IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del prof. Francesco Pizzetti,
presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del
dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;
Visto il codice in materia di protezione dei dati personali
(decreto legislativo 30 giugno 2003, n. 196), con particolare
riguardo agli articoli 2 e 13;
Viste le osservazioni formulate dal segretario generale ai sensi
dell’art. 15 del regolamento del Garante n. 1/2000;
Relatore il prof. Francesco Pizzetti;
Premesso
1. Misure di semplificazione e trattamento di dati nell’ambito di
servizi telefonici di assistenza e informazione al pubblico.
1.1. La disciplina di protezione dei dati personali prevede che il
trattamento dei dati deve assicurare un livello elevato di tutela dei
diritti e delle liberta’ fondamentali “nel rispetto dei principi di
semplificazione, armonizzazione ed efficacia” (art. 1, comma 2, del
Codice).
Specifiche disposizioni attuano tali principi semplificando il
contenuto e le modalita’ per informare gli interessati rispetto al
trattamento, in particolare per quanto riguarda i servizi telefonici
di assistenza e di informazione al pubblico (art. 13, commi 2 e 3,
del Codice).
Il Garante intende sviluppare ulteriormente tali disposizioni
attraverso il presente provvedimento che tiene conto del principio
secondo cui l’informativa, quando i dati sono raccolti presso gli
interessati, “puo’ non comprendere gli elementi gia’ noti alla
persona che fornisce i dati” (art. 13, comma 2).
1.2. Numerosi soggetti pubblici e privati utilizzano in modo
crescente servizi telefonici di assistenza e di informazione al
pubblico nello svolgimento della propria attivita’ istituzionale,
professionale, commerciale o di natura personale.
Alcune scelte organizzative valorizzano il mezzo telefonico quale
canale di contatto privilegiato con l’utenza, specie nell’ambito di
societa’ di grandi dimensioni e di enti pubblici, il che puo’
accrescere l’economicita’ e l’efficienza nei servizi resi (cfr. in
merito art. 3 dir. min. 21 dicembre 2001, Linee guida in materia di
digitalizzazione dell’amministrazione, nella Gazzetta Ufficiale
5 febbraio 2002, n. 30; dir. min. 4 gennaio 2005, Linee guida in
materia di digitalizzazione dell’amministrazione, nella Gazzetta
Ufficiale 12 febbraio 2005).
La gestione del flusso delle chiamate, attraverso appositi servizi
di assistenza telefonica, puo’ assumere in talune circostanze una
particolare complessita’, strutturandosi su un insieme integrato di
sistemi informativi e di risorse umane.
A seconda delle caratteristiche dei servizi e dei relativi
destinatari e’ possibile individuare una vasta gamma di funzioni. Tra
le piu’ ricorrenti, possono evidenziarsi quelle di informazione e/o
di assistenza alla clientela (c.d. “customer care”), con riferimento
all’instaurazione e all’esecuzione di rapporti contrattuali in vari
contesti (prenotazione di servizi, phone-banking, ecc.), quelle
svolte a vantaggio della collettivita’ da parte di amministrazioni
pubbliche (si pensi alle chiamate di pubblica utilita’, incluse le
chiamate ai numeri di emergenza) o soggetti privati anche per quanto
riguarda servizi a sovrapprezzo di tipo sociale-informativo, di
assistenza, di consulenza tecnico-professionale e di intrattenimento.
1.3. Il presente provvedimento riguarda solo le attivita’ che
comportano un trattamento di dati personali prestate in modalita’
inbound, ossia oggetto di una chiamata dell’interessato anche se
effettuate senza la mediazione di un operatore (attraverso canali di
comunicazione interamente automatizzati).
Non formano invece oggetto di esame i servizi c.d. outbound, di
solito ricorrenti nello svolgimento di attivita’ di tele-marketing,
nell’ambito delle quali vengono contattati destinatari di
comunicazioni commerciali anche attraverso call center: al riguardo,
vige infatti un apposito quadro normativo (cfr. art. 58 del Codice
del consumo di cui al decreto legislativo 6 settembre 2005, n. 206;
art. 130 del Codice in materia di protezione dei dati personali; in
merito, v. pure i Provv. del 30 maggio 2007, doc. web n. 1412626;
doc. web n. 1412610; doc. web n. 1412598; doc. web n. 1412557 e doc.
web n. 1412586).
