Articoli

Pubblicazioni sul web e diritto all’oblio

La recente giurisprudenza ribadisce che la tutela del diritto alla reputazione va contemperata con il diritto di e alla informazione, nonché con il diritto di cronaca; ma il soggetto interessato ha diritto a che l’informazione che lo riguarda risponda ai criteri di proporzionalità, necessità, pertinenza allo scopo, esattezza e coerenza con la sua attuale ed effettiva identità.

Pertanto, sussiste il diritto all’oblio e, cioè, a che non vengano ulteriormente divulgate informazioni (potenzialmente) lesive della reputazione in quanto divenute prive di interesse rispetto alla collettività, sia pure locale, stante il lasso di tempo intercorso dall’accadimento del fatto che ne costituisce l’oggetto, sicché il relativo trattamento viene a risultare non più giustificato.

Comunicare dati necessari non è un obbligo

Avv. Flaviano Sanzari

La Corte di giustizia dell’Unione europea, con una sentenza depositata lo scorso 4 maggio (causa C-13/16), ha precisato che uno Stato Ue può anche non prevedere che siano comunicati al danneggiato i dati personali del soggetto ritenuto responsabile, anche quando ciò è necessario per la tutela di un interesse legittimo. Il diritto dell’Unione non lo impone: si limita a stabilire che, qualora lo Stato abbia una norma che stabilisce l’obbligo di comunicazione, esso è condizionato a tre requisiti.

In particolare, è stata la Corte suprema lettone, sezione del contenzioso amministrativo, a rivolgersi alla CGE. Una società di filobus urbani aveva subito un danno perché un passeggero di un taxi, aprendo la portiera, aveva causato un incidente. La compagnia di taxi si era opposta a ogni richiesta di risarcimento ritenendo responsabile il passeggero. Di conseguenza, la società di filobus aveva chiesto alla polizia municipale di avere informazioni sul cliente, ma aveva avuto una risposta parziale, senza l’indicazione del numero del documento di identità e del domicilio. La Corte lettone, prima di decidere, ha chiesto alla Corte Ue di chiarire se la direttiva 95/46 (recepita in Italia con il D.lgs 196/2003) sulla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati, impone la trasmissione delle informazioni.

Nodo della questione è l’articolo 7 della direttiva (che sarà sostituita dal 25 maggio 2018 dal regolamento n. 2016/679), in base al quale gli Stati possono prevedere la comunicazione dei dati, tra l’altro, nei casi in cui sia necessario per il perseguimento di un interesse legittimo del responsabile del trattamento o di un terzo. A patto, però, che non siano compromessi i diritti e le libertà fondamentali della persona interessata.

In ogni caso – chiariscono i giudici europei – l’articolo 7 non prescrive un obbligo di comunicazione dei dati a un terzo, ma prevede unicamente che lo Stato si avvalga della possibilità – nell’ambito del margine di discrezionalità attribuito dalla direttiva – di prevedere un simile obbligo. Che deve comunque sottostare a tre condizioni cumulative: un interesse legittimo del responsabile del trattamento o di terzi, la necessità dello stesso trattamento e la non prevalenza su diritti e libertà fondamentali della persona interessata.

Per la Corte Ue, è evidente che il terzo che vuole ottenere informazioni personali su una persona che ha danneggiato il suo mezzo persegue un fine legittimo.

Per quanto riguarda la seconda condizione, ossia la necessità del trattamento, la Corte Ue riconosce che le autorità nazionali avevano trasmesso unicamente l’indicazione del nominativo, rendendo così difficile un accertamento per l’esercizio dell’azione giudiziaria. Pertanto, secondo la CGE, era necessario anche indicare il numero del documento di identità e il domicilio.

Sul fronte dell’ultima condizione, ossia che non siano compromessi i diritti fondamentali della persona interessata dal trattamento, la Corte richiede una ponderazione “dei diritti e degli interessi contrapposti” che vanno valutati sul caso concreto.

Fermo restando che uno Stato può legittimamente non prevedere un obbligo di comunicazione a un terzo, per permettergli un’azione per risarcimento danni causati dalla persona interessata alla tutela dei dati.

