Sono numerosi gli interventi messi in campo da parte dell’Autorità Garante per la protezione dei dati personali per contrastare il fenomeno del telemarketing selvaggio (basti pensare al Codice di condotta che regola le attività di teleselling e di telemarketing) e le continue sanzioni amministrative irrogate sono indice del fatto che molte aziende continuano a non porre la corretta attenzione su ciò che le norme, nazionali ed europee, consentono di fare.
In molti casi, gli accertamenti eseguiti dall’Autorità rilevano violazioni delle modalità di effettuazione dell’attività stessa: dall’assenza di idonee informative, alla presenza di consensi invalidi, oppure alla mancata gestione corretta dei consensi ottenuti, all’assenza di verifiche sulle liste utilizzate per le attività di marketing per non dimenticare l’errata definizione dei ruoli privacy di tutti gli attori coinvolti nel processo. Tale mera rendicontazione – non esaustiva – fa emergere come le violazioni commesse possono essere il frutto di interpretazioni fuorvianti della norma oppure errori pratici da parte delle organizzazioni.
È ben noto che le regole definite dalla normativa per l’attività di marketing da parte di terzi per finalità promozionali non sono nuove anzi si potrebbero ritenere consolidate da molto tempo, eppure risulta opportuno richiamarle soprattutto nel contesto attuale, dove la circolazione delle informazioni – i nostri dati personali che costituiscono un patrimonio e, soprattutto, un valore economico – sembra, alle volte, un “far west”.
Tra presente e passato
Prima di tutto è bene ricordare, ai sensi dell’art. 5 del Reg. UE n. 2016/679 (di seguito anche “GDPR”), che i dati personali devono essere “raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità”[1] e, come indicato nel Considerando 39 del GDPR, che “le finalità specifiche del trattamento dei dati personali dovrebbero essere esplicite e legittime e precisate al momento della raccolta di detti dati personali”.
Inoltre, nel momento in cui sia stata valutata l’applicabilità della base giuridica del consenso per l’effettuazione della specifica attività (finalità) e affinché il trattamento possa ritenersi lecito, l’art. 6, paragrafo 1, lett. a) del GDPR prevede come “l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità”. La norma pertanto è chiara e non ammette la richiesta di un solo consenso per finalità diverse.
Tale impostazione riflette già le considerazioni espresse dall’Autorità italiana sia nel provvedimento “’Fidelity card’ e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione – 24 febbraio 2005”[2] che nelle “Linee guida in materia di attività promozionale e contrasto allo spam del 4 luglio 2013”[3], doc web 2542348, (di seguito le “Linee Guida”) in cui il Garante ha sempre ribadito come il contenuto dell’informativa – rilasciata agli interessati – dovesse essere chiaro e completo, anche in relazione alle specificità delle finalità perseguite.
Marketing diretto e cessione a terzi: l’obbligo del consenso specifico
È un fatto ormai ben noto che il Titolare del trattamento debba ottenere un consenso specifico sia per l’effettuazione del marketing diretto così come per la comunicazione (e/o cessione) a soggetti terzi a fini di marketing, e che tali consensi siano preventivi, ossia rilasciati prima dell’effettuazione dell’attività stessa, e corrispondano ad una azione positiva (c.d. Opt-in).
Come si sa, infatti, e come dichiarato in svariate occasioni da parte del Garante per la protezione dei dati personali non è lecito effettuare l’attività di marketing diretto per conto proprio o per conto di terzi in assenza di un consenso specifico. Allo stesso modo, è anche illecito utilizzare i contatti di un soggetto per sollecitare il consenso al trattamento dati per finalità promozionali. Il consenso deve essere richiesto prima e, una volta ottenuto, lo stesso consente (quindi solo dopo il suo rilascio) l’effettuazione delle attività. La necessità del consenso preventivo per effettuare attività di marketing diretto trova altresì conferma nell’art. 130 del D. Lgs. 196/2003 (di seguito “Codice Privacy”).
In altre parole, il Titolare del trattamento, senza l’ottenimento di consensi preventivi specifici da parte degli interessati, non può (e non deve) inviare comunicazioni promozionali o comunicare i dati a terzi per finalità di marketing. A onor del vero, questa affermazione non tiene conto dell’eccezione del soft spam, che però non si intende in questa sede approfondire.
Gli obblighi di informativa del titolare del trattamento
Come anticipato, in materia di comunicazione (e/o cessione) a terzi dei dati personali per finalità di marketing, le Linee Guida prevedono come regola generale che il Titolare del trattamento qualora “intenda raccogliere i dati personali degli interessati anche per comunicarli (o cederli) a terzi per le loro finalità promozionali deve previamente rilasciare ai medesimi un´idonea informativa, ai sensi dell´art. 13, comma 1, del Codice, che individui, oltre agli altri elementi indicati nella norma, anche ciascuno dei terzi o, in alternativa, indichi le categorie (economiche o merceologiche) di appartenenza degli stessi (ad esempio: “finanza”, editoria”, “abbigliamento”: cfr. lettera d della detta norma)”.
