Chi decide di effettuare marketing telefonico spesso affida l’attività di call center a società terze.

Uno dei profili di maggior rilievo da considerare nel caso di esternalizzazione dell’attività di call center è legata al ruolo svolto dalle società che offrono tale servizio.

Nella maggior parte dei casi, i call center, svolgendo le loro attività per conto del committente senza un potere autonomo nella determinazione di finalità e mezzi, operano quali responsabili del trattamento dei dati.

A fronte del loro ruolo, si rende dunque necessario sottoscrivere apposito accordo sul trattamento dei dati, completo di tutte le indicazioni richieste dall’art. 28 del Regolamento generale sulla protezione dei dati.

Spesso il rapporto tra titolare e responsabile viene gestito con estrema superficialità, con nomine unilaterali generiche o accordi sul trattamento privi di indicazioni sull’ambito del trattamento e sulle modalità con cui concretamente il responsabile è tenuto a svolgere le operazioni demandate.

Si pensi, ad esempio, alla definizione delle liste di numerazioni da utilizzare per le campagne di telemarketing, al termine entro cui poter utilizzare le liste aggiornate sulla base della consultazione del Registro Pubblico delle Opposizioni, al testo dell’informativa da fornire attraverso messaggio vocale dell’operatore, alle modalità di aggiornamento del data base centrale nel caso di richieste di opposizione degli interessati contattati telefonicamente, alle misure di sicurezza da adottare sui sistemi in cui sono presenti delle copie in locale delle liste delle numerazioni utilizzate: si tratta solo di alcuni dei profili da considerare e disciplinare nell’accordo sul trattamento, la cui chiara definizione incide anche ai fini dell’individuazione delle responsabilità nel caso di violazione della normativa.

Sul punto può essere utile richiamare un provvedimento del Garante privacy del 2014 con cui l’Autorità, rilevato che un call center aveva effettuato telefonate promozionali per conto del suo cliente utilizzando l’utenza telefonica riservata di uno dei segnalanti senza aver acquisito suo consenso informato e le utenze telefoniche degli altri quattro segnalanti, tratte dagli elenchi telefonici pubblici, in violazione del diritto di opposizione manifestato mediante iscrizione al Registro Pubblico delle Opposizioni, non sanziona, per le violazioni riscontrate, la società per conto della quale il call center aveva svolto l’attività di telemarketing come responsabile del trattamento, ma commina la sanzione direttamente al call center, che, nello svolgimento dell’attività, non si era attenuto alle prescrizioni della committente – e, precisamente, all’obbligo di chiamare i soli nominativi inseriti nelle liste relative alle campagne promozionali fornite dalla società – e, in completa autonomia e disattendendo le istruzioni impartite, aveva effettuato (seppur per errore di digitazione – come indicato dal call center nel suo tentativo di difesa) chiamate promozionali in violazione della normativa.

E, ancora, al fine di comprendere il rilievo assunto da una attenta regolamentazione dei rapporti con le società cui si delega l’attività di call center, può essere utile richiamare un altro provvedimento del Garante privacy relativo al tema della ricezione di chiamate indesiderate con cui l’Autorità prescrive a nota società di telecomunicazioni, tra l’altro, di designare senza ritardo quali responsabili del trattamento quanti, afferendo alla sua rete commerciale, sono in condizione di trattare i dati personali riferibili alla sua clientela, “impartendo loro le necessarie istruzioni ed adottando le opportune misure, anche tecniche (data protection by design), affinché gli stessi rispettino rigorosamente le istruzioni loro impartite”.

Un ulteriore aspetto da considerare nel caso in cui una società si avvalga, in qualità di titolare, per attività di telemarketing, di call center localizzati in Paesi terzi, è legato alla necessità di verificare che sussistano le garanzie, individuate dagli articoli 44 e seguenti del RGPD, che legittimano il trasferimento dei dati all’estero, nonché al rispetto degli obblighi previsti dall’art. 24-bis del D. l. 83/2012, convertito con modificazioni dalla Legge 134/2012, modificato dalla Legge 232/2016 (Legge di bilancio).

Si tratta, più specificamente, dell’obbligo di comunicare la scelta di delocalizzazione mediante affidamento dell’attività di call center a terzi, entro trenta giorni, ad alcuni soggetti, tra cui, per quanto di interesse, al Garante per la protezione dei dati personali, indicando le misure adottate per garantire il rispetto della legislazione nazionale e dell’obbligo di indicare alla persona contattata la possibilità di richiedere che il servizio sia reso tramite un operatore collocato nel territorio nazionale o di un Paese membro dell’Unione europea, di cui deve essere garantita l’immediata disponibilità nell’ambito della medesima chiamata.

Il presente contributo è estratto dal libro “Marketing e trattamento dati” di Roberta Rapicavoli, edito da Maggioli nel 2019.