I dati personali del consumatore, attuale o potenziale, costituiscono per le imprese concorrenti sul mercato una vera e propria risorsa e il loro trattamento assume un indubbio valore economico e di scambio, perché ne accresce il know-how aziendale, permettendo loro la costituzione di banche dati, a mezzo delle quali contattare il cliente per la promozione e l’offerta di propri prodotti o servizi, tant’è che di tali dati può predicarsi – pur alle condizioni di legge – una vera e propria circolazione.
Siffatta concezione delle banche dati dei clienti ci dà la misura di come sia le imprese private, sia le autorità pubbliche utilizzino dati personali, come mai in precedenza, nello svolgimento delle loro attività e “tale evoluzione richiede un quadro più solido e coerente in materia di protezione dei dati dell’Unione, affiancato da efficaci misure di attuazione” (Considerando n. 7 GDPR).
Non il diritto all’indiscriminata libertà d’impresa, dunque, ma neppure il diritto alla protezione dei dati di carattere personale come una prerogativa assoluta, bensì un contemperamento dei due, in un bilanciamento di interessi tutti costituzionalmente protetti a livello sia europeo che nazionale, laddove la Carta dei Diritti Fondamentali UE – fonte primaria in materia di diritti della persona in Europa – riconosce il diritto di ciascuno alla protezione dei propri diritti personali: “Everyone has right to the protection of personal data concernig him or her”, da leggersi alla luce della nostra Carta costituzionale che con l’art. 41 pone alla libertà d’impresa il limite della sicurezza, libertà e dignità umana.
GDPR, una protezione tra rischi e pericoli per le persone fisiche e per l’economia
Indice degli argomenti
Il ruolo del consenso nel telemarketing
Sul crinale del complesso bilanciamento di tali interessi contrapposti, si apre il dibattito in ordine all’indebito utilizzo delle banche dati, alle chiamate “mute” senza operatore, alle chiamate effettuate al mero scopo di recuperare il consenso, vivificato ultimamente dalla pubblicazione in Gazzetta Ufficiale, lo scorso 29 marzo del DPR n. 26 del 27 gennaio 2022 che istituisce e disciplina il registro delle opposizioni, nel quale potranno chiedere di essere iscritti tutti i contraenti che si oppongono, appunto, all’utilizzo del proprio numero telefonico per vendite o promozioni commerciali.
Finora la giurisprudenza di legittimità e di merito e il Garante della privacy chiamati a esprimersi in merito alle suddette fattispecie, hanno basato le proprie pronunce sulla centralità della base giuridica del consenso, in virtù della quale il trattamento di dati per finalità di marketing diretto, ossia per l’invio di materiale pubblicitario, di vendita diretta, ovvero per il compimento di ricerche di mercato o di comunicazione commerciale, è ammesso solo laddove il contraente/consumatore abbia espresso consapevolmente ed espressamente il proprio consenso, con “volontà libera, specifica, informata, e inequivocabile”.
Muovendo dal concetto di consenso informato, specifico ed espresso, il consenso, praticamente, diviene la condizione necessaria e sufficiente per legittimare le condotte di terzi invasive della propria sfera privata, idoneo, in quanto tale a far sì che l’interessato riceva informazioni di marketing (cd. telemarketing): in proposito si parla di opt-in con riferimento alla possibilità per il contraente/consumatore di essere inserito in elenchi e database dai quali le aziende possano attingere per inviargli comunicazioni di marketing diretto.
Espressione del consenso e del dissenso: la revoca del dissenso
Il GDPR all’art. 7 predica la revocabilità del consenso. A contrario, ci si è allora interrogati sulla possibilità di revocare il dissenso espresso e eventualmente sulle modalità.
Recentemente, si è espressa sul punto la Corte di Cassazione a proposito della condotta di un noto operatore telefonico che contattava telefonicamente taluni clienti al fine di ottenere (o riottenere) quel consenso a ricevere comunicazioni a fini marketing negato all’atto della negoziazione del contratto e/o comunque al momento dell’ultimo contatto avuto con l’interessato.
