Decreto del Presidente della Repubblica - 27/01/2022 - n. 26 art. 15 - Clausola di invarianza finanziaria

Il quadro normativo di partenza

Come accennato, il d.P.R. rivisitato del 2022 rappresenta lo sviluppo decisivo per attuare la riforma già avviata con la l. 5/2018.

L'input originario alla riforma complessiva del settore è arrivato dall'art. 1, comma 54, della l. 124/2017 (legge annuale sulla concorrenza) che ha rafforzato l'obbligo di trasparenza dei contratti stipulati con i fornitori di servizi di telefonia e comunicazione elettronica, nonché la tutela dei consumatori rispetto a condotte aggressive effettuate da terzi avvalendosi dei servizi telefonici.

Ne è seguita la l. 5/2018 che all'art. 1, comma 15 ha rinviato la revisione del funzionamento del RPO a un nuovo d.P.R., da emanare su proposta del MISE, onde apportare le opportune modifiche alle disposizioni regolamentari vigenti. Sì da ri-disciplinare le modalità di iscrizione e funzionamento del citato registro, inclusa l'abrogazione di eventuali disposizioni incompatibili con la predetta legge. Lo scopo del nuovo d.P.R. è dunque di attuare la l. 5/2018 (come a sua volta aggiornata dalla l. 205/2021 che ne ha esteso l'applicazione alle chiamate automatizzate – c.d. “robocall” senza operatore) e di coordinare le ulteriori diverse fonti in materia, come la citata l. 124/2017 e il Codice privacy. Si comprende così perché il testo del d.P.R. del 2022 ripercorra quasi pedissequamente quello del 2010, rappresentandone un (sensibile) aggiornamento più che una riscrittura complessiva.

L'istituzione del RPO era stata accompagnata dal provv. GPDP del 19 gennaio 2011 [doc. web n. 1784528], intitolato “Prescrizioni per il trattamento di dati personali per finalità di marketing, mediante l'impiego del telefono con operatore, a seguito dell'istituzione del registro pubblico delle opposizioni”. Al netto di riferimenti a norme abrogate del Codice privacy, il provvedimento può considerarsi tuttora in vigore e compatibile, specie ove rammenta che le numerazioni provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque sono utilizzabili – in assenza del consenso del soggetto interessato – solo ove la specifica disciplina di riferimento di tali fonti abbia espressamente previsto attività di comunicazioni telefoniche per finalità di marketing, oppure ove le comunicazioni telefoniche per tali finalità risultino direttamente funzionali all'attività svolta dall'interessato, sempre che non vi sia stata opposizione al trattamento (anche tramite iscrizione al RPO).

Quanto all'estensione alle chiamate automatizzate del progetto di riforma del d.P.R. del 2010 sull'RPO, l'autorità – dopo serrato confronto, specie con l'AGCOM – ha espresso infine parere favorevole: inizialmente si era opposta richiamando la necessità, allo scopo, di una modifica normativa, cosa che è poi avvenuta con d.l. 139/2021. Rimarcando che, nonostante ciò, le chiamate automatizzate restano soggette al solo regime di opt-in (consenso preventivo), mentre le chiamate con operatore ammettono anche l'opt-out (GPDP, 13 gennaio 2022 [doc. web n. 9737240]).

Le definizioni

La prima cosa che colpisce nel testo, all'art. 1, è il parco definitorio: non pare del tutto coordinato con quello della normativa fonte, cioè la l. 5/2018 (ove per es. si parla di “interessati” e non già di “contraenti”). Si è invece ripercorso quello originario del d.P.R., con alcuni aggiornamenti:

