LA GUIDA PRATICA

Telemarketing: gli errori privacy da non commettere nel post emergenza Covid-19

Dai provvedimenti sanzionatori del Garante che hanno colpito ENI Gas & Luce e TIM, una dura lezione a chi usa il telemarketing per le proprie campagne: vediamo quali errori privacy non si dovranno commettere quando, terminata l’emergenza Covid-19, tutti torneranno alla carica per recuperare il business perduto

10 Apr 2020
G
Marco Gentilini

Consulente Privacy & DPO, marketing & software IT


I provvedimenti del Garante nr.231 e nr.232/2019 a ENI Gas & Luce e nr.7/2020 a TIM evidenziano chiaramente alcuni errori privacy fondamentali in cui sono incorse le suddette società, che sono in netto contrasto con i principi fondamentali del GDPR, in particolare gli art. 6 e 7 che riguardano il “Consenso al Trattamento” nelle campagne di telemarketing.

In particolare, sono stati proprio i criteri e le modalità con cui è stato gestito il consenso, i cui effetti negativi hanno riguardato migliaia di persone, a determinare sanzioni così pesanti, comunque rapportati alle dimensioni delle aziende in questione.

Ora, senza voler demonizzare la categoria dei call center, se non altro perché il sottoscritto inserisce spesso questo strumento fra le attività off-line nel “funnel marketing” dei suoi clienti, ricordiamo che il telemarketing è l’azione in assoluto più “invasiva” della privacy della persona, sia che ci si rivolga ad un mercato B2B che ad un mercato B2C.

La telefonata, diversamente da una mail o un SMS, arriva sempre inaspettata, magari in momenti inopportuni come, per esempio di sabato all’ora di pranzo o in mezzo ad una riunione importante. Non ne puoi verificare prima la provenienza (spesso sono numeri di cellulari) e l’identità di chi ti chiama se non rispondendo; infine, ma non per ultimo d’importanza, può riguardare prodotti o servizi che non interessano minimamente.

Ecco perché nei piani ispettivi dei Garanti europei, compreso quello italiano, ci sono sempre in “pole position” le società di marketing e, in particolare, i call center.

Ora si parla anche tanto del nuovo Registro delle Opposizioni, che andrà a regime entro fine anno, che estenderà la possibilità di inserire anche i numeri cellulari, fino ad ora esclusi.

La questione non è tanto avere o non avere un Registro delle Opposizioni per poterlo impugnare a mo’ di mazza ferrata in caso non venga rispettato, quanto renderlo uno strumento utile, soprattutto agli operatori marketing stessi affinché, escludendo dalle loro liste chi si è iscritto al registro, non incorrano in errori dei sistemi automatici di chiamata o degli operatori che possono generare reclami al Garante e accendere così quella lampadina rossa che può scatenare azioni ispettive.

Fatte queste doverose premesse, andiamo quindi ora ad analizzare quali errori privacy fatali si devono evitare per non incorrere in pesanti sanzioni GDPR.

Telemarketing: la gestione del consenso

Questo è sicuramente il punto più delicato da gestire con la massima precisione possibile.

I provvedimenti di cui abbiamo accennato si fondano quasi totalmente su una errata o illecita gestione del consenso.

Ricordiamo che, per qualsiasi azione di marketing è sempre necessario il consenso, ad esclusione del cosiddetto “soft spam”, per il quale posso fare comunicazione ai clienti, “purché su prodotti attinenti a quelli già acquistati”, sulla base del legittimo interesse (considerando 47 del GDPR).

Come fare a determinare se il proprio List Provider ha ottenuto i consensi nella maniera corretta ovvero:

  • ha fornito un’adeguata informativa;
  • ha chiarito nell’informativa per quali finalità verranno utilizzati i dati (ovvero marketing e/o profilazione);
  • il consenso è stato fornito in maniera esplicita e inequivocabile (in forma digitalizzata, scritta od orale);
  • il consenso dato è dimostrabile (in particolare, se fornito oralmente, tramite una registrazione).

Fondamentali sono il consenso al trasferimento dati a terzi per finalità di marketing e quello per la profilazione che devono essere separati.

Nessun consenso è infatti legittimamente utilizzabile se non è stato fornito esplicitamente per trasferire i dati a terzi per la specifica finalità di marketing e/o profilazione.

Quest’ultimo è il consenso più importante perché, in mancanza di questo, l’unico titolare del trattamento legittimato a trattare è chi ha fornito l’informativa inziale ovvero il solo List Provider ed, eventualmente, suoi dipendenti autorizzati o responsabili nominati tali.

Se il proprio List Provider esita e non riesce a dimostrare che, come e quando ha ottenuto il consenso al trasferimento a terzi, è altamente improbabile che si riesca a farlo nei confronti di una qualsiasi Autorità di Controllo (Garante o GdF).