1.4. Il Garante, tenendo anche conto delle indicazioni e delle
richieste di chiarimento formulate (con specifico riguardo ai
rapporti con i committenti) da un’associazione di categoria
rappresentativa delle societa’ di call center operanti in
outsourcing, intende altresi’ precisare alcune modalita’ di
comportamento da osservare nella gestione dei servizi telefonici di
assistenza e informazione al pubblico (v. infra punti 2, 3, 4 e 5).
2. Tipologie di dati e modalita’ del loro trattamento.
Nello svolgimento delle attivita’ qui considerate possono essere
utilizzate legittimamente solo le informazioni personali pertinenti e
non eccedenti in relazione ai servizi richiesti, informazioni che
sono di regola comunicate direttamente dall’interessato.
Le tipologie di informazioni trattate sono piuttosto varie
comprendendo dati sia comuni (ad esempio, anagrafici o di natura
economica), sia sensibili (si pensi, esemplificativamente, alle
informazioni raccolte nell’ambito di servizi prestati da strutture
sanitarie). Alcune informazioni personali sono trattate mediante
sistemi automatizzati (ad esempio, con l’ausilio di risponditori
vocali automatici o grazie a sistemi informatici integrati idonei a
fornire informazioni sulla linea chiamante, attraverso il dispositivo
di individuazione della medesima).
La raccolta anche automatizzata di tali informazioni da parte
dell’operatore che gestisce il servizio di assistenza telefonica al
pubblico puo’ avvenire senza che gli interessati ne siano
specificamente consapevoli, come ad esempio nel caso di registrazione
automatica dei numeri chiamanti da terminali che lo consentono e che
permettono, quindi, di risalire all’identita’ dei relativi
utilizzatori.
In relazione a questo contesto il Garante, prima di provvedere in
merito all’informativa agli interessati, intende richiamare
l’attenzione degli operatori del settore su alcuni profili connessi a
tale problematica, utili per assicurare una piena conformita’ del
trattamento alle disposizioni vigenti in materia di protezione dei
dati personali dei trattamenti effettuati nell’ambito dei servizi
telefonici di assistenza e informazione al pubblico.
3. Titolare e responsabile del trattamento.
3.1. Il soggetto pubblico e privato “titolare del trattamento” puo’
svolgere le attivita’ volte a fornire servizi di assistenza e di
informazione al pubblico per via telefonica, tramite personale
operante sotto la sua diretta autorita’ in qualita’ di “incaricato
del trattamento” (art. 30 del Codice) o terzi cui e’ affidato il
servizio all’esterno sulla base di contratti di collaborazione (c.d.
outsourcing) che disciplinano le modalita’ per prestare questa
attivita’ strumentale.
Questa seconda soluzione e’ volta ad assecondare legittime esigenze
organizzative. Mentre in altre discipline settoriali possono essere
previste specifiche cautele (si pensi, esemplificativamente, a quelle
contenute nel Comunicato della Banca d’Italia, in Gazzetta Ufficiale
21 agosto 2002, n. 195, Esternalizzazione di attivita’ di sportello
e, sulla medesima materia, nella Comunicazione della Commissione
nazionale per la societa’ e la borsa n. Din/2073042 del 7 novembre
2002) la disciplina di protezione dei dati personali ammette e non
ostacola tale esternalizzazione. L’outsourcer va pero’ designato
quale “responsabile del trattamento” preposto ad attuare in concreto
le decisioni del “titolare del trattamento” sulle finalita’ e
modalita’ del trattamento, sugli strumenti utilizzati e sulla
sicurezza (articoli 4, 28 e 29 del Codice; v. pure Provv. 16 febbraio
2006, punto 6, doc. web n. 1242592).
