Pag. 2

PRESIDENZA DEL PRESIDENTE CESARE DAMIANO

La seduta comincia alle 14.30.

Sulla pubblicità dei lavori.

PRESIDENTE. Avverto che la pubblicità dei lavori della seduta odierna sarà assicurata anche attraverso la trasmissione televisiva sul canale satellitare della Camera dei deputati e la trasmissione diretta sulla web-tv della Camera dei deputati.

Audizione del Presidente del Garante per la protezione dei dati personali.

PRESIDENTE. L'ordine del giorno reca, nell'ambito dell'indagine conoscitiva sui rapporti di lavoro presso i call center presenti sul territorio italiano, l'audizione del Presidente del Garante per la protezione dei dati personali, al quale diamo il benvenuto.
Il dottor Antonello Soro è accompagnato dal dottor Mario De Bernart, dirigente del Servizio relazioni istituzionali, dal dottor Baldo Meo, dirigente del Servizio relazioni con i mezzi di informazione, e dalla dottoressa Laura Tempestini, assistente del Presidente.
Nel ringraziare ancora il Presidente Soro e i suoi collaboratori per la loro disponibilità, ricordo che nell'ambito dell'audizione di oggi la Commissione è in particolare interessata ad acquisire elementi informativi in ordine all'attuazione dell'articolo 24-bis del decreto-legge n. 83 del 2012, convertito, con modificazioni, dalla legge n. 134 del 2012, che reca disposizioni volte a garantire la protezione dei dati personali nel caso di chiamate con operatori collocati in Paesi esteri. Sappiamo che il settore, purtroppo, rientra in questa casistica.
Avverto che il Garante per la protezione dei dati personali ha messo a disposizione della Commissione un documento (vedi allegato), di cui autorizzo la pubblicazione in allegato al resoconto stenografico della seduta odierna.
Ringrazio i nostri ospiti e do la parola al Presidente Soro.

