di Lucio Scudiero*
ROMA (Public Policy) – Tranne gli addetti ai lavori, se ne sono accorti in pochi, che dal primo gennaio 2017 è entrata in vigore una normativa particolarmente restrittiva per le attività di call center in Italia. Lo ha previsto la legge di Stabilità 2017, probabilmente a seguito della vertenza Almaviva Contact, risultata nel licenziamento di oltre 1600 dipendenti della sede romana della società.
Una stretta regolatoria di natura eminentemente protezionistica giustificata attraverso un mix di argomentazioni a cavallo tra la tutela dei lavoratori e la tutela della privacy degli utenti. Per comprenderne a pieno i risvolti è necessario fare una premessa sul contesto di mercato delle attività di call center. Negli scorsi anni, sempre più di frequente, numerosi operatori attivi sia nel segmento delle chiamate verso gli utenti (cd. outbound) che da parte degli utenti (cd. inbound) hanno delocalizzato le attività in altri Paesi dell’Unione europea o, più spesso, in Albania, sfruttando il doppio vantaggio di un costo del lavoro inferiore e della padronanza dell’italiano da parte dei lavoratori locali.
La casistica è varia, ma non è infrequente neppure il caso in cui grossi gruppi multinazionali dell’IT che installano società di servizio, dedicate alle funzioni di customer care per l’intera area europea, in Paesi dell’Unione, o extra Ue, più convenienti sul piano regolatorio, contributivo e fiscale; si pensi alla società Y che esternalizza, per l’intera area Ue, la funzione di customer care alla controllata X, stabilita in Romania, oppure in Grecia, assumendo, per ciascun mercato di riferimento, lavoratori dotati di conoscenze linguistiche adeguate, quando non veri e propri madrelingua.
Si potrebbe inferire che, almeno in una certa parte, si è trattato di strategie che hanno coniugato la libertà di stabilimento garantita dai trattati comunitari con l’equivalente libertà di circolazione dei lavoratori: la società Y ha potuto infatti aprire in Bulgaria il proprio call center europeo, assumendo italiani. Senza voler entrare in considerazioni di merito politico sulla desiderabilità di un modello di erogazione di servizi così strutturato, va preso atto che si è trattato di strategie imprenditoriali lecite e fondate su considerazioni di efficienza allocativa che – almeno in ambito Ue – sono insindacabili sul piano del diritto.
Cosa prevede, dunque, la nuova disciplina, introdotta con la legge di Stabilità 2017? Innanzitutto che qualunque operatore economico che decida di delocalizzare call center fuori dall’Unione europea deve darne comunicazione al ministero del Lavoro nonché all’Ispettorato nazionale del lavoro; al ministero dello Sviluppo economico (Mise) e al Garante per la protezione dei dati personali. Inoltre, per tutti gli operatori economici che svolgono attività di call center diventa obbligatorio iscriversi al Registro degli operatori di comunicazione (Roc) tenuto dall’Autorità per le garanzie nelle comunicazioni, alla quale dovranno essere fornite tutte le numerazioni telefoniche messe a disposizioni del pubblico e utilizzate per i servizi di call center.
Da un punto di vista della tutela della protezione dei dati personali, la legge (cioè il novellato articolo 24-bis del decreto legge 83/2012) adesso impone agli operatori di dichiarare sempre il Paese da cui le chiamate sono effettuate o ricevute, nonché di informare il soggetto contattato della possibilità di richiedere che il servizio sia reso tramite un operatore collocato nel territorio nazionale o di un Paese membro dell’Unione europea, di cui deve essere garantita l’immediata disponibilità nell’ambito della medesima chiamata.
L’impatto operativo di questa norma sulla filiera produttiva sarà importante, perché di fatto essa costringerà gli operatori a mantenere un “piede” in Italia, o almeno in Ue. Senza considerare che la formulazione letterale della legge (cioè i commi 5 e 6 del citato articolo 24-bis) è affetta da una discrasia tecnica che andrà risolta sul piano interpretativo perché, mentre per le chiamate ricevute (inbound) essa prevede che il call center debba dare l’informazione a qualsiasi “soggetto”, per le chiamate effettuate (outbound) il soggetto beneficiario della norma è il solo “cittadino”.
