CORTO CIRCUITO APPLICATIVO TRA I PROVVEDIMENTI 332/2021 E 242/2013 DEL GARANTE PRIVACY
Antonio Ciccia Messina
Doppio consenso per il marketing in caso di acquisizione di liste di nominativi da contattare: ci vuole un primo consenso per legittimare il passaggio dei dati da chi li ha raccolti verso l’operatore intenzionato a usarli per scopi promozionali; quest’ultimo deve, poi, raccogliere un altro consenso quando contatta al telefono la persona cui proporre il prodotto o il servizio. È l’effetto del provvedimento del Garante della privacy n. 332 del 16 settembre 2021, che ha applicato in maniera restrittiva una semplificazione per il settore del marketing che lo stesso Garante aveva approvato nel 2013 (provvedimento n. 242 del 15 maggio 2013).
Ma illustriamo la questione. Quando si trattano dati per scopo di marketing ci vuole il consenso dell’interessato (o almeno questa sembra essere, per ora, la regola generale). Anzi, in base a un provvedimento del Garante (n. 330 del 4 luglio 2013), nel campo del marketing i consensi da raccogliere sono almeno tre per altrettante finalità: marketing proprio, profilazione, comunicazione a terzi dei dati.
L’ultima ipotesi è quella in cui un soggetto raccoglie i dati e chiede la firma del consenso a passare i dati ad altri, affinché questi ultimi facciano marketing. Tra l’altro, a tale proposito, nel provvedimento citato il Garante ha ritenuto che anche le società appartenenti al medesimo gruppo societario, al fine di adempiere all’obbligo del consenso, debbano essere comunque ritenute, di regola, quali autonomi e distinti titolari dei rispettivi trattamenti.
Il provvedimento 330/2013 si è occupato anche di cosa capita quando il dato raccolto e dotato di consenso arriva al terzo. In particolare, nel provvedimento 330/2013 si legge che, qualora l’interessato rilasci il consenso per la comunicazione a soggetti terzi, questi potranno effettuare nei suoi confronti attività promozionale con le modalità automatizzate di cui all’articolo 130, comma 1 e 2 del codice della privacy, senza dover acquisire un nuovo consenso per la finalità promozionale. In sostanza, leggendo il provvedimento del luglio del 2013, basta un consenso, il primo, per permettere al terzo cessionario di trattare i dati.
A questo punto dobbiamo passare al provvedimento del Garante n. 332 del 16 settembre 2021, in cui troviamo scritto che il descritto regime di semplificazione (cioè basta un solo consenso) fa riferimento esclusivamente alle «attività promozionali con le modalità automatizzate di cui all’art. 130, comma 1 e 2» e cioè: sistemi automatizzati di chiamata o di comunicazione di chiamata senza l’intervento di un operatore, comunicazioni elettroniche, posta elettronica, telefax, messaggi del tipo Mms o Sms o di altro tipo. Il Garante prosegue dicendo che, invece, per le attività promozionali effettuate mediante contatti con operatore umano, l’operatore, che ha ricevuto la lista «consensata», non può avvalersi del regime di semplificazione previsto dal provvedimento del 2013, ma, nel corso del contatto promozionale, dovrà fornire una propria informativa, che contenga, tra l’altro, anche elementi in ordine all’origine dei dati personali ricevuti e solo dopo aver acquisito il consenso potrà procedere a effettuare la proposta promozionale. Altrimenti detto, la semplificazione del provvedimento 330/2013 (un solo consenso, il primo) vale se, poi, chi riceve la lista manda una e-mail, ma non vale se fa una telefonata. Se, al contrario, fa una telefonata, deve dare informativa e consenso e solo dopo può partire con la proposta commerciale. In sostanza, la semplificazione vale per l’uso di mezzi automatizzati, non vale se il contatto marketing è eseguito con operatore umano.
Questo, tra l’altro, implica il fatto che bisogna predisporsi organizzativamente per poter documentare l’avvenuto rilascio dell’informativa e l’avvenuta formulazione del consenso.
In ogni caso, nel caso di contatto con operatore umano non si può sfruttare il consenso valido per mandare una e-mail o un messaggio elettronico.
Ci si deve chiedere, a questo punto, che sorte abbia un diverso provvedimento del Garante (il n. 242 del 15 maggio 2013), nel quale, proprio a riguardo dell’articolo130, commi 1 e 2, del codice, il Garante aveva deciso che tutti i titolari del trattamento in ambito privato i quali, nel perseguire finalità di «marketing diretto» tramite modalità automatizzate di contatto, acquisiscono il consenso degli interessati ai sensi dell’articolo 130 del codice, possono effettuare il medesimo trattamento anche mediante modalità tradizionali, come la posta cartacea o le chiamate telefoniche tramite operatore, senza dover richiedere agli stessi interessati un ulteriore consenso. Ossia: se hai il consenso per trattare i dati con sistemi automatizzati, questo consenso comprende anche i sistemi tradizionali (per esempio la chiamata con operatore). Se ne dedurrebbe che se si può mandare una e-mail (avendone il consenso), allora si può fare una telefonata.
A questo punto si può notare che il provvedimento n. 332 del 2021 non è allineato al provvedimento 242 del 2013 e questo apre una serie di conseguenze.
La prima è una conferma: il consenso prestato dagli interessati a comunicar dati a terzi per scopi di marketing costituisce idonea base giuridica per la comunicazione di dati da titolare a titolare. L’altra conseguenza parte dalla novità del provvedimento del Garante del 2021 e cioè il primo consenso, di cui si è detto, non vale in relazione al successivo trattamento in forza del quale il terzo (ricevente i dati) contatta gli interessati. Se, infatti, le attività promozionali sono effettuate mediante contatti con operatore umano ci vuole informativa e consenso ad hoc al primo contatto.
Le liste «consensate» servono, allora, solo per il primo contatto finalizzato a chiedere il secondo consenso. La semplificazione del provvedimento 242/2013 è, quindi, dimezzata e chi compra le liste «consensate» deve dare istruzioni ai propri operatori perché venga data informativa, raccolto il consenso e documentato tutto quanto.
A questo punto, ci si chiede se non sia opportuno un chiarimento ufficiale sulla portata delle semplificazioni del provvedimento 242/2013, esplicitando se le stesse debbano essere ridotte come indicato nel provvedimento 332/2021. Se il principio da applicare è che non si può fare con operatore umano quello che si può fare con il sistema automatizzato, ciò deve diventare una prescrizione generale, così da consentire agli operatori di adottare le corrette prassi. C’è anche da spiegare se la riduzione illustrata valga solo per la cessione di liste a terzi o se valga anche quando un’impresa raccoglie consensi per il marketing in proprio; in tale ultimo caso dovrebbe esplicitare tutti gli strumenti utilizzati, con la necessità di chiarire anche se debba essere prevista la possibilità per l’interessato interessato di selezionare quali strumenti autorizzare. Altro punto da chiarire è se nella raccolta del consenso alla cessione di dati a terzi per marketing si possa, a monte, inserire il consenso anche per l’uso da parte dei terzi di chiamate con operatore umano e se tale facoltà debba essere tenuta separata.
A fronte di tutto ciò, comunque, ci si chiede se non sia alternativamente ancora possibile una lettura che includa i trattamenti di marketing tradizionale nei trattamenti automatizzati (quest’ultimi, tra l’altro, considerati più pericolosi dal codice della privacy).
Fonte: