Garante per la protezione
    dei dati personali


Titolaritł del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attivitł promozionali

PROVVEDIMENTO DEL 15 GIUGNO 2011


(Pubblicato sulla G.U. n. 153 del 4 luglio 2011)

Registro dei provvedimenti
n. 230 del 15 giugno 2011

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito Codice) ed, in particolare, gli artt. 4, comma 1, lett. f) e g), 28 e 29 che disciplinano, rispettivamente, le figure soggettive del titolare e del responsabile del trattamento di dati personali nonchÄ gli artt. 129 e 130 in materia di elenchi di abbonati e di comunicazioni indesiderate effettuate con mezzi diversi;

VISTO l'art. 20 bis della legge 20 novembre 2009, n. 166 (pubblicata in G.U. n. 215 del 24 novembre 2009, con la quale Ć stato convertito, con modificazioni, il decreto legge 25 settembre 2009, n. 135) che, novellando l'art. 130 del Codice, ha consentito il trattamento dei dati personali pubblicati negli elenchi di abbonati ai servizi di telefonia per l'effettuazione di chiamate con operatore a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, salvo il diritto di opposizione dell'interessato;

VISTO il "Regolamento recante istituzione e gestione del registro pubblico degli abbonati che si oppongono all'utilizzo del proprio numero telefonico per vendite o promozioni commerciali", di seguito Registro pubblico delle opposizioni (decreto del Presidente della Repubblica del 7 settembre 2010, n. 178, pubblicato in G.U. n. 256 del 2 novembre 2010);

VISTO il parere n. 1/2010 WP 169 adottato il 16 febbraio 2010 dal Gruppo di lavoro art. 29 , che ha ulteriormente chiarito, in linea con la direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 (doc web n. 432175), le nozioni di responsabile e di incaricato del trattamento specificando, tra l'altro, che ai fini dell'individuazione della titolaritł concretamente esercitata occorre esaminare anche "elementi extracontrattuali, quali il controllo reale esercitato da una parte, l'immagine data agli interessati e il legittimo affidamento di questi ultimi sulla base di questa visibilitł";

CONSIDERATO che detto parere, peraltro corredato di alcuni dettagliati esempi, ha evidenziato la necessitł di riconoscere la titolaritł del trattamento dei dati dei destinatari di iniziative di telemarketing in capo alla societł che si avvalga di soggetti esterni incaricati di effettuare campagne promozionali per suo conto, quando ai menzionati soggetti esterni siano state impartite specifiche istruzioni, ed in considerazione, altresô, del controllo esercitato dalla societł circa il rispetto di tali istruzioni e delle condizioni contrattuali pattiziamente previste;

VISTO il provvedimento del Garante del 16 febbraio 2006 che, in materia di servizi telefonici non richiesti, ha sottolineato la necessitł che l'eventuale designazione, in qualitł di responsabili del trattamento, di rivenditori o agenti incaricati della commercializzazione di prodotti e servizi per conto di altra societł risponda alla realtł effettiva dei rapporti rilevanti in materia di trattamento dei dati;

VISTO il provvedimento del Garante del 29 aprile 2009 che, analizzando il concreto rapporto intercorrente tra un titolare del trattamento e distinti operatori ai quali venivano affidati taluni servizi, ha fornito criteri per la corretta individuazione delle figure del titolare e del responsabile del trattamento di dati personali;

CONSIDERATO che nell'ipotesi, ora richiamata, di servizi resi da diverse societł appaltatrici, subordinate al rispetto delle istruzioni ed al potere di controllo esercitato dalla societł appaltante, quest'ultima Ć stata riconosciuta agire quale unico titolare del trattamento e, appunto in virtŁ di tale qualifica, le Ć stato prescritto di designare le societł appaltatrici responsabili del trattamento, ai sensi delle disposizioni del Codice;

VISTO il provvedimento del Garante del 12 maggio 2011 che, in materia di circolazione dei dati dei clienti in ambito bancario, ha precisato che le societł esterne alle banche che gestiscono in outsourcing i sistemi informativi contenenti i dati della clientela devono essere effettivamente considerate non gił titolari, bensô responsabili del trattamento dei medesimi dati quando, in concreto, le banche mantengono i poteri che il Codice attribuisce in esclusiva, appunto, al titolare (quali, ad esempio, l'assunzione di decisioni relative alle finalitł del trattamento, l'imposizione di istruzioni e direttive vincolanti e lo svolgimento di funzioni di controllo);

