25 Mar Marketing Telefonico: nuove stringenti regole dal Garante
di Lucio Scudiero – Junior Fellow IIP – Con la pubblicazione in Gazzetta Ufficiale delle regole per il marketing telefonico, l’Autorità garante per la protezione dei dati personali ha interpretato, limitandola fortemente, la norma del decreto cd. “Milleproroghe”, con la quale il Parlamento aveva slegato – discutibilmente – una grossa parte di marketing telefonico fino alla fine dell’anno. Il carnet di prescrizioni elaborate dal Garante, per dirla con termini giuridici, ha la “cogenza di una condizione apposta sulla donazione” che il legislatore aveva elargito agli operatori telefonici.
Preliminare all’analisi delle nuove regole è il ricordare che la liberatoria inserita in emendamento dal Parlamento si riferisce alle banche dati costituite prima del primo agosto 2005, e che essa ha efficacia fino alla fine dell’anno. A ciò si aggancia il Garante Privacy laddove prescrive agli operatori, nell’ordine:
-
l’obbligo di documentare in modo adeguato l’avvenuta costituzione della banca dati prima del 1° agosto 2005 e di conservare la relativa documentazione presso la sede legale del titolare;
-
l’obbligo di comunicare al Garante di essere in possesso di banche dati costituite anteriormente al 1° agosto 2005 che si intendono utilizzare per attività promozionali fino al 31 dicembre 2009, chiarendo se il trattamento dei dati personali venga effettuato anche per conto di terzi.
Traspare, fin da queste prime previsioni, la determinazione dell’Autorità ad avere sotto controllo, in maniera puntuale e capillare, tutti i soggetti giuridici interessati a beneficiare della “finestra normativa”. E non poteva essere altrimenti, visto il contenuto ampiamente derogatorio del “Milleproroghe” rispetto alla disciplina privacy ordinaria. Si potrebbe sintetizzare che, se il Parlamento ha dettato deroghe, quantunque limitate nel tempo, alla normativa generale contenuta nel codice privacy, il Garante, a sua volta, detta per via interpretativa argini alla normativa derogatoria introdotta dal Parlamento col “Milleproroghe”.
Due regole del recente Provvedimento del Garante sono condensabili sotto altrettante categorie: quella del vincolo di destinazione e quella del vincolo di titolarità. Per le residua coppia di disposizioni, invece, si potrebbe parlare di obbligo di trasparenza e tempestività.
Ma procediamo con ordine. Vincolo di titolarità vuol dire che gli operatori hanno l’obbligo di
-
trattare direttamente i dati personali presenti nelle banche dati senza possibilità di cederli, a qualunque titolo, a terzi.
Mentre, sotto la categoria del vincolo di destinazione va iscritta la prescrizione di
-
utilizzare i dati personali presenti nelle banche dati in questione esclusivamente per finalità promozionali e sino al 31 dicembre 2009, non potendo i titolari rendere un’informativa agli interessati e richiedere agli stessi un consenso per l’uso dei loro dati per attività di carattere promozionale da effettuare in data successiva al 31 dicembre 2009.
Infine, in tema di obbligo di trasparenze e tempestività si declinano gli ordini di
-
specificare, in occasione di ogni contatto con gli interessati, chi rivesta la qualifica di titolare del trattamento dei dati, anche nel caso in cui questi operi per conto di terzi e fare presente agli interessati stessi che hanno il diritto di opporsi al trattamento, ai sensi del codice privacy;
-
registrare in via immediata l’eventuale opposizione dell’interessato al trattamento dei suoi dati personali effettuato dal titolare, con effetto anche nei confronti dei terzi per conto dei quali questo operi, anche qualora ciò avvenga telefonicamente, e fornire altresì all’interessato l’identificativo dell’operatore o dell’operazione compiuta.
Particolarmente limitante appare la norma che vieta il contatto telefonico per finalità che siano diverse dal marketing, perché prevede ed anticipa un probabile e prevedibile comportamento degli operatori: questa regola, di fatto, impedirà proprio il primo contatto degli utenti per ottenere consensi al trattamento futuro dei loro dati, cioè uno dei motivi fondamentali che sono stati alla base della richiesta di moratoria per il 2009.
Non serve pertanto una lunga analisi per accorgersi che, di fatto, queste direttive elaborate dal Garante annichiliscono una deroga del Parlamento concepita in fretta e male. Torna quindi attuale il richiamo alla ricerca di soluzioni che bilancino meglio i valori in campo, più pragmatica per i singoli e più liberale per le imprese, come è senz’altro la proposta di riforma sostenuta dall’Istituto Italiano per la Privacy, fondata sul meccanismo dell’opt-out, per cui si sostituirebbe il sistema del consenso preventivo con quello del dissenso successivo, e della “Robinson List”, un registro pubblico all’interno del quale andrebbero ad iscriversi tutti i soggetti contrari al trattamento dei propri dati personali per scopi commerciali, con l’obbligo delle aziende di consultarla periodicamente al fine di depennare dai propri database i soggetti dissenzienti.
Nel frattempo, il Garante rammenta il rischio di multe fino a 300.000 euro per le aziende che dovessero trasgredire alle strette imposizioni del Provvedimento. Tutti avvisati, dunque. Parlamento compreso.