Gazzetta n. 285 del 7 dicembre 2007 (vai al sommario) GARANTE PER LA PROTEZIONE DEI DATI PERSONALI PROVVEDIMENTO 15 novembre 2007 Misure di semplificazione e trattamento di dati nell'ambito di servizi telefonici di assistenza e informazione al pubblico. IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale; Visto il codice in materia di protezione dei dati personali (decreto legislativo 30 giugno 2003, n. 196), con particolare riguardo agli articoli 2 e 13; Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore il prof. Francesco Pizzetti; Premesso 1. Misure di semplificazione e trattamento di dati nell'ambito di servizi telefonici di assistenza e informazione al pubblico. 1.1. La disciplina di protezione dei dati personali prevede che il trattamento dei dati deve assicurare un livello elevato di tutela dei diritti e delle liberta' fondamentali «nel rispetto dei principi di semplificazione, armonizzazione ed efficacia» (art. 1, comma 2, del Codice). Specifiche disposizioni attuano tali principi semplificando il contenuto e le modalita' per informare gli interessati rispetto al trattamento, in particolare per quanto riguarda i servizi telefonici di assistenza e di informazione al pubblico (art. 13, commi 2 e 3, del Codice). Il Garante intende sviluppare ulteriormente tali disposizioni attraverso il presente provvedimento che tiene conto del principio secondo cui l'informativa, quando i dati sono raccolti presso gli interessati, «puo' non comprendere gli elementi gia' noti alla persona che fornisce i dati» (art. 13, comma 2). 1.2. Numerosi soggetti pubblici e privati utilizzano in modo crescente servizi telefonici di assistenza e di informazione al pubblico nello svolgimento della propria attivita' istituzionale, professionale, commerciale o di natura personale. Alcune scelte organizzative valorizzano il mezzo telefonico quale canale di contatto privilegiato con l'utenza, specie nell'ambito di societa' di grandi dimensioni e di enti pubblici, il che puo' accrescere l'economicita' e l'efficienza nei servizi resi (cfr. in merito art. 3 dir. min. 21 dicembre 2001, Linee guida in materia di digitalizzazione dell'amministrazione, nella Gazzetta Ufficiale 5 febbraio 2002, n. 30; dir. min. 4 gennaio 2005, Linee guida in materia di digitalizzazione dell'amministrazione, nella Gazzetta Ufficiale 12 febbraio 2005). La gestione del flusso delle chiamate, attraverso appositi servizi di assistenza telefonica, puo' assumere in talune circostanze una particolare complessita', strutturandosi su un insieme integrato di sistemi informativi e di risorse umane. A seconda delle caratteristiche dei servizi e dei relativi destinatari e' possibile individuare una vasta gamma di funzioni. Tra le piu' ricorrenti, possono evidenziarsi quelle di informazione e/o di assistenza alla clientela (c.d. «customer care»), con riferimento all'instaurazione e all'esecuzione di rapporti contrattuali in vari contesti (prenotazione di servizi, phone-banking, ecc.), quelle svolte a vantaggio della collettivita' da parte di amministrazioni pubbliche (si pensi alle chiamate di pubblica utilita', incluse le chiamate ai numeri di emergenza) o soggetti privati anche per quanto riguarda servizi a sovrapprezzo di tipo sociale-informativo, di assistenza, di consulenza tecnico-professionale e di intrattenimento. 1.3. Il presente provvedimento riguarda solo le attivita' che comportano un trattamento di dati personali prestate in modalita' inbound, ossia oggetto di una chiamata dell'interessato anche se effettuate senza la mediazione di un operatore (attraverso canali di comunicazione interamente automatizzati). Non formano invece oggetto di esame i servizi c.d. outbound, di solito ricorrenti nello svolgimento di attivita' di tele-marketing, nell'ambito delle quali vengono contattati destinatari di comunicazioni commerciali anche attraverso call center: al riguardo, vige infatti un apposito quadro normativo (cfr. art. 58 del Codice del consumo di cui al decreto legislativo 6 settembre 2005, n. 206; art. 130 del Codice in materia di protezione dei dati personali; in merito, v. pure i Provv. del 30 maggio 2007, doc. web n. 1412626; doc. web n. 1412610; doc. web n. 1412598; doc. web n. 1412557 e doc. web n. 1412586). 1.4. Il Garante, tenendo anche conto delle indicazioni e delle richieste di chiarimento formulate (con specifico riguardo ai rapporti con i committenti) da un'associazione di categoria rappresentativa delle societa' di call center operanti in outsourcing, intende altresi' precisare alcune modalita' di comportamento da osservare nella gestione dei servizi telefonici di assistenza e informazione al pubblico (v. infra punti 2, 3, 4 e 5). 