Con la ripresa delle attività economiche e l’esigenza di mantenere le distanze sociali, potrebbe sorgere in capo a diverse società la tentazione di affidare a call center telefonici, rispettosi di eventuali misure di distanziamento, anche attività prima svolte di persona. Tuttavia, sono numerosi i requisiti regolamentari e privacy di cui tenere conto prima di porre in essere attività tramite call center.
Call center, definizione
Per quanto riguarda la definizione di call center, un utile riferimento è fornito dalla delibera dell’AGCOM n. 79/09/CSP che, nonostante si riferisca a call center nel settore delle comunicazioni elettroniche, è richiamata in via generale dalle linee guida del MISE sugli obblighi di comunicazione e registrazione disposti dall’art. 24 bis del D.L. 83/2012. In tale contesto, il call center è definito come “un insieme di risorse umane e di infrastrutture specializzate che consente contatti e comunicazioni multicanale con gli utenti (attraverso più mezzi, per esempio telefonia, internet, posta)”.
In materia di call center e telemarketing, trovano applicazione, oltre al Regolamento 679/2016 (“GDPR”)e al D.lgs. 196 del 2003 (“Codice Privacy”), anche, tra gli altri, il citato art. 24 bis del D.l. 83 del 2012 e la L.5 del 2018 in materia di iscrizione e funzionamento del registro delle opposizioni e istituzione di prefissi nazionali per le chiamate telefoniche a scopo statistico, promozionale e di ricerche di mercato.
Tali normative, come vedremo, non soltanto impongono obblighi preventivi alle società che vogliano utilizzare strumenti di call center ma, in taluni casi, impattano direttamente sulla loro organizzazione interna e, laddove presenti, sui contratti di affidamento a terzi.
Le norme non si impongono solamente a chi fa del call center la propria attività prevalente, ma a qualunque azienda svolga attività di call center a prescindere o meno dalla prevalenza dell’attività.
Call center, gli adempimenti necessari
Iscrizione al ROC
Gli operatori che svolgono attività di call center tramite numerazioni italiane messe a disposizione del pubblico devono essere iscritti al Registro degli Operatori di Comunicazione gestito dall’AGCOM. L’iscrizione si esegue su un portale online accessibile tramite Carta nazionale dei Servizi e richiede il completamento di moduli relativi all’assetto societario, agli amministratori e ai numeri telefonici utilizzati.
L’obbligo sussiste in capo a chi concretamente svolge tale attività, totalmente o parzialmente, in proprio ovvero come affidatario. L’inosservanza dell’obbligo di iscrizione al Registro degli Operatori di Comunicazioni può portare all’applicazione di una sanzione pecuniaria amministrativa pari a 50mila euro.
Inoltre, qualora si decida di affidare a terzi il servizio di call center, l’obbligo per l’operatore di iscriversi al ROC e di mantenere valida l’iscrizione dovrà essere previsto contrattualmente. A tal proposito, è consigliabile sia contrattualizzato anche l’obbligo dell’affidatario di fornire le informazioni di cui al punto 3 prevedendo adeguate clausole di manleva.
Obblighi in caso di call center situati al di fuori nell’UE
Gli obblighi sono maggiori qualora il call center si trovi al di fuori dell’Unione Europea. In questo caso, infatti, sarà necessario darne comunicazione almeno 30 giorni prima a Ministero del Lavoro, Ministero dello Sviluppo Economico e Garante per la protezione dei dati personali. Per ciascuna comunicazione omessa o tardiva è prevista una sanzione amministrativa pecuniaria pari a 150mila euro
In tal caso, inoltre, sarà necessario anche offrire all’utente la possibilità di essere reindirizzato verso un operatore situato nell’Unione europea, nell’ambito della stessa chiamata. ll mancato rispetto di tale obbligo comporta la sanzione amministrativa pecuniaria pari a 50mila euro per ogni giornata di violazione.
Informazioni da fornire all’inizio della telefonata
Prima della telefonata, quando sono utilizzate numerazioni italiane messe a disposizione del pubblico, è sempre necessario indicare il Paese dal quale l’operatore risponde, anche se si tratta dell’Italia. Qualora si ometta di fornire tale informazione agli utenti, si può andare incontro a una sanzione amministrativa pecuniaria pari a 50mila euro per ogni giornata di violazione.
In ogni caso, è sempre necessario che gli utenti ricevano informazioni relativamente al trattamento dei dati personali come previsto dagli art. 13 e 14 del GDPR. Tale obbligo può essere assolto all’inizio della telefonata.
