Contattare a fini di marketing clienti ed ex clienti può non essere così agevole se non si è ragionato in ottica di privacy by design e trasparenza: è questa la lezione che apprendiamo dal recente provvedimento con cui il Garante privacy ha sanzionato Eni Plenitude per oltre 6 milioni di euro
Pubblicato il 5 lug 2024 – Sergio Aracu – Avvocato, Founding Partner Area Legale S.r.l.
l recente provvedimento con cui il Garante privacy ha emesso una sanzione di oltre 6 milioni di euro a Eni Plenitude è l’ultimo di una serie di provvedimenti dell’Autorità per la protezione dei dati personali in materia di telemarketing – teleselling illegale o illegittimo (che dir si voglia) tutti molto focalizzati sulla mancanza di controllo (attivo e passivo) della catena dei fornitori. Con l’approvazione del Codice di Condotta, ormai, il Garante ritiene – correttamente – sufficientemente delineata la tipologia e l’efficacia delle misure da porre in essere per evitare, di default, che possa arrivarsi ad un contratto attraverso un contatto non legittimo.
Validità dei consensi di clienti ed ex clienti
Smarcherei abbastanza velocemente questo aspetto, affrontato più e più volte in articoli e provvedimenti, oltre ad essere è molto chiaramente declinato nel Codice di Condotta. Posso solo aggiungere, sul punto, che – in linea generale – mi trovo d’accordo con chi sostiene che non sia corretto arrivare al punto di configurare una vera e propria responsabilità oggettiva nei confronti di chi tratta dati personali. Penso però, altresì, che in ambito di direct marketing (quindi non solo di telemarketing e teleselling) la maggior parte dei players siano ancora ben lontani dall’aver messo in atto tutte le misure possibili tenuto conto dello stato dell’arte, dei costi di attuazione e del contesto e delle finalità del trattamento. Ma non voglio addentrarmi nella necessità di ristrutturare quasi da zero i CRM o di riportare ad una contrattazione di prossimità i canali ad essa destinati (es: agenzie, punti vendita) che invece – specialmente dal “periodo covid” in poi – lavorano come se fossero contact center senza averne le caratteristiche previste dalla legge e senza rientrare nei serrati controlli che invece subisce il canale teleselling da parte dei committenti. Vorrei qui, invece, approfondire quella che, salvo mio errore, è una valutazione che l’Autorità non aveva ancora effettuato rispetto ad un peculiare aspetto della validità dei consensi di clienti ed ex clienti cessati da meno di 30 giorni. Valutazione che, invece, viene esplicitata proprio nel Provvedimento n. 342 del 6 giugno 2024 a carico di Eni Plenitude. Una breve, doverosa, premessa. La legge prevede che, prima di telefonare a qualcuno o prima di spedirgli una lettera con finalità (per brevità) di marketing, occorra sempre verificare che il suddetto non si sia opposto al marketing o abbia revocato il consenso iscrivendosi all’apposito registro tenuto dalla Fondazione Ugo Bordoni. La stessa legge, però, come noto agli addetti ai lavori, prevede anche un’eccezione: se il contraente che voglio contattare (lecitamente per avere ottenuto un suo consenso), è un mio cliente o lo è stato sino a trenta giorni prima del contatto, posso evitare di consultare il Registro delle Opposizioni.
Ma cosa vuol dire, di preciso, assicurare, con procedure semplificate, la facoltà di revoca? È sufficiente prendere atto dei normali canali di interlocuzione tra cliente e titolare o è invece mandatorio strutturare uno o più canali dedicati specificatamente a permettere la revoca agevolata dei consensi ai clienti? E come regolarsi con gli ex clienti cessati da meno di 30 giorni? Le specifiche offerte dal Ministero dello Sviluppo Economico rispetto alle osservazioni formalizzate dagli Operatori iscritti al Registro Pubblico delle Opposizioni, non offrono particolari risposte, richiamando sul punto la necessità di un parere formale da parte del Garante Privacy. Altrettanto laconiche sul punto specifico, comprensibilmente, sono le FAQ offerte dalla Fondazione Ugo Bordoni. Il Garante stesso, nel richiedere che il titolare, se vuole fruire dell’eccezione di cui sopra, sia tenuto ad implementare modalità semplificate per l’esercizio del diritto di revoca sia per i clienti che per gli ex clienti cessati da meno di 30 giorni, non esprime nel provvedimento citato alcuna indicazione rispetto alle modalità, pur lasciando intendere chiaramente che non si possa affrontare con leggerezza questa previsione. Una specifica è qui importante: nelle citate risposte del MISE alle osservazioni ricevute dagli Operatori, lo stesso specifica che il perimetro dell’eccezione prevista dall’art. 1.5 è limitato a contratti di fornitura relativi a prestazioni periodiche o continuative. Quindi?
Ragionare in ottica di privacy by design e trasparenza
Privacy by design e trasparenza, anche se a forza di ripeterlo stiamo diventando quasi noiosi. Ancora una volta occorre effettuare una attenta opera di mappatura rispetto a quali siano in concreto i canali di contatto offerti ai clienti o agli ex clienti per gestire i propri consensi o strutturarne di appositi. Occorre accertarsi che gli stessi siano in grado di accogliere le richieste di revoca del consenso, che la loro fruizione sia agevole e, soprattutto, che la loro esistenza sia ben chiara ai contraenti. Occorre accertarsi che la loro fruizione sia agevole sia per i clienti che per gli ex clienti (se si vogliono contattare gli stessi, ove il rapporto sia cessato da meno di 30 giorni). Chi sa come si porrebbe l’Autorità di fronte a un titolare che dimostrasse di non aver implementato un “canale agevolato” per i clienti/ex clienti, semplicemente perché i canali di gestione dei consensi messi a disposizione sono inopinabilmente estremamente agevoli per tutti gli interessati/contraenti?