3.2. Al fine di garantire una rigorosa osservanza dei principi di
protezione dei dati personali (e apprestare una tutela piu’ intensa a
favore degli interessati), il Codice richiede che chi operi in tale
veste debba essere particolarmente qualificato – dovendo essere
“individuato tra soggetti che per esperienza, capacita’ ed
affidabilita’ forniscano idonea garanzia del pieno rispetto delle
vigenti disposizioni in materia di trattamento, ivi compreso il
profilo relativo alla sicurezza” (art. 29, comma 2, del Codice) – e,
nell’ambito dei compiti che gli sono assegnati, debba conformare il
proprio operato alle istruzioni del “titolare del trattamento” (art.
29, commi 4 e 5, del Codice).
Il titolare del trattamento e’ chiamato a svolgere un’analisi anche
preventiva al trattamento delle implicazioni che le modalita’
operative prescelte possono comportare in ordine ai diritti degli
interessati, e a porre particolare cura nella valutazione delle
capacita’ professionali, nonche’ dell’adeguatezza organizzativa del
responsabile del trattamento, tenuto conto della natura dei dati
trattati. Questa valutazione d’insieme deve riguardare anche
l’adeguatezza delle soluzioni tecnico-organizzative e di quelle
concernenti la sicurezza dei dati e dei sistemi.
In questo quadro assume una particolare criticita’ la situazione
nella quale un medesimo outsourcer si trovi a gestire
contemporaneamente, specie se in un contesto logistico di
promiscuita’, una pluralita’ di servizi di assistenza telefonica al
pubblico per distinti committenti titolari del trattamento. Tale
concorrenza di attivita’ non deve tradursi, in concreto, in un
abbassamento o in una banalizzazione dei livelli di sicurezza, ne’,
tantomeno, in una sostanziale commistione tra i differenti insiemi di
dati da utilizzare per prestare distinti servizi per piu’ titolari.
Occorre poi assicurare le condizioni per uno svolgimento corretto e
trasparente delle relazioni con l’utenza, la quale deve poter
individuare in maniera univoca il titolare del trattamento con il
quale viene in contatto tramite il servizio di assistenza telefonica
al pubblico.
Acquista quindi rilievo l’opportunita’ di un’approfondita verifica
che le parti e, in particolare, il “titolare del trattamento”,
dovrebbero effettuare in sede di stipula e di attuazione del
contratto di fornitura del servizio.
Il titolare del trattamento deve esercitare in concreto reali
funzioni di controllo della corretta attuazione delle decisioni che
e’ chiamato ad assumere, anche per cio’ che riguarda le modalita’ di
consultazione ed eventuale riproduzione degli archivi del titolare
posti a disposizione dell’outsourcer e in relazione alla cessazione
del loro utilizzo all’atto dell’estinzione del rapporto contrattuale.
4. Finalita’, necessita’, pertinenza e non eccedenza dei dati
trattati.
4.1. Nel rendere il servizio di assistenza e di informazione al
pubblico non devono essere utilizzati dati personali di abbonati e di
utenti che non siano necessari per prestare il servizio, come puo’
avvenire in caso di servizi di natura meramente informativa. Efficaci
analisi e monitoraggi della funzionalita’ e dell’effettiva
prestazione del servizio possono essere a volte compiuti a volte
disponendo solo di dati statistici anonimi (art. 3 del Codice).
Il trattamento di dati personali che sia realmente necessario per
il servizio (anche quando si tratta di dati non direttamente
identificativi, ma agevolmente riconducibili a un soggetto
identificabile come nel caso degli identificativi delle linee
chiamanti) deve comunque avvenire nel rispetto dei principi di
pertinenza e non eccedenza (articoli 3 e 11 del Codice).
4.2. Occorre assicurare un quadro di correttezza nei riguardi
dell’utenza. In particolare, le informazioni raccolte devono essere
utilizzate solo per scopi determinati, espliciti e legittimi. I
soggetti privati devono di regola raccogliere il consenso informato
qualora intendano utilizzare i dati per finalita’ diverse e
compatibili, come nel caso del marketing o della creazione di profili
relativi all’utenza (articoli 23 e 24 del Codice), mentre i soggetti
pubblici devono operare pur sempre per dichiarate finalita’
istituzionali, nell’osservanza delle pertinenti disposizioni del
Codice (cfr. articoli 18 ss. del Codice).
