privacy

Telemarketing: profilazione e classificazione dei dati nel nuovo Codice di Condotta



Indirizzo copiato

Nel nuovo Codice di Condotta per il trattamento di dati personali svolti nel contesto delle attività di telemarketing e teleselling sono presenti nuove definizioni sulla classificazione e profilazione dei dati: ecco cosa cambia e quali sono i vantaggi

Pubblicato il 26 mag 2023

Chiara Benvenuto

Associate Dipartimento Data Protection Rödl & Partner



call-centre-gda1102b17_1920

Il Garante per la protezione dei dati personali ha di recente approvato, ai sensi degli articoli 40 e 41 del GDPR, il Codice di Condotta per il trattamento di dati personali svolti nel contesto delle attività di telemarketing e teleselling, promosso da associazioni rappresentative di committenti, call center, teleseller, list provider e associazioni di consumatori.

Oltre ai nuovi obblighi per il monitoraggio della filiera e la garanzia della privacy degli utenti, sono presenti nuove definizioni sulla classificazione e profilazione dei dati. Proviamo nel seguito ad individuare le modalità di trattamento e gli effettivi vantaggi per i titolari.

Il concetto di profilazione tra GDPR e nuovo Codice di Condotta telemarketing

    Notoriamente, ai sensi dell’art. 4 GDPR, per profilazione si intende “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”.

    Trattasi di quell’attività di elaborazione automatizzata che consente a titolari e responsabili di orientare le proposte di beni e servizi tenuto conto delle abitudini e delle preferenze dei soggetti destinatari, utenti prospect o contraenti in costanza di rapporto, in questo modo ottimizzando gli investimenti in termini di engagement della clientela. È, peraltro, il meccanismo impiegato da alcune tipologie di cookie presenti sulle properties digitali, su cui risulta basarsi buona parte delle campagne di digital advertising.

    Ma la profilazione è anche altro: come la clusterizzazione della clientela per rischio d’insolvenza operata dagli istituti di credito o dai fornitori di pagamento, come l’elaborazione di percorsi terapeutici personalizzati nell’ambito sanitario.

    Il concetto di profilazione viene, poi, ulteriormente menzionato dal GDPR all’art. 22 – “L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona” – che ne delinea le corrette modalità di svolgimento, prescrivendo ai titolari l’acquisizione del consenso espresso dell’interessato, salvo il caso di necessaria esecuzione di un contratto nell’interesse di questi o esplicita previsione di legge al riguardo.

    La definizione viene oggi espressamente richiamata e trascritta dal nuovo Codice di Condotta per attività di telemarketing e teleselling, applicabile a tutte le attività di trattamento dei dati personali effettuati, da soggetti operanti in territorio italiano o estero, per promuovere e/o offrire beni o servizi, tramite il canale telefonico, a soggetti ubicati nel territorio dello Stato italiano, ad esclusione delle promozioni in app e del digital advertising, nonché dei contatti telefonici con finalità esclusivamente limitata alla rilevazione del grado di soddisfazione della clientela, a sondaggi e/o ricerche di mercato senza alcuna finalità commerciale, e di tutte le modalità di contatto sviluppate tramite canali diversi da quello telefonico (SMS, email).

    Poco prima della suddetta citazione, tuttavia, il Codice di Condotta definisce un’altra attività di trattamento perseguibile in ambito telemarketing, similare a quella della profilazione ma non per questo uguale ed ugualmente gestibile.

    Si tratta della “classificazione”, da intendersi, per questo Codice, come “l’operazione di mera estrazione da database di macro-categorie di interessati effettuata tramite query per partizionare i dati grezzi presenti nella banca dati (ad esempio, fascia di età, genere, area di residenza, nazionalità), senza effettuare ulteriori operazioni di trattamento consistenti in attività di profilazione quali, ad esempio, lo sviluppo di conclusioni in merito ad aspetti personali relativi ad un interessato, quali preferenze d’acquisto, interessi, gusti ed abitudini, comportamenti on line, ubicazione o spostamenti”.

    Nel settore del telemarketing e del teleselling, dunque, è possibile distinguere, come operazione di trattamento a sé stante e per questo differente, la fase di estrazione del dato personale al fine della creazione di macro-cluster, di natura “grezza”, dalla fase della creazione di profili individuali contenenti informazioni relative alle abitudini e preferenze degli interessati.

