26 Lug DECRETO SVILUPPO, ISTITUTO PRIVACY: IN PARLAMENTO NORMA SBAGLIATA SUI CALL CENTER
«Art. 24-bis. (Misure a sostegno della tutela dei dati personali, della sicurezza nazionale, della concorrenza e dell’occupazione nelle attività svolte da call center). – 1. Le misure del presente articolo si applicano alle attività svolte da call center con almeno venti dipendenti.2. Qualora un’azienda decida di spostare l’attività di call center fuori dal territorio nazionale deve darne comunicazione, almeno centoventi giorni prima del trasferimento, al Ministero del lavoro e delle politiche sociali indicando i lavoratori coinvolti. Inoltre deve darne comunicazione all’Autorità garante per la protezione dei dati personali, indicando quali misure vengono adottate per il rispetto della legislazione nazionale, in particolare del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, e del registro delle opposizioni. Analoga informativa deve essere fornita dalle aziende che già oggi operano in Paesi esteri.
3. In attesa di procedere alla ridefinizione del sistema degli incentivi all’occupazione nel settore dei call center, i benefìci previsti dalla legge 29 dicembre 1990, n. 407, non possono essere erogati ad aziende che delocalizzano attività in Paesi esteri.
4. Quando un cittadino effettua una chiamata ad un call center deve essere informato preliminarmente sul Paese estero in cui l’operatore con cui parla è fisicamente collocato e deve, al fine di poter essere garantito rispetto alla protezione dei suoi dati personali, poter scegliere che il servizio richiesto sia reso tramite un operatore collocato nel territorio nazionale.
5. Quando un cittadino è destinatario di una chiamata da un call center deve essere preliminarmente informato sul Paese estero in cui l’operatore è fisicamente collocato.
6. Il mancato rispetto delle disposizioni di cui al presente articolo comporta la sanzione amministrativa pecuniaria di 10.000 euro per ogni giornata di violazione.
7. All’articolo 61, comma 1, del decreto legislativo 10 settembre 2003, n. 276, e successive modificazioni, dopo le parole: “rappresentanti di commercio” sono inserite le seguenti: “, nonché delle attività di vendita diretta di beni e di servizi realizzate attraverso call center ‘outbound’ per le quali il ricorso ai contratti di collaborazione a progetto è consentito sulla base del corrispettivo definito dalla contrattazione collettiva nazionale di riferimento,”».
L’articolo 1 della Direttiva è il seguente:
Articolo 1
Oggetto della direttiva
1. Gli Stati membri garantiscono, conformemente alle disposizioni della presente direttiva, la tutela dei diritti e delle libertà fondamentali delle persone fisiche e particolarmente del diritto alla vita privata, con riguardo al trattamento dei dati personali.
2. Gli Stati membri non possono restringere o vietare la libera circolazione dei dati personali tra Stati membri, per motivi connessi alla tutela garantita a norma del paragrafo 1.
L’intero CAPO IV della Direttiva 95/46/CE, invece, si occupa del trasferimento di dati personali fuori dalla UE. In tal caso, il trasferimento è lecito se il Paese di destinazione è considerato adeguato e sicuro dalla Commissione Europea o se si utilizzano altri strumenti previsti dalla normativa europea (es. binding corporate rules o clausole standard stabilite dalla Commissione) anche in assenza del consenso dell’interessato. Questo significa che la norma approvata in Commissione, che limita il trasferimento dei dati personali all’estero, anche laddove fosse riferita solo a Paesi terzi extra-UE risulterebbe parziale e in contrasto con la Direttiva, poiché lascerebbe di fatto solo il consenso dell’interessato come unica condizione di liceità del trasferimento, mentre la Direttiva prevede – come d’altronde il nostro Codice privacy – altre possibilità di trasferimento lecito extra-UE.
Per chiarezza, comunque, si riporta il testo degli articoli 25 e 26 della Direttiva:
Articolo 25
Principi
1. Gli Stati membri dispongono che il trasferimento verso un paese terzo di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento può aver luogo soltanto se il paese terzo di cui trattasi garantisce un livello di protezione adeguato, fatte salve le misure nazionali di attuazione delle altre disposizioni della presente direttiva.
