Garante privacy: focus ancora sul Telemarketing. Nuove indicazioni sui consensi omnibus vs granulari.

Introduzione

Nel panorama attuale, la crescente mole di chiamate indesiderate ha spinto il Garante Privacy e non solo, a intervenire per arginare il fenomeno attraverso numerosi provvedimenti sanzionatori che hanno sancito nuovi arresti interpretativi e l’indicazione di nuove regole tecniche e best practices.

In questo articolo tenteremo dunque di fornire un quadro il più possibile chiaro su come le nuove indicazioni regolatorie possano influire sulle strategie di marketing aziendali, al fine di bilanciare e tutelare, come sempre, la riservatezza degli utenti.

Analizzeremo dunque due esemplificativi provvedimenti recentemente adottati dal Garante Privacy, per cercare di coglierne i trend sottesi e prepararci ai successivi sviluppi futuri.

Il Provvedimento Consensi Omnibus

Il provvedimento del Garante privacy n. 114 del 27.02.2025 (doc. web n. 10114967), che di seguito chiameremo appunto “Provvedimento Consensi Omnibus“, si inserisce in un contesto di lotta contro il telemarketing aggressivo, che negli ultimi anni ha causato notevoli disagi a moltissimi italiani, tanto da essere addirittura definito a volte “selvaggio” dal Garante stesso.

Prima di approfondire, chiariamo alcuni punti

Per comprendere al meglio il provvedimento in questione è necessario chiarire il perimetro in cui si inserisce e, soprattutto, che cosa si intende per telemarketing, teleselling e, appunto, consensi omnibus.

Infatti, mentre il telemarketing si concentra sulla promozione generale di prodotti o servizi attraverso contatto telefonico con o senza operatore, il teleselling mira direttamente alla vendita attraverso chiamate destinate a numeri sia fissi che mobili nazionali.

Per poter perseguire tali due distinte finalità nel trattamento dei dati personali, però, occorre raccogliere un consenso specifico per ciascuna di esse. Se invece si raccogliesse un solo consenso per entrambe, si ricadrebbe nell’ipotesi di un c.d. “consenso omnibus”.

I “consensi omnibus” rappresentano una modalità di raccolta del consenso, come base giuridica del trattamento dati, caratterizzata da un’unica dichiarazione generica, o un unico flag, che copre però una pluralità di finalità, anche distinte ed eterogenee.

La non conformità dei “consensi omnibus”

Il Garante nel provvedimento in parola ha dunque sottolineato come la raccolta di consensi omnibus, in quanto effettuata in maniera troppo vaga ed indistinta, non permetta di esprimere una scelta reale e, soprattutto, granulare circa le comunicazioni promozionali che gli interessati desiderino effettivamente ricevere e quelle a cui invece non siano interessati.

In pratica, l’uso di moduli e form che raccolgono un solo consenso “a tappeto”, raggruppando in un solo flag diverse finalità, non consente agli utenti di selezionare in modo puntuale e preciso, oltre che intuitivo e user-friendly, ad es. i settori merceologici di cui desiderano ricevere offerte commerciali, quali telefonia, energia, assicurazioni e moda, piuttosto che informatica o finanza.

L’utilizzo di un consenso omnibus come base giuridica per l’invio del contatto dell’utente ad una platea indistinta di operatori economici attivi nei più disparati settori tecnologici potrebbe infatti comportare:

• un’incontrollabile diffusione e perdita di controllo sui propri dati personali
• la perdita della possibilità di esercitare efficacemente i diritti privacy riconosciuti agli interessati,
  • o almeno una loro maggiore difficoltà d’esercizio
• un’indebita intrusione nella propria sfera di riservatezza, causata dalla ricezione di comunicazioni non rilevanti e indesiderate.

Lesson learned

Per cogliere gli spunti di miglioramento della compliance provenienti dal provvedimento in parola, occorrerà dunque revisionare e rivedere i moduli di raccolta del consenso, verificando che non vengano richiesti consensi omnibus.

Bisognerà quindi optare per l’introduzione di soluzioni che permettano agli utenti di scegliere, modificare o revocare le proprie preferenze e i propri consensi in maniera semplice, trasparente e, soprattutto, tracciabile e documentabile, per operare in un quadro quanto più possibile chiaro e responsabile e ricostruire la fiducia degli utenti nel telemarketing e teleselling.

Tra i vari accorgimenti ipotizzabili, appare dunque particolarmente opportuno verificare:

• la granularità dei consensi alla cessione dei dati: dovrebbero infatti essere indicate chiaramente le aziende terze coinvolte (potenziali destinatarie), con link alle relative informative (nice to have).

• la granularità dei consensi alla ricezione di iniziative promozionali a seconda delle categorie merceologiche: l’utente deve poter scegliere in modo preciso e puntuale le categorie merceologiche a cui è realmente interessato, ed escludere quelle per lui non pertinenti.

• che sia possibile selezionare i canali di comunicazione: molto importante è infatti concedere la possibilità all’utente di scegliere se preferisca essere contattato tramite SMS, email, chiamata con operatore, senza operatore, oppure tramite altri canali.

[Per ulteriori utili spunti, leggi anche Attività del Garante 2023: le lesson-learned sul marketing]

L’ultimo provvedimento Sky del 2024

Un altro importante provvedimento in tema di consenso, e in particolare sul consenso al telemarketing, è rappresentato dal recente Provvedimento del Garante privacy n. 553 del 12.09.2024 (doc. web n. 10076504), di seguito anche solo “Provvedimento Sky“.

Anche in questo caso il Garante introduce un principio interpretativo molto importante e da tenere sempre ben in considerazione quando si impostano e si progettano campagne, soprattutto di telemarketing.

