Il 24 marzo 2023, in attuazione dell’art.40 del GDPR, è stato pubblicato il Codice di condotta per le attività di telemarketing e teleselling, elaborato da alcune associazioni rappresentative di committenti, call center, teleseller e list provider e da alcune associazioni di consumatori: esso è aperto alle adesioni di tutti i soggetti interessati e dovrà essere applicato anche nei rapporti negoziali con fornitori o committenti che non vi aderiscano.
Le regole di condotta inserite nel Codice in esame sono finalizzate ad evitare le numerose forme di intrusione nella sfera privata, indebite e moleste, attuate dalle società che operano direttamente o indirettamente nel settore del telemarketing e a recuperare la fiducia degli interessati e la relativa disponibilità all’ascolto.
Quindi, i cittadini, per opporsi alle chiamate indesiderate potranno, non solo, iscriversi al Registro Pubblico delle Opposizioni (ROP) al seguente link: https://registrodelleopposizioni.it/ , ma anche fare affidamento sulle regole sancite dal Codice di condotta.
Esso entrerà in vigore dopo l’accreditamento dell’Organismo di Monitoraggio (OdM) che svolge un ruolo centrale nella sua attuazione in quanto deve garantire il rispetto delle regole di condotta da parte degli operatori, effettuare verifiche e controlli e fornire resoconti informativi periodici anche economici al Garante e agli aderenti. Inoltre, può proporre linee di indirizzo per la gestione e la risoluzione di contestazioni relative a violazioni e/o modalità applicative del Codice di condotta, promuovere la costituzione di gruppi di lavoro tecnici per l’individuazione di soluzioni tecnologiche di supporto allo svolgimento delle attività di telemarketing e teleselling e fornire un’interpretazione uniforme del Codice di condotta.
L’ambito soggettivo e oggettivo di applicazione del Codice
Per assicurare il rispetto della normativa privacy “dal contatto al contratto” le regole del Codice si applicano all’intera filiera delle attività di telemarketing e teleselling svolte da soggetti operanti in territorio italiano o estero, nei confronti di soggetti ubicati nel territorio dello Stato italiano.
Sono escluse dal Codice di condotta le promozioni in app e il digital advertising, nonché i contatti telefonici con finalità esclusivamente limitata alla rilevazione del grado di soddisfazione della clientela, a sondaggi e/o ricerche di mercato senza alcuna finalità commerciale, tutte le modalità di contatto sviluppate tramite canali diversi da quello telefonico quale, ad esempio, il canale SMS e le attività di contatto e le altre attività a ciò connesse dirette verso soggetti diversi da persone fisiche, liberi professionisti e imprese individuali.
Ai fini delle responsabilità e della comminazione delle sanzioni connesse alla violazione del GDPR, sono Titolari del trattamento dei dati:
- i soggetti che, singolarmente o in gruppo eseguono direttamente o commissionano l’effettuazione tramite il canale telefonico di campagne di telemarketing e teleselling.
- i list provider che procurano liste di dati personali da cedere agli operatori.
Sono, invece, Responsabili del trattamento dei dati:
- i soggetti che, sulla base di un contratto o di un atto giuridicamente vincolante sono incaricati di svolgere uno o più trattamenti connessi all’esecuzione di campagne di telemarketing e teleselling, o anche di reperire dati dai list provider. Ricadono in tale categoria, fra gli altri, i call center/teleseller e le agenzie incaricate dai committenti dei contatti telefonici.
L’art.5 del Codice delinea in modo dettagliato gli obblighi del Titolare del trattamento che, attraverso specifiche procedure, deve garantire, anche da parte dei suoi fornitori, il rispetto delle norme del GDPR e la corretta gestione delle istanze di esercizio dei diritti degli interessati e, in particolare, della richiesta di non essere più contattati. Inoltre, il Titolare deve adottare procedure atte a garantire la corretta e tempestiva gestione delle violazioni dei dati personali (c.d. data breach) .
Se il Titolare fa ricorso a list provider, deve controllare che nelle banche dati siano inseriti solo soggetti che abbiano validamente espresso il consenso e non lo abbiano annullato, nemmeno con l’iscrizione al ROP. Inoltre, deve verificare che i list provider siano reperibili e che abbiano comunque uno stabilimento in UE ed esigere che forniscano una dichiarazione che attesti la correttezza, la liceità e l’aggiornamento di tutti i consensi al trattamento dei dati, raccolti.
La sezione IV del Codice indica ulteriori misure predisposte per far in modo che gli aderenti al Codice e i soggetti operanti per loro conto, rispettino le misure atte a garantire la correttezza e legittimità dei trattamenti svolti nell’intera “filiera” del telemarketing. Tra l’altro è previsto anche che il contratto tra gli aderenti al Codice e i propri fornitori preveda espressamente un meccanismo sanzionatorio, sotto forma di penale e mancata corresponsione o annullamento della provvigione, per ogni contratto predisposto in assenza di un contatto legittimo. Le penali devono essere parametrate in modo da essere dissuasive. Inoltre, il committente può risolvere il contratto.
