Il 25 maggio 2018 ha cambiato le regole del gioco per chiunque usi il telefono, o oggi WhatsApp, per fare attività commerciale. Il GDPR è entrato in vigore e ha sostituito il vecchio Codice Privacy italiano, imponendo obblighi precisi su come raccogliere, usare e conservare i dati dei contatti.
A quasi otto anni di distanza, il quadro normativo si è ulteriormente evoluto. Se nel 2018 bisognava adeguarsi, oggi bisogna stare aggiornati: le regole si sono inasprite, le sanzioni sono reali, e i clienti sono sempre più consapevoli dei propri diritti.
Cosa sono i dati personali?
L’art.4 del GDPR definisce dato personale:
“Qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato) che identifichi o renda identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..”
L’art. 9 entra in molti dettagli, specificando una protezione per i dati personali “particolari”. É vietato trattare i dati personali che rivelino: l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, dati relativi alla salute o alla vita sessuale o all’ orientamento sessuale della persona.
I diritti dei tuoi contatti: non sono cambiati, ma vengono fatti valere di più
Le basi restano quelle del 2018. Chiunque tu chiami o contatti ha diritto a sapere chi sei e perché lo stai contattando, a revocare il consenso in qualsiasi momento, a chiedere la cancellazione dei propri dati (diritto all’oblio) e a trasferire i propri dati a un altro operatore (diritto alla portabilità). Quello che è cambiato è l’enforcement: il Garante è particolarmente attento alle comunicazioni commerciali effettuate in assenza di consenso o nonostante l’iscrizione al Registro Pubblico delle Opposizioni, e i provvedimenti sanzionatori sono numerosi.
Il Registro Pubblico delle Opposizioni: esteso a tutti i numeri
Questa è la novità più concreta per chi fa telemarketing. Nel 2022 il Registro è stato profondamente ampliato: non è più riservato alle sole utenze presenti negli elenchi telefonici pubblici, ma esteso a tutti i numeri nazionali, inclusi i cellulari.
Cosa significa in pratica? Chiunque può iscriversi all’RPO e bloccare le chiamate commerciali. Prima di avviare qualsiasi campagna promozionale, è obbligatorio interrogare il Registro e verificare la lista degli utenti iscritti per escluderli dalle chiamate. Non è un’opzione, è un obbligo.
E attenzione: una volta iscritto al Registro, un utente può essere ricontattato solo se ha fornito un consenso esplicito successivo alla data di iscrizione, oppure nell’ambito di un contratto in essere o cessato da non più di trenta giorni.
Il consenso nel 2026: deve essere specifico
Uno degli errori più comuni che il Garante ha sanzionato negli ultimi anni riguarda il consenso. Avere un consenso generico, quello che una volta si raccoglieva con un unico click o una firma, non basta più.
Il consenso deve essere libero, specifico e granulare: non sono valide le caselle pre-selezionate e l’interessato non deve sentirsi obbligato ad esprimerlo. Significa che se vuoi contattare qualcuno per telefono e via WhatsApp, devi avere un consenso per ciascun canale. Se vuoi fare sia vendita che profilazione, servono due consensi distinti.
Comprare liste di contatti? Rimane un territorio ad alto rischio, sostanzialmente vietato: il consenso deve essere raccolto direttamente, con piena trasparenza sulle finalità.
WhatsApp per il commerciale: attenzione alle regole
Molti operatori usano oggi WhatsApp, personale o Business, per contattare prospect e clienti. Dal punto di vista del GDPR, le regole sono le stesse del telefono: serve un consenso esplicito, documentato, per contattare qualcuno tramite messaggistica.
In più, WhatsApp tratta dati personali (numero di telefono, contenuto dei messaggi, metadati) e chi lo usa in modo commerciale è considerato titolare del trattamento. Questo significa che devi poter dimostrare di avere il consenso, di conservare i dati in modo sicuro e di rispettare i diritti dell’utente se ti chiede la cancellazione.
Nuove sanzioni per i call center: il D.Lgs. 48/2024
Il Decreto Legislativo n. 48/2024 introduce modifiche al Codice delle Comunicazioni Elettroniche con nuove sanzioni più severe per i call center outbound che non rispettano le normative. Il Codice di Condotta del Telemarketing, oggi attivo, aggiunge obblighi operativi precisi: consultazione obbligatoria del RPO prima di ogni contatto, formazione degli operatori su normative e best practice, e sistemi di monitoraggio della qualità delle chiamate.
Intelligenza artificiale nelle vendite: nuovi obblighi anche per i call center
Sempre più call center usano strumenti AI: sistemi di dialing automatico, chatbot su WhatsApp, scoring dei lead, analisi delle chiamate. Dal 2025 anche questo ambito è regolamentato dall’AI Act europeo, entrato progressivamente in vigore con i primi obblighi operativi già dal 2 febbraio 2025.
In concreto, per un operatore commerciale: i sistemi che usano l’AI per decidere chi chiamare, quando e con quale offerta devono essere trasparenti e controllabili. Il cliente ha il diritto di sapere se sta interagendo con un sistema automatizzato e di parlare con un essere umano se lo chiede.
Il CRM: il cuore della compliance
Tutti i dati che raccoglie il tuo team numeri di telefono, preferenze, storico delle chiamate, consensi, vivono nel CRM. È qui che la normativa si fa concreta. Le priorità per chi gestisce un CRM commerciale oggi: traccia ogni consenso con data, canale e finalità specifica; segmenta per consenso (chi ha dato ok solo al telefono non può essere contattato via WhatsApp); aggiorna regolarmente la lista rispetto al RPO; gestisci le revoche in tempo reale; non acquistare liste.
Tieni presente:
- la possibilità di iscrivere il proprio numero mobile e di rete fissa al registro delle opposizioni, anche se non iscritti negli elenchi telefonici. In pratica tutte le utenze esistenti potranno iscriversi;
- la revoca di tutti i consensi al trattamento dei dati personali espressi in precedenza;
- il divieto di cessione di elenchi telefonici a terzi;
- I call center hanno l’obbligo di:
- di introdurre un numero identificabile e richiamabile in modo che, anche se si è deciso di non iscriversi al registro delle opposizioni, chi riceve la chiamata può utilizzare il diritto di recesso ricontattando il numero che lo ha chiamato;
- di utilizzare un prefisso specifico, se non usano numeri richiamabili, in modo tale che, anche se si è deciso di non iscriversi al registro delle opposizioni, chi riceve la chiamata può riconoscere che si tratta di una telefonata commerciale.
Conclusione: le regole ci sono, farle rispettare conviene
Nel 2018 molti si sono adeguati di fretta. Nel 2026, chi non ha costruito una gestione strutturata dei consensi e dei contatti si trova esposto. Le indagini del Garante sono spesso scattate a seguito di segnalazioni da parte di utenti che lamentavano telefonate indesiderate e contratti non richiesti.
Lavorare bene con i dati non è solo un obbligo: è quello che distingue un’operazione commerciale seria da chi opera ai limiti della legge. I clienti lo percepiscono, e sempre più spesso lo scelgono.
Noi continuiamo ad aggiornarci. E voi?
