Garante per i dati personali - 20/02/2014 - n. 83 Articolo unico

La disciplina del marketing e delle comunicazioni indesiderate

Il fenomeno delle chiamate mute rientra nell'alveo delle offerte commerciali e quindi del marketing diretto che può essere definito come qualsiasi forma di pubblicità mediante la quale un Titolare invia comunicazioni direttamente a uno o più utenti (cioè interessati), identificati o identificabili, attraverso servizi di comunicazione elettronica (es. e-mail, fax, telefono, SMS, messaggistica istantanea). Vengono inclusi in tale categoria i messaggi inviati da partiti politici (per finalità di promozione del partito) e da organizzazioni senza scopo di lucro (per sostenere le finalità dell'organizzazione).

Le modalità suddette, cui si sostanzia il fenomeno delle c.d. chiamate mute, non possono che contravvenire con quanto previsto dall'art. 11 del codice privacy A-R e, dunque, con il Capo II del Regolamento, art. 5 GDPR in relazione ai principi applicabili al trattamento di dati personali, ove viene disposto che i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»), nonché adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»).

Il trattamento dei dati personali per finalità di marketing diretto non è un argomento direttamente affrontato dal codice privacy, che rimanda a quanto previsto all'interno del Regolamento..

L'art. 130 del cod. privacy regola i trattamenti finalizzati all'invio di materiale pubblicitario, alla vendita diretta, al compimento di ricerche di mercato o di comunicazione commerciale; tale norma costituisce la disciplina di riferimento per le comunicazioni indesiderate di cui l'interessato potrebbe essere destinatario. Il d.lgs. n. 101/2018, è intervenuto modificando il capo I del Titolo X “Servizi di comunicazione elettronica” che fornisce, all'art. 121 del cod. privacy le definizioni in materia di comunicazioni elettroniche per coordinare il suo contenuto con quanto previsto dal Regolamento.

Per l'invio di materiale pubblicitario, di vendita diretta, per il compimento di ricerche di mercato o di comunicazione commerciale è consentito l'uso di sistemi automatizzati di chiamata senza l'intervento di un operatore solo con il consenso dell'utente. È vietato l'utilizzo di compositori telefonici per la ricerca automatica di numeri anche non inseriti negli elenchi di abbonati.

Se la comunicazione è effettuata con mezzi diversi ma per le stesse finalità, la disciplina è da rintracciare negli artt. 6 e 7 del Regolamento peraltro l'utente non deve aver esercitato il diritto di opposizione iscrivendo la numerazione della quale è intestatario nell'apposito registro pubblico.

Chi effettua il trattamento ha l'obbligo di identificare la linea chiamante e di fornire all'utente idonee informative (es. modalità di iscrizione al registro delle opposizioni).

D'altro canto il titolare del trattamento può svolgere soft spam senza il consenso, utilizzando l'email che l'interessato ha fornito nel contesto di una vendita sempre però che si tratti di servizi o prodotti analoghi e che l'interessato non rifiuti tale uso.

È bene sottolineare che il soft spam non costituisce un espediente per inviare offerte “mirate”, per verificarsi tale circostanza, infatti, occorrerà necessariamente acquisire un consenso libero, specifico e informato.

L'art. 130 del cod. privacy (commi 1 e 2) traccia un divieto generale di comunicazioni in assenza di consenso prestato da persone fisiche o giuridiche. Il soft spam, invece, si riferisce specificamente agli “interessati” (ossia alle persone fisiche).

Il Codice privacy regola il trattamento dei dati degli utenti per finalità di invio di materiale pubblicitario, vendita diretta, compimento di ricerche di mercato e comunicazioni commerciali.

La base giuridica del trattamento è correlata al canale utilizzato: relativamente al trattamento per finalità di invio di materiale pubblicitario, vendita diretta, compimento di ricerche di mercato e comunicazioni commerciali l'art. 130 commi 1-3 prevede che è ammesso soltanto su espresso consenso del contraente se effettuato tramite l'uso di sistemi automatizzati di chiamata senza l'intervento di un operatore, posta elettronica, telefax, mms o sms o con mezzi diversi da quelli ivi indicati, salvo alcuni limiti di legge.

