Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

chiamate commerciali

Consenso o niente: la Spagna cambia le regole per i call center

Home Sicurezza digitale Privacy
Partecipa al dibattito
Indirizzo copiato

Spagna e Italia condividono un approccio restrittivo al telemarketing. Il sistema spagnolo richiede consenso per chiamate a freddo, limita il legittimo interesse e obbliga controlli sulla Lista Robinson per garantire conformità normativa

Pubblicato il 12 nov 2025
Lorenzo Quadrini

Legal Counsel – Privacy presso Aris

robocall spoofing filtro chiamate apple spoofing telefonico chiamate commerciali in Spagna

In maniera analoga all’Italia, anche la Spagna ha visto nel corso degli ultimi anni un’attenzione sempre crescente nei confronti delle attività di call center destinate a chiamate commerciali.

Codice di condotta telemarketing: le difficoltà da superare

Il quadro normativo spagnolo per la protezione dei dati

In generale, in maniera piuttosto simile all’Italia ed agli approcci di tutela del EDPB, anche il mercato spagnolo ha inserito misure di forte restrizione nei confronti di quelle pratiche commerciali ritenute aggressive e molto impattanti sulla privacy dei soggetti interessati.

Le attività di call center in Spagna sono regolate da una combinazione di norme in materia di telecomunicazioni e protezione dei dati, di seguito sintetizzate.

Il GDPR, e la legge spagnola di integrazione allo stesso, trovano ovviamente applicazione al trattamento di dati da parte dei call center. Richiamando alcuni concetti oramai assodati, è utile ricordare che il GDPR richiede la trasparenza, la limitazione della finalità e la tracciabilità del consenso, mentre l’LOPDGDD introduce sistemi di esclusione pubblicitaria (Lista Robinson) che le aziende devono consultare prima di ogni campagna.

La Lista Robinson e le differenze con il sistema italiano

In particolare la Lista Robinson agisce con modalità simili a quelle previste per il nostrano Registro Pubblico delle Opposizioni, anche se con tempistiche ed approcci leggermente più favorevoli per gli operatori. Tra questi il più rilevante è sicuramente il termine di validità della lista (30 giorni e non 15) e l’attribuzione dell’onere del controllo anche al solo responsabile del trattamento che la usi materialmente.

Di fondamentale importanza è tenere a mente, infine, che la Lista Robinson nasce come sistema di esclusione delle chiamate tramite opt-out, per poi trasformarsi come si vedrà sotto in uno strumento sostanzialmente di controllo e rafforzamento di un sistema opt-in.

La svolta verso l’opt-in con la legge 11/2022

Legge 11/2022 (Ley General de Telecomunicaciones) – all’art. 66.1.b riconosce agli utenti il diritto a non ricevere chiamate commerciali indesiderate e stabilisce che tali chiamate possono avvenire solo con consenso esplicito o quando esista un’altra base giuridica del GDPR. La Circular 1/2023 dell’AEPD chiarisce che la base principale è il consenso; l’interesse legittimo può essere invocato solo in casi limitati e documentati, in presenza di un precedente rapporto contrattuale e per offerte di prodotti simili.

Come accennato sopra, quindi, il legislatore spagnolo, di concerto con il Garante iberico, ha deciso per un cambio di rotta verso un sistema opt-in, ossia un sistema in cui la chiamata commerciale è sempre da considerare indesiderata e illecita, a meno di un consenso specifico.

Il quadro spagnolo dunque armonizza le norme in tema di telecomunicazioni con il GDPR, ponendo al centro il consenso, l’identificazione chiara del chiamante e la tutela dell’utente da pratiche aggressive o fraudolente.

Requisiti per le chiamate commerciali a freddo

Vediamo quindi oggi come poter gestire un servizio di chiamate commerciali per il mercato spagnolo, con particolare riferimento alle liste c.d. “fredde” (ossia le liste di contatti che non rientrano nella clientela della società chiamante) ed alle liste create sulla base del legittimo interesse.

