Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

GUIDA ALLA NORMATIVA

Privacy e call center: ecco come gestire i rapporti con dipendenti, committenti e consumatori

Nell’ambito della data protection assume particolare rilevanza il trattamento dei dati personali nello svolgimento delle attività di gestione e recupero del credito stragiudiziale effettuate mediante strumenti telefonici, epistolari e di esazione domiciliare. Ecco le best practice per gestire al meglio privacy e call center

10 Ott 2019
B

Elia Bisogni

Corporate Legal Counsel


Quando si parla di privacy e call center occorre prestare sempre la massima attenzione e analizzare attentamente le tipologie dei trattamenti dati effettuati.

Nell’ambito della data protection, ad esempio, assume particolare rilevanza il trattamento dei dati personali nello svolgimento delle attività di gestione e recupero del credito stragiudiziale effettuate mediante strumenti telefonici, epistolari, e di esazione domiciliare.

Infatti, il recupero stragiudiziale dei crediti sia di natura finanziaria (prestiti, finanziamenti, leasing ecc.) che di natura commerciale (acqua, luce, gas ecc.) ad oggi viene effettuato da specifici soggetti autorizzati giusta licenza ex art. 115 TULPS R.D. 18 giugno del 1931, rilasciata dalla Questura di appartenenza.

Privacy e call center alla luce del GDPR

Ovviamente, essendo oggetto di trattamento i dati peculiari dei debitori relativi alla morosità, va da sé che gli stessi sono soggetti a specifiche regole in materia di privacy, trovando pertanto applicazione il Reg. EU 2016/679 (GDPR) nonché alcuni provvedimenti del Garante della privacy italiano, che risultano ancora ad oggi in vigore in quanto non confliggenti con il suddetto Regolamento Europeo.

Nello specifico, trovano applicazione il Provvedimento del 30/11/2005 “Liceità, correttezza e pertinenza nell’attività di recupero crediti” e il Vademecum aprile 2016 intitolato “Privacy e recupero crediti: le regole per il corretto trattamento dei dati personali”.

Tra le varie prescrizioni in essi contenuti è previsto che nel corso delle attività di gestione del credito, gli incaricati del professionista o impresa che svolge attività di gestione del credito non possano fornire informazioni relative alla stato di inadempimento a soggetti terzi rispetto al consumatore/ debitore.

Tale divieto può essere derogato in casi specifici, quali:

  1. il soggetto terzo si dimostri già a conoscenza delle informazioni relative alla morosità;
  2. il soggetto terzo si dichiari espressamente quale delegato del debitore, fornendone opportuna evidenza;
  3. il decesso del debitore, caso in cui il contatto può avvenire con eventuali eredi.

In nessun caso, il soggetto delegato può essere un soggetto minore, né possono essere esercitate indebite pressioni nei confronti del debitore/consumatore.

Per approfondimenti sul tema del recupero crediti e del rapporto con il consumatore si rimanda al codice procedurale OIC che delinea le opportune regole di condotta e best practice al fine di garantire il rispetto dei diritti dei creditori e dei consumatori/debitori.

Privacy e call center: il responsabile esterno del trattamento

Sempre in ambito privacy è importante sottolineare che nel mondo della gestione e recupero del credito, ogni soggetto titolare di licenza ex art. 115 TULPS ricopre sia il ruolo di titolare del trattamento (per quanto riguarda i dati personali che tratta in modo diretto concernenti i rapporti di lavoro in esser e con il proprio personale ) che il ruolo di responsabile esterno del trattamento (per quanto riguarda tutti i dati trattati per conto della Committenza che ha conferito espresso mandato per il recupero e gestione del credito).

In questo ambito analizzeremo il ruolo di responsabile esterno del trattamento i sensi dell’art. 28 del GDPR che recita al primo comma: “1. Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.

Tale inciso è di fondamentale importanza poiché, essendo venute meno le misure minime di sicurezza previste dal precedente D.lgs. 196/2003, è necessario che il responsabile ponga in essere misure tecniche ed organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.

In difetto, non solo il titolare sarà diretto responsabile delle conseguenze giuridiche delle inadempienze del responsabile del trattamento, ma quest’ultimo come si evince dal comma 10 dell’art. 28 sarà considerato titolare del trattamento, con tutti gli obblighi e responsabilità del caso.

In virtù di quanto sopra, è pratica diffusa tra i diversi committenti procedere ad inserire nel contratto di appalto di recupero crediti una clausola contrattuale di manleva, con la quale si riservano di richiedere in capo al responsabile del trattamento il risarcimento di tutti i danni che dovessero subire in caso di violazione della privacy da parte del responsabile del trattamento.

