Garante per la protezione
    dei dati personali


PROVVEDIMENTO 15 Novembre 2007

Misure di semplificazione e trattamento di dati nell'ambito di
servizi telefonici di assistenza e informazione al pubblico

 

IL GARANTE PER LA PROTEZIONE

DEI DATI PERSONALI

 

Nella riunione odierna, in presenza del prof.Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti,e del dott. Giovanni Buttarelli, segretario generale;

Visto il codice in materia di protezione dei dati personali (decreto legislativo 30 giugno 2003, n. 196), con particolare riguardo agli articoli 2 e 13;

Viste le osservazioni formulate dal segretariogenerale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Francesco Pizzetti;

Premesso

 

1. Misure di semplificazione e trattamento didati nell'ambito di servizi telefonici di assistenza e informazione alpubblico.

1.1. La disciplina di protezione dei datipersonali prevede che il trattamento dei dati deve assicurare un livelloelevato di tutela dei diritti e delle liberta' fondamentali "nelrispetto dei principi di semplificazione, armonizzazione ed efficacia"(art. 1, comma 2, del Codice).

Specifiche disposizioni attuano tali principi semplificando il contenuto e le modalita' per informare gli interessatirispetto al trattamento, in particolare per quanto riguarda i servizitelefonici di assistenza e di informazione al pubblico (art. 13, commi 2 e3, del Codice).

Il Garante intende sviluppare ulteriormente tali disposizioni attraverso il presente provvedimento che tiene conto delprincipio secondo cui l'informativa, quando i dati sono raccolti presso gliinteressati, "puo' non comprendere gli elementi gia' noti allapersona che fornisce i dati" (art. 13, comma 2).

1.2. Numerosi soggetti pubblici e privati utilizzano in modo crescente servizi telefonici di assistenza e diinformazione al pubblico nello svolgimento della propria attivita'istituzionale, professionale, commerciale o di natura personale.

Alcune scelte organizzative valorizzano il mezzotelefonico quale canale di contatto privilegiato con l'utenza, specienell'ambito di societa' di grandi dimensioni e di enti pubblici, il chepuo' accrescere l'economicita' e l'efficienza nei servizi resi (cfr. inmerito art. 3 dir. min. 21 dicembre 2001, Linee guida in materia didigitalizzazione dell'amministrazione, nella Gazzetta Ufficiale 5febbraio 2002, n. 30; dir. min. 4 gennaio 2005, Linee guida in materia di digitalizzazione dell'amministrazione, nella Gazzetta Ufficiale 12 febbraio2005).

La gestione del flusso delle chiamate, attraversoappositi servizi di assistenza telefonica, puo' assumere in talunecircostanze una particolare complessita', strutturandosi su un insiemeintegrato di sistemi informativi e di risorse umane.

A seconda delle caratteristiche dei servizi e dei relativi destinatari e' possibile individuare una vasta gamma difunzioni. Tra le piu' ricorrenti, possono evidenziarsi quelle di informazionee/o di assistenza alla clientela (c.d. "customer care"), conriferimento all'instaurazione e all'esecuzione di rapporti contrattuali invari contesti (prenotazione di servizi, phone-banking, ecc.), quellesvolte a vantaggio della collettivita' da parte di amministrazioni pubbliche (si pensi alle chiamate di pubblica utilita', incluse le chiamate ai numeridi emergenza) o soggetti privati anche per quanto riguarda servizi a sovrapprezzo di tipo sociale-informativo, di assistenza, di consulenzatecnico-professionale e di intrattenimento.

1.3. Il presente provvedimento riguarda solo le attivita' che comportano un trattamento di dati personali prestate inmodalita' inbound, ossia oggetto di una chiamata dell'interessato anche seeffettuate senza la mediazione di un operatore (attraverso canali dicomunicazione interamente automatizzati).

