Il Garante per la protezione dei dati personali, con il recente provvedimento del 27 febbraio 2025, ha sanzionato una società energetica per violazioni nella gestione delle attività di telemarketing. Al centro della decisione, l’uso di consensi “omnibus” ritenuti inidonei, il mancato rispetto dell’opposizione espressa tramite il Registro Pubblico delle Opposizioni e l’assenza di controlli sulla filiera dei contatti.
Il caso evidenzia la necessità di raccogliere consensi liberi, specifici e granulari. Viene ribadita l’importanza del Codice di condotta in materia di telemarketing come riferimento per le buone prassi.
Il provvedimento del garante
Il recente provvedimento del 27 febbraio 2025 del Garante per la protezione dei dati personali ha permesso ai Titolari del trattamento di riflettere su l’annosa questione del telemarketing e dei consensi unitari raccolti per plurime finalità del trattamento, definiti per l’appunto “omnibus”.
Tale provvedimento si inserisce in un contesto normativo già particolarmente sensibile a livello europeo, come dimostrato anche dalle recenti sanzioni imposte dall’Information Commissioner’s Office (ICO) del Regno Unito per attività di telemarketing illecito da parte di due imprese coinvolte in milioni di chiamate promozionali effettuate in violazione della normativa sulla protezione dei dati personali.
Anche l’Autorità di controllo italiana, in continuità con una linea di rigoroso intervento nei confronti dei grandi player che hanno fatto un uso non conforme del telemarketing alla normativa sulla protezione dei dati personali, ha sanzionato nel caso oggetto di attenzione per 300.000,00 Euro un’azienda energetica nazionale.
Il procedimento ha preso avvio da ben 82 segnalazioni pervenute al Garante di chiamate promozionali indesiderate, eseguite in assenza di un’idonea base giuridica. In molti casi, le chiamate provenivano da numerazioni non registrate presso il Registro degli operatori di comunicazione (ROC), violando in tal modo gli anche gli obblighi normativi in tema di trasparenza e tracciabilità.
L’azienda energetica si avvaleva anche di agenzie commerciali per lo svolgimento di attività di teleselling e telemarketing. Questa prassi ha sollevato ulteriori problematiche in merito alla corretta gestione della filiera del trattamento e al controllo sulla conformità normativa degli operatori esterni.
Il Garante italiano ha dunque dimostrato, ancora una volta, una particolare attenzione verso le pratiche invasive del telemarketing, sottolineando i rischi connessi alla compromissione della riservatezza individuale, sia in termini di danni immateriali (ansia, frustrazione) sia materiali (costi di connessione o stipula di contratti non richiesti). La sensibilità dell’Autorità si inserisce in un quadro di crescente consapevolezza circa l’esigenza di tutelare i diritti degli interessati in relazione a pratiche commerciali sempre più pervasive.
Telemarketing, teleselling e registro pubblico delle opposizioni
Prima di comprendere il fenomeno dei consensi omnibus, cuore del provvedimento sanzionatorio, è bene chiarire i concetti di telemarketing e teleselling.
Riferendoci al “Codice di condotta in materia di telemarketing e teleselling”, che il Garante ha ricordato costituire una indubbia valenza di best practice anche in caso di non adesione allo stesso, con “telemarketing” ci si riferisce alle attività di contatto telefonico con operatore effettuate per finalità promozionale attraverso chiamate dirette a numerazioni fisse e mobili nazionali; mentre con “teleselling”, ci si riferisce alle attività di contatto telefonico con operatore effettuate per finalità di vendita diretta attraverso chiamate destinate a numerazioni fisse e mobili nazionali.
