IL NUOVO REGISTRO DELLE OPPOSIZIONI E LE CAMPAGNE DI MARKETING
È stato pubblicato nella G.U. del 29 marzo scorso il DPR 26 del 27.01.2022 che disciplina il nuovo Registro pubblico delle opposizioni che, come è noto, è stato esteso anche alle numerazioni non comprese in elenchi telefonici pubblici ed ai cellulari, secondo quanto a suo tempo disposto dalla Legge 5 del 11 gennaio 2018.
Questo provvedimento va inserito in un quadro più ampio ed in un contesto più generale nel quale sono impegnati il nostro Garante, l’EDPB e gli altri Garanti, volto a cercare di limitare un certo tipo di marketing selvaggio.
Credo quindi che sia opportuno fare il punto non solo su questo ultimo provvedimento, ma anche richiamare l’attenzione sull’insieme delle norme, provvedimenti e decisioni che ci devono portare ad una riflessione complessiva sulle cautele necessarie per chi intende operare in questo settore. Infatti credo che sia ormai chiaro come l’obiettivo non dichiarato delle varie autorità sia quello di limitare l’uso improprio di dati a fini di marketing, dati che grazie alle nuove tecnologie circolano sempre più velocemente e spesso senza la consapevolezza da parte dei soggetti interessati.
In questa prospettiva si inquadra anche il primo incontro, tenutosi il 5 maggio, tra il Garante ed un gruppo di aziende del settore, per avviare i lavori su un codice di condotta sul Telemarketing.
Le fonti per ottenere dati da poter utilizzare sono varie, quindi partiamo da una delle principali fonti di dati, quella dei cookies.
L’USO DEI COOKIES
Uno dei campi in cui sono intervenute le modifiche più significative è stato quello dei Cookies.
Non può essere sfuggito a chi abbia osservato attentamente questa materia come lo stesso EDPB (e prima ancora il gruppo Articolo 29) nell’emanare le precedenti norme in materia di uso dei cookies avessero sottovalutato gli effetti della impostazione data alla disciplina dei cookies, che alla fine ha finito per avere l’effetto opposto rispetto a quello voluto, nella pratica rendendo più facile la circolazione incontrollata di dati.
Ricordo che fino a poco tempo fa (ovviamente premessa tutta la costruzione della informativa breve e quella estesa) si considerava ottenuto il consenso qualora un utente avesse continuato la navigazione all’interno di un sito. Questa disciplina ha ottenuto l’effetto opposto a quello desiderato: quanti sono stati i soggetti che sono andati a leggersi le informative ed effettuato la scelta se accettare o meno i cookies? Ovvio che la stragrande maggioranza degli utenti abbia continuato la navigazione senza approfondire a quali trattamenti stesse dando il consenso, il che ha reso disponibili una quantità immensa di dati “consensati”, anche se inconsapevolmente (per lo meno in relazione a finalità e scopo dei consensi forniti).
L’intervento della Corte di Giustizia nel caso Planet49 ha costretto l’EDPB prima ed i vari Garanti dopo a cambiare totalmente impostazione (per maggiori informazioni cfr la Newsletter n.2 del 2020), passando in buona sostanza da un sistema di opt-out all’attuale sistema di opt-in, in cui cioè il titolare non può più mandare cookies se non quelli tecnici (cioè quelli necessari per poter usufruire del sito) e sarà l’utente, se del caso, a scegliere se e quali cookies accettare.
Proprio per sottolineare l’importanza di questo provvedimento il piano di ispezioni del Garante annunciato recentemente non a caso prevede proprio la verifica dell’uso dei cookies.
IL NUOVO REGISTRO DELLE OPPOSIZIONI
La novità più rilevante, però come detto all’inizio è quella relativa alla nuova disciplina del registro delle opposizioni.
Cosa sia stato fino ad ora il registro delle opposizioni credo lo sappiano tutti: un elenco ove iscrivere le numerazioni fisse nei confronti delle quali non è consentito effettuare telefonate promozionali. Fino ad oggi il registro era limitato alle numerazioni presenti negli elenchi telefonici pubblici, secondo quanto disponeva il DPR 178 del 7 settembre 2010. Questa disciplina è stata modificata dalla Legge 5 del 11 Gennaio 2018, che prevede la possibilità di iscrivere nel registro tutte le numerazioni fisse e mobili, anche non pubblicate negli elenchi di abbonati. Il DPR 26 ha meglio specificato l’ambito applicativo del registro, che vale la pena di approfondire.
- Cosa è precluso
Con l’iscrizione nel registro si esercita il diritto di opposizione ai “trattamenti, mediante comunicazioni telefoniche con qualunque mezzo effettuate, sia tramite operatore, sia, ai sensi dell’articolo 1, comma 5, della legge 11 gennaio 2018, n. 5, mediante sistemi automatizzati di chiamata o chiamate senza l’intervento di un operatore oppure tramite posta cartacea, per fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale” (dpr 26/2022, art 2.2).