a) il primo riguarda la precedente definizione di “abbonato”, sostituita ora da quella di “contraente” (ai sensi dell'art. 121 Codice privacy, riformato in tal senso dal d.lgs. 101/2018): lo è qualunque persona fisica – oppure giuridica, ente o associazione, ben al di là del concetto di “interessato” del GDPR – che sia parte (intestatario) di un contratto con un fornitore di servizi telefonici accessibili al pubblico per la fornitura di tali servizi, o destinatario di tali servizi anche tramite schede prepagate. Includendovi gli intestatari di numerazioni non riportate negli elenchi pubblici altrimenti previsti all'art. 129 Codice privacy (ergo: numerazioni riservate restano soggette al solo opt-in; numerazioni in elenchi pubblici sono utilizzabili anche con opt-out); tutti questi contraenti possono iscriversi all'RPO per beneficiare dei previsti effetti;

b) si è replicata quasi esattamente la nozione ora aggiornata di “operatore”: qualunque soggetto, persona fisica o giuridica, che, in qualità di titolare ai sensi del GDPR, intenda effettuare il trattamento dei dati di cui all'art. 129, comma 1, del Codice privacy e delle numerazioni telefoniche nazionali (mediante l'impiego del telefono – sono esclusi dalla disciplina altri mezzi come SMS, messaggistica, ecc.) oppure mediante posta cartacea, per fini di marketing come meglio definiti di seguito; pertanto l'applicazione riguarda tutti gli operatori, ubicati o meno nel territorio italiano quanto alla sede legale/stabilimento (cfr. i criteri dell'art. 3 GDPR);

c) una novità è la definizione di “materiale pubblicitario”: qualsiasi forma di messaggio che è diffuso, in qualsiasi modo, nell'esercizio di un'attività commerciale, industriale, artigianale o professionale allo scopo di promuovere il trasferimento di beni mobili o immobili, la prestazione di opere o di servizi oppure la costituzione o il trasferimento di diritti ed obblighi su di essi.

La normativa richiama e fa salve disposizioni applicabili del GDPR come quelle degli artt. 6, 7, 13, 14 e 21.

Le persone giuridiche possono sì fruire del RPO quali “contraenti” ma non possono esercitare i diritti quali “interessati”, per es. quelli exartt. 15-22 GDPR, nè presentare reclami al Garante (solo segnalazioni) (cfr. Patti in Acciai, 83).

Altra puntualizzazione concerne l'esclusione dal regime di opt-out delle comunicazioni a scopo di propaganda elettorale (Acciai, 48).

L'ambito di applicazione

Secondo l'art. 2, viene esteso l'ambito in conformità alla l. 5/2018 che già lo prevedeva: la disciplina del RPO riguarda adesso il trattamento delle numerazioni telefoniche nazionali (non solo quelle fisse degli elenchi pubblici, vengono incluse quelle fisse non pubbliche e quelle mobili) ed esteso ai corrispondenti indirizzi postali (quelli presenti negli elenchi telefonici pubblici di contraenti). Quindi l'estensione era già prevista normativamente ma è divenuta operativa solo con il regolamento attuativo (cioè il d.P.R. del 2022).

I trattamenti sono quelli mediante comunicazioni telefoniche, con qualunque mezzo effettuate – sia tramite operatore, sia mediante sistemi automatizzati di chiamata o chiamate senza l'intervento di un operatore – oppure tramite posta cartacea.

Le finalità del telemarketing (per le quali avrà effetto l'opposizione e la revoca dei consensi) possono essere: (i) di invio di materiale pubblicitario, (ii) di vendita diretta, (iii) per il compimento di ricerche di mercato oppure (iv) di comunicazione commerciale, alle predette numerazioni telefoniche e indirizzi postali. Sono esclusi espressamente da tali finalità i trattamenti per finalità statistiche dagli enti e dagli uffici di statistica appartenenti al Sistema Statistico Nazionale (ai sensi del d.lgs. n. 322/1989). Così come sono esclusi i consensi marketing raccolti nell'ambito di un contratto (in essere, continuativo, o cessato da meno di 30 giorni – tali consensi “resistono” al RPO entro tali limiti), come previsto dalla l. n. 5/2018.

Non troviamo alcuna restrizione sull'ambito settoriale del fine di marketing – eventuali limiti d'oggetto potrebbero applicarsi in ragione di altre normative (prodotti da fumo, ecc.).

