ADEMPIMENTI PRIVACY

Privacy e telemarketing, tra consenso, informativa e diritti dell’interessato: regole di compliance

Le recenti sanzioni in materia di privacy inflitte a TIM prima e a WindTre e Iliad dopo sottolineano il fatto che qualunque adempimento GDPR va ben oltre la specifica tematica del telemarketing ma deve far parte di un progetto di conformità alla normativa a tutto tondo che non lasci nulla al caso

20 Lug 2020
C
Marco Cassaro

Senior Advisory Risk & Compliance


Il telemarketing e il marketing in generale sono due tematiche molto care alle aziende e alle PMI in particolare, con notevoli impatti anche in ambito privacy. Di fatto, la possibilità di utilizzare i dati forniti dall’interessato per veicolare promozioni e/o attività commerciali, fa oggi la differenza nei confronti dei diretti concorrenti.

Tuttavia, quella che prima, nonostante la presenza del D.lgs. 196/2003 (cd. Codice Privacy), era un’attività che veniva svolta liberamente e con disinteresse nei confronti delle sanzioni allora comminabili, oggi, per il tramite del Regolamento UE 679/2016 (GDPR) è diventato un campo minato sulla cui conformità si stanno concentrando Autorità Garanti e sanzioni (tra cui non da ultima la sanzione comminata dall’Autorità Garante Nazionale a WindTre e Iliad per attività effettuate in violazione delle regole a tutela della privacy degli utenti).

Capire dunque le modalità attraverso le quali è possibile raggiungere la compliance normativa in tema di telemarketing è fondamentale.

Privacy e telemarketing: una prima visione d’insieme

Che il trattamento di dati personali effettuati da società per attività di marketing fosse uno dei “pallini” dell’Autorità Garante Nazionale non è un mistero. Di fatto l’indicazione e la riconferma di tale ambito di verifica nei piani ispettivi[1] formalizzati dall’Autorità stessa sia per l’anno 2019 che per il primo semestre del 2020 avrebbe dovuto essere un campanello di allarme per i player di settore.

Le sanzioni comminate a TIM prima[2] e quelle comminate a WindTre e Iliad per attività effettuate in violazione delle regole a tutela della privacy degli utenti dopo[3], sono un chiaro segnale di come raggiungere fino in fondo la compliance normativa e realizzare un trattamento dei dati che segua tutti i canoni di liceità non sia ad oggi cosa semplice.

Partendo dall’analisi dei provvedimenti in parola e cercando di indentificare le maggiori aree di rischio su cui le società devono prestare maggiore attenzione quanto si parla di telemarketing e marketing in generale si segnala come sia nell’attività istruttoria svolta nei confronti di Tim sia nei confronti di WindTre e Iliad ci siano diversi ambiti di interesse e di particolare attenzione:

  1. la centralità del consenso e dunque il corretto utilizzo della base di liceità prevista ex art. 6 del GDPR;
  2. l’informativa privacy;
  3. la difficoltà di esercitare i diritti previsti da normativa e in caso di relativo esercizio il mancato rispetto della volontà dell’interessato
  4. il ruolo delle controparti terze.

Di seguito si cercherà di dare risposta a quali adempimenti porre in essere per riuscire a conformarsi alla normativa di riferimento senza la presunzione di esaurire l’argomento che per molti punti di vista si rileva comunque essere complesso e articolato.

Privacy e telemarketing: il consenso

Il consenso rappresenta sicuramente una delle pietre miliari di tutta la normativa in materia di tutela e protezione dei dati nonché una delle basi di liceità per il corretto trattamento del dato in caso di marketing.

Infatti, sul punto, analizzando l’ordinanza di ingiunzione nei confronti di WindTre S.p.A. del 9 luglio 2020 e riportando per semplicità alcuni titoli dei paragrafi contenuti nell’ordinanza in parola si può agevolmente notare come l’Autorità Garante si sia focalizzata più volte su:

  • contatti effettuati senza consenso;
  • contatti effettuati sulla base di un consenso da ritenersi non idoneo;
  • consensi risalenti e non conformi al nuovo quadro normativo introdotto dal Regolamento;
  • consensi prestati con modalità non legittime (manifestazione del consenso non libera).

