Provvedimento prescrittivo in materiadi trattamento dei dati personali effettuato mediante l'utilizzo di call centersiti in Paesi al di fuori della Unione europea

PROVVEDIMENTO DEL 10 OTTOBRE 2013


(Pubblicato sulla Gazzetta Ufficiale n. 266 del 13 novembre 2013)

Registro dei provvedimenti
 n. 444 del 10 ottobre 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale;

Vistoil Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n.196, di seguito Codice) e, in particolare, gli artt. 42, 43, 44 e 45;

Vistala direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre1995, relativa alla tutela delle persone fisiche con riguardo al trattamentodei dati personali, nonché alla libera circolazione dei dati;

Vistol'art. 24-bis del d.l. 22 giugno 2012, n. 83 convertito con legge 7 agosto2012, n.134;

Vistele segnalazioni e le richieste di chiarimento pervenute in materia ditrattamento dei dati personali effettuato da call center ubicati all'esteroanche in conseguenza delle disposizioni introdotte dal citato art. 24-bis;

Ritenutonecessario assicurare le opportune garanzie al trattamento dei dati effettuatoda parte di call center situati fuori dal territorio dell'Unione europeautilizzati da titolari italiani per fornire servizi di assistenza aiclienti/utenti o per attività promozionale tramite chiamate con operatore(telemarketing);

Vistele osservazioni dell'Ufficio, formulate dal segretario generale ai sensidell'art. 15 del regolamento n. 1/2000;

Relatorela dott.ssa Giovanna Bianchi Clerici; 

1. Premessa

L'importanzadell'attività svolta dai call center, da sempre utilizzati sia per le attivitàdi assistenza ai clienti o agli utenti di pubblici servizi sia per quelledirette all'acquisizione di nuovi clienti, è aumentata negli ultimi anni inquanto consente di fornire numerosi servizi contenendo i costi e offrendo agliutenti un canale più immediato di contatto.

Lanecessità di soddisfare richieste sempre più specifiche dei committenti el'inevitabile ricerca del contenimento dei costi, hanno portato negli ultimianni al trasferimento di molte commesse verso call center con sede fuori dalterritorio nazionale ed in particolare in paesi non appartenenti all'Unioneeuropea. Questa tendenza mette in luce possibili criticità sulle modalità ditrattamento dei dati da parte di tutti i soggetti a vario titolo coinvolti conspecifico riferimento a quelli svolti al di fuori dei confini europei dove nonsono assicurate le adeguate garanzie per i diritti degli interessati previstedalla normativa comunitaria.

2. Trasferimento dei dati personali all'estero

Ladirettiva 95/46/CE fornisce, agli artt. 25 e 26, una serie di prescrizioni attea garantire che, pur nel rispetto della necessaria e imprescindibile libertà dicircolazione dei dati personali all'interno della Comunità europea, venganosalvaguardati i diritti fondamentali delle persone. Il recepimento delladirettiva nei singoli ordinamenti, dunque, fa sì che tutti gli Stati membripossano assicurare un equivalente livello di tutela del trattamento.

Conseguentementela disciplina nazionale condiziona il trasferimento dei dati, anche temporaneo,verso un Paese terzo che non garantisca un livello di protezione adeguato(artt. 42, 43 e 45 del Codice) all'adozione di stringenti misure. » infattiprevisto che il trasferimento sia consentito se autorizzato dal Garante qualorail livello di garanzia offerto dal Paese terzo sia stato ritenuto idoneo daapposite decisioni della Commissione europea oppure qualora il titolare prestiopportune garanzie in sede contrattuale mediante l'adozione di regole dicondotta infragruppo (le cosiddette binding corporate rules, BCR) o mediante lasottoscrizione fra le parti delle clausole contrattuali tipo previste dalle relativedecisioni della Commissione europea (art. 44 del Codice).

