g-docweb-display Portlet

Newsletter del 31 ottobre 2013

Stampa Stampa Stampa

 
 

Call center extra Ue più trasparenti
Il Garante avvia una ricognizione delle attività di customer care e telemarketing fuori Ue

 

Cresce il fenomeno dei call center delocalizzati in Paesi al di fuori dell´Unione europea e il Garante privacy interviene a tutela dei cittadini italiani. Con un provvedimento a carattere generale [doc. web n. 2724806],  adottato al termine di una articolata istruttoria,  il Garante ha ribadito le regole alle quali devono attenersi società e enti pubblici, che si avvalgono per le loro attività di customer care o di telemarketing di call center situati in Paesi dove non sono assicurate le garanzie previste dalla normativa comunitaria. L´Autorità, inoltre, sulla base delle recenti modifiche normative apportate dal legislatore italiano nel settore, ha  chiesto maggiori informazioni per gli utenti, possibilità di scegliere un operatore collocato sul territorio nazionale,  più trasparenza nei trattamenti di dati personali.  L´Autorità ha avviato anche una ricognizione dei soggetti che si avvalgono dei call center stabiliti fuori dall´Ue, verificando i tipi di operazioni effettuate e le modalità di trasferimento adottate.

Il nuovo provvedimento ricorda le regole generali da rispettare per i trasferimenti di dati: autorizzazione del Garante, adozione di regole di condotta infragruppo (le cosiddette "binding corporate rules", Bcr), sottoscrizione tra le parti delle clausole contrattuali tipo stabilite dalla Commissione europea o quelle già indicate in specifici ambiti di attività (ad.es. per il telemarketing). Ma soprattutto introduce importanti novità. I titolari del trattamento (società e enti pubblici) che utilizzano tali call center dovranno infatti integrare l´informativa resa al momento del contatto con l´utente specificando anche la nazione dalla quale chiamano o rispondono.

Per le chiamate in entrata,  in analogia a quanto previsto dalla normativa in vigore, i call center dovranno adottare apposite procedure per dare all´utente la possibilità di scegliere un operatore collocato sul territorio nazionale (ad es. deviando la telefonata o disponendo un successivo contatto da parte di un operatore italiano). D´ora in poi, inoltre, i titolari dal trattamento che intendono trasferire (o affidare) il trattamento di dati personali a un call center situato in Paesi extra Ue dovranno prima darne comunicazione al Garante, utilizzando un modello che sarà messo a disposizione sul sito dell´Autorità (www.garanteprivacy.it). 

I call center che già operano in Pesi extra Ue dovranno invece informare il Garante entro 30 giorni dalla pubblicazione del provvedimento nella Gazzetta ufficiale. Ciò consentirà di acquisire elementi utili a comprendere l´ampiezza di un fenomeno in continua espansione e permetterà all´Autorità di valutare la portata del trasferimento dei dati personali al di fuori dall´Unione europea per i trattamenti operati dai call center, anche al fine di intervenire con tempestività ed efficacia in caso di violazioni del Codice privacy.

 



Sicurezza nei supermercati senza ledere la dignità dei lavoratori

Nel mirino del Garante le società della grande distribuzione con sistemi di videosorveglianza non a norma

 

La legittima esigenza di tutelare il patrimonio, di proteggersi da furti e rapine con impianti di videosorveglianza, non autorizza i supermercati a operare in violazione delle libertà fondamentali e della dignità di dipendenti e clienti. Lo ribadisce il Garante in seguito ai risultati di un´attività ispettiva  nel settore della grande distribuzione, che ha rilevato come numerose società non avevano rispettato le garanzie previste dallo Statuto dei lavoratori, dalla normativa sulla privacy e dal provvedimento generale in materia di videosorveglianza predisposto dalla stessa Autorità.

Dagli accertamenti disposti dal Garante, è emerso, ad esempio, che tra le società sottoposte ad ispezione, cinque non avevano ottenuto un preventivo accordo sindacale o richiesto l´apposita autorizzazione al competente ufficio del Ministero del lavoro [doc. web n. 2605290, 2578071, 2577203, 2577227 e 2691507]. A tal proposito, l´Autorità ha sottolineato che non è sufficiente che i lavoratori siano stati informati o che abbiano addirittura acconsentito all´installazione del telecamere per far venir meno le specifiche tutele previste dalla normativa o lo stesso divieto di controllo a distanza. Una sesta società [doc. web n. 2683203], a differenza dalle precedenti, aveva sì ottenuto l´autorizzazione dell´ufficio ministeriale ad installare l´impianto di videosorveglianza, ma non ne aveva poi rispettato tutte le prescrizioni.

Dalle verifiche condotte, sia a campione sia in seguito a segnalazioni, dal Nucleo Speciale Privacy della Guardia di Finanza, sono state riscontrate anche altre violazioni: alcuni esercizi commerciali conservavano le immagini per un arco temporale non giustificato da esigenze specifiche (ad esempio, per ripetuti furti o rapine) così come invece stabilito dal provvedimento generale del Garante in materia di videosorveglianza. Due dei supermercati controllati dal Garante, inoltre, non avevano provveduto a segnalare adeguatamente la presenza delle telecamere con appositi cartelli o avevano omesso di indicare chi fosse il titolare del trattamento. Il legale rappresentante di un supermercato aveva addirittura dichiarato al nucleo ispettivo che l´impianto di videosorveglianza non era in funzione, salvo poi doversi smentire di fronte alle evidenze raccolte.

