DECRETO SVILUPPO, ISTITUTO PRIVACY: IN PARLAMENTO NORMA SBAGLIATA SUI CALL CENTER

26 Lug DECRETO SVILUPPO, ISTITUTO PRIVACY: IN PARLAMENTO NORMA SBAGLIATA SUI CALL CENTER

Roma, 26 luglio 2012 – La Camera ha approvato la conversione con modificazioni del nuovo Decreto Sviluppo, introducendo una norma che appare in contrasto con i Trattati e con il diritto derivato UE in materia di protezione dei dati personali: in essa, infatti, si limita fortemente la libera circolazione dei dati trattati da call center in Paesi della UE, subordinando tale trattamento ad adempimenti e al consenso dell’utente in deroga a quanto già previsto dal Codice privacy e dalla direttiva 95/46/CE. Luca Bolognini, Presidente dell’Istituto Italiano per la Privacy, commenta così l’art. 24-bis introdotto dai Parlamentari: “Ben vengano maggiori garanzie per i nostri dati, se trattati fuori dalla UE. Ma con questo articolo si cerca di proteggere un mercato nazionale, solo italiano, adottando regole privacy restrittive e non compatibili con il dettato europeo. Con riferimento al trasferimento dei dati fuori dall’Italia ma dentro la UE, la norma appare in contrasto con la Direttiva 95/46/CE oltre che con il più generale principio contenuto nei Trattati di libera circolazione delle merci, delle persone, dei capitali e dei servizi all’interno dell’Unione Europea. Semplicemente, piaccia o no, gli altri Paesi UE non sono più “esteri” da molti anni, di fatto, quando si parla di dati. Purtroppo, ci aspettiamo l’avvio di una procedura da parte della Commissione Europea.
Bolognini aggiunge: “La norma in questione è sbagliata, comunque, anche se riferita alla circolazione dei dati in call center extra-UE. Già oggi la normativa UE e il Codice italiano prevedono rigorosi strumenti di tutela contro il trasferimento “selvaggio” di dati personali all’estero. Sarebbe bene porre mano al Codice in materia di protezione dei dati personali con interventi organici, che utilizzino termini e riferimenti appropriati, perché il rischio, diversamente, è quello di inciampare in errori come questo”.

Approfondimenti
Testo dell’articolo 24-bis aggiunto in fase di conversione del DL Sviluppo

«Art. 24-bis. (Misure a sostegno della tutela dei dati personali, della sicurezza nazionale, della concorrenza e dell’occupazione nelle attività svolte da call center). – 1. Le misure del presente articolo si applicano alle attività svolte da call center con almeno venti dipendenti.2. Qualora un’azienda decida di spostare l’attività di call center fuori dal territorio nazionale deve darne comunicazione, almeno centoventi giorni prima del trasferimento, al Ministero del lavoro e delle politiche sociali indicando i lavoratori coinvolti. Inoltre deve darne comunicazione all’Autorità garante per la protezione dei dati personali, indicando quali misure vengono adottate per il rispetto della legislazione nazionale, in particolare del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, e del registro delle opposizioni. Analoga informativa deve essere fornita dalle aziende che già oggi operano in Paesi esteri.

3. In attesa di procedere alla ridefinizione del sistema degli incentivi all’occupazione nel settore dei call center, i benefìci previsti dalla legge 29 dicembre 1990, n. 407, non possono essere erogati ad aziende che delocalizzano attività in Paesi esteri.

4. Quando un cittadino effettua una chiamata ad un call center deve essere informato preliminarmente sul Paese estero in cui l’operatore con cui parla è fisicamente collocato e deve, al fine di poter essere garantito rispetto alla protezione dei suoi dati personali, poter scegliere che il servizio richiesto sia reso tramite un operatore collocato nel territorio nazionale.

5. Quando un cittadino è destinatario di una chiamata da un call center deve essere preliminarmente informato sul Paese estero in cui l’operatore è fisicamente collocato.

