Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Il Garante privacy che ha vietato a una società l’uso delle utenze telefoniche reperite on line a fini promozionali in base al mancato consenso degli interessati.

Il fatto che alcuni numeri di telefono presenti in Internet siano liberamente accessibili a chiunque non significa che possano essere legittimamente usati per finalità che, come il marketing, sono diverse da quelle per cui sono stati pubblicati. Con questa motivazione il Garante ha vietato l’uso dei numeri di telefono raccolti da una società che per acquisire nuovi clienti e promuovere i propri prodotti contattava telefonicamente utenze di liberi professionisti e imprese individuali presenti nell’area “contatti” dei siti. Un trattamento non in linea con la disciplina di protezione dei dati personali perché effettuato senza aver prima acquisito il consenso informato dei destinatari e in violazione del principio di finalità.

Tra i clienti che non hanno potuto manifestare il libero e specifico consenso per l’invio di comunicazioni automatizzate promozionali, oltre a imprese individuali e liberi professionisti, vi erano anche numerose persone giuridiche, che in base all’art. 130 del Codice, continuano ad essere tutelate riguardo alle comunicazioni promozionali automatizzate (e-mail, telefonate, sms).

L’Autorità si è riservata di valutare l’applicazione delle sanzioni amministrative previste dal Codice per le violazioni rilevate.

Il 10 gennaio 2017 la Commissione ha presentato una proposta di regolamento sulle comunicazioni elettroniche che completa il quadro dell’UE in materia di protezione dei dati.

Il regolamento sulla riservatezza e le comunicazioni elettroniche proposto dalla Commissione garantirà una maggiore tutela della vita privata delle persone e schiuderà nuove opportunità commerciali. Le misure presentate sono volte ad aggiornare le norme attuali, estendendone il campo di applicazione a tutti i fornitori di servizi di comunicazione. Le norme in materia di riservatezza si applicheranno d’ora in poi anche ai nuovi operatori che forniscono servizi di comunicazione elettronica – ad esempio WhatsApp, Facebook Messenger, Skype, Gmail, iMessage, Viber. Sarà quindi aggiornata la vigente direttiva ePrivacy che si applica unicamente agli operatori di telecomunicazioni tradizionali.

L’obiettivo è quello di rafforzare la fiducia e la sicurezza nel mercato unico digitale creando un giusto equilibrio tra elevata protezione dei consumatori e possibilità di innovazione per le imprese. La proposta inoltre prevede che il trattamento dei dati personali ad opera delle istituzioni e degli organismi dell’UE garantisca lo stesso livello di tutela della riservatezza previsto negli Stati membri, così come disposto dal regolamento generale sulla protezione dei dati, e definisce un approccio strategico alle questioni concernenti i trasferimenti internazionali dei dati personali.

La riservatezza sarà garantita non solo per i contenuti delle comunicazioni ma anche per i cosiddetti metadati (ad esempio, l’ora della chiamata e il luogo) che, secondo le norme proposte, dovranno essere anonimizzati o eliminati in caso di mancato consenso degli utenti, a meno che non siano necessari, ad esempio per la fatturazione. Una volta ottenuto il consenso al trattamento dei dati relativi alle comunicazioni (contenuti e/o metadati), gli operatori di telecomunicazioni tradizionali avranno maggiori opportunità di utilizzare i dati e fornire servizi aggiuntivi.

È prevista la semplificazione della cosiddetta “legge sui cookie”, che ha causato una proliferazione di richieste di consenso per gli utenti. La proposta chiarisce che il consenso non è necessario per i cookie non intrusivi che migliorano l’esperienza degli utenti (ad esempio, quelli che permettono di ricordare la cronologia del carrello degli acquisti) e nemmeno per i cookie che contano il numero di utenti che visitano un sito web.

Per quanto riguarda lo spamming, la proposta odierna vieta le comunicazioni elettroniche indesiderate, indipendentemente dal mezzo utilizzato, quindi in linea di principio varrà anche per le chiamate telefoniche per le quali gli utenti non hanno dato il consenso al trattamento dei dati. Gli Stati membri possono optare per una soluzione che conferisca ai consumatori il diritto di opporsi alla ricezione delle telefonate a scopo commerciale, per esempio mediante la registrazione del loro numero in un elenco di nominativi da non chiamare. Gli autori delle telefonate a scopo commerciale dovranno mostrare il proprio numero telefonico o utilizzare un prefisso speciale che indichi la natura della chiamata.

