Il Registro delle Opposizioni: perché non c'è un'API gratuita?
Cari Amici, da parecchio tempo mi scontro, come cittadino, con la relativamente limitata efficacia del Registro delle Opposizioni (eufemismo, nel mio caso, ma forse sono sfortunato io: non ho evidenza statisticamente rilevante)... (Per chi non avesse familiarità col tema, il Registro è un servizio a tutela del cittadino, dove sono presenti i numeri di chi "decide di non voler più ricevere telefonate per scopi commerciali o di ricerche di mercato e, in pari tempo, è uno strumento per rendere più competitivo, dinamico e trasparente il mercato tra gli Operatori di marketing telefonico": http://www.registrodelleopposizioni.it/) Inizialmente, pensavo l'efficacia modesta del Registro fosse dovuta ad un problema di enforcement da parte del Garante: insomma, credevo che violare la norma costasse troppo poco. Forse questo elemento c'è (stando al sito del Garante, dal febbraio 2011 all'aprile 2015, il Garante stesso ha contestato sanzioni per 2.500.000 euro... non è una cifra enorme, considerando l'apparentemente smodato numero di violazioni; per inciso, le segnalazioni sono state "solo" 18.000). Tuttavia, la mia attenzione è stata recentemente richiamata sull'altro lato dell'equazione: il costo della compliance, del rispetto della norma. Guardando questa tabellina http://www.registrodelleopposizioni.it/it/operatori/home-operatori potrete facilmente appurare che chi volesse controllare un bel database della maggior parte dei numeri di telefono italiani dovrebbe spendere più di 200.000 euro! Forse il caso di cui sopra non si dà o non dovrebbe darsi. Ma i costi sono comunque ingenti, se pensate che anche un "normale" operatore che debba verificare molti meno numeri deve rifarlo ogni 15 gg., sicché i costi lievitano. Insomma, temo sia più conveniente rischiare una multa che pagare. Ma c'è di peggio. Come mostra questo (http://registro-opposizioni.blogspot.it/) blog post, era già chiaro nel 2011 che la scelta, per alcuni tipi di operatori, è tra pagare e chiudere, ergo uno si prende il rischio, e spera bene. Perché scrivo in lista? Da una parte, perché forse qualcuno ho studiato meglio di me il problema e può mostrarmi che il sottoscritto ed il blogger citato si sbagliano: il registro funziona (sono solo sfortunato io) ed i costi non sono così proibitivi (per gli operatori che lavorano in modo "serio"). D'altro canto, mi chiedevo anche cosa osti a mettere su un servizio che, tramite API, risponda "0" o "1" quando viene inviato un singolo numero di telefono: a mio, poco informato, parere, questa cosa fatta in modo furbo potrebbe star su col PC del mio ufficio, e permetterebbe ad una serie di più o meno piccoli call center che vivono nell'illegalità o quasi di non avere più alibi. L'operatore, prima di chiamare, dovrebbe solo pigiare un tastino e aspettare mezzo secondo per avere la luce verde del Registro in tempo reale e per le sole chiamate che deve fare. Inoltre, sto prendendo delle cantonate, oppure non si giustificano tecnicamente i costi della tabella http://www.registrodelleopposizioni.it/it/operatori/home-operatori ? Insomma, il Registro è gestito da un soggetto no-profit, e dovrebbe avere costi limitati, per incentivare alla compliance. Com'è possibile che sia percepito come proibitivamente caro? [Per altro, se il registro funzionasse, potrebbe essere un modello per altri tipi di spam, compreso quello via mail, per cui la discussione è ancor più Internet & Society di quanto sembri in prima battuta.] Un saluto, Federico -- ----------------------------------- Federico MORANDO Director of Research and Policy & Research Fellow NEXA Center for Internet & Society Politecnico di Torino - DAUIN Corso Duca degli Abruzzi, 24 10129 TORINO - ITALY mail: federico.morando@polito.it web: http://nexa.polito.it
