La Senatrice Elena Fissore (PD) ha presentato un disegno di legge, studiato in collaborazione con ADOC e Rete Consumatori Italia, recante disposizioni per l’istituzione del Registro Universale dei Consensi (RUC) per porre fine allo stato di impotenza dei cittadini davanti al telemarketing aggressivo.

Sono circa 15 in media le comunicazioni, non sollecitate e mirate alla vendita di beni o servizi, che ciascun cittadino riceve settimanalmente soprattutto a mezzo telefono (90%) ma anche tramite sms, fax o email; la metà delle sollecitazioni consiste nel fastidioso fenomeno del recalling, ossia chiamate effettuate da operatori della medesima azienda proponente a cui l’utente ha già manifestato – magari il giorno prima – il proprio disinteresse all’offerta o, più esplicitamente, la propria indisponibilità ad essere ulteriormente contattato.

Appurati gli scarsi risultati ottenuti nei sette anni di attività del Registro Pubblico delle Opposizioni – che, peraltro, non “copre” utenze mobili e posta elettronica essendo limitato alle utenze iscritte negli elenchi pubblici telefonici – il Ddl in esame si propone di fornire al cittadino uno strumento unico per la gestione della propria disponibilità al contatto di natura commerciale.

Il Registro Universale dei Consensi, se approvato, costituirà la piattaforma online (continuamente alimentata dai titolari dei trattamenti di marketing) sulla quale ciascuno potrà consultare lo storico dei consensi rilasciati in passato e revocarli agevolmente. Una soluzione che rappresenterebbe una novità a livello mondiale.

L’introduzione del RUC – sostengono i promotori – dovrebbe anche essere salutata con favore da tutte le aziende virtuose in materia di privacy che subiscono la concorrenza sleale di chi utilizza illegalmente i dati dei consumatori per comunicazioni commerciali non autorizzate. Oltre a ciò, il RUC – quale database di natura istituzionale – fornirebbe prova giudiziale incontrovertibile in caso di contenziosi sulla liceità (o meno) del contatto promozionale.

Qui il testo del disegno di legge n.2820.

Qui sotto riportiamo integralmente la relazione di presentazione del Ddl.

 

Onorevoli Senatori. — La normativa italiana sulla privacy, già a partire dall’approvazione della legge n. 675 del 1996, è nata su un duplice presupposto: il riconoscimento del valore soggettivo del dato personale come elemento distintivo e proprio del cittadino, capace di rivelarne aspetti personali anche sensibili, ma anche di metterne a repentaglio i diritti alla riservatezza, all’immagine e all’oblio; il riconoscimento del valore economico del dato personale in quanto suscettibile da solo o in relazione alla sua circolazione, di generare interessi commerciali significativi, con riflessi anche rispetto alla libertà d’impresa e alla leale concorrenza tra imprese.

Il bilanciamento di questi valori, secondo le intenzioni del legislatore del 1996 e del 2003, in linea di massima riprese anche dalla recente riforma europea di cui al regolamento (UE) 2016/679, ha posto al centro la dimensione soggettiva del dato personale, ponendo a carico dell’interessato il potere di verificare, controllare e gestire l’utilizzo e la circolazione dei propri dati, a prescindere dagli obblighi nascenti dal vincolo contrattuale e fatte salve le ipotesi di legge previste in deroga.

L’evoluzione degli ultimi venti anni ci dice, tuttavia, che questo sistema non ha saputo stare al passo con i tempi di internet e della diffusione su larga scala della telefonia mobile e questo per una serie di evidenti problematiche, mai affrontate realmente, tra le quali: la comunicazione senza controllo dei dati a soggetti terzi per fini di marketing e l’utilizzo illegittimo dei dati stessi; la nomina indiscriminata di società terze come responsabili di trattamento da parte del titolare del trattamento dei dati; la difficoltà di esercizio dei diritti previsti dall’articolo 7 del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, (cosiddetto codice della privacy), sia per la scelta del mezzo di comunicazione, sia per l’identificazione del soggetto destinatario; le limitazioni connesse all’operatività del registro delle opposizioni; la raccolta dei dati tramite formulari non corretti, anche ai sensi dell’articolo 13 del codice della privacy, dai contenuti criptici e mai omogenei.

