TELEMARKETING

Riforma del Registro Pubblico delle Opposizioni: perché è bloccata anche da uno scontro tra Autorità

È ancora bloccata la pluri-annunciata riforma del Registro Pubblico delle Opposizioni al telemarketing, anche a causa di alcune posizioni contrapposte delle autorità di controllo. Facciamo il punto su quanto sta accadendo

27 Ott 2021
M
Andrea Michinelli

Avvocato, FIP (IAPP), LA ISO/IEC 27001:2013

Si è in attesa da tempo della pluri-annunciata riforma del Registro Pubblico delle Opposizioni (RPO) al telemarketing, strumento fondamentale per non ricevere più chiamate telefoniche moleste di tipo commerciale ma che – visti i risultati non certo brillanti, lato tutela degli utenti – richiede da tempo una riforma e un’estensione applicativa.

Dopo le fondamenta gettate dalla Legge 5/2018, Il testo di riforma del regolamento attuativo nell’ultima versione è in circolazione fin dal gennaio 2021, compresi i pareri delle varie autorità in gioco e alcuni ultimi passaggi per poter arrivare, finalmente, al varo.

Vediamo di capire in sintesi cosa sta accadendo quanto alle autorità coinvolte e perché si siano contrapposte – a livello disciplinare – su alcuni punti del testo, rappresentando una probabile causa, tra le altre, dello stallo attuale.

È infatti di questi giorni la dichiarazione della sottosegretaria allo Sviluppo economico, Anna Ascani, riferita “allo stato attuale il concerto finale non è stato raggiunto a causa delle posizioni contrapposte dell’AGCOM e del Garante della privacy sul testo”. Arrivando a invocare, da parte del MISE, un confronto tra le autorità interessate per individuare una soluzione capace di riassumere i contrapposti orientamenti e sbloccare la situazione.

Di seguito ci si propone di comprendere se e come sia effettivamente il Garante per la protezione dei dati personali a fare ostruzionismo al testo contro l’AGCOM oppure se vi siano criticità tecnico-legislative che prescindono dal parere del Garante, magari di riforma delle fonti normative di rango primario e non già del DPR attuativo.

Registro delle opposizioni, verso maggiori tutele privacy: cosa cambia

La disciplina in via di riforma del RPO

Ricordiamo in sintesi la complessa articolazione della disciplina del RPO, rimandando a precedenti contributi per maggiori approfondimenti e una panoramica completa delle novità. Il telemarketing infatti risponde a diverse fonti:

WEBINAR
25 Maggio 2022 - 14:30
Cybersecurity 360Summit: nuove strategie, nuove minacce e nuove difese!
Sicurezza
Sicurezza dei dati
  • il Codice per la protezione dei dati personali (artt. 129-130), D.lgs. 196/2003;
  • DPR 178/2010, aggiornato con il DPR 149/2018 (regolamento per l’istituzione e gestione del RPO, con estensione alle comunicazioni per mezzo postale);
  • Legge 5/2018 (iscrizione e funzionamento del Registro e istituzione di prefissi nazionali per chiamate a fini commerciali) che ha previsto il DPR attuativo (doveva essere emanato entro 90 giorni) di cui stiamo discutendo;
  • decreto MISE (aggiornamento periodico delle tariffe, da ultimo il DM 30 gennaio 2020).

Il testo della riforma nell’ultima versione andrebbe a sostituire il DPR 178/2010 che contiene il nocciolo della disciplina operativa del RPO.

Le novità rilevanti sono tante e trattate ampiamenti nei contributi succitati. La riforma iniziata con la Legge 5/2018, pur rispettando di fondo il meccanismo del RPO sia quale mezzo di annotazione di numeri telefonici con effetti di revoca/opposizione verso determinate forme di contatto commerciale (che vengono estese a numeri fissi privati e mobile), vuole sfruttarlo anche come strumento per bloccare la cessione dei dati a terzi per fini di marketing.

Specie considerando le forme sempre più subdole di raccolta dei consensi da parte degli operatori, oltre alla disinvoltura con cui si acquistano liste di contatto da terzi pure senza le dovute verifiche (ne è un recente esempio il caso di Sky).