2. Tipologie di dati e modalita' del loro trattamento. Nello svolgimento delle attivita' qui considerate possono essere utilizzate legittimamente solo le informazioni personali pertinenti e non eccedenti in relazione ai servizi richiesti, informazioni che sono di regola comunicate direttamente dall'interessato. Le tipologie di informazioni trattate sono piuttosto varie comprendendo dati sia comuni (ad esempio, anagrafici o di natura economica), sia sensibili (si pensi, esemplificativamente, alle informazioni raccolte nell'ambito di servizi prestati da strutture sanitarie). Alcune informazioni personali sono trattate mediante sistemi automatizzati (ad esempio, con l'ausilio di risponditori vocali automatici o grazie a sistemi informatici integrati idonei a fornire informazioni sulla linea chiamante, attraverso il dispositivo di individuazione della medesima). La raccolta anche automatizzata di tali informazioni da parte dell'operatore che gestisce il servizio di assistenza telefonica al pubblico puo' avvenire senza che gli interessati ne siano specificamente consapevoli, come ad esempio nel caso di registrazione automatica dei numeri chiamanti da terminali che lo consentono e che permettono, quindi, di risalire all'identita' dei relativi utilizzatori. In relazione a questo contesto il Garante, prima di provvedere in merito all'informativa agli interessati, intende richiamare l'attenzione degli operatori del settore su alcuni profili connessi a tale problematica, utili per assicurare una piena conformita' del trattamento alle disposizioni vigenti in materia di protezione dei dati personali dei trattamenti effettuati nell'ambito dei servizi telefonici di assistenza e informazione al pubblico. 3. Titolare e responsabile del trattamento. 3.1. Il soggetto pubblico e privato «titolare del trattamento» puo' svolgere le attivita' volte a fornire servizi di assistenza e di informazione al pubblico per via telefonica, tramite personale operante sotto la sua diretta autorita' in qualita' di «incaricato del trattamento» (art. 30 del Codice) o terzi cui e' affidato il servizio all'esterno sulla base di contratti di collaborazione (c.d. outsourcing) che disciplinano le modalita' per prestare questa attivita' strumentale. Questa seconda soluzione e' volta ad assecondare legittime esigenze organizzative. Mentre in altre discipline settoriali possono essere previste specifiche cautele (si pensi, esemplificativamente, a quelle contenute nel Comunicato della Banca d'Italia, in Gazzetta Ufficiale 21 agosto 2002, n. 195, Esternalizzazione di attivita' di sportello e, sulla medesima materia, nella Comunicazione della Commissione nazionale per la societa' e la borsa n. Din/2073042 del 7 novembre 2002) la disciplina di protezione dei dati personali ammette e non ostacola tale esternalizzazione. L'outsourcer va pero' designato quale «responsabile del trattamento» preposto ad attuare in concreto le decisioni del «titolare del trattamento» sulle finalita' e modalita' del trattamento, sugli strumenti utilizzati e sulla sicurezza (articoli 4, 28 e 29 del Codice; v. pure Provv. 16 febbraio 2006, punto 6, doc. web n. 1242592). 3.2. Al fine di garantire una rigorosa osservanza dei principi di protezione dei dati personali (e apprestare una tutela piu' intensa a favore degli interessati), il Codice richiede che chi operi in tale veste debba essere particolarmente qualificato - dovendo essere «individuato tra soggetti che per esperienza, capacita' ed affidabilita' forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza» (art. 29, comma 2, del Codice) - e, nell'ambito dei compiti che gli sono assegnati, debba conformare il proprio operato alle istruzioni del «titolare del trattamento» (art. 29, commi 4 e 5, del Codice). Il titolare del trattamento e' chiamato a svolgere un'analisi anche preventiva al trattamento delle implicazioni che le modalita' operative prescelte possono comportare in ordine ai diritti degli interessati, e a porre particolare cura nella valutazione delle capacita' professionali, nonche' dell'adeguatezza organizzativa del responsabile del trattamento, tenuto conto della natura dei dati trattati. Questa valutazione d'insieme deve riguardare anche l'adeguatezza delle soluzioni tecnico-organizzative e di quelle concernenti la sicurezza dei dati e dei sistemi. In questo quadro assume una particolare criticita' la situazione nella quale un medesimo outsourcer si trovi a gestire contemporaneamente, specie se in un contesto logistico di promiscuita', una pluralita' di servizi di assistenza telefonica al pubblico per distinti committenti titolari del trattamento. Tale concorrenza di attivita' non deve tradursi, in concreto, in un abbassamento o in una banalizzazione dei livelli di sicurezza, ne', tantomeno, in una sostanziale commistione tra i differenti insiemi di dati da utilizzare per prestare distinti servizi per piu' titolari. Occorre poi assicurare le condizioni per uno svolgimento corretto e trasparente delle relazioni con l'utenza, la quale deve poter individuare in maniera univoca il titolare