Obbligo di comunicazione alle Autorità competenti nel caso di delocalizzazione all’estero di attività di call center

A fronte del fenomeno, sempre più frequente, della delocalizzazione dei servizi di call center in Paesi esteri, il legislatore ha sentito l’esigenza di intervenire con una disposizione che ha fatto molto discutere.
Trattasi dell’art. 24 bis del Decreto Legge 22 giugno 2012 n. 83, convertito nella legge 7 agosto 2012,  n. 134, recante “Misure a sostegno della tutela dei dati personali, della sicurezza nazionale, della concorrenza e dell’occupazione nelle attività svolte da call center”.
Tale norma trova applicazione nel caso di attività svolte da call center esteri con almeno venti dipendenti.
Quale concretamente il contenuto della suddetta disposizione?
Nonostante siano molteplici le indicazioni contenute in tale articolo degne di attenzione per le conseguenze applicative da esse derivanti, merita certamente un’attenta riflessione l’obbligo di comunicazione alle Autorità competenti cui deve ottemperare la  società che intende spostare l’attività di call center fuori dal territorio nazionale, nonché gli aspetti, strettamente connessi a tale operazione, legati al trasferimento dei dati personali all’estero.
Ai sensi del comma 2 del citato art. 24 bis, infatti, l’azienda che decida di spostare l’attività di call center fuori dal territorio nazionale per la gestione dei rapporti con i propri clienti e prospect, deve darne comunicazione, con un preavviso di almeno centoventi giorni, al Ministero del lavoro e delle politiche sociali ed all’Autorità Garante per la protezione dei dati personali.
Obbligo che sussiste, per espressa previsione normativa contenuta nel medesimo comma 2, anche in capo alle società che già operano in Paesi esteri, per le quali peraltro il legislatore non ha fissato alcun termine per adeguarsi, con la conseguenza che le aziende già operanti con call center esteri che non abbiano ancora effettuato comunicazione apposita al Ministero competente e al Garante Privacy possono incorrere nelle sanzioni previste dalla normativa in esame.
Analizzando l’obbligo di comunicazione di cui sopra, occorre rilevare che lo stesso opera nel caso in cui la società decida o abbia deciso di delocalizzare l’attività di call center “fuori dal territorio nazionale”,  indipendentemente dalla circostanza che il call center di cui la società si avvalga  operiin un Paese dell’Unione Europea o in un Paese Terzo.
Proprio tale aspetto è stato oggetto di critiche.
Per comprenderne la portata, occorre considerare che delocalizzare un’attività di  call center all’estero comporta, evidentemente, anche degli impatti in materia di privacy, avendo particolare riguardo ai profili legati al trasferimento dei dati all’estero e alle modalità di gestione e conservazione degli stessi.
Proprio guardando alle disposizioni di cui al  D. Lgs. 196/2003 (codice privacy) e, specificamente, agli artt. 42 e seguenti, che disciplinano gli aspetti legati al trasferimento dei dati all’estero, si pongono dei problemi di allineamento con l’art. 24 bis e il citato obbligo di comunicazione previsto al comma 2 di tale disposizione.
Sul punto occorre ricordare infatti che la disciplina in materia di protezione dei dati personali distingue l’ipotesi in cui i dati siano trasferiti in Paesi Terzi (cfr. art. 43 D. Lgs. 196/2003) da quella in cui siano trasferiti all’interno dell’Unione Europea (cfr. art. 42 D. Lgs. 196/2003).
Nello specifico, il trasferimento di dati in Paese non appartenente  all’Unione europea è consentito solo nei casi espressamente previsti dall’art. 43 del codice (tra i quali, ad esempio, l’ipotesi in cui l’interessato abbia rilasciato espresso consenso o l’ipotesi in cui il trasferimento sia necessario per l’esecuzione di obblighi derivanti da un contratto di cui è parte l’interessato). Il trasferimento verso un Paese extraeuropeo è inoltre possibile quando autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell’interessato individuate dalla stessa Autorità anche in relazione a garanzie prestate con un contratto o mediante regole di condotta esistenti nell’ambito di società appartenenti ad un medesimo gruppo, ovvero se il trasferimento è rivolto verso Paesi che  la Commissione europea ritiene che garantiscano un livello di tutela e protezione  non inferiore a quello garantito dalla normativa italiana o comunitaria oppure, ancora, esistano apposite clausole contrattuali tipo che, secondo la Commissione, offrano garanzie sufficienti (cfr. art. 44 del codice privacy).
