Novità in materia di marketing: la proposta di un codice di condotta di settore ed il nuovo RPO

Articolo header

Importanti novità in tema di “registro pubblico delle opposizioni”. A partire dal 27 luglio 2022 è operativo il nuovo Registro pubblico delle opposizioni (RPO) che estende la possibilità a tutti i numeri privati di opporsi alla ricezione di telefonate.


I codici di condotta costituiscono mezzi importanti ai fini della corretta applicazione del Regolamento europeo in materia di protezione dei dati personali, in funzione delle specificità dei vari settori di trattamento e delle esigenze di micro, piccole e medie imprese. Mediante i codici, infatti, possono essere diffuse indicazioni e regole condivise per gestire le operazioni di trattamento dei dati, tipiche di un determinato ambito economico, sociale e associativo.

I codici, in quanto soft law, supportano le organizzazioni anche qualora risulti difficile orientarsi fra le molteplici fonti normative applicabili in un determinato settore. Nel caso del telemarketing, ad esempio, ci sono voluti più di quattro anni per vedere finalmente divenire applicabile, lo scorso 27 luglio, la riforma del Registro Pubblico delle Opposizioni (RPO). Il frammentario contesto normativo, ha contribuito, nel tempo, al moltiplicarsi delle ordinanze di ingiunzione comminate verso società operanti nell’ambito del marketing telefonico. Per questo, le novità in materia di RPO e la recente proposta di un nuovo codice di condotta per le attività di telemarketing e teleselling, rappresentano una svolta fondamentale. 

L’ultima proposta di codice di condotta per attività di telemarketing e teleselling

Sin dall’entrata in vigore del GDPR, l’Autorità Garante per la protezione dei dati personali si è prodigata nella promozione di una serie di iniziative volte a spronare diverse categorie di soggetti privati verso l’elaborazione di codici di condotta. Lo stesso art. 40 del GDPR, infatti, affida alle Autorità di controllo il compito di incoraggiare l’elaborazione dei codici, strumento essenziale per calibrare gli obblighi dei titolari del trattamento e dei responsabili, tenuto conto dei potenziali rischi per i diritti e le libertà delle persone fisiche.

Facendo seguito all’ultimo invito che il Presidente dell’Autorità Garante, Pasquale Stanzione, ha espresso in occasione della presentazione della Relazione annuale del 7 luglio scorso, Asseprim, AssoCall - Associazione Nazionale dei Contact Center Outsourcing, ASSOCONTACT – Associazione Nazionale dei Business Process Outsourcer, Assotelecomunicazioni, Confcommercio, Confindustria, DMA Italia e OIC - Osservatorio Imprese e Consumatori, in qualità di Associazioni rappresentative di committenti, call center, teleseller, list provider e Associazioni di consumatori (ovvero le Associazioni promotrici dell’iniziativa) hanno elaborato un progetto di codice di condotta per le attività di telemarketing e teleselling.

Il progetto, preliminarmente annunciato dall’Autorità il 5 maggio (https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9767711), è ora in fase di consultazione pubblica fino al 9 settembre, al fine di acquisire dalle parti interessate osservazioni e proposte, come suggerito dal considerando 99 al GDPR (“Nell'elaborare un codice di condotta, o nel modificare o prorogare tale codice, le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o di responsabili del trattamento dovrebbero consultare le parti interessate pertinenti, compresi, quando possibile, gli interessati, e tener conto delle osservazioni ricevute e delle opinioni espresse in riscontro a tali consultazioni”). Una volta raccolti i contributi, le informazioni acquisite nell’ambito della consultazione saranno condivise con le Associazioni promotrici e l’Autorità Garante per la protezione dei dati personali. L’approvazione del codice potrebbe costituire una svolta, in un settore particolarmente delicato e sovente oggetto di ispezioni. Ma perché il codice sarebbe così importante?

L’importanza dei codici

I codici di condotta sono strumenti di autodisciplina con cui le organizzazioni, titolari e responsabili del trattamento, si autoimpongono, su base volontaria e nell’ottica di responsabilizzazione, regole di dettaglio volte a definire i comportamenti più appropriati da seguire, le best practices nell’ambito della protezione dei dati personali. 

Tramite l’approvazione dei codici di condotta, è infatti possibile chiarire, per tutti gli aderenti, i fondamenti di liceità su cui basare il trattamento di dati personali; le modalità di raccolta del consenso; come applicare i principi che regolano il trattamento e garantire la massima trasparenza verso gli interessati; le misure di sicurezza tecniche ed organizzative da adottare in conformità agli articoli 24 e 32 del GDPR; più qualsiasi altra informazione utile in base allo specifico contesto di riferimento. 