L’informativa sul trattamento dei dati potrà essere strutturata anche in forma scalare, fornendo le informazioni principali all’inizio della telefonata e offrendo i riferimenti per accedere all’informativa completa e esercitare i propri diritti (ad esempio, rinviando al sito web per la consultazione della policy completa).
Il mancato rispetto dell’obbligo di fornire adeguata informativa sul trattamento dei dati, ai sensi dell’art. 83 GDPR, può portare a sanzioni fino al 4% del fatturato globale o 20 milioni di euro.
Inoltre, specialmente quando si tratta di comunicazioni commerciali B2C, ci si dovrebbe assicurare che la comunicazione commerciale sia da subito identificata come tale, in ottica di trasparenza.
Obbligo di consultare il Registro delle Opposizioni per le attività promozionali e commerciali
Gli operatori che intendono svolgere attività promozionale e commerciale via telefono sono tenuti, inoltre, a consultare periodicamente e, in ogni caso, prima dell’inizio della campagna, il Registro Pubblico delle Opposizioni.
Tale registro permette agli utenti di opporsi all’utilizzo dei propri numeri di telefono per fini di invio di materiale pubblicitario o di vendita diretta, ovvero per il compimento di ricerche di mercato o di comunicazione commerciale.
Gli operatori sono tenuti, dunque, a registrarsi a tale servizio e a verificare che i numeri che intendono chiamare non abbiano esercitato il loro diritto di opporsi, iscrivendosi al Registro. In caso di affidamento di attività di call center a terzi, il titolare del trattamento (il committente) rimane responsabile in solido per tali obblighi.
La normativa relativa al Registro Pubblico delle Opposizioni ha riguardato tradizionalmente solo le numerazioni fisse presenti nei pubblici elenchi. Tuttavia, a seguito della L. 5/2018 è stata aperta la possibilità di registrarsi anche a utenze fisse non pubblicate negli elenchi e a numerazioni mobili.
Tale innovazione sarà oggetto di uno specifico regolamento e dovrebbe essere attiva entro dicembre 2020. Quando tale regolamento sarà in vigore, l’iscrizione al Registro comporterà la revoca di tutti i consensi precedentemente espressi per finalità di pubblicità o vendita e per il compimento di ricerche di mercato o comunicazione commerciale, fatti salvi i consensi prestati nell’ambito di specifici rapporti contrattuali in essere, ovvero cessati da non più di trenta giorni, aventi ad oggetto la fornitura di beni o servizi. Per questi ultimi dovrà essere comunque assicurata, con procedure semplificate, la facoltà di revoca
Individuazione della base giuridica per il trattamento dei dati personali
Come sempre, prima di iniziare un’attività di call center, sarà opportuno effettuare una valutazione dei profili relativi al trattamento di dati personali
Ai sensi dell’art. 130 del d.lgs. 196 del 2003, l’attività di marketing con sistemi automatizzati (es. chiamate senza operatore) è sottoposta al previo consenso dell’interessato. Il Garante ha, negli anni, rivolto particolare attenzione al tema del telemarketing, emanando le Linee Guida in materia promozionale del 4 luglio 2013 e il provvedimento generale del 19 gennaio 2011 in materia di “Prescrizioni per il trattamento di dati personali per finalità di marketing, mediante l´impiego del telefono con operatore, a seguito dell´istituzione del registro pubblico delle opposizioni”. Sebbene entrambi i provvedimenti siano precedenti al GDPR (e debbano, quindi, essere riletti alla luce di quest’ultimo), da essi possono essere tratte importanti indicazioni relativamente al trattamento dei dati personali nell’ambito del telemarketing. In particolare, con riferimento all’uso di elenchi pubblici, il Garante ha sottolineato come la normativa abbia previsto l’applicazione di un regime di cd. opt-out, senza il consenso preventivo del soggetto interessato, per il trattamento dei dati personali pubblicati negli elenchi di abbonati alfabetici , salvo il diritto di opposizione dell´interessato stesso, attraverso l´iscrizione all´apposito Registro pubblico delle opposizioni. Dall’altro lato, il Garante ha anche precisato che l’utilizzo delle utenze di imprese o liberi professionisti reperibili in elenchi categorici è sottoposto al rispetto di un nesso di finalità tra le offerte commerciali e l’oggetto delle relative attività.