Caro Federico, provo a dare una parziale risposta alle tue domande. Parto dal fondo. Il registro non può essere esteso alle email in quanto è strettamente connesso all'elenco telefonico pubblico. Questa la sua storia, in breve. Quando entrò in vigore la prima legge privacy gli elenchi telefoni furono ampiamente utilizzati per operazioni di marketing in quanto, trattandosi di dati personali pubblici ex lege, non era necessario il consenso degli interessati. Con l'entrata in vigore, nel 2003, del codice privacy (che diede attuazione alla direttiva e-privacy), in particolare ai sensi dell'art.130 (comunicazioni indesiderate), la situazione si invertì in quanto fu richiesto agli abbonati telefonici di prestare espresso consenso ad essere contattati, sia per posta ordinaria che per telefono. Nel 2009 la situazione è nuovamente mutata mediante l'inserimento del comma 3 bis al citato art.130 il quale prevede che il trattamento dei dati contenuti negli elenchi pubblici (disciplinati dall'art.129), mediante l'impiego del telefono e della posta cartacea per finalità promo pubblicitarie è consentito nei confronti di chi non abbia esercitato il diritto di opposizione, mediante l'iscrizione della numerazione della quale è intestatario e degli altri dati personali di cui all'articolo 129, in un registro pubblico delle opposizioni, in tal modo introducendo nel nostro ordinamento l'unica ipotesi di op-out in tema di consenso privacy. I limiti dell'efficacia dell'RPO, IMHO, sta proprio nel fatto che è legato agli elenchi telefonici pubblici in quanto: 1. negli elenchi sono compresi quasi esclusivamente numeri fissi e pochissimi cellulari; 2. le aziende che voglio fare telemarketing possono comunque continuare a chiamare numeri estratti da liste diverse, come: A) liste autonomamente formate (ad es. numeri di soggetti già clienti per cui l'art.130 esclude la necessità di consenso); B) altri elenchi pubblici (ad es. gli albi professionali); C) liste ad hoc acquistate dai broker di dati personali che gestiscono enormi DB contenenti di dati personali (anche email) di persone che hanno espresso il consenso a comunicazioni promo pubblicitarie. Per esperienza professionale posso dirti che sono pochissime le aziende che commissionano una campagna pubblicitaria sulla base dei numeri contenuti negli elenchi telefonici perché sono dati grezzi, privi di qualsiasi minima profilazione. Se voglio, ad es., promuovere un'auto di grossa cilindrata, infatti, è molto più proficuo chiedere ad un broker (in Italia sono pochissimi!) una lista di numeri di uomini, di età adulta, di buon reddito e, magari, che hanno una berlina ormai datata. Quanto alla tua proposta dell'API, il sistema macchinoso orchestrato per l'RPO (se un'azienda vuole chiamare a scopi pubblicitari numeri trovati in elenco telefonico, deve prima sottoporli alla Fondazione Ugo Bordoni, che entro 24 ore li restituirà scremati di quelli iscritti nel registro; l'elenco è utilizzabile dalle aziende per chiamate pubblicitarie per 15 giorni, dopodiché occorre ripetere la procedura) è giustificato dal fatto che si tratta comunque di un DB, come tale protetto ai sensi del codice privacy: il trattamento dei dati che contiene, giustamente, non può essere effettuato da chiunque. Quel che, invece, io non ho mai capito è perché il registro sia stato affidato, senza nessuna gara pubblica, alla Fondazione Bordoni, guarda caso riconosciuta organo di diritto pubblico proprio nel 2009... Un caro saluto a tutti, Monica Il giorno 25 set 2015, alle ore 18:31, Federico Morando <federico.morando@polito.it> ha scritto: Cari Amici, da parecchio tempo mi scontro, come cittadino, con la relativamente limitata efficacia del Registro delle Opposizioni (eufemismo, nel mio caso, ma forse sono sfortunato io: non ho evidenza statisticamente rilevante)... (Per chi non avesse familiarità col tema, il Registro è un servizio a tutela del cittadino, dove sono presenti i numeri di chi "decide di non voler più ricevere telefonate per scopi commerciali o di ricerche di mercato e, in pari tempo, è uno strumento per rendere più competitivo, dinamico e trasparente il mercato tra gli Operatori di marketing telefonico": http://www.registrodelleopposizioni.it/) Inizialmente, pensavo l'efficacia modesta del Registro fosse dovuta ad un problema di enforcement da parte del Garante: insomma, credevo che violare la norma costasse troppo poco. Forse questo elemento c'è (stando al sito del Garante, dal febbraio 2011 all'aprile 2015, il Garante stesso ha contestato sanzioni per 2.500.000 