L'art. 130 comma 3-bis prevede, invece, che le comunicazioni mediante l'impiego del telefono e della posta cartacea sono consentite solo verso coloro che non abbiano effettuato l'iscrizione presso il registro pubblico delle opposizioni (si veda a tal proposito il commento relativo al Registro delle opposizioni e alla l. n. 5/2018).

È diritto del soggetto interessato opporsi, in qualsiasi momento e gratuitamente, a tale trattamento, sia con riguardo a quello iniziale sia con riferimento ad eventuali ulteriori trattamenti per scopi di marketing diretto, compresa la profilazione di cui all'art. 21 del GDPR.

Il Regolamento richiede espressamente al Titolare del trattamento di portare, esplicitamente, all'attenzione dell'interessato la possibilità di opporsi ai trattamenti effettuati per finalità di marketing diretto; nelle informative deve, difatti, essere presentata chiaramente e separatamente da qualsiasi altra informazione la possibilità di opporsi a tale trattamento.

Se il titolare del trattamento organizza una campagna di marketing, egli potrà utilizzare diversi strumenti elettronici per inviare comunicazioni di marketing, anche non sollecitate, come, ad esempio, telefonate, e-mail, materiale inviato per posta.

È consentito l'utilizzo dei recapiti e-mail nell'ambito di una relazione commerciale esistente, finalizzato alla proposta di prodotti o servizi analoghi mediante marketing diretto. Anche se gli interessati hanno espresso il consenso a ricevere comunicazioni di marketing diretto, il Titolare deve lasciare sempre la facoltà di revocare agevolmente tale consenso in qualsiasi momento e con qualsiasi modalità (es. in forma scritta o orale).

Il Regolamento, al considerando 47, ammette la possibilità che trattare dati personali per finalità di marketing diretto possa essere considerato legittimo interesse. Quest'ultimo costituisce una nuova base giuridica di liceità del trattamento ai sensi dell'art. 6) lettera f) GDPR, che recita che il trattamento è lecito “se è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore”.

Se il trattamento è basato sulla predetta condizione di liceità non occorre il consenso dell'interessato, purché vengano debitamente valutate le ragionevoli aspettative di quest'ultimo, in base alla relazione con il titolare del trattamento; naturalmente occorrerà nel rispetto di quanto previsto agli artt. 12 e ss. GDPR, avvisare l'interessato del fatto che i suoi dati sono trattati in base ai legittimi interessi. Il titolare, prima di iniziare qualsiasi trattamento dei dati sulla base dei legittimi interessi, deve non solo valutare se ha valutato tutti i rischi, ma anche essere in grado di dimostrare che gli interessi relativi sono stati correttamente bilanciati tra loro.

Le regole individuate dal Garante per frenare il fenomeno delle telefonate mute

Nel definire le regole il Garante ha tenuto conto delle ragioni dei soggetti interessati e delle loro legittime aspettative di tutela, nel convincimento, tuttavia, che siano, così, salvaguardate anche l'operatività e l'efficienza degli operatori di telemarketing, dal momento che le chiamate “mute” comportano spesso l'effetto di compromettere, minandola, qualsiasi futura disponibilità dell'interessato all'ascolto e all'adesione alla proposta commerciale.

Il Garante, nel determinare le seguenti regole rivolte ai call center faceva riferimento agli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del codice privacy A-R, abrogati e così rispettivamente sostituiti dal d.lgs. n. 101/2018: art. 143 il quale disciplina la decisione del reclamo (ex sezione II del cod. privacy “tutela amministrativa”) e art. 154, comma 1 lett. c) cod. privacy che disciplina i compiti del Garante Privacy tra i quali rientra il promuovere l'adozione di regole deontologiche, nei casi di cui all'art. 2-quater del codice privacy. L'Allegato A.7 al codice privacy A-R(Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale) rimane applicabile fino alla definizione della procedura di approvazione del Garante Privacy (ex art. 20, comma 1 d.lgs. n. 101/2018).

La Giurisprudenza intervenuta sul punto, riferendosi alla disciplina antecedente a quella ora in vigore, ha chiarito che il sistema consistente nel programmare in anticipo le chiamate, per ottimizzare il successo di quelle che vengono trasmesse agli addetti dei call center, “fa ricadere il rischio e il disagio delle chiamate mute sui soli destinatari” (Cass. n. 2126/2016). Tale sistema, pertanto, non rientra “nei canoni della correttezza, pertinenza e non eccedenza rispetto alle finalità del loro utilizzo”, con cui vanno gestiti i dati personali ai sensi degli artt. 4 e 11 del codice privacy A-R (cfr. Cass. S.U., n. 3033/2011).