Eventuali registrazioni legittime del contenuto delle
comunicazioni, effettuate con l’operatore o per il tramite di
dispositivi automatici, possono essere conservate solo per un periodo
di tempo necessario al corretto assolvimento delle operazioni
richieste dagli utenti o alle eventuali esigenze di fatturazione, nei
casi di servizi a pagamento, salva l’osservanza di specifici obblighi
di legge che ne legittimino l’ulteriore conservazione.
5. Informativa agli interessati e modalita’ semplificate (art. 13,
commi 2 e 3, del Codice).
5.1. I servizi di assistenza telefonica al pubblico sono prestati,
non di rado, senza trattare specificamente dati di carattere
personale.
In secondo luogo, nei casi in cui, sulla base del principio di
necessita’, occorre utilizzare alcune informazioni di carattere
personale, e’ di regola possibile fornire alla clientela un’idonea
informativa una tantum sulle finalita’ e sulle caratteristiche
essenziali del trattamento, gia’ in occasione dell’instaurazione del
rapporto contrattuale che spesso precede i contatti telefonici con il
servizio (si pensi, ad esempio, ai servizi di assistenza tecnica
post-vendita).
In tutti questi casi, non e’ quindi necessario fornire
un’informativa in occasione del contatto telefonico con il servizio.
5.2. Tuttavia, puo’ verificarsi il caso in cui il servizio non e’
preceduto da un contratto o da contatti in occasione dei quali vi sia
stata gia’ la possibilita’ di informare adeguatamente l’interessato.
Anche per questi casi, non e’ pero’ necessario informare
l’interessato rispetto agli elementi che gli siano gia’ noti in base
alle circostanze del caso.
A questo riguardo, se si pone attenzione alle specifiche
caratteristiche dei servizi di assistenza e di informazione al
pubblico, si puo’ infatti constatare agevolmente che diversi elementi
che dovrebbero far parte dell’informativa (art. 13 del Codice) sono
gia’ chiaramente evidenti, in particolare per quanto riguarda:
a) gli estremi identificativi del titolare del trattamento (art.
13, comma 1, lettera f));
b) le varie circostanze che emergono comunque, sotto altro
profilo, nel corso della conversazione telefonica (ad esempio, le
conseguenze di un eventuale rifiuto di rispondere e la natura
obbligatoria o facoltativa del conferimento: art. 13, comma 1,
lettere b) e c));
c) la finalita’ del servizio e l’ambito di utilizzazione dei dati
(art. 13, comma 1, lettere a) e d)), in particolare quando non si
perseguono altri scopi quali quelli di marketing o di profilazione
per i quali dovrebbe essere peraltro acquisito il consenso.
5.3. Per ogni altro caso in cui risulti comunque opportuno o
necessario indicare alcuni elementi dell’informativa in occasione di
un contatto telefonico, deve tenersi conto della peculiarita’ di
questo mezzo di comunicazione e della natura dei servizi resi i quali
devono poter essere svolti con celerita’ e senza costi aggiuntivi.
Il principio di semplificazione richiamato nell’art. 2 del Codice
esige che ogni eventuale altro elemento da indicare all’interessato e
che non gli sia stato eventualmente gia’ spiegato gli venga comunque
rappresentato con formule sintetiche, chiare e di immediata
comprensione, anche mediante brevi messaggi preregistrati nel corso
di eventuali tempi di attesa del servizio.
Come premesso, il Garante intende sviluppare ulteriormente tali
modalita’ semplificate autorizzando coloro che prestano i servizi in
esame a indicare la modalita’ attraverso la quale l’interessato
potra’ consultare o ascoltare a richiesta un’informativa piu’
specifica, ad esempio mediante un sito web o tramite operatore o
messaggio registrato ascoltabile digitando una cifra sulla tastiera
del telefono (art. 13, comma 3, del Codice).
