Call center in Paesi extra europei: il Garante privacy detta le regole per la tutela dei dati personali

Pubblicato sulla Gazzetta Ufficiale n. 266 del 13 novembre 2013, il provvedimento prescrittivo n. 444 del 10 ottobre 2013, avente ad oggetto il trattamento dei dati personali effettuato mediante l’utilizzo di call center siti in Paesi al di fuori dell’Unione europea. La disposizione si è resa indispensabile come risposta cautelativa alla sempre maggiore diffusione dell’attività svolta dai call center, finalizzata sia all’assistenza clienti e/o utenti di pubblici servizi sia all’acquisizione di nuovi clienti. Tuttavia, nell’ottica di contenimento dei costi, la tendenza di trasferire molte commesse verso call center con sede fuori dal territorio nazionale, ed in particolare in Paesi non appartenenti all’Unione europea, ha messo in luce alcune criticità circa le modalità di trattamento dei dati da parte di tutti i soggetti a vario titolo coinvolti, con specifico riferimento a quelli svolti al di fuori dei confini europei dove non sono assicurate le adeguate garanzie per i diritti degli interessati previste dalla normativa europea.
Nel provvedimento si menziona la direttiva 95/46/CE che, agli artt. 25 e 26, già fornisce, una serie di prescrizioni volte a garantire, pur nel rispetto della necessaria libertà di circolazione dei dati personali all’interno dell’Unione, la salvaguardia dei diritti fondamentali delle persone. Il recepimento della direttiva nei singoli ordinamenti, dunque, fa sì che tutti gli Stati membri possano assicurare un equivalente livello di tutela del trattamento.
Conseguentemente la disciplina nazionale condiziona il trasferimento dei dati, anche temporaneo, verso un Paese terzo che non garantisca un livello di protezione adeguato all’adozione di stringenti misure. È, infatti, previsto che il trasferimento sia consentito solo se autorizzato dal Garante qualora il livello di garanzia offerto dal Paese terzo sia stato ritenuto idoneo da apposite decisioni della Commissione europea oppure qualora il titolare presti opportune garanzie in sede contrattuale mediante l’adozione di regole di condotta infragruppo o mediante la sottoscrizione fra le parti delle clausole contrattuali tipo previste dalle relative decisioni della Commissione europea.
Con il provvedimento in oggetto, dunque, il Garante prescrive a tutti i soggetti, pubblici e privati, che svolgono, in qualità di titolare del trattamento, direttamente o in affidamento a terzi, un’attività di call center effettuata in Paesi situati al di fuori dell’Unione europea, indipendentemente dal numero di dipendenti impiegati e dal fatto che esercitino tale attività in maniera prevalente:

a) di specificare preliminarmente agli interessati, che effettuino la chiamata ad un call center o che siano destinatari della stessa, quale sia l’ubicazione dell’operatore, adottando, nel solo caso in cui la chiamata venga effettuata dal cittadino, apposite procedure per consentire agli stessi di scegliere che il servizio sia reso tramite un operatore sito nel territorio nazionale;

b) di effettuare, in caso di trasferimento (o di affidamento del trattamento) di dati personali ad un call center sito al di fuori dell’Unione europea, un’apposita comunicazione al Garante prima del trasferimento o dell’affidamento, utilizzando il modello pubblicato sul sito istituzionale www.garanteprivacy.it;

c) di inviare al Garante la suddetta comunicazione anche nel caso in cui siano già operanti trattamenti di dati personali affidati a call center situati al di fuori dell’Unione europea.

Il provvedimento prevede, altresì, degli adempimenti ulteriori nel trattamento di dati personali effettuato mediante call center. In tale specifico caso il titolare deve, tra l’altro, provvedere alla formazione degli operatori di call center che tratteranno i dati in qualità di incaricati, ed effettuare verifiche periodiche presso il responsabile sull’osservanza delle istruzioni impartite.