
Come fare telemarketing rispettando GDPR e codice della privacy? È il momento di fare chiarezza per non rischiare sanzioni importanti.
Il Regolamento Europeo n. 679/2016 ha rivoluzionato la normativa sul trattamento dei dati personali rendendo uniforme la materia in tutti i Paesi dell’Unione Europea.
Per certo uno degli ambiti su cui si è inciso maggiormente sono i trattamenti per finalità di marketing, tra cui chiaramente rientra anche l’attività di telemarketing.
In Italia il tema era già molto sentito, anche prima del GDPR, ma con il regolamento si è alzato ulteriormente il livello di attenzione dell’Autorità Garante per la Protezione dei Dati Personali e in questa direzione vanno gli ultimi interventi del 2022 su “telemarketing e teleselling aggressivo”.
Ma le aziende hanno ben chiaro come svolgere questa preziosa attività rispettando le norme?
Il rapporto tra telemarketing e GDPR sembra essere una questione che interessa esclusivamente le compagnie di telecomunicazioni o che operano nel mercato dell’energia.
In realtà non è così: se pensiamo al mondo dell’e-commerce (che conosco da vicino), attività strutturate di customer care richiedono spesso il ricorso al telemarketing, ed è qui che si entra in un “campo minato” in cui il mancato rispetto della compliance può generare sanzioni elevate.
Vediamo allora come fare telemarketing rispettando la privacy dei clienti (e potenziali tali) a norma di legge.
Indice
| I principi nelle linee guida del Garante
Già dal 2013, il Garante della Privacy ha reso pubbliche le Linee guida in materia di attività promozionale e contrasto allo spam in cui ha delineato una serie di principi di base che gli operatori economici devono seguire:
…i dati personali considerati, in particolare i numeri di telefonia fissa e mobile e gli indirizzi di posta elettronica, vanno utilizzati e conservati secondo i principi di correttezza, finalità, proporzionalità e necessità e, in caso di violazione del Codice, non possono essere più utilizzati.”
Da questi principi generali derivano poi gli adempimenti puntuali che le aziende devono necessariamente tenere in conto nell’attività di telemarketing: raccolta del consenso e informativa.
> Leggi anche: Email marketing e GDPR: come essere a norma
| La raccolta del consenso nel Telemarketing
Innanzitutto è bene specificare che l’utilizzo di SMS, social, WhatsApp e simili non sono considerati telemarketing, secondo l’art. 130 del D.Lgs. n. 196/2003 “Codice in materia di protezione dei dati personali” (il cosiddetto Codice della Privacy) che mantiene la sua efficacia, in Italia, a fianco del GDPR.
Questi mezzi infatti rientrano tra i “sistemi automatizzati di chiamata senza l’intervento di un operatore” e necessitano sempre del consenso (opt-in) al trattamento dei dati dell’interessato per finalità specifiche.
Il telemarketing, invece, rientra nei casi di “comunicazione tramite un operatore” e rappresenta un’eccezione, ci sono infatti alcuni casi in cui si può fare telemarketing senza aver raccolto il consenso dell’interessato e casi in cui questo è necessario.
> Consenso e Telemarketing, quando non è obbligatorio (opt-out)
Questa eccezione alla regola della raccolta del consenso per attività di marketing è possibile quando i dati da trattare sono disponibili negli elenchi telefonici pubblici (cartacei o elettronici): in questo caso nome, cognome, numero di telefono e indirizzo postale di una persona possono essere utilizzati per avviare la comunicazione.
Questo vale sempre? No. Se l’utente è iscritto al Registro delle Opposizioni non è possibile trattare questi dati.
Altro caso in cui non è necessario il consenso per la finalità del marketing è rappresentato dal Soft-spam che permette l’invio di comunicazioni commerciali tramite email. Anche in questo caso, però, l’utente non deve essersi opposto a tale uso dei suoi dati personali.
> Telemarketing, quando il consenso è necessario (opt-in)
A parte le eccezioni sopra citate, come era già previsto dal Codice della Privacy e ribadito nel GDPR, per contattare telefonicamente un potenziale cliente bisogna raccogliere il consenso espresso e specifico al trattamento dei dati personali per finalità di marketing in maniera preventiva rispetto alla telefonata.
| Come raccogliere il consenso per fare Telemarketing a norma di GDPR
Bene, ma come raccoglierlo?
Dalla lettura del GDPR, possiamo dedurre i requisiti di validità del consenso:
“«consenso dell’interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;” (art. 4, par. 11 del GDPR)
Ognuno di questi requisiti si traduce – nella pratica – in obblighi da rispettare in capo all’azienda.
> Consenso libero e informato
Il consenso è libero quando l’utente lo esprime con consapevolezza e senza nessuna forzatura; è informato quando riceve un’adeguata informativa privacy, chiara e completa (questo ultimo punto è analizzato nel dettaglio con un paragrafo a seguire).
Nel concreto, questo significa che:
- non si può condizionare l’utilizzo e la fruizione del sito web legandolo al rilascio del consenso;
- la check-box del modulo di consenso non può essere pre-flaggata, ma serve un’azione positiva e inequivocabile di attivazione del flag.
