Il diritto alla portabilità dei dati (art. 20 RGPD): infografica del Garante e linee guida

0001

Linee-guida sul diritto alla “portabilità dei dati” – WP242
adottate dal Gruppo di lavoro Art. 29 il 13 dicembre 2016

english version

Le risposte alle domande più frequenti – FAQ
Allegato alle Linee-guida sul diritto alla “portabilità dei dati” – WP242

english version

Nuove disposizioni in materia di call center: le FAQ del Mise e i Modelli da utilizzare

sfondo_call_center6Nuove disposizioni normative sulle attività di call center: sono riportate di seguito una serie di risposte alle richieste di chiarimenti che sono state poste o che potrebbero essere poste più frequentemente (FAQ), basate sulle interpretazioni attualmente condivise con gli altri soggetti istituzionali richiamati dalla norma.

In chiusura del post sono riportati i Modelli da utilizzare per la comunicazione al Mise.

Nuove disposizioni normative sulle attività di call center
Articolo 1, comma 243, della legge n. 232 del 2016 (c.d. legge di bilancio)
che sostituisce l’art. 24-bis, D.L. 22/06/2012, n. 83 convertito con modificazioni dalla legge 07/08/2012, n. 134/2012

Chi sono i soggetti tenuti agli obblighi di comunicazione nei confronti del Ministero dello sviluppo economico sulla base dalle nuove disposizioni normative?

Qualunque operatore economico che decida di localizzare o abbia localizzato, anche mediante affidamento a terzi, l’attività di call center fuori dal territorio nazionale in un Paese non membro dell’Unione europea.

Quali elementi informativi deve contenere la comunicazione al Ministero dello sviluppo economico?

La specifica comunicazione da effettuare al Ministero dello sviluppo economico da parte dell’operatore economico che localizza o abbia localizzato, anche mediante affidamento a terzi, l’attività di call center fuori dal territorio nazionale in un Paese extra UE deve contenere le numerazioni telefoniche messe a disposizione del pubblico ed i corrispettivi Paesi in cui sono localizzate.

Le numerazioni oggetto di obbligo di comunicazione al Ministero dello sviluppo economico includono anche il tradotto geografico internazionale?

Si, per ciascuna numerazione telefonica messa a disposizione del pubblico e utilizzata per i servizi delocalizzati occorre inserire anche il tradotto geografico internazionale.

Cosa si intende per “operatore economico”?

La nozione di operatore economico richiamata dalla normativa è coerentemente riferibile alla definizione riportata all’art.3, comma 1, lett. p) del Decreto Legislativo n.50/2016 (Codice dei contratti pubblici), ovvero sono operatori economici coloro che offrono beni e servizi sul mercato a prescindere dalla forma giuridica di riferimento. Pertanto sono esclusi dalla definizione le pubbliche amministrazioni nell’assolvimento dei loro compiti istituzionali nonché tutti i soggetti di qualsiasi natura nello svolgimento di un’attività che non sia correlata, direttamente o indirettamente, ad uno scopo di lucro.

L’ambito di applicazione della norma può ritenersi ancora limitato alle sole aziende che svolgono in via assolutamente prevalente attività di call center?

No, l’ambito di applicazione soggettivo dell’art. 24 bis, è riferibile all’operatore economico, indipendentemente dal numero di dipendenti occupati, che svolge attività di call center utilizzando numerazioni telefoniche messe a disposizione del pubblico, a prescindere dalla prevalenza o meno dell’attività di call center rispetto al resto della propria attività.

L’operatore economico che affida parzialmente o totalmente a terzi l’attività di call center è soggetto all’obbligo di comunicazione nei confronti del Ministero dello sviluppo economico?

Si, è soggetto alle prescrizioni di legge l’operatore economico che svolge servizi di call center tanto tramite una struttura interna all’azienda quanto in outsourcing. Nel caso di affidamento a terzi dei servizi di call center, la norma ha esplicitamente previsto una responsabilità solidale tra committente e gestore del call center.

L’operatore economico che svolge attività di call center attraverso società controllata facente parte del Gruppo societario è soggetto agli obblighi di legge?