L’iscrizione al registro preclude quindi la possibilità di contattare telefonicamente un cliente, indipendentemente dalla circostanza che la chiamata venga effettuata con o senza operatore, né l’indirizzo del soggetto iscritto potrà essere utilizzato per invio di materiale cartaceo attraverso posta tradizionale.
- Ulteriori conseguenze della iscrizione
Con l’iscrizione sono “revocati tutti i consensi precedentemente espressi, con qualsiasi forma o mezzo e a qualsiasi soggetto, che autorizzano il trattamento delle proprie numerazioni telefoniche fisse o mobili effettuato per fini di pubblicità o di vendita ovvero per il compimento di ricerche di mercato o di comunicazione commerciale ed è altresì precluso, per le medesime finalità, l’uso delle numerazioni telefoniche cedute a terzi dal titolare del trattamento sulla base dei consensi precedentemente rilasciati.” Quindi non potranno essere contattati neanche coloro che, precedentemente al 27 luglio prossimo, avessero fornito il consenso all’invio di materiale pubblicitario ovvero a telefonate promozionali: l’iscrizione nel registro elimina di fatto tutti i consensi precedentemente espressi ed i soggetti iscritti al Registro dovranno essere cancellati dalle liste dei soggetti contattabili.
- Cosa è fatto salvo
Sono fatti salvi i consensi prestati nell’ambito di specifici rapporti contrattuali in essere, ovvero cessati da non più di trenta giorni, aventi ad oggetto la fornitura di beni o servizi, per i quali è comunque assicurata, con procedure semplificate, la facoltà di revoca. In pratica, per fare un esempio concreto, rimangono validi i consensi espressi al momento dell’adesione ad un programma loyalty, a condizione che il soggetto risulti sempre iscritto al programma stesso. Questo in quanto il Garante, nell’ambito del famoso provvedimento sulle carte di fedeltà, si era espresso in maniera molto chiara: “Per ottenere la carta di fidelizzazione e fruire dei relativi vantaggi occorre di regola accettare condizioni generali di contratto predisposte dal titolare del trattamento (di regola, lo stesso emittente della “carta”).
Poiché il trattamento di dati preordinato alla fidelizzazione in senso stretto è “necessario per eseguire obblighi derivanti da un contratto del quale è parte l’interessato” non è corretto, in questo caso, sollecitare il consenso al trattamento dei dati (art. 24, comma 1, lett. b), del Codice).
Il Garante, cioè, ha ritenuto (e questa posizione non è mai stata cambiata) che l’adesione ad un programma di fedeltà integri la conclusione di un contratto; ne consegue quindi che anche alla luce delle nuove disposizioni rimangono validi i consensi forniti all’atto della iscrizione ad un programma di fedeltà tuttora in corso, a condizione, ovviamente, che il consenso od i consensi espressi non siano poi stati revocati o modificati.
In conclusione, quindi, se nell’ambito di un programma di loyalty un soggetto ha fornito il proprio consenso (che rimane sempre indispensabile) all’invio di comunicazioni commerciali attraverso il telefono, ed il programma di loyalty è ancora in vigore, la iscrizione al registro non preclude la possibilità di invio di comunicazioni commerciali, anche attraverso il telefono.
- Cosa resta fuori dall’ambito della norma
La domanda che è stata posta è: ma alle numerazioni iscritte nel Registro si possono inviare SMS o usare altro tipo di messaggistica? La risposta è quanto meno dubbia a causa di una dizione della norma non chiarissima, che ne rende la interpretazione abbastanza complessa ed articolata.
Prima di tutto è importante richiamare la definizione di materiale pubblicitario data dal DPR 27.01.2022 n. 26 (art. 1, lettera H):
“qualsiasi forma di messaggio che è diffuso, in qualsiasi modo, nell’esercizio di un’attività commerciale, industriale, artigianale o professionale allo scopo di promuovere il trasferimento di beni mobili o immobili, la prestazione di opere o di servizi “.
La dizione “qualsiasi forma di messaggio … diffuso in qualsiasi modo” sembra ricomprendere anche SMS o altra messagistica. La stessa norma però nel successivo articolo 2 specifica quale sia l’ambito di applicazione, vale a dire “i trattamenti mediante comunicazioni telefoniche” con operatore o sistemi automatizzati “di chiamata”. In buona sostanza questo articolo riproduce quanto previsto dall’art. 1 della legge 11.1.2018 n.5, che parlava altrettanto esplicitamente di opposizione al trattamento “effettuato mediante operatore con l’impiego del telefono nonché, ai fini della revoca di cui al comma 5, anche mediante sistemi automatizzati di chiamata o chiamate senza l’intervento di un operatore, per fini di invio di materiale pubblicitario o di vendita diretta “.