> Consenso specifico, con riferimento a trattamenti chiaramente individuati
Anche questo punto è molto importante, è necessario distinguere nello specifico ogni finalità del trattamento e richiedere il consenso per ognuna delle finalità con un flag apposito, ad esempio: marketing, profilazione, comunicazione a terzi dei dati.
Va precisato che, nell’ambito della semplificazione dell’adempimento degli obblighi da parte dei titolari dei trattamenti, è possibile richiedere un unico consenso raggruppando alcune attività di marketing (tradizionale e non), e quindi anche per fare attività di telemarketing.
La conditio sine qua non però, è che, tutte le finalità, seppur raggruppate, siano ben evidenziate nell’informativa.
> Consenso documentato per iscritto
In questo caso, la necessità di poter documentare il consenso in qualsiasi momento si traduce nella formula del double opt-in.
Come deve avvenire in pratica per un e-commerce?
- L’utente rilascia il consenso tramite un form nell’e-commerce (opt-in);
- L’e-commerce invia una mail in cui chiede all’utente di confermare i suoi dati;
- L’utente esegue l’azione di conferma, solitamente cliccando su un bottone a chiusura della mail, e conferma l’iscrizione alla lista a cui verranno inviate le comunicazioni commerciali (double opt-in).
L’azienda deve conservare questa conferma, dal momento che è richiesta la prova del consenso ottenuto.
> Recupero del consenso al telemarketing, la pronuncia della Corte di Cassazione
Un interessante approfondimento, sulle modalità di raccolta del consenso per fare attività di marketing diretto, viene dalla ordinanza n. 11019/2021 della Corte di Cassazione con cui è stata condannata Telecom Italia per un’attività di recupero del consenso al telemarketing dei clienti che avevano esplicitamente chiesto di non essere più contattati.
La compagnia telefonica sosteneva che questo tipo di attività di recupero del consenso non costituiva essa stessa una “comunicazione commerciale”.
La Cassazione, invece, si è così pronunciata:
una comunicazione telefonica finalizzata ad ottenere il consenso per fini di marketing, da chi l’abbia precedentemente negato, è essa stessa una comunicazione commerciale”
Leggi anche: Consenso privacy per marketing e profilazione

| Telemarketing e informativa privacy
In tutti i casi, per fare telemarketing, oltre a raccogliere il consenso, è obbligatorio rendere l’informativa privacy (o privacy policy).
Il Considerando 39 del GDPR stabilisce che la privacy policy deve essere: concisa, chiara, facilmente accessibile ed intelligibile per l’interessato, mentre gli articoli 13 e 14 definiscono punto per punto tutto ciò che dev’essere contenuto nell’informativa.
Qui voglio sottolineare che è fondamentale informare in maniera preventiva l’utente in merito a:
-
- le finalità del trattamento (marketing diretto);
- le modalità con cui viene effettuato (telefonate con operatore);
- i diritti dell’interessato (possibilità di iscrizione al Registro delle Opposizioni; trasferire la chiamata ad un operatore in un Paese dell’UE).
La redazione di un’adeguata informativa privacy – e di un’informativa sui cookie – è imprescindibile nell’attività di adeguamento al GDPR di un sito web.
| Il nuovo Registro delle Opposizioni
Con la L. n. 5/2018 e il conseguente Regolamento attuativo n. 149/2018, il Registro delle Opposizioni è stato esteso anche ai numeri di cellulare.
Nella sostanza, però, la funzionalità del Registro resta invariata anche dopo queste nuove disposizioni.
Il titolare del trattamento (o il responsabile del trattamento se stabilito nel contratto che lo lega al titolare), prima di contattare telefonicamente un utente per finalità di marketing deve verificare che quest’ultimo non sia iscritto al Registro Pubblico delle Opposizioni.
Per quale ragione? Gli utenti iscritti (chiunque può farlo gratuitamente) revocano tutti i consensi al trattamento dei propri dati per tali finalità eventualmente rilasciati in precedenza (a parte qualche eccezione), impedendo in effetti l’avvio del contatto in maniera lecita.
| Telemarketing aggressivo, le sanzioni del Garante
Tra 2021 e inizio 2022, il Garante ha emesso diversi provvedimenti di sanzione nei confronti di aziende che hanno trattato i dati degli utenti in maniera illecita per fare attività di telemarketing.
Ci sono alcune caratteristiche ricorrenti che legano questi provvedimenti:
- assenza di un’adeguata informativa privacy;
- mancanza del consenso del trattamento;
- utilizzo di liste cedute da terzi, sempre senza consenso degli interessati.
Eclatanti sono stati i casi di Iren Mercato, che ha subìto una sanzione da oltre 3 milioni di euro o l’Ordinanza ingiunzione nei confronti di Enel Energia.
| L’avvocato dell’e-commerce, il GDPR e il Telemarketing: ecco cosa posso fare
Qui abbiamo visto solo alcuni degli adempimenti necessari per fare telemarketing a norma di privacy e GDPR.
Il quadro è sicuramente più complesso e, soprattutto per le realtà strutturate, diventa imprescindibile contattare un legale specializzato in attività di marketing ed e-commerce per avere un supporto specifico.
Non rispettare la compliance significa, prima o poi, incorrere in sanzioni assolutamente evitabili.
Come ti stai muovendo in tal senso? Possiamo parlarne, contattami.