2. L’adeguatezza del livello di protezione garantito da un paese terzo è valutata con riguardo a tutte le circostanze relative ad un trasferimento o ad una categoria di trasferimenti di dati; in particolare sono presi in considerazione la natura dei dati, le finalità del o dei trattamenti previsti, il paese d’origine e il paese di destinazione finale, le norme di diritto, generali o settoriali, vigenti nel paese terzo di cui trattasi, nonché le regole professionali e le misure di sicurezza ivi osservate.
3. Gli Stati membri e la Commissione si comunicano a vicenda i casi in cui, a loro parere, un paese terzo non garantisce un livello di protezione adeguato ai sensi del paragrafo 2.
4. Qualora la Commissione constati, secondo la procedura dell’articolo 31, paragrafo 2, che un paese terzo non garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, gli Stati membri adottano le misure necessarie per impedire ogni trasferimento di dati della stessa natura verso il paese terzo in questione.
5. La Commissione avvia, al momento opportuno, negoziati per porre rimedio alla situazione risultante dalla constatazione di cui al paragrafo 4.
6. La Commissione può constatare, secondo la procedura di cui all’articolo 31, paragrafo 2, che un paese terzo garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, in particolare di quelli assunti in seguito ai negoziati di cui al paragrafo 5, ai fini della tutela della vita privata o delle libertà e dei diritti fondamentali della persona.
Gli Stati membri adottano le misure necessarie per conformarsi alla decisione della Commissione.
Articolo 26
Deroghe
1. In deroga all’articolo 25 e fatte salve eventuali disposizioni contrarie della legislazione nazionale per casi specifici, gli Stati membri dispongono che un trasferimento di dati personali verso un paese terzo che non garantisce una tutela adeguata ai sensi dell’articolo 25, paragrafo 2 può avvenire a condizione che:
a) la persona interessata abbia manifestato il proprio consenso in maniera inequivocabile al trasferimento previsto, oppure
b) il trasferimento sia necessario per l’esecuzione di un contratto tra la persona interessata ed il responsabile del trattamento o per l’esecuzione di misure precontrattuali prese a richiesta di questa, oppure
c) il trasferimento sia necessario per la conclusione o l’esecuzione di un contratto, concluso o da concludere nell’interesse della persona interessata, tra il responsabile del trattamento e un terzo, oppure
d) il trasferimento sia necessario o prescritto dalla legge per la salvaguardia di un interesse pubblico rilevante, oppure per costatare, esercitare o difendere un diritto per via giudiziaria, oppure
e) il trasferimento sia necessario per la salvaguardia dell’interesse vitale della persona interessata, oppure
f) il trasferimento avvenga a partire da un registro pubblico il quale, in forza di disposizioni legislative o regolamentari, sia predisposto per l’informazione del pubblico e sia aperto alla consultazione del pubblico o di chiunque possa dimostrare un interesse legittimo, nella misura in cui nel caso specifico siano rispettate le condizioni che la legge prevede per la consultazione.
2. Salvo il disposto del paragrafo 1, uno Stato membro può autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato ai sensi dell’articolo 25, paragrafo 2, qualora il responsabile del trattamento presenti garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l’esercizio dei diritti connessi; tali garanzie possono segnatamente risultare da clausole contrattuali appropriate.
3. Lo Stato membro informa la Commissione e gli altri Stati membri in merito alle autorizzazioni concesse a norma del paragrafo 2.
In caso di opposizione notificata da un altro Stato membro o dalla Commissione, debitamente motivata sotto l’aspetto della tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, la Commissione adotta le misure appropriate secondo la procedura di cui all’articolo 31, paragrafo 2.
Gli Stati membri adottano le misure necessarie per conformarsi alla decisione della Commissione.
4. Qualora la Commissione decida, secondo la procedura di cui all’articolo 31, paragrafo 2, che alcune clausole contrattuali tipo offrono le garanzie sufficienti di cui al paragrafo 2, gli Stati membri adottano le misure necessarie per conformarsi alla decisione della Commissione.