Non formano invece oggetto di esame i servizic.d. outbound, di solito ricorrenti nello svolgimento di attivita' ditele-marketing, nell'ambito delle quali vengono contattati destinatari di comunicazioni commerciali anche attraverso call center: alriguardo, vige infatti un apposito quadro normativo (cfr. art. 58 del Codicedel consumo di cui al decreto legislativo 6 settembre 2005, n. 206; art. 130 del Codice in materia di protezione dei dati personali; in merito, v. pure i Provv. del 30 maggio 2007, 1;   2;   3;   4 e 5).

1.4. Il Garante, tenendo anche conto delleindicazioni e delle richieste di chiarimento formulate (con specifico riguardo ai rapporti con i committenti) da un'associazione di categoria rappresentativa delle societa' di call center operanti inoutsourcing, intende altresi' precisare alcune modalita' dicomportamento da osservare nella gestione dei servizi telefonici diassistenza e informazione al pubblico (v. infra punti 2, 3, 4 e 5).

2. Tipologie di dati e modalita' del lorotrattamento.

Nello svolgimento delle attivita' quiconsiderate possono essere utilizzate legittimamente solo le informazionipersonali pertinenti e non eccedenti in relazione ai servizi richiesti,informazioni che sono di regola comunicate direttamente dall'interessato.

Le tipologie di informazioni trattate sono piuttosto varie comprendendo dati sia comuni (ad esempio, anagrafici o dinatura economica), sia sensibili (si pensi, esemplificativamente, alleinformazioni raccolte nell'ambito di servizi prestati da strutturesanitarie). Alcune informazioni personali sono trattate mediante sistemi automatizzati (ad esempio, con l'ausilio di risponditori vocali automatici o grazie a sistemi informatici integrati idonei a fornire informazioni sullalinea chiamante, attraverso il dispositivo di individuazione della medesima).

La raccolta anche automatizzata di tali informazioni da parte dell'operatore che gestisce il servizio di assistenzatelefonica al pubblico puo' avvenire senza che gli interessati ne siano specificamente consapevoli, come ad esempio nel caso di registrazioneautomatica dei numeri chiamanti da terminali che lo consentono e chepermettono, quindi, di risalire all'identita' dei relativiutilizzatori.

In relazione a questo contesto il Garante, primadi provvedere in merito all'informativa agli interessati, intende richiamare l'attenzione degli operatori del settore su alcuni profili connessia tale problematica, utili per assicurare una piena conformita' deltrattamento alle disposizioni vigenti in materia di protezione dei dati personali dei trattamenti effettuati nell'ambito dei servizi telefonici diassistenza e informazione al pubblico.

3. Titolare e responsabile del trattamento.

3.1. Il soggetto pubblico e privato "titolaredel trattamento" puo' svolgere le attivita' volte a fornire servizidi assistenza e di informazione al pubblico per via telefonica, tramite personale operante sotto la sua diretta autorita' in qualita' di"incaricato del trattamento" (art. 30 del Codice) o terzi cui e'affidato il servizio all'esterno sulla base di contratti di collaborazione(c.d. outsourcing) che disciplinano le modalita' per prestare questaattivita' strumentale.

Questa seconda soluzione e' volta ad assecondarelegittime esigenze organizzative. Mentre in altre discipline settorialipossono essere previste specifiche cautele (si pensi, esemplificativamente, aquelle contenute nel Comunicato della Banca d'Italia, in Gazzetta Ufficiale 21agosto 2002, n. 195, Esternalizzazione di attivita' di sportello e, sulla medesima materia, nella Comunicazione della Commissione nazionale per la societa' e la borsa n. Din/2073042 del 7 novembre 2002) la disciplina diprotezione dei dati personali ammette e non ostacola tale esternalizzazione. L'outsourcer va pero' designato quale "responsabile deltrattamento" preposto ad attuare in concreto le decisioni del "titolare del trattamento" sulle finalita' e modalita' del trattamento, sugli strumenti utilizzati e sulla sicurezza (articoli 4, 28e 29 del Codice; v. pure Provv. 16 febbraio 2006, punto 6).

