Un altro obbligo per i titolari del trattamento dati che si avvalgono di agenti per attività di promozione – Provvedimento del 15 giugno 2011

Fino ad oggi le società che effettuavano l’invio di materiale pubblicitario o attività di vendita diretta come il compimento di ricerche di mercato o di comunicazioni commerciali, avvalendosi della collaborazione di soggetti terzi (outsourcer) non avevano alcuna restrizione nella qualificazione del rapporto con il soggetto fornitore del servizio, pur nel rispetto dei presupposti previsti nel Codice Privacy. I terzi, infatti, potevano essere configurati o quali autonomi titolari ai sensi degli artt. 4 comma 1 lett. f) e 28 D. Lgs 196/2003 o come responsabili esterni del trattamento. In particolare la qualifica di responsabile era assegnata dal titolare in modo del tutto autonomo, in base alla sua valutazione circa la titolarità dei dati trattati dagli outsorcer.

A seguito di situazioni  di abuso di tale facoltà, che ha visto i preponenti riconoscere la titolarità del trattamento dei dati dei destinatari di iniziative di telemarketing o marketing in capo a soggetti terzi  a cui venivano affidate campagne promozionali  per loro conto ( e anche in loro nome!) per rivendicare una totale  estraneità rispetto ad eventuali illeciti,  il Garante ha indicato specifici criteri per la corretta individuazione delle figure del titolare e del responsabile del trattamento di dati personali. Il titolare è ovviamente libero di esternalizzare l’attività di promozione, ma avrà l’obbligo di nominare agenzie, ovvero i soggetti terzi che agiscono in outsourcing responsabili esterni qualora il titolare assuma “le decisioni relative alle finalità del trattamento dei dati dei destinatari di campagne promozionali ai fini di invio di materiale pubblicitario o di vendita diretta o di ricerche commerciali o di comunicazione commerciale effettuate da soggetti terzi che agiscono in outsourcing per lo svolgimento delle richiamate attività di promozione e di commercializzazione di beni, prodotti e servizi”; impartisca “istruzioni e direttive vincolanti nei confronti degli outsourcer, sostanzialmente corrispondenti alle istruzioni che il titolare del trattamento deve impartire al responsabile; e/o svolga “funzioni di controllo rispetto all´operato dell’ outsourcer”.

Il Garante non ha lasciato molto tempo per l’adeguamento: solo 60 giorni dalla pubblicazione del provvedimenti in Gazzetta ufficiale, ovvero dal 4 luglio 2011. Le sanzioni comminiate sono previste dagli artt. 130, comma 3 bis, 161 e 162 commi 2 bis e 2 quarter.