In relazione all protezione dei dati personali da parte delle istituzioni e degli organismi europei il regolamento proposto punta ad allineare le disposizioni vigenti, che risalgono al 2001, alle nuove norme più stringenti fissate nel regolamento generale del 2016 sulla protezione dei dati.

La comunicazione proposta definisce un approccio strategico ai trasferimenti internazionali di dati personali che agevolerà gli scambi commerciali e promuoverà una migliore cooperazione fra le autorità di contrasto.  La Commissione intende avvalersi dei meccanismi alternativi previsti dalle norme del regolamento generale sulla protezione dei dati e dalla direttiva sulla protezione dei dati nell’ambito della cooperazione giudiziaria e di polizia al fine di agevolare lo scambio di dati personali con i paesi terzi con i quali non sia possibile giungere a decisioni di adeguatezza.

Con la presentazione delle proposte la Commissione invita il Parlamento europeo e il Consiglio a lavorare in tempi rapidi e a garantire un processo agevole per l’adozione entro il 25 maggio 2018, data di applicazione del regolamento generale sulla protezione dei dati. L’intento è quello di offrire entro tale data a cittadini e imprese un quadro giuridico pieno e completo in materia di tutela della vita privata e protezione dei dati in Europa.

telefonoSecondo l’Authority gli attuali strumenti non sono in grado di tutelare adeguatamente gli abbonati da forme invasive e moleste di marketing telematico.

A seguito di innumerevoli interventi del Garante privacy, nonché della recente sentenza della Corte di Cassazione sulle c.d. telefonate mute, il Presidente del Garante privacy, Antonello Soro, ha nuovamente ribadito l’esigenza di tutelare in maniera più incisiva i cittadini nei confronti di pratiche commerciali telefoniche sempre più invasive della vita privata e della quiete domestica degli utenti. Il Registro delle Opposizioni, come strumento di contrasto alle telefonate indesiderate, non sembra infatti aver conseguito il risultato sperato. Pochi sono attualmente gli utenti iscritti rispetto al numero effettivo di utenze, limitate le condizioni di iscrizione (solo telefoni fissi presenti negli elenchi) e pressoché inesistenti le responsabilità in capo ai call center che, incuranti del Registro, continuano a contattare i numeri telefonici registrati.

Per rafforzare le tutele dei cittadini e responsabilizzare maggiormente i promotori di campagne pubblicitarie si prospettano due percorsi da seguire. Da un lato, il Garante puntualizza la necessità di riformulare la normativa in materia di telemarketing, ampliando il novero di utenze iscrivibili nel Registro delle Opposizioni, includendo tutta la telefonia fissa o mobile, anche se non iscritta negli elenchi. Ritiene inoltre auspicabile l’introduzione di un chiaro regime di responsabilità tra il soggetto che materialmente chiama il cittadino (di solito il call center) e l’azienda per conto della quale viene effettuata la chiamata. Dall’altro lato, sembra essenziale promuovere misure che aumentino il grado di consapevolezza degli utenti sulla gestione dei propri dati, sensibilizzando al contempo le stesse imprese, anche attraverso la previsione di piani di incentivazione a favore delle società “diligenti”.

Da ultimo il Garante evidenzia che una riforma delle regole di settore gioverebbe peraltro gli stessi call center. Infatti, incoraggiando i committenti di campagne pubblicitarie a selezionare call center qualificati e affidabili, si eviterebbe di penalizzare quanti nel settore operano correttamente, portando ad una generale riqualificazione dello stesso lavoro degli operatori.

NOTA: Il magazine canadese Nymity, specializzato in diritto di Internet e privacy ha pubblicato uno speciale sulla sentenza della Corte di Cassazione italiana numero 2196 del 4 febbraio 2016 sul tema delle cosiddette “telefonate mute” le telefonate automatiche inoltrate dai sistemi computerizzati di telemarketing. Lo speciale è accompagnato da un’intervista a Giusella Finocchiaro che contestualizza il fenomeno da un punto di vista giuridico e ne analizza i risvolti in tema di privacy e sicurezza.

Una panoramica del tema è stata precedentemente pubblicata in QUESTO POST.

Lo speciale di Nymity è disponibile QUI. Cliccando QUI è possibile scaricare il pdf con l’intervista a Giusella Finocchiaro. Entrambi i documenti sono in lingua inglese.

Pubblicato un vademecum informativo su marketing e diritto alla privacy del consumatore.

