Privacy&

2021/4

Luca Christian Natali

Analisi ‘multilivello’ del telemarketing indesiderato

Scarica articolo in PDF

L'analisi

 Gentilissimi Lettori,

mi è stato affidato dal Direttore Arnò l’arduo compito, ma altresì certo prestigioso e stimolante, di redigere l’editoriale di questo numero della Rivista. In particolare, mi è stato chiesto un contributo di analisi ‘multilivello’ (quindi socio-economico, oltre che giuridico, ma vedremo poi che le dimensioni coinvolte in realtà possono essere ancora più varie) del fenomeno del telemarketing indesiderato.

Ringraziando per questa preziosa opportunità, che mi consente di proporre il mio punto di vista – naturalmente/intrinsecamente diverso da quello proprio di un avvocato o di consulente privacy – e di provare a fare un po’ di chiarezza sul tema (a dispetto dei ‘fiumi di parole’ – citando il “mitico” ed incompreso duo musicale dei Jalisse – riversate sul tema), alla luce di una discreta esperienza (ultradecennale) come funzionario del dipartimento comunicazioni, reti telematiche e marketing dell’Autorità Garante, devo anzitutto osservare che, a dispetto dell’apparenza, trattasi di un fenomeno trasversale ed interessante da analizzare, pur essendo privo del naturale fascino di altri temi di grande attualità, come l’intelligenza artificiale e le sue applicazioni.

Ebbene, calandosi in quest’ottica trasversale – all’interno, ma anche al di fuori della materia della protezione dei dati – occorre inoltre far cenno, sin d’ora, ad uno dei principali ‘mali’ all’origine dello spam telefonico (o anche a mezzo e-mail, anche se in minor misura): la fase della raccolta dei dati personali dei clienti o dei c.d. prospect (potenziali clienti), mediante moduli cartacei oppure on line (a mezzo di siti web, form, blog). Informative e consensi somministrati spesso, infatti, non sono adeguati.

Si pensi alla macroscopica violazione consistente in una formula di consenso ‘omnibus’, oppure ancora ad una forma di violazione meno evidente (ma per questo più insidiosa) come quella di una richiesta unica del consenso per il marketing proprio nonché per quello di soggetti terzi, nell’ambito della quale è spesso sottesa una circolazione di dati fra società diverse per finalità promozionali. Come ricordato – forse mai abbastanza –dall’Autorità, tali vizi originari comportano – automaticamente, inesorabilmente e senza possibilità di convalida alcuna – l’illegittimità delle successive operazioni di trattamento, fra cui in particolare – per quello che più vale in questa sede – l’attività promozionale[1] o quella di profilazione finalizzata a conseguire il cosiddetto marketing ‘mirato’, quindi comunicazioni promozionali più selettive ed utili, perché – almeno in senso generale – maggiormente in linea con esperienze, gusti e preferenze degli interessati. Con un danno evidente tanto per l’impresa quanto per gli interessati!

Fra le esperienze riguardo al trattamento di dati per finalità di marketing e, più in generale, ai trattamenti di dati on line, che ritengo opportuno richiamare (con sano orgoglio che non intende degradare in vanità), ricordo l’attività istruttoria, ispettiva[2] e provvedimentale[3] condotta sotto l’esperta e saggia guida dei miei Maestri (i direttori del dipartimento reti telematiche e marketing, succedutisi nel tempo: Luigi Montuori; Roberto Lattanzi; Riccardo Acciai) relativa ai trattamenti di alcune note società: Casa.it, E-Dreams, BT, Sisal, Google (per il servizio Street View[4]), Linea Più[5], Mevaluate, Supermoney[6], Mediaworld[7], Fater[8], e, più recentemente, Tim Spa[9], nonché le 3 società di call center (Planet Group; Mediacom e Plurima), utilizzate da Tim per le proprie campagne promozionali[10]. E un rapido cenno, per l’apprezzamento dei commentatori e del mondo imprenditoriale, meritano anche le Linee Guida in materia spam del 4 luglio del 2013, ricche di semplificazioni degli adempimenti del consenso per il marketing e per la circolazione dei dati per tale finalità[11].

Va detto che ogni fenomeno, umano e non, evidentemente rischia di essere mal compreso, e quindi anche mal rimediato, se lo si considera a mo’ di isolata monade, trascurando il contesto di riferimento per i più livelli presenti: sociale, economico, politico, persino psicologico, oltre a quello – più evidente – giuridico-ordinamentale; livelli peraltro fra loro spesso strettamente collegati dal punto di vista sia logico-concettuale, sia operativo.