Le abitudini dei consumatori sono diventate merce di scambio e oggetto di analisi puntuale, generando cluster sempre più mirati e associando, incrociando ed elaborando dati per ottenere un profilo sempre più dettagliato, sempre più intrusivo. Inoltre, nell’era dei Big Data, delle indagini predittive e del social business, l’analisi del valore generato dai dati personali, più o meno volontariamente e consapevolmente ceduti, è divenuto un must, o quasi, per tutte le aziende.

Le nostre identità di consumatori sono preziosissime miniere per grandi e piccole aziende che estraggono più o meno lecitamente i dati dalle nostre attività quotidiane e per altre che li comprano per fare marketing o telemarketing. In questa filiera c’è chi si procura nomi e numeri in maniera trasparente, ma anche chi lo fa in modo illecito: accanto alle liste autorizzate, le cosiddette liste consensate, esiste un mercato nero di liste non ufficiali, composte da dati acquisiti senza il consenso espresso dei diretti interessati.

Questo traffico di dati personali utilizzati per l’invio illegittimo di comunicazioni commerciali non sollecitate rappresenta un vulnus non solo per i diritti del cittadino ma per la libera concorrenza delle imprese: infatti gli enti commerciali che seguono le regole del diritto, limitando la propria attività promozionale ai canali di acquisizione lecita dei dati personali dei destinatari, subiscono una penalizzazione netta e pesante rispetto a chi si propone sul mercato in maniera aggressiva e spregiudicata, guadagnando fette di mercato a scapito degli operatori corretti.

Oltre al problema del trattamento di dati effettuato senza il previo assenso dell’interessato, c’è però quello di chi rilascia espressamente l’assenso al trattamento dei propri dati a fini commerciali ma con troppa superficialità e leggerezza, non avendo contezza delle conseguenze e dei rischi.

Il Financial Times, nel 2013, ha messo a punto un test alquanto provocatorio in grado di calcolare, rispondendo a una serie di domande inerenti il proprio status (dai beni posseduti agli hobby, passando per malattie croniche e stato familiare), il valore commerciale di ogni singolo profilo e calcolare il valore dei dati personali: è risultato che i dati profilati di un lavoratore del settore non profit valgono, ad esempio, circa 19 centesimi di dollaro; ma se il soggetto dichiara di essere milionario il prezzo si impenna immediatamente, arrivando quasi a raddoppiare.

A conti fatti essere autorizzati a detenere, conservare e utilizzare liste di dati di milioni di utenti è una ricchezza. E più dettagliate sono, più il valore aumenta.

Ma la concorrenza al ribasso prevede la massiccia presenza di aziende che producono e vendono liste non autorizzate, dove si trova di tutto: nomi degli iscritti al registro pubblico delle opposizioni, che quindi non dovrebbero essere contattati, numeri estratti illegalmente dalle pagine personali di Facebook o Twitter o da altri siti (eclatante il caso di change.org: la piattaforma di petizioni online più famosa al mondo è finita sotto accusa per presunte vendite di dati personali per ricerche di mercato) oppure tramite software specifici che fanno web scraping. Ovviamente i prezzi di queste liste sono più bassi e l’utilizzo si diffonde con grande facilità.

Mediamente un consumatore che sia intestatario di utenze, titolare di conti correnti che ha richiesto preventivi online (rc auto, prestiti, mutui…), intestatario di carte fedeltà riceve dai 10 ai 15 contatti commerciali a settimana. Questo numero di contatti è comprensivo di chiamate ricevute e a cui si è risposto; chiamate ricevute e a cui non si è risposto; chiamate ricevute ma bloccate preventivamente da app specializzate; sms.

Proporzionalmente, di questi contatti commerciali, il 90 per cento è composto da chiamate, il restante 10 per cento da sms, anche se il numero di contatti di telemarketing via sms è in costante aumento.

Un altro dato significativo concerne il «recalling» selvaggio da parte di alcuni operatori. Il recalling prevede principalmente due opzioni: l’operatore richiama se il consumatore non ha risposto o se ha risposto e ha segnalato disinteresse.

Si stima che circa il 70 per cento dei consumatori riceve chiamate dallo stesso operatore anche nel momento in cui risponde e mostra disinteresse all’offerta dell’operatore. Non di rado può ricevere anche fino a 5-7 chiamate settimanali dallo stesso operatore.

Chi riceve la chiamata può chiedere all’operatore di call center di non venire più ricontattato, oppure iscrivere il proprio numero fisso al registro delle opposizioni, se presente negli elenchi telefonici pubblici, ma sono dei meri palliativi.