In conformità a quanto stabilito dal considerando 173 GDPR, il quale stabilisce l'opportunità di modificare la direttiva 2002/58/CE del 12 luglio 2002 relativa alla vita privata e alle comunicazioni elettroniche per assicurare la coerenza con il Regolamento il Titolare deve essere consapevole che, per svolgere una campagna di marketing e telemarketing oltre ad essere conforme a quanto previsto nel Regolamento, dovrà rispettare, altresì, la predetta direttiva relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (c.d. Direttiva e-privacy), attualmente in corso di revisione in sede parlamentare europea (il legislatore europeo sta terminando la procedura legislativa diretta ad adottare il nuovo Regolamento e-privacy che abrogherà la Direttiva e-privacy). La presente normativa prevede che se gli interessati ricevono chiamate effettuate da sistemi automatici di chiamata oppure telefonate di marketing diretto (es. telemarketing), il titolare e/o responsabile dovrebbe fare in modo che gli interessati possano sempre visualizzare il loro identificativo di linea cui il Titolare e/o Responsabile può essere contattato o presentare un codice specifico che identifichi il fatto che la chiamata ha carattere commerciale.

Per tali ragioni, specie in una prospettiva di medio-lungo periodo, l'adozione di accorgimenti e correttivi tesi alla riconduzione del fenomeno entro fisiologici limiti di tollerabilità soddisfa l'interesse di tutti i soggetti coinvolti all'adozione di comportamenti e pratiche commerciali più virtuose, cioè meno invasive e più efficienti. Una politica commerciale particolarmente aggressiva la quale, a discapito degli interessati, abbia il solo obiettivo di garantire l'efficienza del call center mediante un abuso indiscriminato e non corretto dei dati personali degli interessati medesimi, non può infatti considerarsi conforme alla richiamata fattispecie di legge, tenuto anche conto del forte impatto e delle possibili degenerazioni cui il fenomeno può dar luogo. E ciò, naturalmente, anche qualora la persona contattata abbia preliminarmente acconsentito (mediante esplicito consenso) all'utilizzo dei propri dati per finalità commerciali ovvero, in caso di informazioni tratte dall'elenco telefonico, l'utenza in questione non sia stata preliminarmente iscritta nel Registro delle opposizioni.

La prima regola individuata dal Garante si riferisce all'individuazione dell'identificativo univoco, secondo il quale, la percentuale media di chiamate “mute” consentita deve inoltre essere misurata in relazione ad ogni singola campagna di telemarketing la quale dovrà essere contrassegnata da un identificativo unico e comunque la misurazione, che decorre dall'inizio della campagna stessa, deve essere rinnovata al termine di un periodo temporale non superiore in ogni caso a 10 giorni.

La seconda regola fa riferimento al censimento delle chiamate andate a buon fine. A tal proposito occorre fare una premessa distinguendo la chiamata “andata a buon fine” che si ha quando si riceve risposta dall'interessato la quale comporta generalmente un addebito per il chiamante dalla “chiamata muta” la quale, pur avendo ricevuto risposta e dunque essendo andata a buon fine, non è tuttavia disponibile un operatore del call center prima che il chiamato ovvero il sistema di gestione in dotazione al call center l'abbiano abbattuta. Se ne deduce che le chiamate “mute” costituiscono necessariamente una species del genus “andate a buon fine” e che pertanto esse possono determinarsi soltanto all'interno, appunto, di tale categoria, cui peraltro possono appartenere anche altre tipologie di telefonate (ad esempio, quelle che ricevono risposta da dispositivi quali fax o segreterie telefoniche). La regola dettata dal Garante prevede che i call center, nel recepire nei propri sistemi interconnessi con la rete pubblica i codici che individuano gli esiti delle chiamate trasmessi dalle centrali pubbliche, devono individuare una classe all'interno della quale censire tutte (e sole) le chiamate “andate a buon fine”. Tale insieme deve essere ulteriormente suddiviso in altre due sottocategorie: la prima, che è possibile denominare come “classe A” (che identifica le chiamate “mute”, ed in cui far confluire le telefonate che non abbiano ricevuto risposta dall'operatore del call center entro il tempo di 3 secondi, oltre il quale la chiamata dovrà essere “abbattuta” dal sistema; ritenuta congrua tale soglia in considerazione del fatto che il requisito di interattività di una conversazione telefonica è garantito fino al raggiungimento, appunto, del limite come indicato), la seconda sottocategoria, che è possibile denominare come “classe B”, all'interno della quale far confluire tutte le residue tipologie di chiamate “andate a buon fine”.

