Telemarketing e teleselling: il nuovo codice di condotta ex art. 40 GDPR

I codici di condotta

La materia dei codici di condotta è disciplinata nel GDPR e, pertanto, si applica in modo uniforme a tutti gli Stati membri. Quelli che hanno un impatto limitato all'ambito nazionale vedono coinvolta l'Autorità di supervisione locale che ne controlla la conformità, come verificatosi per il Codice del telemarketing e teleselling oggetto di questo commento.

a) Norme vigenti nel contesto europeo

Con l'aggiornamento del quadro normativo in materia di protezione dei dati personali, avvenuta ad opera del regolamento UE 2016/679 General Data Protection Regulation (GDPR), il legislatore europeo ha abrogato la direttiva 95/46/CE e ha contestualmente adottato uno strumento normativo estremamente flessibile, basato su principi piuttosto che su specifiche regole di condotta, nella consapevolezza che nessuna norma avrebbe potuto regolare a priori il velocissimo mondo digitale in cui avviene ormai la maggior parte dei trattamenti. Per lo stesso motivo, molta enfasi è stata posta sul principio dell'accountability (responsabilizzazione), ovvero la capacità del titolare del trattamento di comprovare l'adozione di misure adeguate a garantire la conformità del trattamento stesso. Così viene lasciata a ogni titolare la facoltà di stabilire le modalità operative che ritenga più adatte a garantire la tutela dei diritti in base alla propria struttura organizzativa e nel rispetto delle specificità che caratterizzano il suo trattamento.

Questo impianto regolamentare così fluido se, da un lato, si adatta ad ogni possibile caso (presente e futuro) e ad ogni tipologia di titolare del trattamento, dall'altro, rischia di essere carente dal punto di vista precettivo, con conseguenze in termini di certezza del diritto, lasciando molto spazio alla discrezionalità dei titolari. Da ciò possono derivare importanti conseguenze nell'applicazione pratica delle norme e dunque nella tutela degli interessati, dal momento che i titolari possono essere spinti a cercare soluzioni formalmente corrette, con l'unico obiettivo di “dimostrare” la conformità del trattamento, senza che a ciò consegua anche una tutela effettiva e concreta. Ciò è tanto più frequente in quei settori, caratterizzati da esigenze e modalità specifiche di funzionamento, dove l'intervento prescrittivo e sanzionatorio delle autorità di controllo nei confronti solo di alcuni titolari potrebbe avere riflessi anche sugli equilibri concorrenziali, imponendo costi maggiori solo ad alcuni e lasciando invariato il pregiudizio per gli interessati. Per gli stessi motivi, difficilmente gli operatori sceglieranno di gravarsi autonomamente di maggiori oneri se lo stesso impegno non viene condiviso a livello di mercato.

Proprio nell'intento di contribuire alla corretta applicazione delle norme nel rispetto anche delle esigenze di uno specifico mercato, venendo incontro alle esigenze concrete anche delle piccole e medie imprese, è stato previsto dall'art. 40 GDPR lo strumento deicodici di condotta con cui i titolari o i responsabili che abbiano interessi comuni possono auto-regolamentare i trattamenti al fine di condividere i medesimi impegni in maniera efficiente e potenzialmente economica; inoltre, come chiarito dal considerando 98 del GDPR, i codici di condotta possono contribuire a calibrare gli obblighi dei titolari o dei responsabili del trattamento in funzione del potenziale rischio per i diritti e le libertà delle persone fisiche.

Una previsione analoga era contenuta anche nell'art. 27 della direttiva 95/46/CE con portata limitata al riconoscimento della facoltà, per gli Stati membri e la Commissione, di incoraggiare l'elaborazione di codici di condotta.

Per un approfondimento sull'ambito di applicazione dei codici di condotta e l'iter di approvazione si rimanda alle Linee guida 1/2019 dell'EDPB (European Data Protection Board) sui codici di condotta e sugli organismi di monitoraggio, versione 2.0, del 4 giugno 2019 come integrate dalle Linee guida 4/2021 sui codici di condotta come strumento per i trasferimenti, adottate dall'EDPB il 22 febbraio 2022.

È utile anche ricordare che, a norma dell'art. 41 GDPR, per i soggetti privati il controllo di conformità al codice di condotta – fatti salvi i poteri delle Autorità di controllo - deve essere effettuato da un soggetto terzo, l'organismo di monitoraggio, dotato di adeguate competenze e appositamente accreditato dall'Autorità di controllo. Con riguardo ai criteri di selezione e accreditamento dell'organismo di monitoraggio, il GDPR demanda alle Autorità di controllo degli Stati membri il potere di definirne i requisiti con l'obbligo di presentare il progetto all'EDPB. Con il provvedimento generale 10 giugno 2020 (doc web n. 9432569) il Garante ha reso noti i requisiti per l'accreditamento degli organismi di monitoraggio.

