Gazzetta n. 153 del 4 luglio 2011 (vai al sommario)
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
DELIBERAZIONE 15 giugno 2011
Titolarita' del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attivita' promozionali.


IL GARANTE
PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;
Visto il Codice in materia di protezione dei dati personali (decreto legislativo 30 giugno 2003, n. 196, di seguito Codice) ed, in particolare, gli articoli 4, comma 1, lettere f) e g), 28 e 29 che disciplinano, rispettivamente, le figure soggettive del titolare e del responsabile del trattamento di dati personali nonche' gli articoli 129 e 130 in materia di elenchi di abbonati e di comunicazioni indesiderate effettuate con mezzi diversi;
Visto l'art. 20-bis della legge 20 novembre 2009, n. 166 (pubblicata nella Gazzetta Ufficiale n. 215 del 24 novembre 2009, con la quale e' stato convertito, con modificazioni, il decreto-legge 25 settembre 2009, n. 135) che, novellando l'art. 130 del Codice, ha consentito il trattamento dei dati personali pubblicati negli elenchi di abbonati ai servizi di telefonia per l'effettuazione di chiamate con operatore a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, salvo il diritto di opposizione dell'interessato;
Visto il «Regolamento recante istituzione e gestione del registro pubblico degli abbonati che si oppongono all'utilizzo del proprio numero telefonico per vendite o promozioni commerciali», di seguito Registro pubblico delle opposizioni (decreto del Presidente della Repubblica del 7 settembre 2010, n. 178, pubblicato nella Gazzetta Ufficiale n. 256 del 2 novembre 2010);
Visto il parere n. 1/2010 WP 169 adottato il 16 febbraio 2010 dal Gruppo di lavoro art. 29 (http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_ it.pdf), che ha ulteriormente chiarito, in linea con la direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 (doc web n. 432175), le nozioni di responsabile e di incaricato del trattamento specificando, tra l'altro, che ai fini dell'individuazione della titolarita' concretamente esercitata occorre esaminare anche «elementi extracontrattuali, quali il controllo reale esercitato da una parte, l'immagine data agli interessati e il legittimo affidamento di questi ultimi sulla base di questa visibilita'»;
Considerato che detto parere, peraltro corredato di alcuni dettagliati esempi, ha evidenziato la necessita' di riconoscere la titolarita' del trattamento dei dati dei destinatari di iniziative di telemarketing in capo alla societa' che si avvalga di soggetti esterni incaricati di effettuare campagne promozionali per suo conto, quando ai menzionati soggetti esterni siano state impartite specifiche istruzioni, ed in considerazione, altresi', del controllo esercitato dalla societa' circa il rispetto di tali istruzioni e delle condizioni contrattuali pattiziamente previste;
Visto il provvedimento del Garante del 16 febbraio 2006 (doc. web n. 1242592) che, in materia di servizi telefonici non richiesti, ha sottolineato la necessita' che l'eventuale designazione, in qualita' di responsabili del trattamento, di rivenditori o agenti incaricati della commercializzazione di prodotti e servizi per conto di altra societa' risponda alla realta' effettiva dei rapporti rilevanti in materia di trattamento dei dati;
Visto il provvedimento del Garante del 29 aprile 2009 (doc. web n. 1617709) che, analizzando il concreto rapporto intercorrente tra un titolare del trattamento e distinti operatori ai quali venivano affidati taluni servizi, ha fornito criteri per la corretta individuazione delle figure del titolare e del responsabile del trattamento di dati personali;
Considerato che nell'ipotesi, ora richiamata, di servizi resi da diverse societa' appaltatrici, subordinate al rispetto delle istruzioni ed al potere di controllo esercitato dalla societa' appaltante, quest'ultima e' stata riconosciuta agire quale unico titolare del trattamento e, appunto in virtu' di tale qualifica, le e' stato prescritto di designare le societa' appaltatrici responsabili del trattamento, ai sensi delle disposizioni del Codice;
Visto il provvedimento del Garante del 12 maggio 2011 (doc web n. 1813953) che, in materia di circolazione dei dati dei clienti in ambito bancario, ha precisato che le societa' esterne alle banche che gestiscono in outsourcing i sistemi informativi contenenti i dati della clientela devono essere effettivamente considerate non gia' titolari, bensi' responsabili del trattamento dei medesimi dati quando, in concreto, le banche mantengono i poteri che il Codice attribuisce in esclusiva, appunto, al titolare (quali, ad esempio, l'assunzione di decisioni relative alle finalita' del trattamento, l'imposizione di istruzioni e direttive vincolanti e lo svolgimento di funzioni di controllo);
