GARANTE PER LA PROTEZIONE DEI DATI PERSONALI - PROVVEDIMENTO 15 Novembre 2007 | Ingegneri.info

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI – PROVVEDIMENTO 15 Novembre 2007

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI - PROVVEDIMENTO 15 Novembre 2007 - Misure di semplificazione e trattamento di dati nell'ambito di servizi telefonici di assistenza e informazione al pubblico. (GU n. 285 del 7-12-2007 )

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

PROVVEDIMENTO 15 Novembre 2007

Misure di semplificazione e trattamento di dati nell’ambito di
servizi telefonici di assistenza e informazione al pubblico.

IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI
Nella riunione odierna, in presenza del prof. Francesco Pizzetti,
presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del
dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del
dott. Giovanni Buttarelli, segretario generale;
Visto il codice in materia di protezione dei dati personali
(decreto legislativo 30 giugno 2003, n. 196), con particolare
riguardo agli articoli 2 e 13;
Viste le osservazioni formulate dal segretario generale ai sensi
dell’art. 15 del regolamento del Garante n. 1/2000;
Relatore il prof. Francesco Pizzetti;
Premesso
1. Misure di semplificazione e trattamento di dati nell’ambito di
servizi telefonici di assistenza e informazione al pubblico.
1.1. La disciplina di protezione dei dati personali prevede che il
trattamento dei dati deve assicurare un livello elevato di tutela dei
diritti e delle liberta’ fondamentali “nel rispetto dei principi di
semplificazione, armonizzazione ed efficacia” (art. 1, comma 2, del
Codice).
Specifiche disposizioni attuano tali principi semplificando il
contenuto e le modalita’ per informare gli interessati rispetto al
trattamento, in particolare per quanto riguarda i servizi telefonici
di assistenza e di informazione al pubblico (art. 13, commi 2 e 3,
del Codice).
Il Garante intende sviluppare ulteriormente tali disposizioni
attraverso il presente provvedimento che tiene conto del principio
secondo cui l’informativa, quando i dati sono raccolti presso gli
interessati, “puo’ non comprendere gli elementi gia’ noti alla
persona che fornisce i dati” (art. 13, comma 2).
1.2. Numerosi soggetti pubblici e privati utilizzano in modo
crescente servizi telefonici di assistenza e di informazione al
pubblico nello svolgimento della propria attivita’ istituzionale,
professionale, commerciale o di natura personale.
Alcune scelte organizzative valorizzano il mezzo telefonico quale
canale di contatto privilegiato con l’utenza, specie nell’ambito di
societa’ di grandi dimensioni e di enti pubblici, il che puo’
accrescere l’economicita’ e l’efficienza nei servizi resi (cfr. in
merito art. 3 dir. min. 21 dicembre 2001, Linee guida in materia di
digitalizzazione dell’amministrazione, nella Gazzetta Ufficiale
5 febbraio 2002, n. 30; dir. min. 4 gennaio 2005, Linee guida in
materia di digitalizzazione dell’amministrazione, nella Gazzetta
Ufficiale 12 febbraio 2005).
La gestione del flusso delle chiamate, attraverso appositi servizi
di assistenza telefonica, puo’ assumere in talune circostanze una
particolare complessita’, strutturandosi su un insieme integrato di
sistemi informativi e di risorse umane.
A seconda delle caratteristiche dei servizi e dei relativi
destinatari e’ possibile individuare una vasta gamma di funzioni. Tra
le piu’ ricorrenti, possono evidenziarsi quelle di informazione e/o
di assistenza alla clientela (c.d. “customer care”), con riferimento
all’instaurazione e all’esecuzione di rapporti contrattuali in vari
contesti (prenotazione di servizi, phone-banking, ecc.), quelle
svolte a vantaggio della collettivita’ da parte di amministrazioni
pubbliche (si pensi alle chiamate di pubblica utilita’, incluse le
chiamate ai numeri di emergenza) o soggetti privati anche per quanto
riguarda servizi a sovrapprezzo di tipo sociale-informativo, di
assistenza, di consulenza tecnico-professionale e di intrattenimento.
1.3. Il presente provvedimento riguarda solo le attivita’ che
comportano un trattamento di dati personali prestate in modalita’
inbound, ossia oggetto di una chiamata dell’interessato anche se
effettuate senza la mediazione di un operatore (attraverso canali di
comunicazione interamente automatizzati).
Non formano invece oggetto di esame i servizi c.d. outbound, di
solito ricorrenti nello svolgimento di attivita’ di tele-marketing,
nell’ambito delle quali vengono contattati destinatari di
comunicazioni commerciali anche attraverso call center: al riguardo,
vige infatti un apposito quadro normativo (cfr. art. 58 del Codice
del consumo di cui al decreto legislativo 6 settembre 2005, n. 206;
art. 130 del Codice in materia di protezione dei dati personali; in
merito, v. pure i Provv. del 30 maggio 2007, doc. web n. 1412626;
doc. web n. 1412610; doc. web n. 1412598; doc. web n. 1412557 e doc.