Un'ulteriore regola da riferimento al c.d. “ comfort noise ”, secondo cui i titolari, agendo direttamente ovvero fornendo adeguate istruzioni ai propri responsabili, sono tenuti all'adozione di un accorgimento tecnico denominato comfort noise . Si tratta della trasmissione, da parte del call center all'utente chiamato, di una traccia audio preregistrata che riproduce un rumore ambientale sintetico.

In pratica, per ogni chiamata andata a buon fine in relazione alla quale non sia disponibile un operatore del call center, il sistema di gestione delle chiamate deve garantire che il menzionato rumore di sottofondo prenda immediatamente, e cioè nel momento stesso in cui l'interessato solleva il ricevitore, il luogo dell'operatore stesso, attenuando così l'effetto chiamata “muta” e limitando l'inquietudine e l'allarme dell'interessato. Il comfort noise deve, infatti, essere congegnato in modo da dare la sensazione di provenire da un ambiente lavorativo (ad es. con voci di sottofondo, squilli di telefono, brusio etc.), di modo che l'utente chiamato, ancorché non messo in contatto con l'operatore, abbia comunque la sensazione che la telefonata ricevuta provenga da un call center e possa così escludere ogni ipotesi malevola sulle intenzioni dello sconosciuto chiamante.

Le predette regole sono in linea con le modifiche apportate dal codice privacy.

Ulteriore regola prevista dal Garante è quella del divieto di ricontatto per un certo tempo; il Garante, nel provvedimento analizzato, affermava che a seguito di una telefonata “muta”, deve essere preclusa la possibilità di richiamare quella specifica utenza per un intervallo non inferiore a cinque giorni, ritenuto congruo tale periodo anche perché commisurato sia al periodo (quindicinale) di utilizzabilità delle liste di dati provenienti dagli elenchi telefonici a seguito del riscontro presso il Registro pubblico delle opposizioni, sia alla durata media delle campagne di telemarketing, generalmente pari a 30-60 giorni, come stimata a seguito degli accertamenti del Garante. Inoltre il successivo riuso del numero deve avvenire in modo da assicurare il ricorso ad un sistema prioritario di instradamento della chiamata, tale che sia sempre garantita la presenza di un operatore disponibile prima che essa venga effettuata.

La disciplina normativa relativa al trattamento dei dati contenuti negli elenchi telefonici introdotta dal Codice Privacy integra le disposizioni del Regolamento relative al marketing diretto e alle comunicazioni elettroniche. La disciplina delle liste di dati provenienti da elenchi dei contraenti, è disciplinata dall'art. 129 del cod. privacy (si veda, a tal riguardo, Provvedimento GPDP 19 gennaio 2011 [web n. 016] “Prescrizioni per il trattamento di dati personali per finalità di marketing, mediante l'impiego del telefono con operatore, a seguito dell'istituzione del registro pubblico delle opposizioni – 19 gennaio 2011”).

Quanto alla disciplina del Registro delle opposizioni (RPO) è opportuno un richiamo alla recente normativa intervenuta in tema di telemarketing e iscrizione e funzionamento del RPO. Il 3 febbraio 2018 è stata pubblicata in Gazzetta ufficiale la l. n. 5/2018 recante “Nuove disposizioni in materia di iscrizione e funzionamento del RPO e istituzione di prefissi nazionali per le chiamate telefoniche a scopo statistico, promozionale e di ricerche di mercato”.

