Comunicazioni commerciali e privacy: un quadro in evoluzione

Alla data odierna (13 novembre 2009) il quadro normativo relativo a "privacy e comunicazioni commerciali" è in piena evoluzione.
Infatti il 29 ottobre 2009, il senatore Malan  del PDL ha proposto una modifica sostanziale all’attuale sistema di utilizzo dei dati personali per il telemarketing e le “telefonate pubblicitarie”. Andiamo con ordine.

Il sistema attuale

Il sistema attuale richiede un consenso preventivo da parte del cittadino prima di ricevere qualsiasi comunicazioni commerciale.
Tale consenso preventivo non è necessario solo in casi molto particolari quando ad esempio i recapiti dei "potenziali clienti" sono tratti da:

• elenchi telefonici ma solo se l’interessato ha esplicitamente indicato con l’apposito simbolo grafico di accettare tali tipi di trattamento
• da elenchi categorici, tipo Pagine Gialle ed affini, purché la comunicazione commerciale avvenga senza l’ausilio di sistemi automatizzati
• da banche dati costituite antecedentemente al primo agosto 2005 purché sia dimostrabile che sia stata resa l’informativa agli interessati.

Questo sistema basato sul consenso preventivo è noto come "approccio opt-in" con il quale si intende che è necessario, appunto, il consenso da parte dei clienti prima di ricevere comunicazioni commerciali. Approccio opposto è quello denominato "opt-out" con il quale si intende la possibilità a posteriori di esercitare il diritto di opporsi all’invio di comunicazioni commerciali indesiderate.

La deroga del decreto "mille proroghe" del febbraio 2009

In questo momento e fino al 31 dicembre 2009 è in vigore una deroga al sistema di consenso preventivo sopra illustrato.
Infatti il 24 febbraio 2009 la Camera dei deputati ha approvato la "Conversione in legge, con modificazioni, del decreto-legge 30 dicembre 2008, n. 207, recante proroga di termini previsti da disposizioni legislative e disposizioni finanziarie urgenti"  (noto come decreto mille proroghe) che appunto autorizza, fino al 31 dicembre 2009, le "telefonate commerciali indesiderate" usando i numeri presenti negli elenchi telefonici pubblici formati prima del 1 agosto 2005.
Tutto nasce dal provvedimento del 2 settembre 2008  con il quale l’Autorità Garante ha vietato ad alcune società specializzate nella creazione e nella vendita di banche dati l’ulteriore trattamento di dati personali di milioni di utenti. Il divieto riguardava anche altre aziende che avevano acquistato da queste società i data base allo scopo di poter contattare gli utenti e promuovere i loro prodotti e servizi tramite call center.
Dalle verifiche effettuate presso le società che hanno fornito i data base era emerso che i dati degli utenti erano stati raccolti e ceduti a terzi senza informare gli interessati, o informandoli in maniera inadeguata, e senza un loro preventivo specifico consenso.
Inoltre le aziende e le compagnie telefoniche che avevano acquistato i dati e li utilizzavano a fini di marketing telefonico (il cosiddetto teleselling), non si erano preoccupate di accertare, come prevede invece la disciplina sulla protezione dei dati, che gli abbonati avessero acconsentito alla comunicazione dei propri dati e al loro uso a fini commerciali.
La contestazione del garante nasce dal fatto che dopo il primo agosto 2005 i dati personali estratti dagli elenchi telefonici possono essere oggetto di comunicazione solo quando tale trattamento è stato indicato nell'informativa e l'interessato ha manifestato uno specifico consenso (art. 23 del Codice).
Prima dell’approvazione del decreto milleproroghe i dati estratti dagli elenchi telefonici pubblicati prima del primo  agosto 2005 potevano utilizzati dal titolare del trattamento per contattare direttamente gli interessati a condizione che fosse stata fornita a suo tempo un'idonea informativa, circostanza non riscontrata nel caso del 2 settembre 2008  preso in esame dal Garante; con il "mille proroghe" e fino al 31 dicembre 2009 tali numeri telefonici tratti da archivi (ed elenchi) costituiti prima del 1 agosto 2005 possono essere utilizzati senza necessità di informativa (articolo 13 del "Codice in materia di protezione dei dati personali ) e di consenso (articolo 23 del Codice).  