In base a quanto indicato, allora, una società che intenda spostare l’attività di call center in Paese extraeuropeo, previa  verificare che, in base alla citata normativa in materia di protezione dei dati personali, il trasferimento dei dati in detto Paese sia consentito, sarà tenuta ad effettuare la comunicazione al Ministero e al Garante privacy, come prescritto dall’art. 24 bis del Decreto Legge 83/2012.
Detto obbligo di doppia comunicazione – come già indicato – sussiste anche nel caso in cui  una società intenda delocalizzare l’attività di call center in un Paese  all’interno dell’Unione europea, e ciò nonostante l’art. 42 del D. Lgs. 196/2003 sancisca il principio della libera circolazione dei dati personali fra gli Stati membri dell’Unione europea.
Senza voler approfondire in questa sede le critiche relative al contrasto dell’art. 24 bis con il principio di libera circolazione contenuto nell’art. 42 del codice privacy e, più in generale, nei Trattati di libera circolazione delle merci, delle persone, dei capitali e dei servizi all’interno dell’Unione Europea, appurato che l’obbligo di comunicazione alle autorità competenti, allo stato, sussiste nel caso in cui una società intenda delocalizzare l’attività di call center in un Paese fuori dal territorio nazionale, a prescindere che questo sia europeo o extra europeo, occorre considerare cosa debba contenere la comunicazione diretta al Garante per la protezione dei dati personali.
Sul punto l’art. 24 bis dispone che la società che sposti l’attività di call center fuori dal territorio nazionale debba indicare “quali misure vengono adottate per il rispetto della legislazione nazionale, in particolare del codice in materia di protezione dei dati personali e del registro elle opposizioni”.
In concreto, pertanto, la società sarà tenuta a fornire tutte le indicazioni idonee ad attestare le misure di sicurezza (minime e idonee) adottate in osservanza delle disposizioni di cui al codice privacy e all’allegato B, nonché  tutte le informazioni relative alle procedure attuate, alla documentazione privacy adottata  ed alle modalità di  gestione dei dati oggetto di trattamento nello svolgimento dell’attività tramite call center esteri.
A ciò si aggiunga che ove una società intendesse delocalizzare all’estero l’attività di call center finalizzata al contatto di utenti per finalità di telemarketing dovrebbe inoltre fornire al Garante le indicazioni relative alle misure e procedure adottate per  operare nel rispetto dell’art. 130 del codice privacy, che consente al Titolare del trattamento di contattare per la suddetta finalità di marketing l’utenza telefonica tratta da elenchi pubblici solo se il soggetto che ne è intestatario non abbia iscritto la numerazione al Registro Pubblico delle opposizioni ovvero abbia rilasciato espresso consenso al trattamento al Titolare.
Alla luce delle indicazioni normative  e dell’analisi effettuata, allora, le aziende che desiderino spostare l’attività di call centerfuori dal territorio nazionale, prima di effettuare le comunicazioni previste dall’art. 24 bis comma 2 del decreto legge 83/2012, dovranno verificare con molta attenzione di essere in linea con la normativa in materia di protezione dei dati personali.
E’ evidente infatti che l’Autorità Garante, una volta esaminata la comunicazione ricevuta, ove dovesse ravvisare che le misure adottate dal Titolare non rispettino il codice privacy o la disciplina prevista dal Registro delle opposizioni, potrà intervenire in sede ispettiva o di accertamento, con le conseguenze da ciò derivanti per la società, che, pertanto, potrebbe  risultare adempiente rispetto all’obbligo di comunicazione di cui all’art. 24 bis ma sanzionabile in base alla normativa in materia di privacy.