Con l'iscrizione al registro, si intendono revocati tutti i consensi al trattamento dei dati personali espressi in precedenza, fatti salvi solamente i “i consensi prestati nell'ambito di specifici rapporti contrattuali in essere, ovvero cessati da non più di trenta giorni, aventi ad oggetto la fornitura di beni o servizi, per i quali è comunque assicurata, con procedure semplificate, la facoltà di revoca”. In virtù di tale disposizione sarà possibile, per gli utenti, indicare specifiche deroghe al regime di opposizione generale in favore di determinati titolari/operatori commerciali. Tale normativa, introduce delle importanti novità in materia di telemarketing, tra cui l'obbligo di rendere conoscibile la natura commerciale delle telefonate provenienti da call center e la possibilità di iscrivere al registro delle opposizioni anche le numerazioni fuori elenco (telefoni fissi non iscritti negli elenchi telefonici di abbonati di cui al d.P.R. n. 178/2010), comprese quelle di telefonia mobile. Diversamente, prima dell'entrata in vigore della predetta legge, tale possibilità era prevista solo per gli utenti registrati negli elenchi pubblici.

È opportuno indicare, che il 3 febbraio 2019 è entrato in vigore il d.P.R. n. 149/2018 che introduce nuove regole relativamente all'impiego della posta cartacea.

Il d.P.R. n. 149/2018 integra le previsioni riferite “all'impiego del telefono” con un espresso richiamo anche alla “posta cartacea”. La predetta normativa equipara il trattamento per finalità di marketing degli indirizzi postali (presenti negli elenchi telefonici pubblici) a quelli delle relative numerazioni. Se gli intestatari dei dati di contatto non si oppongono, attraverso l'iscrizione al Registro delle opposizioni, saranno consentiti i contatti pubblicitari mediante telefono e posta cartacea.

Ciascun operatore, dunque, che intenda effettuare il trattamento dei dati di contatto di consumatori o potenziali tali per fini di invio di materiale pubblicitario o di vendita diretta, per il compimento di ricerche di mercato o di comunicazione commerciale, sia mediante l'impiego del telefono sia mediante l'impiego della posta cartacea, sarà obbligato alla preventiva consultazione del Registro delle opposizioni per verificare se gli intestatari hanno espresso un dissenso dei propri dati di contatto alla ricezione di pubblicità, vendite o ulteriori proposte commerciali.

Ogni abbonato, il quale poteva già richiedere al gestore che la propria numerazione sia iscritta nel Registro delle opposizioni, può richiedere anche l'iscrizione dell'indirizzo postale di cui risulta intestatario attraverso la compilazione di apposito modulo elettronico sul sito web del gestore del registro, mediante posta elettronica, o invio di lettera raccomandata al gestore o tramite chiamata al numero telefonico gratuito appositamente predisposto dal gestore del registro.

La disciplina di settore ante riforma ha scontato due principali limiti: il primo è legato alla circostanza che le utenze telefoniche che potevano registrarsi nel RPO – Registro delle Opposizioni, garantendo il non disturbo, erano solo quelle presenti nell'elenco pubblico del telefono; ne rimanevano escluse sia le utenze dei cellulari, sia quelle riservate (e quindi le utenze per le quali l'abbonato, esercitando un proprio diritto, chiede all'atto dell'abbonamento la non pubblicazione sull'elenco). Il secondo limite riguarda il fatto che l'iscrizione dell'utenza nel RPO non annullava un eventuale precedente consenso rilasciato dall'abbonato a uno specifico operatore a ricevere sue telefonate commerciali: motivo per cui l'operatore era comunque legittimato a contattare telefonicamente l'utenza, sebbene questa risultasse registrata all'interno del registro. Ai sensi dell'art. 1, comma 6 l. n. 5/2018ogni consenso al marketing telefonico o alla cessione di dati a terzi per fini di marketing telefonico, prestato dall'interessato dopo la propria iscrizione volontaria al registro delle opposizioni, deve valere in eccezione rispetto al regime di opposizione generale. La norma non riconosce il medesimo valore alla volontà degli individui iscritti “d'ufficio” al registro delle opposizioni ex comma 3, in quanto la loro utenza non risulta pubblicata sugli elenchi telefonici.