del trattamento con il quale viene in contatto tramite il servizio di assistenza telefonica al pubblico. Acquista quindi rilievo l'opportunita' di un'approfondita verifica che le parti e, in particolare, il «titolare del trattamento», dovrebbero effettuare in sede di stipula e di attuazione del contratto di fornitura del servizio. Il titolare del trattamento deve esercitare in concreto reali funzioni di controllo della corretta attuazione delle decisioni che e' chiamato ad assumere, anche per cio' che riguarda le modalita' di consultazione ed eventuale riproduzione degli archivi del titolare posti a disposizione dell'outsourcer e in relazione alla cessazione del loro utilizzo all'atto dell'estinzione del rapporto contrattuale. 4. Finalita', necessita', pertinenza e non eccedenza dei dati trattati. 4.1. Nel rendere il servizio di assistenza e di informazione al pubblico non devono essere utilizzati dati personali di abbonati e di utenti che non siano necessari per prestare il servizio, come puo' avvenire in caso di servizi di natura meramente informativa. Efficaci analisi e monitoraggi della funzionalita' e dell'effettiva prestazione del servizio possono essere a volte compiuti a volte disponendo solo di dati statistici anonimi (art. 3 del Codice). Il trattamento di dati personali che sia realmente necessario per il servizio (anche quando si tratta di dati non direttamente identificativi, ma agevolmente riconducibili a un soggetto identificabile come nel caso degli identificativi delle linee chiamanti) deve comunque avvenire nel rispetto dei principi di pertinenza e non eccedenza (articoli 3 e 11 del Codice). 4.2. Occorre assicurare un quadro di correttezza nei riguardi dell'utenza. In particolare, le informazioni raccolte devono essere utilizzate solo per scopi determinati, espliciti e legittimi. I soggetti privati devono di regola raccogliere il consenso informato qualora intendano utilizzare i dati per finalita' diverse e compatibili, come nel caso del marketing o della creazione di profili relativi all'utenza (articoli 23 e 24 del Codice), mentre i soggetti pubblici devono operare pur sempre per dichiarate finalita' istituzionali, nell'osservanza delle pertinenti disposizioni del Codice (cfr. articoli 18 ss. del Codice). Eventuali registrazioni legittime del contenuto delle comunicazioni, effettuate con l'operatore o per il tramite di dispositivi automatici, possono essere conservate solo per un periodo di tempo necessario al corretto assolvimento delle operazioni richieste dagli utenti o alle eventuali esigenze di fatturazione, nei casi di servizi a pagamento, salva l'osservanza di specifici obblighi di legge che ne legittimino l'ulteriore conservazione. 5. Informativa agli interessati e modalita' semplificate (art. 13, commi 2 e 3, del Codice). 5.1. I servizi di assistenza telefonica al pubblico sono prestati, non di rado, senza trattare specificamente dati di carattere personale. In secondo luogo, nei casi in cui, sulla base del principio di necessita', occorre utilizzare alcune informazioni di carattere personale, e' di regola possibile fornire alla clientela un'idonea informativa una tantum sulle finalita' e sulle caratteristiche essenziali del trattamento, gia' in occasione dell'instaurazione del rapporto contrattuale che spesso precede i contatti telefonici con il servizio (si pensi, ad esempio, ai servizi di assistenza tecnica post-vendita). In tutti questi casi, non e' quindi necessario fornire un'informativa in occasione del contatto telefonico con il servizio. 5.2. Tuttavia, puo' verificarsi il caso in cui il servizio non e' preceduto da un contratto o da contatti in occasione dei quali vi sia stata gia' la possibilita' di informare adeguatamente l'interessato. Anche per questi casi, non e' pero' necessario informare l'interessato rispetto agli elementi che gli siano gia' noti in base alle circostanze del caso. A questo riguardo, se si pone attenzione alle specifiche caratteristiche dei servizi di assistenza e di informazione al pubblico, si puo' infatti constatare agevolmente che diversi elementi che dovrebbero far parte dell'informativa (art. 13 del Codice) sono gia' chiaramente evidenti, in particolare per quanto riguarda: a) gli estremi identificativi del titolare del trattamento (art. 13, comma 1, lettera f)); b) le varie circostanze che emergono comunque, sotto altro profilo, nel corso della conversazione telefonica (ad esempio, le conseguenze di un eventuale rifiuto di rispondere e la natura obbligatoria o facoltativa del conferimento: art. 13, comma 1, lettere b) e c)); c) la finalita' del servizio e l'ambito di utilizzazione dei dati (art. 13, comma 1, lettere a) e d)), in particolare quando non si perseguono altri scopi quali quelli di marketing o di profilazione per i quali dovrebbe essere peraltro acquisito il consenso. 