Non bisogna fidarsi di clausole contrattuali volte a rassicurare che i consensi sono stati ottenuti nella maniera corretta in quanto non manleverebbero comunque da responsabilità, in qualità di titolare autonomo del trattamento, sull’utilizzo corretto o meno dei dati.

WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

“E se nomino come responsabile esterno il List Provider posso far ricadere la responsabilità su di lui?”.

In base all’Art. 28 del Regolamento europeo il responsabile del trattamentoagisce in nome e per conto del titolare del trattamento dietro sue precise istruzioni documentate”.

Il titolare del trattamento, ancor prima di affidare l’incarico ad un qualsiasi responsabile esterno, deve assicurarsi, anche tramite audit, che il responsabile stesso fornisca garanzie adeguate affinché tutti i principi del Regolamento siano osservati ergo, in questo caso, che il consenso sia raccolto con tutti i crismi.

Inoltre, è sempre onere del titolare dimostrare che il trattamento è eseguito in maniera lecita e corretta, attivando procedure e sistemi di monitoraggio con lo scopo di sorvegliare affinché il trattamento sia eseguito secondo il Regolamento e le istruzioni impartite.

Un’azione utile a dimostrare che i dati e il consenso siano corretti, potrebbe essere quella di avere libero accesso al database del List Provider per poter eseguire dei test, utilizzando una quantità sufficientemente significativa di dati estrapolati a campione.

Telemarketing: il “passamano” delle liste consensate

Un capitolo del provvedimento 232/2019 del Garante è dedicato ai passaggi delle liste da un operatore all’altro.

Il Garante specifica che lo scopo delle norme sul consenso è conferire all’interessato il pieno controllo dei trattamenti di dati personali per i quali egli stesso ha prestato il consenso.

Se ne desume che, anche in presenza di un consenso al trasferimento dati a terzi generico, risulterebbe praticamente impossibile per l’interessato sapere a quali titolari sono stati forniti i suoi dati e, quindi non sarebbe materialmente in grado di gestirli.

Se infatti il list provider raccoglie i consensi poi non può distribuire all’infinito e a chicchessia questi dati, senza in qualche modo “porsi il problema” di mettere a conoscenza l’interessato a quali titolari sono stati forniti.

Ne consegue quindi che, oltre a verificare che ci sia il consenso a terzi, il nuovo titolare che acquisisce la lista, deve anche accertarsi che gli interessati presenti nella lista stessa vengano in qualche modo informati sulla destinazione dei loro dati.

Gestire le richieste degli interessati

Un altro grave errore che emerge dai provvedimenti sanzionatori citati prima, è quello di non aver posto sufficiente attenzione nell’adeguare la tua organizzazione per agevolare i processi che deve eseguire un interessato affinché vengano esaudite le sue richieste di esercizio dei diritti.

Gli articoli dal 12 al 21 del GDPR riguardano i diritti dell’interessato tra cui, i più importanti sono, il diritto di cancellazione (detto anche diritto all’oblio), diritto di rettifica, diritto di accesso eccetera.

È quindi necessario predisporre sia a livello organizzativo (procedure e personale) sia a livello tecnico (software, sito web, form di cancellazione/disiscrizione, mail, registrazione ecc.) tutto quanto sia necessario a rendere snello e facilmente accessibile all’interessato poter esercitare i suoi diritti.

Nel caso del telemarketing, a differenza dell’e-mail marketing, già trattato in un precedente articolo, il contatto con l’interlocutore avviene a voce, perlopiù mediante operatore, e non c’è quindi autonomia, da parte dell’Interessato, tramite ad esempio il classico link in calce alla mail, per poter richiedere la cancellazione o la rettifica dei suoi dati.

È fondamentale in questo caso individuare e predisporre procedure, istruzioni e strumenti da fornire al personale del call center affinché possa dare seguito immediatamente (non oltre i 30 giorni) ad una richiesta espressa a voce dall’interessato.

Alcuni strumenti per gestire i diritti degli interessati, a seconda del tipo di organizzazione, potrebbero essere:

  • modulistica cartacea o digitale: dove l’operatore call-center possa indicare gli estremi identificativi dell’interessato e il tipo di richiesta (ad esempio, cancellazione, rettifica, revoca del consenso ecc.) e la data. Dopodiché, l’altro operatore dovrà eseguire materialmente il processo richiesto nel database;
  • CRM e database: ancora meglio sarebbe poter predisporre il software CRM che pilota il database affinché possa allineare e tracciare le richieste, con la possibilità di archiviare la data, il tipo di diritto esercitato e, magari la motivazione, utile per capire statisticamente quanto il nostro database sia attendibile. Se mi accorgo ad esempio che la maggior parte delle richieste riguarda la rettifica dei dati, probabilmente il mio database è troppo datato e necessita di una riqualificazione.