Lo strumento dei codici di condotta, è stato introdotto dal legislatore europeo proprio al fine di garantire un’applicazione effettiva e coerente del GDPR. Applicazione che, in alcuni ambiti più che in altri, risulta da tempo carente. Lo dimostrano le statistiche sulle ordinanze di ingiunzione comminate a livello europeo: quello delle TELCO (Media, Telecoms and Broadcasting) è uno dei settori più sanzionati, con un totale stimato di € 624,113,741 di ammenda, dall’entrata in vigore del Regolamento europeo in materia di protezione dei dati personali.

Le sanzioni del Garante nel settore del telemarketing

Il settore delle telecomunicazioni è sempre stato oggetto di particolare attenzione da parte dell’Autorità Garante, considerando i rischi per i diritti e le libertà degli interessati, spesso calpestati in nome di campagne di marketing volte a diffondere offerte commerciali a qualunque costo e con qualunque mezzo. Ciò che maggiormente viene percepito dall’interessato è la lesione del diritto alla propria tranquillità individuale, ma il complesso delle violazioni alla base di un contatto indesiderato investe una dimensione più ampia, che discende direttamente dalla perdita del controllo sui propri dati personali (di contatto, di identificazione, di pagamento, etc.), esposti quindi a rischi di utilizzi illeciti di varia natura.

Il GDPR, introducendo nuove garanzie (come il diritto alla portabilità dei dati) ed innalzando la cornice delle sanzioni applicabili, ha posto le basi per una più ampia tutela delle persone fisiche. Le ordinanze di ingiunzione comminate dal Garante, tuttavia, mostrano come ci siano importanti criticità nell’applicazione del Regolamento. In ordine per ammontare, il Garante ha sanzionato tutte le principali compagnie operanti nel settore delle TELCO:

-    TIM, per € 27,800,000, per molteplici violazioni, fra cui non aver raccolto il consenso all’attività di marketing e non aver rispettato il Registro Pubblico delle Opposizioni (RPO);

-    Wind Tre S.p.A., per € 16,700,000, per molteplici violazioni, fra cui l’invio di SMS, e-mail e l’effettuazione di chiamate da operatore e automatizzate senza il consenso degli interessati;

-    Vodafone Italia S.p.A., per € 12,251,601, per molteplici violazioni, fra cui l'utilizzo di numeri falsi per effettuare chiamate promozionali da parte dei call center appaltati (cioè numeri di telefono non registrati presso il Registro unico degli Operatori di comunicazione - ROC);

-    Fastweb S.p.A., per € 4,500,000, per molteplici violazioni, fra cui il telemarketing aggressivo, condotto anche tramite operatori esterni e partner non registrati nel ROC;

-    Iliad Italia S.p.A., per € 800,000, per la violazione dei principi di liceità, correttezza e trasparenza, nonché di integrità e riservatezza per quanto riguarda il trattamento dei dati personali per finalità di marketing diretto.

Torna utile citare anche altre sanzioni milionarie, comminate verso società operanti in altri settori ma che hanno violato, a loro volta, la normativa applicabile all’attività promozionale / marketing:

-    Enel Energia S.p.A, per € 26,500,000, per molteplici violazioni, fra cui l’effettuazione di chiamate promozionali non richieste, anche attraverso sistemi automatizzati, nonostante gli utenti avessero già chiesto più volte a Enel Energia di cancellare i loro dati personali o si fossero opposti al trattamento a fini pubblicitari;

-    Eni Gas e Luce, per € 11,500,000, per molteplici violazioni, fra cui l’effettuazione di chiamate promozionali senza il consenso della persona contattata o senza attivare le procedure per la verifica del Registro Pubblico delle Opposizioni (RPO);

-    Sky Italia S.r.l., per € 3,296,326, per molteplici violazioni, fra cui l’effettuazione di chiamate e l’invio di messaggi promozionali indesiderati anche attraverso un “sottobosco” di call-center abusivi;

-    Iren Mercato S.p.A., per € 2,856,169, per molteplici violazioni, fra cui l’aver effettuato attività di telemarketing su dati personali che non aveva raccolto direttamente, ma che aveva acquisito da altre fonti. Iren, infatti, aveva ottenuto liste di anagrafiche da una S.r.l., che a sua volta le aveva acquisite da altre due aziende. Le cessioni di dati non sono state supportate dal necessario consenso, specifico ed informato dell’interessato.

