Telemarketing e RPO: regole e questioni operative

Quadro normativo e ruoli operativi nelle attività di telemarketing

La disciplina del telemarketing è soggetta sia alle prescrizioni del Regolamento UE 2016/679 (“GDPR”) sia a quelle della Direttiva 2002/58/CE (direttiva “ePrivacy”), recepita dagli artt. 121 – 132 d.lgs. 196/2003 (“Codice Privacy”).

Prima di affrontare l'analisi della disciplina è necessario descrivere sommariamente i ruoli operativi dei soggetti all'interno delle campagne di telemarketing.

Le campagne di telemarketing prendono piede da un Committente, ossia una società che intende effettuare una campagna pubblicitaria per promuovere (“telemarketing” in senso stretto) o vendere (“teleselling”) i propri prodotti.

A questa prima e centrale entità se ne affiancano di ulteriori. Quando la Committente non dispone di liste di contatti telefonici proprie oppure ritiene le proprie liste non sufficienti, ingaggia un “list broker”, incaricato di fornire liste di utenze telefoniche da contattare.

Un altro ruolo rilevante è quello del call center, che fisicamente si occupa di svolgere le attività di contatto degli interessati al trattamento.

La società Committente, inoltre, può ricorrere ai servizi di un Operatore, ossia una società incarica di fungere da regia della campagna pubblicitaria; ad esempio, l'Operatore si occupa di acquisire le liste di contatti, di programmare le fasi di contatto e di fornire un report dettagliato al Committente.

Ruoli soggettivi nel trattamento di dati personali per finalità di telemarketing

I ruoli soggettivi nel trattamento di dati personali per finalità di telemarketing possono riassumersi come segue:

    a) Titolari del trattamento dei dati personali

Nella maggior parte dei casi, il Committente assume il ruolo di titolare del trattamento dei dati personali. Questo soggetto, infatti, determina le modalità e i mezzi del trattamento individuando le caratteristiche della campagna pubblicitaria e il target desiderato. Nel paragrafo b) “Responsabili del trattamento dei dati” è descritto un esempio in cui il Committente non opera come titolare.

Nella maggior parte delle ipotesi il list broker agisce come titolare autonomo del trattamento dei dati personali. Questo, infatti, raccoglie i contatti degli utenti e genera le relative liste per una finalità propria (ossia quella di creare un database di dati da sfruttare commercialmente).

Diverso è il caso in cui la raccolta dei contatti avviene su richiesta del Committente. Se la raccolta dei dati personali avviene per suo conto, tramite una sollecitazione pubblicitaria a lui riferita e il broker si limita a far confluire i dati nella disponibilità del Committente, allora il broker agirà come responsabile del trattamento ai sensi dell'art. 28 GDPR.

Va sottolineato che anche se il Committente e il broker operano come autonomi titolari del trattamento, il primo è comunque chiamato ad effettuare delle verifiche sulla regolarità delle liste acquisite. Difatti, successivamente alla cessione delle liste, il loro utilizzo rientra nella piena titolarità del Committente che risponderà della legittimità delle stesse. Ciò vale a dire che il Committente dovrà verificare il rispetto della normativa vigente e, in particolare, che sia stata resa un'informativa adeguata e che siano stati raccolti tutti i consensi necessari secondo le prescrizioni della norma.

Si suggerisce, pertanto, di inserire la legittimità delle liste come condizione per la corretta esecuzione del contratto commerciale di cessione delle liste e di sottoporla a clausola risolutiva espressa ex art. 1456 c.c.

    b) Responsabili del trattamento dei dati personali

L'Operatore opera generalmente come responsabile del trattamento del Committente, che determina le caratteristiche fondamentali dell'operazione.

Tuttavia, occorre osservare che qualora l'Operatore svolga la campagna pubblicitaria in totale autonomia, senza che il Committente determini le caratteristiche della campagna pubblicitaria, dovrebbe essere inquadrato come titolare del trattamento dei dati personali. In questo caso, inoltre, i call center e gli altri soggetti che operano come responsabili non agirebbero per conto del Committente ma per conto dell'Operatore stesso. In altri termini, il Committente risulterebbe estraneo al trattamento dei dati e non ricoprirebbe alcun ruolo soggettivo.