Innanzitutto, è stato ribadito ancora una volta che le comunicazioni promozionali, in particolare quelle effettuate mediante telefono (sia con operatore che tramite sistemi automatizzati di chiamata pre-registrata) o sms, NON possono usufruire della base giuridica del legittimo interesse del titolare del trattamento.

[Per sapere quando invece può essere utilizzabile, consulta anche Il Legittimo Interesse come Base Giuridica: Strumenti e Limiti Operativi]

Tali ipotesi ricadono infatti nella più generale disciplina di cui all’art. 130 del Codice privacy, rendendo necessario il consenso come unica base giuridica idonea.

Oltre a ciò, però, il Garante ha riconosciuto anche che il consenso originariamente prestato dall’utente per acconsentire alla comunicazione dei propri dati a terzi per le finalità marketing di quest’ultimi, non può essere utilizzato per trasferire automaticamente a ulteriori terzi tali dati, senza che essi raccolgano un nuovo ed esplicito consenso a tale successivo trasferimento.

Ciò sembrerebbe significare che un consenso iniziale, se non accompagnato da un ulteriore consenso specifico e documentato, non può giustificare successivi trasferimenti o cessioni di tali dati a nuovi e distinti titolari del trattamento.

La normativa impone, infatti, che ogni trasferimento dei dati per scopi di marketing sia supportato da una dichiarazione di consenso circostanziato e informato (ai sensi anche dell’art. 14 del GDPR) con riferimento all’identità e alle finalità del nuovo e diverso titolare.

Ulteriori lesson learned

Da quanto appena accennato, appare innanzitutto consigliabile la consultazione preventiva del Registro Pubblico delle Opposizioni prima di ogni campagna promozionale svolta telefonicamente, anche a prescindere dall’adesione o meno al Codice di Condotta per il Telemarketing, in quanto il Codice e il Registro, al momento, valgono indubbiamente come best practices per tutte le organizzazioni attente alla compliance.

Oltre a ciò, un ulteriore punto critico evidenziato dal Provvedimento Sky riguarda la documentabilità della raccolta dei consensi.

Infatti, la semplice indicazione dell’indirizzo IP e della data parrebbe non essere sufficiente per costituire una prova idonea a dimostrare la volontà dell’utente (e a reggere in un contraddittorio con l’interessato, in caso di reclamo o in caso di procedimenti ispettivi dell’Autorità).

Soprattutto se tale prova sia fornita tramite la produzione, come nel caso di specie, di file excel modificabili e, in quanto tali, inidonei a fungere da prova inequivocabile, non essendo tali modalità di produzione documentale pienamente conforme al principio di accountability e alle disposizioni, applicabili nel privato, del Codice dell’Amministrazione Digitale (D.Lgs. n. 82/2005), così come modificate dall’Agid nel 2021.

Infine, la società Sky Italia S.r.l. è stata anche riconosciuta responsabile per culpa in eligendo in quanto si è avvalsa di soggetti, sia interni che esterni, i quali sin dall’inizio del loro incarico risultavano già inadempienti rispetto agli obblighi di formazione, di corretta raccolta dei consensi e di fornitura di un’informativa privacy chiara, semplice e precisa.

Ciò ad ulteriore conferma, se mai ce ne fosse bisogno, dell’importanza, soprattutto per le realtà più strutturate, di svolgere efficacemente attività di audit su tutta la catena di fornitura e approvvigionamento, in un periodo come quello attuale, di avvicinamento alla NIS-2, in cui mancanze in tal senso potrebbero davvero portare a responsabilità organizzative anche a titolo di culpa in vigilando.

Prospettive future

Il Provvedimento Consensi Omnibus rappresenta una pronuncia significativa in tema di consensi telemarketing, dettata dalla crescente consapevolezza dei rischi derivanti da pratiche aggressive, al limite del selvaggio, e dalla necessità di rafforzare e rendere più effettivo il controllo da parte degli interessati sui loro dati personali.

Infatti, dai provvedimenti esaminati emerge ulteriormente ribadita la necessità di aggiornare e rivedere costantemente l’impianto privacy aziendale, nonché la data governance e i processi di trattamento dati, anche quelli più consolidati, delle organizzazioni, anche e soprattutto in relazione all’evoluzione tecnologica e socio-economica, oltre che di hard e soft law.

Ciò, comunque, senza mai dimenticare l’altrettanto importante esigenza di semplificazione degli adempimenti connessi al trattamento dei dati personali.

L’attenzione posta sulla specificità e sulla granularità del consenso, sebbene possa apparire eccessivamente rigida, va contestualizzata all’interno del provvedimento specifico, indirizzato in primis a realtà strutturate con elevate risorse e operanti in contesti, soprattutto di telemarketing, caratterizzati da catene di trattamento complesse ed estremamente ramificate.

Conclusioni

Auspichiamo dunque che le nuove indicazioni di cui ai Provvedimenti Consensi Omnibus e Sky 2024 siano approcciate in modo equilibrato, proporzionato e user-friendly, in modo tale da non comportare – conformemente all’accountability e alla libertà d’impresa – la drastica conseguenza che ogni minima variazione di canale, finalità o destinatario debba necessariamente tradursi in un consenso separato.

Al contrario, invitiamo invece a una riflessione concreta ed effettiva sulle modalità di raccolta dei consensi, sulla scorta anche di quanto avvenuto nel 2021 con i consensi ai cookies non strettamente necessari, e stimolando dunque un’evoluzione coerente con le nuove esigenze regolatorie e sociali, che anche tramite il legal design eviti la moltiplicazione eccessiva delle opzioni, a discapito dell’esperienza dell’utente.

Qualora necessitaste di un’analisi più mirata, siamo a disposizione per valutare insieme soluzioni che rispondano efficacemente a queste nuove sfide e ai trend regolatori in continua evoluzione.