Il fornitore non è sempre responsabile del trattamento

Il nuovo registro delle opposizioni

La Legge n. 5 dell’11 gennaio 2018 (Nuove disposizioni in materia di iscrizione e funzionamento del registro delle opposizioni e istituzione di prefissi nazionali per le chiamate telefoniche a scopo statistico, promozionale e di ricerche di mercato) ha finalmente introdotto la facoltà di iscrizione al Registro Pubblico delle Opposizioni anche ai titolari di utenza mobile.

Ma le novità non finiscono qui. La tutela della riservatezza degli utenti è infatti ampliata in misura considerevole. Ma andiamo con ordine.

  1. 1. Il diritto di opposizione dell’interessato

Ai sensi dell’art. 6 del GDPR (Reg. (CE) n. 2016/679/UE): «Il trattamento è lecito solo se e nella misura in cui […] l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità».

In deroga a tale regola generale disposta dal GDPR, l’art. 130, comma 3-bis, del Codice in materia di protezione dei dati personali (D.Lgs. n. 196/2003) consente che: «il trattamento dei dati [contenuti in elenchi pubblici dei contraenti di utenze di servizi di comunicazione elettronica], mediante l’impiego del telefono e della posta cartacea per le finalità di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, è consentito nei confronti di chi non abbia esercitato il diritto di opposizione, con modalità semplificate e anche in via telematica, mediante l’iscrizione della numerazione […] in un registro pubblico delle opposizioni» [n.d.r. enfasi aggiunta].

Come si nota, per l’art. 6 GDPR il trattamento dei dati è consentito in via generale solo previo consenso dell’interessato (c.d. opt-in), per le utenze inscritte in elenchi pubblici vale il principio opposto, l’utenza cioè può essere utilizzata per fini marketing anche in assenza di consenso preventivo dell’interessato, ma quest’ultimo può però opporsi in qualsiasi momento (c.d. opt-out).

In sostanza, per gli elenchi telefonici il consenso è presunto e residua l’applicazione a posteriori dell’art. 21.2 del GDPR: «qualora i dati personali siano trattati per finalità di marketing diretto, l’interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per tali finalità, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto».

2. Il Registro delle opposizioni

In esecuzione dell’art. 130 GDPR, acquisito tra l’altro il parere dell’Autorità garante per la protezione dei dati e dell’AGCOM (l’Autorità per le garanzie nelle comunicazioni), il MISE ha istituito il Registro Pubblico delle Opposizioni (RPO) con D.P.R. 7 settembre 2010, n. 178 (Regolamento recante istituzione e gestione del registro pubblico dei contraenti che si oppongono all’utilizzo dei propri dati personali e del proprio numero telefonico per vendite o promozioni commerciali).

Il RPO è oggi affidato mediante apposito contratto di servizio alla tenuta e gestione della Fondazione Ugo Bordoni (istituto di eccellenza per la ricerca e la promozione della cultura digitale e dell’ICT in generale)

Finora, non esistendo pubblici registri delle utenze di telefonia mobile, il RPO opera limitatamente alle numerazioni fisse. Come accennato, tuttavia, la Legge n. 5/2018 sta per cambiare molte cose.

3. Le novità introdotte dalla L. 5/2018

La legge è di soli quattro articoli, ma tanto basta per costituire una piccola rivoluzione nel mondo del telemarketing e nella nostra vita di tutti i giorni.

1. Il RPO opera anche con riguardo alle numerazioni mobili (art. 1, comma 2). Un apposito regolamento previsto entro il corrente anno, ma che probabilmente slitterà al successivo, chiarirà le modalità di funzionamento del nuovo registro e di iscrizione degli utenti.

2. L’interessato può chiedere un’opposizione selettiva, nel senso che si può revocare l’opposizione per determinati soggetti e mantenerla in via generale per tutti gli altri (art. 1, comma 4). L’opposizione può altresì essere revocata per un periodo determinato con “riabilitazione” del lead una volta scaduto il termine.