I call center operano come responsabili del trattamento ai sensi dell'art. 28 GDPR, in quanto l'attività di loro pertinenza è eterodiretta e determinata dal Committente nelle finalità e nei mezzi.

Come osservato per gli Operatori, nel caso in cui i call center svolgano le chiamate in maniera autonoma e su liste di contatti proprie o autonomamente acquisite, sarebbero comunque considerati titolari del trattamento dei dati.

È onere del titolare del trattamento dare esecuzione sostanziale alle prescrizioni dell'art. 28 GDPR; pertanto, non è sufficiente la sola sottoscrizione dei contratti data protection ma è anche necessario verificare che i responsabili del trattamento rispettino a loro volta i requisiti in materia di protezione dei dati personali.

Base giuridica del trattamento

Le basi giuridiche dei trattamenti di dati personali per finalità di telemarketing sono tradizionalmente individuate come segue:

       a) Consenso al trattamento dei dati personali

Il consenso è la base giuridica generalmente utilizzata per il trattamento di dati personali per finalità di marketing. Salvo le eccezioni indicate al punto b), che possono essere svolte sulla base del legittimo interesse del titolare, le operazioni di telemarketing richiedono la base giuridica di cui all'art. 6(1)(a) GDPR.

        b) Legittimo interesse del titolare

L'unica ipotesi di interesse legittimo riferita alle attività di telemarketing è quella prevista dall'art. 130, comma 3-bis Codice privacy. Questa norma infatti dà la possibilità di utilizzare, senza il consenso dell'interessato e sulla base dell'art. (6)(1)(f)  GDPR, le utenze presenti nell'elenco telefonico pubblico per effettuare chiamate con operatore per finalità di telemarketing e teleselling. Sono escluse le chiamate effettuate con strumenti automatizzati o senza la presenza di un operatore.

È possibile ricorrere a questa deroga fintanto che gli interessati abbiano esercitato il proprio diritto di opposizione al trattamento tramite iscrizione all'interno del Registro Pubblico delle Opposizioni (“RPO”) o direttamente presso il titolare.

Obblighi informativi

Nel contesto delle attività di marketing assume particolare rilievo il corretto assolvimento degli obblighi informativi. L'informativa associata ai form di raccolta dati deve rispettare i requisiti indicati dall'art. 12 GDPR, secondo criteri di trasparenza e chiarezza.

L'utilizzo di informative a più livelli è particolarmente indicato per la raccolta di questo tipo di informazioni. Da tutti i livelli delle informative devono emergere le finalità del trattamento dei dati personali e, in particolare, lo svolgimento di attività di marketing diretto, le eventuali attività di profilazione e la cessione dei dati a soggetti terzi. Nel caso in cui siano previste anche attività di profilazione dei dati è necessario informare sulle logiche del processo decisionale automatizzato e sulle conseguenze che ne derivano.

Particolare rilevanza ha l'indicazione dei soggetti terzi cui potrebbero essere trasmessi i dati personali. L'indicazione deve essere specifica e contenere l'identificazione dei soggetti destinatari dei dati personali o, solo nel caso in cui risulti impossibile individuare i singoli soggetti, l'indicazione delle categorie merceologiche. Questa impostazione emerge anche dalla recente sentenza della Corte di Giustizia n. C-142/2021 “Österreichische Post”.

Raccolta del consenso al trattamento dei dati personali

Particolare attenzione deve essere data alle modalità di raccolta del consenso al trattamento dei dati personali. Il consenso deve rispettare le caratteristiche indicate dall'art. 4(11) del GDPR e dettagliate dalle linee guida n. 05/2020 dell'European Data Protection Board, cui si rimanda per una descrizione dettagliata delle modalità di raccolta del consenso in generale.