Istituzione e gestione del RPO

L'istituzione del RPO è sempre demandata al MISE (Ministero dello Sviluppo Economico ai tempi della normativa in parola – è stato recentemente ridenominato “Ministero delle Imprese e del Made in Italy” (MIMIT), ogni riferimento seguente sarà dunque da intendere alla nuova denominazione), ai sensi sia dell'art. 130, commi 3-bis e 3-ter, del Codice privacy, sia della l. n. 5/2018.

La realizzazione e gestione del RPO è parimenti in carico al MISE, il quale può (in continuità col passato) affidarne la realizzazione e la gestione a soggetti terzi che ne assumono interamente gli oneri finanziari e organizzativi, mediante contratto di servizio nel rispetto del Codice dei contratti pubblici. Il contratto deve prevedere aspetti come: le condizioni generali di efficace ed efficiente svolgimento del servizio, la durata del rapporto, gli obblighi dell'affidatario, i parametri per il calcolo dei corrispettivi, le cause di recesso, di revoca e di decadenza, le garanzie da prestare e la responsabilità dell'affidatario, le penali per il caso di inadempimento, l'obbligo dell'affidatario di garantire la continuità del servizio e il trasferimento di tutti i dati nell'eventuale fase di subentro di un nuovo affidatario o in caso di mutamento soggettivo dell'affidatario, l'obbligo di consentire l'esercizio di attività di vigilanza e controllo da parte del MISE e da parte del Garante per la protezione dei dati personali, per i profili di rispettiva competenza. Rispetto al decreto del 2010, si è introdotta una disciplina dei costi di gestione e manutenzione, secondo un piano approvato con d.m. del MISE, previa sua verifica preventiva, e predisposto annualmente dal gestore.

È noto come il MISE abbia riconfermato (tramite apposito contratto di servizio, disciplinato all'art. 4 comma 1 del d.P.R.) il ruolo di gestore del RPO già in capo alla Fondazione Ugo Bordoni (“FUB”), ente morale senza fine di lucro riconosciuto dalla l. 3/2003: un'istituzione di alta cultura e ricerca, avente lo scopo di effettuare e sostenere ricerche e studi scientifici e applicativi nelle materie delle comunicazioni elettroniche, dell'informatica, dell'elettronica, dei servizi pubblici a rete, della radio-televisione e dei servizi audiovisivi e multimediali in genere, al fine di promuovere il progresso scientifico e l'innovazione tecnologica. Per garantire il funzionamento del RPO e la gestione da parte di terzi, il d.P.R. ha onerato il MISE di alcuni compiti in tal senso: (i) entro 30 giorni dalla data di pubblicazione in G.U. del d.P.R., ha provveduto allo svolgimento e conclusione della consultazione dei principali operatori e delle associazioni dei consumatori; (ii) entro 120 giorni ha provveduto (in collaborazione con il Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei ministri) alla predisposizione e attivazione delle modalità tecnico-operative di iscrizione, anche telematica, al RPO da parte dei contraenti, di funzionamento e accesso, anche telematico, nonché alla verifica delle liste di contatti da parte degli operatori.

L'iscrizione dei contraenti

I contraenti possono – in ogni momento e gratuitamente – chiedere al gestore l'iscrizione nel RPO ( i ) delle proprie numerazioni telefoniche, fisse o mobili, di cui siano intestatari, pubblicate o meno in elenchi, e/o ( ii ) del corrispondente indirizzo postale di intestazione della numerazione. L'iscrizione può avvenire (dopo l'eliminazione di modalità poco utilizzate in precedenza, come quella postale) tramite apposito modulo online sul sito del gestore (https://cittadino.registrodelleopposizioni.it/autenticazione /iscrizione/?lang=it), richiesta via e-mail oppure telefonicamente. Tutte le richieste vengono gestite entro un giorno lavorativo, sebbene la loro efficacia diventi effettiva entro 15 giorni. Ulteriori modalità tecniche e operative di iscrizione al RPO potranno essere definite con successivo decreto del MISE. Ovviamente i contraenti possono sempre esercitare in proprio, rivolgendosi direttamente ai singoli operatori, tutti i diritti qui previsti.