Si, dalla normativa emerge la responsabilità dell’operatore economico sia che svolga esso stesso l’attività sia che si avvalga di servizi di call center esterno

L’operatore economico straniero che svolge un servizio di call center ubicato in un Paese extra UE, pur avendo un diverso core business, è soggetto agli obblighi di legge?

Si, sono soggetti agli adempimenti di legge anche gli operatori economici stranieri che svolgono essi stessi o si avvalgono di servizi di call center su numerazioni nazionali geografiche (qualsiasi numero del piano nazionale di numerazione per cui alcune cifre fungono da indicativo geografico e sono utilizzate per instradare le chiamate e le terminazioni di rete) e non geografiche (qualsiasi numero del piano nazionale di numerazione che non sia geografico ad esempio i numeri per servizi di comunicazione mobili e personali, i numeri di chiamata gratuita e i numeri a tariffazione specifica).

Cosa si intende per “attività di call center”?

Per l’individuazione di tale attività si dovrà fare riferimento alla definizione di call center contenuta nell’art. 1, lett. d) della Delibera n. 79/09/CSP dell’Autorità per le garanzie nelle comunicazioni, per il quale esso è un insieme di risorse umane e di infrastrutture specializzate che consente contatti e comunicazioni multicanale con gli utenti (attraverso più mezzi, per esempio telefonia, internet, posta). Tale attività ricade nell’ambito applicativo dell’art. 24 bis sia ove realizzata tramite strutture interne sia quando viene affidata in outsourcing, purché si utilizzino numerazioni telefoniche messe a disposizione del pubblico.

Le prescrizioni di legge si applicano sia alle attività di call center inbound che outbound?

Si, gli obblighi di legge si applicano in riferimento ai servizi di call center e relative numerazioni a prescindere dalla tipologia di svolgimento dell’attività (sia in entrata che in uscita, inbound/outbound).

L’informazione preliminare in merito al Paese in cui è fisicamente collocato l’operatore che risponde è dovuta anche nel caso in cui l’operatore è ubicato in Italia o in un Paese UE?

Si, l’obbligo informativo relativo al Paese in cui l’operatore con cui si parla è fisicamente collocato prescinde dalla localizzazione ed è applicabile anche agli operatori ubicati in Italia o in un Paese UE.

L’obbligo di informazione preliminare deve riguardare necessariamente la località in cui l’operatore è fisicamente collocato?

No, è sufficiente fornire l’informazione del Paese in cui è ubicato l’operatore del call center.

L’obbligo di informazione preliminare sulla localizzazione del call center si intende assolto anche attraverso ricorso al sistema di Interactive Voice Response (IVR)?

Si, è possibile adempiere all’obbligo di legge tramite il sistema IVR e tramite operatore.

L’obbligo di informazione preliminare, qualora l’operatore è ubicato in un Paese extra UE, circa la possibilità di richiedere che il servizio sia reso da un operatore collocato nel territorio nazionale o in un Paese UE e l’immediato trasferimento della chiamata a seguito di specifica richiesta si intendono assolti anche attraverso ricorso al sistema di Interactive Voice Response (IVR)?

Si, è possibile adempiere agli obblighi di legge tramite il sistema IVR e tramite operatore.

logo_mise_400

 

I Modelli per adempiere agli obblighi di comunicazione nei confronti del Ministero dello sviluppo economico.

Di seguito i due modelli (il cui contenuto è aggiornato rispetto a quello già reso disponibile in passato in uno al menzionato provvedimento del 10 ottobre 2013, n. 444) volti ad agevolare l’assolvimento degli obblighi comunicativi diretti all’Autorità, utilizzabili dagli operatori economici cui facciano capo le localizzazioni in Paesi terzi dell’attività di call center (inbound e outbound):

  1. un primo modello potrà essere utilizzato, ai sensi dell’art. 24-bis, comma 2, lett. c), da parte degli operatori economici che intendono localizzare l’attività di call center in Paesi terzi in tempi successivi all’entrata in vigore della nuova disciplina.

A tal proposito va rammentato che in caso di omessa o tardiva comunicazione dei dati richiesti dalla legge si applica la sanzione amministrativa pecuniaria pari a 150.000 euro per ciascuna comunicazione omessa o tardiva (art. 24-bis, comma 7, d.l. n. 83/2012).