ANTONELLO SORO, Presidente del Garante per la protezione dei dati personali. Grazie, signor presidente, onorevoli deputati. Prima di passare all'analisi specifica relativa alla protezione dei dati personali nel caso dei call center collocati nei Paesi esteri, alla luce delle disposizioni dell'articolo 24-bis del decreto n. 83 del 2012, vorrei premettere che in generale le attività svolte dai call center, quando non sono finalizzate alla semplice assistenza tecnica o all'informazione telefonica, sono per noi da ricondurre nell'ambito del più ampio fenomeno del telemarketing.
Alla base del nostro interesse, oltre all'attenzione naturalmente rivolta alle modalità con le quali viene assicurata la protezione e la tutela dei dati dei cittadini, vi è l'esposizione dei consumatori a campagne di marketing telefonico invadenti e Pag. 3aggressive, terreno sul quale l'autorità ha sempre mantenuto alta l'attenzione, nella consapevolezza della forte contrapposizione fra gli interessi dei cittadini utenti a essere tutelati dall'eccesso di telefonate, e quelli degli operatori e delle imprese a creare domanda, che necessariamente deve essere gestita ricercando un equilibrato bilanciamento.
La crisi del settore, che è al fondamento della loro indagine, con riferimento alle società che offrono servizi di call center, sia in termini di perdita di occupazione che di valore economico, difficilmente, a nostro avviso, può essere messa in relazione ai provvedimenti adottati nel tempo dal Garante, che peraltro ha sempre ricercato il punto di equilibrio fra le esigenze di far rispettare le norme e tutelare i cittadini e la necessità di non ostacolare le imprese.
L'attività del Garante di contrasto alle distorsioni del fenomeno del telemarketing, nell'ambito delle quali appunto vanno considerate le attività dei call center, è sempre stata molto decisa. A partire dal 2010 sono stati avviati accertamenti nei confronti di società di telecomunicazioni che hanno permesso di conoscere anche le modalità con le quali i call center di cui si avvalgono trattano i dati personali dei potenziali clienti.
Nel corso del 2013 sono state invece effettuate circa 23 attività ispettive riferite a società che prestano servizi di call center anche in favore di più operatori economici e, con riferimento al fenomeno delle chiamate indesiderate per finalità promozionali, sono stati avviati, soltanto nell'ultimo anno, circa 28 procedimenti sanzionatori per violazione del registro delle opposizioni, nonché 68 procedimenti sanzionatori per violazione delle norme sull'informativa e sul consenso.
Di questi procedimenti sanzionatori 47 sono stati adottati direttamente nei confronti dei call center. Si tratta, come si nota, di dati che si riferiscono soltanto all'ultimo periodo di un'attività costante e intensa che tiene conto delle numerose segnalazioni che arrivano dai cittadini e che si accompagna all'adozione di prescrizioni specifiche con le quali si sono individuate nel tempo le modalità utili per rendere il trattamento dei dati effettuato dai call center e dalle società che se ne avvalgano conforme al codice sul trattamento dei dati personali.
Oltre a ribadire il rispetto delle norme connesse al rilascio dell'informativa e all'acquisizione del preventivo consenso dell'utente nonché ai necessari riscontri con il registro delle opposizioni, il Garante ha richiamato l'obbligo di provvedere alla regolare formazione degli operatori, di effettuare verifiche periodiche sull'osservanza delle istruzioni impartite, di adottare tutte le misure di sicurezza opportune. Vorrei segnalare, in particolare, quelle che impediscono agli operatori di estrarre i dati dai sistemi ovvero di effettuarne copia o alterarli.
Da un punto di vista tecnico, abbiamo ritenuto preferibile e, conseguentemente prescritto, il sistema CRM detenuto e gestito direttamente dalle società committenti al quale gli operatori accedono in remoto, previa specifica autenticazione. Questo sistema, in realtà già adottato ora da diverse società, consente di uniformare il trattamento svolto dai singoli call center indipendentemente dalla loro localizzazione.
Con il recente provvedimento del febbraio scorso sulle telefonate mute, adottato all'esito di una consultazione pubblica, abbiamo invece imposto specifiche regole tecniche per eliminare gli effetti distorsivi di un fenomeno quale l'utilizzo di sistemi automatizzati di instradamento della chiamata agli operatori dei call center, che ha raggiunto dimensioni allarmanti. Solo alla fine del 2013 erano pervenute circa 400 segnalazioni. Il provvedimento sulle chiamate mute, oggetto di una consultazione, è stato sostanzialmente apprezzato dagli operatori e anche dagli utenti perché ha ridotto davvero in modo critico il livello di allarme rispetto a questo fenomeno.
