A seguito della nuova normativa sul telemarketing secondo cui gli abbonati che non desiderano ricevere telefonate promozionali debbano iscrivere la loro utenza telefonica nel cosiddetto “Registro delle opposizioni”, entrato in funzione il 1 febbraio scorso, il garante della privacy, ritenuto di dover definire, nel contesto sopra delineato, un quadro unitario di misure e di accorgimenti necessari ed opportuni con lo scopo di fornire utili orientamenti sia agli operatori del settore (titolari e responsabili del trattamento) sia agli interessati, individuando i comportamenti più appropriati da adottare alla luce della richiamata normativa anche in ordine all’imputazione delle responsabilità eventualmente gravanti sui soggetti che, anche a seguito dell’istituzione del Registro pubblico delle opposizioni, avviano contatti commerciali, ha emanato il Provvedimento n. 230/2011. Da tale atto, in particolare, si evince che le imprese che si avvalgono di agenzie o altre imprese per la promozione o la commercializzazione della loro attività, senza che queste operino come autonomi titolari, dovranno nominare responsabili del trattamento le affidatarie del servizio e ricoprire, anche formalmente, il ruolo di titolare del trattamento dei dati personali impiegati per promuoversi nei confronti del pubblico.
Premessa
Il Garante per la protezione dei dati personali, con Provvedimento n. 230/2011 è intervenuto sul trattamento in capo ai soggetti che si avvalgono di agenti per attività promozionali stabilendo che le imprese che affidano, a società esterne specializzate, i contatti commerciali (per telefono, fax, posta e quant’altro), senza che queste operino come autonomi titolari, dovranno nominare responsabili del trattamento le affidatarie del servizio e ricoprire, anche formalmente, il ruolo di titolare del trattamento dei dati personali impiegati per promuoversi nei confronti del pubblico. In altre parole, le società non potranno più avere lo schermo degli agenti e delle imprese di marketing, tra sé e la responsabilità (penale e civile) per spamming telefonico, ma risponderanno direttamente dei trattamenti di dati pubblicitari e degli eventuali illeciti compiuti.
In seguito alla emanazione del suindicato provvedimento, le aziende committenti devono provvedere a nominare responsabili del trattamento le società, o comunque i soggetti terzi impegnati in outsourcing, che gestiscono i dati personali necessari per la pubblicità.
Il riferimento normativo per la novità introdotta dal Garante, sono gli articoli 4, comma 1, lettera f), e 28 del Codice in materia di protezione dei dati personali che definiscono, rispettivamente, il titolare del trattamento come il soggetto «cui competono… le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati» e che esercita «un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza».
Ambito di applicazione
Come noto le società si avvalgono di soggetti terzi (gli outsourcer) ai quali, previa sottoscrizione di specifico accordo – generalmente nella forma del contratto di agenzia, di cui agli articoli 1742 e seguenti del Codice Civile – è conferito mandato, spesso con rappresentanza, per lo svolgimento dell’attività di promozione e commercializzazione dei beni e servizi prodotti dalle società. Lo svolgimento di questa attività porta al contatto con il potenziale cliente, alla sottoposizione della proposta commerciale, nella raccolta dell’eventuale adesione, nell’utilizzo della modulistica fornita dalla società preponente e, infine, nella trasmissione dei dati a quest’ultima perché curi gli adempimenti di propria competenza. Tendenzialmente gli agenti sono tenuti a seguire specifiche attività di formazione (attraverso incontri, seminari o apposite convention) e ricevono puntuali, aggiornate istruzioni anche con riguardo al trattamento dei dati personali dei soggetti contattati.
In altre parole vengono effettuate campagne promozionali, formalmente affidate ad agenzie specializzate che di fatto le effettuano in nome, o comunque per conto e nell’interesse della committente, con l’effetto che negli interessati si ingenera un legittimo affidamento sulla provenienza del prodotto dalla società per conto della quale viene formulata la proposta di vendita di prodotti o servizi. Anche il desiderio di eludere le disposizioni con cui, nei mesi e negli anni scorsi, il Garante ha tentato di prevenire il marketing indesiderato per telefono o per fax, può indurre le società a estendere agli outsourcer le proprie liste di nominativi e utenze telefoniche da contattare.
