ADEGUAMENTI PRIVACY

Telemarketing e GDPR: strumenti di accountability per il corretto trattamento dati dei clienti

Il telemarketing prevede che l’imprenditore affidi a call center esterni o ad operatori telefonici interni il compito di contattare possibili clienti per pubblicizzare e vendere i propri servizi e prodotti. Ecco le linee guida per gestire il proprio business senza ledere i diritti degli interessati al trattamento dati

23 Set 2019
S
Manuela Suffada

Privacy Consultant


È importante focalizzare la nostra attenzione sugli aspetti normativi e organizzativi in materia di telemarketing e GDPR: con questa particolare forma di marketing l’imprenditore affida a call center esterni o ad operatori telefonici interni il compito di contattare possibili clienti per pubblicizzare e/o vendere i propri servizi e/o prodotti.

È quindi facilmente immaginabile come questa attività possa tradursi in fastidiose e invasive numerose telefonate che possono ledere in modo molto concreto i diritti degli interessati ove effettuate in violazione delle normative in materia o del recente GDPR.

Telemarketing e GDPR: tutte le normative

Questa particolare attività è stata quindi oggetto di normative e tutele particolari sia da parte dell’Autorità garante per le comunicazioni (AGCOM) sia dal Garante Privacy.

Già nel lontano 2003, ben prima dell’entrata in vigore del GDPR, il Garante italiano per la Privacy aveva già posto dei paletti con il provvedimento generale del 29 maggio 2003 “Regole per un corretto uso dei sistemi automatizzati e l’invio di comunicazioni elettroniche“.

Nel 2013 aveva ulteriormente approfondito la materia pubblicando le “Linee guida in materia di attività promozionale e contrasto allo spam”.

Oggi con il GDPR (Regolamento 679/2016) e con il Registro delle opposizioni telefonico prima (D.P.R. n. 178/2010) e cartaceo dopo (D.P.R. n. 149/2018) i paletti entro cui l’imprenditore può muoversi sono stati sicuramente meglio precisati.

Telemarketing e GDPR, tra business e protezione dati

Normalmente gli imprenditori di fronte ai paletti imposti da queste normative nel momento in cui devono fare marketing oscillano tra due estremi opposti.

Da un lato c’è chi si muove in barba a qualsiasi possibile regolamentazione e controllo pur di arrivare alla conquista del cliente, ma c’è anche chi dal lato opposto si paralizza di fronte ai molteplici paletti imposti dalle normative ed abbandona qualsiasi iniziativa.

La posizione più corretta ovviamente è quella mediana, in quanto fare marketing e nello specifico telemarketing anche dopo l’introduzione del GDPR e l’aggiornamento della normativa correlata è assolutamente possibile, a patto che si rispettino alcuni passaggi che qui vogliamo indicare in modo da creare una sorta di “road map”.

Punto di partenza è l’individuazione della base giuridica per il legittimo trattamento dei dati dell’interessato per finalità di marketing.

Ai sensi dell’art.129 comma 2 Codice Privacy dell’art.6 comma 1 a) GDPR il trattamento dei dati dell’interessato è lecito se vi è il suo consenso, che per essere valido ed efficace deve essere stato prestato liberamente, in modo specifico ed in forma espressa a fronte di una idonea e chiara informativa ex art.13 GDPR.

Modalità di acquisizione dei dati: linee guida

Una prima possibilità prevede che sia l’imprenditore stesso ad acquisire i dati dell’interessato possibile cliente da contattare (ad esempio sul web attraverso la compilazione di un form di contatto, oppure nel corso di eventi organizzati ecc.) e pertanto in questo caso sarà sempre l’imprenditore titolare del trattamento che, previa idonea informativa, dovrà acquisire il consenso dell’interessato all’utilizzo dei suoi dati in modo specifico per finalità di marketing.

Una seconda possibilità prevede che l’imprenditore acquisti liste di nominativi di possibili clienti da società terze (cosiddette cold list).

A questo riguardo si deve evidenziare che il principio dell’accountability ex art.24 GDPR prevede che il titolare del trattamento sia responsabile in primis del trattamento dei dati e per questo debba dimostrare in modo sostanziale, secondo il grado tecnologico e organizzativo del momento, di avere adottato tutte le procedure adeguate e idonee ad evitare la perdita di dati e che il loro trattamento avvenga secondo quanto previsto dal GDPR.