Oggi, dunque, il consenso deve essere valutato come condizione di liceità sullo stesso livello di quelle previste ex art. 6 del GDPR con la particolare attenzione che per essere prestato validamente deve rispettare quelli che sono i requisiti previsti ex art. 7 del GDPR.

Per comprendere, tuttavia a pieno, cosa sia il consenso e quali siano gli elementi oggettivi sui quali si fonda è doveroso riportare sia l’art. 4 n.11 del GDPR secondo cui il consenso è:

qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento

sia il considerando 32 del Regolamento stesso secondo cui:

Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso.

Dunque:

  • libertà intesa come una scelta reale, non obbligata o condizionata e senza l’inflizione di conseguenze negative in caso di dissenso (e.g. niente sezioni preselezionate);
  • specificità intesa come granulare (i.e. specifica per ogni finalità di trattamento) e separata rispetto ad altre finalità per i quali è richiesto ulteriore consenso; e
  • informazione intensa come necessità di arricchire la dazione del consenso stesso con informazioni quali l’identità del titolare, le finalità, il tipo di dati raccolti, il diritto a ritirare il consenso etc. nonché quella di fornire un consenso chiaro (e.g. niente sezioni a caratteri ridotti o poco comprensibili);

sono sicuramente le tre caratteristiche chiave affinché il consenso possa dirsi prestato legittimamente.

Ovviamente e sebbene, come sopra anticipato, il consenso rappresenta sicuramente la base giuridica più nota nonché quella più indiscriminatamente utilizzata, bisogna fare attenzione a non richiamarlo come fondamento di liceità del trattamento in modo improprio.

Infatti, e ricordando quanto previsto dalla Linee guida in materia n. 259 emanate WP29, ora EDPB “Il consenso può costituire la base legittima appropriata solo se all’interessato vengono offerti il controllo e l’effettiva possibilità di scegliere se accettare o meno i termini proposti o rifiutarli senza subire pregiudizio”.

Per intenderci, se un cliente/interessato decide di aprire un conto corrente o di stipulare un contratto di telefonia mobile e il titolare nell’informativa fornita ex art. 13 del GDPR basa tale trattamento dei dati, ottenuti per l’erogazione del servizio e pertanto necessari per l’apertura delle relative pratiche, sul consenso e non sulla base di liceità prevista ex art. 6 comma b) del GDPR (i.e. l’esecuzione di un contratto di cui l’interessato è parte) è presumibile che tale trattamento risulti invalido; è evidente che il cliente non abbia avuto la possibilità di accettare o meno i termini proposti senza subire pregiudizio (i.e. il consenso non sarà prestato liberamente).

Caso diverso sarebbe quello di un’attività di promozione e/o marketing, ulteriore e accessoria rispetto alla prestazione principale, che inevitabilmente non potrebbe che essere legittima se non fondata sul consenso. In questo caso l’Interessato potrebbe prestare liberamente il consenso senza subire alcun pregiudizio (o almeno così si spera) rispetto all’esecuzione della prestazione principale per la quale si è rivolto al titolare del trattamento.

WEBINAR
Sicurezza: strategie e step tecnologici per infrastrutture IT complesse
Big Data
Intelligenza Artificiale

Attenzione, dunque, a non utilizzare tale base di liceità come farmaco per ogni male e soprattutto a non consentire l’utilizzo della prestazione contrattuale principale (che si basa su altra base di liceità) se non si è acconsentito a determinate attività di trattamento.

Privacy e telemarketing: il ruolo dell’informativa privacy

Ovviamente non ci può essere consenso informato senza un’informativa privacy redatta ex art. 13 o 14 del GDPR e anche in questo caso e riferendoci ai casi concreti sanzionati si percepisce come il contenuto della stessa sia rilevante e fondamentale.

Si ricorda sul punto, anche se già in precedenza specificato, che il consenso deve essere informato ossia preceduto da relativa informativa. Tale rapporto logico costituisce uno dei requisiti di validità del consenso e pertanto l’interessato non potrà esprimere un consenso valido senza prima aver ricevuto un’informativa costituita dai canoni ut supra evidenziati.