Ulteriori presupposti imprescindibili per l’effettuazione dell’attività sono: (i) il rilascio di uno specifico consenso “per la comunicazione (e/o cessione) a terzi dei dati personali per fini promozionali” che sia “distinto da quello richiesto dal medesimo titolare per svolgere esso stesso attività promozionale” e, (ii) che tali terzi, destinatari dei dati personali, forniscano comunque un idoneo recapito all’interessato per poter esercitare i propri diritti, tra cui il diritto di opposizione. Questa seconda previsione, sostanzialmente, è da considerarsi “assorbita” dagli obblighi previsti dall’art. 14 del GDPR che prevede, tra le altre cose, anche la comunicazione al più tardi in occasione della prima comunicazione, dell’informativa comprensiva anche dei dati di contatto del titolare per revocare il consenso o opporsi al trattamento.
Esempi di attività di marketing da parte dei terzi
Purtroppo, capita a tutti di ricevere telefonate di marketing o comunicazioni promozionali da parte di numerosi soggetti, che spesso inducono l’interessato a porsi la seguente domanda: “come avete avuto il mio nominativo? Da parte di chi e, soprattutto, a quale titolo mi state contattando (disturbando)”?
Tralasciamo in questa sede il caso del marketing diretto effettuato dall’azienda per inviare proprie comunicazioni commerciali o offerte in virtù del consenso rilasciato dall’interessato.
Vi sono diversi e numerosi casi in cui le attività di marketing riguardano aziende diverse rispetto a quelle che hanno raccolto il consenso, tra questi casi vale la pena tenere in conto le prassi più comuni, ossia in casi in cui:
- l’azienda terza ha acquistato un database di nominativi da contattare da parte di un’altra società che ha ottenuto i consensi alla comunicazione e/o cessione dei dati a terzi.
- aziende si rivolgono a fornitori esterni per effettuare sui database di questi ultimi campagne di marketing, senza acquisire né avere accesso al database utilizzato per tale comunicazione pubblicitaria;
- la società ha richiesto un consenso “generico” per le attività di marketing e decide di cedere il contatto anche ad altri soggetti terzi per l’effettuazione di attività promozionale (prassi sbagliata, come più volte ribadito dall’Autorità);
- l’azienda contatta impropriamente per attività di marketing l’utente, senza aver ottenuto alcun consenso, semplicemente perché ha trovato il nominativo in una banca dati pubblica (prassi anche questa sbagliata);
In ulteriori casi, le attività appena descritte vengono affidate dagli stessi ai call center, fornitori esterni, che allungano in questo modo la filiera di esecuzione dell’attività.
L’obbligo di controllare l’operato dei partner: i paletti del Garante
Questi sono alcuni dei tanti casi che si possono verificare in questo contesto ed individuare correttamente i compiti e responsabilità dei singoli attori coinvolti, alle volte, non è di facile interpretazione, soprattutto in relazione alla definizione dei ruoli privacy.
Tra questi, si ritiene opportuno richiamare l’attenzione sul caso di una nota società italiana operante nel settore delle telecomunicazioni in cui il Garante, con il provvedimento n. 332 del 16 settembre 2021 [doc. web n. 9706389][4], ha valutato, tra i vari rilievi emersi, il ruolo privacy dei partner coinvolti da parte della società italiana (nella sua qualità di committente dell’attività) nel processo di effettuazione di una specifica attività di marketing. In tale contesto è stato rilevato che l’attribuzione del ruolo di Titolari autonomi del trattamento agli stessi per l’effettuazione dell’attività posta in essere non fosse conforme alla disciplina in materia di protezione di dati personali.
Come mai? Nel caso di specie l’Autorità ha rappresentato come la società italiana non potesse esimersi dall’obbligo di controllare l’operato dei partner sulla base del fatto che gli stessi operavano come Titolari autonomi del trattamento, in virtù del fatto che la lista di utenti consensati fosse stata ottenuta dagli stessi nell’ambito delle loro attività e venisse utilizzata per effettuare l’attività per conto della società terza.
In particolare, l’Autorità rileva come la campagna promozionale effettuata dai partner per conto della società italiana “non è costituita dalla mera illustrazione dei servizi e dei prodotti della Società, ma dall’invio di sms promozionali finalizzati ad ottenere un flusso di informazioni di ritorno verso questi ultimi”. Sostanzialmente i partners che trasmettono sms promozionali ai propri interessati per promuovere servizi per conto della società “operano di fatto, e a tutti gli effetti, come se fossero stati ‘preposti dal titolare al trattamento di dati personali’, dunque in piena e sostanziale aderenza alla definizione del ‘responsabile’ […] Una differente impostazione, oltre a rappresentare una marcata forzatura delle regole in materia di protezione dei dati personali laddove arbitrariamente si modificano ruoli e responsabilità dei vari soggetti che concorrono a realizzare un trattamento che invece deve considerarsi unitario, principalmente a garanzia degli interessati, renderebbe il committente della campagna pubblicitaria, […], del tutto estraneo e “irresponsabile” da scelte e processi che sono ricompresi a pieno titolo nella campagna medesima e che hanno quale unica finalità e conseguenza quella di far confluire, proprio nei database del committente, informazioni personali dei cd. “prospect” al fine di veicolare nei confronti degli stessi una articolata proposta commerciale relativa ai propri servizi.”
