Telemarketing e teleselling, con il varo del Codice di Condotta il Garante promuove lo strumento di self-regulation
Il Codice definisce regole per il trattamento dei dati nelle attività promozionali realizzate esclusivamente mediante canali telefonici. L’impegno proattivo è subordinato all’adesione volontaria
Con provvedimento del 7 marzo 2024 [9993808], il Garante per la Protezione dei Dati Personali (“Garante”) ha approvato il “ Codice di condotta per le attività di telemarketing e teleselling ” (“Codice”) e ha accreditato l’Organismo di Monitoraggio preposto alla verifica del suo rispetto (“Odm”).
Tale provvedimento chiude l’iter procedurale, fissato dal Regolamento Generale (UE) 2016/679 (“GDPR”), per l’adozione del suddetto Codice di condotta.
Il Codice fornisce una descrizione analitica di comportamenti che gli aderenti si impegneranno a rispettare in relazione alle attività di trattamento dei dati personali, realizzate per la promozione e/o offerta di beni e servizi, esclusivamente mediante canali telefonici, consentendo, in tal modo, di dare indicazioni pratiche per il rispetto dei principi generali del GDPR.
L’impegno proattivo di implementare le misure del Codice è subordinato all’adesione dei soggetti coinvolti nelle attività di telemarketing e teleselling – committenti o fornitori di servizi diretti o accessori, operanti in territorio italiano o estero e rivolti a soggetti ubicati nel territorio italiano – che volontariamente decidono di vincolarsi agli obblighi dettati dal Codice.
Nel rispetto dei principi di “ protezione dei dati fin dalla progettazione ” e “ protezione dei dati per impostazione predefinita ”, che permeano le previsioni in materia di trattamento dei dati personali, l’elemento centrale del Codice è rappresentato dalla necessità di garantire il pieno controllo sulle fasi operative commerciali implicanti il trattamento di dati personali.
Accanto a tutti gli adempimenti già previsti dalla normativa privacy, a garanzia della liceità, trasparenza e correttezza delle attività di trattamento, il Codice specifica ulteriori obblighi a carico sia del committente – inteso come il soggetto che incarica terze parti (tra cui call center, teleseller e agenzie) per lo svolgimento dei contatti commerciali telefonici, e che agisce in qualità di titolare del trattamento, sia dei fornitori, quali i soggetti coinvolti a vario titolo nelle attività di telemarketing e teleselling (inclusi contact center e agenzie), e che agiscano come responsabili del trattamento.
È chiaro che l’esercizio del pieno controllo della complessa struttura tipica delle attività di telemarketing e teleselling richiede una precisa allocazione dei ruoli privacy e delle rispettive responsabilità. Al riguardo, il Codice richiama espressamente la necessità di procedere alla debita individuazione e formalizzazione dei rapporti dei vari soggetti coinvolti.
Nella formalizzazione dei rapporti, la scelta del singolo fornitore deve essere effettuata in conformità ai dettami del GDPR; sul punto, pertanto, il Codice richiede specificamente al committente di eseguire procedure di “prequalifica”, al fine di verificare l’adeguatezza delle garanzie offerte dal fornitore e la conformità agli standard indicati dal Codice. Ma, naturalmente, la responsabilizzazione posta in capo al committente non può limitarsi alla fase della contrattualizzazione, bensì deve estendersi all’intera durata del trattamento dei dati personali. Ciò comporta la necessità per il committente di effettuare e garantire un monitoraggio continuo sull’adeguatezza del fornitore, attraverso la conduzione di audit e controlli a campione sui contratti stipulati, per garantire che siano correttamente implementate le istruzioni impartite.
Dal momento che la catena di telemarketing e teleselling coinvolge più soggetti incaricati, un corretto sistema di distribuzione delle responsabilità non può prescindere da un capillare controllo che il titolare del trattamento deve porre in essere anche nei confronti di sub-responsabili. Nell’ottica di rispetto del principio di responsabilizzazione dettato dal GDPR, il committente deve, infatti, tracciare tutti i trattamenti svolti, sia nella fase preparatoria sia nella fase di esecuzione della campagna promozionale.
Altro aspetto di rilievo è rappresentato dalle previsioni (dettagliate) del Codice in relazione alla base giuridica del consenso, che legittima il trattamento dei dati personali svolto per finalità di telemarketing e teleselling, ai sensi dell’art. 6, paragrafo 2, lett. a) del GDPR.
Il Codice evidenzia che, affinché possa considerarsi idoneo a legittimare il trattamento, il consenso dell’interessato debba essere chiaramente distinto dalla manifestazione della volontà negoziale, e granulare , non potendo, in nessun caso, essere unico, ad esempio, per finalità di marketing proprio e di comunicazione a terzi per finalità promozionali, per finalità di marketing e di profilazione finalizzata al marketing.
Non solo, le misure che il committente è chiamato ad implementare devono mirare a verificare ed assicurare – eventualmente anche mediante ricorso a specifiche clausole/penali contrattuali da imporre ai propri fornitori – che fin dall’origine il consenso sia stato validamente e inequivocabile acquisito presso l’interessato.
Per sua essenza, il Codice si pone innanzitutto come un importante strumento di self-regulation per i titolari e/o responsabili del trattamento che operano in un settore, quello del marketing, che – per ampiezza del numero d’interessati potenzialmente coinvolti, tipologia e invasività dei trattamenti – risulta essere particolarmente sensibile e, giustamente, al centro delle attività di verifica ed ispettive del Garante, e che necessita sempre più di una regolamentazione chiara e certa.
Come noto, infatti, l’adesione ad un codice di condotta approvato ai sensi dell’art. 40 GDPR e l’effettiva applicazione dei principi e adempimenti in esso previsti, contribuiscono all’accrescere e dimostrare il livello di conformità dell’aderente ai principi dettati dalla normativa applicabile in materia di protezione dei dati personali.
Tuttavia, ad avviso di chi scrive, la sua utilità si espande oltre i confini dell’art 40 GDPR in quanto il Codice potrà esplicare anche una funzione di parametro di riferimento per tutti coloro che svolgono attività di marketing, anche qualora non aderiscano al Codice o qualora dette attività di marketing siano condotte con mezzi diversi da quello telefonico. Il Codice, infatti, fornisce preziose e specifiche indicazioni sui principi e le modalità pratiche di attuazione dei medesimi, che ben possono essere mutuati per la raccolta e il trattamento di dati personali per finalità di marketing in generale; ciò, peraltro, in linea con i più costanti orientamenti del Garante. Si pensi, ad esempio, ai requisiti richiesti per connotare come valido un consenso per finalità di marketing, così come alle regole che dovrebbero essere osservate per garantire trasparenza nei confronti degli interessati e l’esercizio dei loro diritti, alle regole per la corretta formalizzazione dei rapporti con fornitori esterni nonché il controllo del loro operato.
_____
*A cura dell’Avv. Massimo Maioletti, Partner (Head of Data Protection and Cybersecurity) – EVERSHEDS SUTHERLAND e Dott.ssa Noemi Di Donato, Junior Associate – EVERSHED SUTHERLAND