 

Data portability: gli aspetti più rilevanti dell’aggiornamento alle linee guida del WP 29

Avv. Flaviano Sanzari

Il Working Party 29, organismo creato tra le autorità della protezione dei dati personali degli stati membri dell’Unione Europea con lo scopo di armonizzare l’applicazione della normativa in materia di trattamento dei dati personali, in data 5 aprile 2017 ha provveduto ad aggiornare le linee guida in materia di portabilità dei dati, il nuovo diritto contenuto nel regolamento europeo n. 679/2016.

Il documento, dopo una breve introduzione in cui si evidenziano gli scopi del nuovo diritto, ovvero quello di riequilibrare i rapporti di forza tra consumatori e imprese, promuovendo altresì, pur se non in maniera esplicita, una maggior concorrenza tra gli operatori del mercato, illustra gli elementi principali della data portability, quando si applica, le modalità concrete in cui tale diritto può essere esercitato, e, infine, le modalità con cui i data controller devono fornire i dati.

Il primo elemento che viene preso il considerazione è il diritto dell’interessato a ricevere l’insieme dei suoi dati personali, posseduti dal data controller, sia per archiviarli su supporto proprio, sia su altro cloud privato. In alte parole, ciò che viene in rilievo è come la trasferibilità ad altro controller sia solo una delle opzioni disponibili.

Infatti, il richiedente, oltre ad aver diritto a ricevere i dati in un formato strutturato in modo comune e intellegibile per inviarli ad un nuovo controller (“in a structured, commonly used and machine-readable format”), alternativamente ha il diritto di riceverli direttamente egli stesso, qualora volesse trattarli personalmente (per i più diversi scopi).

Passando alla disamina legata al controllo sui i dati, le linee guida specificano che i dati vengono trasferiti come richiesti ed in quanto tali, senza riguardo allo scopo per cui vengono richiesti. Corollario di questa considerazione è che il data controller che adempie all’invio dei dati, successivamente non è più responsabile per quello che l’interessato o il nuovo data controller intendono farne (rimanendo, ovviamente, responsabile dei dati se ne conserva copia, la data portability non comportando l’obbligo di cancellazione dei dati trasferiti).

Altro punto importante, nel caso di trasferimento ad altro controller, consiste nell’obbligo posto a carico del primo controller di verificare la genuinità della richiesta ricevuta, nel senso della provenienza e della tipologia di dati richiesti, ad esempio prevedendo delle procedure di verifica, da attivare sia prima che dopo, qualora il consenso all’operazione sia già stato preventivamente dato o il contratto finalizzato. Da questo punto di vista, sembrerebbe che le linee guida vadano incontro ad eventuali problemi tecnici dei data controller, suggerendo l’apposizione di una specifica clausola in tal senso nei termini di servizio, probabilmente in modo da permettere maggior libertà d’azione al data controller dal punto di vita tecnologico.

Proseguendo nella disamina delle linee guida, viene evidenziato come il data controller non sia gravato da particolari obblighi sulla data retention al fine di permettere la data portability. Detto in altri termini, quest’ultima non va a modificare la durata della prima: quando scade il periodo per il quale è possibile detenere il dato, questo va cancellato senza obbligo di conservarlo per permettere l’esercizio del diritto in discussione; né, quindi, tale eventualità può essere usata coma giustificazione per prolungare il trattamento.

Né il trasferimento dei dati può avvenire con pregiudizio degli altri diritti dell’interessato, ivi compresi quelli previsti dal nuovo regolamento stesso. Ad esempio, l’esercizio della portabilità non prevede la cessazione automatica del rapporto tra il soggetto richiedente e il primo data controller, potendo l’interessato continuare ad utilizzare i servizi del primo data controller, ivi comprese tutte le facoltà in tema di privacy (accesso ai dati, loro modifica, etc..).

Poiché la data portability non prevede, di per sé, la cancellazione dei dati dell’utente (non interferendo, come accennato sopra, con la durata del trattamento), quest’ultimo, per questo scopo, dovrà esercitare il diritto all’oblio cui all’art. 17 del regolamento. A quest’ultima richiesta, peraltro, non si potrà opporre la previsione della data portability come scusa per prolungare la data retention.