Le relazioni annuali del Garante, con limitato riferimento alla parte di reti telematiche e marketing, in ragione della notevolissima mole di doglianze dei cittadini quotidianamente pervenienti, classicamente iniziano con l’esposizione dell’attività di contrasto al telemarketing affermando che la medesima costituisce, giocoforza, ancora l’attività più impegnativa, in termini di tempo e risorse umane, per la nostra Autorità.

Passando all’analisi delle varie dimensioni del telemarketing selvaggio e, in particolare, guardando alla sua dimensione pratica ed operativa, non si può trascurare di annotare il crescente fenomeno del telemarketing operato non direttamente dalle varie società (soprattutto quelle del settore telefonico e del settore energetico), ma da società terze titolari di call center, monomandatari o, più confusamente, plurimandatari o ancora aspiranti a ‘girare’ i contratti da loro promossi e ‘registrati’ alla compagnia telefonica, in difetto di un previo mandato.

Il marketing rappresenta un valido ‘stress test’ per la protezione dei dati investendo anche altri collegati diritti fondamentali, come quello alla tranquillità individuale e all’‘autodeterminazione informativa’, ossia alla reale consapevolezza degli effettivi termini della proposta commerciale rispetto a mille quesiti destinati a susseguirsi rapidamente nella mente. Soprattutto quando le telefonate promozionali iniziano a susseguirsi, a ritmo quasi infernale, sui cellulari, producendo rabbia frustrata oppure ansia fobica (a seconda dell’inclinazione psicologica…), in casi per fortuna rari, ma connotati dal maggior disvalore (telefonate effettuate da operatori aggressivi e poco educati, a dispetto di reiterate chiare opposizioni al trattamento), causando una crescente inquietudine quasi pari a quella provata dai destinatari di telefonate nel film horrorThe Ring[12].

Con chi sto realmente parlando? Chi rappresenta? È reale o abusivo? Perché sanno quanto consumo? O persino il mio preciso piano tariffario? Da dove hanno preso i miei dati? Le condizioni promesse saranno rispettate nella bolletta reale che, inesorabilmente, mi arriverà, in formato cartaceo o via mail? A chi potrò rivolgermi se avessi problemi? Come potrò ricontattarli? Infine...posso sperare di non essere ‘fregato’?

Quelli suindicati sono evidentemente tutti quesiti per i quali alla qualità di ‘interessato’ si sovrappone quella (altrettanto ed, economicamente, forse ancor più rilevante) di ‘consumatore’, la cui disciplina protettiva andrebbe costantemente coordinata ed armonizzata con quella in materia di protezione dei dati, per evitare incongruenze ordinamentali. Tale prassi di contatto non è sfuggita alla nota comica Luciana Litizzetto che – nel porre opportunamente l’accento sul fenomeno delle telefonate moleste e sulla difficoltà, in molto casi, di interagire con le società telefoniche per far presente un qualunque problema[13]– ha riservato una critica non condivisibile (pur apparentemente divertente, considerato il gioco di parole utilizzate nella circostanza) al Garante, dimostrando di non aver tenuto in giusto conto il ruolo e soprattutto l’attività costante dell’Autorità in materia[14].

Ebbene, sotto l’aspetto sociologico, possiamo notare – anche in qualità di utenti/consumatori quotidianamente raggiunti da telefonate pubblicitarie (chi potrebbe davvero affermare di esserne rimasto sempre esente?) – che negli ultimi mesi le stesse vengono realizzate con modalità nuove e persino più insidiose (a dispetto del tono garbato e suadente di alcune operatrici) ossia con utenze mobili generate con sistemi voip e dunque non corrispondenti ad utenze effettivamente registrate ed assegnate, pertanto non rintracciabili nel c.d. ROC[15]. Contatti a cui ognuno di noi tende a rispondere, tanto più nell’attuale contesto di emergenza pandemica e di applicazione generalizzata (e in vero, un po’ selvaggia) dello smart working, sia in ambito pubblico sia in ambito privato, perché potrebbe trattarsi, banalmente ma con ragionevole affidamento, di colleghi di lavoro che vogliono/devono confrontarsi su determinate tematiche o procedure oppure anche, purtroppo, di un parente o amico ricoverato in ospedale perché contagiato dalla nuova peste da covid-19 (e delle sue varianti).

Ancora, sotto l’aspetto sociale e soprattutto pratico-operativo, nonché tecnico, va anche detto che il telemarketing nella sua trasversalità va ad essere alimentato dal problema dei data breach, a seguito di attacchi hacker o di azioni /omissioni disattente dei dipendenti, il che implica il furto, anzitutto, di dati anagrafici e di contatto, poi magari venduti e mischiati alle liste dei provider che poi li venderanno alle società incaricate in concreto delle campagne promozionali o, peggio, in misura massiva sul dark web.