Il Garante, inoltre, ricorda che le nozioni di telemarketing e teleselling, da un lato fanno perno sul mezzo utilizzato ai fini della realizzazione delle operazioni di trattamento dei dati personali, dall’altro alla finalità perseguita dal titolare del trattamento. Pertanto, ai fini dell’individuazione della disciplina in concreto applicabile non conta tanto – e non soltanto – il contesto nel quale il contratto è stato concluso, ma rileva anche l’attività prodromica all’effettiva sottoscrizione dell’accordo che, se avviene con il mezzo telefonico, risulta soggetta ad obblighi e responsabilità vigenti in materia di telemarketing e teleselling. Per comprendere a pieno la portata del provvedimento è necessario anche ricordare che l’istituzione del Registro Pubblico delle Opposizioni (RPO) – gestito dalla fondazione Ugo Bordoni – consente, mediante registrazione, di creare un “effetto reset” a tutti i consensi precedentemente espressi per finalità di telemarketing sulle numerazioni iscritte al RPO. In linea generale, pertanto, per poter contattare telefonicamente il soggetto iscritto per finalità promozionali, occorre ottenere un nuovo (valido) consenso da parte dell’interessato
Consensi omnibus e granularità
Nel caso di specie trattato dal Garante, con riguardo alle attività di telemarketing e teleselling, si rilevava che:
- alcune numerazioni telefoniche erano state contattate per finalità promo-pubblicitarie in costanza di iscrizione al RPO e quindi in costanza del meccanismo di “opt-out”;
- fatto molto più rilevante e oggetto del provvedimento è che i successivi consensi manifestati dall’interessato a ricevere comunicazioni promozionali, anche con il mezzo telefonico, non erano adeguati e validi a far venire meno l’opposizione manifestata attraverso l’iscrizione al RPO;
Ebbene, come anticipato, in determinati casi e soprattutto in costanza di iscrizione al RPO, per poter svolgere attività di telemarketing e teleselling occorre raccogliere un nuovo consenso dell’interessato che faccia venire meno il regime di “opt-out” manifestato attraverso l’iscrizione al RPO.
Tuttavia, tale consenso – come chiarito dal Garante – per essere valido, deve risultare libero, specifico e granulare. In particolare:
- un consenso libero non deve essere obbligatorio (ad esempio non sono valide caselle le preselezionate) e l’interessato non deve sentirsi obbligato ad esprimerlo, mediante configurazioni o tecniche di design insidiose;
- specifico per ogni finalità del trattamento per cui viene prestato; e
- granulare, ossia dettagliato rispetto al mezzo con cui poi verrà effettuata l’attività di marketing (es: telefono, sms, mail etc.) e in relazione alla categoria merceologica delle offerte commerciali che vengono proposte.
Sono messi al bando invece i consensi omnibus, dove cioè il consenso, seppur libero, viene prestato per finalità unitarie e indistintamente rispetto a mezzi e categorie merceologiche.
Contrariamente, l’utilizzo di formule generiche in fase di espressione del consenso che non permettano di selezionare la singola categoria merceologica delle offerte commerciali desiderate (p.e. telefonia, forniture energetiche, servizi assicurativi, moda, auto ecc.), non è in linea con la normativa privacy e non può far venir meno gli effetti della opposizione manifestata con l’iscrizione al Registro Pubblico delle Opposizioni. Parimenti, l’uso di moduli e form che raccolgono un solo consenso “per tutto”, raggruppando in una sola casella diverse finalità, categorie merceologiche in relazione alle quali ricevere comunicazioni commerciali e strumenti attraverso cui veicolare tali comunicazioni promozionali, sono illeciti e non consentono di acquisire una valida, consapevole e inequivocabile manifestazione di volontà dell’interessato.
Oltretutto, un interessato che voglia ricevere comunicazioni di telemarketing solo per un certo settore merceologico (es: vestiario), mediante modalità di design di espressione del consenso di tale tipo, sarebbe costretto ad una scelta binaria: a non conferire alcun consenso o a conferire un consenso omnibus, e quindi a ricevere comunicazioni imprevedibili anche per categorie merceologiche non per lui interessanti o con mezzi non richiesti o da parte di soggetti non voluti, compresi i call center, con la conseguenza di una indebita compromissione del proprio diritto alla riservatezza.
Telemarketing in Europa: approcci comparati
Il provvedimento del Garante italiano si inserisce in un contesto europeo caratterizzato da un progressivo inasprimento delle misure di controllo sulle attività di telemarketing. Un’analisi comparata evidenzia alcune tendenze comuni ma anche significative differenze nell’approccio regolatorio:
Francia: l’autorità francese (CNIL) ha adottato un approccio particolarmente severo sui consensi per il telemarketing, richiedendo dal 2022 una granularità specifica per canale di contatto e per tipologia di partner commerciale. Ha recentemente sanzionato una società energetica con 1 milione di euro per pratiche di telemarketing aggressive e raccolta di consensi non conformi.
