|
Garante per la protezione dei dati personali Titolarit del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attivit promozionali PROVVEDIMENTO DEL 15 GIUGNO 2011 (Pubblicato sulla G.U. n. 153 del 4 luglio 2011) Registro dei provvedimenti n. 230 del 15 giugno 2011 IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale; VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito Codice) ed, in particolare, gli artt. 4, comma 1, lett. f) e g), 28 e 29 che disciplinano, rispettivamente, le figure soggettive del titolare e del responsabile del trattamento di dati personali nonch gli artt. 129 e 130 in materia di elenchi di abbonati e di comunicazioni indesiderate effettuate con mezzi diversi; VISTO l'art. 20 bis della legge 20 novembre 2009, n. 166 (pubblicata in G.U. n. 215 del 24 novembre 2009, con la quale stato convertito, con modificazioni, il decreto legge 25 settembre 2009, n. 135) che, novellando l'art. 130 del Codice, ha consentito il trattamento dei dati personali pubblicati negli elenchi di abbonati ai servizi di telefonia per l'effettuazione di chiamate con operatore a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, salvo il diritto di opposizione dell'interessato; VISTO il "Regolamento recante istituzione e gestione del registro pubblico degli abbonati che si oppongono all'utilizzo del proprio numero telefonico per vendite o promozioni commerciali", di seguito Registro pubblico delle opposizioni (decreto del Presidente della Repubblica del 7 settembre 2010, n. 178, pubblicato in G.U. n. 256 del 2 novembre 2010); VISTO il parere n. 1/2010 WP 169 adottato il 16 febbraio 2010 dal Gruppo di lavoro art. 29 , che ha ulteriormente chiarito, in linea con la direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 (doc web n. 432175), le nozioni di responsabile e di incaricato del trattamento specificando, tra l'altro, che ai fini dell'individuazione della titolarit concretamente esercitata occorre esaminare anche "elementi extracontrattuali, quali il controllo reale esercitato da una parte, l'immagine data agli interessati e il legittimo affidamento di questi ultimi sulla base di questa visibilit"; CONSIDERATO che detto parere, peraltro corredato di alcuni dettagliati esempi, ha evidenziato la necessit di riconoscere la titolarit del trattamento dei dati dei destinatari di iniziative di telemarketing in capo alla societ che si avvalga di soggetti esterni incaricati di effettuare campagne promozionali per suo conto, quando ai menzionati soggetti esterni siano state impartite specifiche istruzioni, ed in considerazione, altres, del controllo esercitato dalla societ circa il rispetto di tali istruzioni e delle condizioni contrattuali pattiziamente previste; VISTO il provvedimento del Garante del 16 febbraio 2006 che, in materia di servizi telefonici non richiesti, ha sottolineato la necessit che l'eventuale designazione, in qualit di responsabili del trattamento, di rivenditori o agenti incaricati della commercializzazione di prodotti e servizi per conto di altra societ risponda alla realt effettiva dei rapporti rilevanti in materia di trattamento dei dati; VISTO il provvedimento del Garante del 29 aprile 2009 che, analizzando il concreto rapporto intercorrente tra un titolare del trattamento e distinti operatori ai quali venivano affidati taluni servizi, ha fornito criteri per la corretta individuazione delle figure del titolare e del responsabile del trattamento di dati personali; CONSIDERATO che nell'ipotesi, ora richiamata, di servizi resi da diverse societ appaltatrici, subordinate al rispetto delle istruzioni ed al potere di controllo esercitato dalla societ appaltante, quest'ultima stata riconosciuta agire quale unico titolare del trattamento e, appunto in virt di tale qualifica, le stato prescritto di designare le societ appaltatrici responsabili del trattamento, ai sensi delle disposizioni del Codice; VISTO il provvedimento del Garante del 12 maggio 2011 che, in materia di circolazione dei dati dei clienti in ambito bancario, ha precisato che le societ esterne alle banche che gestiscono in outsourcing i sistemi informativi contenenti i dati della clientela devono essere effettivamente considerate non gi titolari, bens responsabili del trattamento dei medesimi dati quando, in concreto, le banche mantengono i poteri che il Codice attribuisce in esclusiva, appunto, al titolare (quali, ad esempio, l'assunzione