L´Autorità ha dichiarato illecito il trattamento dei dati personali effettuato dalle sei società tramite i sistemi di videosorveglianza e ha disposto che tutti gli esercizi commerciali si adeguino entro trenta giorni alle misure prescritte alla luce della normativa sulla privacy e dallo Statuto dei lavoratori. Sono in arrivo ulteriori provvedimenti nei confronti di altre società della grande distribuzione.



Il nuovo Regolamento europeo sulla protezione dei dati prende forma
Primo voto del Parlamento Ue sulla proposta della Commissione europea

 

Primo via libera all´avvio dei negoziati tra Parlamento europeo e Consiglio dell´Unione Europea per arrivare ad un accordo su un testo condiviso del nuovo Regolamento sulla protezione dei dati. La Commissione competente del Parlamento europeo (Libe - Libertà civili, giustizia e affari interni) ha votato il 21 ottobre gli emendamenti al testo della proposta di Regolamento (emendamenti artt. 1-29; emendamenti artt. 30-91) presentata dalla Commissione europea il 25 gennaio del 2012, dopo oltre 20 mesi di intenso dibattito nei quali sono stati presentati più di 3000 emendamenti. Si attende adesso, per l´avvio dei negoziati tra i due "co-legislatori", Parlamento e Consiglio Ue, il testo con gli emendamenti del Consiglio, che non ha ancora terminato l´esame della proposta.

Il testo emendato del Regolamento mantiene molte delle impostazioni della proposta originale della Commissione, a partire  dall´applicabilità del Regolamento ai trattamenti svolti da aziende extra-Ue se queste utilizzano dati personali di utenti Ue per offrire loro prodotti o servizi. Altre conferme riguardano, ad esempio, il consenso della persona interessata (che deve essere "esplicito" anziché solo "inequivocabile" come nell´attuale direttiva 95/46) o il diritto alla portabilità dei dati. Sono state inoltre mantenute alcune proposte innovative quali la nomina (obbligatoria) di un "Data Protection Officer" da parte dei titolari di trattamento (secondo criteri però diversi rispetto a quelli indicati dalla Commissione); l´introduzione di un obbligo generale per tutti i titolari di trattamenti dati di notificare eventuali violazioni (data breaches) alle Autorità privacy e in determinati casi anche agli interessati. E´ stato invece eliminato l´obbligo, oggi vigente, di notificare i trattamenti all´Autorità di protezione dati.

Gli emendamenti introducono anche versioni "semplificate" di alcune disposizioni del futuro Regolamento: il diritto all´oblio, ad esempio, è stato trasformato in un diritto alla rettifica o alla limitazione del trattamento in forma rafforzata. Sono stati poi resi più stringenti i requisiti per trasferire dati personali verso Paesi terzi, con l´introduzione di un articolo che prevede l´obbligo di autorizzazione dei Garanti nazionali prima di inviare dati su richiesta di autorità giudiziarie o amministrative di Paesi terzi. E´ stato modificato anche il sistema delle sanzioni amministrative, che tutte le Autorità nazionali di controllo devono poter comminare, ma che sono libere di definire entro una soglia pecuniaria massima e nel rispetto di una griglia di criteri fissati nel testo. Vanno segnalate anche le modifiche apportate alla proposta di Regolamento per quanto riguarda il meccanismo di "sportello unico" (one-stop-shop)  e la collaborazione fra autorità di controllo attraverso il cosiddetto "meccanismo di coerenza". Secondo il Parlamento, lo sportello unico deve permettere alle imprese multinazionali di dialogare con un unico interlocutore nell´Ue (l´Autorità privacy del Paese dove hanno il loro "stabilimento principale"), ma il ruolo di questa Autorità (definita, appunto, "Autorità capofila") deve consistere nel coordinamento di un processo di co-decisione in cui tutte le Authority degli Stati membri interessati da un trattamento devono partecipare ed avere voce.

Alcuni aspetti contenuti nel Regolamento continuano a destare perplessità: in particolare, l´introduzione della definizione di "dato pseudonimo", in termini che non chiariscono pienamente come il dato pseudonimo resti un dato in grado di identificare una persona; le norme sulla profilazione e la definizione stessa di profilazione; l´introduzione chiesta dal Parlamento di un "certificato europeo" della protezione dati, una sorta di "bollino-qualità" che consentirebbe ai titolari di trattamenti di beneficiare di varie deroghe ed esenzioni, e la cui vigilanza sarebbe affidata a soggetti terzi, ossia diversi dalle Autorità di controllo.

La Commissione del Parlamento europeo ha licenziato anche gli emendamenti alla proposta di Direttiva che si applicherà ai trattamenti di dati per fini di giustizia e polizia, con l´obiettivo di mantenere un approccio uniforme e coerente alla protezione dei dati di tutti i cittadini.

 

Il link agli emendamenti approvati:

- emendamenti artt. 1-29 della proposta di Regolamento

- emendamenti artt. 30-91 della proposta di Regolamento

- emendamenti alla proposta di Direttiva

 


L´ATTIVITÁ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall´Autorità

 


NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 - 00186 Roma.
Tel: 06.69677.2752 - Fax: 06.69677.3755
Newsletter è consultabile sul sito Internet www.garanteprivacy.it