Secondo la Cassazione, la finalità alla quale è imprescindibilmente collegato il consenso richiesto per tale trattamento, concorre alla sua qualificazione, pertanto una comunicazione finalizzata a riottenere il consenso per finalità di marketing è essa stessa un trattamento avente finalità di marketing.
Deve quindi ritenersi illegittimo il trattamento dei dati personali delle persone contattate, in assenza di consenso legittimamente manifestato e comunque a prescindere dal fatto che l’interessato sia iscritto nel registro pubblico delle opposizioni.
La Cassazione, in particolare, afferma così che se è possibile la revoca del consenso, la revoca del dissenso può essere manifestata solo dal diretto interessato e comunque non può essere sollecitata con una campagna di “recupero consensi”, individuale e dettagliata volta a verificare la permanenza del dissenso, atteso che in tal caso comunque si tratterebbe di telefonate effettuate per quelle finalità commerciali, finalizzate ad ottenere appunto il consenso all’invio di materiale pubblicitario, di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciali alle quali non è stato prestato il consenso.
Siffatta campagna, difatti, pur operando in due tempi, uno per riacquisire il consenso a suo tempo negato e una per realizzare l’attività promozionale vera e propria, comportava comunque un illecito trattamento di dati personali riferiti a soggetti che avevano negato il proprio consenso al trattamento tout-court.
Sempre per poter conferire alla trattazione uno sguardo d’insieme, sembra opportuno ricordare che l’attuale formulazione dell’art. 130 del Codice della Privacy intitolato “Comunicazioni indesiderate” qualifica come indesiderato proprio quel materiale pubblicitario o di vendita diretta che viene inviato senza previo consenso dell’interessato.
Quid iuris, invece, laddove non sia stato esercitato il consenso, ma neppure il dissenso? Sembrano ipotesi meramente di scuola, ma vi sono situazioni nelle quali i moduli privacy non sono stati compilati, i dati del soggetto da contattare sono nei database pur senza che questi sia stato effettivamente cliente, i dati del soggetto sono conservati dall’azienda che deve fare telemarketing ben prima dell’obbligatorietà del consenso privacy, e via discorrendo.
Il nuovo registro delle opposizioni
In tali casi, è consentito effettuare telemarketing a condizione che la numerazione di quest’ultimo non risulti iscritta in quel registro pubblico delle opposizioni del quale si è fatto menzione all’inizio del presente articolo che, istituito con decreto del Presidente della Repubblica n. 26 del 27.1.2022 e destinato ad entrare in vigore – salvo difficoltà dell’ultim’ora – il prossimo 27 luglio, riporterà i nominativi di tutti quei contraenti – ovvero persone fisiche o giuridiche che abbiano attivato un contratto con un fornitore di servizi telefonici o che siano comunque destinatari di tali servizi avendo acquistato delle carte prepagate che abbiano manifestato il diritto di opposizione a vedersi contattati per comunicazioni telefoniche e/o invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale. Possono essere iscritti in tale registro numeri telefonici fissi e mobili e indirizzi di posta cartacea.
Ad essere esclusi dall’ambito di applicazione di siffatto registro sono i soli i trattamenti effettuati per finalità statistiche degli enti e degli uffici di statistica, effettuati dal Sistema Statistico Nazionale.
I contraenti che vogliono iscriversi a tale registro possono compilare il modulo elettronico, indicando la numerazione da iscrivere nel registro ed attestando la titolarità della stessa, oppure chiamare direttamente dalla linea che si intende iscrivere nel registro ad un numero predisposto dal gestore del servizio.
A questo punto, una volta creato il registro, ciascun operatore, con cadenza mensile (o comunque prima di iniziare una campagna), che intenda effettuare chiamate con finalità di telemarketing con o senza operatore umano, dovrà presentare istanza corredata dell’elenco dei contraenti che costituiscono la fonte dei dati personali sarà obbligato a consultare il registro. Solo così, incrociando i dati dei soggetti che hanno rilasciato il consenso al telemarketing con quelli che si sono successivamente iscritti nel registro, potranno essere chiamati solo coloro che dopo l’opt-in effettuato fleggando la casella relativa presente nel contratto telefonico purchessia, non abbiano effettuato l’opt-out iscrivendosi nel registro e parallelamente con riferimento a quei contraenti che non hanno rilasciato il consenso verificare che non si siano iscritti nel registro delle opposizioni, successivamente confermando così il dissenso al telemarketing e inibendo qualsiasi informazione con finalità commerciale nei loro confronti.