Con riferimento, invece, alla problematica specifica dei call center delocalizzati all'estero, l'articolo 24-bis del decreto-legge n. 83 del 2012 ha introdotto disposizioni Pag. 4che attengono alla protezione dei dati personali. Come è noto, la norma prevede che un'impresa, qualora decida di trasferire un'attività di call center al di fuori del territorio nazionale, ne dia comunicazione almeno 120 giorni prima al Ministero del lavoro e delle politiche sociali e al Garante per la protezione dei dati personali, indicando quali misure vengono adottate per il rispetto del Codice della privacy e della disciplina sul registro delle opposizioni. Si è inoltre stabilito che gli interessati, nel rivolgersi a un call center o nell'essere da esso contattati, siano informati del fatto che l'operatore possa essere collocato in un Paese estero e si sia fornita all'utente che ha effettuato la chiamata la possibilità di scegliere un operatore nazionale.
A seguito della citata disposizione, sono pervenute al Garante diverse segnalazioni e richieste di chiarimenti, anche da parte degli operatori, in merito all'interpretazione della stessa e alle concrete modalità di applicazione.
Con il provvedimento del 10 ottobre 2013, oltre a mettere in risalto gli aspetti di carattere ricognitivo del settore dei call center, individuando gli adempimenti necessari per rendere conformi i trattamenti alle disposizioni del Codice della privacy, abbiamo fornito specifiche indicazioni sugli obblighi espressamente previsti dall'articolo 24-bis. In particolare, si è prescritto: di integrare l'informativa resa agli utenti precisando l'ubicazione dell'operatore e di adottare, nel caso in cui la chiamata venga effettuata dal cittadino, apposite procedure per consentire la scelta di un operatore italiano; di effettuare, nel caso di trasferimento o di affidamento del trasferimento di dati personali a un call center sito al di fuori dell'Unione europea, un'apposita comunicazione al Garante, utilizzando un modello pubblicato sul sito istituzionale della nostra Autorità.
Abbiamo prescritto che la comunicazione dovesse essere inviata entro trenta giorni dalla pubblicazione del provvedimento, anche nel caso di trattamenti di dati già affidati a call center operanti al di fuori dell'Unione europea. Ciò al fine di consentirci di effettuare una completa – se «completa» forse è un termine eccessivo, almeno «ragionevole» – ricognizione del fenomeno.
È importante sottolineare che il provvedimento si rivolge a tutti i titolari pubblici e privati che svolgono direttamente o in affidamento a terzi un'attività di call center, indipendentemente dal numero di dipendenti impiegati e dal fatto che esercitino tale attività in maniera prevalente.
L'ambito di applicazione delle prescrizioni del Garante è, dunque, più ampio rispetto a quello previsto dall'articolo 24-bis, come delineato dalla circolare del Ministero del lavoro e delle politiche sociali nell'aprile 2013, che si riferisce solo alle aziende che svolgono in via assolutamente prevalente un'attività di call center e che restringe l'obbligo di comunicazione alle sole ipotesi di delocalizzazione che generano esuberi. Noi le abbiamo estese sul presupposto che la rilevanza della protezione dei dati degli utenti è tale a prescindere dal numero dei dipendenti impiegati (l'articolo 24-bis parla di venti dipendenti), dalla tipologia di attività svolta dal call center e dalla eventuale o meno prevalenza di tale attività per le imprese interessate.
Le prescrizioni contenute nel nostro provvedimento dell'ottobre 2013 consentono al Garante, in caso di inosservanza, alla luce dell'articolato del Codice della privacy, di applicare la sanzione amministrativa pecuniaria.
In ottemperanza a queste prescrizioni del citato provvedimento, sono pervenute 36 notificazioni da parte di società titolari di trattamento che utilizzano call center ubicati al di fuori dell'Unione europea e principalmente situati in Albania e Tunisia. Dalle risultanze istruttorie di tipo documentale è in generale emerso che la parte più rilevante dell'attività svolta è effettuata sul territorio nazionale, mentre l'affidamento a partner esteri appare essere residuale, ancorché risulti in aumento.
Occorre naturalmente ricordare che nel caso di delocalizzazione in Paesi membri dell'Unione europea, ad esempio Romania Pag. 5e Bulgaria, non ricorrono le condizioni per applicare l'articolo 24- bis né il provvedimento del Garante del 2013 nella parte relativa all'obbligo di notificazione al Garante e all'informativa, in linea con i princìpi della libertà di stabilimento e libera prestazione dei servizi previsti dal diritto europeo e in particolare della disciplina in materia di protezione dei dati personali, che appunto impone agli Stati membri di non restringere o vietare la libera circolazione dei dati.
Inoltre, dalle notificazioni ricevute è emerso che le società committenti hanno provveduto a nominare i call center sia italiani che esteri, in conformità a un nostro precedente provvedimento, quali responsabili del trattamento ai sensi dell'articolo 29 del Codice della privacy. Si tratta di un elemento importante, perché mantiene in capo alla società committente italiana che affida il servizio ai call center, siano essi contrattualizzati direttamente o, come più spesso avviene, in regime di subappalto, la responsabilità in ordine alle finalità, alle modalità del trattamento dei dati e agli strumenti utilizzati, compreso il profilo attinente alla loro sicurezza, agevolando così l'attività di verifica del Garante e l'eventuale adozione di sanzioni in caso di accertamento illecito.