Ribadite le considerazioni gia' oggetto dei richiamati provvedimenti;
Ritenuto di dover definire, nel contesto sopra delineato, un quadro unitario di misure e di accorgimenti necessari ed opportuni con lo scopo di fornire utili orientamenti sia agli operatori del settore (titolari e responsabili del trattamento) sia agli interessati, individuando i comportamenti piu' appropriati da adottare alla luce della richiamata normativa anche in ordine all'imputazione delle responsabilita' eventualmente gravanti sui soggetti che, anche a seguito dell'istituzione del Registro pubblico delle opposizioni, avviano contatti commerciali;
Ritenuta la necessita' di prescrivere alle societa' che si avvalgono di soggetti esterni (c.d. outsourcer) per le attivita' di promozione e di commercializzazione di propri beni e servizi, in qualita' di titolari del trattamento, ai sensi dell'art. 143, comma 1, lettera b) e art. 154, comma 1, lettera c) del Codice, le misure necessarie per rendere il trattamento conforme alle disposizioni vigenti, anche in considerazione delle recenti modifiche normative e regolamentari sopra richiamate;
Vista la documentazione in atti;
Viste le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del Regolamento del Garante n. 1/2000 del 28 giugno 2000;
Relatore il prof. Francesco Pizzetti

Premesso

Il presente provvedimento intende fornire prescrizioni in relazione al trattamento di dati personali dei destinatari di iniziative di carattere commerciale per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale attuate in favore di un soggetto da parte di un altro soggetto che agisce in nome o, comunque, per conto del primo in base a specifico mandato o accordo.
Nel redigere il provvedimento sono state, in particolare, tenute in considerazione le numerose istanze (segnalazioni, reclami e richieste di pareri) pervenute in materia di trattamento dei dati personali degli abbonati ai servizi di telefonia i quali, nonostante l'iscrizione dei propri dati anagrafici e dell'utenza della quale sono intestatari nel Registro pubblico delle opposizioni, ed in assenza di altre condizioni legittimanti, hanno lamentato la ricezione di contatti indesiderati per finalita' promozionali di carattere commerciale, ovvero hanno segnalato la ricezione di comunicazioni a carattere pubblicitario non richieste trasmesse via telefax.
Nel corso dell'attivita' istruttoria avviata dall'Autorita' e' emerso che in diversi casi le societa' che producono o vendono beni ed erogano i servizi oggetto delle campagne promozionali (di seguito, preponenti) si avvalgono di soggetti terzi (gli outsourcer) cui, previa sottoscrizione di specifico accordo - generalmente nella forma del contratto di agenzia di cui agli articoli 1742 ss. del Codice civile - e' conferito mandato, spesso con rappresentanza, e demandata l'attivita' di promozione e commercializzazione dei menzionati beni e servizi. Lo svolgimento di tale attivita' e' normalmente effettuato su base territoriale; con indicazione, cioe', di una specifica area geografica di competenza dell'agente. Vi sono ricompresi, tra l'altro, il contatto con il potenziale cliente, la sottoposizione della proposta commerciale, la raccolta dell'eventuale adesione, l'utilizzo della modulistica fornita dalla societa' preponente ed, infine, la trasmissione dei dati a quest'ultima perche' curi gli adempimenti di propria competenza. E' stato accertato, inoltre, che gli agenti sono nella maggior parte dei casi tenuti a seguire specifiche attivita' di formazione (attraverso incontri, seminari o apposite convention) e ricevono puntuali, aggiornate istruzioni anche con riguardo al trattamento dei dati personali dei soggetti contattati.
Alcune delle societa' preponenti risultano aver opportunamente provveduto a nominare responsabili del trattamento le agenzie che, operando in outsourcing, si occupano, appunto, della promozione e della commercializzazione di prodotti e servizi per conto della societa' avviando, a tal fine, mirati contatti commerciali nei confronti di potenziali clienti; altre, invece (tra queste, ad esempio, BT Italia S.p.A., Wind Telecomunicazioni S.p.A., Vodafone Omnitel N.V., Teletu S.p.A.) hanno affermato che gli agenti in questione agiscono in qualita' di titolari autonomi del trattamento dei dati dei potenziali clienti, ed hanno pertanto rivendicato la propria estraneita' rispetto ad eventuali illeciti (quali, ad esempio, contatti promozionali indesiderati avviati nei confronti di titolari di utenze telefoniche che abbiano curato la propria iscrizione nel Registro pubblico delle opposizioni, spesso perfino a seguito del reiterato esercizio del diritto di opposizione da parte degli interessati; trasmissione, in assenza del consenso informato dell'interessato, di messaggi a carattere pubblicitario via telefax etc.).