Il Garante della Privacy ha pubblicato “VIVA I CONSIGLI, ABBASSO LO SPAM. Dal telefono al supermercato: il marketing a prova di privacy“, un vademecum sulle modalità di difesa dalla pubblicità invasiva, ideato per informare il consumatore e per sollecitare le aziende a sviluppare metodi di marketing nel rispetto dei diritti degli utenti. Al suo interno sono illustrate le azioni che il cittadino può compiere per impedire che vengano spiati i propri acquisti o per bloccare le telefonate e i messaggi telefonici a scopo pubblicitario. Sono analizzati i problemi relativi alle tecniche persuasive usate per telefoni, email e social network, e quelli riguardanti il funzionamento del Registro delle Opposizioni. In proposito il Presidente dell’Autorità, Antonello Soro, auspica “una rapida revisione legislativa del Registro delle opposizioni che renda più efficace la tutela dei consumatori”.

Inoltre, nel vademecum sono esposte le modalità necessarie a svolgere un’attività di marketing che non trasgredisca le regole della privacy, instaurando un rapporto di fiducia e di ascolto. Il Garante ricorda che “il rispetto del consumatore e il corretto uso dei suoi dati personali – a partire da quelli necessari per contattarlo fino alle informazioni più private, come gusti e preferenze – differenziano le imprese che vedono i propri clienti come semplice “preda”, da quelle che scelgono di operare in modo trasparente, ponendo al centro della loro attività sia la qualità dei propri prodotti e servizi sia la fiducia dei propri acquirenti”.

Il testo, ideato per rispondere alle domande e ai dubbi più frequenti, è disposto in otto agili capitoli: “Privacy e marketing nell’impresa”, “Libertà al consumatore: informativa e consenso”, “Finalità e disponibilità: asso pigliatutto”, “Le differenze tra i personal shopper e i disturbatori”, “La ricerca del cliente e lo scambio dei dati”, “Le promozioni al telefono”, “Web e social network, liberi dallo spam”, “Aiuto! a chi mi rivolgo?”

Il vademecum è disponibile QUI in formato pdf e, su richiesta al Garante, anche in formato cartaceo.

Il telemarketing è nuovamente al centro dell’attività del Garante per la Protezione dei dati personali che è recentemente intervenuto con un provvedimento sul fenomeno delle cosiddette telefonate “mute”.

Si tratta di telefonate in cui il destinatario, dopo aver sollevato il ricevitore, non entra in comunicazione con alcun interlocutore. Il fenomeno sembra essere piuttosto frequente, tanto che molti cittadini si sono rivolti all’Autorità per segnalare la ricezione ripetuta e continua di questo tipo di telefonate.

Pare che l’origine di questa nuova e misteriosa seccatura per il cittadino sia da ricercarsi nuovamente nel telemarketing.  La magioranza delle “telefonate mute” sarebbe infatti la conseguenza di un problema organizzativo da parte delle società che si occupano di effettuare telefonate commerciali.  Gran parte di queste aziende si serve di un sistema di instradamento automatico di telefonate per mettere in comunicazione le singole utenze dei citatdini con gli operatori di call center addetti alla promozione di servizi e prodotti. A volte, tuttavia, il sistema automatico può indirizzare verso i call center un numero di chiamate superiore all’effettiva disponibilità degli operatori. Così il telefono del cittadino squilla, ma dall’altra parte non c’è nessuno.

Naturalmente la ricezione di telefonate mute, specie se ripetuta, può provocare agli utenti non solo fastidio, ma anche allarme, considerato anche che diversi cittadini hanno lamentato al Garante di aver ricevuto telefonate di questo tipo anche per 10-15 volte di seguito.

Nel provvedimento, incentrato sul caso di una società fornitrice di energia individuata come indiretta responsabile di “telefonate mute”, l’Autorità ha pertanto stabilito che le società dotate di sistemi di chiamata automatici dovranno utilizzare accorgimenti che impediscano la reiterazione di tali telefonate ed escludano la possibilità di richiamare uno stesso numero ripetutamente entro un periodo di 30 giorni.

In caso di mancato adempimento alle misure prescritte la società rischia una sanzione amministrativa che va da 30mila a 120mila euro.

Vietate le telefonate promozionali verso numeri tratti da albi professionali senza il consenso preventivo dell’interessato. I dati personali dei professionisti pubblicati sugli albi professionali possono essere utilizzati per telefonate commerciali solo se le offerte proposte sono strettamente funzionali all’attività svolta dal professionista, in caso contrario è necessario il previo consenso dell’interessato.

È quanto emerge da un recente divieto del Garante privacy che ha dichiarato illecito l’utilizzo da parte di una società di telemarketing dei dati personali di un avvocato che si era rivolto all’Autorità lamentando l’invadenza delle chiamate promozionali che lo raggiungevano sul luogo di lavoro.