3.2. Al fine di garantire una rigorosa osservanzadei principi di protezione dei dati personali (e apprestare una tutela piu'intensa a favore degli interessati), il Codice richiede che chi operi in taleveste debba essere particolarmente qualificato - dovendo essere"individuato tra soggetti che per esperienza, capacita' edaffidabilita' forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativoalla sicurezza" (art. 29, comma 2, del Codice) - e, nell'ambito dei compiti che gli sono assegnati, debba conformare il proprio operato alleistruzioni del "titolare del trattamento" (art. 29, commi 4 e 5, delCodice).

Il titolare del trattamento e' chiamato a svolgereun'analisi anche preventiva al trattamento delle implicazioni che le modalita' operative prescelte possono comportare in ordine ai diritti degliinteressati, e a porre particolare cura nella valutazione delle capacita' professionali, nonche' dell'adeguatezza organizzativa del responsabile del trattamento, tenuto conto della natura dei dati trattati. Questa valutazione d'insieme deve riguardare anche l'adeguatezza delle soluzioni tecnico-organizzative e di quelle concernenti la sicurezza deidati e dei sistemi.

In questo quadro assume una particolarecriticita' la situazione nella quale un medesimo outsourcer si trovi a gestire contemporaneamente, specie se in un contesto logistico di promiscuita', una pluralita' di servizi di assistenzatelefonica al pubblico per distinti committenti titolari del trattamento.Tale concorrenza di attivita' non deve tradursi, in concreto, in unabbassamento o in una banalizzazione dei livelli di sicurezza, ne',tantomeno, in una sostanziale commistione tra i differenti insiemi di dati dautilizzare per prestare distinti servizi per piu' titolari.

Occorre poi assicurare le condizioni per unosvolgimento corretto e trasparente delle relazioni con l'utenza, la quale deve poter individuare in maniera univoca il titolare del trattamento conil quale viene in contatto tramite il servizio di assistenza telefonica alpubblico.

Acquista quindi rilievo l'opportunita' diun'approfondita verifica che le parti e, in particolare, il "titolare del trattamento", dovrebbero effettuare in sede di stipula e di attuazione del contratto di fornitura del servizio.

Il titolare del trattamento deve esercitare in concreto reali funzioni di controllo della corretta attuazione delledecisioni che e' chiamato ad assumere, anche per cio' che riguarda le modalita'di consultazione ed eventuale riproduzione degli archivi del titolare posti a disposizione dell'outsourcer e in relazione alla cessazione del loroutilizzo all'atto dell'estinzione del rapporto contrattuale.

4. Finalita', necessita', pertinenza e non eccedenza dei dati trattati.

4.1. Nel rendere il servizio di assistenza e diinformazione al pubblico non devono essere utilizzati dati personali diabbonati e di utenti che non siano necessari per prestare il servizio, comepuo' avvenire in caso di servizi di natura meramente informativa. Efficacianalisi e monitoraggi della funzionalita' e dell'effettivaprestazione del servizio possono essere a volte compiuti, disponendo solodi dati statistici anonimi (art. 3 del Codice).

Il trattamento di dati personali che siarealmente necessario per il servizio (anche quando si tratta di dati non direttamente identificativi, ma agevolmente riconducibili a un soggetto identificabile come nel caso degli identificativi delle lineechiamanti) deve comunque avvenire nel rispetto dei principi dipertinenza e non eccedenza (articoli 3 e 11 del Codice).

4.2. Occorre assicurare un quadro di correttezza nei riguardi dell'utenza. In particolare, le informazioniraccolte devono essere utilizzate solo per scopi determinati, espliciti elegittimi. I soggetti privati devono di regola raccogliere il consensoinformato qualora intendano utilizzare i dati per finalita' diverse ecompatibili, come nel caso del marketing o della creazione di profili relativi all'utenza (articoli 23 e 24 del Codice), mentre i soggetti pubblici devono operare pur sempre per dichiarate finalita' istituzionali, nell'osservanza delle pertinenti disposizioni del Codice (cfr. articoli 18ss. del Codice).