L’importante è che tutto possa essere tracciato e documentabile.

Telemarketing: conservazione dei dati (data retention)

Un altro aspetto spinoso da considerare è quanto siamo realmente in grado di determinare per quanto tempo possiamo conservare i dati in funzione della finalità.

Innanzitutto, sfatiamo subito un falso mito: la durata del consenso non è sempre a vita… anche se, in molti casi, il consenso è valido fino a revoca.

Purtroppo, non c’è ad oggi una “formuletta magica” che possiamo utilizzare per determinare la data retention quindi, possiamo solo basarci sui vari pareri di EDPB (European Data Protection Board) e dei Garanti europei che hanno indicato in 24/36 mesi un tempo ragionevole per la data retention con finalità di marketing diretto per quanto riguarda i beni non durevoli.

Per quanto riguarda invece quei settori che trattano beni durevoli, come ad esempio immobili, beni di lusso, automobili, grossi macchinari industriali ecc., per i quali i tempi di sostituzione possono essere anche molto lunghi (diversi anni o decenni nel caso di un immobile), possiamo considerare una data retention proporzionata alla “durabilità” del bene.

In ogni caso, qualsiasi metodo si usa per determinare la data retention è importante, di fronte ad una verifica ispettiva, essere sempre in grado di motivare e dimostrare, attraverso il registro dei trattamenti, i criteri che vi hanno portato a fare quella scelta.

Il nuovo Registro delle Opposizioni

Del nuovo Registro delle Opposizioni ne abbiamo accennato prima ma direi che è proprio il caso di tornarci su, vista l’approvazione del nuovo Decreto del 17.01.2020 in vigore da fine 2020, che estenderà la possibilità di iscrivere nel registro anche i numeri di utenza mobile e l’indirizzo postale, fino ad ora esclusi.

Cosa cambierà da fine 2020 per il Registro delle Opposizioni?

In pratica, un utente, oltre ad iscrivere nel Registro delle Opposizioni il proprio numero di utenza fissa, potrà inserire anche i numeri di cellulare a lui intestati nonché il semplice indirizzo postale per la pubblicità cartacea. La procedura dovrebbe essere ulteriormente snellita e resa più semplice rispetto a quella attuale.

Il Garante ha già affermato che l’iscrizione al nuovo registro comporta in automatico la cancellazione di tutti i consensi dati in precedenza.

In questo modo, i consumatori potranno azzerare la loro posizione e gestire il consenso al trattamento dei loro dati personali in modo più consapevole e personalizzato.

Ogni utente potrà quindi decidere a quale operatore telefonico fornire il consenso, potendo perfino stabilire per quali prodotti o tipologie di prodotto desidera essere contattato (ad esempio: sì a servizi telefonici ma non a forniture energetiche).

Ne consegue quindi che, chiunque abbia una lista di contatti, consensati o no, deve sempre controllare che questi numeri non siano presenti nel Registro delle Opposizioni, che sarà disponibile per gli operatori marketing che ne faranno richiesta.

In caso un numero sia iscritto nel registro bisogna obbligatoriamente richiedere all’utente il rinnovo dei consensi dati in precedenza, fornendogli nel contempo una nuova informativa (anche utilizzando una procedura on-line o tramite registrazione vocale).

Conclusioni

Concludiamo riassumendo con alcuni consigli generali:

  1. Non fidarsi di liste troppo ampie e generalizzate, anche se assicurate come “consensate”, e verificare sempre con test a campione che quanto viene affermato da chi vuole vendere la lista corrisponda a verità.
  2. Tenere sempre pulita e aggiornata la propria lista, coinvolgendo tutta la propria organizzazione affinché, sia a livello tecnico che organizzativo, procedure, strumenti e personale siano pronti e tempestivi nel recepire le richieste degli interessati, nel far fronte ad un data breach e ad agire di conseguenza.
  3. Verificare sempre scrupolosamente l’operato dei call center esterni, nominandoli come responsabili e facendo audit regolari di controllo anche sulle liste in loro possesso: non è la prima volta che società un po’ “garibaldine” contattino nominativi fuori lista.
  4. Tenere allineati i dati fra i vari database anzi, se possibile usate un unico CRM con un unico DB ed una robusta policy sugli accessi così non incorrete nel rischio di dati incongruenti o di accessi non autorizzati e furti.
DIGITAL EVENT 9 SETTEMBRE
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Legal
Sicurezza

@RIPRODUZIONE RISERVATA

Articolo 1 di 5