Quanto agli effetti, l'iscrizione nel RPO del contraente è a tempo indeterminato (ovvero fino a che sia revocata o perduri l'intestazione del numero) e comporta automaticamente (art. 7): (i) l'opposizione al trattamento dei dati delle numerazioni telefoniche, nonché degli indirizzi postali, per i fini visti sopra; (ii) la preclusione di qualsiasi trattamento delle numerazioni telefoniche fisse e mobili, riportate o meno negli elenchi, e degli indirizzi postali per le stesse finalità; (iii) la revoca di tutti i consensi precedentemente espressi agli operatori, con qualsiasi forma o mezzo, fatti salvi i consensi prestati nel tempo con i soggetti con sussistenti rapporti contrattuali (per es. con i gestori utenze telefoniche o energetiche) o che siano cessati da meno di 30 giorni; (iv) la stessa revoca parimenti verso la “cessione” (rectius: comunicazione, trasferimento, diffusione, ecc.) dei propri dati a terzi.

Vi sono alcune particolarità da considerare:

– l'iscrizione è sempre rinnovabile, quindi avrà effetto per tutti i consensi eventualmente prestati nel frattempo (tra la prima iscrizione e la seconda);

– la revoca dell'opposizione è sempre possibile, verso tutti o selettivamente verso uno o alcuni operatori iscritti al RPO, anche per periodi limitati – permettendo così agli operatori di effettuare nuovamente (dalla data di revoca) le attività di marketing suindicate; la revoca, in generale, non ha l'effetto di far “rivivere” i consensi pregressi alla revoca, da riacquisire ex novo – ri-permetterebbe l'eventuale “cessione” a terzi dei dati, sebbene in assenza di un valido e specifico consenso a monte non possa avere effetti concreti;

– il gestore ha un obbligo normativo di data retention di 12 mesi dei dati acquisiti dagli eventi e delle operazioni di accesso, rinnovo o revoca (presumibilmente tramite log), secondo criteri di completezza, integrità, inalterabilità e verificabilità nonché protette da accessi abusivi; a tali dati possono avere accesso – per finalità ispettive – il Garante per la protezione dei dati personali o l'autorità giudiziaria;

– il gestore utilizza il c.d. DBU (Data Base Unico) telefonico per verificare la presenza dei contraenti (fissi e mobili, pubblici o meno) che richiedono l'iscrizione al RPO. Con d.m. 9 settembre 2022 del MISE si sono disciplinati le specifiche e i requisiti per la fornitura, da parte dei gestori telefonici, del registro dei numeri telefonici fissi non pubblicati in elenchi, oltre alle modalità per l'iscrizione di default di tali numerazioni nel RPO.

I numeri e indirizzi già iscritti alla data di istituzione del “nuovo” RPO, in forza della precedente disciplina di registro, si sono intesi automaticamente iscritti a questo (sui precisi effetti, v. punto 11 infra).

I soggetti obbligati all'accesso e modalità di adesione, le tariffe

Tutti i succitati “operatori”, che intendono svolgere le attività di telemarketing già precisate, per poter accedere al RPO devono aderire tramite un'istanza al gestore, comprensiva di: (i) documentazione attestante l'identità dell'operatore; (ii) una dichiarazione di attivazione del sistema di identificazione della linea chiamante telefonica alla quale può essere contattato, oppure una dichiarazione dell'utilizzo degli appositi codici o prefissi specifici (stabiliti da AGCOM ai sensi dell'art. 2, comma 1, della l. 5/2018), oppure (nel caso di affidamento a terzi) i dati identificativi di ogni soggetto che curerà materialmente i contatti con i contraenti; infine (iii) l'elenco o gli elenchi aggiornati di contraenti che costituiscono la fonte dei dati personali che l'operatore intende trattare. Fatto ciò, l'operatore potrà consultare il RPO solo per le finalità di legge (cioè del Codice privacy, della l. 5/2018 e del presente d.P.R.).