Sotto l’aspetto economico va ricordato un concetto forse banale e tuttavia spesso frainteso, e quindi da ribadire: il telemarketing – anche ove considerato nella più rigorosa ottica dell’Autorità Garante – non è certo un’attività in sé illecita e quindi da contrastare (o contestare con le pesanti sanzioni amministrative del GDPR che, come noto, possono giungere a 20 milioni di euro o al 4% del fatturato globale annuo).

Dal punto di vista sociale e commerciale, risulta, spesso, il problema delle liste vendute dai terzi di dubbia origine, soprattutto quando sono frutto di catene successive di compravendita di tali liste, sicché è difficile individuare chiaramente l’impresa che in origine ha raccolto i dati (in che circostanza, con quale canale) e soprattutto se e come siano stati attuati i presidi della normativa privacy (con quale testo informativo ex art. 13 del GDPR; con quale formula di consenso o consensi, ove le finalità del trattamento perseguite fossero molteplici).

All’interno di tali liste emerge, con ragionevole ‘prepotenza’ (consideratane la crescente preponderanza nelle prassi commerciali), il concetto di lead generation, ossia l’azione di marketing che consente di generare una lista di possibili clienti interessati ai prodotti o servizi offerti da una o più aziende. Tale azione è mirata, come noto, a convincerli a rilasciare i loro dati in cambio d’informazioni più specifiche sul prodotto o comunque in cambio di qualcosa che possa servire loro realmente, solitamente una risorsa gratuita, e idonea ad attirare il giusto target (Lead Magnet)[16]. Si cerca così di trovare i clienti interessati, chiedere loro di indicare uno o più dati di contatto e via via costruire un database che sarà utilizzato dall’area commerciale. Una strategia di lead generation consente di generare una lista di possibili clienti interessati e quindi con forte propensione all’acquisto del prodotto o servizio offerto, con una “selezione” a monte, mediante un procedimento ad ‘imbuto’ (funnel) per cui il messaggio promozionale viene effettivamente veicolato soltanto ad alcuni consumatori, profilati grazie agli strumenti di marketing strategico[17] e soprattutto, di regola, idoneamente informati e “consensati”, tanto per le finalità di marketing quanto per quelle di profilazione non essendo due finalità tra loro sovrapponibili, pur strettamente legate.

Sempre rimanendo in ambito commerciale, i c.d. “lead” non vanno confusi con le utenze meramente referenziate, ossia utenze di parenti, amici o conoscenti, indicate – come persone possibilmente interessate alla medesima offerta commerciale – da clienti o da prospect, per quanto detto sopra legittimamente presenti nelle liste di contattabilità e infatti raggiunti dalle telefonate promozionali[18].

Per queste utenze va ricordato che il “legittimo interesse non può surrogarein via generaleil consenso dell’interessato quale base giuridica del marketing” e che il Regolamento stesso[19] lo ammette, in una prospettiva prudente e necessariamente comparativa e per il tramite di una disposizione ben chiara e non fraintendibile, solo “a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali”.

Dal punto di vista giuridico, abbiamo già detto che rilevante nodo problematico è quello della raccolta dei dati a mezzo cartaceo e, tanto più, on line, mediante siti web, blog o forum (spesso gestiti da società estere) e, con specifico riferimento al consenso privacy, i banner pop-up[20]. A tale aspetto si lega infatti strettamente quello della successiva circolazione dei dati verso società commerciali o list provider che, inesorabilmente, fanno viaggiare ancora i medesimi dati. Ciò determina, evidentemente, l’aggravarsi del problema dell’effettiva controllabilità della comunicazione e del perimetro della circolazione e peraltro con un probabile deficit di ‘qualità’ dei dati (in termini di originaria esattezza e soprattutto di mancato aggiornamento nel tempo), che comporterà trattamenti sempre meno corretti.

Bisognerà allora che anzitutto l’impresa cessionaria dei dati – e, in seconda battuta, l’Ufficio del Garante in sede di verifica – controlli attentamente (e, per essere effettivamente accountable, conservi per poter esibire agli interessati che ne facciano richiesta nell’esercizio dei loro diritti) i file di log della presunta originaria registrazione, ma anche le formule utilizzate al tempo per il rilascio dell’informativa e per l’acquisizione del consenso[21].