Resta inteso che l’iscrizione nel registro ha durata indeterminata e cessa solo in caso di revoca, con conseguente possibilità di ricevere future comunicazioni.
Per la cronaca, verrà fatta una massiccia campagna pubblicitaria per sollecitare l’iscrizione al registro, in vista della apertura dello stesso il prossimo 27 luglio.
Una volta istituito siffatto registro, non potrà più ritenersi legittima la possibilità di effettuare campagne di recupero consensi mirate attraverso chiamate dirette al contraente che si è iscritto nel registro, poiché l’utilizzo di dati personali di soggetti che hanno fatto opt-out risulterebbe illegittimo perché in spregio alla normativa in materia di trattamento dei dati personali. A voler sostenere il contrario, difatti, il ruolo del registro dell’opt-out risulterebbe vanificato! Centralità del consenso, dunque, nella sua dimensione positiva e negativa (consenso e dissenso, appunto) e diacronica – con prevalenza della manifestazione di volontà rilasciata da ultimo.
Le “chiamate mute”
Il DPR è stato opportunamente integrato in corso d’opera al fine di recepire le modifiche del D.L. 139/2021, e ricomprendere anche le chiamate automatizzate (robocall), quelle, per intenderci, nelle quali il destinatario della telefonata, dopo aver risposto al telefono non è messo in comunicazione con alcun interlocutore e si ritrova a dover ascoltare una voce registrata che, solo laddove sia interessato, potrebbe successivamente metterlo in comunicazione con un operatore.
Finora il Garante della Privacy nel provvedimento generale sulle chiamate mute del 2014, ha guardato con particolare sfavore a dette chiamate, affermando come le stesse sollevino “nei destinatari un senso di frustrazione connesso all’incapacità di reagire all’evento” e possano ingenerare oltre a uno stato di fastidio per il disturbo della chiamata, anche “uno stato di allarme e di preoccupazione” in quanto spesso si tende ad associare siffatte telefonate a controlli indebiti finalizzati alla commissione di reati o molestie.
La Corte di cassazione, nella sentenza Reitek S.p.A. vs. Garante della privacy+Enel Energia S.p.A. veniva chiamata a esprimersi sulla possibilità di ricorrere alle telefonate mute esclusivamente previa manifestazione del consenso da parte dell’interessato o se detta pratica potesse rientrare nelle eccezioni previste dal legislatore. L’esito della sentenza è una risposta conforme alla prima opzione.
Resta inteso che, sebbene la Corte di Cassazione ammette a determinate condizioni le chiamate mute, queste devono comunque essere conformi, in termini di liceità del trattamento, alle norme del Codice della privacy, in un delicato e necessario bilanciamento tra la protezione dei diritti degli interessati a non venire contattati da voci metalliche e inumane che possono inquietare e gettare sconforto e la tutela dell’impresa, dell’occupazione, degli imprenditori di settore, in un delicato e faticoso equilibrio tra esigenze contrapposte.
In tale equilibrio, fa da discrimine il limite della “ragionevole tollerabilità” che in chiave civilistica troviamo ben teorizzato nell’art. 844 c.c.. laddove come “il proprietario di un fondo non può impedire le immissioni di fumo o di calore, le esalazioni […] derivanti dal fondo del vicino se non superano la normale tollerabilità”, così le telefonate mute se da un lato sono idonee alla esplicazione del diritto di ogni impresa a farsi pubblicità e a diffondere la propria offerta, dall’altro sono idonee a violare il diritto al trattamento dei dati personali di ciascun destinatario della chiamata e in grado di provocare un intollerabile ingerimento nella propria vita privata, in quanto tale meritevole di sanzione, la cui legittimità o meno di siffatte chiamate andrà valutata e vagliata alla luce di un contemperamento di esigenze delle imprese e diritto di ogni singolo individuo. La chiave di lettura deve essere quindi quella di “contemperare le esigenze della produzione con le esigenze della proprietà” (rectius della titolarità del diritto alla privacy).