La norma, al comma 5, annulla la validità di qualsiasi consenso espresso per la finalità di marketing diretto (telefonico) e vieta, altresì, l'utilizzo dei dati, per quanto “consensati”, in liste cedute o noleggiate a terzi. A parer di chi scrive quest'ultima pare una previsione in contrasto con gli artt. 6.1.a) GDPR e 13.3 della Direttiva2002/58/CE: mentre nelle norme appena riportate, si dà peso alla volontà dell'interessato, il comma 5 dell'art. 1 della l. n. 5/2018 retroattivamente lo svuota di valore. L'ultimo periodo fa salvi solo i consensi già rilasciati “nell'ambito di specifici rapporti contrattuali in essere, ovvero cessati da non più di trenta giorni, aventi ad oggetto la fornitura di beni o servizi”. Il comma 12 dell'art. 1 della l. n. 5/2018 prevede che gli operatori che utilizzano i sistemi di pubblicità telefonica e di vendita telefonica o che compiono ricerche di mercato o comunicazioni commerciali telefoniche hanno l'obbligo di consultare mensilmente, e comunque precedentemente all'inizio di ogni campagna promozionale, il registro pubblico delle opposizioni e di provvedere all'aggiornamento delle proprie liste. Secondo la scrivente tale informazione presuppone che ogni attività di marketing telefonico diretto si suddivida in diverse “campagne” svincolate l'una dall'altra, quando invece possono esservi dei trattamenti continuativi, basati sul consenso degli interessati, tesi all'aggiornamento su promozioni, offerte e altre iniziative promozionali (si veda il commento alla l. n. 5/2018 contenuto nel presente volume).

In tema di consenso la l. n. 124/2017 ha cancellato il comma che imponeva all'operatore di call center, al momento di avvio di un contatto, anche non sollecitato con l'abbonato, di richiedere un esplicito consenso al proseguimento della conversazione.

Ultima regola prevista dal Garante è quella relativa alla conservazione dei report statistici, secondo cui i call center sono tenuti a conservare i report statistici delle percentuali di telefonate “mute” effettuate per ciascuna campagna e dunque comprensivi dei codici unici identificativi di ogni singola campagna di telemarketing, per un periodo non inferiore a due anni, sì da consentire gli eventuali controlli e riscontri ritenuti opportuni. Secondo il considerando 162 GDPR qualora i dati personali siano trattati per finalità statistiche, dovrebbe trovare applicazione tale normativa relativamente a tale trattamento. Per finalità statistiche si intende qualsiasi operazione di raccolta e trattamento di dati personali necessari alle indagini statistiche o alla produzione di risultati statistici. La finalità statistica implica che il risultato del trattamento per finalità statistiche non siano dati personali, ma dati aggregati, e che tale risultato o i dati personali non siano utilizzati a sostegno di misure o decisioni riguardanti persone fisiche specifiche. Ai sensi dell'art. 5 lett. e) GDPR i dati personali sono conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; in particolare, possono essere conservati per periodi più lunghi i dati personali trattati a fini statistici, conformemente all'art. 89, paragrafo 1 GDPR, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato.