  1. un secondo modello potrà invece essere utilizzato, ai sensi dell’art. 24-bis, comma 3, per gli operatori che abbiano localizzato  l’attività di call center in Paesi terzi anteriormente all’entrata in vigore della nuova disciplina.

A tal proposito va rammentato che in caso di omessa o tardiva comunicazione dei dati richiesti dalla legge si applica la sanzione amministrativa pecuniaria pari a 10.000 euro per ciascun giorno di ritardo (art. 24-bis, comma 3, d.l. n. 83/2012).

Telemarketing: no all’uso dei numeri di telefono “pescati” in rete

telemarketingNo al telemarketing con i numeri di telefono “pescati” in internet e contattati senza il consenso informato dei destinatari. Il principio è stato ribadito dal Garante privacy che ha vietato a una società l’uso delle utenze telefoniche reperite on line a fini promozionali [doc. web n. 5986406].

Dagli accertamenti, svolti, dall’Autorità in collaborazione con il Nucleo speciale privacy della Guardia di finanza, è emerso che la società, attiva nell’offerta di servizi in Internet (costruzione e gestione di siti web, posizionamento nei motori di ricerca, vendita di spazi pubblicitari e attività di social media marketing), per acquisire nuovi clienti e promuovere i propri prodotti contattava telefonicamente le utenze reperite in rete, in genere numeri di telefono di liberi professionisti e imprese individuali presenti nell’area “contatti” dei siti.

Un trattamento non in linea con la disciplina di protezione dei dati personali perché effettuato senza aver prima acquisito il consenso informato dei destinatari e  in violazione del principio di finalità.

La circostanza, infatti, che i numeri di telefono presenti in Internet siano liberamente conoscibili da chiunque, non significa che possano essere legittimamente usati per finalità (come il marketing) diverse da quelle per cui sono stati pubblicati on line.

Il Garante inoltre, ha vietato alla società l’uso dei dati per finalità promozionali, in particolare  tramite l’invio automatizzato di e-mail, di quanti richiedevano i preventivi sui servizi resi grazie a un form disponibile sul sito.

Nel modello, che ora la società dovrà modificare, il potenziale cliente poteva selezionare solo un’unica casella sia per finalità contrattuali sia per il trattamento di dati per fini  pubblicitari, ricerche di mercato e sondaggi via mail.

Pur prendendo atto della dichiarazione della società di non aver svolto attività promozionali, il Garante ha ritenuto illecita la raccolta effettuata mediante il form.

Tra i  clienti che non hanno potuto manifestare il libero e specifico consenso per l’invio di comunicazioni automatizzate promozionali, oltre a imprese individuali e liberi professionisti, vi erano anche numerose persone giuridiche, che in base all’art. 130 del Codice, continuano ad essere tutelate riguardo alle comunicazioni promozionali automatizzate (e-mail, telefonate, sms).

L’Autorità si è riservata di valutare l’applicazione delle sanzioni amministrative previste dal Codice per le violazioni rilevate

Lavoro: vietati i controlli indiscriminati su e-mail e smartphone aziendali

cellulareinmanoIl datore di lavoro non può accedere in maniera indiscriminata alla posta elettronica o ai dati personali contenuti negli smartphone in dotazione al personale.È un comportamento illecito.

Lo ha ribadito il Garante della privacy vietando a una multinazionale l’ulteriore utilizzo dei dati personali trattati in violazione di legge [doc. web n. 5958296]. La società potrà solo conservarli per la tutela dei diritti in sede giudiziaria.

Nel disporre il divieto l’Autorità ha affermato che il datore di lavoro

  • pur avendo la facoltà di verificare l’esatto adempimento della prestazione professionale ed il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti,
  • deve in ogni caso salvaguardarne la libertà e la dignità, attenendosi ai limiti previsti dalla normativa.

La disciplina di settore in materia di controlli a distanza, inoltre, non consente di effettuare  attività idonee a realizzare, anche indirettamente, il controllo massivo, prolungato e indiscriminato dell’attività del lavoratore.

I lavoratori, poi, devono essere sempre informati in modo chiaro e dettagliato sulle modalità di utilizzo degli strumenti aziendali ed eventuali verifiche.