Le risultanze istruttorie hanno dimostrato, tuttavia, che in tutti i casi oggetto di indagine gli out source ragiscono in carenza degli imprescindibili presupposti perche' possa essere loro riconosciuta autonoma titolarita' nel trattamento di dati personali, come risulta alla stregua delle seguenti, numerose considerazioni:
i contatti a carattere promozionale sono effettuati in nome, comunque per conto e nell'interesse della societa' preponente; con l'effetto che negli interessati si ingenera un legittimo affidamento, dal momento che essi percepiscono di essere destinatari di iniziative pubblicitarie condotte direttamente dalla societa' per conto della quale viene formulata la proposta di vendita di prodotti o servizi;
i preponenti forniscono agli agenti dettagliate istruzioni sulle finalita' del trattamento, sui mezzi da impiegare per il conseguimento di tali finalita' e sui compiti assegnati, che sono specificamente e rigorosamente definiti;
gli agenti sono, inoltre, contrattualmente tenuti anche al rispetto della normativa vigente in materia di privacy;
il mandato, spesso con rappresentanza, di volta in volta conferito vincola l'agente alla presentazione di offerte ed alla conclusione di contratti in nome, comunque per conto del preponente utilizzando, peraltro, la modulistica predisposta da quest'ultimo. Tali modalita' sono strettamente connesse ai concetti giuridici di «procura» e di «delega», con ogni riflesso anche in ordine alla ripartizione delle responsabilita' in materia di trattamento dei dati personali;
agli agenti vengono fornite, per il tramite di circolari informative ovvero di incontri, convention, istruzioni etc., anche le specifiche indicazioni operative da seguire per lo svolgimento dell'attivita' di marketing, spesso aggiornate con riferimento alle nuove modalita' connesse all'entrata in vigore del Registro pubblico delle opposizioni;
a seguito dell'intervento dell'Autorita', con il dichiarato fine di evitare futuri, indesiderati contatti telefonici o via telefax verso i segnalanti, i preponenti, nella quasi totalita' dei casi, hanno provveduto ad inserire quei nominativi e le connesse utenze telefoniche all'interno di una propria black list a disposizione delle strutture anche esterne alle societa' (gli outsourcer).
Considerato che gli articoli 4, comma 1, lettera f) e 28 del Codice definiscono, rispettivamente, il titolare come il soggetto «cui competono ... le decisioni in ordine alle finalita', alle modalita' del trattamento di dati personali e agli strumenti utilizzati» e che esercita «un potere decisionale del tutto autonomo sulle finalita' e sulle modalita' del trattamento, ivi compreso il profilo della sicurezza», deve essere, allora, ribadito che le agenzie in outsourcing che effettuano il trattamento di dati personali nei termini indicati nel presente provvedimento non possono essere considerate quali titolari autonomi, dal momento che all'asserita titolarita' formale non corrispondono, anche in termini concreti, i poteri tassativamente previsti dal Codice per la configurazione e l'esercizio della titolarita', che sono e restano appannaggio esclusivo dei preponenti. Tra questi, innanzitutto:
assumere decisioni relative alle finalita' del trattamento dei dati dei destinatari di campagne promozionali ai fini di invio di materiale pubblicitario o di vendita diretta o di ricerche commerciali o di comunicazione commerciale effettuate da soggetti terzi che agiscono in outsourcing per lo svolgimento delle richiamate attivita' di promozione e di commercializzazione di beni, prodotti e servizi;
impartire istruzioni e direttive vincolanti nei confronti degli outsourcer, sostanzialmente corrispondenti alle istruzioni che il titolare del trattamento deve impartire al responsabile;
svolgere funzioni di controllo rispetto all'operato degli outsourcer medesimi.