I punti in comune

Le sanzioni sopra esaminate evidenziano diversi punti di convergenza: le violazioni, nella maggior parte dei casi, riguardano l’effettuazione di chiamate promozionali senza la preventiva acquisizione del consenso o senza aver prima verificato le utenze iscritte nel Registro Pubblico delle Opposizioni (RPO). Il fenomeno del telemarketing selvaggio, infatti, ha caratteristiche ricorrenti e facilmente riconoscibili, la prima delle quali è indubbiamente rappresentata dalla circostanza che le telefonate indesiderate vengono effettuate in gran parte da numerazioni non censite presso il sopracitato Registro unico degli Operatori di comunicazione - ROC, al quale devono invece obbligatoriamente iscriversi tutti gli operatori economici esercenti l’attività di call center. Tali numerazioni sono spesso disconosciute dalla rete di vendita delle compagnie committenti e le chiamate che partono attraverso questi canali realizzano quello che il Garante, in numerosi provvedimenti, ha definito un “sottobosco” illecito, che realizza un rilevantissimo volume di affari attraverso attività in gran parte illegittime.

Bisogna, tuttavia, sottolineare come le comunicazioni indesiderate a carattere commerciale e promozionale, veicolate attraverso contatti effettuati con operatore umano ovvero con strumenti automatizzati (sms, e-mail, fax, chiamate pre-registrate), siano state oggetto della costante azione di osservazione e contrasto dell’Autorità. L’attività di contrasto al telemarketing selvaggio, è stata condotta anche attraverso l’osservazione degli esiti dei provvedimenti adottati da Garante stesso negli anni precedenti e lo sviluppo delle linee istruttorie evidenziate in tali provvedimenti.


Inoltre, con riferimento agli aspetti legati al consenso, il D.L.139/2021, convertito con L. 205/2021, ha modificato la L. 5/2018 (recante “Nuove disposizioni in materia di iscrizione e funzionamento del registro delle opposizioni e istituzione di prefissi nazionali per le chiamate telefoniche a scopo statistico, promozionale e di ricerche di mercato”), per estendere la validità della revoca del consenso anche alla ricezione delle chiamate automatizzate. Da tale modifica ed in seguito al parere del Garante, è conseguito, con il D.P.R. 26/2022, l’aggiornamento del regolamento che disciplina il Registro Pubblico delle Opposizioni (RPO). 

Il nuovo RPO è divenuto operativo dal 27 luglio scorso. Ora, grazie alle novità introdotte, i consumatori potranno opporsi alla ricezione non solo delle chiamate indesiderate tramite operatore, ma anche di quelle effettuate con l’uso di sistemi automatizzati, modalità di contatto che sino ad ora era sfuggita alle limitazioni sancite dalla disciplina previgente. L’iscrizione al RPO comporterà, tra l’altro, la revoca dei precedenti consensi espressi dai consumatori, così da evitare il perdurare di eventuali abusi.

Il Registro Pubblico delle Opposizioni (RPO)

Il Registro Pubblico delle Opposizioni è stato in origine istituito con il D.P.R. 178/2010 e la sua gestione è stata affidata, dal Ministero dello Sviluppo Economico (Dipartimento per le Comunicazioni), alla Fondazione Ugo Bordoni (FUB). Al Garante Privacy spettano i compiti di vigilanza e di controllo sull’organizzazione e sul funzionamento del Registro.

Nel corso degli anni l’RPO ha subito numerosi interventi normativi, dapprima volti ad estendere le previsioni relative all’opt-out nel marketing telefonico anche alla posta cartacea; in seguito, con la sopracitata L. 5/2018, volti ad estendere la possibilità di iscrizione anche ai numeri di cellulare e a tutti i numeri riservati, ovvero non presenti negli elenchi pubblici. Ulteriori recenti modifiche hanno sanato altre criticità emerse nel tempo, in modo da includere nell’ambito del RPO anche le chiamate automatizzate (“robocall”), ovvero quelle effettuate senza operatore umano. Infine, il D.P.R. 26/2022, ha apportato le necessarie revisioni alle disposizioni regolamentari vigenti che disciplinano le modalità di iscrizione e funzionamento del RPO. A partire dal 27 luglio scorso il nuovo RPO è finalmente divenuto operativo. 

Quali cambiamenti?

Per quanto riguarda i contraenti telefonici, ovvero i cittadini intestatari di un contratto telefonico, questi potranno iscrivere nel nuovo Registro Pubblico delle Opposizioni (RPO):

-    tutte le numerazioni telefoniche nazionali fisse o mobili (pubblicate o meno negli elenchi telefonici). La possibilità di iscrivere al registro anche i numeri cellulari rappresenta una novità importante e tanto attesa; 

-    tutti gli indirizzi postali presenti negli elenchi telefonici pubblici.