Non può trascurarsi un cenno anche alla possibile dimensione politica del marketing (tradotto in telefonate, o anche sms, e-mail o messaggi WhatsApp), che tende a prendere vita soprattutto a ridosso delle consultazione elettorali e referendarie, anche perché dobbiamo necessariamente considerare che siamo in un’era di orientamenti ed opinioni civili e politici del tutto liquidi e mobilissimi, persino in ‘stato gassoso’ (vuoto, inconsistente) come direbbero i politologi, in un contesto di partiti particolarmente deboli e poco autorevoli. (“Penso al distacco dei partiti rispetto alla società, derivante dall’appiattimento dei partiti sulla gestione del potere, dalla perdita di ogni riferimento a valori e idealità, dalla tendenza ad una loro trasformazione da partiti di programma a strumenti dispensatori d benefici e di privilegi”, osservava, condivisibilmente quanto chiaramente, la Prof.ssa Ginevra Cerrina Feroni già nel 2012[22]), nonché di evidente crisi democratica (alimentata, e persino esasperata, dall’attuale emergenza pandemica)[23]. Un contesto in cui, peraltro, la propaganda politica (soprattutto mediante i canali social e talora con l’impiego virale di fake news) può trovare ampio spazio ed efficacia operativa spostando gli exit poll e soprattutto cambiando – in modo repentino quanto imprevedibile – persino gli esiti stessi delle consultazioni elettorali nazionali ed europee. E in siffatto contesto emerge ancora più rilevante l’esigenza che i messaggi di propaganda politica si muovano dentro una cornice ben definita di principi, regole e limiti.

Poi va detto che l’attività di controllo del Garante nel settore del telemarketing comporta un notevole sforzo di bilanciamento, che forse è in questo caso apparentemente meno plastico e palpabile rispetto ad istituti tradizionali del bilanciamento come il diritto all’oblio o il diritto alla salute. Infatti, per il telemarketing vengono in rilievo, da un lato, libertà economiche e sociali come l’attività d’impresa, quella commerciale e quella lavorativa; dall’altro, naturalmente ed inevitabilmente contrapposte, troviamo non solo il diritto alla protezione dei dati ma altri fondamentali diritti della persona come il diritto alla tranquillità individuale, domestica e familiare; e ancora, persino il diritto alla salute, ossia all’integrità psicofisica, in alcuni rari casi di comunicazioni reiterate notturne e maleducate rivolte a soggetti fragili.

L’approccio del Garante è stato negli ultimi anni di tipo anche ‘pragmatico’ (avrebbe condivisibilmente detto la Dott.ssa Augusta Iannini[24]), anche sulla scia di interventi ad hoc in funzione ermeneutica quanto applicativa della materia, con notevoli ed utili semplificazioni[25], talora anche di per sé praeter legem, ossia atte a rimediare a storture e problematiche concrete discendenti da un’interpretazione strettamente letterale del Codice Privacy (v. in particolare l’art. 130). Ciò, cercando di comprendere anche le esigenze operative delle imprese che – non può certo trascurarsi – danno occupazione, pur spesso precaria e non adeguatamente remunerata[26] e sostegno, rilevante e concreto, alla crescita economica e che hanno, più in generale, la necessità di confrontarsi e dare attuazione coerente ed efficace alla miriade di norme legislative ed amministrative che nell’ordinamento italiano si sovrappongono, in modo sempre più compulsivo e disorganico, spesso non dimostrando sufficiente e reciproca conoscenza dei vari ordinamenti settoriali e delle connesse ineludibili esigenze su cui vanno ad impattare.

Provando a metter a fattor comune (individuandone i tratti salienti) i recenti e impattanti provvedimenti in materia di marketing indesiderato, possiamo ben dire che il Garante ha valorizzato i principi di accountability e privacy by design e responsabilizzato in concreto, anche con lo strumento deterrente delle sanzioni, soprattutto le Telco e le società energetiche committenti anche rispetto all’intera filiera del trattamento.

È stato affermato, in modo sempre più chiaro e costante, che se godi di vantaggi rispondi delle attività che, pur fatte da altri, determinano siffatti vantaggi, e ne rispondi con misure correttive e sanzioni, non trascurando che le prime possono essere economicamente impattanti più delle seconde, dovendosi rompere così l’erroneo convincimento che siano da evitare solo le ‘multe’ del Garante. Quanto sopra peraltro – e non è affatto poco! – agevola la diffusione di una corretta cultura in materia di protezione dei dati.

Cercherò ora di dar risposta a un quesito rilevante nell’ottica della complessiva attività dell’Autorità: nonostante le crescenti nuove sfide poste dall’AI e dalle piattaforme degli Over The Top (su cui i nuovi vertici del Garante – ossia il Collegio (Pasquale Stanzione; Ginevra Cerrina Feroni; Agostino Ghiglia; Guido Scorza) e il Segretario Generale (Fabio Mattei) – hanno ritenuto condivisibilmente di attenzionare, sin dal loro insediamento, intervenendo con provvedimenti rilevanti quanto coraggiosi nel cercare di arginare alcune storture della cooperazione imposta dal GDPR), il contrasto al telemarketing può/deve essere ancora al centro dell’attenzione del Garante?