Le società hanno, inoltre, dichiarato di rendere adeguate informative e di prevedere soluzioni che consentono di deviare le telefonate a un operatore italiano ovvero di disporre di un successivo contatto da parte dello stesso. Sul punto hanno comunque evidenziato di non aver riscontrato particolari richieste da parte degli utenti e, del resto, anche al Garante ad oggi non sono pervenuti segnalazioni o reclami in questa direzione, tranne alcuni presentati da associazioni sindacali.
L'Autorità, al fine di verificare la correttezza delle dichiarazioni istruttorie – e di queste finora ho parlato – ma anche il rispetto delle disposizioni del provvedimento, ha deliberato di svolgere, nel corso del semestre in corso del 2014, accertamenti ispettivi presso le società committenti, che verranno effettuati in collaborazione con il Nucleo speciale privacy della Guardia di finanza.
In questo contesto, il controllo sulle concrete modalità di trattamento dei dati e sul rispetto della prescrizione da parte dei call center esteri può risultare più complesso. Sul punto vale la pena di segnalare che il Garante ha di recente avviato, con l'omologa autorità albanese, un'attività di collaborazione, anche al fine di procedere con congiunte attività di accertamento. In quest'ottica, abbiamo chiesto l'elenco delle società italiane che utilizzano servizi di call center albanesi, nonché l'esatta denominazione delle società albanesi che offrono tali servizi alle società italiane.
Per concludere, rispetto alla rappresentazione che spesso si registra nell'opinione pubblica di una delocalizzazione selvaggia di attività di call center verso Paesi non appartenenti all'Unione europea, che determinerebbe sotto il profilo della protezione dei dati fenomeni rilevanti di trattamenti illeciti, possiamo ritenere che dai riscontri effettuati – ad oggi, come ho detto, principalmente di tipo documentale e che evidentemente provvederemo a verificare in concreto – non sembra giustificato un diffuso allarme.
Ovviamente, altro profilo è quello attinente alle motivate preoccupazioni per la perdita dei posti di lavoro. Tuttavia, il tema delle delocalizzazioni di attività al di fuori dell'Unione europea e il conseguente problema connesso al trattamento dei dati è particolarmente delicato, soprattutto nei casi in cui i soggetti che operano in Paesi esteri non garantiscono adeguate misure di protezione e sicurezza, comprese le modalità con cui vengono conservati i dati, esposti a rischi di utilizzi illeciti.
Se dalle istruttorie svolte sul tema dei call center esteri è emerso un sostanziale adeguamento delle società committenti alle norme, comprese quelle sulle modalità di trasferimento dei dati, previste in particolare attraverso la sottoscrizione di stringenti garanzie in sede contrattuale, non possiamo escludere che il rischio Pag. 6della vulnerabilità dei dati sia maggiore nel caso di società di piccole dimensioni, che in molti casi delegano tutta l'attività connessa al marketing, compresa l'eventuale acquisizione dei dati dei potenziali clienti da contattare, a società estere, senza effettuare alcuna verifica sulla conformità e sul rispetto delle norme in tema di protezione dei dati da parte di queste ultime.
Spesso, a rendere più complessa l'attività di accertamento del Garante è anche la tendenza a effettuare le chiamate oscurando il numero chiamante, cosa espressamente vietata dalla legge, in particolare dall'articolo 9 del decreto-legge n. 187 del 2010. Si tratta di un fenomeno che riguarda anche società committenti di grandi dimensioni che in sede di accertamento dichiarano, in alcuni casi, al Garante di non essere in grado di identificare chi, agendo comunque con evidenza per loro conto, effettua i contatti indesiderati e riconducono l'illecito nell'ambito di un evento fortuito.
Al fine di non diminuire le garanzie riconosciute agli interessati dal Codice, sarebbe forse opportuno – lo poniamo all'attenzione di questa Commissione – introdurre nell'ordinamento una disposizione con la quale attribuire espressamente al soggetto per conto del quale si effettua il contatto promozionale la titolarità dei dati trattati e conseguentemente prevedere, in caso di illeciti, una responsabilità in solido con i soggetti terzi che hanno effettuato la chiamata. In questo modo, le società committenti sarebbero concretamente costrette a delegare l'attività promozionale soltanto a soggetti terzi affidabili e in grado di rispettare le disposizioni del Codice.
In chiusura, vorrei ricordare che il settore dei call center ha interessato la nostra attività anche con riferimento alla tutela del trattamento dei dati relativi ai lavoratori, concernenti l'utilizzo di sistemi più vari che consentono il controllo a distanza, ad esempio nella sistematica registrazione di tutte le comunicazioni telefoniche effettuate dagli operatori di call center e nel riascolto di alcune telefonate o impianti di videosorveglianza che riprendevano le postazioni di lavoro. In questo senso, abbiamo emanato alcuni provvedimenti di divieto e previsto sanzioni.
Concludo con queste considerazioni, naturalmente ringraziandovi per l'attenzione. Sono disponibile per le vostre richieste di precisazione.