DIGITAL EVENT 9 SETTEMBRE
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Legal
Sicurezza

Alla luce di questo principio, nel caso in cui l’imprenditore acquisti liste di contatti da società terze è doveroso che l’imprenditore chieda una dichiarazione da parte della società che vende la lista della legittima acquisizione del consenso degli interessati nel rispetto del GDPR e che chieda anche una campionatura dell’informativa e del consenso.

Telemarketing e GDPR: un’eccezione alla regola del consenso

La regola del consenso ha tuttavia un’eccezione prevista dall’art.130 comma 3 bis del Codice Privacy.

Nel caso in cui l’imprenditore contatti o acquisiti liste di recapiti di interessati tratti da elenchi o pubblici registri (cosiddetto DBU), gli interessati potranno essere contattati telefonicamente senza consenso, salva la possibilità per quest’ultimo di esprimere al momento la propria volontà di non essere più contattato (cosiddetto “opt-out”) dopo che l’operatore telefonico abbia comunque reso l’informativa al momento della chiamata.

In concreto, dunque, l’operatore si dovrà presentare, chiarire lo scopo della telefonata e per conto di chi la effettua, dove ha trovato e come ha avuto il numero di telefono dell’interessato (precisando in questo caso che il numero è stato acquisito da un elenco pubblico), rendere l’informativa ex art. 13 (eventualmente potrà fornire una breve informativa rimandando ad un sito web per quella completa) e chiarire come l’interessato possa esercitare il suo diritto di opposizione al trattamento (anche eventualmente menzionando la possibilità di iscriversi al Registro delle opposizioni).

L’AGCOM (Autorità per le garanzie nelle comunicazioni) con delibera n. 1/17/CONS ha imposto anche di informare preliminarmente in merito al Paese in cui è fisicamente collocato l’operatore che risponde (territorio nazionale, paesi UE, paesi extra UE), mettendo subito al corrente l’interessato in merito al Paese in cui si trova fisicamente l’operatore che contatta il cliente.

Telemarketing e GDPR: il Registro pubblico delle opposizioni

In questo quadro si colloca un’ulteriore tutela posta dal Legislatore a tutela degli interessati con cui l’imprenditore deve necessariamente fare i conti nel caso in cui voglia fare telemarketing.

Si tratta del “Registro pubblico delle opposizioni” (RPO)istituito con il D.P.R. n. 178 del 2010.

Prima di avviare la campagna di telemarketing, il titolare del trattamento (o il call center designato responsabile) deve comunque ed inoltre verificare che gli interessati da contattare non abbiano inserito il/i proprio/i contatto/i telefonico/i nel Registro delle opposizioni.

Il cittadino che si iscrive nel Registro, infatti, esercita automaticamente il diritto di opposizione al trattamento, annullando in una sola volta anche tutti i consensi espressi precedentemente al trattamento per finalità di marketing, per ricerche di mercato o vendita diretta con modalità telefoniche.

Restano comunque salvi, in caso di iscrizione al registro, i consensi prestati nell’ambito di specifici rapporti contrattuali in essere, ovvero cessati da non più di trenta giorni, aventi ad oggetto la fornitura di beni o servizi, per i quali deve essere comunque garantita, con procedure semplificate, la facoltà di revoca.

Il Registro delle opposizioni ha visto potenziato di recente il suo ambito di applicazione in quanto prima la L. n. 5/2018 lo ha reso applicabile anche alle numerazioni mobili, successivamente il Regolamento attuativo n. 149/2018 lo ha esteso anche alla posta cartacea.

Attualmente, quindi, l’imprenditore che per fare telemarketing voglia servirsi dei dati presenti negli elenchi telefonici pubblici – numeri di telefono ed eventuali indirizzi postali associati – potrà farlo, ma esclusivamente previa verifica da parte dell’operatore di telemarketing delle liste di potenziali contatti presso il Registro Pubblico delle opposizioni.

