Garante privacy: chi si avvale di agenti per le attività promozionali resta titolare del trattamento dati
Il garante per la privacy ha fornito indicazioni in relazione al trattamento dei dati personali di chi è destinatario di iniziative di carattere commerciale “attuate in favore di un soggetto da parte di un altro soggetto che agisce in nome o, comunque, per conto del primo in base a specifico mandato o accordo”. Il provvedimento è stato reso a seguito di numerose segnalazioni reclami pervenuti in materia di trattamento dei dati personali. In sostanza molti abbonati ai servizi di telefonia avevano lamentato che nonostante la loro iscrizione nel registro pubblico deposizioni continuavano a ricevere contatti indesiderati per fini promozionali . Veniva dunque aperta attività istruttoria attraverso la quale l’autorità aveva rilevato che in molti casi le società che erogano servizi oggetto di campagne promozionali si avvalevano di soggetti terzi (outsourcer) a cui attraverso un contratto di agenzia (artt. 1742 ss. del codice civile) veniva dato l’incarico di svolgere attività di promozione commercializzazione di beni e servizi. Alcune società avevano nominato responsabili del trattamento le agenzie che si occupano per loro della promozione, altre, invece hanno sostenuto che gli agenti in questione sarebbero titolari autonomi del trattamento dei dati dei potenziali clienti sostenendo quindi di essere estranei ad eventuali illeciti. Sempre dall’istruttoria – si legge in un comunicato del garante – è emerso che gli outsourcer “agiscono in carenza degli imprescindibili presupposti perché possa essere loro riconosciuta autonoma titolarità nel trattamento di dati personali”. Ciò risulta secondo il Garante da una serie di circostanze di fatto tra cui quella che i contatti a carattere promozionale sono effettuati in nome, per conto e nell’interesse della società preponente con l’effetto che negli interessati si ingenera un legittimo affidamento, dal momento che essi percepiscono di essere destinatari di iniziative pubblicitarie condotte direttamente dalla società per conto della quale viene formulata la proposta di vendita di prodotti o servizi. Peraltro sono i preponenti a fornire agli agenti dettagliate “istruzioni sulle finalità del trattamento, sui mezzi da impiegare per il conseguimento di tali finalità e sui compiti assegnati, che sono specificamente e rigorosamente definiti”. Il Garante ricorda che gli artt. 4, comma 1, lett. f) e 28 del Codice definiscono, rispettivamente, il titolare come il soggetto “cui competono … le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati” e che esercita “un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza”. Per questo va ribadito che le agenzie in outsourcing non sono titolari autonomi dato che “all’asserita titolarità formale non corrispondono, anche in termini concreti, i poteri tassativamente previsti dal Codice per la configurazione e l’esercizio della titolarità, che sono e restano appannaggio esclusivo dei preponenti”. Con il provvedimento il Garante ha disposto “che tutti i preponenti, che sono titolari del trattamento in quanto, ai sensi di cui in motivazione, svolgono le attività proprie di tale qualifica, procedano, entro 60 giorni dalla pubblicazione del presente provvedimento sulla Gazzetta Ufficiale, a designare le società ovvero i soggetti terzi che agiscono in outsourcing, responsabili del trattamento ai sensi e per gli effetti degli artt. 4, comma 1, lett. g) e 29, commi 4 e 5 del Codice”.