Call Us +39 011 55.84.111

Garante privacy: call center ancora nel mirino

Dopo un primo intervento del legislatore, con il così detto “Decreto Sviluppo” nel 2012, il Ministero del Lavoro e delle Politiche Sociali e il Garante della Privacy sono tornati a regolamentare la questione del trasferimento delle attività di call center all’estero, rispettivamente, il Ministero, con la circolare esplicativa del 2 aprile 2013 e, il Garante, con il Provvedimento del 10 ottobre 2013, pubblicato in Gazzetta Ufficiale il 13 novembre scorso.

L’emanazione di tali nuovi provvedimenti trova giustificazione nell’esigenza di fornire chiarimenti in merito alla disciplina dettata dall’art. 24-bis del  D.L. 83/2012, indicando altresì misure di sicurezza integrative a tutela dei dati degli interessati trasferiti in un paese estero.

Ricorderete che, con l’art. 24-bis del  D.L. 83/2012, il legislatore ha imposto l’obbligo, per un’azienda che svolge attività di call center, con almeno 20 dipendenti, e che intende spostare l’attività fuori dal territorio nazionale, di darne comunicazione preventiva al Ministero del Lavoro e delle Politiche Sociali, indicando i lavoratori coinvolti, e al Garante Privacy, indicando quali misure di sicurezza ha adottato nel rispetto del Codice Privacy, avuto particolare riguardo al provvedimento che ha istituito il registro delle opposizioni. Ulteriori adempimenti previsti sono l’informativa preliminare da rendere ai cittadini circa il Paese estero in cui l’operatore è fisicamente collocato e - per le sole chiamate così dette inbound - l’adozione di un sistema che consenta, a chi ne faccia richiesta, di parlare con un operatore collocato in territorio nazionale.

Tale disposizione di legge, la cui violazione è punita con sanzioni pecuniarie pesanti (euro 10.000,00 per ogni giornata di violazione), non indicava in maniera chiara l’ambito di applicazione e risultava per certi versi contraria rispetto ai principi generali comunitari.

Per tale motivo, anche a seguito  di numerose richieste di chiarimento da parte degli operatori del settore, il Ministero del Lavoro e delle Politiche Sociali e il Garante Privacy hanno  precisato, in primo luogo, che l’obbligo in questione riguarda la sole ipotesi in cui il trasferimento dei dati avviene fuori dall’Unione Europea. Ciò in quanto, in virtù della necessaria e imprescindibile libertà di circolazione dei dati personali all’interno della Comunità Europea e della esistenza di direttive comuni in materia di privacy, tutti gli Stati Membri assicurano un equivalente livello di tutela del trattamento, con la conseguenza che non occorre adottare particolari prescrizioni per il trasferimento verso questi paesi.

L’obbligo di legge permane, dunque, con esclusivo riferimento ai paesi Extra-UE, per cui il trasferimento può verificarsi solo qualora il paese in cui si trova l’importatore offre un adeguato livello di protezione o quando l’importatore presta opportune garanzie in sede contrattuale mediante l’adozione di regole di condotta infragruppo (le così dette binding corporate rules, BCR) o mediante la sottoscrizione fra le parti delle clausole contrattuali tipo previste dalle decisioni della Commissione europea, in forza dell’art. 44 del Codice Privacy, così dette model clauses.

Il Garante Privacy ha poi ulteriormente precisato che occorre regolamentare specificatamente il rapporto tra il titolare del trattamento e il fornitore di call center estero.

In particolare, qualora un titolare residente nell’Unione Europea appalti il servizio di call center ad un responsabile, anch’esso comunitario, che a sua volta appalti ad un terzo stabilito al di fuori dell’Unione Europea, il titolare    dovrà disciplinare il rapporto con il subfornitore, sulla base di una delle seguenti modalità operative:

  1. sottoscrizione diretta delle clausole tra il titolare ed il soggetto terzo;
  2. conferimento da parte del titolare di un mandato con rappresentanza, generale o speciale, al responsabile per la sottoscrizione delle clausole con il terzo, facendo menzione del mandato tra gli incarichi e i compiti previsti nell’atto di designazione;
  3. sottoscrizione di contratti ad hoc tra il titolare ed il sub-incaricato che siano in grado di fornire le stesse garanzie previste dalle clausole contrattuali tipo.

Con riferimento all’ambito di applicazione dell’obbligo imposto dal legislatore, invece, il Ministero del Lavoro e delle Politiche Sociali e il Garante Privacy, hanno intrapreso due strade differenti.

