Trattamento dei dati in outsourcing

outsourcingDopo la riforma della normativa sul telemarketing e sul marketing postale, il Garante per la privacy ha avuto occasione di occuparsi della materia, convincendosi che il registro delle opposizioni al telemarketing non ha quell’impatto positivo che si era preannunciato, anzi nonostante il suo avvio negli ultimi mesi si è avuto un forte incremento del fenomeno delle comunicazioni commerciali indesiderate, sia via fax che per telefono o posta, comunicazioni che raggiungono comunque anche soggetti iscritti al suddetto registro.
In particolare dalle verifiche dell’autorità è emerso che molte aziende si avvalgono di società in outsourcing per le attività promozionali, definendo però esse stesse gli obiettivi, le strategie commerciali e le istruzioni per tali attività. Nel contempo tali società committenti delle campagne promozionali si dicono estranee rispetto ad eventuali illeciti commessi dalle società incaricate delle campagne, trincerandosi appunto dietro l’outsourcing delle attività di marketing.
In questi casi però, sostiene il Garante, in assenza di autonomia decisionale le società che operano in outsourcing non possono essere ritenute titolari del trattamento, per cui tale titolarità rimane in capo alle committenti. La conseguenza ovvia è che sono le società committenti che dovranno rispondere di ogni illecito eventualmente commesso dalle società che operano in outsourcing, nonché della eventuale mancata nomina di responsabili del trattamento.

Quindi, con apposito provvedimento generale pubblicato sulla G.U. n. 153 del 4 luglio, il Garante è intervenuto fornendo le prescrizioni relative al trattamento dei dati personali operato nei casi di comunicazioni commerciali inviate da un soggetto che agisce per in nome o comunque per conto di altro soggetto, in base a specifico mandato o accordo.
In particolare l’autorità ha precisato che “le agenzie in outsourcing che effettuano il trattamento di dati personali nei termini indicati nel presente provvedimento non possono essere considerate quali titolari autonomi, dal momento che all'asserita titolarità formale non corrispondono, anche in termini concreti, i poteri tassativamente previsti dal Codice per la configurazione e l'esercizio della titolarità, che sono e restano appannaggio esclusivo dei preponenti. Tra questi, innanzitutto:
    - assumere decisioni relative alle finalità del trattamento dei dati dei destinatari di campagne promozionali ai fini di invio di materiale pubblicitario o di vendita diretta o di ricerche commerciali o di comunicazione commerciale effettuate da soggetti terzi che agiscono in outsourcing per lo svolgimento delle richiamate attività di promozione e di commercializzazione di beni, prodotti e servizi;
    - impartire istruzioni e direttive vincolanti nei confronti degli outsourcer, sostanzialmente corrispondenti alle istruzioni che il titolare del trattamento deve impartire al responsabile;
    - svolgere funzioni di controllo rispetto all'operato degli outsourcer medesimi”.

L’autorità precisa anche che ai sensi del Codice della Privacy non si potrebbe configurare diversamente la posizione degli outsorcerer, perché “se gli agenti rivestissero la qualifica di autonomi titolari, la comunicazione dei dati dei clienti alla società preponente”, quindi, “risulterebbe lecita soltanto ove fosse stato preventivamente acquisito il consenso informato dell'interessato (artt. 13 e 23 del Codice) ovvero sussistesse uno dei presupposti di esonero rispetto all'obbligo della sua acquisizione (art. 24 del Codice)”.
E “al pari viziata sarebbe anche la comunicazione, da parte della società agli outsourcer, dei dati personali dei soggetti che, avendo manifestato la propria opposizione al trattamento, vengono inseriti nella black list per evitare il reiterarsi dell'indesiderato contatto commerciale”.

Risulta quindi evidente, conclude l’autorità, che gli agenti operano di fatto come “preposti dal titolare al trattamento di dati personali”, cioè come “responsabili” ai sensi del’art. 4 lett. g) del Codice, operazione del tutto lecita e rimessa alla volontà del titolare che può servirsi di soggetti che, anche in outsourcing, svolgano le attività del responsabile.
In tal senso occorre, però, che gli agenti ricevano espressa e formale designazione quali responsabili del trattamento, con tutte le conseguenze del caso.

In conclusione il Garante invita le società che si avvalgono di soggetti esterni per campagne promozionali a designare entro 60 giorni i soggetti terzi quali responsabili del trattamento, riservandosi la verifica dei presupposti per eventuali contestazioni alle società committenti in merito a trattamenti non autorizzati o mancate comunicazioni od inidonee informative agli interessati.