Privacy e call center: il Data Processor Agreement

In tale ambito, tutti i committenti, per i contratti ad oggi in essere stipulati prima del 25 maggio 2018 hanno proceduto e/o stanno procedendo ad aggiornare le nomine dei propri responsabili esterni, inviando alle agenzie di recupero e gestione del credito all’uopo incaricate un cosiddetto DPA (Data Processor Agreement) per la disciplina dei dati personali in qualità di responsabile del trattamento ai sensi dell’art. 28 del Reg. Eu 2016/679.

Tra le varie istruzioni ed il rispetto di determinate checklist di sicurezza richieste dal titolare del trattamento (atte a dimostrare i requisiti di affidabilità, misure di sicurezza fisiche e logiche del responsabile del trattamento) di norma è previsto che il Responsabile sarà tenuto a:

  1. assicurare che il trattamento dei dati si svolga nel rispetto dei diritti, delle libertà fondamentali e della dignità delle persone fisiche, con particolare riferimento alla riservatezza ed all’identità personale;
  2. procedere al trattamento dei dati personali nel pieno rispetto del GDPR, della normativa italiana di adeguamento e dei provvedimenti adottati dall’Autorità Garante per la Protezione dei dati personali, in particolare, da quanto prescritto dalle norme relative alla raccolta del consenso informato dei singoli interessati, al trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale;
  3. trattare i dati personali solo su istruzione documentata del titolare anche in caso di trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale, salvo lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile; in tal caso, il responsabile dovrà comunque informare prima di iniziare il trattamento il titolare circa tale obbligo giuridico;
  4. assicurare che le persone autorizzate siano soggette ad un obbligo di segretezza relativamente ai dati personali e alle informazioni di cui potrebbero venire a conoscenza nell’espletamento del loro incarico;
  5. adottare ogni misura di sicurezza di tipo tecnico ed organizzativo adeguata a garantire un livello di sicurezza adeguato al rischio secondo quanto previsto dall’art. 32 GDPR;
  6. cancellare o restituire, secondo la volontà manifestata dal titolare, tutti i dati personali trattati successivamente alla conclusione della prestazione dei servizi relativi al trattamento e cancellare ogni copia esistente degli stessi;
  7. ottenere preventiva autorizzazione scritta del titolare, generale o specifica, qualora voglia avvalersi per l’esecuzione di specifiche di attività di trattamento per conto del titolare di altro responsabile; in caso di autorizzazione generale il responsabile sarà tenuto ad informare il titolare di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando in tal modo la possibilità al titolare di opporsi a tali modifiche. In ogni caso il contratto con l’ulteriore responsabile dovrà contenere gli stessi obblighi in materia di protezione dei dati contenuti nel presente contratto tra le parti;
  8. trattare i dati nel rispetto dei principi sanciti dall’art. 5 del GDPR, ossia di liceità, correttezza, trasparenza, limitazione della finalità, minimizzazione, esattezza, limitazione della conservazione, Integrità e riservatezza, effettuando anche i controlli necessari al fine di accertare che i dati siano trattati per gli scopi determinati dal presente incarico;
  9. rendere disponibili al titolare e senza ritardo, tutte le informazioni necessarie per dimostrare il rispetto degli obblighi, consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzate dal titolare;
  10. tenere un registro delle attività di trattamento svolti per conto del titolare;
  11. segnalare tempestivamente, e senza ritardo, al titolare le eventuali richieste o domande presentate dagli Interessati ai sensi degli art. 15-22 del Regolamento, assistendo il titolare affinché l’esercizio dei diritti sia effettivo;
  12. assistere il titolare con misure tecniche ed organizzative adeguate nella misura in cui ciò sia possibile, così da soddisfare l’obbligo del titolare di dar seguito alle richieste per l’esercizio dei diritti dell’interessato;
  13. assistere il titolare nel garantire il rispetto degli obblighi di cui gli artt. 32 a 36 del GDPR tenendo conto della natura del trattamento, delle informazioni a disposizione del responsabile; ci si riferisce in particolare al rispetto della sicurezza del trattamento, alla notifica di una violazione dei dati personali all’Autorità di controllo ed eventualmente all’interessato, alla valutazione di impatto e alla consultazione preventiva;
  14. informare prontamente il titolare di tutte le questioni rilevanti ai sensi del GDPR e della normativa italiana di recepimento (ad esempio richieste del Garante, esiti delle ispezioni delle Autorità, richieste degli interessati ecc.).