Si osserva, infine, che lo strumento dei codici di condotta è stato di recente valorizzato dal legislatore europeo quale risorsa per la regolazione dei mercati digitali, nell'ambito del regolamento UE 2022/2065, noto come Digital Services Act.

b) Specificità del quadro normativo italiano. Regole deontologiche e codici di condotta

Nell'ordinamento italiano, prima dell'adozione del GDPR e della conseguente modifica del Codice privacy ad opera del d.lgs. n. 101/2018, analoghi effetti di interazione tra pubblico e privato tramite l'autoregolamentazione erano raggiunti attraverso i codici di deontologia e buona condotta, previsti dall'art. 12 del previgente Codice. Tra questi strumenti (tuttora adottabili ai sensi del nuovo art. 2-quater Codice privacy) e gli attuali codici di condotta ex art. 40 GDPR vi sono importanti differenze. L'art. 154-bis Codice privacy prevede l'attribuzione al Garante di uno specifico potere di approvare le “regole deontologiche” (si noti anche la modifica terminologica) introducendo nell'ordinamento italiano un potere peculiare non previsto dal GDPR. Le regole deontologiche approvate sono soggette, a cura del Garante, a pubblicazione in G.U. e, mediante l'inserimento come allegato al Codice, assumono dignità giuridica e costituiscono una fonte atipica del diritto; per tale motivo il loro rispetto costituisce presupposto di liceità del trattamento, a differenza dei codici di condotta di cui all'art. 40 GDPR, destinati solo a contribuire alla corretta applicazione del Regolamento in funzione della specificità dei vari settori, il cui rispetto incide sulle valutazioni dell'accountability del titolare ma non costituisce presupposto di liceità del trattamento.

c) Il valore giuridico dei codici di condotta

I codici di condotta ex art. 40 GDPR costituiscono fonti di autoregolamentazione originate da interessi privati, autorizzati da un'autorità pubblica, ma non esauriscono i loro effetti negli obblighi negoziali; hanno infatti portata generale essendo rivolti a tutti i soggetti potenzialmente interessati ad aderire e riguardando anche gli interessati.

Ai codici di condotta il GDPR riconosce una valenza probatoria sulla conformità del trattamento effettuato dall'aderente come previsto dagli artt. 24, par. 3 e 32, par. 3 GDPR. Inoltre, l'art. 46, par. 2, lett. e) GDPR annovera i codici di condotta tra gli strumenti che costituiscono garanzie adeguate in caso di trasferimento di dati personali verso un Paese estero o un'organizzazione internazionale.

L'adesione a un codice di condotta può avere effetti anche in chiave competitiva potendo aumentare la fiducia dei consumatori e influire sulla reputazione del titolare, consentendo al contempo di dare concretezza alle previsioni di principio su cui si basa il GDPR a vantaggio di una maggiore certezza del diritto.

Infine, l'adesione ad un codice di condotta è uno dei fattori che le autorità di controllo sono tenute a valutare in caso di applicazione (e quantificazione) di una sanzione, ai sensi dell'art. 83, par. 2, lett. j) GDPR così come anche la violazione degli obblighi di un organismo di monitoraggio è soggetta a una sanzione amministrativa pecuniaria a norma dell'art. 83, par. 4, lett. c) GDPR.

La regolazione delle attività di telemarketing e teleselling

Mediante le regole del Codice, i rappresentanti del settore hanno potuto raccogliere e sintetizzare le migliori pratiche sulla protezione dei dati personali nel contesto di riferimento.

a) Problematiche e specificità del settore

Le attività di telemarketing e teleselling sono da anni diffuse e sviluppate come strumento di promozione commerciale o come canale di vendita alternativo al canale fisico. Il loro rapido incremento ha consentito di apportare benefici all'utenza attraverso l'offerta diretta di prodotti e servizi anche in zone non adeguatamente servite dai canali fisici, aumentando l'offerta e di conseguenza la concorrenza fra gli operatori; il volume di affari generato ogni anno da tali attività ha dato origine ad una lunga e complessa filiera nella quale tra il committente e il consumatore finale si trovano ad operare diversi soggetti anche ubicati all'estero. Nonostante l'indiscussa utilità del canale di vendita telefonico, la parallela espansione di attività promozionali aggressive o condotte con modalità illecite rischia di minacciare gravemente il settore. Cittadini e imprese sperimentano ormai quotidianamente l'assillo di chiamate indesiderate se non addirittura di vere e proprie truffe telefoniche. Migliaia di doglianze raggiungono ogni anno le autorità deputate alla tutela degli utenti (dal Garante, all'Antitrust, all'AgCom) così come gli stessi uffici addetti al servizio clienti dei principali committenti. Non solo, le attività illecite hanno dimostrato di avere importanti ripercussioni sulla concorrenza e sull'immagine degli operatori economici dato che la diffusione del telemarketing selvaggio – ormai indistinguibile dalle attività svolte lecitamente – ha minacciato gravemente la fiducia degli utenti.