Eventuali registrazioni legittime del contenuto delle comunicazioni, effettuate con l'operatore o per il tramite di dispositivi automatici, possono essere conservate solo per unperiodo di tempo necessario al corretto assolvimento delle operazionirichieste dagli utenti o alle eventuali esigenze di fatturazione, nei casi diservizi a pagamento, salva l'osservanza di specifici obblighi di legge che nelegittimino l'ulteriore conservazione.

5. Informativa agli interessati e modalita'semplificate (art. 13, commi 2 e 3, del Codice).

5.1. I servizi di assistenza telefonica alpubblico sono prestati, non di rado, senza trattare specificamente dati di carattere personale.

In secondo luogo, nei casi in cui, sulla basedel principio di necessita', occorre utilizzare alcune informazioni di carattere personale, e' di regola possibile fornire alla clientela un'idoneainformativa una tantum sulle finalita' e sulle caratteristicheessenziali del trattamento, gia' in occasione dell'instaurazione del rapportocontrattuale che spesso precede i contatti telefonici con il servizio (si pensi, ad esempio, ai servizi di assistenza tecnica post-vendita).

In tutti questi casi, non e' quindi necessario fornire un'informativa in occasione del contatto telefonico con ilservizio.

5.2. Tuttavia, puo' verificarsi il caso in cui ilservizio non e' preceduto da un contratto o da contatti in occasione dei qualivi sia stata gia' la possibilita' di informare adeguatamente l'interessato.

Anche per questi casi, non e' pero' necessario informare l'interessato rispetto agli elementi che gli siano gia'noti in base alle circostanze del caso.

A questo riguardo, se si pone attenzione alle specifiche caratteristiche dei servizi di assistenza e di informazione al pubblico, si puo' infatti constatare agevolmente che diversielementi che dovrebbero far parte dell'informativa (art. 13 del Codice) sonogia' chiaramente evidenti, in particolare per quanto riguarda:

a) gli estremi identificativi del titolare deltrattamento (art. 13, comma 1, lettera f));

b) le varie circostanze che emergono comunque, sotto altro profilo, nel corso della conversazione telefonica(ad esempio, le conseguenze di un eventuale rifiuto di rispondere e lanatura obbligatoria o facoltativa del conferimento: art. 13, comma 1,lettere b) e c));

c) la finalita' del servizio e l'ambito diutilizzazione dei dati (art. 13, comma 1, lettere a) e d)), in particolarequando non si perseguono altri scopi quali quelli di marketing o diprofilazione per i quali dovrebbe essere peraltro acquisito il consenso.

5.3. Per ogni altro caso in cui risulticomunque opportuno o necessario indicare alcuni elementi dell'informativa inoccasione di un contatto telefonico, deve tenersi conto della peculiarita'di questo mezzo di comunicazione e della natura dei servizi resi i quali devonopoter essere svolti con celerita' e senza costi aggiuntivi.

Il principio di semplificazione richiamatonell'art. 2 del Codice esige che ogni eventuale altro elemento da indicareall'interessato e che non gli sia stato eventualmente gia' spiegato gli vengacomunque rappresentato con formule sintetiche, chiare e di immediatacomprensione, anche mediante brevi messaggi preregistrati nel corso dieventuali tempi di attesa del servizio.

Come premesso, il Garante intende sviluppareulteriormente tali modalita' semplificate autorizzando coloro che prestano iservizi in esame a indicare la modalita' attraverso la qualel'interessato potra' consultare o ascoltare a richiesta un'informativa piu' specifica, ad esempio mediante un sito web o tramite operatore omessaggio registrato ascoltabile digitando una cifra sulla tastiera deltelefono (art. 13, comma 3, del Codice).