6. Il mancato rispetto delle disposizioni di cui al presente articolo comporta la sanzione amministrativa pecuniaria di 10.000 euro per ogni giornata di violazione.

7. All’articolo 61, comma 1, del decreto legislativo 10 settembre 2003, n. 276, e successive modificazioni, dopo le parole: “rappresentanti di commercio” sono inserite le seguenti: “, nonché delle attività di vendita diretta di beni e di servizi realizzate attraverso call center ‘outbound’ per le quali il ricorso ai contratti di collaborazione a progetto è consentito sulla base del corrispettivo definito dalla contrattazione collettiva nazionale di riferimento,”».

Commenti
Il Considerando 3 della Direttiva 95/46/CE recita: “considerando che l’instaurazione e il funzionamento del mercato interno, nel quale, conformemente all’articolo 7 A del trattato, è assicurata la libera circolazione delle merci, delle persone, dei servizi e dei capitali, esigono non solo che i dati personali possano circolare liberamente da uno Stato membro all’altro, ma che siano altresì salvaguardati i diritti fondamentali della persona”. Il Considerando 9 della medesima Direttiva recita: “considerando che, data la protezione equivalente derivante dal ravvicinamento delle legislazioni nazionali, gli Stati membri non potranno più ostacolare la libera circolazione tra loro di dati personali per ragioni inerenti alla tutela dei diritti e delle libertà delle persone fisiche, segnatamente del diritto alla vita privata; che gli Stati membri disporranno di un margine di manovra di cui potranno valersi, nell’applicazione della direttiva, i partner economici e sociali; che potranno quindi precisare nella loro legislazione nazionale le condizioni generali di liceità dei trattamenti; che così facendo gli Stati membri si adopereranno per migliorare la protezione attualmente prevista dalle loro leggi; che, nei limiti di tale margine di manovra e conformemente al diritto comunitario, potranno verificarsi divergenze nell’applicazione della direttiva e che queste potranno ripercuotersi sulla circolazione dei dati sia all’interno dello Stato membro che nelle Comunità”.

L’articolo 1 della Direttiva è il seguente:

Articolo 1

Oggetto della direttiva

1. Gli Stati membri garantiscono, conformemente alle disposizioni della presente direttiva, la tutela dei diritti e delle libertà fondamentali delle persone fisiche e particolarmente del diritto alla vita privata, con riguardo al trattamento dei dati personali.

2. Gli Stati membri non possono restringere o vietare la libera circolazione dei dati personali tra Stati membri, per motivi connessi alla tutela garantita a norma del paragrafo 1.

 

L’intero CAPO IV della Direttiva 95/46/CE, invece, si occupa del trasferimento di dati personali fuori dalla UE. In tal caso, il trasferimento è lecito se il Paese di destinazione è considerato adeguato e sicuro dalla Commissione Europea o se si utilizzano altri strumenti previsti dalla normativa europea (es. binding corporate rules o clausole standard stabilite dalla Commissione) anche in assenza del consenso dell’interessato. Questo significa che la norma approvata in Commissione, che limita il trasferimento dei dati personali all’estero, anche laddove fosse riferita solo a Paesi terzi extra-UE risulterebbe parziale e in contrasto con la Direttiva, poiché lascerebbe di fatto solo il consenso dell’interessato come unica condizione di liceità del trasferimento, mentre la Direttiva prevede – come d’altronde il nostro Codice privacy – altre possibilità di trasferimento lecito extra-UE.

Per chiarezza, comunque, si riporta il testo degli articoli 25 e 26 della Direttiva:

 

Articolo 25

Principi

1. Gli Stati membri dispongono che il trasferimento verso un paese terzo di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento può aver luogo soltanto se il paese terzo di cui trattasi garantisce un livello di protezione adeguato, fatte salve le misure nazionali di attuazione delle altre disposizioni della presente direttiva.