Gli obblighi
Veniamo alla definizione degli obblighi imposti a chi effettua materialmente il servizio di telemarketing/teleselling.
L’art. 7 del Codice stabilisce che tutti gli operatori, compresi i contact center e le agenzie devono:
- iscriversi al Registro degli operatori di comunicazione (“ROC”) e comunicare tutte le numerazioni telefoniche messe a disposizione del pubblico e utilizzate per i servizi di telemarketing e teleselling. Tale obbligo di iscrizione sussiste anche a carico dei soggetti terzi affidatari dei servizi di call center e deve essere contemplato nel contratto di affidamento del servizio;
- presentare l’identificazione della linea chiamante utilizzando l’apposito codice prefisso, individuato dall’AGCOM (0844). In alternativa, ciascuno potrà usare una propria numerazione priva del codice prefisso purché ricontattabile da parte dell’utente e non clonabile da terzi. Pertanto, per le attività di telemarketing e teleselling direttamente o indirettamente svolte, devono essere utilizzate solo numerazioni richiamabili o identificabili. L’interessato deve poter ricontattare l’operatore;
- entro 15 giorni dalla chiusura delle singole campagne promozionali, consegnare ai committenti un report dettagliato dell’attività svolta da cui risultino anche le istanze degli interessati, di cancellazione del proprio contatto che vanno registrate in apposite black list;
- non effettuare le chiamate nelle seguenti fasce orarie:
- prima delle 9.00 e dopo le 20.00 dal lunedì al venerdì
- prima delle 10.00 e dopo le 19.00 il sabato o i giorni prefestivi;
- la domenica o i giorni festivi.
I contatti commerciali in orari e giorni diversi sono consentiti solo se espressamente concordati con l’interessato stesso;
- effettuare un’adeguata valutazione degli impatti che l’attività promozionale può determinare sulla protezione dei dati, e sulla tutela dei diritti e delle libertà degli interessati;
- non raccogliere, direttamente presso gli interessati o da fonti terze o list provider, più dati di quanti siano ragionevolmente necessari alla corretta esecuzione della comunicazione commerciale, consentendone il trattamento esclusivamente da parte di persone fisiche, agenti sotto l’autorità del soggetto aderente, che abbiano una concreta e ragionevole esigenza di accesso ai dati e che siano state debitamente autorizzate ed istruite in tal senso;
- adottare misure tecniche e/o organizzative volte ad impedire l’estrazione o la copia non autorizzate, in modalità elettronica o cartacea anche solo parziale, dei dati presenti nelle liste di contatto da parte dei soggetti incaricati del trattamento che operino per il titolare o il responsabile, anche dopo la cessazione dell’incarico;
- garantire la rettifica dei dati inesatti raccolti e trattati, senza necessità di apposita richiesta da parte degli interessati;
- adottare procedure e misure tecniche e organizzative che garantiscano il tracciamento in maniera trasparente dell’intera filiera di contatto e agevolino i controlli da parte di organismi o Autorità competenti, oltre ad audit interni;
- in caso di trattamento di dati sensibili e giudiziari autorizzato dagli interessati solo per specifici rapporti contrattuali, adottare misure organizzative tecniche ed informatiche che ne garantiscano la conservazione separata e la protezione con specifiche misure di sicurezza;
- lavorare utilizzando lo script fornito dal committente della campagna commerciale, che deve essere redatto tenendo conto delle regole del codice in esame e contenere le istruzioni per lo svolgimento dei contatti ed il testo dell’informativa privacy da sottoporre agli interessati.
Informativa e consenso
L’ informativa da rendersi in forma semplificata all’inizio della telefonata, è disciplinata nei contenuti dall’art. 11 del Codice di condotta. L’art.12, invece, indica i casi in cui il consenso al trattamento dei dati, che deve sempre essere adeguatamente informato, non è validamente acquisito e, quindi, si considera illecita sia la raccolta, sia ogni successiva attività di trattamento. Si precisa, inoltre, che l’attività di profilazione finalizzata al marketing richiede un consenso specifico e distinto rispetto al consenso per l’effettuazione di attività promozionali.
Per l’adempimento degli obblighi delineati dal Codice è raccomandata la nomina di un Data Protection Officer (DPO) che svolga funzioni di consultazione, consulenza, sorveglianza e controllo in materia di protezione dei dati personali. Inoltre, è richiesto un costante confronto tra i titolari e i responsabili del trattamento dei dati dei committenti e dei fornitori, da attuarsi in forme e modi che devono essere espressamente indicati nei contratti che ne regolano i rapporti.