I fornitori del servizio titolari del trattamento sono gia' autorizzati ad avvalersi di tutte le predetteopportunita' senza rivolgere al Garante alcuna richiesta, da formulareeventualmente solo per specifiche situazioni ritenute meritevoli di appositoesame.

5.4. Va infine disposto che i servizi abilitati inbase alla legge a ricevere chiamate d'emergenza (d.m. Min. comunicazioni 27aprile 2006 sul servizio "112" quale numero unico europeod'emergenza; v. anche Parere del Garante 6 aprile 2006),attesa la loro peculiare natura, possano rendere l'informativa agliinteressati (se dovuta in base al Codice: cfr. art. 53) inserendola nei sitiweb di riferimento.

Tutto cio' premesso il Garante:

 

1. Individua le seguenti linee guida per i titolaridel trattamento che prestano servizi di assistenza e di informazione alpubblico, in particolare ove si avvalgano di soggetti esterni designati "responsabili del trattamento" (punti 2, 3, 4 e 5):

a) la raccolta delle informazioni personalideve limitarsi a quelle pertinenti e non eccedenti in relazione ai servizirichiesti;

b) deve essere effettuata una previa analisidelle implicazioni che il trattamento di dati personali mediante servizi diassistenza telefonica al pubblico potranno comportare, anche tenuto contodella natura dei dati trattati;

c) il contratto di fornitura del servizio di assistenza telefonica al pubblico deve contenere concrete modalita'operative idonee ad assicurare condizioni di trasparente e corretto svolgimentodelle relazioni con l'utenza, indicando altresi' le misure di sicurezza idonee che dovranno essere adottate, anche al fine di prevenire commistioni tra distinti archivi gestiti dal medesimo responsabile deltrattamento;

d) deve essere posta particolare cura, ai sensidell'art. 29 del Codice, nella valutazione delle capacita' professionali e dell'adeguatezza organizzativa della struttura deputata asvolgere la funzione di servizi di assistenza telefonica al pubblico;

e) le informazioni raccolte devono essereutilizzate solo per scopi determinati, espliciti e legittimi;

f) eventuali registrazioni legittime del contenuto delle comunicazioni possono essere conservate solo per un periododi tempo necessario al corretto assolvimento delle operazioni richieste dagliutenti o alle eventuali esigenze di fatturazione;

g) non e' necessario fornire l'informativa quando non sono trattati dati personali o in relazione ai diversi elementigia' noti all'interessato; nei soli casi in cui e' invece necessariorappresentare alcuni elementi, vanno comunque utilizzate formulesintetiche, chiare e di immediata comprensione.

2. Autorizza i titolari del trattamento cheprestano servizi di assistenza e di informazione al pubblico anche con lacollaborazione di terzi designati responsabili del trattamento, ai sensidell'art. 13, comma 3, del Codice, a rappresentare in modo semplificato adabbonati e utenti interessati gli eventuali elementi dell'informativa che risulti necessario fornire, indicando la modalita' attraverso la quale l'interessato potra' consultare o ascoltare a richiesta un'informativa piu' specifica, ad esempio mediante un sito web o tramite operatore omessaggio ascoltabile digitando una cifra sulla tastiera del telefono (punto5.3.).

3. Autorizza i servizi abilitati in base allalegge a ricevere chiamate d'emergenza, ai sensi dell'art. 13, comma 3, delCodice, a rendere l'informativa semplificata inserendola in un sito Internet(punto 5.4.).

4. Dispone che copia del presente provvedimentosia trasmessa al Ministero della giustizia - Ufficio pubblicazione leggi edecreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italianaai sensi dell'art. 143, comma 2, del Codice.

Roma, 15 novembre 2007

Il presidente
Pizzetti

Il relatore
Pizzetti

Il segretario generale
Buttarelli