di decisioni relative alle finalit del trattamento, l'imposizione di istruzioni e direttive vincolanti e lo svolgimento di funzioni di controllo); RIBADITE le considerazioni gi oggetto dei richiamati provvedimenti; RITENUTO di dover definire, nel contesto sopra delineato, un quadro unitario di misure e di accorgimenti necessari ed opportuni con lo scopo di fornire utili orientamenti sia agli operatori del settore (titolari e responsabili del trattamento) sia agli interessati, individuando i comportamenti pi appropriati da adottare alla luce della richiamata normativa anche in ordine all'imputazione delle responsabilit eventualmente gravanti sui soggetti che, anche a seguito dell'istituzione del Registro pubblico delle opposizioni, avviano contatti commerciali; RITENUTA la necessit di prescrivere alle societ che si avvalgono di soggetti esterni (c.d. outsourcer) per le attivit di promozione e di commercializzazione di propri beni e servizi, in qualit di titolari del trattamento, ai sensi dell'art. 143, comma 1, lett. b) e art. 154, comma 1, lett. c) del Codice, le misure necessarie per rendere il trattamento conforme alle disposizioni vigenti, anche in considerazione delle recenti modifiche normative e regolamentari sopra richiamate; VISTA la documentazione in atti; VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del Regolamento del Garante n. 1/2000 del 28 giugno 2000; RELATORE il prof. Francesco Pizzetti PREMESSO Il presente provvedimento intende fornire prescrizioni in relazione al trattamento di dati personali dei destinatari di iniziative di carattere commerciale per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale attuate in favore di un soggetto da parte di un altro soggetto che agisce in nome o, comunque, per conto del primo in base a specifico mandato o accordo. Nel redigere il provvedimento sono state, in particolare, tenute in considerazione le numerose istanze (segnalazioni, reclami e richieste di pareri) pervenute in materia di trattamento dei dati personali degli abbonati ai servizi di telefonia i quali, nonostante l'iscrizione dei propri dati anagrafici e dell'utenza della quale sono intestatari nel Registro pubblico delle opposizioni, ed in assenza di altre condizioni legittimanti, hanno lamentato la ricezione di contatti indesiderati per finalit promozionali di carattere commerciale, ovvero hanno segnalato la ricezione di comunicazioni a carattere pubblicitario non richieste trasmesse via telefax. Nel corso dell'attivit istruttoria avviata dall'Autorit emerso che in diversi casi le societ che producono o vendono beni ed erogano i servizi oggetto delle campagne promozionali (di seguito, preponenti) si avvalgono di soggetti terzi (gli outsourcer) cui, previa sottoscrizione di specifico accordo - generalmente nella forma del contratto di agenzia di cui agli artt. 1742 ss. del codice civile - conferito mandato, spesso con rappresentanza, e demandata l'attivit di promozione e commercializzazione dei menzionati beni e servizi. Lo svolgimento di tale attivit normalmente effettuato su base territoriale; con indicazione, cio, di una specifica area geografica di competenza dell'agente. Vi sono ricompresi, tra l'altro, il contatto con il potenziale cliente, la sottoposizione della proposta commerciale, la raccolta dell'eventuale adesione, l'utilizzo della modulistica fornita dalla societ preponente ed, infine, la trasmissione dei dati a quest'ultima perch curi gli adempimenti di propria competenza. stato accertato, inoltre, che gli agenti sono nella maggior parte dei casi tenuti a seguire specifiche attivit di formazione (attraverso incontri, seminari o apposite convention) e ricevono puntuali, aggiornate istruzioni anche con riguardo al trattamento dei dati personali dei soggetti contattati. Alcune delle societ preponenti risultano aver opportunamente provveduto a nominare responsabili del trattamento le agenzie che, operando in outsourcing, si occupano, appunto, della promozione e della commercializzazione di prodotti e servizi per conto della societ avviando, a tal fine, mirati contatti commerciali nei confronti di potenziali clienti; altre, invece (tra queste, ad esempio, BT Italia S.p.A., Wind Telecomunicazioni S.p.A., Vodafone Omnitel N.V., Teletu S.p.A.) hanno affermato che gli agenti in questione agiscono in qualit di titolari autonomi del trattamento dei dati dei potenziali clienti, ed hanno