Forse che questo vuol dire che la norma esclude dal suo ambito di applicazione i residenti non cittadini italiani? O che non copra le persone giuridiche, per le quali invece il Garante privacy italiano continua a ritenere applicabili le tutele del Codice privacy in ambito di marketing diretto? A giudicare dalla formulazione letterale della disposizione (comma 6), tali soggetti non andrebbero informati né a loro andrebbe garantita la possibilità di parlare con un call center italiano o comunitario.
Un’ulteriore e importante innovazione correlata all’applicazione del Codice privacy italiano riguarda l’introduzione della responsabilità solidale tra committente e call center per i seguenti due casi (si veda il comma 8 dell’articolo 24-bis): da un lato, per la violazione generica della nuova normativa sui call center, incluse le disposizioni sulle comunicazioni amministrative obbligatorie; dall’altro, per il mancato rispetto delle regole sul telemarketing previste dal Codice privacy, innanzitutto quelle sul cd. opt-out, cioè il diritto riconosciuto ai titolari di numerazioni contenute in elenchi telefonici di iscriversi nella cd. Robinson List e non essere più contattati.
Si consideri inoltre che, a presidio di questa allocazione di responsabilità, il citato comma 8 prevede che “anche il soggetto che ha affidato lo svolgimento di propri servizi a un call center esterno è considerato titolare del trattamento”. Da questa innovazione legislativa è possibile trarre, in diritto, le seguenti conclusioni. Innanzitutto, essa qualifica ex lege come Titolari del trattamento i soggetti interposti tra il committente e l’outsourcer extracomunitario; si tratta di operatori economici che fino ad ora avevano invece il ruolo del responsabile del trattamento.
In buona sintesi, un operatore di call center italiano che gestisca una commessa tramite una propria controllata o consociata stabilita in Albania è oggi, de iure, qualificato come titolare del trattamento, al pari del committente, che è l’unico che invece decide tempi, modalità e obiettivi delle campagne di marketing. Ciò imporrà alla filiera di riorganizzarsi, anche sul piano contrattuale, nel quale tale assetto andrà necessariamente trasposto, prevedendo anche gli opportuni accorgimenti sul piano delle garanzie tra le parti.
In secondo luogo, la norma difetta di chiarezza allorché prevede che “la constatazione della violazione può essere notificata all’affidatario estero per il tramite del committente”, in quanto non specifica se per committente intende proprio la società titolare della campagna di marketing o comunque del trattamento, ovvero se intenda che la sostituzione valga anche per la società di call center commissionata, stabilita in Italia, che a sua volta esternalizzi le chiamate, per esempio, alla controllata albanese.
Infine, questo regime speciale previsto per i call center “disordina” l’assetto previsto dal nuovo Regolamento privacy europeo che, in aderenza alla realtà economica sostanziale, aveva introdotto la possibilità di disciplinare le filiere di responsabili esterni attraverso un concatenarsi di sub-nomine e clausole contrattuali ad hoc (si veda l’articolo 28 comma 4 del Regolamento 679/2016), prevedendo altresì la responsabilità solidale tra titolare e responsabile esterno soltanto in caso di danno arrecato agli interessati (si veda l’articolo 82 comma 4 del Regolamento).
Quale, dunque, tra i due regimi normativi prevarrà per i call center, quando il Regolamento privacy diventerà efficace a maggio del 2018? Quello generale europeo, o quello speciale italiano?
In conclusione, sul piano generale della politica del diritto, il legislatore italiano ha perso un’occasione per riordinare la normativa sui call center in un’ottica di reale protezione della sfera privata dei soggetti contattati, per i quali il problema non è e non sarà da chi o da dove ricevono le telefonate, quanto il perché le ricevono.
Si è invece privilegiato il perseguimento di un obiettivo di protezione sindacale degli addetti che quasi sicuramente non porterà a nulla; almeno finché esisterà l’Unione europea, col suo quadro di regole, nessuno potrà impedire ad un imprenditore di stabilirsi in Slovenia o in Croazia per offrire servizi in Italia: e per i lavoratori albanesi, che parlano bene l’italiano, Slovenia e Croazia non sono poi così lontane. (Public Policy)
*Avvocato specializzato nel diritto Ue e alla tutela dei dati personali
(su Twitter: @Antigrazioso)