La difficoltà di identificare i corretti ruoli privacy
Il principio enunciato dall’Autorità nel caso sopra riportato denota come non sia così facile identificare i corretti ruoli privacy di tutti i soggetti coinvolti nel processo di trattamento, anche nel caso in cui l’attività effettiva venga effettuata dal partner munito di un proprio database di nominativi “consensati” (alla comunicazione a terzi per finalità di marketing), su mero incarico del committente nella sua veste di terzo destinatario dei dati.
Anche in questo caso, il committente, operando come parte in causa nel processo, non potrà esimersi dal compiere attività di controllo quali, a titolo esemplificativo e non esaustivo, verificare l’informativa rilasciata all’interessato da parte del partner; verificare l’idoneità dei consensi rilasciati e l’indicazione nell’informativa dei terzi cui il consenso al marketing si riferisce oppure le categorie merceologiche; assicurarsi che l’elenco o il database utilizzato sia aggiornato e che non si inviino comunicazioni promozionali a persone che si siano opposte al trattamento dei loro dati personali per finalità di marketing diretto[5]. Tali informazioni sono indispensabili per il terzo per valutare la necessità di rilasciare una specifica informativa (ai sensi dell’art. 14 del GDPR) agli interessati che contenga anche l’origine dei dati (in sostanza la fonte da cui provengono le informazioni), prima dell’invio di comunicazioni promozionali.
Pertanto, prima di ottenere da un partner un database o elenco contenente nominativi di persone oppure prima che il partner effettui per conto della società committente un’attività di marketing nei confronti degli interessati – che hanno espresso un consenso alla comunicazione dei dati a terzi -, l’azienda committente ha il dovere di effettuare le più opportune verifiche al fine di dimostrare che i dati – raccolti sebbene autonomamente dallo stesso – siano stati ottenuti nel rispetto della normativa privacy e che possono essere utilizzati per finalità promozionali.
Appare quasi ripetitivo ribadirlo ma se un’azienda ha ottenuti i recapiti di persone sulla base del consenso e la stessa li vuole comunicare a società terze, occorre che queste verifichino il consenso richiesto dall’azienda e che lo stesso riguardi specificatamente la possibilità di comunicare tali dati a terzi per finalità di marketing.
Quanto detto consente a ciascuna organizzazione, nella sua veste di terzo destinatario dei dati, di valutare le azioni contestuali e propedeutiche per effettuare l’attività nel modo corretto. Come ribadito in diverse occasioni, tale valutazione dovrà essere effettuata caso per caso anche in ragione delle specificità del contesto del trattamento, quali, ad esempio, la fonte da cui provengono le informazioni, le finalità del trattamento, i consensi rilasciati, il settore di riferimento, le liste o database utilizzati e specifiche situazioni di criticità.
Consigli per non commettere errori
Veniamo dunque al nostro consueto catalogo di riflessioni finali per non commettere errori:
- È stata analizzata nello specifico l’attività che si intende effettuare?
- Sono chiari i ruoli di tutte le parti che concorrono all’effettuazione del trattamento?
- Sono state verificate le informative rilasciate agli utenti, le informazioni inserite, anche con riguardo ai terzi o alle categorie merceologiche, o i moduli di consenso richiesti?
- È stato verificato il processo di gestione dei consensi in tutte le sue fasi?
- Sono state verificate le liste di nominativi utilizzati, la loro provenienza, la loro conformità in relazione all’ottenimento dei consensi?
- Sono stati adottati processi o procedure in grado di assicurare verifiche preliminari sul fatto che gli utenti non si siano opposti al trattamento oppure non siano registrati nel Registro delle opposizioni?
- I soggetti terzi hanno valutato la necessità o meno di rilasciare una informativa privacy per poter effettuare l’attività?
- È stata valutata come avviene la campagna promozionale, anche relativamente ai form adottati, loghi etc?
Note
[1] Art. 5, paragrafo 1, lett. b) del Reg. UE n. 2016/679.
[2] Estratto del paragrafo 6 del provvedimento del 24 febbraio 2005: “[…] devono essere poste in distinta e specifica evidenza le caratteristiche dell’eventuale attività di profilazione e/o di marketing, come pure l’intenzione di cedere a terzi specificamente individuati i dati per finalità da indicare puntualmente. Deve risultare parimenti chiara la circostanza che, per questi scopi, il conferimento dei dati e il consenso sono liberi e facoltativi rispetto alle ordinarie attività legate alla fidelizzazione in senso stretto”.
[3] Provvedimento n. 330 del 4 luglio 2013:
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/2542348
[4] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9706389
[5] Senza dimenticare che se l’organizzazione utilizza comunicazioni come la posta elettronica a fini di marketing diretto, la stessa debba rispettare le norme stabilite nella direttiva e-privacy (direttiva 2002/58/CE1).