Inrelazione a tale ultima ipotesi la Commissione europea ha adottato quattrodecisioni contenenti altrettanti set di clausole:

-    peril trasferimento dei dati da un titolare stabilito nel territorio europeo ad unaltro titolare stabilito in un Paese extra-UE, sono state adottate le decisioni2001/497/CE (pubblicata sulla G.U.C.E. L 181/19 del 4 luglio 2001), contenenteun primo insieme di clausole tipo e la decisione 2004/915/CE (pubblicata sullaG.U.U.E. L 385/74 del 29 dicembre 2004), contenente il secondo insieme diclausole; i titolari possono utilizzare gli insiemi alternativamente;

-    peril trasferimento dei dati da un titolare stabilito nel territorio europeo ad unresponsabile stabilito in un Paese extra-UE, è stata adottata la decisione2002/16/CE (pubblicata sulla G.U.C.E. L 6/52 del 10 gennaio 2002) abrogata adecorrere dal 15 maggio 2010 dalla decisione 2010/87/UE (pubblicata sullaG.U.U.E. L 39/5 del 12 febbraio 2010).

Lesuddette decisioni introducono nuove definizioni: "esportatore" è iltitolare che trasferisce i dati personali e "importatore" è ilresponsabile o il titolare stabilito nel Paese terzo che riceve i dati. Ladecisione 2010/87/UE in particolare, prende in esame l'eventualità delsubappalto effettuato in conseguenza di un rapporto contrattuale fra untitolare stabilito nella Unione europea ed un responsabile, residente in unPaese extra-UE che non fornisca adeguate garanzie, il quale affidi iltrattamento ad un soggetto terzo, anch'esso residente in un Paese extra-UE;tale decisione, in particolare, definisce "sub-incaricato" ilsoggetto designato dall'importatore che si impegni a ricevere i datidall'importatore stesso per trattarli secondo le istruzioni dell'esportatore. »previsto inoltre che il subcontratto possa effettuarsi, previo consenso scrittodell'esportatore, solo se l'importatore faccia sottoscrivere al sub-incaricatole medesime clausole contrattuali tipo e fermo restando che l'importatorerimane l'unico responsabile nei confronti dell'esportatore per eventualiinadempimenti da parte del sub-incaricato.

Questeindicazioni, tuttavia, valgono solo (ai sensi del considerando 23 delladecisione 2010/87/UE) nel caso in cui l'importatore che trasmette i dati ad unsub-incaricato, sia stabilito in un Paese non appartenente all'Unione europea;tuttavia è più frequente, nell'attuale situazione di mercato dei call center,la condizione per cui l'importatore sia residente all'interno dell'Unioneeuropea e subappalti tutto o parte del trattamento ad un soggetto terzoextracomunitario. Al fine di dare risposta ai numerosi quesiti conseguentiproprio l'esclusione di questa particolare condizione, il Gruppo "Articolo29" dei Garanti europei ha adottato il documento WP 176 del 12 luglio 2010; in tale documento si suggerisce l'adozione di tresoluzioni alternative: sottoscrizione diretta delle clausole contrattuali tipotra il titolare ed il soggetto terzo; conferimento da parte del titolare di unmandato al responsabile per la sottoscrizione delle clausole contrattuali tipocon il terzo; sottoscrizione di contratti ad hoc tra il titolare ed il terzo.

Conil provvedimento del 15 novembre 2012, il Garante ha, in parte, recepito le indicazioni delcitato WP 176, prescrivendo ai titolari che - in forza di un rapportocontrattuale con soggetti (stabiliti nell'Unione europea) designatiresponsabili del trattamento - intendano avvalersi di sub-incaricati stabilitiin Paesi extra-UE, di stipulare con il responsabile un apposito mandato aisensi dell'art. 1704 c.c. per la sottoscrizione delle clausole contrattualitipo di cui all'allegato della decisione 2010/87/UE o, in alternativa, dichiedere all'Autorità un'apposita autorizzazione ai sensi dell'art. 44, comma1, lett. a) del Codice.

Siricorda, inoltre, che con il provvedimento del 15 giugno 2011, il Garante ha prescritto a tutti i committenti –cui possa essere imputato nella pratica un effettivo potere decisionale sultrattamento, agendo quindi in qualità di titolari - di designare qualiresponsabili, ai sensi dell'art. 29 del Codice, gli outsourcer di cui siavvalgano per la realizzazione di iniziative di carattere commerciale; ciòanche in considerazione del legittimo affidamento dell'interessatonell'identificare col committente il soggetto da cui viene contattato.