RIBADITE le considerazioni gił oggetto dei richiamati provvedimenti;

RITENUTO di dover definire, nel contesto sopra delineato, un quadro unitario di misure e di accorgimenti necessari ed opportuni con lo scopo di fornire utili orientamenti sia agli operatori del settore (titolari e responsabili del trattamento) sia agli interessati, individuando i comportamenti piŁ appropriati da adottare alla luce della richiamata normativa anche in ordine all'imputazione delle responsabilitł eventualmente gravanti sui soggetti che, anche a seguito dell'istituzione del Registro pubblico delle opposizioni, avviano contatti commerciali;

RITENUTA la necessitł di prescrivere alle societł che si avvalgono di soggetti esterni (c.d. outsourcer) per le attivitł di promozione e di commercializzazione di propri beni e servizi, in qualitł di titolari del trattamento, ai sensi dell'art. 143, comma 1, lett. b) e art. 154, comma 1, lett. c) del Codice, le misure necessarie per rendere il trattamento conforme alle disposizioni vigenti, anche in considerazione delle recenti modifiche normative e regolamentari sopra richiamate;

VISTA la documentazione in atti;

VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del Regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE il prof. Francesco Pizzetti

PREMESSO

Il presente provvedimento intende fornire prescrizioni in relazione al trattamento di dati personali dei destinatari di iniziative di carattere commerciale per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale attuate in favore di un soggetto da parte di un altro soggetto che agisce in nome o, comunque, per conto del primo in base a specifico mandato o accordo.

Nel redigere il provvedimento sono state, in particolare, tenute in considerazione le numerose istanze (segnalazioni, reclami e richieste di pareri) pervenute in materia di trattamento dei dati personali degli abbonati ai servizi di telefonia i quali, nonostante l'iscrizione dei propri dati anagrafici e dell'utenza della quale sono intestatari nel Registro pubblico delle opposizioni, ed in assenza di altre condizioni legittimanti, hanno lamentato la ricezione di contatti indesiderati per finalitł promozionali di carattere commerciale, ovvero hanno segnalato la ricezione di comunicazioni a carattere pubblicitario non richieste trasmesse via telefax.

Nel corso dell'attivitł istruttoria avviata dall'Autoritł Ć emerso che in diversi casi le societł che producono o vendono beni ed erogano i servizi oggetto delle campagne promozionali (di seguito, preponenti) si avvalgono di soggetti terzi (gli outsourcer) cui, previa sottoscrizione di specifico accordo - generalmente nella forma del contratto di agenzia di cui agli artt. 1742 ss. del codice civile - Ć conferito mandato, spesso con rappresentanza, e demandata l'attivitł di promozione e commercializzazione dei menzionati beni e servizi. Lo svolgimento di tale attivitł Ć normalmente effettuato su base territoriale; con indicazione, cioĆ, di una specifica area geografica di competenza dell'agente. Vi sono ricompresi, tra l'altro, il contatto con il potenziale cliente, la sottoposizione della proposta commerciale, la raccolta dell'eventuale adesione, l'utilizzo della modulistica fornita dalla societł preponente ed, infine, la trasmissione dei dati a quest'ultima perchÄ curi gli adempimenti di propria competenza. Ú stato accertato, inoltre, che gli agenti sono nella maggior parte dei casi tenuti a seguire specifiche attivitł di formazione (attraverso incontri, seminari o apposite convention) e ricevono puntuali, aggiornate istruzioni anche con riguardo al trattamento dei dati personali dei soggetti contattati.

Alcune delle societł preponenti risultano aver opportunamente provveduto a nominare responsabili del trattamento le agenzie che, operando in outsourcing, si occupano, appunto, della promozione e della commercializzazione di prodotti e servizi per conto della societł avviando, a tal fine, mirati contatti commerciali nei confronti di potenziali clienti; altre, invece (tra queste, ad esempio, BT Italia S.p.A., Wind Telecomunicazioni S.p.A., Vodafone Omnitel N.V., Teletu S.p.A.) hanno affermato che gli agenti in questione agiscono in qualitł di titolari autonomi del trattamento dei dati dei potenziali clienti, ed hanno pertanto rivendicato la propria estraneitł rispetto ad eventuali illeciti (quali, ad esempio, contatti promozionali indesiderati avviati nei confronti di titolari di utenze telefoniche che abbiano curato la propria iscrizione nel Registro pubblico delle opposizioni, spesso perfino a seguito del reiterato esercizio del diritto di opposizione da parte degli interessati; trasmissione, in assenza del consenso informato dell'interessato, di messaggi a carattere pubblicitario via telefax etc.).