Passando ai casi in cui si applica il diritto alla portabilità, si evidenzia che questo diritto riguarda tutte le ipotesi in cui il trattamento avvenga sulla base del consenso o in esecuzione di un contratto. Ad esempio, il titolo di un libro acquistato on line costituisce un dato trattato in virtù di un contratto e, pertanto, passibile di portabilità. Invece, i trattamenti effettuati in virtù di obblighi legali, quali, ad esempio, in virtù della normativa antiriciclaggio, non sono soggetti alla portabilità.

Quanto all’individuazione dei dati personali che ricadono sotto la data portability, il primo requisito è che si tratti di dati riguardanti l’utente che ne faccia richiesta, anche nell’ipotesi di dati ceduti sotto pseudonimo, qualora facilmente associabili al richiedente. Con l’espressione “provided by”, peraltro, non si intendono solo i dati forniti direttamente dall’utente, ma anche quelli derivanti dall’osservazione della sua attività (ad esempio, le ricerche su internet).

Dal punto di vista tecnico, le linee guida pongono in evidenza l’esistenza di una best practice consistente nella implementazione, nelle piattaforme digitali, di tool in grado di permettere all’utente di decidere quali dati trasferire e quali no.

In tema di informativa che il data controller deve fornire all’interessato, è previsto che esso fornisca una informativa sull’esistenza del diritto alla portabilità, sia nel caso che i dati vengano forniti dall’utente stesso, sia quando i dati di quest’ultimo arrivino da altre fonte e quest’ultimo eserciti i propri diritti in qualità di interessato. Quanto alle tempistiche, è previsto un termine massimo di un mese (prorogabile fino a tre nei casi di richieste complesse) per soddisfare le richieste degli interessati.

Quanto alla dimensione dei dati da inviare direttamente al richiedente, qualora la loro trasmissione via rete sia difficoltosa per la loro quantità, le linee guida ipotizzano l’utilizzo di sistemi fisici (quali dvd, etc..), o in alternativa l’invio diretto al nuovo data controller se scelto.

Quanto al formato in cui i dati devono essere trasferiti, al richiedente o al nuovo data controller, il regolamento impone che siano trasferiti in un formato riutilizzabile, senza ulteriori specificazioni, lasciando ai data controller ed, in definitiva ,allo stato della tecnologia ed al settore di riferimento presente al momento della richiesta il compito di scegliere.

In conclusione, si può dire che il WP 29, con queste linee guida, mette a disposizione degli operatori del settore una serie d’indicazioni di natura pratica, ancorate a basi giuridiche, ovvero di natura più propriamente empirica, al fine di promuovere l’effettivo esercizio e consolidamento di tale diritto da parte degli interessati, auspicando che si vada nella direzione di una apertura del mercato.

Non esiste diritto all’oblio dei dati personali contenuti nel registro delle imprese

Gli Stati membri non sono tenuti a garantire alle persone fisiche, i cui dati sono iscritti nel registro delle imprese, il diritto di ottenere, decorso un certo periodo di tempo dallo scioglimento della società, la cancellazione dei dati personali. Lo ha stabilito la Corte di Giustizia Europea, con la sentenza del 9 marzo 2017, con la quale ha precisato che spetta ai singoli Stati UE determinare se le persone fisiche possano chiedere all’autorità incaricata della tenuta, rispettivamente, del registro centrale, del registro di commercio o del registro delle imprese di verificare, in base ad una valutazione da compiersi caso per caso, se sia eccezionalmente giustificato – per ragioni preminenti e legittime connesse alla loro situazione particolare, decorso un periodo di tempo sufficientemente lungo dopo lo scioglimento della società interessata – limitare l’accesso ai dati personali che le riguardano, iscritti in detto registro, ai terzi che dimostrino un interesse specifico alla loro consultazione.

