Disciplina privacy: la parola alle imprese

News 19/10/2012

Avv. Graziano Garrisi (Vice Coordinatore ABIRT) e dott.ssa Sarah Ungaro – Studio Legale Lisi

pubblicato su Information Security anno 3 n.14 ottobre 2012

Sebbene le ultime novità legislative in materia abbiano in parte emarginato le imprese e gli altri enti collettivi dalla disciplina sulla privacy, sono le stesse associazioni di categoria ad avvertire l'esigenza di una più attenta regolamentazione del trattamento dei dati nelle dinamiche commerciali che coinvolgono imprese e associazioni.

Occorre considerare, infatti, che i recenti interventi normativi ad opera di un Legislatore animato da intenti di semplificazione hanno anche comportato la sostanziale riduzione delle occasioni di regolamentazione della privacy nelle imprese.
Ci si riferisce, in particolare, all'abolizione dell'obbligo di adozione del Documento programmatico per la sicurezza (DPS), prevista dal D.L. 201/2011 che ha eliminato la lettera g) dell'art. 34 del D.Lgs. 196/2003, e alla limitazione dell'applicabilità della disciplina dei dati personali alle sole persone fisiche, attraverso la riformata definizione di "interessato" contenuta nell'art. 4 dello stesso Codice privacy.
In proposito, al fine di approntare anche per le persone giuridiche una tutela contro il trattamento illegittimo dei dati e le pratiche aggressive di marketing, Assonime (Associazione fra le società italiane per azioni) ha emanato una circolare (Circolare del 3 settembre 2012, n. 23, intitolata "Disciplina italiana della privacy: semplificazioni, recepimento della nuova direttiva e-privacy e sviluppi in tema di trattamento dei dati per finalità di marketing" ).

Tale documento sottolinea che le persone giuridiche, gli enti e le associazioni, sebbene non più ricompresi nella definizione di "interessato" al trattamento, sono comunque annoverati fra i "contraenti", di cui al novellato art. 4, comma 2, lett. f) del Codice Privacy , qualora sottoscrivano un contratto per l'acquisto di servizi di telecomunicazione.
Per questo motivo, sia gli utenti, sia i contraenti persone giuridiche, enti e associazioni sono in ogni caso destinatari delle tutele contemplate in materia di comunicazioni elettroniche.

Nello stesso senso deve essere interpretato l'art. 130  dello stesso D.Lgs. 196/2003, riguardante le comunicazioni  effettuate per finalità di marketing verso utenti e contraenti dei servizi di comunicazione elettronica accessibili al pubblico.
La stessa circolare, inoltre, sottolinea agli associati che i promoter in outsourcing, a cui i committenti affidano le attività di telemarketing o di teleselling, devono essere nominati responsabili del trattamento dei dati personali dei soggetti contattati nelle attività di presentazione di offerte e conclusione di contratti svolte per conto della società committente.
Ciò in quanto i soggetti outsourcer, come è stato ribadito anche da numerosi provvedimenti dell'Autorità Garante Privacy, sono destinatari di specifiche indicazioni operative a cui attenersi nell'attività di telemarketing e teleselling, anche in riferimento alle finalità e alle modalità di trattamento dei dati personali riguardanti i soggetti da contattare.
Conseguentemente, è evidente come in questi casi non residuino spazi di autonomia tali da poter configurare i promoter quali titolari del trattamento : gli stessi, invece, dovranno assumere il ruolo di responsabili attraverso uno specifico atto di nomina del soggetto committente.

L'esigenza di una più attenta regolamentazione delle dinamiche commerciali che coinvolgono imprese e associazioni è alla base anche dell'adozione del Codice di autoregolamentazione  da parte di Assotelecomunicazioni (Asstel).
In tale documento sono dettate le norme, rivolte agli operatori di telemarketing, ai soggetti terzi che realizzano i contatti telefonici per conto di tali operatori, nonché ai call center che operano in outsourcing, per la regolamentazione del trattamento dei dati estratti dagli elenchi di abbonati destinatari di materiale pubblicitario, promozioni, comunicazioni commerciali, vendita diretta o ricerche di mercato mediante l'impiego del telefono .
Nel Preambolo si pone in evidenza che la scelta di adottare un codice di autoregolamentazione nasce anche dai mutamenti del quadro normativo, in cui è stato privilegiato un sistema c.d. opt-out, attraverso il quale si consente di contattare telefonicamente un individuo a fini promozionali e pubblicitari fino a quando quest'ultimo non abbia manifestato il proprio dissenso tramite l'iscrizione nel registro pubblico delle opposizioni  (modificando radicalmente, dunque, la precedente disciplina che prevedeva l'adozione di un modello c.d. opt-in che, al contrario, non ammette il contatto telefonico nei confronti di quanti non hanno preventivamente fornito il proprio consenso).

In virtù di tale modifica, quindi, possono essere utilizzati per attività relative a pubblicità, vendita, ricerche di mercato, comunicazioni commerciali tramite chiamata telefonica tutti i riferimenti presenti negli elenchi abbonati pubblici, tranne nei casi in cui gli abbonati richiedano l'iscrizione in un apposito "registro delle opposizioni".
In particolare, al comma 2 dell'art. 4 del Codice di condotta si specifica che gli Aderenti, al momento del contatto telefonico, hanno l'obbligo di fornire all'Abbonato un'informativa contenente:

a) gli elementi di identificazione univoca della persona fisica che effettua il contatto e dell'operatore per conto del quale il contatto avviene;
b) l'indicazione dello scopo commerciale o promozionale del contatto;
c) l'indicazione del ruolo della società che chiama (titolare o responsabile);
d) l'indicazione che i dati personali sono stati estratti dagli elenchi abbonati;
e) le indicazioni utili all'eventuale iscrizione delle numerazioni di cui è intestatario nel Registro, ai sensi dell'art 7 del D.P.R. n. 178 del 7 settembre 2010.