La vicenda nasce dal reclamo di un dipendente che si era rivolto al Garante lamentando un illegittimo  trattamento effettuato da una multinazionale, che avrebbe acquisito informazioni anche private contenute nella e-mail e nel telefono aziendale, sia durante il rapporto professionale sia dopo il suo licenziamento.

Dai riscontri effettuati dall’Autorità sono effettivamente emerse numerose irregolarità. La società, ad esempio, non aveva adeguatamente informato i lavoratori sulle modalità e finalità di utilizzo degli strumenti elettronici in dotazione, né su quelle relative al trattamento dei dati.

Aveva poi configurato il sistema di posta elettronica in modo da conservare copia di tutta la corrispondenza per ben dieci anni, un tempo non proporzionato allo scopo della raccolta.

Esisteva anche una procedura che consentiva alla società di accedere al contenuto dei messaggi che, in linea con la policy aziendale, potevano avere anche carattere privato.

E’ inoltre emerso che la società continuava a mantenere attive le caselle e-mail fino a sei mesi dopo la cessazione del contratto

  • senza però dare agli ex dipendenti la possibilità di consultarle o, comunque,
  • senza informare i mittenti che le lettere non sarebbero state visionate dai legittimi destinatari ma da altri soggetti.

Nel corso dell’istruttoria è stato accertato inoltre, che  il titolare poteva accedere da remoto – non solo per attività di manutenzione – alle informazioni contenute negli smartphone in dotazione ai dipendenti (anche privatissime e non attinenti allo svolgimento dell’attività lavorativa), di copiarle o cancellarle, di comunicarle a terzi violando i principi di liceità, necessità, pertinenza e non eccedenza del trattamento.

Il Garante ha disposto l’apertura di un autonomo procedimento per verificare l’applicazione di eventuali sanzioni amministrative.

Sorvegliare a distanza colf e badanti: è possibile? Inail fa chiarezza

 

chi-licenzia-colf-o-badanti-non-paga-la-tassa-sull-aspi-472x270E’ possibile autorizzare l’installazione di un impianto di videosorveglianza collocato in un’abitazione privata all’interno della quale è presente un lavoratore domestico?

Così, con Nota 8 febbraio 2017 prot. n. 1004, l’ Ispettorato Nazionale del Lavoro di seguito risponde.

Al riguardo occorre premettere che si definisce “lavoro domestico” l’attività lavorativa prestata esclusivamente per le necessità della vita familiare del datore di lavoro (art. 1, legge 339/1958), che ha per oggetto la prestazione di servizi di carattere domestico diretti al funzionamento della vita familiare.

Il collaboratore domestico svolge l’attività lavorativa nella casa abitata esclusivamente dal datore di lavoro e dalla sua famiglia, in quanto il rapporto di lavoro domestico non si svolge all’interno di un’impresa organizzata e strutturata, ma nell’ambito di un nucleo ristretto ed omogeneo, di natura per lo più familiare e risponde alle esigenze tipiche e comuni di ogni famiglia.

Nella sentenza 11-23 dicembre 1987 n. 585, la Corte Costituzionale ha affermato che “non v’è dubbio che il rapporto di lavoro domestico per la sua particolare natura si differenzia, sia in relazione all’oggetto, sia in relazione ai soggetti coinvolti, da ogni altro rapporto di lavoro: esso, infatti, non è prestato a favore di un’impresa avente, nella prevalenza dei casi, un sistema di lavoro organizzato in forma plurima e differenziata, con possibilità di ricambio o di sostituzione di soggetti, sibbene di un nucleo familiare ristretto ed omogeneo, destinato, quindi, a svolgersi nell’ambito della vita privata quotidiana di una limitata convivenza.

In ragione di tali caratteristiche, proprie al rapporto, la Corte ha già evidenziato, in via di principio, la legittimità di una disciplina speciale anche derogatoria ad alcuni aspetti di quella generale (sentenza n. 27 del 1974)”.

Il rapporto di lavoro domestico, in considerazione della peculiarità dello stesso, sin dall’origine ha goduto di una regolamentazione specifica, che, per l’appunto, tiene conto delle speciali caratteristiche che contraddistinguono la prestazione lavorativa resa dal lavoratore, l’ambiente lavorativo e, fattore non irrilevante, la particolare natura del soggetto datoriale.