Facebook è titolare del trattamento

In Irlanda del Nord, la Court of Appeal in Northern Ireland ha emanato una attesissima sentenza in materia di responsabilità di Facebook per l’abuso di informazioni riservate e ha ribaltato la decisione di primo grado, la quale stabiliva che il noto social network non fosse considerabile titolare del trattamento di dati personali. Invece, i giudici d’appello hanno affermato che Facebook Ireland deve essere ritenuta “data controller” ai sensi della sezione 5 del Data Protection Act 1998, rimanendo legittimata, tuttavia, ad invocare la sua qualità di hosting ai sensi della direttiva sul commercio elettronico contro la domanda di risarcimento del danno per violazione del medesimo Data Protection Act 1998. In questa decisione, la contraddizione tra l’affermazione di applicabilità della direttiva sul commercio elettronico da un lato e la disciplina britannica sui dati personali dall’altro (alla quale è sottoposta Facebook Irlanda) risulta evidente e la Corte d’Appello nordirlandese cerca di appianare tale contraddizione specificando che, nonostante la protezione dei dati sia esclusa dalla disciplina del commercio elettronico, le pagine Facebook e i relativi commenti invece ricadano sotto questa disciplina. Tuttavia, la Corte ha trascurato di affrontare la circostanza secondo cui agli utenti debba essere fornito un rimedio efficace per la tutela del loro diritto alla privacy, senza che tale strumento giuridico debba sussistere a seconda del meccanismo tecnico utilizzato per il trattamento dei dati.

Il consenso al trattamento dei dati si estende anche al loro utilizzo in altro Stato membro

Avv. Flaviano Sanzari

La Corte di Giustizia Europea, con sentenza del 15 marzo 2017, ha affermato che la normativa europea assicura il medesimo rispetto dei requisiti in materia di tutela dei dati personali degli abbonati in tutti gli Stati membri.

La Corte di Giustizia, in particolare, è tornata ad esaminare una questione relativa alla tutela dei dati personali degli abbonati a servizi telefonici. L’occasione è stata fornita da una controversia sorta tra una società che fornisce elenchi abbonati e servizi di consultazione e talune imprese che attribuiscono numeri di telefono ad abbonati dei Paesi Bassi, incentrata sia sulla messa a disposizione dei dati personali degli abbonati ai fini della loro pubblicazione in un elenco telefonico, sia sulla forma e modalità del consenso dell’abbonato telefonico alla pubblicazione dei propri dati con riferimento alle possibilità del loro utilizzo in un altro Stato membro.

Al centro della questione in esame, c’è, innanzitutto, la richiesta formulata dall’impresa belga EDA (European Directory Assistance), la quale fornisce elenchi abbonati e servizi di consultazione accessibili dal territorio belga. Tale impresa ha chiesto alla Tele2, alla Ziggo BV e alla Vodafone Libertel – tre imprese che assegnano numeri di telefono nei Paesi Bassi – di mettere a sua disposizione i dati personali degli abbonati, così da poterli pubblicare in un elenco telefonico.

Ritenendo di non essere tenute a fornire i dati in questione a un’impresa avente sede in un altro Stato membro, le suddette imprese hanno rifiutato di fornire i dati.

L’EDA, allora, ha investito della questione l’Autorità garante dei consumatori e dei mercati (ACM), quale autorità di regolamentazione nazionale, domandandole di risolvere la controversia.

L’Autorità, dopo aver consultato l’Organismo dei regolatori europei delle comunicazioni elettroniche (BEREC), ha invitato la Tele2, la Ziggo e la Vodafone a mettere a disposizione dell’EDA i dati di base relativi ai loro abbonati a condizioni eque, oggettive, orientate ai costi e non discriminatorie, a condizione che l’EDA si impegnasse ad utilizzare tali dati ai fini dell’immissione in commercio di un servizio standard di consultazione.

A loro volta, la Tele2, la Ziggo e la Vodafone hanno proposto un ricorso avverso le decisioni dell’ACM dinanzi alla Corte d’Appello del contenzioso amministrativo in materia economica.