In particolare, il legale aveva evidenziato come la presenza del proprio recapito telefonico nell’albo degli avvocati costituisse un obbligo di legge e non implicasse alcun consenso a ricevere offerte promozionali via telefono. Al contrario, l’utente era anche iscritto al Registro pubblico delle opposizioni.

Davanti al Garante la società si è difesa affermando che le promozioni proposte (piani tariffari di telefonia per professionisti) riguardavano l’attività professionale dell’utente e che quindi si trattava di un lecito utilizzo dei dati estratti da un albo professionale consultabile da chiunque. Il Garante ha tuttavia riscontrato che l’offerta commerciale era generica e non “direttamente funzionale” alla professione forense, non poteva pertanto giustificare un eventuale esonero dall’acquisizione del consenso.

Con questo divieto l’Autorità ha ribadito che senza esplicito consenso i recapiti telefonici dei professionisti non possono essere usati per proposte commerciali non strettamente attinenti all’attività lavorativa della persona contattata, anche se estratti da un elenco pubblico, come un albo professionale.

Il Garante ha inoltre ricordato che tutte le società di telemarketing sono tenute a verificare che gli utenti che contattano non abbiano espresso la propria contrarietà a ricevere telefonate commerciali attraverso l’iscrizione al Registro delle opposizioni.

Cresce l’attenzione sull’attività del Garante volta a contrastare il cosiddetto “marketing selvaggio”, termine volto ad indicare l’insieme di pratiche promozionali rivolte al singolo cittadino: telefonate, email, fax, sms.

In seguito all’aumento di segnalazioni relative alla mancata osservanza del diritto di opposizione dei cittadini iscritti al Registro, il Garante ha annunciato che l’attività ispettiva e sanzionatoria del prossimo semestre porrà un’attenzione particolare al telemarketing.

In particolare verranno attuati procedimenti relativi all’omessa informativa, al trattamento illecito dei dati, alla mancata adozione di misure di sicurezza, al mancato adempimento ai vari provvedimenti del Garante.

L’attività ispettiva prevede 225 accertamenti, cui si aggiungeranno quelli conseguenti a segnalazioni e reclami presentati.

Per maggiori informazioni si rimanda alla comunicazione sul sito del Garante.

Il Garante per la protezione dei dati personali è intervenuto nuovamente sulla regolamentazione delle comunicazioni aziendali a carattere pubblicitario con un provvedimento generale (pubblicato sulla G.U. n. 153 del 4 luglio) adottato per assicurare ai cittadini maggiori tutele contro i contatti commerciali indesiderati.

L’intervento dell’Autorità fa seguito a numerose segnalazioni da parte di cittadini che continuavano a ricevere telefonate commerciali nonostante avessero iscritto le proprie utenze al Registro delle opposizioni ed è volto a responsabilizzare maggiormente le aziende.

In particolare, il provvedimento si rivolge a tutte le aziende che si avvalgono di agenzie o altre imprese per la promozione o la commercializzazione della loro attività e stabilisce che le aziende committenti debbano rispondere sempre in prima persona dei trattamenti dei dati e degli eventuali illeciti compiuti.

Dalle indagini compiute dal Garante risulta infatti che molte aziende si avvalgono di società in outsourcing per le attività promozionali, ma definiscono esse stesse gli obiettivi, le strategie commerciali, le istruzioni operative e la modulistica necessaria. Pertanto, in questi casi, le agenzie esterne non possono in alcun modo essere considerate come autonomi titolari del trattamento.

Tale titolarità rimane dunque in capo alle società committenti che rispondono di ogni illecito eventualmente commesso, nonché della mancata nomina quali responsabili delle aziende affidatarie dei servizi.

Il Garante pertanto prescrive alle società che commissionano all’esterno l’attività di promozione ma ne mantengono di fatto il controllo operativo, l’obbligo di designare formalmente responsabili del trattamento i promoter di cui si avvalgono.

Le nuove prescrizioni consentiranno di identificare con certezza gli autori di eventuali illeciti, garantendo maggiore tutela ai cittadini.

Il decreto legge recante “Prime disposizioni urgenti per l’economia”, c.d. “decreto sviluppo”, esaminato dal Consiglio dei ministri il 5 maggio scorso e ancora suscettibile di modificazioni, che molto ha fatto discutere per le disposizioni concernenti le concessioni sulle spiagge, contiene anche alcune rilevanti modifiche al Codice per la protezione dei dati personali.

Di seguito, una breve sintesi delle principali.