Anche il legislatore è stato chiamato ad intervenire ed ha adottato provvedimenti volti a rafforzare il Registro delle Opposizioni, come noto di recente revisionato ad opera del d.P.R 27 gennaio 2022, n. 26 che ha dato attuazione alla l. 11 gennaio 2018, n. 5. Tale strumento tuttavia ha il potere di regolare solo il telemarketing legale, com'era verosimile attendersi, ma nulla può nei confronti degli operatori che operano nella completa illegalità.

Parallelamente le autorità di controllo hanno dovuto incrementare le risorse necessarie alle attività di indagine, rese sempre più complicate dalle tecniche elusive adottate dagli operatori illegali, prima fra tutte l'utilizzo di numerazioni telefoniche camuffate (spoofing telefonico) per rendersi non rintracciabili.

Partendo dalla responsabilità del committente, principale beneficiario delle attività promozionali e per questo tenuto a rafforzare i controlli, il Garante ha adottato negli anni numerosissimi provvedimenti correttivi e sanzionatori, resi più afflittivi dopo l'entrata in vigore del GDPR, sia per la reiterazione delle condotte omissive, sia per la facoltà, riconosciuta dallo stesso GDPR, di applicare sanzioni esemplari. Nonostante tutto, il fenomeno non sembra arrestarsi e minaccia di coinvolgere tutta la filiera commerciale e del trattamento.

Gli interventi sanzionatori del Garante hanno negli anni avuto effetti di contenimento del pregiudizio, comportando l'adozione di misure più adeguate da parte dei titolari, ed hanno avuto anche effetti educativi sul piano più generale. Tuttavia, si è trattato sempre di interventi mirati a singoli titolari o responsabili essendo impossibile coprire l'intero settore e non essendo più consentita, nel nuovo quadro normativo, l'adozione di provvedimenti prescrittivi di carattere generale che non siano espressamente previsti dalle norme.

Parallelamente gli operatori economici hanno sempre rappresentato l'esigenza di avere regole condivise e imposte a tutti in egual misura per evitare effetti distorsivi sulla concorrenza. Questa esigenza, unitamente al livello di insofferenza raggiunto dagli interessati e alla necessità delle istituzioni di intervenire, è stata ancor più sentita nel momento in cui si è concretizzata la messa in opera del nuovo Registro delle Opposizioni, il cui avvio era stato rimandato per anni. Il nuovo strumento infatti ha l'intento di estendere le garanzie per gli utenti con la conseguenza di aggravare gli oneri in capo ai titolari; posto che, come detto, gli operatori del telemarketing selvaggio possono facilmente aggirare anche queste regole, si è fatta più urgente la necessità per gli operatori di condividere regole comuni per stabilire un perimetro di legalità che lasci fuori la concorrenza sleale. Tale esigenza ha incontrato l'urgenza del Garante di arginare il fenomeno del telemarketing selvaggio. In questo contesto, data la facoltà di incoraggiare e promuovere l'adozione di codici di condotta riconosciuta dal GDPR alle autorità di controllo, hanno preso avvio nel maggio 2022 i lavori per la realizzazione di un progetto di codice di condotta (si veda il comunicato stampa Garante Privacy, doc web n. 9767711) cui hanno preso parte i rappresentanti di tutte le categorie coinvolte: non solo i committenti, dunque, ma anche i provider di liste, i call center e gli stessi consumatori. Questa eterogeneità dei proponenti ha consentito di esaminare le problematiche in maniera complessiva favorendo il confronto fra le parti e con la stessa Autorità e raggiungendo in tempi brevissimi l'obiettivo di stabilire regole condivise da tutti. Il progetto di codice è stato approvato dal Garante il 9 marzo 2023 con efficacia subordinata all'accreditamento dell'organismo di monitoraggio.

b) I punti salienti del codice di condotta

Il codice si pone l'ambizioso obiettivo di imporre regole di condotta puntuali a tutti gli operatori della filiera del telemarketing e teleselling con l'adozione di misure di tecniche e organizzative molto elevate. Al contempo, costituisce un importante strumento per fornire chiarimenti in merito al corretto funzionamento del settore stabilendo dei punti fissi, già a partire dalle definizioni, e richiamando tutti i principi nel tempo espressi dal Garante ma ancora spesso disapplicati: la responsabilità del committente in quanto titolare del trattamento, le misure di sicurezza in capo ai call center, i criteri per selezionare i fornitori di liste.