A questo punto diventa dirimente la definizione di “chiamata”, che è data dal codice privacy italiano all’articolo 121, 1-bis, lettera b, secondo cui chiamata è “la connessione istituita da un servizio di comunicazione elettronica accessibile al pubblico che consente la comunicazione bidirezionale”.
Ultimo aspetto rilevante, lo stesso codice, all’art 130, nel dettare le regole per le comunicazioni commerciali, disciplina separatamente le “chiamate” (con o senza operatore, art 130.1) rispetto “alle comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo” (art. 130.2). Lo stesso codice, cioè, distingue nettamente e chiaramente il messaggio veicolato tramite normale chiamata telefonica (che sia con operatore o con sistemi automatizzati) rispetto agli altri tipi di messaggistica, quindi considerando come due fattispecie diverse, le “chiamate” rispetto alla messaggistica.
Alla luce di questo intreccio di norme la prima conclusione cui sembra poter arrivare è che, essendo l’ambito di applicazione definito dall’articolo 2.2 limitato ai trattamenti effettuati “mediante sistemi automatizzati di chiamata o chiamate senza l’intervento di un operatore oppure tramite posta cartacea”, siano esclusi dal divieto gli SMS o gli altri tipi di sistemi di messaggistica.
Però, per completezza di esposizione, c’è un ulteriore aspetto da considerare. L’articolo7.6. del DPR 27.1.2022 n. 26 stabilisce quanto segue: “L’iscrizione al registro preclude qualsiasi trattamento degli indirizzi postali contenuti negli elenchi di contraenti e delle numerazioni nazionali fisse e mobili da parte degli operatori per fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, effettuato mediante l’impiego del telefono oppure mediante posta cartacea, fatto salvo quanto previsto dai successivi commi”. In questo comma, cioè, il legislatore sembra aver dato una norma onnicomprensiva, di chiusura, in quanto considera precluso qualsiasi trattamento per l’invio di materiale pubblicitario, ecc, “effettuato mediante l’impiego del telefono”, non limitando quindi il divieto alle sole chiamate, ma (sembra) allargandolo all’invio di comunicazioni commerciali comunque effettuate attraverso il telefono.
La conclusione che se ne può trarre, quindi, è la seguente: ci sono sicuramente motivi per ritenere la norma limitata alle sole chiamate ed all’invio di posta cartacea; tuttavia il testo dell’art. 7.6, sommato all’attuale atteggiamento dell’Autorità che descrivevo all’inizio, volto cioè a cercare di limitare il più possibile attività di marketing selvaggio, inducono ad una interpretazione più restrittiva ed ad una debita cautela. Quindi il consiglio è di utilizzare SMS e altra messaggistica solo nei confronti di chi sia iscritto ad un programma di loyalty tuttora in vigore e, nell’ambito di tale iscrizione, abbia espresso un consenso, debitamente e chiaramente informato, sull’invio di comunicazioni commerciali, eliminando invece quei soggetti che non si trovino in tali condizioni e che si siano iscritti nel Registro.
- Una ulteriore cautela
C’è da aggiungere una ulteriore cautela: una delle App di messagistica più usate è, notoriamente, WhatsApp, che però ha una particolarità: se non usata in maniera appropriata, l’utente di Whatsapp che riceve un messaggio ha la possibilità di vedere i numeri di cellulare di tutti gli altri utenti cui sia stato inviato lo stesso messaggio. Occorre quindi usare le tecniche del caso per evitare che in questo modo vi sia una diffusione non autorizzata di dati personali.
LE ATTIVITÀ DI CO-MARKETING E L’ACQUISTO DI LISTE
Altro fenomeno da poco entrato nel mirino del Garante è quello del c.d. co-marketing, ovvero delle attività di promozione commerciale che un soggetto (il partner) svolge per conto di un terzo (il committente).
Lo schema è semplice: il partner mette a disposizione le proprie liste di soggetti che hanno fornito il consenso ad attività promozionali e di marketing, anche di terzi, ed effettua attività promozionali a favore del committente. Il committente quindi, senza che vi sia comunicazione o cessione di alcuna lista, conclude con il partner originario titolare un accordo per cui quest’ultimo contatta i propri clienti veicolandogli un messaggio da parte del committente stesso, chiedendo di potergli passare il numero per essere contattato e per poter usufruire di una offerta o promozione particolare. Al committente vengono passate esclusivamente le numerazioni di coloro che abbiano accettato di essere contattati. I profili di attenzione rispetto a questo tipo di accordi sono vari, e molto ben esplicitati nella recente decisione nei confronti di SKY Italia che con vari partner aveva stipulato accordi di questo tipo, finalizzati cioè a contattare direttamente i potenziali clienti che avessero espresso il loro consenso (Provvedimento del 16.09.2021, d.w. 9706389).