Neconsegue che, qualora ricorra la condizione per cui si abbia un titolareresidente nella Unione europea che appalta il servizio di call center ad unresponsabile, anch'esso comunitario, che a sua volta subappalta ad un terzo(previo accordo con il titolare) stabilito al di fuori dell'Unione europea, iltitolare può scegliere tra le seguenti modalità operative:

1.sottoscrizione diretta delle clausole tra il titolare ed il soggetto terzo (chelo farà in qualità di importatore e non di sub-incaricato e per questo dovràessere designato responsabile: l'importatore infatti risponde direttamente altitolare di eventuali illiceità mentre se firmasse come sub-incaricato laresponsabilità rimarrebbe in capo all'appaltatore che ha il ruolo diresponsabile);

2.conferimento da parte del titolare di un mandato con rappresentanza, generale ospeciale, al responsabile per la sottoscrizione delle clausole con il terzo (iltitolare rimane esportatore ed il sub-incaricato è importatore in quantoimporta i dati dal responsabile) facendo menzione del mandato tra gli incarichie i compiti previsti dall'atto di designazione; in questo caso, devono esseresottoscritte clausole contrattuali tipo ad hoc per ogni specifica commessa, nonpotendo accettarsi accordi quadro o clausole contrattuali tipo sottoscritte trail responsabile ed il sub incaricato per regolare genericamente l'affidamentodel servizio (anche se questi hanno diversi rapporti contrattuali al di làdella specifica commessa);

3.sottoscrizione di contratti ad hoc tra il titolare ed il sub-incaricato chesiano però in grado di fornire le stesse garanzie previste dalle clausolecontrattuali tipo: solo in questo caso il contratto deve essere vagliatodall'Autorità che potrà o meno autorizzare il trattamento (come previsto anchedal Codice all'art. 44, comma 1, lett. a).

Letre soluzioni sopra descritte sono volte ad evitare che il titolare possaperdere il controllo sui dati nel corso delle diverse fasi del trattamento: siricorda a tal proposito che la designazione a responsabile può essereeffettuata solo dal titolare, non essendo lecito che un responsabile designi asua volta un altro responsabile.

Isubappalti devono comunque sempre essere autorizzati per iscritto dal titolaree gli esportatori devono tenere un elenco, aggiornato almeno una volta l'anno,dei subcontratti conclusi, da esibire al Garante se richiesto (così comedisposto dalle clausole 8 e 11 della decisione 2010/87/UE).

Incaso di trasferimenti infragruppo, questi possono essere realizzati utilizzandolo schema di BCR elaborato dal Gruppo "Articolo 29" dei Garantieuropei (cfr. i WP 74, WP 153, WP 154 e WP 155) integrato dal WP 195 del 6giugno 2012 contenente un nuovo modello di norme vincolanti d'impresa definito"BCR for processor".

3. Adempimenti ulteriori nel trattamento di datipersonali effettuato mediante call center

Fermorestando quanto già previsto dal Codice in merito ai compiti del titolare edalla designazione dei responsabili e degli incaricati, nello specifico caso ditrattamento effettuato da parte di call center, è opportuno ribadire che iltitolare deve, tra le altre cose, provvedere alla formazione degli operatori dicall center che tratteranno i dati in qualità di incaricati (anche per iltramite del soggetto designato responsabile), nonché effettuare verificheperiodiche presso il responsabile sull'osservanza delle istruzioni impartite.

Lemisure di sicurezza devono essere stabilite dal titolare in conformità agliartt. 31 e seguenti e all'allegato B del Codice; dal punto di vista tecnico, lasoluzione, già adottata da diverse società, di consentire la centralizzazionedegli accessi ai sistemi di CRM (Customer Relationship Management) del titolareda parte degli incaricati appare, ad oggi, in grado di prevenire trattamentidei dati non conformi alle finalità per cui sono stati raccolti purché iltitolare imposti regole e procedure in grado di limitare l'autonomia degliincaricati. Tale procedura, inoltre, consente di uniformare il trattamentosvolto dai singoli call center, indipendentemente dalla localizzazione.