2. L’adeguatezza del livello di protezione garantito da un paese terzo è valutata con riguardo a tutte le circostanze relative ad un trasferimento o ad una categoria di trasferimenti di dati; in particolare sono presi in considerazione la natura dei dati, le finalità del o dei trattamenti previsti, il paese d’origine e il paese di destinazione finale, le norme di diritto, generali o settoriali, vigenti nel paese terzo di cui trattasi, nonché le regole professionali e le misure di sicurezza ivi osservate.

3. Gli Stati membri e la Commissione si comunicano a vicenda i casi in cui, a loro parere, un paese terzo non garantisce un livello di protezione adeguato ai sensi del paragrafo 2.

4. Qualora la Commissione constati, secondo la procedura dell’articolo 31, paragrafo 2, che un paese terzo non garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, gli Stati membri adottano le misure necessarie per impedire ogni trasferimento di dati della stessa natura verso il paese terzo in questione.

5. La Commissione avvia, al momento opportuno, negoziati per porre rimedio alla situazione risultante dalla constatazione di cui al paragrafo 4.

6. La Commissione può constatare, secondo la procedura di cui all’articolo 31, paragrafo 2, che un paese terzo garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, in particolare di quelli assunti in seguito ai negoziati di cui al paragrafo 5, ai fini della tutela della vita privata o delle libertà e dei diritti fondamentali della persona.

Gli Stati membri adottano le misure necessarie per conformarsi alla decisione della Commissione.

 

Articolo 26

Deroghe

1. In deroga all’articolo 25 e fatte salve eventuali disposizioni contrarie della legislazione nazionale per casi specifici, gli Stati membri dispongono che un trasferimento di dati personali verso un paese terzo che non garantisce una tutela adeguata ai sensi dell’articolo 25, paragrafo 2 può avvenire a condizione che:

a) la persona interessata abbia manifestato il proprio consenso in maniera inequivocabile al trasferimento previsto, oppure

b) il trasferimento sia necessario per l’esecuzione di un contratto tra la persona interessata ed il responsabile del trattamento o per l’esecuzione di misure precontrattuali prese a richiesta di questa, oppure

c) il trasferimento sia necessario per la conclusione o l’esecuzione di un contratto, concluso o da concludere nell’interesse della persona interessata, tra il responsabile del trattamento e un terzo, oppure

d) il trasferimento sia necessario o prescritto dalla legge per la salvaguardia di un interesse pubblico rilevante, oppure per costatare, esercitare o difendere un diritto per via giudiziaria, oppure

e) il trasferimento sia necessario per la salvaguardia dell’interesse vitale della persona interessata, oppure

f) il trasferimento avvenga a partire da un registro pubblico il quale, in forza di disposizioni legislative o regolamentari, sia predisposto per l’informazione del pubblico e sia aperto alla consultazione del pubblico o di chiunque possa dimostrare un interesse legittimo, nella misura in cui nel caso specifico siano rispettate le condizioni che la legge prevede per la consultazione.

2. Salvo il disposto del paragrafo 1, uno Stato membro può autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato ai sensi dell’articolo 25, paragrafo 2, qualora il responsabile del trattamento presenti garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l’esercizio dei diritti connessi; tali garanzie possono segnatamente risultare da clausole contrattuali appropriate.

3. Lo Stato membro informa la Commissione e gli altri Stati membri in merito alle autorizzazioni concesse a norma del paragrafo 2.

In caso di opposizione notificata da un altro Stato membro o dalla Commissione, debitamente motivata sotto l’aspetto della tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, la Commissione adotta le misure appropriate secondo la procedura di cui all’articolo 31, paragrafo 2.

Gli Stati membri adottano le misure necessarie per conformarsi alla decisione della Commissione.

4. Qualora la Commissione decida, secondo la procedura di cui all’articolo 31, paragrafo 2, che alcune clausole contrattuali tipo offrono le garanzie sufficienti di cui al paragrafo 2, gli Stati membri adottano le misure necessarie per conformarsi alla decisione della Commissione.