Dati di persone giuridiche, enti o associazioni

Nel nuovo art. 3-bis si prevederebbe (il condizionale è d’obbligo) che il trattamento dei dati personali di persone giuridiche, enti o associazioni nell’ambito di comunicazioni fra questi soggetti e per finalità amministrativo-contabili, non sia più soggetto all’applicazione del Codice. Non verrebbe, dunque, sottratto all’ambito di applicazione del Codice qualunque dato concernente persone giuridiche, pubbliche o private, ma solo i dati:

1) concernenti persone giuridiche, enti, pubblici o privati, associazioni

2) trattati per comunicazioni fra questi soggetti

3) per finalità amministrativo-contabili.

Quindi, per esempio, i dati relativi alla fatturazione comunicati fra imprese per finalità amministrative.

Si tenga presente che la direttiva europea 46/95/CE si applica solo ai dati relativi a persone fisiche, e che una scelta diversa era stata effettuata dal legislatore italiano nel 1996.


Curricula di chi cerca lavoro

I curricula spontaneamente inviati da chi cerca lavoro non richiederebbero l’informativa del titolare, se non al primo contatto successivo all’invio del curriculum, anche in forma orale. Non sarebbe più necessario, in questi casi, il consenso di chi ha inviato il cv, anche se questo contenesse dati sensibili.


Consenso nei rapporti fra imprese

Non sarebbe più necessario il consenso alla comunicazione di dati fra imprese (in ambiti specificati) per finalità amministrativo – contabili.


Misure di sicurezza

I titolari che trattano come unici dati sensibili o giudiziari quelli relativi ai propri dipendenti e collaboratori, nonché ai coniugi e ai parenti di questi ultimi, non sarebbero tenuti alla compilazione del documento programmatico per la sicurezza, ma potrebbero ricorrere ad un’autocertificazione.

Il d.p.s., se i dati trattati non sono sensibili, non è dovuto neanche oggi e quindi è pleonastica la menzione che ne fa il decreto in questo caso.

L’autocertificazione, si ricorda, comporta comunque rilevanti conseguenze sul piano della responsabilità, anche penale.

Il Garante potrebbe semplificare ulteriormente in materia di sicurezza.

Sono precisate le finalità amministrativo-contabili nel nuovo art. 34-comma 1 ter.


Comunicazioni commerciali indesiderate

Come già per le comunicazioni telefoniche, il consenso non sarebbe più necessario e si estenderebbe il sistema dell’opt-out, con relativo registro delle opposizioni, anche alle comunicazioni postali.

telephone_hipstaIl Garante per la privacy è nuovamente intervenuto sulla questione del telemarketing, stabilendo l’obbligo per le società telefoniche di informare i nuovi e i vecchi abbonati sulle modalità di iscrizione al Registro delle opposizioni, conosciuto anche come Robinson list, ovvero l’elenco degli utenti che negano l’uso del proprio numero telefonico agli operatori di telemarketing.

Come abbiamo già riportato, con l’attivazione del Registro, istituito dal DPR 178/2010, l’Italia è entrata nel regime di opt-out per le telefonate commerciali il quale prevede gli operatori di telemarketing possano telefonare senza bisogno di autorizzazioni a tutti gli utenti non iscritti al Registro pubblico delle opposizioni.

Per informare adeguatamente i cittadini il Garante ha sancito che, alla prima occasione di contatto (stipula di nuovi contratti, fatture, comunicazioni di servizio), le compagnie telefoniche dovranno inviare ai propri utenti un’informativa che illustri le modalità attraverso le quali è possibile registrare il proprio numero telefonico sulla Robinson list: per posta, tramite numero verde, via mail, via fax, direttamente sul sito web.

L’obbligo di informare gli utenti è stato sancito da un provvedimento in corso di pubblicazione sulla Gazzetta Ufficiale.

Ricordiamo che l’iscrizione al registro delle opposizioni può essere effettuata solo dalle utenze telefoniche pubblicate sugli elenchi pubblici (pagine gialle e pagine bianche), quindi i numeri di cellulari e i numeri non presenti sugli elenchi non possono richiedere il blocco totale delle chiamate di telemarketing in entrata.

Se dopo 15 giorni dall’iscrizione sul registro l’utente dovesse ricevere ulteriori chiamate indesiderate può denunciare l’operatore di telemarketing al Garante o all’Autorità giudiziaria. In caso di accertata violazione del diritto di opposizione nelle forme previste dal d.P.R. 178/2010, verrà applicata una sanzione da 30 mila a 180 mila euro, che potrà raggiungere nei casi più gravi i 300 mila euro (v. articolo 162, comma 2-quater del Codice).