Sul punto, venendo ad una dimensione, direi, quasi psicologica del fenomeno del telemarketing, non va trascurata la potenziale lezione del menzionato diritto alla tranquillità (oltre che del “right to be alone”) lamentata, talvolta con evidente fondatezza, da alcuni interessati “tartassati” dalle chiamate promozionali indesiderate. Inoltre, può dirsi che l’Autorità Garante non sia certo andata in over-confidence, sapendo bene che – pur con l’eccezionale impegno del suo personale e, prima ancora, dei suoi nuovi vertici, ai quali spetta la definizione puntuale di obiettivi e priorità – non può farcela da sola, anche perché dispone di competenze e poteri essenzialmente amministrativi. A parte, chiaramente, la funzione ‘para-legislativa’ che si estrinseca in provvedimenti generali e linee guida, prive però quest’ultime di capacità ed effetti direttamente vincolanti e quindi di autonoma e diretta sanzionabilità in caso di violazione delle loro disposizioni.

A modesto avviso dello scrivente, sotto l’aspetto economico ma anche della politica di controllo, sarà sempre più importante impegnarsi nel contrasto al marketing indesiderato andando ad incidere sulle raccolte originarie dei dati, pur presidiando gli altri fronti d’intervento. È altresì importante capir bene, e rendere pienamente effettivi, alcuni elementi, fra loro peraltro strettamente connessi, come già chiaramente individuati ed utilizzati dall’Autorità:

  • chi ricava profitto dalle campagne promozionali deve rispondere delle eventuali violazioni, anche ove esse siano commesse da subagenti o, più in generale, dall’ultimo anello della catena del marketing;
  • bisogna prestare attenzione al flusso dei contratti e risalire dal contratto registrato e inserito nella pancia delle società fornitrice di prodotti o servizi, all’origine della raccolta dei dati e, qualora non si riesca a risalire, evidentemente saranno rimproverabili, alle medesime società, non solo le violazioni degli adempimenti dell’informativa e/o del consenso ma anche le violazioni dei principi strutturali dell’accountability e della privacy by design;
  • occorre potenziare il controllo sulle utenze chiamanti e pretendere trasparenza, magari con peculiari provvedimenti correttivi, sull’identità dei call center chiamanti e sull’ identità dei relativi committenti;
  • dunque, bisogna imparare ed applicare bene cose semplici ed apparentemente banali, ma che potrebbero risultare di grande ausilio.

 

L’intervento sul telemarketing va visto necessariamente nell’ottica complessiva dell’attività provvedimentale del Garante che è recentemente intervenuto in modo incisivo anche sui titolari pubblici e su materie sempre più nuove (come le varie applicazioni dell’AI, come i deep fake o Smart Glasses) e persino sui ‘poteri privati’ delle OTT ( Google, Tik Tok, Facebook), valorizzando coraggiosamente la propria competenza di Garante nazionale[27], legittimato ad intervenire su questioni transfrontaliere ove vi sia urgenza di farlo, anche in deroga ai noti meccanismi (e tempistiche) dell’one stop shop, con l’individuazione di una Leading Authority, competente, di regola, in via esclusiva all’adozione di provvedimenti correttivi e sanzionatori[28].

Si va dunque radicando un modello nuovo di Autorità Garante sempre più attiva, efficiente e trasversale, paladino effettivo e puntuale dei diritti e delle libertà di cittadini e consumatori. Tutto ciò, a fronte – non è un dato di poco peso – di una dotazione organica quantitativamente assai scarsa, soprattutto se confrontata con quella di altre Authorities italiane e con quella su cui possano far leva le DPA di altri Paesi europei[29].

Chiaramente l’attuale gestione della materia del telemarketing soffre anche della lungo-latenza della mancata attuazione della riforma del RPO (Legge n. 5/2018), rimasta per un tempo troppo lungo a declamare principi e direttive, senza la necessaria specificazione regolamentare (che è stata definita solo di recente, mediante uno schema di D.P.R. destinato a sostituire il D.P.R. n. 178/2010), adeguando le disposizioni attuative alle modifiche mediotempore intervenute nell’ambito delle discipline primarie. Ci si riferisce, in particolare, alle novelle introdotte dal D.L. 8 ottobre 2021 n. 139, convertito, con modificazioni, dalla L. 3 dicembre 2021 n. 205. Tali novelle prevedono, peraltro, la possibilità di iscrizione nel R.P.O. anche per le utenze mobili; la tutela anche nei confronti delle chiamate promozionali automatizzate; nonché l’azzeramento dei consensi per il marketing telefonico, precedentemente rilasciati dagli utenti, con eccezione di quelli acquisiti dai titolari nell’ambito di un contratto attivo o cessato da meno di 30 giorni.

Ma evidentemente non si può pensare che l’attuazione di tale novella, per quanto rilevante, possa bastare da sé a rimediare – efficacemente e risolutivamente – al fenomeno.

Allora come sarebbe possibile integrare e supportare l’attività del Garante?