Per comprendere l’importanza di tale adempimento, è necessario fare un passo indietro e focalizzarci sull’art. 12 del GDPR che non rappresenta altro, se così lo si può sminuire, che il baluardo di quei diritti di intellegibilità, concisione e trasparenza che tutte le informative privacy dovrebbe contenere.

Ed è proprio sulla scorta di questi diritti che le informazioni e le comunicazioni nei confronti dell’interessato dovrebbero essere:

  • facilitate e semplificate senza l’utilizzo di particolari tecnicismi;
  • in grado di far determinare in anticipo all’interessato la portata del trattamento ed eventuali conseguenze;
  • efficaci e succinte al fine di evitare un subissamento informativo;
  • eventualmente stratificate o su più livelli;

ma cosa ancora più importante le finalità descritte nel corpo dell’informativa stessa dovrebbero essere coerenti con gli eventuali consensi specifici richiesti.

La stessa autorità Garante, infatti, ha sottolineato nell’ordinanza ingiunzione nei confronti di Wind Tre S.p.A. come l’informativa predisposta dalla Società fosse priva della indicazione relativa ai termini di conservazione dei dati di traffico e comportasse la violazione dell’art. 12 comma 1 e 2 del GDPR secondo i quali:

“Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato.”

e

“Il titolare del trattamento agevola l’esercizio dei diritti dell’interessato ai sensi degli articoli 15 a 22. Nei casi di cui all’articolo 11, paragrafo 2, il titolare del trattamento non può rifiutare di soddisfare la richiesta dell’interessato al fine di esercitare i suoi diritti ai sensi degli articoli 15 a 22, salvo che il titolare del trattamento dimostri che non è in grado di identificare l’interessato.”

Si ricorda a tal proposito e relativamente alle informazioni che il Titolare deve fornire all’interessato che:

  • le informazioni che le informative devono contenere sono tassativamente previste dagli articoli di riferimento (i.e. art. 13 e 14 del GDPR);
  • vi è una sostanziale differenza tra l’informativa redatta ex art. 13 del GDPR e quella redatta ex art. 14 dello stesso Regolamento. Infatti, nel primo caso i dati sono raccolti presso l’interessato nel secondo caso, invece, no.

Privacy e telemarketing: i diritti dell’interessato

Proseguendo nelle tematiche di rilevanza, non poteva mancare un approfondimento relativamente all’esercizio dei diritti dell’interessato le cui modalità devono trovare espressa indicazione all’interno dell’informativa stessa.

Anche in questo caso e partendo sia dal provvedimento correttivo e sanzionatorio nei confronti di TIM sia dall’ordinanza d’ingiunzione nei confronti di WindTre si rilevano due punti di comune interesse:

  • le problematiche legate alla ricezione e gestione del diritto di opposizione o di revoca del consenso;
  • le problematiche legate alla necessità del riconoscimento preventivo dell’interessato prima del riscontro alla richiesta di esercizio dei diritti.

Per quanto attiene al primo punto e richiamando l’art. 12 comma 2 del GDPR si ricorda che “Il titolare del trattamento agevola l’esercizio dei diritti dell’interessato ai sensi degli articoli 15 a 22. Nei casi di cui all’articolo 11, paragrafo 2, il titolare del trattamento non può rifiutare di soddisfare la richiesta dell’interessato al fine di esercitare i suoi diritti ai sensi degli articoli 15 a 22 […]”;

agevolazione che sicuramente si sarebbe potuta portare a compimento:

  • elaborando ed utilizzando informative chiare e intellegibile secondo i canoni sopra identificati;
  • elaborando un processo di gestione degli esercizi semplice e non articolato;
  • fornendo un indirizzo univoco per la gestione di tali tematiche.

Per quanto attiene, invece, al secondo punto, più marcatamente riferibili a Wind si segnala come se è vero che a norma dell’art. 12 comma 6 del GDPR “Fatto salvo l’articolo 11, qualora il titolare del trattamento nutra ragionevoli dubbi circa l’identità della persona fisica che presenta la richiesta di cui agli articoli 15 a 21, può richiedere ulteriori informazioni necessarie per confermare l’identità dell’interessato.” è anche vero così come anche sottolineato dall’Autorità Garante che la ragionevolezza delle misure adottate deve essere valutata tenendo conto:

  • del contesto;
  • dei potenziali rischi; ma
  • anche dell’utilità a conseguire lo scopo;

e dunque nella gestione di tematiche similari si sarebbe potuto operare una diversa quantificazione del rischio a seconda che si facesse riferimento alla revoca del consenso per finalità commerciali rispetto a quello derivante dall’esercizio di altri diritti (come, ad esempio, rettifica, cancellazione, portabilità, accesso).