5.3. Per ogni altro caso in cui risulti comunque opportuno o necessario indicare alcuni elementi dell'informativa in occasione di un contatto telefonico, deve tenersi conto della peculiarita' di questo mezzo di comunicazione e della natura dei servizi resi i quali devono poter essere svolti con celerita' e senza costi aggiuntivi. Il principio di semplificazione richiamato nell'art. 2 del Codice esige che ogni eventuale altro elemento da indicare all'interessato e che non gli sia stato eventualmente gia' spiegato gli venga comunque rappresentato con formule sintetiche, chiare e di immediata comprensione, anche mediante brevi messaggi preregistrati nel corso di eventuali tempi di attesa del servizio. Come premesso, il Garante intende sviluppare ulteriormente tali modalita' semplificate autorizzando coloro che prestano i servizi in esame a indicare la modalita' attraverso la quale l'interessato potra' consultare o ascoltare a richiesta un'informativa piu' specifica, ad esempio mediante un sito web o tramite operatore o messaggio registrato ascoltabile digitando una cifra sulla tastiera del telefono (art. 13, comma 3, del Codice). I fornitori del servizio titolari del trattamento sono gia' autorizzati ad avvalersi di tutte le predette opportunita' senza rivolgere al Garante alcuna richiesta, da formulare eventualmente solo per specifiche situazioni ritenute meritevoli di apposito esame. 5.4. Va infine disposto che i servizi abilitati in base alla legge a ricevere chiamate d'emergenza (d.m. Min. comunicazioni 27 aprile 2006 sul servizio «112» quale numero unico europeo d'emergenza; v. anche Parere del Garante 6 aprile 2006, doc. web n. 1269346), attesa la loro peculiare natura, possano rendere l'informativa agli interessati (se dovuta in base al Codice: cfr. art. 53) inserendola nei siti web di riferimento. Tutto cio' premesso il Garante: 1. Individua le seguenti linee guida per i titolari del trattamento che prestano servizi di assistenza e di informazione al pubblico, in particolare ove si avvalgano di soggetti esterni designati «responsabili del trattamento» (punti 2, 3, 4 e 5): a) la raccolta delle informazioni personali deve limitarsi a quelle pertinenti e non eccedenti in relazione ai servizi richiesti; b) deve essere effettuata una previa analisi delle implicazioni che il trattamento di dati personali mediante servizi di assistenza telefonica al pubblico potranno comportare, anche tenuto conto della natura dei dati trattati; c) il contratto di fornitura del servizio di assistenza telefonica al pubblico deve contenere concrete modalita' operative idonee ad assicurare condizioni di trasparente e corretto svolgimento delle relazioni con l'utenza, indicando altresi' le misure di sicurezza idonee che dovranno essere adottate, anche al fine di prevenire commistioni tra distinti archivi gestiti dal medesimo responsabile del trattamento; d) deve essere posta particolare cura, ai sensi dell'art. 29 del Codice, nella valutazione delle capacita' professionali e dell'adeguatezza organizzativa della struttura deputata a svolgere la funzione di servizi di assistenza telefonica al pubblico; e) le informazioni raccolte devono essere utilizzate solo per scopi determinati, espliciti e legittimi; f) eventuali registrazioni legittime del contenuto delle comunicazioni possono essere conservate solo per un periodo di tempo necessario al corretto assolvimento delle operazioni richieste dagli utenti o alle eventuali esigenze di fatturazione; g) non e' necessario fornire l'informativa quando non sono trattati dati personali o in relazione ai diversi elementi gia' noti all'interessato; nei soli casi in cui e' invece necessario rappresentare alcuni elementi, vanno comunque utilizzate formule sintetiche, chiare e di immediata comprensione. 2. Autorizza i titolari del trattamento che prestano servizi di assistenza e di informazione al pubblico anche con la collaborazione di terzi designati responsabili del trattamento, ai sensi dell'art. 13, comma 3, del Codice, a rappresentare in modo semplificato ad abbonati e utenti interessati gli eventuali elementi dell'informativa che risulti necessario fornire, indicando la modalita' attraverso la quale l'interessato potra' consultare o ascoltare a richiesta un'informativa piu' specifica, ad esempio mediante un sito web o tramite operatore o messaggio ascoltabile digitando una cifra sulla tastiera del telefono (punto 5.3.). 3. Autorizza i servizi abilitati in base alla legge a ricevere chiamate d'emergenza, ai sensi dell'art. 13, comma 3, del Codice, a rendere l'informativa semplificata inserendola in un sito Internet (punto 5.4.). 4. Dispone che copia del presente provvedimento sia trasmessa al Ministero della giustizia - Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana ai sensi dell'art. 143, comma 2, del Codice. Roma, 15 novembre 2007 Il presidente Pizzetti Il relatore Pizzetti Il segretario generale Buttarelli