Graziano GarrisiIV_MMXIIIPrivacy

TRATTAMENTO DEI DATI PERSONALI EFFETTUATO MEDIANTE L’UTILIZZO DI CALL CENTER SITI IN PAESI FUORI DELL’UE

di Graziano Garrisi

Garante della privacy - Provvedimento prescrittivo del 10 ottobre 2013 (doc. web n. 2724806)

Viste le segnalazioni e le richieste di chiarimento pervenute in materia di trattamento dei dati personali effettuato da call center ubicati all’estero, il Garante ha ritenuto necessario assicurare le opportune garanzie al trattamento dei dati effettuato da call center situati fuori dal territorio dell’Unione europea, utilizzati da titolari italiani per fornire servizi di assistenza ai clienti/utenti o per attività promozionale tramite chiamate con operatore (telemarketing).

[dropcaps style=”fancy”]N[/dropcaps]egli ultimi tempi abbiamo assistito alla proliferazione di trasferimenti di dati personali verso call center situati all’estero (anche in territori extra UE) da parte di molte aziende italiane che operano nel campo del marketing, soprattutto al fine di contenere i costi e mantenere dei livelli di servizio adeguati in favore dei propri clienti (ciò anche grazie all’utilizzo di apparecchiature e tecnologie sempre più sofisticate).
Questo trend, tuttavia, non è passato inosservato all’Autorità Garante per la protezione dei personali che, consapevole dei rischi e anche alla luce delle criticità che scaturiscono da tale attività di trattamento ha emanato di recente un provvedimento prescrittivo di carattere generale, che impone specifici obblighi in capo ai titolari che effettuano un trattamento di dati personali mediante l’utilizzo di call center situati in Paesi al di fuori dell’Unione europea (Registro dei provvedimenti n. 444 del 10 ottobre 2013). Tale provvedimento è apprezzabile dal punto di vista delle misure organizzative e soprattutto delle indicazioni che l’Autorità fornisce per regolamentare a livello contrattuale i rapporti tra i vari soggetti coinvolti (vengono introdotte le nuove definizioni di titolare/esportatore, responsabile/importatore e sub-incaricato/importatore), finalizzate a garantire un livello minimo di tutela e rendere legittimo il trasferimento di dati all’estero.

L’attuale Codice Privacy disciplina il corretto trasferimento, anche temporaneo, di dati personali all’estero agli artt. 42-45, mediante l’applicazione di stringenti misure e lo consente solo in determinati casi:

  • il trasferimento è consentito se autorizzato dal Garante qualora il livello di garanzia offerto dal Paese terzo sia stato ritenuto idoneo da apposite decisioni della Commissione europea;
  • qualora il titolare presti opportune garanzie in sede contrattuale mediante l’adozione di regole di condotta infragruppo (c.d. binding corporate rules o BCR);
  • mediante la sottoscrizione fra le parti delle clausole contrattuali tipo previste dalle relative decisioni della Commissione europea (art. 44 del Codice).

In relazione a questa ultima ipotesi, già la Commissione europea aveva tracciato la strada da seguire mediante l’adozione di alcune precauzioni quali l’utilizzo di clausole tipo che possono essere utilizzate in svariate occasioni:

  • il trasferimento dei dati da un titolare stabilito nel territorio europeo a un altro titolare stabilito in un Paese extra-UE (decisioni 2001/497/CE e 2004/915/CE contenenti un insieme di clausole tipo da utilizzare alternativamente);
  • il trasferimento dei dati da un titolare stabilito nel territorio europeo a un responsabile stabilito in un Paese extra-UE (decisione 2002/16/CE, abrogata a decorrere dal 15 maggio 2010 dalla decisione 2010/87/UE).

Esse, tra l’altro, hanno introdotto le nuove definizioni di “esportatore” (ovvero titolare che trasferisce i dati personali) e “importatore” (ovvero il responsabile o il titolare stabilito nel Paese terzo che riceve i dati). Con la decisione 2010/87/UE, pertanto, l’Autorità prende in esame la corretta regolamentazione dei ruoli e delle relative responsabilità nelle specifiche ipotesi del “subappalto” di determinati servizi (poiché – come è noto – non è possibile ricorrere a designazioni a responsabile del trattamento “a cascata”, stante l’esplicito divieto in base al quale un responsabile non può nominare un altro responsabile).

…continua su EDICOLeA

[fancy_heading style=”style2″ size=”small”]Altri articoli di Graziano Garrisi[/fancy_heading]

Lawful Interception per gli Operatori di Tlc
Mostra di più

Articoli Correlati

Pulsante per tornare all'inizio