Un sì, ma chiedendo alcune integrazioni. Il garante della privacy ha dato la sua benedizione al regolamento del MISE – Ministero dello sviluppo economico che punta a disciplinare le nuove regole per il funzionamento del Registro pubblico delle opposizioni (Rpo). Un regolamento importante per gli utenti e che porta a nuovi scenari per le aziende che si occupano di telemarketing e teleselling, nonché di invio di materiale pubblicitario o promozionale via posta cartacea.
Al riguardo oltretutto, il Garante ha comminato una multa da oltre due milioni di euro a Vincall, società con sede a Vibo Valentia, per aver svolto attività di telemarketing in violazione delle norme sulla protezione dei dati personali che era in vigore prima del GDPR. La società italiana operava tramite call center albanese per conto di una società del settore energetico.
Indice degli argomenti
Le integrazioni al RPO chieste dal Garante della privacy
Il MISE aveva chiesto il parere del Garante della privacy su uno schema di regolamento che riguarda le nuove disposizioni sul RPO – Registro pubblico delle opposizioni per le telefonate a scopo statistico o di vendita. Un registro cui ci si può iscrivere se non si vogliono ricevere offerte pubblicitarie sul telefono o per posta cartacea. Il Garante ha dato il proprio sì al regolamento, ma si tratta di un via libera condizionato. L’ente ha infatti fornito alcune indicazioni per la piena conformità alle norme sulla protezione dei dati personali:
- La precisazione del fatto che l’iscrizione al RPO comporti in automatico l’opposizione a tutti i trattamenti a fini promozionali e che contempli anche la revoca dei consensi precedentemente dati. Il Garante ha chiesto l’eliminazione dal testo a ogni riferimento alle categorie merceologiche degli operatori per evitare di creare dubbi interpretativi;
- La valutazione dell’opportunità di far confluire nel RPO tutti gli indirizzi postali indicati dai contraenti, anche quelli non presenti negli elenchi telefonici.
- Modifiche alla possibilità di revoca selettiva dell’opposizione al trattamento. Il Garante ritiene che questa procedura possa rivelarsi un’ipotesi residuale e prevede che la revoca possa venire esercitata più probabilmente manifestando il consenso ogni volta a ogni singola società.
- Prevedere in caso di illeciti la responsabilità della società “non derogabile contrattualmente in concorso o in solido” con i call center che fanno materialmente le telefonate.
I tempi necessari
Per l’entrata in vigore del regolamento si prevede debba passare almeno ancora un anno. Gli step successivi per l’approvazione del nuovo regolamento sul RPO sono l’atto da parte del Ministero e il passaggio della bozza in Consiglio dei ministri. La bozza poi potrà subire modifiche, a quel punto ci sarà un ulteriore passaggio in Consiglio dei ministri e infine l’approvazione definitiva.
Fonti vicine al Mise spiegano che la speranza è quella di avere l’atto del ministero entro fine anno. L’approvazione definitiva arriverà probabilmente nel 2020, a quel punto ci vorranno ulteriori mesi di lavoro per realizzare tecnicamente il RPO.
Il caso Vincall
In materia di telemarketing e irregolarità, il Garante della privacy ha multato per oltre due milioni di euro la società Vincall. La situazione è emersa dopo un’ispezione del Nucleo speciale privacy della Guardia di finanza: i militari avevano accertato che la Vincall non aveva fornito alcun tipo di informativa alle persone contattate, senza nemmeno chiedere il consenso al trattamento dei dati personali per finalità di marketing, che sarebbe oltretutto dovuto essere annotato in forma scritta. La Vincall infatti operava in qualità di autonomo titolare del trattamento, non era stata indicata come responsabile. L’azienda agiva sul presupposto di presunti accordi con l’agente di vendita dell’impresa attiva nella gestione dell’energia e aveva dato incarico al call center albanese di telefonare a persone che sarebbero potute diventare clienti, basandosi su una lista di numeri raccolti proprio dal call center e senza la validazione dei soggetti aziendali coinvolti.
L’ammontare della sanzione è stato calcolato sommando ogni violazione contestata a ogni singola persona interessata. Viene evidenziata inoltre la particolare gravità della condotta societaria, che ha proprio totalmente trascurato la normativa in materia di privacy. La sanzione risale ad aprile, la violazione riguarda la normativa pre-GDPR.