L'attestazione dell'identità dell'operatore può avvenire ora anche attraverso SPID oppure attraverso il punto di accesso telematico (attivato presso la Presidenza del Consiglio dei ministri).

È stato confermato il termine di 15 giorni per l'assegnazione delle credenziali di autenticazione e dei profili di autorizzazione agli operatori, così come la pubblicazione degli estremi identificativi degli operatori iscritti, comprensivi dei riferimenti di contatto – in apposito elenco consultabile sul sito web del RPO – per un periodo non superiore a 12 mesi dall'ultima consultazione del RPO.

L'accesso all'utilizzo del RPO è regolamentato attraverso un sistema tariffario, stabilito al fine di sostenere la gestione stessa del Registro. Queste tariffe, destinate agli operatori, sono soggette a periodiche revisioni e aggiornamenti, in conformità ai principi generali delineati dall'articolo 1, comma 13, della l. 5/2018.

Attualmente, il panorama tariffario si presenta variegato. Persiste – fino al termine del 31 dicembre 2023 – l'applicabilità delle tariffe stabilite dal decreto ministeriale del 22 luglio 2022, emesso dal MISE, ma solo per eventuali crediti residui di verifiche, derivanti da pacchetti acquistati in precedenza sotto questo regime, spendibili fino al 31 dicembre 2023. Queste tariffe, concepite su una base “a consumo”, fissavano un costo di 0,00087 euro per ogni singola consultazione, con l'acquisto di blocchi di 50.000 verifiche per volta.

Stante questo criterio, si è recentemente verificata una svolta inattesa con l'emanazione del nuovo d.m. tariffe RPO del MIMIT (ex MISE), datato 12 maggio 2023 e oggetto di consultazione pubblica chiusa il 22 settembre 2023 (con numerose osservazioni da parte degli operatori anche per il piano del 2024). Quest'ultimo decreto, entrato in vigore dal 21 luglio 2023, ha radicalmente riformulato l'approccio tariffario, sostituendo il precedente sistema “a consumo” con un modello “su abbonamento”. Il nuovo schema prevede quattro diverse fasce tariffarie, calibrate in base al numero di numerazioni gestite e che vanno da un minimo di 5.000 a un massimo di 6 milioni. I costi sono stati ristrutturati su una base annuale (con un limite massimo di 100.000 euro) e aggiuntiva mensile (fino a oltre 8.000 euro), oltre a una tariffa unitaria per ogni numero aggiuntivo (per multipli di 1000), per un massimo di 24 consultazioni complete possibili del RPO (massimo 2 al mese).

Questi nuovi criteri tariffari – come emerso dalla consultazione pubblica – hanno prodotto un impatto economico significativo e imprevisto per gli operatori, sollevando questioni interpretative e ambiguità che potrebbero dare luogo a confronti con le istituzioni (le quali hanno munito la disciplina di una clausola di invarianza finanziaria, per cui i costi dell'RPO sono sostenuti perlopiù dagli operatori). Pertanto risulta fondamentale seguire attentamente l'attuazione effettiva di queste disposizioni – analizzando l'evoluzione della situazione, considerando che la data di scadenza del decreto e che al momento della redazione di questo testo era prevista per il 31 dicembre 2023. In data 29 dicembre 2023 il MIMIT ha reso nota la firma del d.m. tariffe RPO 2024, in corso di pubblicazione in G.U. e in qualche misura modificativo – nelle more è in prorogatio il d.m. di maggio 2023.

