Biancamaria Consales
Pubblicato sulla Gazzetta Ufficiale n. 266 del 13 novembre 2013, il provvedimento prescrittivo n. 444 del 10 ottobre 2013, avente ad oggetto il trattamento dei dati personali effettuato mediante l’utilizzo di call center siti in Paesi al di fuori dell’Unione europea.
La disposizione si è resa indispensabile come risposta cautelativa alla sempre maggiore diffusione dell’attività svolta dai call center, finalizzata sia all’assistenza clienti e/o utenti di pubblici servizi sia all’acquisizione di nuovi clienti.
Tuttavia, nell’ottica di contenimento dei costi, la tendenza di trasferire molte commesse verso call center con sede fuori dal territorio nazionale, ed in particolare in Paesi non appartenenti all’Unione europea, ha messo in luce alcune criticità circa le modalità di trattamento dei dati da parte di tutti i soggetti a vario titolo coinvolti, con specifico riferimento a quelli svolti al di fuori dei confini europei dove non sono assicurate le adeguate garanzie per i diritti degli interessati previste dalla normativa europea.
Nel provvedimento si menziona la direttiva 95/46/CE che, agli artt. 25 e 26, già fornisce, una serie di prescrizioni volte a garantire, pur nel rispetto della necessaria libertà di circolazione dei dati personali all’interno dell’Unione, la salvaguardia dei diritti fondamentali delle persone. Il recepimento della direttiva nei singoli ordinamenti, dunque, fa sì che tutti gli Stati membri possano assicurare un equivalente livello di tutela del trattamento.
Conseguentemente la disciplina nazionale condiziona il trasferimento dei dati, anche temporaneo, verso un Paese terzo che non garantisca un livello di protezione adeguato all’adozione di stringenti misure. È, infatti, previsto che il trasferimento sia consentito solo se autorizzato dal Garante qualora il livello di garanzia offerto dal Paese terzo sia stato ritenuto idoneo da apposite decisioni della Commissione europea oppure qualora il titolare presti opportune garanzie in sede contrattuale mediante l’adozione di regole di condotta infragruppo o mediante la sottoscrizione fra le parti delle clausole contrattuali tipo previste dalle relative decisioni della Commissione europea.
Con il provvedimento in oggetto, dunque, il Garante prescrive a tutti i soggetti, pubblici e privati, che svolgono, in qualità di titolare del trattamento, direttamente o in affidamento a terzi, un’attività di call center effettuata in Paesi situati al di fuori dell’Unione europea, indipendentemente dal numero di dipendenti impiegati e dal fatto che esercitino tale attività in maniera prevalente:
a) di specificare preliminarmente agli interessati, che effettuino la chiamata ad un call center o che siano destinatari della stessa, quale sia l’ubicazione dell’operatore, adottando, nel solo caso in cui la chiamata venga effettuata dal cittadino, apposite procedure per consentire agli stessi di scegliere che il servizio sia reso tramite un operatore sito nel territorio nazionale;
b) di effettuare, in caso di trasferimento (o di affidamento del trattamento) di dati personali ad un call center sito al di fuori dell’Unione europea, un’apposita comunicazione al Garante prima del trasferimento o dell’affidamento, utilizzando il modello pubblicato sul sito istituzionale www.garanteprivacy.it;
c) di inviare al Garante la suddetta comunicazione anche nel caso in cui siano già operanti trattamenti di dati personali affidati a call center situati al di fuori dell’Unione europea.
Il provvedimento prevede, altresì, degli adempimenti ulteriori nel trattamento di dati personali effettuato mediante call center. In tale specifico caso il titolare deve, tra l’altro, provvedere alla formazione degli operatori di call center che tratteranno i dati in qualità di incaricati, ed effettuare verifiche periodiche presso il responsabile sull’osservanza delle istruzioni impartite.
Va precisato che tutto quanto prescritto nel provvedimento in oggetto non modifica, ma integra, gli adempimenti già previsti dal Codice per la protezione dei dati personali per i soggetti che effettuino trattamenti di dati personali, in ambito pubblico o privato, per i quali siano già in essere specifiche norme o prescrizioni in relazione alle finalità, alle modalità o ai soggetti coinvolti. Il trasferimento o l’affidamento all’estero del servizio di call center dovrà rispettare, quindi, anche la disciplina prevista dagli artt. 42 e seguenti del Codice.
Infine, il provvedimento si sofferma sui nuovi adempimenti introdotti dall’art. 24-bis del D.L. 83/2012, convertito con modificazioni, dalla L. 134/2012 per le aziende con almeno venti dipendenti che intendano trasferire la propria attività al di fuori del territorio nazionale.
In particolare, la richiamata disposizione prevede che queste sono tenute a darne comunicazione al Ministero del lavoro e delle politiche sociali e al Garante per la protezione dei dati personali 120 giorni prima del trasferimento, stabilendo, altresì, che gli interessati, nel rivolgersi a un call center, siano sempre informati del fatto che l’operatore possa essere collocato in un Paese estero. Nel caso in cui l’interessato che effettua la chiamata ad un call center venga messo in contatto con un operatore collocato all’estero, inoltre, è stato previsto che deve sempre essere fornita a questi la possibilità di scegliere che il servizio sia reso tramite un operatore collocato nel territorio nazionale.
Scrivi un commento
Accedi per poter inserire un commento