L'Autorità della privacy ha pubblicato sul proprio sito le istruzioni per segnalare chiamate promozionali effettuate con sistemi automatizzati o con l'intervento di un operatore, un nuovo strumento a disposizione dei cittadini per bloccare le chiamate indesiderate e anche quelle “mute”. Sul sito dell'Autorità è presente un modulo da compilare relativamente alla segnalazione che deve riguardare un solo titolare (il soggetto nel cui interesse è effettuata la promozione) ma possono essere inserite segnalazioni relative a più chiamate (purché riferite sempre allo stesso titolare). La segnalazione può riguardare anche la ricezione di “telefonate mute”, ovvero chiamate effettuate per finalità commerciali, nelle quali la persona contattata, dopo aver sollevato il ricevitore, non viene messa in comunicazione con nessun interlocutore (in sottofondo si possono sentire rumori ambientali). Viene raccomandata la massima precisione nella compilazione dei dati poiché, spiega l'Autorità, “data l'ingente mole di segnalazioni che pervengono al Garante, le informazioni comunicate in tale modulo saranno esaminate in maniera automatizzata aggregando e confrontando le informazioni ricevute”. Si ricorda inoltre che “le false dichiarazioni all'Autorità hanno conseguenze di carattere penale”. Le informazioni trasmesse saranno tenute in considerazione, si legge in una nota, “nell'ambito della generale e costante attività condotta dall'Ufficio per contrastare il fenomeno delle comunicazioni indesiderate”. Una volta completata la procedura per la segnalazione online, in base agli elementi inseriti, il sistema invierà in risposta una email automatica contenente alcune preliminari informazioni sul fenomeno segnalato e sui rimedi attivabili. Non necessariamente seguiranno altre comunicazioni da parte dell'Ufficio. L'Autorità riporta una ulteriore forma di truffa, il “vishing” (o phishing vocale) la quale è una forma di truffa, sempre più diffusa, che utilizza il telefono come strumento per appropriarsi di dati personali – specie di natura bancaria o legati alle carte di credito – e sottrarre poi somme di denaro più o meno ingenti. Il Garante privacy spiega perché può essere molto pericoloso e fornisce suggerimenti utili per difendersi. Di solito le vittime vengono contattate telefonicamente da finti operatori (di banche o di società che gestiscono bancomat o carte di credito) che, con la scusa di presunte “anomalie”, chiedono alle persone, nel loro stesso interesse, di collaborare a mettere in campo necessarie (e false) “procedure di sicurezza”. Nel caso più frequente, i truffatori (i “visher”) chiedono direttamente di fornire i riferimenti del conto corrente o della carta di credito (come il pin del bancomat o quello utilizzato per l'Internet banking, il numero della carta, il codice di sicurezza sul retro della carta, i dati della password temporanea per eseguire operazioni sul conto bancario e sulla carta di credito, ecc.). In altri casi – durante o dopo la finta telefonata di allarme – viene inviato sul cellulare un messaggio con un codice di conferma e viene chiesto alla vittima di leggerlo ad alta voce all'operatore. Tale codice serve in realtà ad autorizzare trasferimenti di denaro a vantaggio dei truffatori, entrati precedentemente in possesso dei dati bancari o della carta di credito (ad esempio, attraverso altre azioni di phishing o tramite altri cybercriminali). Alle vittime può anche essere chiesto di scaricare e installare app e programmi, che ufficialmente dovrebbero servire per proteggere conti e carte di credito, ma che in realtà possono operare come trojan (cioè programmi malevoli) utili a carpire dati personali o addirittura capaci di accedere alle app e ai programmi con cui si gestiscono internet banking e carte di credito. Spesso i truffatori chiedono alle loro vittime di inserire nella app malevola dati bancari o della carta di credito, per poi appropriarsene. Dati e informazioni personali, codici di accesso, pin password, dati bancari e della carta di credito non dovrebbero mai essere comunicati a sconosciuti. È importante tenere presente che amministrazioni pubbliche, banche e aziende fornitrici di carte di credito conoscono già determinate informazioni (numero di conto o numero della carta, ecc.) e non dovrebbero richiedere le informazioni che esse stesse ci invitano a mantenere riservate (PIN, password, codici di autorizzazione, ecc.). Altra buona cautela è quella di evitare di richiamare numeri sconosciuti, soprattutto nel caso di telefonate mute con caduta immediata della linea e se la numerazione appare anomala. Se si ha il dubbio di essere stati o poter essere vittime di vishing (e in generale di phishing) è consigliabile contattare immediatamente la banca o il gestore della carta di credito attraverso canali di comunicazione conosciuti e affidabili per segnalare e, in caso di sottrazione di denaro, richiedere il blocco delle transazioni. In questa seconda ipotesi, si può anche segnalare la truffa subita alle autorità di polizia.

La normativa che regola l'attività dei call center

Oltre al Provvedimento del Garante in tema di chiamate mute ulteriori dettami normativi sono rinvenibili nella legge di bilancio 2017, l. n. 232/2016, la quale regola l'attività dei call center.

Tale norma trova applicazione indipendentemente dal numero dei dipendenti occupati nei call center ed estende notevolmente il campo di applicazione della disciplina, coinvolgendo tutti gli operatori che esercitano tale attività, a prescindere dal fatto che tali attività siano svolte in modo diretto oppure affidate a soggetti terzi. Tra gli obblighi principali imposti ai soggetti che svolgono l'attività di call center su numerazioni nazionali c'è l'iscrizione nel ROC (registro degli operatori di comunicazione) introdotto dalla delibera Agcom 666/08 Cons. del 26 novembre 2008, comunicando alla stessa Autorità tutte le numerazioni telefoniche messe a disposizione del pubblico e utilizzate per i servizi di call center. La predetta normativa prevede anche il rispetto di ulteriori obblighi di informazione nei confronti degli utenti, come la conoscibilità del Paese di origine della chiamata.