Inoltre, al comma 4 dell'art. 5 dello stesso documento, si prescrive ai soggetti Aderenti di:

- assicurare che i contatti non vengano effettuati: dal lunedì al venerdì prima delle 9:00 del mattino o dopo le 21:30 di sera; il sabato prima delle 10:00 del mattino o dopo le 19:00; la domenica o altri giorni festivi;
- assicurare che ciascuna numerazione non sia reinserita nelle liste dei contatti da effettuare da parte dell'Operatore almeno per un mese;
- fornire in modo inequivocabile l'identificativo della persona fisica che effettua il contatto, il nominativo dell'operatore per conto del quale è effettuato il contatto e l'indicazione che i dati sono estratti dagli elenchi Abbonati;
- definire chiaramente lo scopo del contatto se promozionale, commerciale, informativo;
- adottare gentilezza e cortesia per tutta la durata del contatto senza insistere per la prosecuzione della conversazione nel caso l'Abbonato esprima, a qualunque titolo, una volontà contraria e limitare le chiamate ripetute nei confronti delle singole numerazioni di cui egli è intestatario in un lasso temporale circoscritto secondo diligenza e buona fede;
- utilizzare un linguaggio chiaro e comprensibile, eventualmente ripetendo le informazioni date se necessario ed evitando l'uso di sigle o acronimi di non immediata comprensibilità;
- fornire a ogni contatto un'informativa esaustiva di tutte le caratteristiche del servizio/prodotto proposto;
- fornire chiara informazione sullo scopo di una eventuale registrazione a fini contrattuali e acquisire il consenso dell'Abbonato;
- fornire chiare informazioni sulle modalità di esercizio dei diritti di cui all'art. 7 del Codice;
- fornire all'Abbonato, all'atto del contatto, informazioni chiare sulle modalità per iscrivere nel Registro le numerazioni telefoniche delle quali è intestatario;
- rispettare i principi di buona fede e di lealtà, nonché le discipline positive in materia di transazioni commerciali, valutati in ogni caso alla stregua delle esigenze di protezione delle categorie di consumatori particolarmente vulnerabili.

Al successivo art. 7, poi, è istituito il Comitato di garanzia al fine di vigilare sul rispetto del Codice di autoregolamentazione. Nello specifico, tale organismo ha il compito di curare l'osservanza del Codice di Condotta da parte delle società aderenti, coordinandone le attività di aggiornamento e di revisione che si rendessero necessarie anche in base all'evoluzione regolamentare o tecnologica, nonché adottando misure sanzionatorie graduali e proporzionali nei confronti dell'aderente ritenuto responsabile di violare le regole stabilite nel Codice di autoregolamentazione sottoscritto.

Per concludere, l'osservatorio ABIRT che tutela il ruolo dei responsabili del trattamento, nel richiamare l'attenzione di tutti gli operatori alle responsabilità che possono derivare da campagne marketing troppo aggressive, effettuate in violazione della normativa in materia di corretto trattamento dei dati personali, ricorda che nonostante le ultime modifiche al d.lgs. 196/2003 abbiano di fatto attenuato la tutela nei confronti di persone giuridiche, enti o associazioni, precludendone la qualifica di interessati al trattamento, il riferimento a tali soggetti continua a essere ancora presente nella definizione di "contraente". Ragion per cui, si ritiene, in forza del combinato disposto degli articoli 129 e 130 del Codice, che l'esercizio dell'attività di marketing o di telemarketing su elenchi dovrà continuare a essere esercitata nel rispetto di tutte le prescrizioni che disciplinano il corretto trattamento dei dati personali, compresi i provvedimenti dell'Autorità Garante Privacy.

Si attende, inoltre, la pubblicazione della recente bozza del Decreto Digitalia, in corso di approvazione nel momento in cui si scrive, la quale - tra le tante novità in materia di digitalizzazione - sembra che apporterà anche ulteriori modifiche al Codice Privacy. Al fine di semplificare gli adempimenti per le imprese, infatti, tale decreto dovrebbe estromettere dalla categoria di "interessati al trattamento" tutte le "persone fisiche che agiscono nell'esercizio della propria attività imprenditoriale, commerciale, artigianale o professionale". In questo modo, se da un lato si va allineando sempre di più la definizione di "interessato" a quella di "consumatore", dall'altro potrebbe peggiorare la posizione dei soggetti che agiscono per finalità business all'interno di organizzazioni pubbliche o private: tali soggetti, infatti, corrono il rischio di non veder più tutelata dalla normativa in materia di privacy la propria sfera soggettiva di persona fisica, poiché verrebbero meno anche quelle difese di base che il Codice Privacy ancora oggi gli riserva, per tutelare e difendere i propri interessi da possibili condotte che possono causare una violazione dei dati personali.

 

Tag: Assonime,privacy, telemarketing, Assotelecomunicazioni, osservatorio ABIRT, registro delle opposizioni