Alla luce di siffatte considerazioni, è del tutto evidente che anche le fasi di estinzione del contratto di lavoro domestico sono disciplinate da un corollario normativo che, si può dire quasi fisiologicamente, si allontana dalle regole generali che assistono, ordinariamente, il momento di interruzione del legame negoziale fra le parti interessate.

All’interno quindi del perimetro normativo delineato, il rapporto di lavoro domestico è sottratto alla tutela dello Statuto dei lavoratori (legge n. 300/1970) poiché in questo caso, il datore di lavoro è un soggetto privato non organizzato in forma di impresa.

Di conseguenza è esclusa l’applicabilità dei limiti e dei divieti di cui all’art. 4 della legge n. 300/1970, che insieme agli artt. 2, 3 e 6 costituisce un corpus normativo tipico di una dimensione “produttivistica” dell’attività di impresa, differenziandosi, invece, a titolo esemplificativo, dalla natura estensiva dell’applicabilità dell’art. 8 dello Statuto, che pone il divieto di indagini su profili del lavoratore non attinenti alle sue attitudini professionali e che trova piena cittadinanza anche nell’ambito del lavoro domestico.

L’esclusione del lavoro domestico dall’applicabilità dell’art. 4 della legge n. 300/1970 non sottrae al rispetto dell’ordinaria disciplina sul trattamento dei dati personali, essendo confermata la tutela del diritto del lavoratore alla riservatezza, garantita dal d.lgs. n.196/2003, che dispone la necessarietà del consenso preventivo e del connesso obbligo informativo degli interessati.

Nell’ambito domestico, il datore di lavoro, anche nel caso di trattamento di dati riservati per finalità esclusivamente personali, incontra i vincoli posti dalla normativa sul trattamento dei dati personali a tutela della riservatezza e in particolare quanto previsto dall’art. 115 del d.lgs. n.196/2003.

Privacy, Data Protection Officer incompatibile con il Manager IT

È una delle novità introdotte dal nuovo Regolamento Ue: si rischiano pesanti multe per i doppi ruoli e i conflitti d’interessi. E una società bavarese è già inciampata sulle nuove norme. 

eu-dpoUna delle novità introdotte dal nuovo Regolamento UE 2016/679, è quella relativa al Data Protection Officer (DPO). Anche se prima la direttiva 95/46/CE non obbligava imprese ed enti a designare questa figura, in realtà essa esisteva già da diversi anni in numerosi Stati membri dell’UE, tra i quali la Germania, dove tuttora il Federal Data Protection Act la impone ad esempio alle aziende che hanno almeno 10 persone che sono coinvolte nel trattamento automatizzato di dati personali.

E proprio in Germania, di recente il Garante per la privacy bavarese ha multato una società che aveva designato il proprio IT manager come data protection officer, e questo nonostante la normativa prevedesse la possibilità di nominare sia un dipendente che un professionista esterno.

Perché allora la società è stata sanzionata?

Il motivo per cui è scattata la sanzione non interessa solo le aziende tedesche ma tutte quelle dell’intera UE che ricadono nell’obbligo di dotarsi del cosiddetto privacy officer: se è vero che la contestazione sollevata dall’Autorità bavarese si basa sul Federal Data Protection Act, d’altra parte essa poggia sul principio dettato dall’articolo 38 del nuovo Regolamento Europeo, che dal 25 maggio 2018 sarà direttamente applicabile in tutti gli Stati membri, e che riguardo la posizione del data protection officer richiede che il titolare del trattamento “si assicura che tali compiti e funzioni non diano adito a un conflitto d’interessi”.

Nonostante sia consentito al dpo di svolgere anche altre mansioni, queste non devono però risultare incompatibili con la stessa posizione di data protection officer, che in casi come quello preso in esame dal Garante tedesco avrebbe dovuto in pratica controllare se stesso, verificando se le proprie attività di IT manager erano conformi alla normativa in materia di protezione di dati personali, e una forma di auto-monitoraggio contrasta con l’assenza di conflitti d’interessi e l’indipendenza richiesti al soggetto che svolge questo ruolo

Poiché i compiti del data protection officer comportano obblighi di controllo che generalmente sono prerogativa delle autorità, l’indipendenza di questo è un aspetto fondamentale, e come il conflitto d’interessi è stato rilevato in relazione alla sua funzione parallela di IT manager, ciò non esclude che lo stesso problema possa presentarsi anche in casi in cui l’intenzione del management sia quella di individuare il dpo tra dipendenti che sono già a capo di altri reparti significativamente implicati nel trattamento dei dati personali, come possono esserlo le risorse umane e l’amministrazione del personale, l’ufficio legale, o anche la direzione marketing.