Secondo quanto chiarito dal Gruppo di Lavoro (che nell’ambito dell’Unione europea si occupa della materia), con parere n. 1/2010 WP 169 adottato il 16 febbraio 2010, per individuare il responsabile e l’incaricato del trattamento occorre esaminare anche «elementi extracontrattuali, quali il controllo reale esercitato da una parte, l’immagine data agli interessati e il legittimo affidamento di questi ultimi sulla base di questa visibilità» e considerato che detto parere, peraltro, corredato di alcuni dettagliati esempi, ha evidenziato la necessità di riconoscere la titolarità del trattamento dei dati dei destinatari di iniziative di telemarketing in capo alla società che si avvalga di soggetti esterni incaricati di effettuare campagne promozionali per suo conto, quando ai menzionati soggetti esterni siano state impartite specifiche istruzioni, ed in considerazione, altresì, del controllo esercitato dalla società circa il rispetto di tali istruzioni e delle condizioni contrattuali pattiziamente previste, il Garante, nel Provvedimento n. 230/2011 ha ritenuto che gli outsourcer asseritamente autonomi titolari del trattamento, sono privi dei poteri che connotano questa figura, completamente nelle mani delle società committenti.
In particolare, sono privi del potere di assumere decisioni relative alle finalità del trattamento dei dati dei destinatari delle campagne promozionali. Per converso, sono impegnati nei confronti delle società da istruzioni e direttive vincolanti, sostanzialmente corrispondenti alle istruzioni che il titolare del trattamento deve impartire al responsabile.
Considerato che gli articoli 4, comma 1, lettera f) e 28 del Codice definiscono, rispettivamente, il titolare come il soggetto «cui competono… le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati» e che esercita «un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza», viene, quindi, ribadito che le agenzie in outsourcing che effettuano il trattamento di dati personali nei termini indicati non possono essere considerate quali titolari autonomi, dal momento che all’asserita titolarità formale non corrispondono, anche in termini concreti, i poteri tassativamente previsti dal Codice per la configurazione e l’esercizio della titolarità, che sono e restano appannaggio esclusivo dei preponenti.
Tra questi, innanzitutto:
- assumere decisioni relative alle finalità del trattamento dei dati dei destinatari di campagne promozionali ai fini di invio di materiale pubblicitario o di vendita diretta o di ricerche commerciali o di comunicazione commerciale effettuate da soggetti terzi che agiscono in outsourcing per lo svolgimento delle richiamate attività di promozione e di commercializzazione di beni, prodotti e servizi;
- impartire istruzioni e direttive vincolanti nei confronti degli outsourcer, sostanzialmente corrispondenti alle istruzioni che il titolare del trattamento deve impartire al responsabile;
- svolgere funzioni di controllo rispetto all’operato degli outsourcer medesimi.
Alla luce delle richiamate considerazioni risulta, per converso, evidente che gli agenti operano di fatto, e a tutti gli effetti, come se fossero stati «preposti dal titolare al trattamento di dati personali», dunque in piena e sostanziale aderenza alla definizione del «responsabile» di cui all’art. 4, comma 1, lettera g) del Codice.
Nel sistema delineato dal Codice, segnatamente ai sensi del combinato disposto di cui agli articoli 4, comma 1, lettere g) ed f), 28 e 29, l’esternalizzazione delle attività promozionali costituisce senz’altro una libera scelta organizzativa ed imprenditoriale di competenza esclusiva del titolare e dunque, nella specie, delle società preponenti; cionondimeno, nelle situazioni verificate dall’Autorità ed in tutte quelle in cui, pur non oggetto di formale indagine, l’atteggiarsi concreto dei rapporti tra i diversi operatori coinvolti sia riconducibile alle fattispecie fin qui esaminate, occorre assicurare la conformità dei relativi trattamenti, ivi compresi quelli già in essere, alle norme in materia di protezione di dati personali.
È, in altri termini, sempre rimessa al titolare, quale esercizio di una propria libera facoltà, la scelta di avvalersi di uno o più soggetti i quali, anche in outsourcing, svolgano comunque, anche in via di fatto, le attività tipiche del responsabile; qualora, tuttavia – come nei casi esaminati – il titolare decida in tal senso, sarà tenuto ad adoperarsi affinché all’atteggiarsi concreto dei rapporti corrisponda anche la loro corretta qualificazione giuridica sotto il profilo della protezione dei dati personali.
Ne consegue che in tali situazioni, affinché i connessi trattamenti di dati personali risultino conformi alla disciplina sulla protezione dei dati personali, è necessario che gli outsourcer, i quali – lo si ripete – già concretamente operano, in via di fatto, nella specifica qualità di responsabili del trattamento secondo la definizione del Codice, ricevano anche una espressa e formale designazione in tal senso.
Commenta per primo