La normativa in merito alla protezione dei dati personali sta cambiando rapidamente a livello nazionale ed europeo. Il legislatore italiano ha di recente introdotto nuove regole in tema di privacy (anche in vista dell’imminente entrata in vigore del General Data Protection Regulation1) e il Garante per la protezione dei dati personali (“Garante”) ha adottato nuove linee guida.
1. TELEMARKETING
l 22 dicembre 2017 il Senato ha approvato una nuova legge sul telemarketing, che tutela maggiormente coloro che non desiderano ricevere telefonate a fini commerciali.
1.1 Novità in tema di Registro delle Opposizioni
Uno
dei cambiamenti più importanti introdotti dalla nuova normativa
consiste nella possibilità di iscrivere al Registro delle Opposizioni
(che contiene i numeri che è vietato contattare a scopi commerciali)
anche i numeri di telefonia mobile, nonché le
numerazioni fisse non presenti negli elenchi telefonici. Quest’ultime
numerazioni verranno inserite automaticamente nel Registro dal gestore,
sulla base delle informazioni che gli operatori telefonici dovranno
fornire periodicamente. Fino ad oggi, gli utenti potevano iscrivere in detto Registro solo i numeri presenti in elenco.
Un’altra importante novità è che la nuova normativa prevede la revoca di tutti i consensi dati in precedenza, con qualsiasi mezzo, dai nuovi iscritti al Registro,
salvo i casi in cui il consenso sia stato prestato nell’ambito di
rapporti contrattuali ancora in essere oppure cessati da non più di
trenta giorni. Analogamente è
precluso, per le medesime finalità, l’uso delle numerazioni telefoniche
cedute a terzi dal titolare del trattamento, sulla base dei consensi
precedentemente rilasciati.
| Contattare individui i cui numeri sono inseriti nel Registro costituisce una violazione della normativa da cui possono scaturire pesanti sanzioni. Le società che delegano l’attività di marketing a call center (interni o esterni) dovranno assicurarsi che il Registro sia sempre consultato prima dell’inizio dell’attività. Tali call center, infatti, opereranno come responsabili del trattamento (sotto la supervisione dell’impresa che li ha ingaggiati) e le violazioni commesse dagli stessi saranno imputabili anche a detta impresa. Di conseguenza, è consigliabile inserire nei contratti di agenzia con promoters, call center e società di marketing, clausole e garanzie adeguate. |
1.2 Consenso al trattamento a fini marketing: specificità
Anche dopo aver incluso i suoi numeri nel Registro, un utente potrà sempre cambiare idea e dare il suo consenso al trattamento dei dati personali. Tale consenso, tuttavia, non avrà mai effetti generalizzati. Anche a valle di tale consenso, la nuova legge vieta al titolare del trattamento “consentito” di comunicare, trasferire a terzi, o diffondere, i dati personali dell’interessato, per qualsiasi fine estraneo all’ambito del consenso specificamente prestato, inclusi i casi di pubblicità, vendita, ricerche di mercato, o comunicazioni commerciali relative a prodotti o servizi diversi da quelli offerti dal titolare del trattamento “consentito”.
1.3 Sanzioni
In caso di violazione del diritto di opposizione degli utenti iscritti al Registro, sono previste sanzioni che variano dai 10.000 Euro ai 120.000 Euro e, in caso di reiterazione delle suddette violazioni, le autorità competenti potranno anche disporre la sospensione o, nei casi più gravi, la revoca dell’autorizzazione all’esercizio dell’attività. Inoltre, la nuova legge prevede che il titolare del trattamento dei dati personali sia responsabile in solido delle violazioni anche nel caso di affidamento a terzi di attività di call center.
| Come previsto dalla normativa anti-corruzione, le sanzioni applicabili in caso di violazioni non si limitano a sanzioni pecuniarie, ma includono anche la revoca o la sospensione dell’autorizzazione all’esercizio delle attività. Ciò costituisce un nuovo fattore di rischio per le imprese. Come suggerito dalla Commissione Europea, è dunque consigliabile effettuare una revisione approfondita dei “contratti in essere”, degli “accordi per i trasferimenti internazionali” e della “governance complessiva” dell’impresa. |
1.4 Numerazioni specifiche per call center
In aggiunta, a seguito dell’adozione della nuova normativa, sarà possibile comprendere se una chiamata entrante proviene da un call center, dal momento che tutti gli operatori dovranno utilizzare una delle due numerazioni che l’Autorità per le garanzie nelle comunicazioni è tenuta a individuare (una per identificare le chiamate aventi finalità statistiche e l’altra per le chiamate a fini pubblicitari e commerciali).
2. DATI PERSONALI, SOCIAL NETWORK E SOCIAL SPAMMING
Secondo un recente arresto del Garante, il fatto che determinati dati personali siano resi disponibili mediante pubblicazione su social network, non significa che tali dati possano essere utilizzati da chiunque e per qualsivoglia finalità. Tale principio è stato ribadito nella decisione n. 378 del 21 settembre 2017, in cui il Garante ha chiarito che la pubblicazione di dati personali sui social network non implica che gli interessati abbiano fornito il proprio consenso al trattamento di tali dati personali per finalità diverse dalla partecipazione a tali social network2.