pertanto rivendicato la propria estraneit rispetto ad eventuali illeciti (quali, ad esempio, contatti promozionali indesiderati avviati nei confronti di titolari di utenze telefoniche che abbiano curato la propria iscrizione nel Registro pubblico delle opposizioni, spesso perfino a seguito del reiterato esercizio del diritto di opposizione da parte degli interessati; trasmissione, in assenza del consenso informato dell'interessato, di messaggi a carattere pubblicitario via telefax etc.). Le risultanze istruttorie hanno dimostrato, tuttavia, che in tutti i casi oggetto di indagine gli outsourcer agiscono in carenza degli imprescindibili presupposti perch possa essere loro riconosciuta autonoma titolarit nel trattamento di dati personali, come risulta alla stregua delle seguenti, numerose considerazioni: - i contatti a carattere promozionale sono effettuati in nome, comunque per conto e nell'interesse della societ preponente; con l'effetto che negli interessati si ingenera un legittimo affidamento, dal momento che essi percepiscono di essere destinatari di iniziative pubblicitarie condotte direttamente dalla societ per conto della quale viene formulata la proposta di vendita di prodotti o servizi; - i preponenti forniscono agli agenti dettagliate istruzioni sulle finalit del trattamento, sui mezzi da impiegare per il conseguimento di tali finalit e sui compiti assegnati, che sono specificamente e rigorosamente definiti; - gli agenti sono, inoltre, contrattualmente tenuti anche al rispetto della normativa vigente in materia di privacy; - il mandato, spesso con rappresentanza, di volta in volta conferito vincola l'agente alla presentazione di offerte ed alla conclusione di contratti in nome, comunque per conto del preponente utilizzando, peraltro, la modulistica predisposta da quest'ultimo. Tali modalit sono strettamente connesse ai concetti giuridici di "procura" e di "delega", con ogni riflesso anche in ordine alla ripartizione delle responsabilit in materia di trattamento dei dati personali; - agli agenti vengono fornite, per il tramite di circolari informative ovvero di incontri, convention, istruzioni etc., anche le specifiche indicazioni operative da seguire per lo svolgimento dell'attivit di marketing, spesso aggiornate con riferimento alle nuove modalit connesse all'entrata in vigore del Registro pubblico delle opposizioni; - a seguito dell'intervento dell'Autorit, con il dichiarato fine di evitare futuri, indesiderati contatti telefonici o via telefax verso i segnalanti, i preponenti, nella quasi totalit dei casi, hanno provveduto ad inserire quei nominativi e le connesse utenze telefoniche all'interno di una propria black list a disposizione delle strutture anche esterne alle societ (gli outsourcer). Considerato che gli artt. 4, comma 1, lett. f) e 28 del Codice definiscono, rispettivamente, il titolare come il soggetto "cui competono le decisioni in ordine alle finalit, alle modalit del trattamento di dati personali e agli strumenti utilizzati" e che esercita "un potere decisionale del tutto autonomo sulle finalit e sulle modalit del trattamento, ivi compreso il profilo della sicurezza", deve essere, allora, ribadito che le agenzie in outsourcing che effettuano il trattamento di dati personali nei termini indicati nel presente provvedimento non possono essere considerate quali titolari autonomi, dal momento che all'asserita titolarit formale non corrispondono, anche in termini concreti, i poteri tassativamente previsti dal Codice per la configurazione e l'esercizio della titolarit, che sono e restano appannaggio esclusivo dei preponenti. Tra questi, innanzitutto: - assumere decisioni relative alle finalit del trattamento dei dati dei destinatari di campagne promozionali ai fini di invio di materiale pubblicitario o di vendita diretta o di ricerche commerciali o di comunicazione commerciale effettuate da soggetti terzi che agiscono in outsourcing per lo svolgimento delle richiamate attivit di promozione e di commercializzazione di beni, prodotti e servizi; - impartire istruzioni e direttive vincolanti nei confronti degli outsourcer, sostanzialmente corrispondenti alle istruzioni che il titolare del trattamento deve impartire al responsabile; - svolgere funzioni di controllo rispetto all'operato degli outsourcer medesimi. D'altro canto, se gli agenti rivestissero la qualifica di autonomi titolari, la comunicazione