblico o privato, per i quali siano gia' in essere specifiche norme o prescrizioni in relazione alle finalita', alle modalita' o ai soggetti coinvolti. Il trasferimento o l'affidamento all'estero del servizio di call center dovra' rispettare quindi anche la disciplina prevista dagli artt. 42 e seguenti del Codice; il conseguente trasferimento di dati personali potra', pertanto, essere effettuato soltanto alle condizioni gia' sintetizzate al paragrafo 2 del presente provvedimento. Devono, altresi', essere osservati tutti gli adempimenti indicati dal Garante in relazione agli specifici ambiti di attivita' di volta in volta interessati (ad es. per i trattamenti effettuati per finalita' di marketing mediante l'impiego del telefono con operatore, si richiama il provvedimento del Garante del 19 gennaio 2011, doc. web n. 1784528, pubblicato in G.U. del 31 gennaio 2011, n. 24; per i trattamenti effettuati da operatori bancari che rendano servizi alla clientela mediante l'impiego del telefono, si rimanda al punto 2.3 delle "Linee guida per trattamenti dati relativi al rapporto banca-clientela" del 25 ottobre 2007, doc. web n. 1457247, in G.U. del 23 novembre 2007, n. 273).

4. Il trasferimento dei dati personali fuori dall'Unione europea per i trattamenti operati dai call center e prescrizioni derivanti dall'attuazione del decreto-legge n. 83/2012

L'art. 24-bis del decreto-legge 22 giugno 2012, n. 83, convertito con modificazioni, dalla legge 7 agosto 2012, n. 134, ha introdotto dei nuovi adempimenti per le aziende con almeno venti dipendenti che intendano trasferire la propria attivita' al di fuori del territorio nazionale. In particolare, la richiamata disposizione prevede che queste sono tenute a darne comunicazione al Ministero del lavoro e delle politiche sociali e al Garante per la protezione dei dati personali 120 giorni prima del trasferimento, stabilendo, altresi', che gli interessati, nel rivolgersi a (o nell'essere contattati da) un call center, siano sempre informati del fatto che l'operatore possa essere collocato in un Paese estero. Nel caso in cui l'interessato che effettua la chiamata ad un call center venga messo in contatto con un operatore collocato all'estero, inoltre, e' stato previsto che deve sempre essere fornita a questi la possibilita' di scegliere che il servizio sia reso tramite un operatore collocato nel territorio nazionale. Il Ministero del lavoro e delle politiche sociali ha fornito chiarimenti interpretativi della norma citata (orientata in primo luogo ad evitare la flessione degli standard occupazionali) con la circolare n. 14 del 2 aprile 2013.

Con la circolare il Ministero suddetto ha precisato innanzitutto che devono ritenersi interessate dalle misure prescritte dall'art. 24-bis «... solo le aziende che svolgono in via assolutamente prevalente (core business aziendale) un'attivita' di call center e che, pertanto, operano in regime di appalto, restando viceversa escluse quelle attivita' di call center che vanno semplicemente ad integrare lo svolgimento dell'impresa rappresentando, il piu' delle volte, un mero "sportello di front office"». Inoltre, a maggior chiarimento della ratio della norma, la circolare specifica che per delocalizzazione debba intendersi il trasferimento a personale operante all'estero, prima della scadenza del contratto, di attivita' gia' avviate sul territorio nazionale non ricorrendo, dunque, gli obblighi di comunicazione se la delocalizzazione avvenga senza generare esuberi.

L'Autorita', concordando con l'interpretazione fornita dal Ministero del lavoro e delle politiche sociali, ritiene innanzitutto che l'art. 24-bis del decreto-legge 22 giugno 2012, n. 83 debba essere interpretato come riguardante il solo trasferimento di dati personali verso Paesi che sono al di fuori della Unione europea, cio' anche in conformita' all'art. 42 del Codice e all'articolo 1, comma 2 della stessa direttiva 95/46/CE; diversamente interpretando, infatti, il maggior onere connesso al rispetto delle prescrizioni del suddetto art. 24-bis - se applicato anche agli Stati membri dell'Unione europea - comporterebbe restrizioni alla liberta' di stabilimento ed alla libera prestazione dei servizi e sarebbe, altresi', incompatibile con la disciplina europea in materia di protezione dei dati personali. D'altra parte, in ragione dell'ampiezza assunta dal fenomeno, ivi compresi gli aspetti derivanti dalla difficolta' di arginare efficacemente il fenomeno delle chiamate indesiderate, l'Autorita' ha la necessita' di acquisire elementi utili a comprendere la portata del trasferimento dei dati personali fuori dall'Unione europea per i trattamenti operati dai call center, al fine di intervenire con tempestivita' ed efficacia in caso di violazioni del Codice; si richiama, a tal proposito, la citata delibera del Garante del 27 maggio 2010 che, in linea con quanto previsto dalle clausole 8 e 11 della decisione 2010/87/UE, dispone che vengano fornite al Garante, su richiesta, le informazioni relative ai subcontratti conclusi con soggetti residenti al di fuori dell'Unione europea. Quanto premesso rende opportuno prescrivere, unitamente all'integrazione dell'informativa ex art. 13 da rendere al momento del contatto telefonico all'interessato, l'obbligo di comunicazione al Garante per tutti i soggetti, pubblici e privati, che svolgono in qualita' di titolare del trattamento, direttamente o in affidamento a terzi, un'attivita' di call center effettuata in Paesi situati al di fuori dell'Unione europea, indipendentemente dal numero di dipendenti impiegati e dal fatto che esercitino tale attivita' in maniera prevalente.

Tutto cio' premesso Ai sensi dell'art. 154, comma 1, lett. c) del Codice, prescrive a tutti i soggetti, pubblici e privati, che svolgono in qualita' di titolare del trattamento, direttamente o in affidamento a terzi, un'attivita' di call center effettuata in Paesi situati al di fuori dell'Unione europea, indipendentemente dal numero di dipendenti impiegati e dal fatto che esercitino tale attivita' in maniera prevalente: a) di specificare preliminarmente agli interessati, che effettuino la chiamata ad un call center o che siano destinatari della stessa, quale sia l'ubicazione dell'operatore, adottando, nel solo caso in cui la chiamata venga effettuata dal cittadino, apposite procedure per consentire agli stessi di scegliere che il servizio sia reso tramite un operatore sito nel territorio nazionale; b) di effettuare, in caso di trasferimento (o di affidamento del trattamento) di dati personali ad un call center sito al di fuori dell'Unione europea, un'apposita comunicazione al Garante prima del trasferimento o dell'affidamento, utilizzando il modello pubblicato sul sito istituzionale www.garanteprivacy.it; c) di inviare al Garante, entro 30 giorni dalla pubblicazione in Gazzetta Ufficiale del presente provvedimento, la comunicazione descritta alla precedente lettera b) anche nel caso in cui siano gia' operanti trattamenti di dati personali affidati a call center situati al di fuori dell'Unione europea. Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento puo' essere proposta opposizione all'autorita' giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso. Si ricorda che l'opposizione non sospende l'esecuzione del provvedimento (art. 152, comma 5 del Codice). Si dispone la trasmissione di copia del presente provvedimento al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.

Roma, 10 ottobre 2013 Il Presidente Soro Il Relatore Bianchi Clerici Il segretario generale Busia