Ciò soprattutto in considerazione delle scarse conseguenze che la revoca del consenso per finalità commerciali può avere nella sfera giuridica dell’interessato rispetto a quelle, ben più pregiudizievoli, derivanti dall’esercizio di altri diritti, laddove fosse un terzo malintenzionato ad esercitarli.

Ecco che quindi l’adozione di misure tecniche ed organizzative adeguate a consentire agli interessati di esercitare i propri diritti è fondamentale, non solo per rispettare quel principio di accountability ex art. 24 su cui si fonda il Regolamento ma anche per evitare la conseguenza di aggravare immotivatamente la revoca del consenso o l’opposizione al trattamento per finalità promozionali e, in molti casi, di limitare del tutto l’esercizio dei diritti.

Il rapporto con le controparti terze

Altro aspetto fondamentale sottolineato dall’Autorità Garante Nazionale nelle ordinanze sopra citate è sicuramente il tema del rapporto con le controparti terze che assumono il ruolo di responsabili al trattamento dei dati ex art. 28 del GDPR e di altro responsabile e che dunque trattano dati per conto del titolare.

Infatti, leggendo le ordinanze in parola si nota come l’accertamento ispettivo abbia riscontrato diverse anomalie nella corretta gestione e individuazione della catena di responsabilità e del rispetto degli oneri imposti da normativa.

A tal proposito e concentrandosi su quanto riporta la normativa per la corretta gestione del rapporto tra le parti in causa, si sottolinea come l’art. 28 comma (1) e comma (3) preveda a carico del titolare del trattamento due oneri sostanziali:

  1. la verifica ed il ricorso da parte del titolare del trattamento unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato;
  2. la stipulazione di un contratto o di un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.

Focalizzandosi preliminarmente sull’ordine sequenziale che la normativa attribuisce agli oneri pratici da porre in essere ed in particolare al comma 1, si segnala come non a caso viene richiesto che la verifica da parte del titolare delle garanzie sufficienti del responsabile sia antecedente alla stipulazione del contratto o di altro atto giuridico.

Il responsabile, quindi, dovrebbe essere individuato dal titolare del trattamento sulla base della sua capacità di trattare dati nel rispetto della normativa privacy vigente, delle misure tecniche ed organizzative adottate e della tutela dei diritti dell’interessato.

Infatti, nel rispetto di un ragionamento logico e del principio della protezione dei dati fin dalla progettazione a norma dell’art. 25 del GDPR tale verifica e gli esiti positivi della stessa dovrebbero essere il fondamento giustificativo della successiva nomina e del successivo trattamento del dato da parte del soggetto terzo e del relativo affidamento.

A tal riguardo e trovando troppo spesso atti di nomina scevri da qualsiasi richiesta da parte del titolare del trattamento delle misure tecniche ed organizzative così come anche di accordi di nomina privi di qualsiasi contenuto, si ricorda, al fine di fugare ogni dubbio, come gli adempimenti richiesti debbano essere posti in essere congiuntamente e che la mancanza dell’uno o dell’altro non fa altro che esporre il titolare stesso ad eventuali sanzioni così come previsto da art. 83 comma (4) lett. a) secondo il quale la violazione degli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43 è soggetta a sanzioni amministrative pecuniarie fino a dieci milioni di euro, o per le imprese, fino al 2 % del fatturato mondiale totale annuo, se superiore.

Il punto di partenza, dunque, per qualsiasi ragionamento logico all’interno del binomio titolare/responsabile deve essere quello secondo cui l’interessato affida temporaneamente il controllo dei suoi dati personali al titolare e non al responsabile, e dunque lo stesso in un’ottica di culpa in eligendo e di culpa in vigilando deve sempre essere in grado di dimostrare non solo formalmente ma anche sostanzialmente di aver posto in essere tutte le azioni necessarie per tutelare la fiducia concessa dall’interessato, soprattutto nel momento in cui si avvale di soggetti terzi per il relativo trattamento.