L’iscrizione nel registro “preclude qualsiasi trattamento” (art. 7 comma 6 del D.p.r. 26/2022), ovvero comporterà:         

-    l’opposizione automatica al trattamento dei dati delle numerazioni telefoniche, nonché degli indirizzi postali, per fini di invio di materiale pubblicitario o di vendita diretta o per ricerche di mercato o per comunicazioni commerciali;

-    il blocco di qualsiasi trattamento delle numerazioni telefoniche fisse e mobili, riportate o meno negli elenchi, e degli indirizzi postali per le stesse finalità effettuate tramite telefono o posta cartacea, comportando la revoca di tutti i consensi precedentemente espressi. 

Rimane tuttavia una deroga (che creerà non pochi problemi nell’applicazione della norma): viene fatta salva la possibilità di contattare i contraenti che abbiano espresso un consenso nel contesto di contratti in essere o cessati da meno di 30 giorni. 


Per quanto riguarda gli operatori, ovvero i titolari del trattamento dei dati che intendano utilizzare, tramite telefono o posta cartacea, i numeri telefonici nazionali fissi e cellulari e i dati presenti negli elenchi telefonici per finalità di:

  1. Invio di materiale pubblicitario
  2. Vendita diretta
  3. Comunicazione commerciale
  4. Compimento di ricerche di mercato

dovranno invece seguire le seguenti regole, pena l’applicazione di sanzioni amministrative pecuniarie fino a 20 milioni di euro o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:

-    registrarsi al RPO mediante la funzione “Presentazione istanza”, attraverso la compilazione del web form e l’invio della documentazione. L’accesso all’area riservata deve necessariamente avvenire tramite i mezzi indicati sulla piattaforma (SPID, CNS oppure certificato digitale, PEC - firma digitale);

-    scaricare il file di testo e consultare le liste di contatti contenenti le numerazioni da verificare. Le liste hanno validità di 15 giorni per la consultazione del RPO Telefonico e 30 giorni per la consultazione del RPO Postale;

-    accertare che l’interessato non si sia opposto al trattamento delle proprie numerazioni telefoniche, per fini di invio di materiale pubblicitario o di vendita diretta, ovvero per il compimento di ricerche di mercato o di comunicazione commerciale;

-    qualora l’interessato sia opposto, gli operatori sono anche tenuti a revocare tutti i consensi precedentemente espressi, con qualsiasi forma o mezzo, salvo i casi in cui si applichi la (criptica) deroga sopracitata. La revoca dei consensi ha efficacia sia sulle chiamate effettuate con operatore umano sia su quelle automatizzate.

Considerazioni

Il primo giorno di operatività del nuovo registro, ha visto la registrazione di 205.000 cittadini. I dati sull’operatività del servizio, pubblicati dal MISE (Ministero dello Sviluppo Economico), danno l’idea di quanto fosse attesa la riforma. Da sempre le attività di marketing e telemarketing sono viste dai cittadini come una interferenza nel diritto alla propria tranquillità individuale e, proprio per questo, il Garante monitora costantemente le attività svolte in questo settore ed i reclami e le segnalazioni volte a lamentare chiamate indesiderate e trattamenti illeciti.

Il rischio per le organizzazioni che effettuano trattamenti in violazione delle norme applicabili, sono, ora più che mai, soggette a potenziali sanzioni. Risulta quindi essenziale che tutti i DPO sorveglino l’osservanza del Regolamento ed il rispetto delle nuove disposizioni in materia di marketing. In tale contesto, i codici di condotta possono svolgere un ruolo fondamentale. A tal proposito, si ricorda che, nel mese di maggio, l’Autorità Garante ha pubblicato il Registro dei codici di condotta, adempimento previsto dall’art. 40 par. 6 del GDPR, ai sensi del quale ogni Autorità di controllo che approva un codice di condotta deve registrarlo e pubblicarlo. Il Registro raccoglie tutti i codici nazionali e transnazionali approvati e, al fine di garantire la massima trasparenza verso gli utenti, contiene gli elementi essenziali per rendere immediatamente visibile la tipologia dei trattamenti regolati da tali codici ed un collegamento al sito web dell’Organismo di monitoraggio, al quale gli utenti possono rivolgersi per la risoluzione di eventuali reclami. Il Registro è disponibile alla pagina: www.gpdp.it/codici-di-condotta..


Per restare aggiornato su tutte le principali novità in materia di privacy & marketing, ti invitiamo ad iscriverti alla newsletter dell’Associazione.


Fonti

La pagina informativa del MISE: https://www.mise.gov.it/index.php/it/notizie-stampa/dal-27-luglio-operativo-il-nuovo-registro-delle-opposizioni-contro-telemarketing-selvaggio 

Il nuovo RPO: https://registrodelleopposizioni.it/

L’infografica per gli operatori: https://registrodelleopposizioni.it/wp-content/uploads/2022/07/RPO_Servizio_per_Operatori.pdf

Statistiche citate: https://www.enforcementtracker.com/?insights



Altre news