Il requisito della specificità del consenso e le relative implicazioni possono così sintetizzarsi:

       a) Granularità dei consensi

Il requisito di granularità del consenso al trattamento dei dati personali richiede di raccogliere un consenso per ogni specifica finalità che trovi in esso la propria base giuridica.

Come illustrato in precedenza l'uso delle utenze telefoniche per finalità di marketing è generalmente basato sul consenso degli interessati al trattamento. Pertanto, un primo e specifico consenso è dovuto per queste finalità.

Le attività di profilazione richiedono uno specifico consenso al trattamento dei dati personali. È opportuno distinguere tra le attività di profilazione svolte dal broker che si occupa della raccolta di dati personali e quelle svolte da eventuali terzi autonomi titolari del trattamento. Le due finalità sono infatti distinte ed autonome e, pertanto, richiederanno ognuna uno specifico consenso.

Inoltre, la cessione di dati a terzi richiede altresì un ulteriore consenso. Su questo punto è bene precisare che ogni singolo trasferimento di dati da un autonomo titolare ad un altro richiede uno specifico consenso. Questa impostazione, spesso dibattuta, è stata recentemente confermata dall'Autorità Garante per la Protezione dei Dati nell'Ordinanza di ingiunzione nei confronti di Iren Mercato S.p.A. del 13 maggio 2021 (doc. web n. 9670025) (cfr. punto 2.2.1).

      b) Questioni operative legate ai consensi al trattamento dei dati personali

È bene chiarire che la raccolta dei consensi ha importanti ripercussioni sul piano operativo.

In primo luogo, occorre far sì che la liceità dei consensi raccolti sia dimostrabile. Pertanto, deve essere disponibile la prova dei consensi raccolti. Nei casi di acquisizione di liste da terze parti, è possibile lo svolgimento di test a campione sulle liste di consensi acquisiti al fine di verificarne la legittimità.

In secondo luogo, dato che il consenso è revocabile in qualsiasi momento e con la stessa facilità con cui è stato prestato, il titolare del trattamento deve mettere a disposizione dell'interessato mezzi idonei ad effettuare tale richiesta. Alla ricezione della richiesta dovranno anche corrispondere soluzioni tecniche idonee a rendere effettiva la revoca (ad esempio, eliminando il consenso dalle liste utilizzate dal titolare e delle copie di liste presso i call center e gli altri responsabili).

Ancora, qualora si raccolgano più consensi per diverse finalità, devono essere impostate soluzioni tecniche e organizzative per distinguere gli interessati sulla base delle specifiche finalità a cui hanno consentito. Ad esempio, distinguere gli utenti che hanno acconsentito alle attività di marketing e di profilazione da quelli che hanno accettato solo alle prime.

Registro pubblico delle opposizioni

Il Registro Pubblico delle Opposizioni è un sistema che permette agli utenti iscritti di opporsi alle telefonate commerciali a loro rivolte (c.d. sistemi “Do not call”). Inizialmente lanciato nel 2010, la disciplina è progressiva rivista fino ad una riforma totale operata nel 2022 tramite il d.P.R. n. 26/2022, che ha abrogato il d.P.R. n. 178/2010.

I principali profili del Registro Pubblico delle Opposizioni sono:

     a) Oggetto ed effetti dell'iscrizione al registro

Possono essere iscritte al registro tutte le utenze telefoniche nazionali, sia mobili che fisse, a prescindere dal fatto che siano presenti o meno sull'elenco telefonico pubblico. Possono essere iscritti altresì gli indirizzi postali pubblicati sull'elenco pubblico dei contraenti.

L'iscrizione comporta l'opposizione al trattamento dei propri dati personali per lo svolgimento di chiamate con finalità di marketing e per la realizzazione di ricerche di mercato. L'iscrizione, inoltre, comporta la revoca di tutti i consensi al trattamento dei dati precedentemente prestati per queste finalità.