La "proposta Malan"

La proposta del senatore Malan  che ha ricevuto il parere favorevole della Commissione Affari Costituzionali del Senato, capovolge l’attuale sistema di utilizzo dei dati personali per il telemarketing e le "telefonate pubblicitarie" proponendo di passare ad un approccio di tipo opt-out con il quale si intende la possibilità a posteriori di esercitare il diritto di opporsi all’invio di comunicazioni commerciali indesiderate.

In concreto Malan propone una completa liberalizzazione per 6 mesi, a partire dal primo gennaio 2010 delle comunicazioni commerciali e a seguire un regime di "silenzio-assenso" (approccio opt-out) a partire da maggio 2010, data a partire dalla quale chi non vuole più ricevere comunicazioni commerciali deve registrarsi in un apposito registro istituito presso il Garante per la protezione dei dati personali.

L’opposizione dell’Ufficio del Garante per la protezione dei dati personali alla "proposta Malan"

Il 4 novembre 2009 Mauro Paissan, componente dell’Ufficio del Garante, ha reso pubblico un comunicato stampa  in cui afferma, in relazione alla proposta Malan, che "i cittadini verranno disturbati da una quantità incredibile di telefonate pubblicitarie, anche se non hanno mai dato il loro consenso alle chiamate".
Paissan sottolinea "gli effetti negativi dell'emendamento approvato dal Senato sulle telefonate promozionali, che finirà col danneggiare lo stesso telemarketing, che apparirà sempre più invadente e insopportabile".
"Si tratta di un errore. Gli utenti telefonici – afferma ancora Paissan - verranno bombardati di messaggi e si vedranno costretti a iscriversi a un apposito registro per opporsi. Ma questi registri non hanno funzionato in nessun paese dove sono stati istituiti. E comunque molti cittadini, soprattutto gli anziani, troveranno molta difficoltà a manifestare il loro dissenso".
"Infine – conclude Paissan – l'Italia con questa norma si rende responsabile di un'ulteriore infrazione comunitaria e Bruxelles ce la farà pagare".

La posizione delle associazioni dei consumatori

Alcune associazioni dei consumatori (Adiconsum, Adusbef, Assoutenti, Federconsumatori, Lega Consumatori, Movimento Consumatori, Movimento Difesa del Cittadino e Unione Nazionale Consumatori) si sono mobilitate  contro la “proposta Malan.
Altroconsumo propone invece  di superare l’attuale approccio basato sul consenso esplicito del consumatore (opt in) e passare all’approccio opt out (possibilità per il consumatore di esprimere il proprio diniego a posteriori a ricevere chiamate promozionali) insieme alla predisposizione di una "Robinson List" un elenco, cioè, dei nominativi di chi non vuole ricevere tali comunicazioni.

L’interrogazione alla Commissione Europea dei parlamentarti italiani del PD

A fine ottobre 2009, gli europarlamentari del Partito Democratico Patrizia Toia, Silvia Costa, David-Maria Sassoli e Debora Serracchiani hanno presentato un’interrogazione alla Commissione Ue  in cui denunciano la violazione del diritto della privacy in Italia.

Documenti di approfondimento

Di seguito riproduciamo sia il testo della "proposta Malan" sia quello dell’interrogazione dei parlamentari europei del PD alla Commissione.

Testo della proposta "Malan"

tratto da: http://www.senato.it/japp/bgt/showdoc/frame.jsp?tipodoc=Ddlmess&leg=16&id=442419
Dopo l’articolo 20, sono inseriti i seguenti:

        «Art. 20-bis. - (Adeguamento alla normativa comunitaria in materia di tutela della vita privata nel settore delle comunicazioni elettroniche, di cui alla direttiva 2002/58/CE) – 1. Al fine di superare a regime la disciplina introdotta dall’articolo 44, comma 1-bis, del decreto-legge 30 dicembre 2008, n. 207, convertito, con modificazioni, dalla legge 27 febbraio 2009, n. 14, al codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modifiche:

            a) al comma 3 dell’articolo 130 sono aggiunte, in fine, le seguenti parole: “nonché ai sensi di quanto previsto dal comma 3-bis del presente articolo“;
            b) dopo il comma 3 dell’articolo 130 sono inseriti i seguenti:

        “3-bis. In deroga a quanto previsto dall’articolo 129, il trattamento dei dati di cui all’articolo 129, comma 1, mediante l’impiego del telefono per le finalità di cui all’articolo 7, comma 4, lettera b), è consentito nei confronti di chi non abbia esercitato il diritto di opposizione, con modalità semplificate e anche in via telematica, mediante l’iscrizione della numerazione della quale è intestatario in un registro pubblico delle opposizioni.