La prima autorità, infatti, in un’ottica derogatoria, ha chiarito che l’obbligo riguarda unicamente le società che svolgono l’attività di call center in via assolutamente prevalente, con almeno 20 dipendenti (intesi sia come personale dipendente che di quello in servizio con contratti di collaborazione coordinata e continuativa) e qualora si verifichino esuberi.

Il Garante Privacy, invece, in ragione dell’ampiezza del fenomeno, ivi compresi gli aspetti derivanti dalla difficoltà di arginare efficacemente il fenomeno delle chiamate indesiderate, ha esteso l’ambito  a tutti i soggetti, pubblici e privati, che svolgono in qualità di titolare del trattamento, direttamente o in affidamento a terzi una attività di call center effettuata in paesi situati fuori dell’Unione Europea, indipendentemente dal numero di dipendenti impiegati e dal fatto che esercitino attività in maniera prevalente.

A carico del titolare del trattamento dei dati trasferito in un territorio extra-UE, inoltre, il Garante ha posto l’obbligo di formazione degli operatori di call center che tratteranno i dati in qualità di incaricati (anche per il tramite del soggetto designato responsabile), ed ha ricordato la necessità di effettuare verifiche periodiche sulle istruzioni impartite.

Quali misure di sicurezza da adottare, da ultimo, ha confermato l’idoneità dell’implementazione del sistema CRM (Customer Relationship Managment) con l’esigenza però, per evitare e/o ridurre al minimo trattamenti non conformi alle finalità dell’incarico ricevuto, di ridurre al minimo l’autonomia degli incaricati, consentendo ad esempio le sole operazioni di lettura e scrittura e l’oscuramento dei dati eccedenti o non pertinenti.

In forza di tali nuovi provvedimenti, pertanto, le società che svolgono attività di call center così detto outbound o inbound, devono:

  • specificare preliminarmente agli interessati che effettuino la chiamata ad un call center o che siano destinatari della stessa – tramite apposita informativa -, quale sia l’ubicazione dell’operatore, adottando, nel solo caso in cui la chiamata venga effettuata dal cittadino, apposite procedure per consentire agli stessi di scegliere che il servizio sia reso tramite un operatore sito nel territorio nazionale;
  • effettuare, in caso di trasferimento o affidamento del trattamento di dati personali ad un call center sito al di fuori dell’Unione europea, una apposita comunicazione al Garante prima di tale trasferimento, utilizzando il modello di comunicazione pubblicato sul sito www.garanteprivacy.it;
    effettuare, nel solo caso di trasferimento extra-UE, da parte di una società che svolge l’attività di call center in via prevalente, con almeno 20 dipendenti e per cui siano previsti esuberi, una comunicazione previa anche al Ministero del Lavoro e delle Politiche Sociali;
  • regolamentare il rapporto con il fornitore extra europeo tramite le così dette model clauses o un contratto che offra le medesime garanzie o, ancora, – nel caso di rapporti infragruppo, le binding corporate rules;
  • supervisionare l’attività del fornitore extra-europeo nominato responsabile del trattamento, tramite verifiche periodiche, effettuando corsi di formazione privacy in favore dei suoi incaricati e adottando misure di sicurezza che riducano al minimo la loro inter-operatività.

Specifichiamo, da ultimo, che l’obbligo di comunicazione al Garante Privacy ha carattere retroattivo, riguardando anche società per cui siano già operanti trattamenti di dati personali affidati a call center extraeuropei e per cui l’obbligo della comunicazione a tale autorità doveva essere assolto entro il 13 dicembre 2013.

Chiara Agostini

Avvocato esperto nella tutela della proprietà intellettuale ed industriale.

Website: www.replegal.it/it/cerca-i-professionisti/122-chiara-agostini.html

Turin
R&P Legal
Via Amedeo Avogadro, 26
10121, Torino - Italy
Milan
R&P Legal
Piazzale Luigi Cadorna, 4
20123, Milano - Italy
Rome
R&P Legal
Via Emilia, 86/90
00187, Roma - Italy
Busto Arsizio
R&P Legal
Via Goito, 14
21052, Busto Arsizio (VA) - Italy
Aosta
R&P Legal
Via Croce di Città, 44
11100, Aosta - Italy
Bergamo
R&P Legal
Viale Vittorio Emanuele II, 12
24121, Bergamo - Italy