euro... non è una cifra enorme, considerando l'apparentemente smodato numero di violazioni; per inciso, le segnalazioni sono state "solo" 18.000). Tuttavia, la mia attenzione è stata recentemente richiamata sull'altro lato dell'equazione: il costo della compliance, del rispetto della norma. Guardando questa tabellina http://www.registrodelleopposizioni.it/it/operatori/home-operatori potrete facilmente appurare che chi volesse controllare un bel database della maggior parte dei numeri di telefono italiani dovrebbe spendere più di 200.000 euro! Forse il caso di cui sopra non si dà o non dovrebbe darsi. Ma i costi sono comunque ingenti, se pensate che anche un "normale" operatore che debba verificare molti meno numeri deve rifarlo ogni 15 gg., sicché i costi lievitano. Insomma, temo sia più conveniente rischiare una multa che pagare. Ma c'è di peggio. Come mostra questo (http://registro-opposizioni.blogspot.it/) blog post, era già chiaro nel 2011 che la scelta, per alcuni tipi di operatori, è tra pagare e chiudere, ergo uno si prende il rischio, e spera bene. Perché scrivo in lista? Da una parte, perché forse qualcuno ho studiato meglio di me il problema e può mostrarmi che il sottoscritto ed il blogger citato si sbagliano: il registro funziona (sono solo sfortunato io) ed i costi non sono così proibitivi (per gli operatori che lavorano in modo "serio"). D'altro canto, mi chiedevo anche cosa osti a mettere su un servizio che, tramite API, risponda "0" o "1" quando viene inviato un singolo numero di telefono: a mio, poco informato, parere, questa cosa fatta in modo furbo potrebbe star su col PC del mio ufficio, e permetterebbe ad una serie di più o meno piccoli call center che vivono nell'illegalità o quasi di non avere più alibi. L'operatore, prima di chiamare, dovrebbe solo pigiare un tastino e aspettare mezzo secondo per avere la luce verde del Registro in tempo reale e per le sole chiamate che deve fare. Inoltre, sto prendendo delle cantonate, oppure non si giustificano tecnicamente i costi della tabella http://www.registrodelleopposizioni.it/it/operatori/home-operatori ? Insomma, il Registro è gestito da un soggetto no-profit, e dovrebbe avere costi limitati, per incentivare alla compliance. Com'è possibile che sia percepito come proibitivamente caro? [Per altro, se il registro funzionasse, potrebbe essere un modello per altri tipi di spam, compreso quello via mail, per cui la discussione è ancor più Internet & Society di quanto sembri in prima battuta.] Un saluto, Federico -- ----------------------------------- Federico MORANDO Director of Research and Policy & Research Fellow NEXA Center for Internet & Society Politecnico di Torino - DAUIN Corso Duca degli Abruzzi, 24 10129 TORINO - ITALY mail: federico.morando@polito.it web: http://nexa.polito.it _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa Monica
On 26/09/2015 18:21, avv. Monica A. Senor wrote:
Per esperienza professionale posso dirti che sono pochissime le aziende che commissionano una campagna pubblicitaria sulla base dei numeri contenuti negli elenchi telefonici perché sono dati grezzi, privi di qualsiasi minima profilazione. Se voglio, ad es., promuovere un'auto di grossa cilindrata, infatti, è molto più proficuo chiedere ad un broker (in Italia sono pochissimi!) una lista di numeri di uomini, di età adulta, di buon reddito e, magari, che hanno una berlina ormai datata. Come accennavo, sono ignorante sul tema, anche se mi sto riproponendo di approfondirlo, e questo è un punto su cui avevo grosse lacune. In effetti, il Registro si presenta come interlocutore di chiunque "intende avviare mediante il telefono attività a scopo commerciale, promozionale o ricerche di mercato." Insomma, il distinguo che fai tu rispetto all'origine di questi dati non viene presentato, almeno non molto chiaramente.
Immaginavo che l'iscrizione al registro non precludesse i trattamenti dei dati altrimenti acquisiti con esplicito consenso... ma, ad esempio, se uno acquisisse un elenco di numeri di telefono facendo scraping del Web, dovrebbe/potrebbe usare il Registro per verificare se e quali di questi numeri possano essere contattati per offerte commerciali?