        3-ter. Il registro di cui al comma 3-bis è istituito con decreto del Presidente della Repubblica da adottare ai sensi dell’articolo 17, comma 2, della legge 23 agosto 1988, n. 400, previa deliberazione del Consiglio dei ministri, acquisito il parere del Consiglio di Stato e delle Commissioni parlamentari competenti in materia, che si pronunciano entro trenta giorni dalla richiesta, nonché, per i relativi profili di competenza, il parere dell’Autorità per le garanzie nelle comunicazioni, che si esprime entro il medesimo termine, secondo i seguenti criteri e princìpi generali:

            a) attribuzione dell’istituzione e della gestione del registro ad un ente o organismo pubblico titolare di competenze inerenti alla materia;

            b) previsione che l’ente o organismo deputato all’istituzione e alla gestione del registro vi provveda con le risorse umane e strumentali di cui dispone o affidandone la realizzazione e la gestione a terzi, che se ne assumono interamente gli oneri finanziari e organizzativi, mediante contratto di servizio, nel rispetto del codice dei contratti pubblici relativi a lavori, servizi e forniture, di cui al decreto legislativo 12 aprile 2006, n. 163. I soggetti che si avvalgono del registro per effettuare le comunicazioni corrispondono tariffe di accesso basate sugli effettivi costi di funzionamento e di manutenzione. Il Ministro dello sviluppo economico, con proprio provvedimento, determina tali tariffe;
            c) previsione che le modalità tecniche di funzionamento del registro consentano ad ogni utente di chiedere che sia iscritta la numerazione della quale è intestatario secondo modalità semplificate ed anche in via telematica o telefonica;
            d) previsione di modalità tecniche di funzionamento e di accesso al registro mediante interrogazioni selettive che non consentano il trasferimento dei dati presenti nel registro stesso, prevedendo il tracciamento delle operazioni compiute e la conservazione dei dati relativi agli accessi;
            e) disciplina delle tempistiche e delle modalità dell’iscrizione al registro, senza distinzione di settore di attività o di categoria merceologica, e del relativo aggiornamento, nonché del correlativo periodo massimo di utilizzabilità dei dati verificati nel registro medesimo, prevedendosi che l’iscrizione abbia durata indefinita e sia revocabile in qualunque momento, mediante strumenti di facile utilizzo e gratuitamente;
            f) obbligo per i soggetti che effettuano trattamenti di dati per le finalità di cui all’articolo 7, comma 4, lettera b), di garantire la presentazione dell’identificazione della linea chiamante e di fornire all’utente idonee informative, in particolare sulla possibilità e sulle modalità di iscrizione nel registro per opporsi a futuri contatti;
            g) previsione che l’iscrizione nel registro non precluda i trattamenti dei dati altrimenti acquisiti e trattati nel rispetto degli articoli 23 e 24.

        3-quater. La vigilanza e il controllo sull’organizzazione e il funzionamento del registro di cui al comma 3-bis e sul trattamento dei dati sono attribuiti al Garante“;
            c) all’articolo 162:
                1) al comma 2-bis, le parole: “ventimila euro“ sono sostituite dalle seguenti: “diecimila euro“;

                2) è aggiunto, in fine, il seguente comma:

        “2-quater. La violazione del diritto di opposizione nelle forme previste dall’articolo 130, comma 3-bis, e dal relativo regolamento è sanzionata ai sensi del comma 2-bis del presente articolo“.
        2. Il registro previsto dall’articolo 130, comma 3-bis, del codice di cui al decreto legislativo 30 giugno 2003, n. 196, introdotto dal comma 1, lettera b), del presente articolo, è istituito entro sei mesi dalla data di entrata in vigore della legge di conversione del presente decreto. Fino al suddetto termine, restano in vigore i provvedimenti adottati dal Garante per la protezione dei dati personali ai sensi dell’articolo 154 del citato codice di cui al decreto legislativo n. 196 del 2003, e successive modificazioni, in attuazione dell’articolo 129 del medesimo codice.

