Con la legge 11 dicembre 2016, n. 232 (Bilancio di previsione dello Stato per l’anno finanziario 2017 e bilancio pluriennale per il triennio 2017-2019), entrata in vigore il primo gennaio del 2017, è stata prevista una normativa particolarmente restrittiva per le attività di call center in Italia.
In particolare, le nuove disposizioni sono intervenute novellando l’art. 24-bis del D.L. 22 giugno 2012, n. 83 (convertito con modificazioni dalla legge 7 agosto 2012, n. 134), relativo alle “misure a sostegno della tutela dei dati personali, della sicurezza nazionale, della concorrenza e dell’occupazione nelle attività di call center”.
USA LEGALDESK IL GESTIONALE IDEALE PER IL TUO STUDIO LEGALE
Garante Privacy e Call Center
Al menzionato articolo 24-bis si prevede che “qualora un’azienda (con più di venti dipendenti) decida di spostare l’attività di call center fuori dal territorio nazionale deve darne comunicazione, almeno centoventi giorni prima del trasferimento, al Ministero del lavoro e delle politiche sociali indicando i lavoratori coinvolti.
Inoltre deve darne comunicazione all’Autorità Garante per la protezione dei dati personali, indicando quali misure vengono adottate per il rispetto della legislazione nazionale, in particolare del codice in materia di protezione dei dati personali”
Ancora, al successivo comma 4, stabilisce che “quando un cittadino effettua una chiamata ad un call center deve essere informato preliminarmente sul Paese estero in cui l’operatore con cui parla è fisicamente collocato e deve, al fine di poter essere garantito rispetto alla protezione dei suoi dati personali, poter scegliere che il servizio richiesto sia reso tramite un operatore collocato nel territorio nazionale” e la stessa informazione va fornita anche qualora il cittadino sia destinatario di una chiamata da un call center.
Il mancato rispetto di tali disposizioni comporta la sanzione amministrativa pecuniaria di 10.000 € per ogni giornata di violazione.
Le modifiche introdotte con la legge di stabilità 2017, riguardano soprattutto un ampliamento del novero dei soggetti destinatari della nuova disciplina di settore, delle informazioni che gli stessi sono tenuti a fornire e degli adempimenti che devono porre in essere.
Questo intervento si è ritenuto necessario per le molteplici violazioni riscontrate da parte dei call center, tali da mettere in atto il meccanismo sanzionatorio pecuniario nei confronti di quelle imprese, responsabili del mancato rispetto delle misure indicate nell’art. 24- bis.
Informativa Privacy Call Center
Le imprese che operano in questo settore devono costantemente verificare quali siano le condizioni volte a garantire una corretta operatività dei call center, sia nel caso in cui essi siano predisposte all’interno del articolazione dell’Operatore stesso, sia quando l’attività sia caratterizzata dalla presenza di una Impresa committente che appalta ad una diversa azienda di servizi l’attività dei call center (spesso dislocati in territorio estero).
Con specifico riguardo alla tutela dei dati personali, già Garante Privacy, con un provvedimento del 10 ottobre 2013, aveva richiamato le regole generali per i trasferimenti di dati personali al di fuori del territorio dell’Unione, rilevando il dilagarsi di situazioni in cui un titolare stabilito nell’UE appalti il servizio di call center ad un Responsabile Stabilito nell’UE, che a sua volta subappalti il servizio ad un terzo con sede in un paese extra-europeo.
Ebbene, il Garante aveva già chiarito che, il subappalto ad un terzo (stabilito in un paese extraeuropeo) fin tanto era consentito a condizione che i Titolari stipulino con il Responsabile europeo un apposito mandato per la sottoscrizione delle clausole contrattuali standard approvate dalla Commissione o chiedano al Garante un’apposita autorizzazione.
L’ulteriore stretta data dalla legge di bilancio 2017, deriva dalla necessita di tutelare i lavoratori e la privacy, oltre che inserirsi in tutto un contesto di motivazioni politico-economiche, che tralasceremo ai fini della nostra trattazione.
Come detto, sempre più spesso, operatori attivi sia nel segmento delle chiamate verso gli utenti (cd. outbound) che da parte degli utenti (cd. inbound), hanno deciso di delocalizzare le attività in altri Paesi dell’Unione Europea o in paesi extra, spesso in Albania, sfruttando vantaggio di avere un costo del lavoro inferiore, oltre a trovare regole più convenienti sul piano contributivo e fiscale.
Senza voler entrare in disquisizioni di carattere politico, bisogna sicuramente considerare che si tratta di strategie imprenditoriali lecite e insindacabili sul piano del diritto.
LEGGI ANCHE: GDPR: il diritto all’oblio
Call Center e Privacy
È stato, in primo luogo, previsto che qualora un operatore economico decida di delocalizzare call center fuori dall’Unione Europea, deve provvedere immediatamente a darne comunicazione al Ministero del lavoro e delle politiche sociali, all’Ispettorato nazionale del lavoro, al Ministero dello Sviluppo Economico e all’Autorità Garante per la privacy.