Fanno eccezione alla generale regola della revoca del consenso, le espressioni di volontà prestate nell'ambito di rapporti contrattuali (a) in essere; oppure (b) cessati da meno di 30 giorni.

Si deve precisare che l'esistenza del RPO non esclude che l'interessato al trattamento eserciti i diritti privacy in oggetto direttamente presso il titolare. In questo senso, si deve ritenere che il RPO costituisca uno strumento ulteriore e alternativo per l'esercizio dei diritti.

      b) Obblighi del titolare

Tutto ciò premesso, è onere del titolare provvedere ad iscriversi in quanto operatore presso il RPO e verificare la presenza delle utenze nelle proprie liste con quelle inserite all'interno del registro:

• almeno mensilmente;
• prima dello svolgimento di ogni campagna pubblicitaria.

Le utenze presenti all'interno del registro andranno eliminate se:

• l'iscrizione è avvenuta in data successiva al rilascio del consenso alle attività di marketing
• non è presente una specifica deroga dedicata all'operatore che effettua la chiamata.

      c) Sanzioni

Se si viola il divieto di comunicazione ai soggetti iscritti nell'RPO si incorre nella sanzione prevista dall'art. 166, comma 2 del Codice privacy. La sanzione amministrativa ammonta fino a 20 milioni di euro o fino al 4% del fatturato annuo dell'azienda.

Regole specifiche in materia di call center

Alcune regole specifiche esistono con riferimento all’attività di call center. Dato che i call center agiscono per conto del Committente (e, pertanto, come suoi responsabili del trattamento) è onere del titolare del trattamento verificare da parte degli operatori ingaggiati il rispetto di quanto di seguito indicato.

I call center, ai sensi dell’art. 103, comma 3-ter  Codice privacy e dell’art. 2 legge n. 5/2018, hanno l’obbligo di presentare l’indicazione della linea chiamate.

I Committenti e gli Operatori devono notificare la delocalizzazione (ossia la localizzazione al di fuori dell’Unione Europea) di un call center ai sensi dell’art. 24-bis d.l. 83/2012. La notifica deve essere effettuata contestualmente:

• al ministero del Lavoro e all’Ispettorato Nazionale del lavoro, con l’indicazione dei lavoratori coinvolti nelle attività di call center;
• al Ministero dello Sviluppo Economico, con l’individuazione delle numerazioni utilizzate;
• al Garante per la Protezione dei dati Personali, con l’indicazione delle misure adottate per garantire il rispetto delle norme in materia di protezione dei dati personali.

I call center delocalizzati, inoltre, sono tenuti a comunicare all’inizio di ogni chiamata il paese dal quale si sta effettuando la telefonata. A seguito di tale comunicazione, sarà possibile richiedere che il servizio venga reso da un operatore collocato all’interno dell’Unione Europea.

A questo fine, assumere grande importanza in termini di accountability del titolare la preparazione e l’implementazione di script da fornire agli operatori che effettuano la chiamata.

Gli operatori di call center sono anche richiesti di iscriversi al Registro degli operatori di comunicazione, cui saranno tenuti a fornire l’elenco delle numerazioni telefoniche utilizzate. Lo stesso obbligo sussiste anche in capo ai soggetti terzi affidatari dei servizi in oggetto e, per espressa indicazione normativa, tale obbligo deve essere contemplato nel relativo contratto di servizi.

In conclusione

La normativa relativa alle attività di telemarketing risulta estremamente complessa, in ragione delle differenti discipline che contribuiscono a plasmarla. Il settore, inoltre, presenta un alto rischio per i diritti e le libertà degli interessati, associato ad alto tasso di non conformità da parte degli operatori del settore; questa combinazione ha fatto si che le attività in questione finissero a più riprese nel mirino delle autorità di controllo.

A chi scrive preme sottolineare che l’implementazione di queste operazioni presuppone un alto livello di conformità alla disciplina sulla protezione dei dati personali e un’attenta verifica delle terze parti coinvolte sia a titolo di responsabili (call center) sia a titolo di titolari autonomi (broker di dati).