        3. All’articolo 44, comma 1-bis, del decreto-legge 30 dicembre 2008, n. 207, convertito, con modificazioni, dalla legge 27 febbraio 2009, n. 14, le parole: “sino al 31 dicembre 2009“ sono sostituite dalle seguenti: “sino al termine di sei mesi successivi alla data di entrata in vigore della legge di conversione del decreto-legge 25 settembre 2009, n. 135“.
        4. All’articolo 58 del codice del consumo, di cui al decreto legislativo 6 settembre 2005, n. 206, il comma 1 è sostituito dal seguente:

            “1. L’impiego da parte di un professionista del telefono, della posta elettronica, di sistemi automatizzati di chiamata senza l’intervento di un operatore o di fax richiede il consenso preventivo del consumatore, fatta salva la disciplina prevista dall’articolo 130, comma 3-bis, del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, per i trattamenti dei dati inclusi negli elenchi di abbonati a disposizione del pubblico“.
        5. Dall’applicazione del presente articolo non devono derivare nuovi o maggiori oneri per la finanza pubblica.

Interrogazione e-5381/09 alla Commissione Europea di Patrizia Toia, Silvia Costa, David-Maria Sassoli e Debora Serracchiani

Tratto da: http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+WQ+E-2009-5381+0+DOC+WORD+V0//IT&language=IT

Oggetto: Normativa italiana in materia di privacy

Considerando che il cosiddetto Decreto “Milleproroghe” adottato dal governo italiano il 24 febbraio scorso prevede, all'art. 44, comma 1-bis,  che “i dati personali presenti nelle banche dati costituite sulla base di elenchi telefonici pubblici formati prima del 1° agosto 2005, sono lecitamente utilizzabili per fini promozionali sino al 31 dicembre 2009, anche in deroga agli articoli 13 e 23 del decreto legislativo 30 giugno 2003, n. 196, dai soli titolari del trattamento che hanno provveduto a costituire dette banche dati prima del 1 agosto 2005”. Tale disposizione appare in contrasto con la normativa italiana vigente, nonché con la Direttiva 2002/58/CE   (direttiva e-privacy).

Considerato che il 7 Aprile 2009, la Commissaria Viviane Reding aveva dichiarato di "aver rilevato le divergenze tra la recente legge e le decisioni del Garante e di voler sollevare con le autorità italiane la questione della compatibilità di tale legge con la direttiva relativa alla vita privata e alle comunicazioni elettroniche".

Visto che la citata disposizione, già oggetto di preoccupazione da parte della Commissione, rischia di essere perpetuata, tramite un emendamento presentato al decreto legge 25 settembre 2009, n. 135, attualmente in fase di adozione presso il Senato della Repubblica per conversione in legge, creando pertanto non un adeguamento alla normativa comunitaria ma bensì una violazione prolungata nel tempo.

• La Commissione ha ricevuto dal governo italiano risposte relative ad eventuali rilievi mossi tesi a verificare la compatibilità della citata disposizione con la normativa comunitaria, in particolare con le disposizioni della direttiva 2002/58?
• Quali azioni intende intraprendere la Commissione europea in caso di adozione di eventuali disposizioni legislative volte alla perpetuazione di una norma già in violazione di una direttiva comunitaria e che aggraverebbero quindi uno stato di mora già esistente?

Altri articoli sulla privacy in www.compliancenet.it

• Sei lezioni sulla privacy – parte quinta (videosorveglianza)
• Privacy - Newsletter del Garante n. 330 del 30 ottobre 2009
• Privacy: modello di "regolamento aziendale" sulla videosorveglianza (con licenza aperta)
• Privacy: modello di "analisi preliminare" sulla videosorveglianza (con licenza aperta)
• Sei lezioni sulla privacy – parte quarta (diritto d'accesso)
• Privacy - Newsletter del Garante n. 329 del 9 ottobre 2009 (anche la voce è un dato personale)
• Privacy - Newsletter del Garante n. 328 del 22 settembre 2009 (telecamere)
• TLC e profilazione: le regole del Garante privacy a tutela dei clienti
• Privacy: relazione 2009 del Garante (relativa al 2008)
• Privacy: modifica e proroga adempimenti per amministratore di sistema

Altri articoli di Agatino Grillo in www.compliancenet.it

• Banca d’Italia: controlli rafforzati contro il finanziamento dei programmi di proliferazione di armi di distruzione di massa
• In Gazzetta Ufficiale il correttivo al d.lgs. 231-07 sull'antiriciclaggio
• AIRA – Resoconto del convegno del 21 ottobre 2009: "Antiriciclaggio - il decreto correttivo e le nuove istruzioni dell’UIF"
• "Aspetti economici del crimine online" di Tyler Moore, Richard Clayton e Ross Anderson (traduzione in italiano)