A tal riguardo è opportuno richiamare il GPDP, 10 ottobre 2013, [doc. web n. 2724806], i cui effetti sono stati caducati dalle previsioni contenute nell'art. 1, comma 243, l. n. 232/2016 (legge di bilancio). L'art. 1 della predetta legge ha sostituito l'art. 24-bis, d.l. n. 83/2002 prevedendo che quando un utente effettua una chiamata ad un call center deve essere informato preliminarmente in merito al Paese in cui è fisicamente collocato l'operatore che risponde (Territorio nazionale, Paesi UE, Paesi extra UE). Analoga informazione deve essere fornita nel caso in cui l'utente riceva una chiamata da un call center. La mancata informazione preliminare di cui sopra comporta l'applicazione di una sanzione amministrativa pari a 50.000 euro per ogni giornata di violazione.

Nel caso in cui l'operatore risulti localizzato in un Paese extra Ue, lo stesso utente dovrà essere informato della possibilità di richiedere che il servizio sia reso tramite un operatore collocato nel proprio territorio nazionale o, comunque, nel territorio di un altro Paese membro dell'Unione europea. La violazione di tali obblighi comporta l'applicazione di gravose sanzioni amministrative pecuniarie da parte del Ministero dello sviluppo economico, alle quali si possono aggiungere ulteriori sanzioni da parte dei Garanti Privacy, qualora siano state rilevate anche delle violazioni degli obblighi di informativa di cui al Regolamento.

Il testo di legge fornisce, altresì, un modulo di comunicazione nel quale la Società iscritta al ROC comunica le numerazioni telefoniche messe a disposizione del pubblico e utilizzate per i servizi localizzati in un Paese che non sia membro dell'UE dichiarando che la stessa svolge o meno l'attività di call center in proprio o se ha affidato totalmente o parzialmente l'attività di call center ad ulteriore impresa.

Il Registro delle opposizioni pare tendere una mano all'utente in difficoltà; gli operatori hanno l'obbligo di consultarlo periodicamente e di spuntare dai propri elenchi di numeri da chiamare quelli iscritti in tale Registro.

L'art. 2 della l. n. 5/2018 ha, altresì, introdotto a carico dei call center l'obbligo di rendere identificabili le proprie chiamate attraverso l'adozione di due distinti prefissi telefonici, uno per le chiamate commerciali ed uno per le chiamate destinate a raccogliere dati statistici o svolgere indagini di mercato. Il Garante per le comunicazioni, di recente, ha stabilito che il prefisso “0844” sarà quello destinato a identificare le telefonate commerciali, mentre il prefisso “0843” sarà quello destinato ai call center che operano per indagini di tipo statistico, ad eccezione dell'Istat che avrà un suo prefisso specifico. L'unica alternativa prevista per i call center che intendono evitare tale imposizione è quella di utilizzare delle numerazioni in chiaro, quindi facilmente identificabili, e direttamente richiamabili da parte degli utenti, così da garantire a questi ultimi di potersi mettere direttamente in contatto con il singolo operatore per esprimere immediatamente il proprio dissenso all'utilizzo del proprio numero.

La tutela dei cittadini nel mondo del telemarketing passa attraverso l'uso combinato dei servizi offerti dal Registro unico degli operatori di comunicazione e dal Registro delle opposizioni. Grazie al primo, infatti, ogni utente, tramite il servizio on line presente sul sito dell'Agcom, può identificare la provenienza di una chiamata commerciale, verificando se il numero da cui è stato contattato appartiene realmente ad un call center e se questo è un operatore che agisce in proprio oppure “per conto terzi”. Semmai lo stesso utente volesse, poi, porre fine drasticamente alla possibilità stessa di ricevere delle chiamate da parte di più operatori di telemarketing, gli sarà sufficiente iscriversi al RPO, per vietare a questi ultimi di utilizzare il proprio numero fisso o di cellulare per scopi di carattere commerciale o statistico. E ciò con effetto retroattivo rispetto al consenso eventualmente già prestato a qualche operatore.