In più, tutti gli operatori economici che svolgono attività di call center, devono obbligatoriamente iscriversi nel “Registro degli operatori di comunicazione” tenuto dall’Autorità per le garanzie nelle comunicazioni, alla quale dovranno anche essere fornite tutte le numerazioni telefoniche messe a disposizioni del pubblico e utilizzate per i servizi di call center.
Per ciò che attiene alla protezione dei dati personali, l’articolo 24-bis del decreto legge 83 del 2012, impone agli operatori di dichiarare sempre il Paese da cui le chiamate sono effettuate o ricevute e, qualora la chiamata sia gestita da operatori collocati all’estero, di informare il soggetto contattato della possibilità di chiedere che il servizio sia reso da un operatore collocato nel territorio nazionale o comunque all’interno di un Paese membro dell’Unione europea, garantendone la pronta disponibilità nell’ambito della medesima chiamata (lasciando quindi in attesa il soggetto contattato nel tempo necessario per metterlo in collegamento con il nuovo operatore).
Tutto ciò farà in modo di mantenere sempre un collegamento e quindi una stabilità nel territorio italiano, o almeno in quello comunitario.
Un appunto è necessario farlo, se non anche alla formulazione letterale della nuova disposizione normativa, che ai commi 5 e 6 del citato articolo 24-bis, prevede una differenziazione che darà sicuramente luogo a forti contrasti interpretativi: mentre per le chiamate ricevute (cd. inbound), prevede che l’operatore di call center debba dare l’informazione a “qualsiasi soggetto”, per le chiamate effettuate (cd. outbound), invece, la norma individua il soggetto beneficiario solo nel “cittadino”.
Guardando il dato letterale, sembrerebbe che tali soggetti non andrebbero né informati né andrebbe loro garantita la possibilità di parlare con un call center italiano o comunitario.
Altro aspetto fondamentale per una corretta applicazione del Codice Privacy italiano riguarda l’introduzione della responsabilità solidale tra committente e call center (comma 8 dell’articolo 24-bis), in due casi:
- nell’ipotesi di una generica violazione della nuova normativa sui call center, con riguardo anche alle disposizioni sulle comunicazioni amministrative obbligatorie.
- in secondo luogo, nel caso di mancato rispetto delle regole sul telemarketing previste dal Codice Privacy, prima fra tutte quelle sul cd. opt-out, traducibile in italiano come rinuncia o deroga, cioè il diritto riconosciuto al destinatario di una comunicazione commerciale, il cui numero è estrapolato da elenchi telefonici di iscriversi nella cd. Robinson List e non essere più contattati.
PROVA LEGALDESK IL GESTIONALE PER L’AVVOCATO SEMPRE AGGIORNATO
Nuove regole per i Call Center
Lo stesso comma 8, prevede una novità importante in tema di responsabilità, stabilendo che “anche il soggetto che ha affidato lo svolgimento di propri servizi a un call center esterno è considerato titolare del trattamento”.
Così facendo, la nuova normativa, ha voluto qualificare come Titolari del trattamento, e non più come avveniva in precedenza, responsabili del trattamento, quegli operatori economici interposti tra il committente e l’outsourcer extracomunitario.
In questo modo, un operatore di call center italiano, che gestisca una commessa tramite una propria controllata o consociata stabilita in territorio estero, e come spesso accade in Albania, allo stato è ex lege, qualificato come titolare del trattamento, allo stesso modo del Committente, che però l’unico a decidere tempi, modalità e obiettivi delle campagne di marketing.
Tutto ciò necessiterà anche di un riassetto contrattuale volto a ridefinire questi nuovi assetti.
Altro punto poco chiaro della disposizione normativa si rinviene nella previsione secondo cui “la constatazione della violazione può essere notificata all’affidatario estero per il tramite del committente”: in questo caso, non specifica se per committente debba intendersi la società titolare della campagna di marketing o comunque del trattamento, oppure se ciò valga anche per la società di call center commissionata, stabilita in Italia, che trasferisce le sue chiamate all’estero.
Conclusioni
In conclusione, tutto l’assetto normativo fin qui descritto, andrà coordinato con quanto previsto dal nuovo Regolamento Europeo n. 2016/679 in materia di protezione dei dati personali, che ha introdotto la possibilità di disciplinare le filiere di responsabili esterni attraverso una serie di nomine e sub-nomine, prevedendo altresì la responsabilità solidale tra titolare e responsabile esterno soltanto in caso di danno arrecato agli interessati (articolo 82 co 4 del Regolamento).
Sicuramente, soprattutto dal 25 maggio 2018 (data in cui tutti gli Stati Membri dell’Unione avranno dovuto uniformare la propria disciplina nazionale al nuovo GDPR), il quadro normativo risulta particolarmente complesso, nel quale il corretto uso dei servizi di call center assume una rilevanza centrale ai fini della tutela dei dati personali, richiedendo pertanto per tutti gli operatori della materia, ma anche per le aziende che si avvalgono di questi servizi, ampie conoscente tecniche oltre che giuridiche.