Legaranzie che può offrire la centralizzazione dei trattamenti utilizzando ilsistema di CRM del titolare, sono infatti tanto più elevate quanto più ilsistema è impostato verso la minore interoperabilità possibile, consentendoagli incaricati di effettuare sui dati solo le operazioni in lettura escrittura che siano strettamente necessarie ai compiti che devono svolgere, inbase a quanto disposto dall'art. 3 del Codice. In tale contesto, devono essereoscurati i dati eccedenti o non pertinenti evitando che ci sia la possibilitàper gli incaricati di estrarre i dati, effettuarne copia o alterarli: inquest'ultimo caso, è da ritenersi valida la prassi di chiudere verso l'esternole postazioni degli operatori (con restrizioni all'accesso alla rete Internet,blocco degli invii di e-mail e disattivazione delle porte USB esterne).

Quantoprescritto dal presente provvedimento non modifica, ma integra, gli adempimentigià previsti dal Codice per i soggetti che effettuino trattamenti di datipersonali, in ambito pubblico o privato, per i quali siano già in esserespecifiche norme o prescrizioni in relazione alle finalità, alle modalità o aisoggetti coinvolti. Il trasferimento o l'affidamento all'estero del servizio dicall center dovrà rispettare quindi anche la disciplina prevista dagli artt. 42e seguenti del Codice; il conseguente trasferimento di dati personali potrà,pertanto, essere effettuato soltanto alle condizioni già sintetizzate alparagrafo 2 del presente provvedimento.
Devono, altresì, essere osservatitutti gli adempimenti indicati dal Garante in relazione agli specifici ambitidi attività di volta in volta interessati (ad es. per i trattamenti effettuatiper finalità di marketing mediante l'impiego del telefono con operatore, sirichiama il provvedimento del Garante del 19 gennaio 2011, pubblicato in G.U. del 31 gennaio 2011, n. 24; per itrattamenti effettuati da operatori bancari che rendano servizi alla clientelamediante l'impiego del telefono, si rimanda al punto 2.3 delle "Lineeguida per trattamenti dati relativi al rapporto banca-clientela" del 25ottobre 2007, in G.U. del 23 novembre 2007, n. 273).

4. Il trasferimento dei dati personali fuoridall'Unione europea per i trattamenti operati dai call center e prescrizioniderivanti dall'attuazione del decreto legge n. 83/2012

L'art.24-bis del decreto legge 22 giugno 2012, n. 83, convertito con modificazioni,dalla legge 7 agosto 2012, n. 134, ha introdotto dei nuovi adempimenti per leaziende con almeno venti dipendenti che intendano trasferire la propria attivitàal di fuori del territorio nazionale. In particolare, la richiamatadisposizione prevede che queste sono tenute a darne comunicazione al Ministerodel lavoro e delle politiche sociali e al Garante per la protezione dei datipersonali 120 giorni prima del trasferimento, stabilendo, altresì, che gliinteressati, nel rivolgersi a (o nell'essere contattati da) un call center,siano sempre informati del fatto che l'operatore possa essere collocato in unPaese estero. Nel caso in cui l'interessato che effettua la chiamata ad un callcenter venga messo in contatto con un operatore collocato all'estero, inoltre, èstato previsto che deve sempre essere fornita a questi la possibilità discegliere che il servizio sia reso tramite un operatore collocato nelterritorio nazionale.

IlMinistero del lavoro e delle politiche sociali ha fornito chiarimentiinterpretativi della norma citata (orientata in primo luogo ad evitare laflessione degli standard occupazionali) con la circolare n. 14 del 2 aprile2013. Con la circolare il Ministero suddetto ha precisato innanzitutto chedevono ritenersi interessate dalle misure prescritte dall'art. 24-bis ´ä solole aziende che svolgono in via assolutamente prevalente (core businessaziendale) un'attività di call center e che, pertanto, operano in regime diappalto, restando viceversa escluse quelle attività di call center che vannosemplicemente ad integrare lo svolgimento dell'impresa rappresentando, il piùdelle volte, un mero "sportello di front office"ª. Inoltre, a maggiorchiarimento della ratio della norma, la circolare specifica che perdelocalizzazione debba intendersi il trasferimento a personale operanteall'estero, prima della scadenza del contratto, di attività già avviate sulterritorio nazionale non ricorrendo, dunque, gli obblighi di comunicazione sela delocalizzazione avvenga senza generare esuberi.