Il cambio di regime applicato a partire dal 2022 e confermato nel 2023 dall’AEPD ha reso, di fatto, illecite le chiamate a freddo. In particolare, il Garante spagnolo considera come unica base giuridica valida il consenso esplicito: non è ammessa l’invocazione dell’interesse legittimo per chiamate a numeri casuali (una pratica piuttosto utilizzata in Spagna prima di questo intervento) o presenti negli elenchi telefonici.

In ossequio ai principi generali del GDPR, ogni chiamata (pur se sorretta dal consenso) deve essere trasparente: l’operatore deve identificare il soggetto che effettua la chiamata, comunicare lo scopo commerciale e informare sul diritto di revocare il consenso ed opporsi alle chiamate future.

L’uso della Lista Robinson come strumento di verifica

Anche in presenza del consenso espresso il chiamante è tenuto ad operare le opportune verifiche tramite la Lista Robinson. Il motivo è che la Lista Robinson agisce come strumento anche successivo di esclusione del consenso, pertanto la raccolta dello stesso precedentemente all’iscrizione dell’utente alla lista renderà la chiamata illegittima. Di particolare interesse è il fatto che la Lista Robinson può fungere anche da tramite per la comunicazione dell’opposizione specifica: gli utenti possono infatti indicare i singoli Titolari del trattamento per i quali impedire le chiamate commerciali. Il consiglio per le aziende, quindi, è quello di iscriversi alla lista al fine di rimanere perfettamente informati circa le decisioni degli utenti finali.

Legittimo interesse: condizioni e limiti applicativi

Il GDPR permette di basarsi sull’interesse legittimo purché si rispettino condizioni stringenti. In particolare, deve esistere un rapporto contrattuale preesistente e la chiamata deve riguardare prodotti o servizi analoghi a quelli già acquistati; l’azienda deve eseguire un bilanciamento tra il proprio interesse e i diritti dell’interessato e garantire che la comunicazione non sia inattesa o sproporzionata. Secondo il Garante spagnolo, inoltre, l’interesse legittimo non si presume se il contratto è scaduto o non vi è stata alcuna interazione nell’ultimo anno. Per le comunicazioni B2B, l’LOPDGDD (art. 19) consente l’uso di dati di contatto professionali quando il messaggio riguarda la sfera lavorativa; tuttavia gli interessati mantengono il diritto di opporsi e di essere informati.

Nuove misure contro pratiche commerciali aggressive

Infine, anche in presenza di liste consensate, è bene prestare attenzione ad alcuni degli interventi recenti del legislatore spagnolo, che hanno il chiaro obiettivo di limitare le attività commerciali più spregiudicate, puntando al contrario su regole rigide e di protezione per gli utenti.

In particolare, la Circular 1/2023 (in ossequio al GDPR) sottolinea che i dati di una lista non possono essere condivisi con altre società facenti parti lo stesso gruppo senza ulteriore consenso.

Inoltre l’Ordine del Ministero TDF/149/2025 (entrata in vigore 7 giugno 2025) obbliga gli operatori telefonici a bloccare le chiamate con CLI vuoti o numeri non assegnati, nonché le chiamate internazionali che simulano un numero spagnolo – in altre parole, interviene per arginare il fenomeno del cosiddetto “spoofing”. L’Ordine vieta inoltre l’uso di numeri di telefonia mobile per chiamate commerciali o di assistenza clienti, obbligando l’impiego di numeri fissi o numeri speciali 800/900

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Q
Lorenzo Quadrini
Legal Counsel – Privacy presso Aris
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • data protection officer

  • la guida

    DPO, chi è il data protection officer e perché è una figura controversa

    07 Apr 2025

    di Antonino Polimeni

    Condividi
  • gdpr sentenze cgue (1)

  • trasferimento dati

    Privacy violata, l'Ue sanziona sé stessa: impatti della sentenza Bindl

    17 Feb 2025

    di Alessandra Lucchini

    Condividi
  • sicurezza IA

  • competitività

    Sostenibilità e compliance nell’IA: sinergie tra AI Act e ISO 42001

    24 Giu 2025

    di Davide Giribaldi

    Condividi