Qual è il rischio per le società di call center che non rispettino la volontà dell’utente? Semplicemente che questo faccia una segnalazione al Garante per la privacy, il quale decida di comminare una multa: dal 2011 a tutto il 2015, pur essendo state elevate sanzioni per 2,6 milioni di euro, gli abusi continuano. Segno che esse sono troppo esigue e non adatte a costituire un deterrente efficace a scoraggiare pratiche ancora, evidentemente, troppo redditizie.

Nella «Raccomandazione sul commercio elettronico» adottata il 24 marzo scorso dal Consiglio OCSE, al fine di sostenere il mercato del commercio elettronico e migliorare la fiducia degli utenti, l’OCSE ha rimarcato più volte la necessità di rafforzare la tutela dei dati personali implementando adeguate misure di sicurezza contro violazioni e cyber-attacchi ed evitando che le imprese adottino pratiche ingannevoli per la raccolta e l’utilizzo dei dati personali dei consumatori. Particolare attenzione dovrebbe essere posta tra l’altro alla corretta informazione dei consumatori per consentire loro di esercitare scelte consapevoli. Di recente l’Adoc ha segnalato all’Autorità garante della concorrenza e del mercato un grande brand dell’elettronica che, nella propria piattaforma di vendita on-line, inibisce ai consumatori la possibilità di negare l’autorizzazione al trattamento dei propri dati personali per fini commerciali e nella cessione a terzi, subordinando l’acquisto del bene offerto a campi obbligatori in tal senso.

Il 4 maggio 2016, i testi del regolamento e della nuova direttiva in materia di privacy sono stati pubblicati nella Gazzetta ufficiale dell’Unione europea in tutte le lingue ufficiali. La direttiva è entrata in vigore il 5 maggio 2016 e gli Stati membri dell’UE dovranno recepirla nel loro diritto nazionale entro il 6 maggio 2018.

L’obiettivo di questa nuova serie di norme è quello di restituire ai cittadini il controllo dei propri dati personali e semplificare il contesto normativo per le imprese. La riforma della protezione dei dati infatti sarà un fattore chiave del mercato unico digitale, a cui la Commissione ha dato la priorità assoluta.

Nel 2014 il Garante della privacy ha ricevuto più di cinquemila segnalazioni di consumatori, ma le violazioni e gli abusi subiti dai cittadini attraverso il telemarketing aggressivo sono infinitamente di più. Il registro delle opposizioni non può rimanere l’unico strumento che ad oggi consente al consumatore di «difendersi» dalle offerte commerciali indesiderate: è uno strumento del tutto spuntato e limitato, che non mette al riparo il consumatore la cui utenza non compare negli elenchi pubblici e che non permette allo stesso né di sapere con esattezza a quali operatori ha dato il consenso né di revocare facilmente quest’ultimo.

In forza di quanto detto, le proposte contenute nel disegno di legge perseguono l’obiettivo di rafforzare il sistema di verifica e controllo dei propri dati personali da parte di tutti i cittadini e cogliere l’occasione per introdurre strumenti ulteriori in grado di introdurre, di fatto, un esercizio attivo del diritto alla piena disponibilità dei propri dati. Riteniamo che le funzionalità attualmente proprie del registro delle opposizioni, debbano essere ampliate e migliorate prevedendo la creazione di un registro universale dei consensi, che consenta agli utenti (già opportunamente identificati ad esempio tramite SPID) di visualizzare tutti i trattamenti a fini commerciali in essere e contestualmente esercitare selettivamente e su propria scelta la revoca del consenso. Questa opzione agevolerebbe l’esercizio dei diritti correnti e avrebbe evidenti vantaggi in termini di immediatezza. Lo Stato italiano già vanta esperienze simili, si pensi al cosiddetto «spesometro» ossia la comunicazione polivalente ai fini IVA disposta ai sensi dell’articolo 21 del decreto-legge n. 78 del 2010, con la quale l’Agenzia delle entrate riceve da parte di tutti i soggetti IVA del Paese l’elenco clienti e fornitori. Nel caso di specie i soggetti IVA dovrebbero comunicare l’elenco dei codici fiscali dei clienti con riguardo a cui abbia posto in essere trattamento dei dati a fini commerciali con o senza comunicazione di dati a terzi.