PRESIDENTE. Ringrazio il Presidente Soro. La relazione è stata ricca e argomentata e ha fornito anche qualche suggerimento di intervento normativo.
Do la parola ai deputati che intendono porre quesiti o formulare osservazioni.

LUISELLA ALBANELLA. Ringrazio il dottor Soro e ovviamente i suoi collaboratori che ci hanno dato la possibilità di avere anche questo riscontro sul tema dei call center.
Come voi sapete, le organizzazioni sindacali ritengono che il problema delle delocalizzazioni sia strettamente legato anche alla mancata applicazione da parte delle società dell'articolo 24-bis. Qualcuno sostiene che i controlli che vengono fatti non sono adeguati e per questo si decide di delocalizzare con tanta facilità.
Ritenete che il cittadino italiano debba autorizzare preventivamente il trattamento dei dati personali nei Paesi non europei e non dopo che il call center straniero ha avuto accesso visivamente ai dati ?
Inoltre, siamo certi che i dati che vengono gestiti all'estero possono essere utilizzati solo per scopi attinenti ai call center e non per qualsiasi altro motivo ? Abbiamo sentito che negli ultimi anni ci sono stati utilizzi dei dati personali indirizzati a scopi che non hanno nulla a che vedere con l'attività dei call center.

PRESIDENTE. Do la parola al Presidente Soro per la replica.