Quanto alla tua proposta dell'API, il sistema macchinoso orchestrato per l'RPO (se un'azienda vuole chiamare a scopi pubblicitari numeri trovati in elenco telefonico, deve prima sottoporli alla Fondazione Ugo Bordoni, che entro 24 ore li restituirà scremati di quelli iscritti nel registro; l'elenco è utilizzabile dalle aziende per chiamate pubblicitarie per 15 giorni, dopodiché occorre ripetere la procedura) è giustificato dal fatto che si tratta comunque di un DB, come tale protetto ai sensi del codice privacy: il trattamento dei dati che contiene, giustamente, non può essere effettuato da chiunque. L'API avrebbe l'unico scopo di dire "puoi chiamare", o "hanno chiesto di non disturbare" in risposta ad una chiamata contenente un numero di telefono già noto a chi invoca l'API: il trattamento del DB avverrebbe solo ad opera di chi gestisce il registro, mentre chi fa la chiamata avrebbe lo stesso tipo di informazione che ha oggi: "uno di cui avevi già il numero è iscritto al registro". Personalmente, mi sfugge il vantaggio del modello attuale, se non nel creare artificialmente un mercato per i servizi offerti dal gestore del Registro. Insomma, imho si può fare un'API che rispetti quanto previsto dal Codice Privacy: "modalità tecniche di funzionamento e di accesso al registro mediante interrogazioni selettive che non consentano il trasferimento dei dati presenti nel registro stesso, prevedendo il tracciamento delle operazioni compiute e la conservazione dei dati relativi agli accessi".
Comunque appena posso studio un po' di più prima di fare altre domande :-) Grazie, Federico
Caro Federico, l'art.130, comma 3 bis, del codice privacy prevede che: "In deroga a quanto previsto dall'articolo 129, il trattamento dei dati di cui all'articolo 129, comma 1 (cioè dei dati contenuti negli elenchi telefonici), mediante l'impiego del telefono e della posta cartacea per le finalità di cui all'articolo 7, comma 4, lettera b) (cioè finalità di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale) è consentito nei confronti di chi non abbia esercitato il diritto di opposizione, con modalità semplificate e anche in via telematica, mediante l'iscrizione della numerazione della quale è intestatario e degli altri dati personali di cui all'articolo 129, comma 1, in un registro pubblico delle opposizioni". Il registro è dunque funzionale solo ed esclusivamente agli elenchi telefoni. Considerato tale assetto normativo, a mio parere, anche un'API, peraltro molto interessante, come quella che proponi tu, sarebbe poco utile allo scopo in quanto, generalmente, non è dagli elenchi telefonici che si estraggono i numeri di telefono utilizzati per le campagne di telemarketing. Un caro saluto, Monica -----Messaggio originale----- Da: Federico Morando [mailto:federico.morando@polito.it] Inviato: mercoledì 30 settembre 2015 13:59 A: avv. Monica A. Senor Cc: Nexa Center Oggetto: Re: [nexa] Il Registro delle Opposizioni: perché non c'è un'API gratuita? On 26/09/2015 18:21, avv. Monica A. Senor wrote:
Per esperienza professionale posso dirti che sono pochissime le aziende che commissionano una campagna pubblicitaria sulla base dei numeri contenuti negli elenchi telefonici perché sono dati grezzi, privi di qualsiasi minima profilazione. Se voglio, ad es., promuovere un'auto di grossa cilindrata, infatti, è molto più proficuo chiedere ad un broker (in Italia sono pochissimi!) una lista di numeri di uomini, di età adulta, di buon reddito e, magari, che hanno una berlina ormai datata. Come accennavo, sono ignorante sul tema, anche se mi sto riproponendo di approfondirlo, e questo è un punto su cui avevo grosse lacune. In effetti, il Registro si presenta come interlocutore di chiunque "intende avviare mediante il telefono attività a scopo commerciale, promozionale o ricerche di mercato." Insomma, il distinguo che fai tu rispetto all'origine di questi dati non viene presentato, almeno non molto chiaramente.
Immaginavo che l'iscrizione al registro non precludesse i trattamenti dei dati altrimenti acquisiti con esplicito consenso... ma, ad esempio, se uno acquisisse un elenco di numeri di telefono facendo scraping del Web, dovrebbe/potrebbe usare il Registro per verificare se e quali di questi numeri possano essere contattati per offerte commerciali?