A questo punto, la Corte d’Appello ha rimesso la questione alla Corte di Giustizia Ue, chiedendole:

– se un’impresa sia tenuta a mettere i dati relativi ai suoi abbonati a disposizione di un fornitore di elenchi abbonati e servizi di consultazione con sede in un altro Stato membro e, in caso di risposta affermativa,

– se si debba lasciare agli abbonati la scelta di dare o meno il proprio consenso a seconda dei paesi in cui l’impresa che chiede i dati in questione fornisce i propri servizi.

Ebbene, con la summenzionata sentenza del 15 marzo 2017, la Corte Ue ha affermato che la direttiva 2002/22/CE (relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica) si applica anche alle richieste provenienti da un’impresa che abbia sede in uno Stato membro diverso da quello in cui hanno sede le imprese che attribuiscono numeri di telefono agli abbonati.

Infatti, dall’articolo 25, paragrafo 2, della direttiva, risulta che tale disposizione riguarda qualsiasi richiesta ragionevole di rendere disponibili le informazioni necessarie ai fini della fornitura di elenchi e di servizi di consultazione accessibili al pubblico. Questo articolo esige inoltre che ciò avvenga a condizioni non discriminatorie.

Dalla disposizione emerge che il legislatore dell’Unione non procede ad alcuna distinzione a seconda che la richiesta di messa a disposizione sia formulata da un operatore stabilito nel territorio nazionale o in un altro Stato membro, dal momento che le imprese che assegnano numeri di telefono sono tenute a soddisfare “qualsiasi richiesta ragionevole di messa a disposizione”.

Con riferimento al caso concreto, la Corte Ue spiega che il rifiuto di mettere i dati relativi agli abbonati a disposizione dei richiedenti, per il solo motivo che questi ultimi avrebbero sede in un altro Stato membro, sarebbe incompatibile con il principio di non discriminazione.

Inoltre, per quanto riguarda la questione se si debba lasciare agli abbonati la scelta di dare o meno il proprio consenso a seconda dei paesi in cui l’impresa che chiede i dati in questione fornisce i propri servizi, la Corte di giustizia, richiamando la giurisprudenza, afferma che nel caso in cui un abbonato sia stato informato dall’impresa che gli ha assegnato un numero di telefono della possibilità che i suoi dati personali siano trasmessi ad un’impresa terza per essere inseriti in un elenco pubblico, e abbia acconsentito a tale pubblicazione, l’abbonato non deve dare nuovamente il suo consenso.

Secondo la Corte, l’ottenimento di un nuovo consenso da parte dell’abbonato è necessario solo qualora i dati siano usati per scopi diversi da quelli per cui sono stati raccolti al fine della loro prima pubblicazione.

Come affermato anche dall’Avvocato Generale Yves Bot, non esiste nessuna ragione particolare che giustifichi una differenza di trattamento a seconda che l’operatore sia stabilito nel territorio nazionale o in un altro Stato membro, se i dati personali sono raccolti per fini assolutamente identici a quelli per i quali essi sono stati raccolti ai fini della loro prima pubblicazione.

Infatti, in simili circostanze, la trasmissione di questi stessi dati ad un’altra impresa che intende pubblicare un elenco pubblico, senza che detto abbonato abbia nuovamente prestato il proprio consenso, non lede la sostanza stessa del diritto alla tutela dei dati personali, quale riconosciuto dalla Carta dei diritti fondamentali dell’Unione europea.

Yahoo!: via il link a sito con dati inesatti e superati

Yahoo! dovrà rimuovere il link alla pagina web di un sito statunitense in cui sono pubblicate informazioni inesatte e non aggiornate relative ad un cittadino italiano coinvolto in una vicenda giudiziaria accaduta in territorio americano. Lo ha deciso il Garante privacy, accogliendo il ricorso di un uomo che si era visto pubblicare propri dati personali su un sito che riporta gli arresti compiuti ogni giorno negli USA. Il Garante ha innanzitutto affermato la competenza dell’Autorità italiana sul caso in esame, ritenendo applicabile il diritto nazionale sulla base del principio di stabilimento. Nell’accogliere il ricorso, l’Autorità ha dunque ritenuto illecita la diffusione di informazioni non aggiornate e inesatte riferite al ricorrente, perché in contrasto con la normativa europea e nazionale.01

Telemarketing, no all’uso dei numeri di telefono “pescati” in rete

Avv. Flaviano Sanzari

Stop al telemarketing con l’utilizzo di numeri di telefono recuperati in internet e contattati senza il consenso dei destinatari. Il principio è stato ribadito dal Garante privacy, che ha recentemente vietato ad una società l’uso di utenze telefoniche reperite on line a fini promozionali.