Forse un rimedio importante ed efficace potrebbe risiedere nell’attivazione e nell’implementazione rigorosa dello strumento penale dando valore operativo alle fattispecie disciplinate dagli artt. 167 ss. del Codice Privacy, con particolare riferimento al reato di ‘trattamento illecito’. Al riguardo va ricordato che il Garante, dimostrando una coscienza lucida e pronta, già sin dall’aprile 2019, ha interessato alcune Procure in relazione ad alcune vicende istruttorie relative a telemarketing indesiderato; la definizione delle indagini presumibilmente avviate dalla magistratura, con l’ausilio operativo delle forze dell’ordine, potrebbe portare ad un contrasto nuovo del famigerato fenomeno, “…soprattutto con riferimento a società che nascono anche solo per una campagna promozionale e fanno rapidamente perdere ogni traccia, oppure sono localizzate in Paesi extra-UE”[30].

Si pensi al ruolo incisivo che potrebbero avere alcune pene accessorie, come l’inibizione all’esercizio di attività d’impresa o all’assunzione di cariche pubbliche, considerato che la sola inibizione del trattamento dei dati (e quindi dei contatti promozionali) ha spesso lasciato spazio ridotto ma fortemente rischioso per la proliferazione del ‘sottobosco’ sotteso alle campagne promozionali ‘ufficiali’ e riprodotte anche mediante passaggi pubblicitari presso i mass-media nazionali. Si pensi anche alla grande occasione (mancata dal legislatore!) di agganciare la responsabilità per illecito trattamento dei dati alla responsabilità ‘penale’ delle persone giuridiche stabilita dal D.Lgs. n. 231/2001, a causa della mancata conversione in legge di quanto stabilito dall’art. 9, comma 2, del D.L. 14 agosto 2013, n. 93[31], con il quale il Governo aveva ampliato il novero dei c.d. “reati presupposto” di cui al D.Lgs. 8 giugno 2001 n. 231, inserendovi anche i reati previsti dal Codice Privacy (artt. 167-170).

In tale ottica penalistica, certo non aiuta la recente modifica apportata dal citato decreto c.d. “Capienze” all’art. 170 del Codice, relativo al reato di inosservanza di alcuni provvedimenti del Garante (fra cui quelli di divieto, ricorrenti in ambito di marketing), ‘degradandolo’ a delitto ad evento (dannoso) necessario e peraltro punibile solo a querela di parte[32].

E a rendere ancor più complicato il quadro complessivo, che abbiamo provato a tratteggiare, non può non farsi cenno alla gestazione in corso del Regolamento e-privacy che andrà a sostituire la direttiva n. 58/2002 con riferimento al variegato mondo delle comunicazioni elettroniche, al quale il telemarketing naturalmente appartiene, con il rischio di rendere datata e superata la “neonata” riforma del RPO!

 

 

1

Le opinioni s’intendono formulate a titolo meramente personale e non impegnano in alcun modo l’amministrazione di appartenenza.

V. provv. Linea Più spa, 27 ottobre 2016 n. 439, oggetto di commento in “Servizi online: vietato obbligare l’utente al consenso per finalità promozionali”, a cura della Redazione Altalex, in www.altalex.com.

2

Svolta partecipando alle operazioni del dipartimento ispettivo dell’Autorità o del Nucleo Speciale Privacy della GdF, entrambi privati, purtroppo (considerato che ciò impone più passaggi fra Istituzioni pubbliche e dipartimenti interni al Garante stesso), del potere di comminare le sanzioni previste dal GDPR, con l’implementazione di quest’ultimo nell’ordinamento nazionale, per il tramite del D.Lgs. n.101/2018.

3

Con riferimento agli schemi di provvedimenti correttivi e sanzionatori (dal 25 maggio 2018, ai sensi degli artt. 58 e 83 del GDPR) che l’Ufficio sottopone ad intervalli regolari (di regola, settimanali) al Collegio per l’eventuale approvazione, talora supportata da modifiche ed integrazioni.

4

V. in particolare provv. 15 ottobre 2010, doc. web n. 1759972, con il quale si è prescritto a Google di informare i cittadini italiani della presenza delle Google car, chiedendo alla società statunitense di fornire ai cittadini dettagliate notizie sul passaggio delle auto, affinché potessero decidere in piena libertà i propri comportamenti ed eventualmente scegliere di sottrarsi alla “cattura” delle immagini. Per la prima volta, così, si è ritenuto di applicare – ben prima del principio di applicabilità tendenzialmente universale del GDPR (art. 3) – le norme del Codice Privacy, essendo il servizio in questione effettuato con strumenti, c.d. equipments (vetture, impianti fotografici, ecc.) situati nel territorio italiano. Alla società californiana è stato ordinato inoltre di pubblicare sul proprio sito web, tre giorni prima dell’inizio delle riprese, le località visitate dalle vetture in questione ed è stato anche imposto di nominare un proprio rappresentante sul territorio italiano al quale possano rivolgersi i cittadini per la tutela dei loro diritti: cfr. Relazione Garante, anno 2010, p. II, 2010, p. 116, in www.gpdp.it.

