TRATTAMENTO DEI DATI PERSONALI EFFETTUATO MEDIANTE L’UTILIZZO DI CALL CENTER SITI IN PAESI FUORI DELL’UE

13/01/2014

di Graziano Garrisi

Garante della privacy - Provvedimento prescrittivo del 10 ottobre 2013 (doc. web n. 2724806)

Viste le segnalazioni e le richieste di chiarimento pervenute in materia di trattamento dei dati personali effettuato da call center ubicati all’estero, il Garante ha ritenuto necessario assicurare le opportune garanzie al trattamento dei dati effettuato da call center situati fuori dal territorio dell’Unione europea, utilizzati da titolari italiani per fornire servizi di assistenza ai clienti/utenti o per attività promozionale tramite chiamate con operatore (telemarketing).

[dropcaps style=”fancy”]N[/dropcaps]egli ultimi tempi abbiamo assistito alla proliferazione di trasferimenti di dati personali verso call center situati all’estero (anche in territori extra UE) da parte di molte aziende italiane che operano nel campo del marketing, soprattutto al fine di contenere i costi e mantenere dei livelli di servizio adeguati in favore dei propri clienti (ciò anche grazie all’utilizzo di apparecchiature e tecnologie sempre più sofisticate).
Questo trend, tuttavia, non è passato inosservato all’Autorità Garante per la protezione dei personali che, consapevole dei rischi e anche alla luce delle criticità che scaturiscono da tale attività di trattamento ha emanato di recente un provvedimento prescrittivo di carattere generale, che impone specifici obblighi in capo ai titolari che effettuano un trattamento di dati personali mediante l’utilizzo di call center situati in Paesi al di fuori dell’Unione europea (Registro dei provvedimenti n. 444 del 10 ottobre 2013). Tale provvedimento è apprezzabile dal punto di vista delle misure organizzative e soprattutto delle indicazioni che l’Autorità fornisce per regolamentare a livello contrattuale i rapporti tra i vari soggetti coinvolti (vengono introdotte le nuove definizioni di titolare/esportatore, responsabile/importatore e sub-incaricato/importatore), finalizzate a garantire un livello minimo di tutela e rendere legittimo il trasferimento di dati all’estero.

L’attuale Codice Privacy disciplina il corretto trasferimento, anche temporaneo, di dati personali all’estero agli artt. 42-45, mediante l’applicazione di stringenti misure e lo consente solo in determinati casi:

il trasferimento è consentito se autorizzato dal Garante qualora il livello di garanzia offerto dal Paese terzo sia stato ritenuto idoneo da apposite decisioni della Commissione europea;
qualora il titolare presti opportune garanzie in sede contrattuale mediante l’adozione di regole di condotta infragruppo (c.d. binding corporate rules o BCR);
mediante la sottoscrizione fra le parti delle clausole contrattuali tipo previste dalle relative decisioni della Commissione europea (art. 44 del Codice).

In relazione a questa ultima ipotesi, già la Commissione europea aveva tracciato la strada da seguire mediante l’adozione di alcune precauzioni quali l’utilizzo di clausole tipo che possono essere utilizzate in svariate occasioni:

il trasferimento dei dati da un titolare stabilito nel territorio europeo a un altro titolare stabilito in un Paese extra-UE (decisioni 2001/497/CE e 2004/915/CE contenenti un insieme di clausole tipo da utilizzare alternativamente);
il trasferimento dei dati da un titolare stabilito nel territorio europeo a un responsabile stabilito in un Paese extra-UE (decisione 2002/16/CE, abrogata a decorrere dal 15 maggio 2010 dalla decisione 2010/87/UE).

Esse, tra l’altro, hanno introdotto le nuove definizioni di “esportatore” (ovvero titolare che trasferisce i dati personali) e “importatore” (ovvero il responsabile o il titolare stabilito nel Paese terzo che riceve i dati). Con la decisione 2010/87/UE, pertanto, l’Autorità prende in esame la corretta regolamentazione dei ruoli e delle relative responsabilità nelle specifiche ipotesi del “subappalto” di determinati servizi (poiché – come è noto – non è possibile ricorrere a designazioni a responsabile del trattamento “a cascata”, stante l’esplicito divieto in base al quale un responsabile non può nominare un altro responsabile).

…continua su EDICOLeA

[fancy_heading style=”style2″ size=”small”]Altri articoli di Graziano Garrisi[/fancy_heading]

TRATTAMENTO DEI DATI PERSONALI DELLA CLIENTELA PER FINALITÀ DI PROFILAZIONE E MARKETING - di Graziano Garrisi ( n.III_MMXIII )
MODALITÀ PER L’INFORMATIVA E PER L’ACQUISIZIONE DEL CONSENSO ALL’USO DI COOKIE SUL WEB -
di Graziano Garrisi
Il Garante della privacy ha stabilito lo stop all’installazione dei cookie per finalità di profilazione e marketing da parte dei gestori dei siti senza aver prima informato gli utenti e aver ottenuto il loro consenso. Chi naviga online potrà quindi decidere in maniera libera e consapevole se far usare o no le informazioni raccolte sui siti visitati per ricevere pubblicità mirata.
LE AUTORITÀ EUROPEE DI PROTEZIONE DEI DATI PUBBLICANO IL LORO PARERE SULLE APPLICAZIONI MOBILI (APP) - di Graziano Garrisi ( n.II_MMXIII )
EVENT DATA RECORDER: VERIFICA PRELIMINARE PER INSTALLAZIONE A BORDO DEGLI AUTOVECICOLI - di Graziano Garrisi
DIRITTO ALL’OBLIO: PRIME PRONUNCE DEL GARANTE -
di Graziano Garrisi (n.I_MMXV)
Il Garante ha adottato i primi provvedimenti in merito alle segnalazioni presentate da cittadini dopo il mancato accoglimento da parte di Google delle loro richieste di deindicizzare pagine presenti sul web che riportavano dati personali ritenuti non più di interesse pubblico. In sette dei nove casi definiti il Garante non ha accolto la richiesta degli interessati.