L'Autorità,concordando con l'interpretazione fornita dal Ministero del lavoro e dellepolitiche sociali, ritiene innanzitutto che l'art. 24-bis del decreto legge 22giugno 2012, n. 83 debba essere interpretato come riguardante il solotrasferimento di dati personali verso Paesi che sono al di fuori della Unioneeuropea, ciò anche in conformità all'art. 42 del Codice e all'articolo 1, comma2 della stessa direttiva 95/46/CE; diversamente interpretando, infatti, ilmaggior onere connesso al rispetto delle prescrizioni del suddetto art. 24-bis –se applicato anche agli Stati membri dell'Unione europea – comporterebberestrizioni alla libertà di stabilimento ed alla libera prestazione dei servizie sarebbe, altresì, incompatibile con la disciplina europea in materia diprotezione dei dati personali.

D'altraparte, in ragione dell'ampiezza assunta dal fenomeno, ivi compresi gli aspettiderivanti dalla difficoltà di arginare efficacemente il fenomeno delle chiamateindesiderate, l'Autorità ha la necessità di acquisire elementi utili acomprendere la portata del trasferimento dei dati personali fuori dall'Unioneeuropea per i trattamenti operati dai call center, al fine di intervenire contempestività ed efficacia in caso di violazioni del Codice; si richiama, a talproposito, la citata delibera del Garante del 27 maggio 2010 che, in linea conquanto previsto dalle clausole 8 e 11 della decisione 2010/87/UE, dispone chevengano fornite al Garante, su richiesta, le informazioni relative aisubcontratti conclusi con soggetti residenti al di fuori dell'Unione europea.

Quantopremesso rende opportuno prescrivere, unitamente all'integrazionedell'informativa ex art. 13 da rendere al momento del contatto telefonicoall'interessato, l'obbligo di comunicazione al Garante per tutti i soggetti,pubblici e privati, che svolgono in qualità di titolare del trattamento,direttamente o in affidamento a terzi, un'attività di call center effettuata inPaesi situati al di fuori dell'Unione europea, indipendentemente dal numero didipendenti impiegati e dal fatto che esercitino tale attività in manieraprevalente.

TUTTO CIO' PREMESSO IL GARANTE

aisensi dell'art. 154, comma 1, lett. c) del Codice, prescrive a tutti isoggetti, pubblici e privati, che svolgono in qualità di titolare deltrattamento, direttamente o in affidamento a terzi, un'attività di call centereffettuata in Paesi situati al di fuori dell'Unione europea, indipendentementedal numero di dipendenti impiegati e dal fatto che esercitino tale attività inmaniera prevalente:

a) dispecificare preliminarmente agli interessati, che effettuino la chiamata ad uncall center o che siano destinatari della stessa, quale sia l'ubicazionedell'operatore, adottando, nel solo caso in cui la chiamata venga effettuatadal cittadino, apposite procedure per consentire agli stessi di scegliere cheil servizio sia reso tramite un operatore sito nel territorio nazionale;

b) dieffettuare, in caso di trasferimento (o di affidamento del trattamento) di datipersonali ad un call center sito al di fuori dell'Unione europea, un'appositacomunicazione al Garante prima del trasferimento o dell'affidamento, utilizzandoil modello* pubblicato sul sitoistituzionale www.garanteprivacy.it;

c) diinviare al Garante, entro 30 giorni dalla pubblicazione in Gazzetta ufficialedel presente provvedimento, la comunicazione descritta alla precedente letterab) anche nel caso in cui siano già operanti trattamenti di dati personaliaffidati a call center situati al di fuori dell'Unione europea.

Aisensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso. Si ricorda chel'opposizione non sospende l'esecuzione del provvedimento (art. 152, comma 5del Codice).

Sidispone la trasmissione di copia del presente provvedimento al Ministero dellagiustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nellaGazzetta Ufficiale della Repubblica italiana.

Roma, 10 ottobre 2013

Il presidente
Soro

Il relatore
Bianchi Clerici

Il segretario generale
Busia

* Il modello per effettuare lacomunicazione al Garante per la protezione dei dati personali in caso ditrasferimento (o di affidamento del trattamento) di dati personali ad un callcenter sito al di fuori dell'Unione europea sarà reso disponibile al momentodella pubblicazione del presente Provvedimento sulla Gazzetta Ufficiale