dei dati dei clienti alla societ preponente, a qualunque titolo e per qualunque causa effettuata, ivi compresa quella gi emersa nel corso dell'attivit istruttoria relativamente ai contratti stipulati, risulterebbe lecita soltanto ove fosse stato preventivamente acquisito il consenso informato dell'interessato (artt. 13 e 23 del Codice) ovvero sussistesse uno dei presupposti di esonero rispetto all'obbligo della sua acquisizione (art. 24 del Codice). In difetto, la trasmissione di quelle informazioni sarebbe non conforme al Codice, con conseguenti applicabilit delle relative sanzioni e inutilizzabilit dei dati ai sensi dell'art. 11, comma 2. Al pari viziata sarebbe anche la comunicazione, da parte della societ agli outsourcer, dei dati personali dei soggetti che, avendo manifestato la propria opposizione al trattamento, vengono inseriti nella black list per evitare il reiterarsi dell'indesiderato contatto commerciale. Alla luce delle richiamate considerazioni risulta, per converso, evidente che gli agenti operano di fatto, e a tutti gli effetti, come se fossero stati "preposti dal titolare al trattamento di dati personali", dunque in piena e sostanziale aderenza alla definizione del "responsabile" di cui all'art. 4, comma 1, lett. g) del Codice. Nel sistema delineato dal Codice, segnatamente ai sensi del combinato disposto di cui agli artt. 4, comma 1, lett. g) ed f), 28 e 29, l'esternalizzazione delle attivit promozionali costituisce senz'altro una libera scelta organizzativa ed imprenditoriale di competenza esclusiva del titolare e dunque, nella specie, delle societ preponenti; cionondimeno, nelle situazioni verificate dall'Autorit ed in tutte quelle in cui, pur non oggetto di formale indagine, l'atteggiarsi concreto dei rapporti tra i diversi operatori coinvolti sia riconducibile alle fattispecie fin qui esaminate, occorre assicurare la conformit dei relativi trattamenti, ivi compresi quelli gi in essere, alle norme in materia di protezione di dati personali. , in altri termini, sempre rimessa al titolare, quale esercizio di una propria libera facolt, la scelta di avvalersi di uno o pi soggetti i quali, anche in outsourcing, svolgano comunque, anche in via di fatto, le attivit tipiche del responsabile; qualora, tuttavia - come nei casi esaminati - il titolare decida in tal senso, sar tenuto ad adoperarsi affinch all'atteggiarsi concreto dei rapporti corrisponda anche la loro corretta qualificazione giuridica sotto il profilo della protezione dei dati personali. Ne consegue che in tali situazioni, affinch i connessi trattamenti di dati personali risultino conformi alla disciplina sulla protezione dei dati personali, necessario che gli outsourcer, i quali - lo si ripete - gi concretamente operano, in via di fatto, nella specifica qualit di responsabili del trattamento secondo la definizione del Codice, ricevano anche una espressa e formale designazione in tal senso, secondo il disposto dell'art. 29. TUTTO CIO' PREMESSO ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice, il Garante dispone che tutti i preponenti, che sono titolari del trattamento in quanto, ai sensi di cui in motivazione, svolgono le attivit proprie di tale qualifica, procedano, entro 60 giorni dalla pubblicazione del presente provvedimento sulla Gazzetta Ufficiale, a designare le societ ovvero i soggetti terzi che agiscono in outsourcing, responsabili del trattamento ai sensi e per gli effetti degli artt. 4, comma 1, lett. g) e 29, commi 4 e 5 del Codice. L'Autorit si riserva inoltre, con autonomi procedimenti, la verifica dei presupposti per contestare ai titolari del trattamento cos identificati le violazioni amministrative di cui agli artt. 130, comma 3 bis, 161 e 162, commi 2-bis e 2-quater. Avverso il presente provvedimento pu essere proposta opposizione ai sensi dell'art. 152 del Codice con ricorso dinanzi all'autorit giudiziaria ordinaria, in particolare al tribunale del luogo ove risiede il titolare del trattamento, da presentarsi entro il termine di trenta giorni dalla data della sua pubblicazione nella Gazzetta Ufficiale della Repubblica Italiana. Si ricorda che l'opposizione non sospende l'esecuzione del provvedimento (art. 152, comma 5 del Codice). Si dispone la trasmissione di copia del presente provvedimento al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. Roma, 15 giugno 2011 Il presidente Il relatore Il segretario generale |