In particolare, sono previsti una serie di obblighi in capo al titolare del trattamento al fine di garantire che le attività da questo commissionate siano svolte nel rispetto delle norme. Il titolare pertanto dovrà porre particolare attenzione nella selezione dei propri fornitori, privilegiando quelli aderenti al codice, e dovrà successivamente controllarne l'operato mediante apposite attività di verifica. Una particolare incombenza richiesta al titolare risulta determinante: la predisposizione di accurate attività di verifica della provenienza dei contratti, con blocco della provvigione in caso di illiceità del contatto, per togliere ogni redditività alle attività illecite. Si auspica in questo modo di avere il pieno controllo - dal contatto al contratto - lasciando fuori chi opera al di fuori delle regole.

Ai fornitori di liste sono imposte rigide regole di controllo della liceità del consenso tra cui: l'adozione di un meccanismo di double opt-in per la verifica del consenso reso on line, gli aspetti cui prestare attenzione nella scelta di list provider esteri (che spesso utilizzano concorsi a premi per raccogliere dati), il raffronto delle liste con il Registro delle opposizioni e con la black list del titolare del trattamento.

Infine, per i call center che effettuano materialmente l'attività di contatto, nel richiamare il vigente obbligo di presentazione della linea chiamante che deve essere iscritta al ROC (Registro degli Operatori di Comunicazione elettronica), sono previste una serie di regole operative, come la puntuale rendicontazione al committente o le accortezze tecniche per evitare l'estrazione o copia dei dati da parte degli incaricati.

Il Codice inserisce anche una previsione comune agli aderenti relativa all'adozione di misure tecniche che consentano l'effettuazione delle chiamate solo con una numerazione riconoscibile dall'utente (ad esempio utilizzando un alias con il brand o un numero noto attribuito al committente), impedendo l'uso di numerazioni camuffate, proprio in ragione delle problematiche sopra descritte in merito allo spoofing telefonico. Sono inoltre riportati una serie di punti fermi in merito ai requisiti di validità del consenso, riassumendo principi già più volte espressi nei provvedimenti del Garante.

Infine, sono stabiliti alcuni aspetti relativi alle caratteristiche e ai compiti dell'organismo di monitoraggio che avrà il compito di controllare periodicamente se la condotta degli aderenti è conforme alle regole pattuite, fornendo un resoconto al Garante.

In conclusione

Le numerose problematiche generate dalle attività di telemarketing selvaggio hanno reso necessari negli ultimi anni interventi sempre più incisivi e, spesso, afflittivi sulle attività di impresa per la tutela dei diritti degli interessati in quanto parte più debole. Ne è conseguito un più intenso impiego di risorse sia da parte delle autorità chiamate ad intervenire che da parte degli stessi titolari, cui è stato prescritto di adottare misure più adeguate. Purtroppo molti di questi interventi, compresi quelli del legislatore, si sono rivelati insufficienti. Per tali ragioni sul nuovo codice di condotta si riversano molte aspettative. Si tratta infatti del primo strumento messo in campo dal basso (e non imposto) che valorizza l'impegno degli aderenti. La rapidità con cui il progetto è stato portato all'attenzione del Garante e la partecipazione intesa dimostrano, del resto, l'interesse delle parti. Tra esse vi sono anche rappresentanti dei consumatori poiché, da ultimo, saranno proprio i consumatori – auspicabilmente messi in condizione di distinguere chi opera nella legalità e chi no - a determinare l'insuccesso economico delle operazioni illecite. Lo strumento sarà pienamente operativo solo una volta costituito e accreditato l'organismo di monitoraggio.

"Le opinioni espresse sono a titolo personale e non impegnano l’amministrazione di provenienza”

Guida all’approfondimento

- Bettiol, Codici di condotta, legittimo interesse al trattamento dei dati personali e dinamiche concorrenziali, in Bolognini (a cura di), Privacy e libero mercato digitale, Milano 2021, p. 205 e ss.

- Bolognini, Art. 40 GDPR, art. 2-quater D.Lgs. 196/2003, art. 20 D.Lgs. 101/2018, in Bolognini-Pelino (a cura di), Codice della disciplina privacy, Milano 2019, p. 283 ss.

- D’Orazio, commento all’art. 40, in Barba-Pagliantini (a cura di), Commentario del Codice Civile, Modulo Delle Persone - Vol. II, Milano 2019, p. 807 ss.

- Popoli, Codici di condotta e certificazioni, in Finocchiaro (a cura di), Il nuovo regolamento UE sulla privacy, Bologna-Roma, 2017, p. 367 ss.

- Busia-Ferola, Il Garante per la protezione dei dati personali, in Pollicino-Busia-Liguori, Le nuove frontiere della privacy nelle tecnologie digitali, Canterano 2016, p. 224 ss.

- De Minico, Commento all’art. 12: codici di deontologia e di buona condotta, in Bianca - Busnelli (a cura di), Le Nuove leggi civili commentate, Tomo I, Padova 2007, p. 271 ss.