Ecco perché la sottoposizione e la compilazione preliminare di un’apposita check list al soggetto nominando consentirà non solo al titolare di selezionare un soggetto che sulla base di quanto dichiarato risponde alle caratteristiche dettate da normativa ma garantirà allo stesso, seppur in modo minimo, di tutelarsi e di creare un legittimo affidamento[4].

Breve menzione merita, inoltre, il considerando 81 che accompagna l’art. 28 e che di fatto rafforza il concetto secondo il quale quando il titolare del trattamento affida delle attività di trattamento a un responsabile del trattamento lo stesso dovrebbe ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del Regolamento, anche per la sicurezza del trattamento.

Ulteriore aspetto spinoso, tenute ferme le formalità da porre in essere, sono le conseguenze operative nel medio – lungo periodo dell’annosa questione dell’altro responsabile al trattamento dei dati più comunemente conosciuto come sub-responsabile al trattamento dei dati.

A tal riguardo, la normativa è altrettanto chiara e trova la sua formalizzazione all’interno dell’art. 28 comma (2) e comma (4), secondo i quali:

  1. Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche;
  2. Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento […], prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento. Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile.

Troppo spesso titolari e responsabili del trattamento sottovalutano suddette disposizioni senza interessarsi minimamente a come, in caso di utilizzo di altro responsabile al trattamento, la filiera del dato non si ferma ai loro obblighi e responsabilità ma va costantemente tenuta sotto controllo nel rispetto di quella fiducia più volte richiamata nel presente articolo e concessa dall’interessato.

Non dimentichiamoci che il data subject è sempre pronto ad esercitare i propri diritti e che la possibilità di un evento di violazione dei dati personali (data breach) non è così remota come si pensi. Dunque, una corretta gestione del flusso del dato e degli adempimenti richiesti da normativa permette al titolare ed al Responsabile di agire tempestivamente e di non trovarsi impreparati di fronte a situazioni che vanno gestite prontamente.

Riflessioni e conclusioni

Molte cose ancora si potrebbe dire in relazione al tema trattato ma il punto che sicuramente è emerso con maggior forza è che ciascun adempimento previsto oggi dal Regolamento, sia che si parli di informativa, sia che si parli di consenso, sia che si parli di rapporto con le controparti terze o magari di accountability e privacy by design e by default va ben oltre la specifica tematica del telemarketing o del marketing in generale ma deve fare parte di un progetto di conformità alla normativa a tutto tondo dove nulla può essere lasciato al caso.

Forse proprio questo tipo di gestione a 360 gradi è lo scoglio più grande che oggi le imprese si trovano ad affrontare; gestione che deve allo stesso tempo tenere in considerazione i dettami della normativa e dall’altro lato avere quel carattere di sostanzialità che fa la differenza tra “chi copia” e chi si mette nei panni degli interessati al fine di rispettare quel rapporto di fiducia che si instaura quando il titolare tratta anche un solo dato personale.

Sicuramente un aiuto in tale senso ci viene dai provvedimenti che molto spesso leggiamo sui giornali o sul sito istituzionale dell’Autorità Garante che oltre a contenere “la sanzione” veicolano all’interno del loro contenuto una serie di importanti informazioni su cui i titolari del trattamento dovrebbero soffermarsi al fine di trarre spunti di riflessione utili per testare il loro impianto privacy.

NOTE

  1. Per maggior dettaglio sui piani ispettivi per l’anno 2019 si veda qui e qui. Per maggior dettaglio sul Piano ispettivo per il primo semestre 2020 si veda qui.
  2. Per maggior dettaglio si veda qui.
  3. Per maggior dettaglio si veda qui.
  4. Sul punto si ricorda come in un’ottica di culpa in eligendo e di culpa in vigilando e le recenti sanzioni dell’Autorità Garante Italiana lo dimostrano, rimane onere del Titolare vigilare sull’operato del soggetto nominato quale Responsabile al trattamento dei dati al fine che lo stesso non faccia dei dati un trattamento illecito e anomalo.
WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

@RIPRODUZIONE RISERVATA

Articolo 1 di 3