5

Citato in nota 1.

6

Provv. 22 maggio 2018, doc. web n. 8995274, oggetto della newsletter “Marketing: stop al pop up con il consenso incorporato”, in www.gpdp.it.

7

V. provv. 20 giugno 2019, doc. web n. 9124420, che si segnala per uno dei primo ammonimenti adottati dal Garante” in www.gpdp.it.

8

Titolare dei noti marchi: ‘Lines’, ‘Pampers’, ‘Ace’; v. nello specifico provv. 12 giugno 2019 doc. web n. 9120218, in www.gpdp.it.

9

Mi riferisco al provvedimento adottato dal Garante il 15 gennaio 2020 n. 7, doc. web n. 9256486, nei confronti di Tim S.p.a., che contiene, oltre alla sanzione più elevata nella storia del Garante italiano (circa 28 milioni), ben 20 misure correttive.

10

V. newsletter del 27 aprile 2021, “Telemarketing selvaggio: il Garante sanziona tre call center” (I primi provvedimenti dell’Autorità dopo quelli sulle compagnie telefoniche), in www.gpdp.it.

11

Rinvenibile in rete con il doc. web n. 2542348; testo dal carattere ‘insolitamente pragmatico’: in questi termini, v. prefazione di Augusta Iannini, per G. Busia, L. Liguori, O. Pollicino, (a cura di), Le nuove frontiere della privacy nelle tecnologie digitali (Bilanci e prospettive), Aracne editrice, 2017.

12

The Ring è un film del 2002 diretto da Gore Verbinski con Naomi Watts; si tratta di un adattamento del romanzo “Ring” di Kōji Suzuki, nonché remake del film del 1998 Ring diretto da Hideo Nakata. Il film ha avuto due sequel, anche grazie all’enorme successo riscosso ai botteghini: oltre 250 milioni di euro in tutto il mondo. Nel film, in particolare, i personaggi ricevono telefonate che preavvisano la loro morte a stretto giro, da qui il terrore provato al suono del telefono che squilla.

13

Dateci operatori in carne e ossa anche quando abbiamo noi dei casini”: era la sera del 24 ottobre scorso, in occasione della messa in onda su Rai 3 del noto programma “Che tempo che fa”.

14

Ma gli operatori telefonici come fanno ad avere il nostro numero di cellulare? Ma il Garante della privacy cosa fa? I fatti suoi?”, nell’ambito del medesimo monologo di cui sopra.

15

Ossia il Registro unico degli Operatori di comunicazione (e delle utenze telefoniche loro assegnate), previsto dalla Legge istitutiva di Agcom, 31 luglio 1997, n. 249, che ne disciplina le competenze (v. art. 1, comma 6, lett. a), e che ha la finalità di garantire la trasparenza degli assetti proprietari, la tutela del pluralismo informativo nonché la concorrenzialità del mercato delle telecomunicazioni.

16

Facebook Lead Ads: tutto ciò che c’è da sapere, su Social Agency, 26 maggio 2019.

17

Il concetto sotteso è, chiaramente, che di solito sono molti i potenziali clienti (lead) che vengono a contatto con un determinato brand, ma sono invece pochi quelli di loro che giungeranno a terminare il processo d’acquisto.

18

V. provv. Tim spa, 15 gennaio 2020, cit,, ove, con riguardo a siffatte utenze, la Società ha dichiarato che “…ai partner è vietato contrattualmente l’utilizzo di liste di contattabilità autonomamente reperite e non autorizzate da TIM”, tuttavia “…nel corso del contatto utile con la linea…presente nella lista di contattabilità fornita da TIM, può avvenire che la persona contattata richieda di essere richiamata su un’altra numerazione oppure indichi un’altra persona del nucleo familiare a cui rivolgersi per l’offerta in questione, fornendone la numerazione [c.d. referenze]…”. Sempre con riferimento alle “chiamate fuori lista”, TIM ha affermato che queste “…non possono essere note alla Società in quanto eseguite dai partner tramite i loro sistemi telefonici/CRM…” se non quando “il cliente/prospect accetti l’offerta commerciale, [che] viene tracciata obbligatoriamente nel sistema di ‘Verbal Order’” … di TIM (cfr. pp. 7 e 8, riscontro 14/3/2019). Ciò sia che la numerazione contattata derivi dalle liste di contattabilità fornite dalla Società, sia se rientri fra i c.d. “fuori lista”.