Le risultanze istruttorie hanno dimostrato, tuttavia, che in tutti i casi oggetto di indagine gli outsourcer agiscono in carenza degli imprescindibili presupposti perchÄ possa essere loro riconosciuta autonoma titolaritł nel trattamento di dati personali, come risulta alla stregua delle seguenti, numerose considerazioni:

- i contatti a carattere promozionale sono effettuati in nome, comunque per conto e nell'interesse della societł preponente; con l'effetto che negli interessati si ingenera un legittimo affidamento, dal momento che essi percepiscono di essere destinatari di iniziative pubblicitarie condotte direttamente dalla societł per conto della quale viene formulata la proposta di vendita di prodotti o servizi;

- i preponenti forniscono agli agenti dettagliate istruzioni sulle finalitł del trattamento, sui mezzi da impiegare per il conseguimento di tali finalitł e sui compiti assegnati, che sono specificamente e rigorosamente definiti;

- gli agenti sono, inoltre, contrattualmente tenuti anche al rispetto della normativa vigente in materia di privacy;

- il mandato, spesso con rappresentanza, di volta in volta conferito vincola l'agente alla presentazione di offerte ed alla conclusione di contratti in nome, comunque per conto del preponente utilizzando, peraltro, la modulistica predisposta da quest'ultimo. Tali modalitł sono strettamente connesse ai concetti giuridici di "procura" e di "delega", con ogni riflesso anche in ordine alla ripartizione delle responsabilitł in materia di trattamento dei dati personali;

- agli agenti vengono fornite, per il tramite di circolari informative ovvero di incontri, convention, istruzioni etc., anche le specifiche indicazioni operative da seguire per lo svolgimento dell'attivitł di marketing, spesso aggiornate con riferimento alle nuove modalitł connesse all'entrata in vigore del Registro pubblico delle opposizioni;

- a seguito dell'intervento dell'Autoritł, con il dichiarato fine di evitare futuri, indesiderati contatti telefonici o via telefax verso i segnalanti, i preponenti, nella quasi totalitł dei casi, hanno provveduto ad inserire quei nominativi e le connesse utenze telefoniche all'interno di una propria black list a disposizione delle strutture anche esterne alle societł (gli outsourcer).

Considerato che gli artt. 4, comma 1, lett. f) e 28 del Codice definiscono, rispettivamente, il titolare come il soggetto "cui competono ╔ le decisioni in ordine alle finalitł, alle modalitł del trattamento di dati personali e agli strumenti utilizzati" e che esercita "un potere decisionale del tutto autonomo sulle finalitł e sulle modalitł del trattamento, ivi compreso il profilo della sicurezza", deve essere, allora, ribadito che le agenzie in outsourcing che effettuano il trattamento di dati personali nei termini indicati nel presente provvedimento non possono essere considerate quali titolari autonomi, dal momento che all'asserita titolaritł formale non corrispondono, anche in termini concreti, i poteri tassativamente previsti dal Codice per la configurazione e l'esercizio della titolaritł, che sono e restano appannaggio esclusivo dei preponenti. Tra questi, innanzitutto:

- assumere decisioni relative alle finalitł del trattamento dei dati dei destinatari di campagne promozionali ai fini di invio di materiale pubblicitario o di vendita diretta o di ricerche commerciali o di comunicazione commerciale effettuate da soggetti terzi che agiscono in outsourcing per lo svolgimento delle richiamate attivitł di promozione e di commercializzazione di beni, prodotti e servizi;

- impartire istruzioni e direttive vincolanti nei confronti degli outsourcer, sostanzialmente corrispondenti alle istruzioni che il titolare del trattamento deve impartire al responsabile;

- svolgere funzioni di controllo rispetto all'operato degli outsourcer medesimi.