Le violazioni contestate dal Garante sono state varie ma le più rilevanti, a nostro avviso, sembrano due.
La prima consiste nella omissione di controlli adeguati rispetto alla validità del consenso fornito dai soggetti da contattare; la seconda nel considerare il committente come titolare del trattamento, con la conseguenza che al titolare competono tutti gli obblighi previsti dal Regolamento 2016/679.
Partiamo da quest’ultima contestazione. La tesi sostenuta da SKY su questo aspetto è stata che i soggetti cui facevano capo le liste dei contattati operavano in autonomia su tali liste e quindi come titolari autonomi, essendo stati questi soggetti (i partner) ad aver definito modalità di raccolta, registrazione e trattamento dei dati. SKY, cioè il committente, era stato del tutto estraneo alla creazione ed alla gestione di tali archivi di dati ed il partner di co-marketing, in quanto autonomo titolare, ne era pienamente ed unicamente responsabile.
A questa obiezione ha risposto il Garante indicando che:
- i partner trasmettono SMS promozionali promuovendo i servizi/prodotti del committente;
- per poi comunicare al committente stesso i dati dei soggetti che avevano accettato di ricevere un contatto da quest’ultima;
- operando con questa modalità i partner avevano in sostanza accettato di effettuare trattamenti per conto del committente (nel caso specifico SKY) che, quindi, doveva considerarsi quale titolare di tutti tali trattamenti.
Per quanto riguarda invece i controlli sulle liste, in base al principio di accountability incombe sul committente l’onere di verificare che i soggetti contattati siano stati adeguatamente informati in merito alle operazioni promozionali ed abbiano quindi rilasciato un adeguato consenso.
Ad analoghe conclusioni il Garante è giunto in un altro caso (Provvedimento del 25.11.2021, d.w. 9736961). Si tratta di un caso che ha una fattispecie fattuale molto più complessa sia per il numero di soggetti coinvolti che per la circostanza che alcuni di tali soggetti operavano in Italia, ma erano società ma con sedi all’estero (Svizzera, Florida), fuori dallo SEE.
A parte quindi questa insita complessità, la situazione di fondo in questo caso è del tutto analoga al precedente: si trattava cioè di aver affidato ad alcuni partner una campagna promozionale sui soggetti inclusi nei loro archivi ed asseritamente “consensati”.
Richiamando la responsabilità del committente in questo tipo di operazioni, il Garante ha sottolineato che, in materia di trattamento di dati personali, le semplici garanzie contrattuali non sono sufficienti e non possono esimere chi commissiona una campagna promozionale dal controllo della esistenza e della validità del consenso.
Per quanto riguarda invece il ruolo del committente, il provvedimento del Garante è lapidario sul punto: “il committente di una campagna promozionale, indipendentemente dalla materiale apprensione dei dati, deve ritenersi titolare del trattamento avendo in concreto determinato le decisioni in ordine alle finalità e modalità del trattamento stesso.”
Le conclusioni che se ne possono trarre sono varie. La prima è che, nell’affidare ad un partner terzo un simile compito, è fondamentale svolgere controlli approfonditi sulle liste e, soprattutto, sulle modalità con cui è stato ottenuto il consenso. Questo comporta una duplice verifica: da una parte che l’informativa fornita sia corretta, completa ed abbia indicato con chiarezza i consensi che vengono richiesti. Dall’altra, attraverso dei controlli a campione delle liste dei soggetti da contattare, occorre accertarsi che esistano e siano documentati i consensi dei soggetti interessati. Eventuali garanzie contrattuali non escludono l’obbligo di effettuare controlli di questa natura e non sono considerate dal Garante come esimenti rispetto a tale obbligo, che grava sul committente in base al principio di accountability.
Per quanto riguarda l‘aver qualificato come titolare chi ha commissionato la campagna promozionale, questo modifica sostanzialmente tutta l’impostazione che, fino ad oggi, è stata data a questo tipo di operazioni. Infatti, se questo schema sembrava ideale per consentire di contattare (pur non agendo come titolare) un numero significativo di nuovi potenziali clienti, la conseguenza pratica è di tutt’altra natura, in quanto se si opera come titolare (come stabilito dal Garante), vi sono una serie di obblighi e di oneri ineludibili che comunque ricadono in capo al committente.
Ricordo che nel primo caso SKY ha ricevuto una multa di oltre tre milioni di Euro (per la precisione 3.296.326,00), nel secondo il committente una multa di 200.000 euro.
Occorre quindi procedere con estrema cautela prima di imbarcarsi in accordi e schemi di questo genere, in quanto si rischia di “pagare” per errori od omissioni che siano stati commessi dai partner cui si affidano queste campagne promozionali.