    La necessaria distinzione sarebbe da presumersi dagli scopi differenti delle due operazioni: da un lato, infatti, l’elaborazione non comporterebbe l’associazione di informazioni aggiuntive e “profilanti” in capo al singolo interessato, con la conseguenza che dal dato personale e dettagliato dell’individuo il titolare riuscirebbe ad ottenere solo dei “cluster” di alto livello, ossia informazioni riferibili a categorie di soggetti (ad es. per fascia d’età, per sesso, per provenienza); dall’altro lato, invece, nel caso della profilazione, la realizzazione di un profilo individuale completo consentirebbe di formulare proiezioni sulle abitudini di acquisto e consumo, agevolando un valore aggiunto, in grado di orientare il business del titolare sulla base delle preferenze del suo target di interesse.

    E tale distinzione porterebbe prima facie ad immaginare una base giuridica idonea per la classificazione, differente da quella del consenso espressamente prevista dall’art. 22 GDPR per la profilazione.

    Una indicazione ulteriore sul punto può essere individuata nella norma del Codice di Condotta che stabilisce le istruzioni per lo svolgimento della classificazione e della profilazione.

    I requisiti per la profilazione e per la classificazione

    Come si diceva, per il GDPR (art. 22), la profilazione richiede sempre la preventiva acquisizione del consenso espresso e specifico dell’interessato, salvo i casi di deroga espressamente previsti dalla norma.

    La regola della specificità del consenso viene chiaramente confermata dal Codice di Condotta telemarketing che, all’art. 12, prevede che non è valido il consenso “c) unico per trattamenti di marketing e di marketing su dati oggetto di profilazione”, per poi fornire un chiarimento per quanto concerne la differenza operazione di classificazione.

    Prosegue infatti l’art. 12: “4. L’attività di profilazione finalizzata al marketing richiede un consenso specifico e distinto, in linea con i requisiti di cui al precedente comma 1, rispetto al consenso per l’effettuazione di attività promozionali. Non necessita di un consenso specifico e distinto l’attività di classificazione degli interessati eseguita da parte o per conto dell’aderente purché sia effettuata come descritto al precedente articolo 2, comma 2, lett. n) e non comporti in alcun modo un’attività di profilazione”.

    Il rinvio va alla definizione di “data quality”, con cui si intende l’operazione o l’insieme di operazioni, con esclusione di ogni forma di profilazione, per garantire che i dati personali trattati per finalità promozionali siano sempre esatti ed aggiornati. Tra le operazioni di data quality rientrano, a titolo esemplificativo, la messa a disposizione di liste di dati nei confronti di uno o più fornitori di servizi, ai fini dello svolgimento di attività di controllo dell’esattezza ed aggiornamento anche mediate la c.d. operazione di “deduplica”.

    Stando alla lettera del Codice, dunque, si avrebbero tre differenti attività di elaborazione dei dati.

    La prima attività sarebbe la tipica profilazione, tesa alla creazione dei profili individuali e sempre basata sul consenso dell’interessato; la seconda sarebbe la classificazione dei dati in macro-cluster ai fini di data quality, finalizzata all’aggiornamento dei dati e nel rispetto del principio di esattezza e che non richiederebbe il consenso dell’interessato, ma potrebbe a questo punto basarsi sul legittimo interesse del titolare di garantire la bontà delle liste.

    Infine, la terza operazione potrebbe sostanziarsi nella classificazione dei dati in macro-cluster di dati grezzi, per ragioni ulteriori e differenti dal controllo delle liste, per cui il Codice sembrerebbe richiedere comunque un consenso, distinto e separato dal consenso per il marketing profilato ed opportunamente anticipato da una informativa puntuale e trasparente su tali aspetti.

    La base giuridica della classificazione potrebbe infatti cogliersi nell’inciso “purché sia effettuata come descritto al precedente articolo 2, comma 2, lett. n) e non comporti in alcun modo un’attività di profilazione”: in assenza del contesto e dello scopo di cui alla precedente definizione di “data quality”, dunque, per il Codice sarebbe necessario acquisire consenso ulteriore dall’interessato, dovendosi dedurre l’insufficienza della sola assenza di scopi di profilazione dalla scelta della congiunzione “e”.

    La classificazione per gli operatori del telemarketing

    Il Codice di Condotta sembra aver testimoniato un confronto a lungo tenutosi tra gli operatori del settore del telemarketing sulla complessità delle operazioni di classificazione.