D'altro canto, se gli agenti rivestissero la qualifica di autonomi titolari, la comunicazione dei dati dei clienti alla societł preponente, a qualunque titolo e per qualunque causa effettuata, ivi compresa quella gił emersa nel corso dell'attivitł istruttoria relativamente ai contratti stipulati, risulterebbe lecita soltanto ove fosse stato preventivamente acquisito il consenso informato dell'interessato (artt. 13 e 23 del Codice) ovvero sussistesse uno dei presupposti di esonero rispetto all'obbligo della sua acquisizione (art. 24 del Codice). In difetto, la trasmissione di quelle informazioni sarebbe non conforme al Codice, con conseguenti applicabilitł delle relative sanzioni e inutilizzabilitł dei dati ai sensi dell'art. 11, comma 2.

Al pari viziata sarebbe anche la comunicazione, da parte della societł agli outsourcer, dei dati personali dei soggetti che, avendo manifestato la propria opposizione al trattamento, vengono inseriti nella black list per evitare il reiterarsi dell'indesiderato contatto commerciale.

Alla luce delle richiamate considerazioni risulta, per converso, evidente che gli agenti operano di fatto, e a tutti gli effetti, come se fossero stati "preposti dal titolare al trattamento di dati personali", dunque in piena e sostanziale aderenza alla definizione del "responsabile" di cui all'art. 4, comma 1, lett. g) del Codice.

Nel sistema delineato dal Codice, segnatamente ai sensi del combinato disposto di cui agli artt. 4, comma 1, lett. g) ed f), 28 e 29, l'esternalizzazione delle attivitł promozionali costituisce senz'altro una libera scelta organizzativa ed imprenditoriale di competenza esclusiva del titolare e dunque, nella specie, delle societł preponenti; cionondimeno, nelle situazioni verificate dall'Autoritł ed in tutte quelle in cui, pur non oggetto di formale indagine, l'atteggiarsi concreto dei rapporti tra i diversi operatori coinvolti sia riconducibile alle fattispecie fin qui esaminate, occorre assicurare la conformitł dei relativi trattamenti, ivi compresi quelli gił in essere, alle norme in materia di protezione di dati personali.

Ú, in altri termini, sempre rimessa al titolare, quale esercizio di una propria libera facoltł, la scelta di avvalersi di uno o piŁ soggetti i quali, anche in outsourcing, svolgano comunque, anche in via di fatto, le attivitł tipiche del responsabile; qualora, tuttavia - come nei casi esaminati - il titolare decida in tal senso, sarł tenuto ad adoperarsi affinchÄ all'atteggiarsi concreto dei rapporti corrisponda anche la loro corretta qualificazione giuridica sotto il profilo della protezione dei dati personali.

Ne consegue che in tali situazioni, affinchÄ i connessi trattamenti di dati personali risultino conformi alla disciplina sulla protezione dei dati personali, Ć necessario che gli outsourcer, i quali - lo si ripete - gił concretamente operano, in via di fatto, nella specifica qualitł di responsabili del trattamento secondo la definizione del Codice, ricevano anche una espressa e formale designazione in tal senso, secondo il disposto dell'art. 29.

TUTTO CIO' PREMESSO

ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice, il Garante dispone che tutti i preponenti, che sono titolari del trattamento in quanto, ai sensi di cui in motivazione, svolgono le attivitł proprie di tale qualifica, procedano, entro 60 giorni dalla pubblicazione del presente provvedimento sulla Gazzetta Ufficiale, a designare le societł ovvero i soggetti terzi che agiscono in outsourcing, responsabili del trattamento ai sensi e per gli effetti degli artt. 4, comma 1, lett. g) e 29, commi 4 e 5 del Codice.

L'Autoritł si riserva inoltre, con autonomi procedimenti, la verifica dei presupposti per contestare ai titolari del trattamento cosô identificati le violazioni amministrative di cui agli artt. 130, comma 3 bis, 161 e 162, commi 2-bis e 2-quater.

Avverso il presente provvedimento puś essere proposta opposizione ai sensi dell'art. 152 del Codice con ricorso dinanzi all'autoritł giudiziaria ordinaria, in particolare al tribunale del luogo ove risiede il titolare del trattamento, da presentarsi entro il termine di trenta giorni dalla data della sua pubblicazione nella Gazzetta Ufficiale della Repubblica Italiana. Si ricorda che l'opposizione non sospende l'esecuzione del provvedimento (art. 152, comma 5 del Codice).

Si dispone la trasmissione di copia del presente provvedimento al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.

Roma, 15 giugno 2011

Il presidente
Pizzetti

Il relatore
Pizzetti

Il segretario generale
De Paoli