La privacy nella gestione di rapporti di outsourcing

Provvedimento generale Garante privacy del 15 giugno 2011, n.230 (G.U.4 luglio 2011, n.153)

Quando un'azienda delega all'esterno un'attivita, come banalmente accade con il consulente del lavoro o il commercialista, spesso omette di regolarizzare i rapporti sotto il profilo della privacy esponendosi cosi al rischio di rispondere per illeciti o carenze di terzi.

Rientra in queste ipotesi anche la commissione di una campagna pubblicitaria ad un'agenzia pubblicitaria o il conferimento di un mandato ad un agente, rapporti questi che hanno comportato sempre qualche dubbio interpretativo in termini di responsabilita sotto il profilo del trattamento dati.

Ad esempio come sono suddivise le responsabilita in tema di trattamento dei dati dei consumatori/ utenti contattati dall'agente o dalle agenzie? Tale tema e oggi di grande attualita considerando l'entrata in vigore del registro delle opposizioni.

Molte infatti le segnalazioni arrivate al Garante della ricezione di comunicazioni indesiderate per finalita promozionale nonostante la registrazione nel Registro.

Vediamo di capire la problematica.

Un'azienda commissione ad un agente o a un'agenzia pubblicitaria la realizzazione di una campagna promozionale che richiede di contattare telefonicamente degli utenti. La campagna quindi comporta un trattamento dati.

Chi e "responsabile" di quel trattamento?

Chi risponde degli eventuali illeciti dell'agenzia pubblicitaria? Come ci si puo tutelare?

A questi interrogativi cerca di dare risposta il Garante nel Provvedimento generale del 15 giugno 2011, n.230: Titolarita del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attivita promozionali, pubblicato sulla Gazzetta Ufficiale 4 luglio 2011, n.153.

Il provvedimento del Garante.

L'interessante provvedimento fornisce ai titolari del trattamento degli importanti elementi per gestire e organizzare la problematica privacy nei rapporti con le agenzie, applicabili tuttavia in tutti i casi di trattamento dati effettuato da soggetti terzi (ad es. commercialista, agente, etc..).

In sintesi il Garante ha precisato che le agenzie o gli agenti che in outsourcing effettuano trattamento di dati personali non possono essere considerati quali titolari autonomi di dati: solo formalmente, infatti, sono autonomi, sostanzialmente i veri e soli titolari sono le aziende/ committenti. Le aziende poi dovranno nominare, anche attraverso apposita clausola del contratto, le agenzie e gli agenti Responsabili del trattamento (art. 29 codice privacy), vincolandoli anche al rispetto di quanto previsto dalla nuova normativa sul telemarketing e sul Registro delle opposizioni.

Questo vale per qualsiasi tipo di marketing e di attivita non solo promozionale delegate in outsourcing dal titolare del trattamento.

Nel caso del marketing, poi sono le aziende committenti che decidono sulle finalita delle campagne pubblicitarie, impartiscono istruzioni, anche attraverso modulistica ad hoc e controllano l'attivita degli agenti.

In generale quindi, l'esame dei trattamenti realizzati in outsourcing, che e uno degli elementi da descrivere nel DPS, e necessario anche per la realizzazione corretta delle nomine agli esterni secondo le figure previste dal codice. Nello steso DPS gli agenti o le agenzie dovranno essere indicato come soggetti che trattano dati all'esterno.

Infine si precisa che il Garante, ha concesso 60 giorni di tempo alle aziende dalla pubblicazione del presente provvedimento per regolamentare i rapporti in outsourcing.