    Come si è visto, infatti, la classificazione dei dati personali può presentarsi in diverse modalità, tenuto conto degli scopi del trattamento. I titolari del trattamento possono, infatti, classificare i dati per ragioni di profilazione e di marketing orientato, così come per la creazione di cluster aggregati, per la verifica della correttezza e dell’aggiornamento dei dati, e per tante altre occasioni di elaborazione (si pensi, tra le altre cose, al significato di data classification ed alla strumentalità della classificazione dei dati nei progetti di data mapping presso gli asset aziendali per ragioni di security o di tutela delle informazioni confidenziali).

    Ognuna di queste attività, oltre a presentare scopi differenti, potrà presentare impatti diversi per gli interessati coinvolti, specie considerato il livello di dettaglio delle informazioni raccolte ed il perimetro del trattamento.

    Certamente, guardando alla disciplina principale, quella dell’art. 22 GDPR, la circostanza della produzione di effetti giuridici che riguardano l’interessato o che incidano in modo analogo significativamente sulla sua persona richiede la sussistenza del requisito del consenso espresso e specifico; circostanza che parimenti non parrebbe sussistere in occasione della mera estrazione da database di macro-categorie di interessati per classificare i dati grezzi presenti nella banca dati (ad esempio, fascia di età, genere, area di residenza, nazionalità) – in assenza della creazione di profili individuali – che quindi suggerirebbe un approccio di opportunità per i titolari nell’individuazione della base giuridica.

    Tuttavia, nel contesto di riferimento, anche tale fase di classificazione non potrebbe dirsi del tutto scevra ma uno scopo promozionale di vendita ed in qualche modo orientata alla definizione delle singole campagne degli operatori del settore: a cosa gioverebbe, infatti, la clusterizzazione dei dati per sesso, età, località agli operatori del telemarketing, se non allo svolgimento di analisi comunque strumentali all’efficientamento delle proprie piattaforme di Customer Relationship Management?

    Conclusioni

    Tenuto conto dell’obiettivo del Codice di tracciare regole di condotta uniformi per consentire agli operatori di poter contare su pari condizioni di mercato e, parallelamente, di recuperare la fiducia degli interessati e la relativa disponibilità all’ascolto, la scelta di puntualmente definire le diverse tipologie di classificazione assolve il generale obbligo di trasparenza nei confronti degli utenti, principio cardine della disciplina di settore.

    EU Stories - La coesione innova l'Italia

    Tutti
    Analisi
    Video
    Iniziative
    Social
    Programmazione europ
    Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
    Interventi
    Riccardo Monaco e le politiche di coesione per il Sud
    Iniziative
    Implementare correttamente i costi standard, l'esperienza AdG
    Finanziamenti
    Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
    Formazione
    Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
    Interviste
    L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
    Interviste
    La ricerca e l'innovazione in Campania: l'ecosistema digitale
    Iniziative
    Settimana europea delle regioni e città: un passo avanti verso la coesione
    Iniziative
    Al via il progetto COINS
    Eventi
    Un nuovo sguardo sulla politica di coesione dell'UE
    Iniziative
    EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
    Iniziative
    Parte la campagna di comunicazione COINS
    Interviste
    Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
    Analisi
    La politica di coesione europea: motore della transizione digitale in Italia
    Politiche UE
    Il dibattito sul futuro della Politica di Coesione
    Mobilità Sostenibile
    L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
    Iniziative
    Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
    Politiche ue
    Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
    Finanziamenti
    Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
    Analisi
    Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
    Politiche UE
    Innovazione locale con i fondi di coesione: progetti di successo in Italia
    Programmazione europ
    Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
    Interventi
    Riccardo Monaco e le politiche di coesione per il Sud
    Iniziative
    Implementare correttamente i costi standard, l'esperienza AdG
    Finanziamenti
    Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
    Formazione
    Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
    Interviste
    L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
    Interviste
    La ricerca e l'innovazione in Campania: l'ecosistema digitale
    Iniziative
    Settimana europea delle regioni e città: un passo avanti verso la coesione
    Iniziative
    Al via il progetto COINS
    Eventi
    Un nuovo sguardo sulla politica di coesione dell'UE
    Iniziative
    EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
    Iniziative
    Parte la campagna di comunicazione COINS
    Interviste
    Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
    Analisi
    La politica di coesione europea: motore della transizione digitale in Italia
    Politiche UE
    Il dibattito sul futuro della Politica di Coesione
    Mobilità Sostenibile
    L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
    Iniziative
    Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
    Politiche ue
    Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
    Finanziamenti
    Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
    Analisi
    Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
    Politiche UE
    Innovazione locale con i fondi di coesione: progetti di successo in Italia

    Articoli correlati

    Articolo 1 di 2