Nel caso di specie, la segnalazione al Garante era stata effettuata da una società di consulenza finanziaria, che si era lamentata dell’arrivo di diverse comunicazioni pubblicitarie agli indirizzi di posta elettronica dei propri promotori finanziari, da parte di una società che aveva raccolto tali dati da alcuni social network come LinkedIn e Facebook, senza aver ottenuto il preventivo consenso da parte degli interessati. Il Garante, in tal frangente, ha colto l’occasione per ribadire che lo scopo per cui un utente è iscritto a un social network non è quello di essere esposto ad attività di marketing (il cosiddetto «social spamming»), ma, al contrario, è quello di entrare in contatto con altre persone per motivi personali o professionali, a seconda dei casi.
| Alla luce di quanto sopra esposto, il trattamento dei dati personali pubblicati sui social network per scopi di marketing richiede un ulteriore e specifico consenso delle persone interessate, unitamente a un’adeguata e preventiva informativa3. Le imprese dovrebbero assicurarsi che le proprie distribution list a fini marketing (e quelle utilizzate dalle agenzie e consulenti cui si rivolgono) non siano state costruite prendendo gli indirizzi dei destinatari dai social network e in assenza di consenso. |
3. INFORMAZIONI CREDITIZIE
Con la decisione n. 438 del 26 ottobre 2017, il Garante ha fissato alcuni ulteriori principi, applicabili al trattamento dei dati personali nell’ambito dei sistemi di informazioni creditizie utilizzati dagli istituti finanziari per la concessione di crediti al consumo, al fine di accertare l’affidabilità e puntualità nei pagamenti, prima di concedere un credito4.
3.1 L’obbligo di Comunicazione di Preavviso
La questione è stata inizialmente affrontata dal Garante nell’ambito del “Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti” (il “Codice Deontologico”), elaborato coerentemente con quanto previsto dall’articolo 117 del Codice Privacy (D.Lgs. 196/2003).
Il Codice Deontologico prevede misure adeguate volte a proteggere i dati personali dei debitori nel contesto del credito al consumo e, in particolare, prevede, ai sensi dell’articolo 4, paragrafo 75, l’obbligo del relativo creditore di comunicare al debitore inadempiente l’intenzione di notificare i suoi dati personali al sistema di informazioni creditizie (la “Comunicazione di Preavviso”).
La formulazione di cui all’articolo 4, paragrafo 7 del Codice Deontologico, però, non prevede espressamente l’obbligo del creditore di astenersi dal comunicare al sistema di informazioni creditizie i dati personali del debitore inadempiente, fino a quando il creditore non abbia ricevuto conferma di effettiva ricezione della Comunicazione di Preavviso. Alla luce di quanto sopra, spesso accadeva che il creditore interessato trasferisse i dati personali del debitore inadempiente al sistema di informazioni creditizie, indipendentemente dal fatto che tale debitore inadempiente avesse concretamente ricevuto la Comunicazione di Preavviso.
3.2 Limiti temporali
In aggiunta a quanto sopra, il Garante ha colto l’occasione per reiterare che, anche ai sensi del GDPR, i dati personali del debitore non possono essere registrati all’interno del sistema di informazioni creditizie per un periodo di tempo superiore a 36 mesi a partire dalla scadenza del relativo accordo contrattuale. Se si verificano altri eventi rilevanti per il pagamento, tali informazioni potranno essere conservate per non più di 5 anni dalla data in cui è stato risolto il relativo rapporto.
Mentre le metodologie di business si muovo rapidamente verso la cd. “Industry 4.0”, l’impatto della normativa privacy impone di riconsiderare diversi aspetti propri delle realtà aziendali: le società che coglieranno questa sfida non saranno solo nella posizione di evitare significative sanzioni, ma avranno anche la possibilità di allinearsi ai nuovi sviluppi normativi e di garantire una posizione maggiormente competitiva al proprio business.
***
1 Regolamento (EU) 2016/679 del Parlamento Europeo e del Consiglio.
2 Tale principio è stato anche confermato dal Gruppo di lavoro sulla protezione dei dati personali ex Art. 29 che, nel «Parere 15/2011 sulla definizione di consenso», con specifico riferimento ai giochi online, ha commentato il fenomeno del consenso implicito manifestato su internet come segue: «L’accesso e la partecipazione al gioco non possono essere equiparati alla manifestazione inequivocabile del consenso al trattamento delle informazioni personali per finalità diverse dalla partecipazione al gioco. Il fatto che l’interessato partecipi al gioco non implica che egli intende acconsentire al trattamento dei suoi dati al di là di quanto necessario ai fini del gioco. Questo tipo di comportamento non costituisce una manifestazione inequivocabile della volontà dell’interessato ad accettare l’utilizzo dei suoi dati per finalità commerciali».
3 Si fa riferimento a (i) le linee guida pubblicate dal Garante attraverso la decisione n. 330 del 4 luglio 2013 sul marketing e sullo spam e (ii) il provvedimento del Garante del 29 maggio 2003, recante regole per un corretto invio delle comunicazioni pubblicitarie.
4 I crediti possono essere concessi sotto forma di un’estensione di pagamento, un prestito, o qualsiasi altro sostegno finanziario analogo ai sensi del decreto legislativo n. 385 del 1° settembre 1995 (vale a dire il Testo Unico in materia bancaria e creditizia).
5 L’articolo 4, paragrafo 7 del “Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti”: “al verificarsi di ritardi nei pagamenti, il partecipante, anche unitamente all’invio di solleciti o di altre comunicazioni, avverte l’interessato circa l’imminente registrazione dei dati in uno o più sistemi di informazioni creditizie. […]”.