Dagli accertamenti svolti dall’Autorità in collaborazione con il Nucleo speciale privacy della Guardia di finanza, è emerso che la società, attiva nell’offerta di servizi in Internet (costruzione e gestione di siti web, posizionamento nei motori di ricerca, vendita di spazi pubblicitari e attività di social media marketing), per acquisire nuovi clienti e promuovere i propri prodotti contattava telefonicamente le utenze reperite in rete, in genere numeri di telefono di liberi professionisti e imprese individuali presenti nell’area “contatti” dei siti. Si tratta, tuttavia, di un trattamento di dati personali illecito, perché effettuato senza aver prima acquisito il consenso dei destinatari per la specifica finalità in questione. La circostanza, infatti, che i numeri di telefono presenti in Internet siano liberamente conoscibili da chiunque, non significa che possano essere legittimamente usati per finalità (come il marketing) diverse da quelle per cui sono stati pubblicati on line.

Il Garante, inoltre, ha vietato alla medesima società l’uso di dati per finalità promozionali, anche in riferimento all’attività di invio automatizzato di e-mail, a quanti richiedevano i preventivi sui servizi resi grazie a un form disponibile sul sito. Nel modello, infatti, il potenziale cliente poteva selezionare solo un’unica casella, sia per finalità contrattuali che per il trattamento di dati per fini  pubblicitari, ricerche di mercato e sondaggi via e-mail.

Pur prendendo atto della dichiarazione della società di non aver svolto attività promozionali, il Garante ha ritenuto illecita la raccolta effettuata mediante il form. Tra i  clienti che non hanno potuto manifestare il libero e specifico consenso per l’invio di comunicazioni automatizzate promozionali, oltre a imprese individuali e liberi professionisti, vi erano anche numerose persone giuridiche, che in base all’art. 130 del Codice Privacy, continuano ad essere tutelate riguardo alle comunicazioni promozionali automatizzate (e-mail, telefonate, sms).

L’Autorità si è riservata di valutare l’applicazione delle sanzioni amministrative previste dal Codice per le violazioni rilevate.

