Tra miti, paure e fraintendimenti, pochi sanno davvero cosa il GDPR permette e cosa vieta quando si tratta di ricerca di numeri di telefono. Sfatiamo i miti principali con riferimenti puntuali alla normativa.

Mito 1: "Il GDPR vieta di cercare numeri di telefono"

Falso. Il GDPR non vieta di trattare dati personali — regola come farlo. Trovare un numero da un elenco pubblico lecito, per una finalità legittima, con una base giuridica valida, è pienamente ammesso.

Mito 2: "Se il numero è pubblico posso farne quello che voglio"

Falso. Il fatto che un dato sia pubblico non significa che sia trattabile senza limiti. Lo dice esplicitamente il Garante Privacy: anche dati pubblici sono soggetti al GDPR quando li tratti in modo sistematico.

Mito 3: "Serve sempre il consenso per chiamare"

Falso. Il consenso è solo una delle sei basi giuridiche previste dall'art. 6 GDPR. Per chiamate commerciali B2B in certi contesti può applicarsi il legittimo interesse (art. 6.1.f).

Le 6 basi giuridiche: quali contano per il telemarketing

  1. Consenso — standard per newsletter, profilazione
  2. Esecuzione di contratto — per comunicazioni ai tuoi clienti
  3. Obblighi legali — per comunicazioni normate
  4. Interessi vitali — emergenze sanitarie
  5. Compito di pubblico interesse — PA
  6. Legittimo interesse — più rilevante per B2B prospecting

Per chiamate commerciali a prospect non clienti, la combinazione tipica è: fonte pubblica lecita + legittimo interesse + opt-out facile.

Legittimo interesse: la soglia

Il Considerando 47 GDPR cita esplicitamente il marketing diretto come potenziale legittimo interesse, ma bilanciato con i diritti dell'interessato. I criteri:

  • Aspettativa ragionevole: il destinatario può aspettarsi di essere contattato in quel modo?
  • Minimizzazione: tratti solo i dati necessari?
  • Proporzionalità: il beneficio del titolare è proporzionato all'impatto sull'interessato?
  • Opt-out facile: può opporsi facilmente?

In pratica, per un agente immobiliare che chiama un proprietario identificato per un'ipotesi concreta, il legittimo interesse di solito regge.

Registro Pubblico delle Opposizioni (RPO)

Attenzione: il legittimo interesse non bypassa il RPO. Prima di chiamare un numero per finalità commerciali devi verificare che non sia iscritto al Registro. Verifica obbligatoria, sanzioni pesanti in caso di violazione.

Dal 2022 il RPO copre anche numeri mobili, non solo fissi. Molti dimenticano questo aggiornamento.

Fonti pubbliche lecite vs. "banche dati generiche"

Una fonte pubblica lecita è:

  • Un elenco telefonico editoriale
  • Un catalogo professionale pubblico
  • Un dataset open pubblicato da un ente
  • Un registro pubblico normato

Non sono fonti lecite:

  • Scraping di Facebook/LinkedIn
  • Database rubati o trafugati
  • Liste vendute da broker senza origine documentata
  • Dati comunicati per altre finalità

TrovaNumero aggrega solo fonti del primo gruppo.

Trasferimenti extra-UE

Se il tuo fornitore ha server o sede fuori dall'UE, deve garantire il trasferimento con:

  • Decisione di adeguatezza della Commissione UE, oppure
  • Clausole Contrattuali Standard (SCC) 2021
  • Transfer Impact Assessment (TIA) documentato

TrovaNumero opera con SCC 2021 + TIA per la sede extra-UE del Titolare.

Documentazione che ti serve

  1. Informativa privacy aggiornata sul sito
  2. Registro dei trattamenti (art. 30) se superi soglie
  3. Procedura gestione diritti dell'interessato (accesso, rettifica, cancellazione, opposizione)
  4. Contratti di trattamento dati con i tuoi fornitori (art. 28)
  5. DPIA (valutazione impatto) se il trattamento è ad alto rischio

In caso di controllo

Il Garante privacy può chiederti:

  • Quale base giuridica hai usato
  • Dove hai preso i dati (fonte documentabile)
  • Come hai verificato il RPO
  • Come gestisci le opposizioni
  • Quali contratti hai con i fornitori

Più la documentazione è ordinata, meno problemi hai.

In pratica

Per un'agenzia o uno studio che usa TrovaNumero:

  1. Fonti dati → lecite e documentate (lo garantiamo noi)
  2. Finalità → scritta nel contratto di servizio (lo firmi al primo acquisto)
  3. Base giuridica → legittimo interesse + RPO verificato da te prima della chiamata
  4. Informativa privacy → aggiornata sul tuo sito
  5. Diritti interessato → procedura chiara per cancellazioni/opposizioni

Se hai coperto questi 5 punti, sei a posto.

Conclusione

Il GDPR non è un muro invalicabile: è una cornice di regole. Chi le rispetta lavora senza paure e con più autorevolezza. Le agenzie e gli studi che fanno le cose in chiaro sono quelle che vincono nel medio periodo.