Quanto alla tua proposta dell'API, il sistema macchinoso orchestrato per l'RPO (se un'azienda vuole chiamare a scopi pubblicitari numeri trovati in elenco telefonico, deve prima sottoporli alla Fondazione Ugo Bordoni, che entro 24 ore li restituirà scremati di quelli iscritti nel registro; l'elenco è utilizzabile dalle aziende per chiamate pubblicitarie per 15 giorni, dopodiché occorre ripetere la procedura) è giustificato dal fatto che si tratta comunque di un DB, come tale protetto ai sensi del codice privacy: il trattamento dei dati che contiene, giustamente, non può essere effettuato da chiunque. L'API avrebbe l'unico scopo di dire "puoi chiamare", o "hanno chiesto di non disturbare" in risposta ad una chiamata contenente un numero di telefono già noto a chi invoca l'API: il trattamento del DB avverrebbe solo ad opera di chi gestisce il registro, mentre chi fa la chiamata avrebbe lo stesso tipo di informazione che ha oggi: "uno di cui avevi già il numero è iscritto al registro". Personalmente, mi sfugge il vantaggio del modello attuale, se non nel creare artificialmente un mercato per i servizi offerti dal gestore del Registro. Insomma, imho si può fare un'API che rispetti quanto previsto dal Codice Privacy: "modalità tecniche di funzionamento e di accesso al registro mediante interrogazioni selettive che non consentano il trasferimento dei dati presenti nel registro stesso, prevedendo il tracciamento delle operazioni compiute e la conservazione dei dati relativi agli accessi".
Comunque appena posso studio un po' di più prima di fare altre domande :-) Grazie, Federico
Buongiorno, sono a richiederVi la cancellazione dalla presente mailing list. RingraziandoVi, saluto cordialmente. Michela Paganin Inviato da iPhone
Il giorno 30/set/2015, alle ore 13:58, Federico Morando <federico.morando@polito.it> ha scritto:
On 26/09/2015 18:21, avv. Monica A. Senor wrote: Per esperienza professionale posso dirti che sono pochissime le aziende che commissionano una campagna pubblicitaria sulla base dei numeri contenuti negli elenchi telefonici perché sono dati grezzi, privi di qualsiasi minima profilazione. Se voglio, ad es., promuovere un'auto di grossa cilindrata, infatti, è molto più proficuo chiedere ad un broker (in Italia sono pochissimi!) una lista di numeri di uomini, di età adulta, di buon reddito e, magari, che hanno una berlina ormai datata. Come accennavo, sono ignorante sul tema, anche se mi sto riproponendo di approfondirlo, e questo è un punto su cui avevo grosse lacune. In effetti, il Registro si presenta come interlocutore di chiunque "intende avviare mediante il telefono attività a scopo commerciale, promozionale o ricerche di mercato." Insomma, il distinguo che fai tu rispetto all'origine di questi dati non viene presentato, almeno non molto chiaramente.
Immaginavo che l'iscrizione al registro non precludesse i trattamenti dei dati altrimenti acquisiti con esplicito consenso... ma, ad esempio, se uno acquisisse un elenco di numeri di telefono facendo scraping del Web, dovrebbe/potrebbe usare il Registro per verificare se e quali di questi numeri possano essere contattati per offerte commerciali?
Quanto alla tua proposta dell'API, il sistema macchinoso orchestrato per l'RPO (se un'azienda vuole chiamare a scopi pubblicitari numeri trovati in elenco telefonico, deve prima sottoporli alla Fondazione Ugo Bordoni, che entro 24 ore li restituirà scremati di quelli iscritti nel registro; l'elenco è utilizzabile dalle aziende per chiamate pubblicitarie per 15 giorni, dopodiché occorre ripetere la procedura) è giustificato dal fatto che si tratta comunque di un DB, come tale protetto ai sensi del codice privacy: il trattamento dei dati che contiene, giustamente, non può essere effettuato da chiunque. L'API avrebbe l'unico scopo di dire "puoi chiamare", o "hanno chiesto di non disturbare" in risposta ad una chiamata contenente un numero di telefono già noto a chi invoca l'API: il trattamento del DB avverrebbe solo ad opera di chi gestisce il registro, mentre chi fa la chiamata avrebbe lo stesso tipo di informazione che ha oggi: "uno di cui avevi già il numero è iscritto al registro". Personalmente, mi sfugge il vantaggio del modello attuale, se non nel creare artificialmente un mercato per i servizi offerti dal gestore del Registro. Insomma, imho si può fare un'API che rispetti quanto previsto dal Codice Privacy: "modalità tecniche di funzionamento e di accesso al registro mediante interrogazioni selettive che non consentano il trasferimento dei dati presenti nel registro stesso, prevedendo il tracciamento delle operazioni compiute e la conservazione dei dati relativi agli accessi".
Comunque appena posso studio un po' di più prima di fare altre domande :-)
Grazie,
Federico
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
participants (3)
-
avv. Monica A. Senor -
Federico Morando -
michela paganin