3. Con l’iscrizione al RPO si intendono revocati tutti i consensi precedentemente espressi, «con qualsiasi forma o mezzo e a qualsiasi soggetto» (art. 1, comma 5). Si tratta di una delle novità più dirompenti poiché, a differenza di ora, l’iscrizione al RPO revoca il consenso al trattamento per fini marketing specificamente prestato in passato a determinati operatori. Nessuno di questi, quindi, potrà sottrarsi in futuro dal consultare il RPO poiché l’interessato potrà revocare il consenso senza una specifica comunicazione al titolare. Sono comunque validi i consensi specifici rilasciati dall’interessato dopo l’iscrizione sul RPO. Pertanto un operatore, ancorché un utente sia iscritto sul RPO, potrà comunque contattarlo se avrà raccolto un consenso marketing in data successiva all’iscrizione[1].

4. È vietata la comunicazione a terzi, il trasferimento e la diffusione di dati personali degli interessati iscritti al RPO per ambiti commerciali non riferibili alle attività, ai prodotti o ai servizi offerti dal titolare del trattamento (leggasi, cedente) (art. 1, comma 7). Tale disposizione decreta la fine delle società che per oggetto statutario (o modello di business) raccolgono e vendono lead per «fini di pubblicità o di vendita ovvero per il compimento di ricerche di mercato o di comunicazione commerciale» svolte da terzi. L’attività di compravendita di lead può solo quindi essere accessoria o complementare all’attività principale svolta, che dovrà essere “riferibile”[2] a quella del cessionario. Peraltro, la cessione di dati personali sembra essere esclusa anche con riferimento agli interessati che, ancorché iscritti nel RPO, abbiano successivamente rilasciato ad alcuni operatori un consenso specifico. Mi chiedo se sia una svista del legislatore (quale sarebbe la ratio di un tale divieto che peraltro opererebbe anche in caso di cessione di azienda od operazioni M&A?). Aggiungo infine che il divieto disposto dalla presente norma, rende di per sé illegittima la comunicazione, indipendentemente dal successivo impiego dei lead o verifica della loro presenza sul RPO. I soggetti che compravendono dati in sua violazione, pertanto, compiono un trattamento di dati personali illegittimo, con tutte le conseguenze del caso. Ogni atto di cessione lead, quindi, deve essere preceduto da un rigoroso controllo del RPO condotto a ridosso del trasferimento[3].

5. «Il titolare del trattamento dei dati personali è responsabile in solido delle violazioni delle disposizioni della presente legge anche nel caso di affidamento a terzi di attività di call center per l’effettuazione delle chiamate telefoniche» (art. 2, comma 11). Tale disposizione dovrà essere affrontata non solo con un controllo diretto e verifica periodica da parte del titolare del trattamento sull’affidatario del servizio di telemarketing a terzi, ma, per esempio, anche attraverso il rilascio di opportune garanzie fideiussorie. La disposizione fa generico riferimento ad “affidamento”. Viene da chiedersi se operi solo nel caso in cui l’affidatario sia responsabile del trattamento (i lead sono del committente) o se operi, come pare dalla lettera della legge, anche nel caso in cui la società di call center sia autonomo titolare dei dati personali impiegati per il telemarketing[4].

6. «Tutti gli operatori che svolgono attività di call center rivolte a numerazioni nazionali fisse o mobili devono garantire la piena attuazione dell’obbligo di presentazione dell’identificazione della linea chiamante e il rispetto di quanto previsto dall’articolo 7, comma 4, lettera b), del codice di cui al decreto legislativo n. 196 del 2003»[5]. Tale disposizione rende quasi inutile l’iscrizione al RPO da parte degli interessati, almeno con riguardo alle utenze mobili. Tutti gli smartphone, infatti, hanno la funzione di blocco chiamate che può essere impostata per determinati prefissi (e i modelli che non hanno questa opzione, presto l’avranno) sicché sarà sufficiente impostare il blocco per i prefissi di telemarketing per ottenere più o meno lo stesso risultato dell’iscrizione al RPO[6] che potrebbe diventare di fatto obsoleto.