Gli obblighi di consultazione del RPO da parte degli operatori

Dopo l'adesione al RPO, ogni operatore lo dovrà consultare e così aggiornare le proprie liste di contatti secondo queste cadenze:

a) mensilmente, in via ordinaria;

b) in aggiunta, se del caso, prima dell'avvio di ogni campagna promozionale. In mancanza di una definizione di “campagna promozionale”, si può intendere nella prassi come una serie coordinata di messaggi pubblicitari che, veicolati attraverso uno o più media, mirano a raggiungere un medesimo obiettivo promozionale (come il lancio di un determinato prodotto).

La consultazione ha effetto per il singolo operatore (i) per 15 giorni per i contatti telefonici; (ii) per 30 giorni per i contatti postali. Tale operazione consiste in una lista di numeri sottoposta in input dall'operatore, il quale riceve in output una verifica dello stato della sua lista rispetto alle annotazioni attuali del RPO.

Anche qui troviamo alcune particolarità da considerare da parte degli operatori:

– ogni operatore deve adeguare le proprie infrastrutture tecnologiche per interfacciarsi con il RPO e gli standard imposti dal gestore, anche quanto al formato elettronico dei dati; di recente (dicembre 2023) è stato implementato un web service interoperabile sul sito del RPO che permette di automatizzare l'invio dati e la consultazione del Registro;

– le modalità di consultazione non devono permettere l'estrazione dei dati del RPO da parte degli operatori; pertanto sono questi a fornire i propri elenchi elettronici di contatti al gestore, il quale li “filtra”, confrontandoli con i dati iscritti nel RPO, e riconsegnandoli (entro 24 ore dalla richiesta) agli operatori che così sapranno quali dati di contatto non possono essere utilizzati;

– il gestore ha un obbligo normativo di data retention di 24 mesi dei dati acquisiti dagli eventi e delle operazioni di accesso, rinnovo o revoca (presumibilmente tramite log), secondo criteri di completezza, integrità, inalterabilità e verificabilità nonché protette da accessi abusivi; a tali dati possono avere accesso – per finalità ispettive – il Garante per la protezione dei dati personali o l'autorità giudiziaria;

– i gestori telefonici devono comunicare al gestore i numeri fissi riservati (non presenti negli elenchi telefonici pubblici) per la loro iscrizione automatica nel RPO, tramite apposito portale (“Estrazioni numeri fissi”).

È possibile escludere dalla verifica la chiamata effettuata su richiesta del contraente (per es. a titolo informativo o per concludere un contratto), assodato che la richiesta non si può equiparare a un consenso e che la chiamata deve essere isolata (così Pellegrini in Acciai, 183).

Rammentiamo infine che se l'operatore utilizzasse elenchi telefonici “generici” (rectius: non estratti dal DBU), potrebbe farlo solo con apposito consenso degli utenti (ferma in ogni caso la verifica del gestore sul RPO). Altrettanto, l'uso di numeri generati casualmente non esonera – se e in quanto coincidenti con numeri reali del DBU – dal rispetto della normativa (Abballe-Natali in Acciai, 105).

Obblighi di trasparenza da parte degli operatori

Dopo aver effettuato la verifica del RPO, l'operatore (ed eventuali call center) dovrà adempiere ad alcuni obblighi di trasparenza:

a) all'atto della chiamata dovrà presentare l'identificazione della linea (facoltativamente, secondo uno dei prefissi stabiliti dall'AGCOM con delibera 156/18/CIR, ai sensi della l. 5/2018, oppure comunque in chiaro);

b) inoltre si dovrà informare il contraente – nel materiale pubblicitario cartaceo o alla chiamata – (i) della fonte dei suoi dati di contatto (lecita estrazione dei dati dagli elenchi di contraenti, o altra che sia, ad es. consenso raccolto in una determinata situazione) e (ii) le indicazioni utili all'eventuale iscrizione del contraente nel RPO.

Tali informazioni, aggiunge il nuovo d.P.R., sono rese “anche con le modalità indicate dal Garante per la protezione dei dati personali in conformità a quanto previsto” dall'art. 12, par. 7 e 8, GDPR, quanto cioè all'uso di icone standardizzate (ovviamente solo per informazioni rese per iscritto o a video).