ANTONELLO SORO, Presidente del Garante per la protezione dei dati personali. Riguardo alle organizzazioni sindacali e ai loro rilievi naturalmente non entro nel Pag. 7merito, ma, poiché ho avuto modo di seguire il dibattito svolto in questa Commissione recentemente, ho avuto contezza di una valutazione svolta da un sindacato relativamente al fatto che il Garante italiano non avrebbe risposto a una segnalazione. Ho agli atti la risposta fornita tempestivamente dal Garante italiano e mi viene legittimamente da pensare che può anche darsi che le organizzazioni sindacali non abbiano tutti gli elementi di giudizio sull'attività del Garante nello svolgimento della propria funzione di garanzia in questo ambito.
Ho citato i dati riferiti alla nostra attività esattamente per questa ragione. Naturalmente, possono essere sempre più estesi e, come ho detto, l'attività ispettiva fatta sul campo e in corso in questo semestre ha l'obiettivo di verificare la coerenza fra le dichiarazioni documentali che abbiamo raccolto da parte di committenti e di call center con la realtà.
Pertanto, questo è un processo in corso. Credo che il tema della delocalizzazione probabilmente risponda ad altre motivazioni e attenga meno al problema della protezione dei dati. Per quello che riguarda il consenso, preciso che in generale è uno dei principali presupposti di liceità del trattamento ed un principio cardine dell'ordinamento europeo per il trattamento dei dati. Con riferimento alle attività svolte dai call center ci risulta che gli operatori rispettino la normativa di riferimento anche se ripeto, si tratta di riscontri essenzialmente di tipo documentale e in prospettiva, spero a breve, anche sul campo. Vi è tuttavia un fenomeno – e non escludo che sia maggiore di quello che possiamo immaginare – nei Paesi terzi, ma forse anche in quelli dell'Unione europea, di trattamenti illeciti sommersi. Questo è un problema di carattere generale che riguarda in particolare l'organizzazione dell'attività di enforcement all'interno dell'Unione europea e le concrete modalità con le quali effettuare i controlli sui dati.
Il trasferimento di dati verso Paesi terzi è consentito, dall'ordinamento europeo e dalla disciplina del Codice, tra l'altro anche sulla base di clausole contrattuali tipo adottate dalla Commissione e autorizzate dal Garante. Si tratta di una modalità che può sollevare alcune criticità in merito ai potenziali rischi che possono subire i dati una volta trasferiti verso Paesi terzi che non adottino effettivamente concrete garanzie e misure a protezione dei dati. Credo che l'onorevole Albanella abbia fatto bene a mettere in rilievo non solo gli aspetti del marketing, ma gli aspetti più delicati per certi versi della protezione dei dati, che sono un elemento vulnerabile anche quando il dato viaggia nella rete interna al nostro Paese. Spesso colgo l'occasione per dire che il grado di sensibilità al tema della sicurezza dei dati nel nostro Paese è al di sotto della soglia di sicurezza. Naturalmente, questo rischio cresce molto quando si va in Paesi che hanno norme di protezione dei dati meno puntuali rispetto a quelle europee e quando la capacità di accesso ai dati per finalità di enforcement non è ancora organizzata nel modo migliore.
Questo è uno scenario che riguarda evidentemente tutto. In questa logica, il rischio di un uso per scopi diversi è esattamente il rischio che la protezione dei dati tende a evitare. Da questo punto di vista, avere la consapevolezza che il dato va protetto sempre è un obiettivo che in questo momento cresce anche nell'opinione pubblica in generale.
Per quello che riguarda il caso specifico dei call center, siamo all'interno di regole di trasferimento dei dati che sono disciplinate dalle leggi interne e dall'ordinamento europeo. Tutti noi cerchiamo nel modo migliore di rispettarlo. Credo che la vicenda che è alla base di questo studio, come voi d'altra parte avete puntualmente in più occasioni richiamato, affondi molto di più in aspetti che hanno a che vedere con il costo del lavoro, con il fisco o con altri fattori.
La protezione dei dati è un problema molto importante e rilevante per le ragioni che sono state richiamate, ma vale a prescindere dal problema dei call center. Vorrei dire che dovremmo acquisirne un po’ di più la cultura in un tempo in Pag. 8cui i problemi che abbiamo di fronte, dalla sorveglianza globale fino al furto di identità, pongono il tema della protezione dei dati come uno dei nuovi diritti rispetto ai quali c’è qualche ritardo dell'ordinamento e della vigilanza da parte di tutti.

PRESIDENTE. Ringrazio il Presidente Soro e i suoi collaboratori per aver gentilmente aderito alla richiesta di audizione. Utilizzeremo la relazione nel modo dovuto, anche perché dobbiamo arrivare a una conclusione e intravedere qualche linea di correzione.
Dichiaro conclusa l'audizione.

La seduta termina alle 15.

Pag. 9

ALLEGATO

Pag. 10

Pag. 11

Pag. 12

Pag. 13

Pag. 14

Pag. 15