web n. 1412586).
1.4. Il Garante, tenendo anche conto delle indicazioni e delle
richieste di chiarimento formulate (con specifico riguardo ai
rapporti con i committenti) da un’associazione di categoria
rappresentativa delle societa’ di call center operanti in
outsourcing, intende altresi’ precisare alcune modalita’ di
comportamento da osservare nella gestione dei servizi telefonici di
assistenza e informazione al pubblico (v. infra punti 2, 3, 4 e 5).
2. Tipologie di dati e modalita’ del loro trattamento.
Nello svolgimento delle attivita’ qui considerate possono essere
utilizzate legittimamente solo le informazioni personali pertinenti e
non eccedenti in relazione ai servizi richiesti, informazioni che
sono di regola comunicate direttamente dall’interessato.
Le tipologie di informazioni trattate sono piuttosto varie
comprendendo dati sia comuni (ad esempio, anagrafici o di natura
economica), sia sensibili (si pensi, esemplificativamente, alle
informazioni raccolte nell’ambito di servizi prestati da strutture
sanitarie). Alcune informazioni personali sono trattate mediante
sistemi automatizzati (ad esempio, con l’ausilio di risponditori
vocali automatici o grazie a sistemi informatici integrati idonei a
fornire informazioni sulla linea chiamante, attraverso il dispositivo
di individuazione della medesima).
La raccolta anche automatizzata di tali informazioni da parte
dell’operatore che gestisce il servizio di assistenza telefonica al
pubblico puo’ avvenire senza che gli interessati ne siano
specificamente consapevoli, come ad esempio nel caso di registrazione
automatica dei numeri chiamanti da terminali che lo consentono e che
permettono, quindi, di risalire all’identita’ dei relativi
utilizzatori.
In relazione a questo contesto il Garante, prima di provvedere in
merito all’informativa agli interessati, intende richiamare
l’attenzione degli operatori del settore su alcuni profili connessi a
tale problematica, utili per assicurare una piena conformita’ del
trattamento alle disposizioni vigenti in materia di protezione dei
dati personali dei trattamenti effettuati nell’ambito dei servizi
telefonici di assistenza e informazione al pubblico.
3. Titolare e responsabile del trattamento.
3.1. Il soggetto pubblico e privato “titolare del trattamento” puo’
svolgere le attivita’ volte a fornire servizi di assistenza e di
informazione al pubblico per via telefonica, tramite personale
operante sotto la sua diretta autorita’ in qualita’ di “incaricato
del trattamento” (art. 30 del Codice) o terzi cui e’ affidato il
servizio all’esterno sulla base di contratti di collaborazione (c.d.
outsourcing) che disciplinano le modalita’ per prestare questa
attivita’ strumentale.
Questa seconda soluzione e’ volta ad assecondare legittime esigenze
organizzative. Mentre in altre discipline settoriali possono essere
previste specifiche cautele (si pensi, esemplificativamente, a quelle
contenute nel Comunicato della Banca d’Italia, in Gazzetta Ufficiale
21 agosto 2002, n. 195, Esternalizzazione di attivita’ di sportello
e, sulla medesima materia, nella Comunicazione della Commissione
nazionale per la societa’ e la borsa n. Din/2073042 del 7 novembre
2002) la disciplina di protezione dei dati personali ammette e non
ostacola tale esternalizzazione. L’outsourcer va pero’ designato
quale “responsabile del trattamento” preposto ad attuare in concreto
le decisioni del “titolare del trattamento” sulle finalita’ e
modalita’ del trattamento, sugli strumenti utilizzati e sulla
sicurezza (articoli 4, 28 e 29 del Codice; v. pure Provv. 16 febbraio
2006, punto 6, doc. web n. 1242592).
3.2. Al fine di garantire una rigorosa osservanza dei principi di
protezione dei dati personali (e apprestare una tutela piu’ intensa a
favore degli interessati), il Codice richiede che chi operi in tale
veste debba essere particolarmente qualificato – dovendo essere
“individuato tra soggetti che per esperienza, capacita’ ed
affidabilita’ forniscano idonea garanzia del pieno rispetto delle
vigenti disposizioni in materia di trattamento, ivi compreso il
profilo relativo alla sicurezza” (art. 29, comma 2, del Codice) – e,
nell’ambito dei compiti che gli sono assegnati, debba conformare il
proprio operato alle istruzioni del “titolare del trattamento” (art.
29, commi 4 e 5, del Codice).
Il titolare del trattamento e’ chiamato a svolgere un’analisi anche
preventiva al trattamento delle implicazioni che le modalita’
operative prescelte possono comportare in ordine ai diritti degli
interessati, e a porre particolare cura nella valutazione delle
capacita’ professionali, nonche’ dell’adeguatezza organizzativa del
responsabile del trattamento, tenuto conto della natura dei dati
trattati. Questa valutazione d’insieme deve riguarda…

[Continua nel file zip allegato]

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI – PROVVEDIMENTO 15 Novembre 2007

Ingegneri.info