In assenza di interventi della Commissione Europea sul punto, si può allacciare tale riferimento alle icone suggerite dal Garante, in via generale, all'esito del proprio hackaton del 2021 (https://www.garanteprivacy.it/temi/informativechiare) e utilizzabili da chiunque (secondo licenza Creative Commons CC BY quanto all'uso).

Campagne e materiali informativi per il consumatore

Il MISE e la Presidenza del Consiglio dei ministri – in collaborazione con il Consiglio nazionale dei consumatori e degli utenti – hanno realizzato e promosso una campagna informativa rivolta ai contraenti nel primo semestre di funzionamento del RPO, che si è svolta dal 16 ottobre 2022, con varie modalità (media televisivi, stampa, online, ecc. – v. i materiali sul sito di FUB: https://registrodelleopposizioni.it/campagna-informativa). L'obiettivo era di favorire la piena consapevolezza dei loro diritti e delle modalità di opposizione al trattamento dei dati tramite RPO.

Per gli stessi fini, gli operatori devono mettere a disposizione di propri contraenti e destinatari analoghi “strumenti di sensibilizzazione”, altresì con l'inserimento di specifiche informative nei documenti di fatturazione o di promozione commerciale. Ciò non va dunque confuso con gli obblighi informativi detti sopra, dovuti ai sensi della trasparenza prescritta dalla normativa. Non si tratta di una novità del 2022, in passato si è trattato di una disposizione di fatto inattuata da parte di molti operatori, non da ultimo per via della sua genericità e per l'assenza di una sanzione specifica, lasciando la disposizione nell'ambito della buona volontà e nulla più.

Controllo da parte del Garante per la protezione dei dati personali e sanzioni.

Il gestore assicura l'accesso al RPO da parte (i) delle pubbliche amministrazioni, ove previsto dalla normativa vigente, e (ii) da parte del Garante per la protezione dei dati personali. Al fine di eseguire i controlli sull'organizzazione e sul funzionamento del registro stesso, nonché per ogni altra verifica o ispezione che risulti necessaria secondo quanto previsto dalla normativa privacy.

Alla violazione del diritto di opposizione – nelle forme previste dalla l. 5/2018 – si applicano le sanzioni previste dall'art. 83, par. 5 GDPR, quelle massime che possono arrivare fino a 20 milioni di euro o per le imprese fino al 4% del fatturato. Ipotizzabili sono altresì sanzioni penali ex art. 129 GDPR, a cui si rimanda. Da ultimo, si rammenta che determinate condotte “scorrette” di telemarketing, per es. omissive o ingannevoli – specie verso soggetti vulnerabili – potrebbero sempre ricadere, parallelamente, nell'ombrello delle pratiche commerciali scorrette, ai sensi della normativa consumeristica, con vaglio sanzionatorio da parte dell'AGCM.

L'entrata in vigore della riforma attuata dal d.P.R. non ha dato i frutti sperati, con l'imperversare di telefonate indesiderate a dispetto dell'iscrizione al RPO. A ottobre 2022 “il 55% degli iscritti al Registro pubblico delle opposizioni continua ad essere bersagliato dalle chiamate commerciali degli operatori per la vendita di beni e servizi. Secondo il Codacons, su 2,7 milioni di iscritti, circa 1,3 milioni di persone continuano a ricevere telefonate di marketing aggressive. Il 40% circa delle telefonate commerciali ricevute dagli utenti propone contratti di forniture per luce e gas, mentre il 32% è legato al mondo della telefonia” (https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9814571). Il fenomeno è dovuto a varie cause, come per es. i call center abusivi non verificati tramite la procedura del RPO, l'ID spoofing (numerazione mascherata del chiamante) e l'uso di numeri fittizi creati tramite software, oltre ai call center ubicati all'estero.