I fornitori del servizio titolari del trattamento sono gia’
autorizzati ad avvalersi di tutte le predette opportunita’ senza
rivolgere al Garante alcuna richiesta, da formulare eventualmente
solo per specifiche situazioni ritenute meritevoli di apposito esame.
5.4. Va infine disposto che i servizi abilitati in base alla legge
a ricevere chiamate d’emergenza (d.m. Min. comunicazioni 27 aprile
2006 sul servizio “112” quale numero unico europeo d’emergenza; v.
anche Parere del Garante 6 aprile 2006, doc. web n. 1269346), attesa
la loro peculiare natura, possano rendere l’informativa agli
interessati (se dovuta in base al Codice: cfr. art. 53) inserendola
nei siti web di riferimento.
Tutto cio’ premesso il Garante:
1. Individua le seguenti linee guida per i titolari del trattamento
che prestano servizi di assistenza e di informazione al pubblico, in
particolare ove si avvalgano di soggetti esterni designati
“responsabili del trattamento” (punti 2, 3, 4 e 5):
a) la raccolta delle informazioni personali deve limitarsi a
quelle pertinenti e non eccedenti in relazione ai servizi richiesti;
b) deve essere effettuata una previa analisi delle implicazioni
che il trattamento di dati personali mediante servizi di assistenza
telefonica al pubblico potranno comportare, anche tenuto conto della
natura dei dati trattati;
c) il contratto di fornitura del servizio di assistenza
telefonica al pubblico deve contenere concrete modalita’ operative
idonee ad assicurare condizioni di trasparente e corretto svolgimento
delle relazioni con l’utenza, indicando altresi’ le misure di
sicurezza idonee che dovranno essere adottate, anche al fine di
prevenire commistioni tra distinti archivi gestiti dal medesimo
responsabile del trattamento;
d) deve essere posta particolare cura, ai sensi dell’art. 29 del
Codice, nella valutazione delle capacita’ professionali e
dell’adeguatezza organizzativa della struttura deputata a svolgere la
funzione di servizi di assistenza telefonica al pubblico;
e) le informazioni raccolte devono essere utilizzate solo per
scopi determinati, espliciti e legittimi;
f) eventuali registrazioni legittime del contenuto delle
comunicazioni possono essere conservate solo per un periodo di tempo
necessario al corretto assolvimento delle operazioni richieste dagli
utenti o alle eventuali esigenze di fatturazione;
g) non e’ necessario fornire l’informativa quando non sono
trattati dati personali o in relazione ai diversi elementi gia’ noti
all’interessato; nei soli casi in cui e’ invece necessario
rappresentare alcuni elementi, vanno comunque utilizzate formule
sintetiche, chiare e di immediata comprensione.
2. Autorizza i titolari del trattamento che prestano servizi di
assistenza e di informazione al pubblico anche con la collaborazione
di terzi designati responsabili del trattamento, ai sensi dell’art.
13, comma 3, del Codice, a rappresentare in modo semplificato ad
abbonati e utenti interessati gli eventuali elementi dell’informativa
che risulti necessario fornire, indicando la modalita’ attraverso la
quale l’interessato potra’ consultare o ascoltare a richiesta
un’informativa piu’ specifica, ad esempio mediante un sito web o
tramite operatore o messaggio ascoltabile digitando una cifra sulla
tastiera del telefono (punto 5.3.).
3. Autorizza i servizi abilitati in base alla legge a ricevere
chiamate d’emergenza, ai sensi dell’art. 13, comma 3, del Codice, a
rendere l’informativa semplificata inserendola in un sito Internet
(punto 5.4.).
4. Dispone che copia del presente provvedimento sia trasmessa al
Ministero della giustizia – Ufficio pubblicazione leggi e decreti,
per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica
italiana ai sensi dell’art. 143, comma 2, del Codice.
Roma, 15 novembre 2007
Il presidente
Pizzetti
Il relatore
Pizzetti
Il segretario generale
Buttarelli