La contrapposizione Garante vs. AGCOM

Tra i vari enti che hanno fornito un parere sullo schema di riforma troviamo – tra gli altri – sia il Garante per la protezione dei dati personali (la riforma infatti avrebbe un impatto sul trattamento dei dati personali nelle comunicazioni elettroniche, come disciplinate dalla Direttiva 2002/58/CE e nazionalmente dal D.lgs. 196/2003) che l’AGCOM (Autorità per le garanzie nelle comunicazioni).

Il Garante è intervenuto con pareri generali che hanno tutto sommato confermato l’impostazione del testo di partenza. Su un punto, però, ha chiarito che nel progetto di riforma il meccanismo di iscrizione del numero telefonico – con l’effetto di vietarne l’uso per fini di contatto marketing – si dovrà applicare al solo contatto “con operatore”, quindi con un chiamante quale persona fisica.

Ragionando con in mente le basi giuridiche ex art. 6 GDPR, il Garante in sostanza sostiene che al contatto telefonico – mediante verifica del RPO – si possa applicare la a base implicita di un interesse legittimo, valutato dal titolare che effettua la comunicazione, non solo di un possibile consenso. Invece il contatto telefonico senza operatore umano – “automatizzato” – si dovrebbe attuare sempre e solo su base consensuale, per esclusione.

D’altro canto, l’AGCOM sostiene una posizione avversa: ovvero che per applicazione estensiva l’iscrizione al RPO dovrebbe applicarsi anche alle chiamate automatizzate; nell’ottica dell’AGCOM tale prospettiva sarebbe di maggiore tutela per tutte le forme di comunicazione, costringendo ogni tentativo di contatto telefonico – pur basato sul consenso – a dover essere preceduto da una verifica del RPO, per capire se l’utente vi si sia iscritto e se abbia revocato implicitamente il proprio consenso.

Va segnalato che il Garante ha le sue condivisibili ragioni: la normativa attuale, letta con attenzione, ovvero la Direttiva 2002/58/CE, recepita in particolare all’art. 130 del Codice nazionale:

1. […] l’uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente.

[…] 3. Fuori dei casi di cui ai commi 1 e 2 [art. 130], ulteriori comunicazioni per le finalità di cui ai medesimi commi effettuate con mezzi diversi da quelli ivi indicati, sono consentite ai sensi degli articoli 6 e 7 del Regolamento nonché ai sensi di quanto previsto dal comma 3-bis.

3-bis. In deroga a quanto previsto dall’art. 129, il trattamento dei dati di cui al comma 1 del predetto articolo, mediante l’impiego del telefono e della posta cartacea per le finalità di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito nei confronti di chi non abbia esercitato il diritto di opposizione, con modalità semplificate e anche in via telematica, mediante l’iscrizione della numerazione della quale è intestatario e degli altri dati personali di cui all’articolo 129, comma 1, in un registro pubblico delle opposizioni”.

Di conseguenza, ha buon gioco il Garante a sostenere la sua lettura: “L’articolo 130 del Codice, nel disciplinare tutte le comunicazioni indesiderate, opera una chiara distinzione tra comunicazioni effettuate con modalità automatizzate (commi 1 e 2) e comunicazioni con l’intervento dell’operatore (comma 3). Mentre nel primo caso il trattamento è consentito esclusivamente con il consenso del contraente o utente (modalità cd. opt-in), per tutte le comunicazioni effettuate con mezzi diversi si applicano gli articoli 6 e 7 del Regolamento (in materia di basi giuridiche dei trattamenti), nonché quanto previsto dal citato comma 3-bis che, con riguardo all’impiego del telefono e della posta cartacea, consente il trattamento nei confronti di chi non abbia esercitato il diritto di opposizione mediante iscrizione in apposito registro (modalità c.d. opt-out) […] Una diversa interpretazione, del resto, priverebbe di significato tale disposizione, generando una inammissibile incongruenza normativa dove invece il legislatore ha volutamente previsto due livelli di tutela diversi”.

In conclusione, mentre il Garante rispetta la distinzione normativa tra le modalità di chiamata, l’AGCOM pare invocare un intervento correttivo rispetto al testo di partenza e all’impostazione nata dalla Direttiva 2002/58/CE.