Il Garante – in forza dei poteri di vigilanza sul RPO conferiti dall'art. 130, comma 3-quater e dell'art. 144 del Codice privacy – ha avviato un servizio supplementare online di segnalazione di telefonate indesiderate in violazione del RPO (https://servizi.gpdp.it/diritti/s/segnalazione-telefonate-indesiderate). Attivabile da parte dei contraenti pur iscritti al RPO che, ciononostante, continuino a ricevere chiamate indesiderate.

Il Garante suggerisce che il contraente dovrebbe in primis verificare se abbia reso un eventuale consenso marketing, potendo revocarlo o opporsi direttamente verso gli operatori: intendiamo quindi verso il titolare del trattamento – “riconducibile, nella maggior parte dei casi, all'operatore economico nel cui interesse è stato effettuato il contatto promozionale” – oppure, se noto, rivolgendosi al responsabile del trattamento (cioè il call center, il partner commerciale, l'agente, il fornitore di servizi, ecc.), ai recapiti generalmente indicati nei relativi siti internet. Dopo aver tentato ciò e non aver ottenuto risultati, si potrebbe procedere con il servizio supplementare del Garante, inserendo nel modulo online tutti i dati identificativi richiesti. A complemento si rimanda al commento di questo volume sul Codice di condotta del telemarketing, il quale potrebbe arginare ulteriormente il fenomeno illecito tramite gli obblighi imposti ai rapporti contrattuali tra committenti e outsourcer.

Si segnala infine l'iniziativa dell'AGCOM circa il fenomeno dell'ID Spoofing, affrontato sia mediante ripetute diffide (ex multis v. delibera n. 112/19/CIR) che mediante un Comitato tecnico sulla sicurezza delle comunicazioni elettroniche con un tavolo tecnico ove si propongono varie soluzioni tecniche di blocco delle chiamate (Berti – Zumerle). Il problema potrebbe trovare un risolutivo argine proprio sul piano tecnico, per es. tramite protocolli di comunicazione STIR/SHAKEN in sperimentazione (Pellegrini in Acciai, 186).

L'utilizzo del codice o prefisso unico potrebbe essere superato dalla riforma europea della Direttiva 2002/58/CE, da parte del sempre “rimandato” progetto di regolamento ePrivacy: difatti nelle ultime versioni del testo vi è un obbligo – non già facoltà – di presentazione della linea chiamante con utilizzo di un codice o prefisso univoco. Superando così la linea più permissiva dell'attuale l. 5/2018. È obiettivamente facile immaginare che, anche nel caso di obbligo, la linea chiamante possa essere mascherata con ben poco sforzo, contribuendo modestamente a dissuadere il settore dalle peggiori condotte (Patti, 117).

Vi è stato un articolato confronto tra le autorità coinvolte (Garante su tutti) per un corto circuito tra due previsioni della l. 5/2018: le numerazioni riservate sono state “forzatamente” travasate nelle liste del RPO, pur richiedendo, in realtà, un atto volitivo – la richiesta di iscrizione – dell'interessato. Pur contraddittorio, si può vedere come “un compromesso giuridicamente accettabile” per il beneficio collettivo. Diversamente, si avrebbero avute utenze persino di maggior riservatezza (non presenti in elenchi pubblici) liberamente contattabili, in forza dell'art. 130 comma 3-bis del Codice privacy. Si è infine presunto che il fatto di non avere un numero in elenchi pubblici possa attestare la volontà di non essere contattati, e quindi di essere iscritti al RPO.

Sussisteva però un altro effetto potenziale, e più discutibile, di tale inserimento forzato: la revoca automatica di tutti i consensi previamente ed eventualmente resi. Il che avrebbe configurato una sorta di esercizio di un diritto individuale “imposto ex lege ” – non certo una manifestazione di volontà come richiesto dal GDPR quanto al consenso e alla sua revoca. Si è infine giunti a restringere l'efficacia del travaso – limitatamente a queste numerazioni – alla sola non contattabilità. Di conseguenza, i consensi precedentemente concessi vengono revocati solo se segue un'esplicita iscrizione da parte dell'interessato all'RPO (v. Patti, 119-120).