19

Come già la direttiva 95/46/CE all’art. 7, comma 1, lett. f).

20

V. provvedimento 25 maggio 2018, vs Supermoney spa, cit.

21

V. anche qui provv. Supermoney spa, cit.

22

Nel suo commento a P.L. Petrillo, Democrazia sotto pressione. Parlamento e lobby nel diritto pubblico comparato, Milano, 2011, in www.rivistaianus.it.

23

Al riguardo, con esemplare limpidezza, v. ancora: Ginevra Cerrina Feroni, vice Presidente del Garante, “Il Green pass? Così è un pericolo!” (intervista a cura di F. Dragoni, in La Verità, 5 luglio 2021.)

24

Esimia giurista ed esperto magistrato, con incarichi prestigiosi presso il Ministero di Grazia e Giustizia, nonché Vicepresidente dell’Autorità Garante. Per l’individuazione di riferimento del contributo, v. nota n. 11, suindicata.

25

V., in particolare, quelle contenute in particolare nelle Linee Guida in materia di spam, 4 luglio 2013, con riguardo alla possibilità di inviare comunicazioni promozionali con varie modalità, a fronte di un unico consenso per la finalità di marketing, oppure ancora alla possibilità di comunicare cedere dati personali a soggetti terzi, autonomi titolari del trattamento, anche ove appartenenti a diverse categorie merceologiche, chiaramente indicati nell’informativa privacy, a fronte di un unico consenso per la comunicazione a terzi per le loro finalità promozionali.

26

Si veda al riguardo il paradigmatico riferimento cinematografico al film “Tutta la vita davanti”, del 2008 diretto da Paolo Virzì, liberamente ispirato al libro Il mondo deve sapere, di Michela Murgia, Einaudi, 2017. Si tratta di una commedia agrodolce sul precariato raccontata attraverso il mondo dei call center. Marta (Isabella Aragonese), appena laureata con lode in filosofia, partecipa a un concorso per ottenere un posto come ricercatrice; nell’attesa cerca vari lavoretti part-time, giungendo ad una azienda di call center, dove la responsabile, rigorosa e un po’ sfruttatrice delle addette, è efficacemente interpretata da Sabrina Ferilli.

27

V. intervista a Ginevra Cerrina Feroni, vice Presidente del Garante “Un primo passo, ora la piattaforma deve garantire l’efficacia delle regole”, a cura di Valentina Errante, Il Messaggero, 4 febbraio 2021: “È un passo molto importante: per la prima volta in Europa un’Autorità garante ottiene risposte concrete da TikTok, che tra l’altro ha iI suo stabilimento principale Europa in Irlanda, su una questione centrale come l’accesso dei ragazzi che abbiano meno di 13 anni e la gestione dei loro dati”, esprimendo relativa soddisfazione riguardo alle misure annunciate da TikTok dopo l’apertura dell’istruttoria da parte dell’Authority, nel dicembre 2020, e l’intervento per via d’urgenza di gennaio 2021, in seguito alla morte a Palermo della piccola Antonella. La VicePresidente nell’occasione aggiungeva: “Credo che sia solo un primo passo, importante, ma non risolutivo. Diciamo che è l’inizio di un lavoro da fare. Noi vigileremo sugli accertamenti e saremo i primi a verificare e a monitorare l’applicazione di queste regole e la loro efficacia. Ci aspettiamo che vengano anche utilizzati algoritmi per verificare l’età dei ragazzi”.

28

Fatto salvo il contemperamento, talora nella prassi non ben valorizzato dalle varie DPA, affidato ad istituti, come le (eventuali) ‘obiezioni pertinenti e motivate’ delle altre DPA (v. art. 56 ss. del GDPR).

29

Lacuna organica in parte risolta della legge n. 205/2021, pubblicata sulla Gazzetta ufficiale n. 291 del 7 dicembre 2021 ed in vigore dall’8 dicembre 2021, finalizzata alla conversione in legge, con modificazioni, del decreto-legge 8 ottobre 2021, n. 139 (c.d. decreto Capienze). Purtroppo, come noto, il medesimo provvedimento si segnala anche per un impatto negativo sul ruolo del Garante, ed in particolare sulle procedure che ne caratterizzano l’intervento nell’ambito della dimensione pubblica.

30

V. Relazione annuale Garante riferita al 2019, p. 119, in www.gpdp.it.

31

Recante “Disposizioni urgenti in materia di sicurezza e per il contrasto della violenza di genere, nonché in tema di protezione civile e di commissariamento delle province”.

32

Il testo novellato così dispone: “Chiunque non osservando il provvedimento adottato dal Garante […] arreca un concreto nocumento a uno o più soggetti interessati al trattamento, è punito a querela della persona offesa con la reclusione da tre mesi a due anni.”