In concreto l’imprenditore caricherà via web sul sito del RPO le proprie liste di contatti ed il RPO provvederà ad eliminare da tali liste i riferimenti di coloro che hanno manifestato l’opposizione al trattamento, ovvero alla ricezione della pubblicità telefonica e cartacea, iscrivendosi al servizio.

Ad ogni modo, l’utilizzo dei numeri di telefono presenti negli elenchi telefonici pubblici per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, pur se verificati con il RPO, è ammesso solo tramite il contatto di un operatore umano e, pertanto, in assenza di consenso dell’interessato non è consentito l’uso di sistemi automatizzati di chiamata.

L’utilizzo dei numeri non presenti negli elenchi telefonici pubblici (numeri “riservati”) per finalità di telemarketing, invece, è consentito con il consenso dell’interessato, ad esclusione di limitate eccezioni disciplinate dalla normativa di riferimento.

La Legge n. 5/2018 ha esteso l’ambito di applicazione del RPO, prevedendo anche che l’iscrizione al RPO abbia un cosiddetto “effetto purgativo”, ossia con l’iscrizione al Registro si intendono revocati tutti i consensi al trattamento per finalità di telemarketing precedentemente espressi e che è altresì precluso, per le medesime finalità l’uso delle numerazioni telefoniche cedute a terzi dal titolare del trattamento sulla base dei consensi precedentemente rilasciati.

È stato introdotto, inoltre, il divieto di cessione a terzi dei consensi al trattamento dati degli iscritti nel nuovo registro, il divieto di utilizzo dei compositori automatici per la ricerca dei numeri telefonici da contattare.

Il ruolo dei call center

La legge n.5/2018 ha toccato anche un altro soggetto parte del telemarketing, ovvero il call center terzo rispetto al titolare del trattamento incaricato di effettuare le telefonate agli interessati.

Innanzitutto, è stata introdotta una responsabilità in solido per la società che ordina la campagna promozionale e il call center incaricato di effettuare le chiamate. Questo fa sì che il call center stesso prima di utilizzare i dati ricevuti quale responsabile del trattamento debba appurare con l’imprenditore titolare del trattamento la liceità del loro utilizzo.

La stessa legge ha inoltre introdotto il divieto per i call center di effettuare chiamate con numero riservato.

Già l’art. 130 comma III-ter lett f) codice Privacy impone ai soggetti che effettuano trattamenti di dati per le finalità di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale di “garantire la presentazione dell’identificazione della linea chiamante”.

Con una recente delibera (156/18/CIR), Agcom ha definito l’obbligo per i call center di utilizzare la modalità in chiaro del numero di telefono chiamante “presentando l’identità della linea a cui possono essere contattati“, o utilizzare i prefissi dedicati individuati dall’Autorità per le garanzie nelle comunicazioni ossia il prefisso 0844 da utilizzare nelle telefonate commerciali, pubblicitarie, vendita diretta; mentre per le telefonate finalizzate ad effettuare indagini statistiche lo 0843.

Questa previsione, tuttavia, sembra offrire una scappatoia al momento per i call center terzi. Secondo Agcom, infatti, i call center terzi potrebbero utilizzare “altra numerazione lecita” purché “identificabile e richiamabile dall’utente” e quindi alla luce di tale previsione i call center terzi avrebbero potuto continuare ad utilizzare numeri che iniziano per 0 (come i normali prefissi delle città) oppure per 3 (come i prefissi dei cellulari).

Questa pericoloso vuoto, tuttavia, è stato già fatto presente dal Garante Privacy nel parere sullo schema di Regolamento predisposto dal MISE come previsto dallart.1 co. XV della Legge 5/2018.

Telemarketing e GDPR: le sanzioni

Un ultimo e non meno rilevante aspetto è quello delle sanzioni che sono state notevolmente potenziate.

WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

La legge 5/18 prevede infatti che “fuori dalle ipotesi in cui il fatto costituisca reato ex art167 D.lgs.196/2003, la violazione delle norme in materia di diritto di opposizione importa sanzioni amministrative pecuniarie fino a 20.000.000 EUR, o, per le imprese fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente”, con la possibile sospensione dell’attività e la revoca della licenza nei confronti dei call center e degli operatori commerciali.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4