Un codice di condotta per il telemarketing
È di questi giorni l’annuncio del Garante della privacy che si stanno per concludere le consultazioni in vista dell’entrata in vigore del registro e che stanno prendendo vita i lavori per la stesura di un Codice di condotta che regoli le attività di telemarketing e contrasti il fenomeno delle chiamate promozionali indesiderate, con la partecipazione di trenta rappresentanti del mondo della committenza (ossia delle aziende che promuovono i propri prodotti mediante campagne di telemarketing), dei contact center, dei list provider e dei consumatori che in tempi ragionevolmente stretti dovrà portare alla redazione di una prima bozza.
Molti sono, tuttavia, gli interrogativi che si aprono con la creazione di un siffatto registro, problemi che, neppure a dirlo, involvono proprio la privacy dei soggetti iscritti.
Innanzitutto, le imprese che svolgono telemarketing quali Titolari del trattamento, o i soggetti dagli stessi designati quale Responsabili del trattamento dei dati personali ai sensi del GDPR, al momento della chiamata ovvero all’interno del materiale pubblicitario, dovranno indicare con precisione al consumatore che i loro dati personali sono stati estratti legittimamente dagli elenchi, ovvero da altre fonti, “fornendo, altresì, le indicazioni utili all’eventuale iscrizione del contraente nel Registro pubblico delle opposizioni”.
Tale previsione, comporta che le informative privacy debbano prevedere una integrazione del loro contenuto obbligatorio, così come disciplinato dagli artt. 13 e 14 del GDPR.
Similmente, siccome avviene molto spesso che l’accesso al registro delle opposizioni venga effettuato ad opera di soggetti designati dal titolare del trattamento e a ciò incaricati, è evidente come anche il DPA (Data Processing Agreement) debba contenere misure tecniche ed organizzative adeguate per la tutela dei diritti degli interessati.
Al contempo, il DPR prevede all’art. 8 che ciascun operatore adegui “le proprie infrastrutture tecnologiche destinate all’interfaccia con il registro, agli standard tecnologici e operativi stabiliti dal gestore dello stesso, previa consultazione con i principali operatori”. È chiaro che le modalità di consultazione del registro “non devono consentire il trasferimento di dati personali contenuti nel registro stesso” e che quindi siano all’uopo previsti sistemi di pseudonimizzazione/decrittazione che interroghino la banca dati e ne riportino gli esiti, senza che alcuna traccia di siffatta consultazione pur anonima possa restare sui computer utilizzati per l’accesso; con l’obbligo per il gestore del registro di conservare per dodici mesi dal momento della loro generazione, le registrazioni degli eventi di accesso ai sistemi di iscrizione, rinnovo o revoca da parte di tutti gli interessati e, dall’altro, per ventiquattro mesi dal momento della loro generazione, le registrazioni degli eventi di accesso, di aggiornamento delle liste e di disconnessione dell’operatore.
Tutte le evidenze saranno acquisite e conservate nel rispetto dei criteri di completezza, integrità, inalterabilità e verificabilità, al fine di verificare eventuali ipotesi di accessi abusivi, e per tutte le finalità ispettive del Garante per la protezione dei dati personali o dell’autorità giudiziaria.
In caso di eventuali violazioni da parte delle imprese e di qualunque operatore commerciale, saranno applicabili tutte le forme di tutela previste dal GDPR e dal Codice Privacy a favore degli interessati e si auspica l’istituzione di un sistema sanzionatorio ad hoc che tenga conto della particolarità della situazione.
Ci si auspica che al più presto possano essere, con disposizioni di dettaglio, contemplati dal legislatore gli aspetti appena messi in luce, perché vengano tutelati gli interessi delle imprese che intendono fare telemarketing pur tenendo conto della centralità del consenso dei destinatari delle comunicazioni commerciali.