I compiti del responsabile del trattamento

In aggiunta a quanto sopra, in ottemperanza alle prescrizioni sancite dal Reg. Eu 2016/679, il responsabile del trattamento dovrà:

  • munirsi e nominare un Data Protection Officer, così come confermato dal Garante per la Protezione dei Dati Personali nelle “FAQ sul Responsabile della Protezione dei Dati (RPD) in ambito privato” poiché consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali (vedi le “Linee guida sui responsabili della protezione dei dati” del 5 aprile 2017, WP 243);
  • redigere e aggiornare i cosiddetti registri aziendali del trattamento previsti dall’art. 30 del GDPR contenenti le seguenti indicazioni:
  1. il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati; dei sub responsabili del trattamento; e del DPO;
  2. le finalità del trattamento;
  3. una descrizione delle categorie di interessati e delle categorie di dati personali;
  4. le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
  5. ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
  6. ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  7. ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1 del Regolamento EU sulla privacy;
  • informare l’interessato del trattamento mediante la pubblicazione delle informative previsto dall’Art. 13 e 14 del GDPR. L’informativa, infatti, ha lo scopo di illustrare all’interessato le informazioni su come vengono raccolti, utilizzati, condivisi e conservati i suoi dati personali, informandolo al contempo di quali siano i suoi diritti. Oltretutto, i dati trattati dal creditore o dal terzo incaricato sono, nella maggior parte dei casi, non direttamente raccolti dall’interessato, in quanto forniti da un terzo. È il caso, ad esempio, in cui l’agenzia di recupero dei crediti si trovi a trattare dati del debitore che le sono stati forniti direttamente dal creditore; o ancora, il caso in cui il creditore, ovvero l’agenzia di recupero dei crediti, acquisisca determinate informazioni da banche dati private di informative commerciali. In tutti questi casi, l’informativa dovrà essere integrata alla luce delle indicazioni di cui all’art. 14, GDPR, che prevede quali informazioni debbano essere fornite qualora i dati personali non siano stati ottenuti presso l’interessato. L’informativa stessa dovrà contenere:
  1. l’identità e i dati di contatto del titolare e del responsabile del trattamento;
  2. le finalità del trattamento; le categorie di dati personali oggetto di trattamento;
  3. gli eventuali destinatari dei dati personali;
  4. l’eventuale intenzione del titolare del trattamento di trasferire dati personali a un destinatario in un paese terzo; il periodo di conservazione dei dati personali;
  5. i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
  6. l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi, nonché il diritto di proporre reclamo a un’autorità di controllo;
  7. la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico; l’esistenza o meno di un processo decisionale automatizzato (profilazione);
  • adottare ed aggiornare un policy sul data breach, cosiddetta “Policy per la gestione degli incidenti sulla sicurezza in ordine ai dati personali”. Il documento disciplina, in dettaglio, i processi relativi alla gestione degli incidenti sulla sicurezza con particolare riferimento ai casi di Personal Data Breach – le violazioni sulla sicurezza in grado di comportare la perdita, la distruzione o la diffusione indebita di dati personali –, comprese la notifica all’Autorità di Controllo competente, in modo che la stessa possa valutare la gravità della situazione e stabilire misure correttive da imporre al titolare del trattamento. In caso di rischio elevato per i diritti e le libertà delle persone fisiche, il documento contiene anche la comunicazione agli interessati, così come prescritto rispettivamente dagli articoli 33 e 34 del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento Generale sulla Protezione dei Dati)“. È evidente infatti la situazione di grave pregiudizio che si verrebbe a creare in caso di violazione dei dati personali, con conseguenti danni fisici, materiali, immateriali, sociali ed economici per gli interessati;
  • prevedere se necessario una DPIA “valutazione d’impatto sulla protezione dei dati” strumento importante in termini di accountability perché permette all’organizzazione di valutare la conformità delle procedure messe in piedi. La valutazione di impatto privacy (DPIA) è necessaria quanto il trattamento dei dati può presentare un rischio elevato per i diritti e le libertà delle persone fisiche (art. 35 Regolamento); in particolare, vengono in rilievo i trattamenti automatizzati, quelli su larga scala tra cui, per l’appunto è ricompresa l’attività di recupero crediti;
  • formare il personale impiegato per le attività di recupero e gestione del credito sul tema della Privacy e dei trattamenti connessi. Tale formazione è fondamentale e verterà sulla importanza di protezione del dato, sul valore del dato, sulla policy aziendale, sulle procedure di data breach, sulle previsioni di legge e sulla responsabilità in capo all’autorizzato al trattamento del dato (nominato in sede di contrattualizzazione).

@RIPRODUZIONE RISERVATA

Articolo 1 di 5