Spagna: l’AEPD spagnola ha sviluppato linee guida specifiche che richiedono la verifica periodica (almeno trimestrale) dell’attualità dei consensi raccolti e l’adozione di sistemi di tracciamento per l’intera filiera dei contatti. Si distingue per l’enfasi sulla responsabilità in solido tra titolare e responsabile del trattamento nell’ambito del telemarketing.
Germania: le autorità tedesche hanno implementato un sistema particolarmente rigoroso riguardo ai consensi “omnibus”, con una giurisprudenza consolidata che considera invalidi i consensi che accorpano più di due finalità di trattamento o canali di contatto, anche se tecnicamente separati. I requisiti formali per la granularità del consenso sono tra i più stringenti in Europa.
L’approccio italiano, con questa recente decisione, si allinea alle tendenze più rigorose nel panorama europeo, ponendo particolare enfasi sulla specificità e granularità del consenso, in piena coerenza con la giurisprudenza del Comitato europeo per la protezione dei dati (EDPB).
Telemarketing: alcune buone prassi
Il provvedimento del Garante rappresenta un importante campanello d’allarme per tutte le aziende che operano nel settore del telemarketing o che utilizzano questo canale per le proprie attività commerciali. Alla luce di questa decisione, si rende necessaria un’immediata revisione delle proprie procedure di raccolta del consenso e delle pratiche di telemarketing, in particolare è opportuno:
- fornire agli interessati un’adeguata informativa sul trattamento dei dati personali, anche nel corso della chiamata promozionale, indicando chiaramente le modalità per l’esercizio dei diritti;
- raccogliere consensi specifici e distinti per ciascuna finalità (es. marketing, profilazione), evitando consensi “onnicomprensivi” non validi;
- rendere il consenso per finalità di marketing il più possibile granulare, distinguendo tra categorie merceologiche e canali di contatto utilizzati;
- documentare la “filiera” di contatto, tracciando tutti i soggetti coinvolti, soprattutto in caso di outsourcing delle chiamate di telemarketing a call center esterni;
- adottare misure concrete per garantire che il responsabile del trattamento – quale l’operatore di call center incarico – rispetti le istruzioni ricevute, attraverso audit, numerazioni civetta, controlli a campione e procedure di selezione che privilegino fornitori aderenti al Codice di condotta;
- prevedere piani formativi ricorrenti (almeno annuali) sul trattamento dei dati, coinvolgendo sia il personale interno sia chiedendo ai responsabili esterni di procedere in modo analogo;
- in caso di acquisizione di liste di contatti da terzi, verificare che non vi siano soggetti già presenti nella propria black list o iscritti al Registro Pubblico delle Opposizioni, o che abbiano già revocato il consenso o manifestato una specifica opposizione.
La mancata conformità alle indicazioni del Garante non espone solamente a rischi sanzionatori significativi, ma può compromettere la reputazione aziendale e la fiducia dei consumatori, con conseguenze potenzialmente più dannose delle sanzioni stesse nel medio-lungo termine.
Checklist GDPR per il telemarketing
| Area | Requisito | Osservazioni pratiche |
| Consenso | Deve essere libero, specifico e granulare | Evitare consensi pre-selezionati o aggregati; distinguere finalità, canali e merceologie |
| Informativa | Deve essere fornita in modo chiaro e completo, anche durante la chiamata | Indicare titolare, finalità, base giuridica, diritti dell’interessato |
| Registro Pubblico delle Opposizioni (RPO) | Vietato contattare numeri iscritti senza un nuovo consenso valido | Verificare sistematicamente le liste prima di ogni campagna |
| Documentazione | Tracciare la filiera dei contatti e la provenienza dei dati | Conservare prove del consenso e del controllo sui fornitori |
| Responsabili esterni | Devono essere formalmente nominati e soggetti a istruzioni vincolanti | Introdurre controlli (es. audit, numerazioni civetta, clausole contrattuali stringenti) |
| Formazione | Prevista formazione periodica per operatori interni ed esterni | Almeno annuale, con focus su privacy, consensi e comportamento in chiamata |
| Lead e liste acquisite | Verificare origine, validità del consenso, esclusioni (RPO/black list) | Richiedere dichiarazioni e garanzie al fornitore, prevedere penali per uso illecito |
