L"incremento delle attività di assistenza e marketing svolta dai call center e le criticità dovute al trasferimento di dati verso call center situati in Paesi non appartenenti all"Unione Europea (dove non sono spesso assicurate le adeguate garanzie per i diritti degli interessati previsti dalla normativa comunitaria) hanno indotto il Garante Privacy italiano a dettare le regole a cui devono attenersi i Titolari del trattamento che si avvalgono (anche mediante terzi) di tali servizi (cfr. Provvedimento del 10 ottobre 2013 – doc. web. 2724806).

Il Provvedimento analizza in prima battuta la complessa normativa privacy in materia di trasferimenti di dati all"estero ricordando, in termini generali, che tale attività è consentita solo nei confronti di quegli Stati che assicurano un "adeguato" livello di protezione (tra questi: Andorra, Argentina, Australia PNR, Canada, Faer Oer, Guernsey, Isola di Man, Israele, Jersey, Nuova Zelanda, Svizzera, Uruguay, USA - Safe Harbor).

Il trasferimento di dati personali verso Paesi non appartenenti all"UE (per esattezza, allo Spazio Economico Europeo) e non rientranti tra quelli sopra citati è invece consentito, ricorda il Garante, solo previa adozione di stringenti "misure" di protezione. Tra queste:

-                l" autorizzazione del Garante sulla base di apposite decisioni della Commissione Europea aventi ad oggetto un determinato Stato;

-                l" adozione di regole di condotta infragruppo (meglio note come BCRs o Binding corporate rules);

-                la sottoscrizione tra le parti delle clausole contrattuali tipo previste dalle relative decisioni della Commissione europea.

In merito all"ultimo punto il Provvedimento analizza e fa luce su due scenari di estremo interesse.

1. Il primo scenario è quello costituito da un Titolare del trattamento stabilito nell"Unione europea che esternalizza i propri servizi di call center ad un Responsabile esterno stabilito extra-UE il quale, a sua volta, subappalta tutto o parte del trattamento ad un terzo extracomunitario.

Sul punto, il Garante ha ricordato la necessità di subordinare il subcontratto tra il Responsabile e il terzo al previo consenso scritto del Titolare del trattamento (effettivo esportatore dei dati) precisando al contempo la necessità da parte del Responsabile di far sottoscrivere al terzo le medesime clausole contrattuali tipo. La responsabilità, tuttavia, anche in caso di inadempimento da parte del terzo, ricadrà sempre in capo al Responsabile (importatore), il quale rimarrà in ogni caso l"unico soggetto vincolato giuridicamente al Titolare europeo.

1. Il secondo scenario, più frequente nella prassi, è invece quello di un Titolare del trattamento stabilito nell"Unione europea che esternalizza i propri servizi di call center ad un Responsabile esterno stabilito all"interno dell"UE il quale, a sua volta, subappalta tutto o parte del trattamento ad un terzo extracomunitario.

Sul punto il Garante, con l"intento di evitare che il Titolare comunitario possa perdere il controllo sui propri dati nel corso delle varie operazioni di trasferimento, suggerisce 3 modalità strategico-operative di intervento. Tra le quali:

-                la sottoscrizione diretta delle clausole contrattuali tipo tra il titolare ed il soggetto terzo;

-                il conferimento da parte del titolare di un mandato con rappresentanza al responsabile per la sottoscrizione delle clausole contrattuali tipo con il terzo;

-                la sottoscrizione di contratti ad hoc tra il titolare ed il terzo che siano in grado di fornire le stesse garanzie previste dalle clausole contrattuali tipo (in questo caso il contratto dovrà essere vagliato dall'Autorità che potrà o meno autorizzare il trattamento).

Il Provvedimento, poi, prescrive ulteriori adempimenti da tenere in considerazione nel trattamento di dati personali effettuato mediante call center. Tra i più importanti, la designazione degli operatori di call center quali incaricati del trattamento, la loro formazione, e la verifica periodica del Titolare sull"osservanza e il rispetto delle istruzioni impartite da parte dei Responsabili.

Il Provvedimento, infine, definisce con maggior chiarezza i nuovi adempimenti previsti dalla legge n. 83 del 2012 per le aziende di call center (cfr. art. 24-bis). In particolare, questa disposizione – così come interpretata dal Garante – prescrive alle aziende di call center che intendano trasferire la propria attività al di fuori dell"Unione europea di:

-                darne comunicazione al Ministero del Lavoro e delle politiche sociali, indicando i lavoratori coinvolti (se superiori a 20);

-                effettuare, in caso di trasferimento (o di affidamento del trattamento) di dati personali ad un call center sito al di fuori dell'Unione europea, un'apposita comunicazione al Garante;

-                informare gli interessati del fatto che l"operatore possa essere collocato in un Paese estero;

-                adottare apposite procedure per consentire all"interessato che contatta un operatore collocato all"estero di scegliere che il servizio sia reso tramite un operatore collocato nel territorio nazionale.

L"analisi sin qui operata mostra la seria attenzione che il Garante italiano ha voluto riservare all"imponente fenomeno di delocalizzazione di call center in paesi extracomunitari. Fenomeno prevalentemente dovuto al contenimento dei costi e, spesso, all"intenzione di aggirare le strette maglie della normativa privacy europea.

Il Provvedimento in oggetto, tuttavia, merita un duplice plauso. L"adozione e il pieno rispetto delle misure richieste, infatti, da un lato, si pone quale requisito essenziale per la tutela del diritto alla protezione dei dati personali dei cittadini italiani; dall"altro, rappresenta un serio incentivo per le società italiane a cogliere sì, ma in modo regolamentato e sicuro, le opportunità di business offerte dalla delocalizzazione dei servizi di call center.