Call center delocalizzati, nuove disposizioni normative

Avv. Flaviano Sanzari

Dal primo gennaio 2017 è entrata in vigore una normativa particolarmente restrittiva per le attività di call center in Italia. Lo prevede la legge di Stabilità 2017. Il giro di vite è stato giustificato avanzando ragioni riguardanti la tutela dei lavoratori e la tutela della privacy degli utenti. Negli scorsi anni, sempre più di frequente, numerosi operatori attivi sia nel segmento delle chiamate verso gli utenti (cd. outbound) che da parte degli utenti (cd. inbound) hanno delocalizzato le attività in altri Paesi dell’Unione europea o, più spesso, in Albania, sfruttando il doppio vantaggio di un costo del lavoro inferiore e della padronanza dell’italiano da parte dei lavoratori locali. La casistica è varia (si pensi alla società Y che esternalizza, per l’intera area Ue, la funzione di customer care alla controllata X, stabilita in Romania, oppure in Grecia, assumendo, per ciascun mercato di riferimento, lavoratori dotati di conoscenze linguistiche adeguate, quando non veri e propri madrelingua) e va preso atto che si tratta di strategie imprenditoriali lecite e fondate su considerazioni di efficienza allocativa che – almeno in ambito Ue – sono insindacabili sul piano del diritto. Cosa prevede, dunque, la nuova disciplina, introdotta con la legge di Stabilità 2017? Innanzitutto che qualunque operatore economico che decida di delocalizzare call center fuori dall’Unione europea deve darne comunicazione al Ministero del Lavoro, all’Ispettorato nazionale del lavoro, al Ministero dello Sviluppo economico (Mise) e al Garante per la protezione dei dati personali. Inoltre, per tutti gli operatori economici che svolgono attività di call center diventa obbligatorio iscriversi al Registro degli operatori di comunicazione (Roc) tenuto dall’Autorità per le garanzie nelle comunicazioni, alla quale dovranno essere fornite tutte le numerazioni telefoniche messe a disposizioni del pubblico e utilizzate per i servizi di call center. Sotto il profilo della tutela dei dati personali, la legge (cioè il novellato articolo 24-bis del decreto legge n. 83/2012) adesso impone agli operatori di dichiarare sempre il Paese da cui le chiamate sono effettuate o ricevute, nonché di informare il soggetto contattato della possibilità di richiedere che il servizio sia reso tramite un operatore collocato nel territorio nazionale o di un Paese membro dell’Unione europea, di cui deve essere garantita l’immediata disponibilità nell’ambito della medesima chiamata. L’impatto operativo di questa norma sulla filiera produttiva sarà importante, perché di fatto essa costringerà gli operatori a mantenere un “piede” in Italia, o almeno in Ue. Senza considerare che la formulazione letterale della legge (cioè i commi 5 e 6 del citato articolo 24-bis) è affetta da una discrasia tecnica che andrà risolta sul piano interpretativo, perché, mentre per le chiamate ricevute (inbound) essa prevede che il call center debba dare l’informazione a qualsiasi “soggetto”, per le chiamate effettuate (outbound) il soggetto beneficiario della norma è il solo “cittadino”. Sembrerebbe, quindi, che la norma escluda dal suo ambito di applicazione, per ciò che riguarda quest’ultimo genere di chiamate, i residenti non cittadini italiani e che non copra le persone giuridiche, per le quali invece il Garante privacy italiano continua a ritenere applicabili le tutele del Codice privacy in ambito di marketing diretto. Un’ulteriore e importante innovazione correlata all’applicazione del Codice privacy italiano riguarda l’introduzione della responsabilità solidale tra committente e call center per i seguenti due casi (si veda il comma 8 dell’articolo 24-bis): da un lato, per la violazione generica della nuova normativa sui call center, incluse le disposizioni sulle comunicazioni amministrative obbligatorie; dall’altro, per il mancato rispetto delle regole sul telemarketing previste dal Codice privacy, innanzitutto quelle sul cd. opt-out, cioè il diritto riconosciuto ai titolari di numerazioni contenute in elenchi telefonici di iscriversi nella cd. Robinson List e non essere più contattati. Si consideri, inoltre, che, a presidio di questa allocazione di responsabilità, il citato comma 8 prevede che “anche il soggetto che ha affidato lo svolgimento di propri servizi a un call center esterno è considerato titolare del trattamento”. Da questa innovazione legislativa è possibile trarre, in diritto, alcune conclusioni. Innanzitutto, essa qualifica ex lege come Titolari del trattamento i soggetti interposti tra il committente e l’outsourcer extracomunitario; si tratta di operatori economici che fino ad ora avevano invece il ruolo di responsabile del trattamento. In sostanza, un operatore di call center italiano che gestisca una commessa tramite una propria controllata o consociata stabilita in Albania è oggi, de iure, qualificato come titolare del trattamento, al pari del committente, che è l’unico che invece decide tempi, modalità e obiettivi delle campagne di marketing. Ciò imporrà alla filiera di riorganizzarsi, anche sul piano contrattuale, nel quale tale assetto andrà necessariamente trasposto, prevedendo anche gli opportuni accorgimenti sul piano delle garanzie tra le parti. La norma, peraltro, difetta di chiarezza allorché prevede che “la constatazione della violazione può essere notificata all’affidatario estero per il tramite del committente”, in quanto non specifica se per committente intende proprio la società titolare della campagna di marketing o comunque del trattamento, ovvero se intenda che la sostituzione valga anche per la società di call center commissionata, stabilita in Italia, che a sua volta esternalizzi le chiamate, per esempio, alla controllata albanese. Infine, questo regime speciale previsto per i call center sembra discordare con l’assetto previsto dal nuovo Regolamento privacy europeo che, in aderenza alla realtà economica sostanziale, ha introdotto la possibilità di disciplinare le filiere di responsabili esterni attraverso un concatenarsi di sub-nomine e clausole contrattuali ad hoc (si veda l’articolo 28, comma 4, del Regolamento n. 679/2016), prevedendo altresì la responsabilità solidale tra titolare e responsabile esterno soltanto in caso di danno arrecato agli interessati (si veda l’articolo 82, comma 4, del Regolamento). Quale, dunque, tra i due regimi normativi prevarrà per i call center, quando il Regolamento privacy diventerà efficace a maggio del 2018? Quello generale europeo, o quello speciale italiano? In conclusione, sul piano generale della politica del diritto, il Legislatore italiano ha perso un’occasione per riordinare la normativa sui call center in un’ottica di reale protezione della sfera privata dei soggetti contattati, per i quali il problema non è e non sarà da chi o da dove ricevono le telefonate, quanto il perché le ricevono. Senza considerare che l’obiettivo di protezione sindacale degli addetti, perseguito dalla nuova disciplina, rischia ugualmente di fallire; almeno finché esisterà l’Unione europea, col suo quadro di regole, nessuno potrà impedire ad un imprenditore di stabilirsi in Slovenia o in Croazia per offrire servizi in Italia; e per i lavoratori albanesi, che parlano bene l’italiano, Slovenia e Croazia non sono poi così lontane.