D'altro canto, se gli agenti rivestissero la qualifica di autonomi titolari, la comunicazione dei dati dei clienti alla societa' preponente, a qualunque titolo e per qualunque causa effettuata, ivi compresa quella gia' emersa nel corso dell'attivita' istruttoria relativamente ai contratti stipulati, risulterebbe lecita soltanto ove fosse stato preventivamente acquisito il consenso informato dell'interessato (articoli 13 e 23 del Codice) ovvero sussistesse uno dei presupposti di esonero rispetto all'obbligo della sua acquisizione (art. 24 del Codice). In difetto, la trasmissione di quelle informazioni sarebbe non conforme al Codice, con conseguenti applicabilita' delle relative sanzioni e inutilizzabilita' dei dati ai sensi dell'art. 11, comma 2.
Al pari viziata sarebbe anche la comunicazione, da parte della societa' agli outsourcer, dei dati personali dei soggetti che, avendo manifestato la propria opposizione al trattamento, vengono inseriti nella black list per evitare il reiterarsi dell'indesiderato contatto commerciale.
Alla luce delle richiamate considerazioni risulta, per converso, evidente che gli agenti operano di fatto, e a tutti gli effetti, come se fossero stati «preposti dal titolare al trattamento di dati personali», dunque in piena e sostanziale aderenza alla definizione del «responsabile» di cui all'art. 4, comma 1, lettera g) del Codice.
Nel sistema delineato dal Codice, segnatamente ai sensi del combinato disposto di cui agli articoli 4, comma 1, lettere g) ed f), 28 e 29, l'esternalizzazione delle attivita' promozionali costituisce senz'altro una libera scelta organizzativa ed imprenditoriale di competenza esclusiva del titolare e dunque, nella specie, delle societa' preponenti; cionondimeno, nelle situazioni verificate dall'Autorita' ed in tutte quelle in cui, pur non oggetto di formale indagine, l'atteggiarsi concreto dei rapporti tra i diversi operatori coinvolti sia riconducibile alle fattispecie fin qui esaminate, occorre assicurare la conformita' dei relativi trattamenti, ivi compresi quelli gia' in essere, alle norme in materia di protezione di dati personali.
E', in altri termini, sempre rimessa al titolare, quale esercizio di una propria libera facolta', la scelta di avvalersi di uno o piu' soggetti i quali, anche in outsourcing, svolgano comunque, anche in via di fatto, le attivita' tipiche del responsabile; qualora, tuttavia - come nei casi esaminati - il titolare decida in tal senso, sara' tenuto ad adoperarsi affinche' all'atteggiarsi concreto dei rapporti corrisponda anche la loro corretta qualificazione giuridica sotto il profilo della protezione dei dati personali.
Ne consegue che in tali situazioni, affinche' i connessi trattamenti di dati personali risultino conformi alla disciplina sulla protezione dei dati personali, e' necessario che gli outsourcer, i quali - lo si ripete - gia' concretamente operano, in via di fatto, nella specifica qualita' di responsabili del trattamento secondo la definizione del Codice, ricevano anche una espressa e formale designazione in tal senso, secondo il disposto dell'art. 29.

Tutto cio' premesso
ai sensi degli articoli 143, comma 1, lettera b) e 154, comma 1, lettera c) del Codice, il Garante dispone che tutti i preponenti, che sono titolari del trattamento in quanto, ai sensi di cui in motivazione, svolgono le attivita' proprie di tale qualifica, procedano, entro 60 giorni dalla pubblicazione del presente provvedimento nella Gazzetta Ufficiale, a designare le societa' ovvero i soggetti terzi che agiscono in outsourcing, responsabili del trattamento ai sensi e per gli effetti degli articoli 4, comma 1, lettera g) e 29, commi 4 e 5 del Codice.
L'Autorita' si riserva inoltre, con autonomi procedimenti, la verifica dei presupposti per contestare ai titolari del trattamento cosi' identificati le violazioni amministrative di cui agli articoli 130, comma 3-bis, 161 e 162, commi 2-bis e 2-quater.
Avverso il presente provvedimento puo' essere proposta opposizione ai sensi dell'art. 152 del Codice con ricorso dinanzi all'autorita' giudiziaria ordinaria, in particolare al tribunale del luogo ove risiede il titolare del trattamento, da presentarsi entro il termine di trenta giorni dalla data della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. Si ricorda che l'opposizione non sospende l'esecuzione del provvedimento (art. 152, comma 5 del Codice).
Si dispone la trasmissione di copia del presente provvedimento al Ministero della giustizia - Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 15 giugno 2011

Il presidente e relatore: Pizzetti
Il segretario generale: De Paoli
 
Gazzetta Ufficiale Serie Generale per iPhone