A tal proposito, le Linee Guida WP 243 adottate il 13 dicembre dal Working Party articolo 29,  hanno sottolineato che, seppure sia permesso al data protection officer di svolgere allo stesso tempo altre funzioni, l’organizzazione deve garantire che “tali compiti e doveri non diano luogo ad un conflitto di interessi”, e ciò comporta che di caso in caso debba essere preventivamente accertato che la persona scelta per essere nominata DPO non ricopra funzioni in cui essa concorra a determinare le finalità e le modalità del trattamento dei dati personali.

Per tale ragione, le linee guida dettate dal Working Party 29 evidenziano che, a seconda delle attività, delle dimensioni e della struttura dell’organizzazione, per i titolari del trattamento che si apprestano a designare il data protection officer, può essere buona pratica identificare le posizioni incompatibili con la funzione di dpo, stabilire delle regole interne per evitare situazioni di conflitto d’interesse, sensibilizzare il tema fornendo una spiegazione generale su questo requisito, dichiarare specificamente che il proprio dpo non ha alcun conflitto per quanto riguarda questa funzione, e precisare che per ricoprire tale ruolo è indispensabile evitare qualsiasi forma di conflitto d’interessi.

Non è ancora noto a quanto ammonti la sanzione comminata alla società tedesca che aveva nominato il proprio IT manager come data protection officer, tuttavia quella del conflitto d’interessi con il nuovo Regolamento Europeo è una questione di primaria importanza che aziende pubbliche e private devono valutare attentamente per evitare violazioni che in questi casi potrebbero comportare multe fino a 10 milioni di euro o al 2% del fatturato globale annuo.

Energia e gas, servizi on line: no al consenso “obbligato” per il marketing

imagesI clienti che desiderano usufruire dei servizi on line offerti da un’impresa, come quelli di fatturazione, non devono essere obbligati a rilasciare il consenso a ricevere comunicazioni promozionali.

Questa la decisione assunta dal Garante della privacy per tutelare da promozioni indesiderate gli utenti dello sportello on line di un fornitore di servizi energetici [doc. web n. 5687770].

Dagli accertamenti dell’Autorità, avviati in seguito ad alcune segnalazioni ricevute, è emerso che la società aveva offerto alla propria clientela la possibilità di gestire la scheda anagrafica, i consumi e le fatture direttamente sul sito web. Per usufruire di tali servizi, però, i clienti dovevano completare una procedura di registrazione dove erano costretti a barrare un’unica casella per concedere un consenso onnicomprensivo al trattamento dei loro dati personali sia per le finalità legate alla gestione del contratto, sia per la ricezione di messaggi di posta elettronica contenenti pubblicità o altro materiale promozionale. Una modalità che, in concreto, violava il principio, più volte rimarcato dal Garante, in base al quale il consenso, per essere ritenuto valido, non deve essere condizionato, ma libero, specifico e informato.

Nel corso dell’istruttoria, inoltre, il Garante ha rilevato che il ramo aziendale di fornitura del gas era stato acquisito da un’altra società, che non aveva provveduto, come previsto dalla normativa, a inviare ai nuovi clienti l’informativa relativa al trattamento dei dati personali.

L’Autorità ha quindi:

  • vietato al primo operatore energetico, che aveva predisposto lo sportello per i servizi on line, di utilizzare per finalità di marketing i dati personali di cui era ancora in possesso in assenza di un valido consenso e
  • prescritto alla società acquirente del ramo gas di provvedere quanto prima a informare i clienti sulle modalità di trattamento dei loro dati. 

Il Garante si è riservato di verificare, con autonomi procedimenti, la sussistenza dei presupposti per contestare le sanzioni amministrative per le violazioni commesse.