Registrazioni tra presenti: l’orientamento della Cassazione

Avv. Flaviano Sanzari

Con la sentenza n. 5241/2017, la terza Sezione Penale della Cassazione è tornata sul tema dell’uso delle registrazioni video e sonore, anche di conversazioni telefoniche, tra presenti, effettuate da uno dei partecipanti al colloquio, o da persona autorizzata ad assistervi.

Secondo la Suprema Corte, esse costituiscono, in giudizio, prove documentali valide e particolarmente attendibili, perché cristallizzano “in via definitiva ed oggettiva un fatto storico – il colloquio tra presenti (e tutto l’incontro, se con video) o la telefonata”.

Nel particolare caso di violenza sessuale, poi, “le video registrazioni risultano particolarmente valide, per la ricostruzione oggettiva delle violenze. Le moderne tecniche di registrazione, alla portata di tutti, per l’uso massiccio dei telefonini smart, che hanno sempre incorporati registratori vocali e video, e l’uso di app dedicate per la registrazione di chiamate e di suoni, consentono una documentazione inconfutabile ed oggettiva del contenuto di colloqui e/o di telefonate, tra il violentatore e la vittima”.

Infatti, prosegue la Cassazione, le registrazioni di conversazioni – e di video – tra presenti, compiute di propria iniziativa da uno degli interlocutori, “non necessitano dell’autorizzazione del giudice per le indagini preliminari, ai sensi dell’art. 267 c.p.p., in quanto non rientrano nel concetto di intercettazione in senso tecnico”, ma si risolvono, come osservato, in una particolare forma di documentazione, non sottoposta ai limiti ed alle formalità delle intercettazioni.

Infine, viene ricordata l’interpretazione della Suprema Corte di Cassazione, consolidata in materia, secondo cui è infondata ogni questione di legittimità costituzionale delle norme in tema di intercettazioni, “nella parte in cui non prevedono l’estensione dei limiti di applicabilità della normativa codicistica in materia di intercettazioni telefoniche e ambientali anche alle intercettazioni di conversazioni tra presenti o al telefono svolte non solo da un estraneo, ma anche da uno degli interlocutori della conversazione medesima”, trattandosi di situazioni del tutto diverse fra loro e non potendosi in alcun modo equiparare la registrazione effettuata, sia pure occultamente, da uno dei protagonisti della conversazione, all’ingerenza esterna sulla vita privata costituita dall’intercettazione svolta per opera di un terzo.