4. Conclusioni

Il RPO è stato aggiornato per diventare un unico hub da cui il cittadino potrà gestire (dare e revocare il consenso) senza rapporto diretto con i titolari. Questi ultimi, infatti, dovranno rivolgersi con regolarità presso il RPO (all’inizio di ogni campagna o, per attività continuativa, almeno una volta mese) per verificare lo stato dei consensi e l’utilizzabilità dei lead in loro possesso.

La consultazione del RPO sarà continua, estesa (con le modalità di invio lead alla FUB e ricezione del check) e a “tariffe politiche” decise dal MISE. Il cittadino sarà meno tartassato dagli abusi e dalle violazioni di legge di troppi operatori e potrà provvedere da sé al blocco chiamate.

Francesco Rampone – f.rampone@lascalaw.com

© RIPRODUZIONE RISERVATA

[1] Secondo una certa interpretazione, che confesso non mi convince del tutto, l’entrata in vigore di questa disposizione è rinviata alla data di adozione del regolamento attuativo che amplierà le funzioni del RPO anche alle numerazioni mobili. A mio avviso, se l’efficacia della “revoca omnibus” fosse oggi sospesa, la legge avrebbe dovuto dirlo espressamente e non vedo perché la revoca non possa quantomeno applicarsi alle numerazioni presenti negli attuali elenchi pubblici.
[2] Il termine è ambiguo, ma pare possa intendersi non solo in senso orizzontale (competitor del cedente), ma anche in senso verticale (soggetti che a vario titolo intervengono lungo la filiera produttiva del cessionario).
[3] Poiché la responsabilità del titolare cessionario è autonoma rispetto al cedente, è opportuno che gli atti di trasferimento lead contengano apposite salvaguardie in ordine alla “bontà” dei lead con allegazione del risultato della verifica presso il RPO (ovvero con un programma di verifica da eseguirsi successivamente alla firma con eventuale clausola di aggiustamento prezzo). Inoltre, ai sensi del comma 8, Il cedente deve in ogni caso comunicare all’interessato l’intervenuta cessione. È utile che l’accordo di trasferimento “contrattualizzi” tale obbligo di legge e preveda un coordinamento delle parti.
[4] L’identità del committente potrebbe anche non essere rivelata all’interessato, come ad esempio nelle ricerche di mercato. A mio avviso l’estensione a titolo di responsabilità oggettiva in capo al committente non ha ragion d’essere nel caso in cui solo la società di call center sia titolare dei dati, o comunque tratti i dati per finalità diverse e ulteriori rispetto a quelle previste nel contratto di appalto di servizi.
[5] L’art. 7 del Codice Privacy è stato abrogato dall’art. 27, comma 1, lett. a), n. 2), del D.Lgs. 10 agosto 2018, n. 101. Tuttavia, ai sensi dell’ art. 22, comma 6, del citato D.Lgs. n. 101/2018, 6, i rinvii alle disposizioni del Codice Privacy abrogate da tale decreto, contenuti in norme di legge e di regolamento, si intendono riferiti alle corrispondenti disposizioni del GDPR. Nel nostro caso, quindi, il rinvio all’art. 7, comma 4, lett. b) del Codice Privacy deve intendersi come riferito all’art. 21.2 del GDPR richiamata all’inizio di questo contributo.
[6] Non dubito che in futuro sarà anche possibile impostare il blocco generale per determinati prefissi e l’eccezione per determinati numeri.

 

Print Friendly

Condividi su

Potrebbe interessarti anche
Mario Valentino vs. Valentino

Di seguito è riportato in forma sintetica e sistematica il contenuto delle disposizioni in tema di ...

Coronavirus

Il fornitore non è sempre responsabile del trattamento

Nonostante siano trascorsi più di ventiquattro anni dalla prima Direttiva 95/46/CE e siano stati ve...

Privacy

Il fornitore non è sempre responsabile del trattamento

Se la banca chiede il consenso al trattamento dei dati sensibili commette illecito. Queste potrebber...

Privacy

X