Il che non pare attuabile con il proposto testo di riforma mediante regolamento di attuazione. Si richiederebbe piuttosto una modifica al Codice che la Direttiva stessa (di cui si attende da tempo la sostituzione con il pluri-annunciato Regolamento e-Privacy dell’UE) pare contemplare (v. art. 12.3) e che, nel caso, andrebbe comunque affrontata in altra sede.

Ad avviso dello scrivente il parere del Garante dovrebbe prevalere e quanto sostenuto dall’AGCOM portare, invece, a una riflessione sull’eventuale riforma non già del regolamento attuativo del RPO quanto dell’art. 130 del Codice per la protezione dei dati personali, ammesso che sia pienamente fattibile nel perimetro disegnato dalla Direttiva del 2002.

La contrapposizione Garante vs. Consiglio di Stato

Il caso Garante-AGCOM non sarebbe l’unico. Un’altra divergenza di pareri si annida in un altro punto della prospettata riforma: che fare con i numeri di telefono che devono passare dal vecchio regime al nuovo, in particolare ai numeri ora non presenti in elenchi pubblici (in sostanza i numeri riservati e i cellulari) e che solo a partire dalla riforma potranno essere iscritti nel RPO? Anzitutto si attuerà, in continuità, un passaggio dei numeri precedentemente iscritti al nuovo regime, senza altre procedure intermedie. Con un effetto importante in dubbio: l’iscrizione al RPO comporterà la revoca di eventuali consensi precedentemente resi, per tutti i numeri predetti?

Secondo il Consiglio di Stato sì, a maggior tutela della riservatezza degli utenti (il punto di vista di tutela estensiva è simile a quello predetto dell’AGCOM). Secondo il Garante privacy invece no, poiché questa revoca “a tappeto” sarebbe automatica, prescindendo dalla volontà effettiva degli utenti: così ledendo i diritti garanti dall’art. 7 GDPR agli interessati a esprimersi liberamente, scegliendo se concedere o meno un consenso oppure altrettanto liberamente chiederne la revoca.

La soluzione sul tavolo sarebbe la seguente: il passaggio automatico e completo solo per gli utenti già iscritti, mentre il nuovo blocco di numeri (cioè quelli non già presenti in elenchi) avrebbe un regime composito: sì l’iscrizione nel RPO (si avrebbe perlomeno l’effetto di vietare la cessione a terzi dei numeri) ma nessuna revoca automatica dei consensi. Gli utenti potranno sempre revocare il proprio consenso (od opporsi) solo verso determinati terzi, specificandolo ad hoc tramite il RPO, non solo dunque tramite una dichiarazione generalizzata.

Ricordiamo comunque che resteranno salvi i consensi prestati nell’ambito di specifici rapporti contrattuali in essere, ovvero cessati da non più di trenta giorni, ovviamente non annotati nel RPO e che pertanto andranno gestiti correttamente, a livello interno, dai titolari.

Conclusioni

L’iter travagliatissimo della riforma riserverà ancora sorprese e attese? Il testo deve ora passare il vaglio del Consiglio dei Ministri e potrebbe essere rimandato ulteriormente alle Camere, subendo le ennesime modifiche e ritardi.

Auspichiamo che il testo di riforma – sebbene basato su uno strumento, il RPO, che ha mostrato il fianco a diverse debolezze e tuttavia è stato di fatto adottato a livello internazionale, con varie differenze, come strumento di tutela degli utenti – possa approdare velocemente alla forma finale, dopo l’invocato confronto Garante-AGCOM che vede – come già detto – il primo più aderente al quadro normativo di partenza e che dunque dovrebbe farsi strada nella versione definitiva del testo.

Ciò nonostante le resistenze evidenti palesate dagli operatori del marketing e dalle aziende che sfruttano il telemarketing in maniera decisiva, altro fattore probabilmente in gioco circa lo stallo, a parte le contese tra le varie autorità coinvolte.

In ogni caso, il testo della riforma rappresenta pur sempre un progresso nella tutela degli interessati-consumatori-cittadini tempestati dalle chiamate indesiderate e sarebbe certamente un progresso apprezzabile in maniera trasversale.

dal 14 al 17 giugno 2022
FORUM PA 2022: Le sfide globali della cybersecurity e della sovranità digitale
Sicurezza
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 2