Ciò premesso, la base giuridica del trattamento per attività di telemarketing è stata, di recente, oggetto di particolare attenzione da parte del Garante, nel provvedimento del 15 gennaio rivolto a Tim. In tale pronuncia, si è ribadito che, qualora non ricorra il sistema di opt-out per i dati presenti negli elenchi pubblici, la regola generale da seguire per i trattamenti per finalità promozionali resta comunque quella del previo consenso informato, libero, specifico e documentato degli interessati. Sul punto, il Garante ha, inoltre, evidenziato come il ricorso al legittimo interesse, menzionato dal considerando 47 del GDPR anche con riferimento alle attività di marketing, sia subordinato a una rigorosa analisi dell’impatto su diritti, libertà e interessi degli interessati, con particolare riferimento alle loro aspettative e alle misure adottate dai titolari. Il ricorso al legittimo interesse, peraltro, in nessun caso può sanare ex-post precedenti vizi nell’acquisizione del consenso.
La base giuridica per il trattamento dei dati sarà è ovviamente diversa se il numero è messo a disposizione per finalità di assistenza contrattuale, potendo in questo caso il trattamento ricadere nella necessità di dare esecuzione a un contratto.
Valutazione della capacità di soggetti terzi di rispettare la normativa privacy e opportune misure contrattuali
La scelta dei terzi affidatari di servizi di call center, in caso di outsourcing, non può prescindere da una previa e accurata valutazione della loro capacità di garantire il rispetto della normativa in materia di trattamento dei dati personali, con misure tecniche e organizzative adeguate, ai sensi dell’art. 28 del GDPR.
Il Garante, nel provvedimento emanato nei confronti di TIM, ha, inoltre, mostrato particolare attenzione nei confronti di dati di utenze ottenuti tramite terzi e utilizzati per finalità commerciali. Per tali dati, infatti, resta in ogni caso titolare (o, in specifici casi, contitolare) il soggetto per il quale viene svolta l’attività di telemarketing, anche in ragione della spendita del nome e dei vantaggi economici derivanti da tale attività.
È pertanto consigliabile che, qualora si ottengano utenze relative a persone fisiche da soggetti terzi per finalità commerciali, tale attività sia oggetto di specifiche previsioni contrattuali, nelle quali i terzi garantiscano il rispetto della normativa in materia di trattamento dei dati personali sin dal momento dell’acquisizione dei dati, con particolare riferimento alla validità dei consensi.
Adozione di misure organizzative interne per dimostrare il rispetto degli obblighi
Alla luce degli obblighi in materia di trattamento dei dati personali, anche al fine di assicurare il rispetto dei principi di privacy by design e by default e di mitigare i rischi, è consigliabile che le società che intendano utilizzare strumenti di call center adottino delle misure organizzative interne che siano idonee a garantire la tracciabilità dei consensi e l’esercizio dei diritti degli interessati e che consentano un’adeguata valutazione dei terzi affidatari.
Particolarmente utili risultano procedure interne che
- dettaglino le attività da porre in essere prima della chiamata, al momento della creazione delle liste di contattabilità;
- includano processi di verifica dell’origine e della legittima acquisizione delle numerazioni da contattare;
- istituiscano controlli a campione idonei a comprovare il rispetto della normativa in materia di protezione di dati personali e, laddove necessario, degli obblighi di consultazione del Registro pubblico delle opposizioni;
Ancora, in ogni caso, dovrebbero essere strutturati e posti in essere processi interni che:
- assicurino l’esercizio dei diritti degli interessati e i relativi riscontri in 30 giorni;
- assicurino il rispetto degli obblighi di informazione al momento della chiamata;
- individuino degli standard di qualità per la valutazione dei soggetti terzi affidatari, anche ai sensi dell’art. 28 del GDPR;
- stabiliscano tempi di conservazione dei dati personali limitati e compatibili con la finalità perseguita, anche tenendo in considerazione le aspettative degli interessati.
Visibilità del numero
Ai sensi della L.5 del 2018, gli operatori che svolgono attività di call center rivolte a numerazioni nazionali fisse o mobili per finalità commerciali e promozionali devono garantire la piena attuazione dell’obbligo di presentazione dell’identificazione della linea chiamante. L’AGCOM ha individuato il prefisso 0844 per permettere l’identificazione delle chiamate telefoniche finalizzate al compimento di ricerche di mercato e ad attività di pubblicità, vendita e comunicazione commerciale.
Gli operatori che svolgono attività di call center possono utilizzare anche numeri diversi da quelli con codice 0844, con il vincolo che tali operatori siano contattabili tramite tali numeri, adottando adeguate misure tecniche.