Il nuovo Codice di condotta per le attività di telemarketing e teleselling [1] è stato finalmente approvato.

Il Garante per la Protezione dei Dati Personali ha difatti emesso il Provvedimento in data 7 marzo 2024 [2] (e ha contestualmente accreditato l’Organismo di monitoraggio [3] preposto alla verifica del Codice stesso) divenuto poi ufficiale tramite pubblicazione sulla Gazzetta Ufficiale n.73 il 27 marzo 2024.

Tale Codice è stato il frutto di un lavoro che ha coinvolto alcune associazioni rappresentative di call center, teleseller, list provider e consumatori, ed è il quarto approvato nel tempo dal Garante Privacy ai sensi del GDPR.

Elencheremo di seguito cosa il Codice prevede e come potrebbe migliorare il mercato, nel tentativo di estirpare il fenomeno del telemarketing selvaggio che nuoce ai consumatori e alle imprese serie operanti nel campo energetico, finanziario e telefonico, nella speranza di monitorare la filiera del trattamento dati. Difatti non è bastata la riforma del Registro pubblico per le opposizioni del 2022 ad arginare il telemarketing abusivo, ma è dovuto intervenire il Garante con un suo supporto di segnalazione per tutte le chiamate ricevute in violazione all’iscrizione al RPO.

Il Codice di condotta va dunque ad aggiungersi ad istituti già esistenti, come strumento di disciplina volontaria, introducendo per tutti gli aderenti regole comuni di un certo peso, che mireranno a disciplinare il flusso dei dati personali dalla raccolta, formalizzando la base di legittimazione al trattamento (consenso), con accurata verifica sia delle liste di contatto, sia della catena degli outsourcers coinvolti, fino al controllo delle modalità di formalizzazione del contratto.

Ecco le novità, i vantaggi e i limiti:

• Tutta la filiera del telemarketing può aderire al Codice facoltativamente (con grandi risvolti positivi in termini di accountability): call center e grandi committenti (come operatori telefonici) in primis.
• L’OdM sarà l’ente indipendente chiamato a verificare l’osservanza del Codice da parte degli aderenti e a gestire la risoluzione dei reclami, definendone la procedura, le modalità e i costi di adesione da parte degli operatori interessati.

Come anticipato, le società aderenti si impegneranno ad adottare misure specifiche per garantire la correttezza e la legittimità dei trattamenti di dati svolti lungo tutta la “filiera” del telemarketing. Nello specifico, queste ultime dovranno:

• raccogliere consensi specifici per le singole finalità (marketing, profilazione [4], ecc.) e informare le persone contattate, assicurando il pieno esercizio dei diritti previsti dalla normativa privacy (opposizione al trattamento, rettifica o aggiornamento dei dati);
• effettuare una valutazione di impatto nel caso si svolgano trattamenti automatizzati, compresa la profilazione [5], che comportino una analisi sistematica e globale di informazioni personali;
• implementare una procedura per la gestione dei Data breach;
• attuare piani di formazione rivolti agli operatori autorizzati al trattamento dei dati personali almeno annuali, sia da parte dei Titolari, sia da parte dei Responsabili;
• svolgere controlli di filiera allo scopo di monitorare il rispetto delle istruzioni impartite ai Responsabili, tramite meccanismi di audit – quali, ad esempio, le “numerazioni civetta” (numerazioni proprie all’interno della lista delle numerazioni contattabili) e controlli a campione;
• conformarsi non solo alla normativa privacy, ma anche a tutta la normativa di settore, inclusa la consultazione del Registro delle Opposizioni, le disposizioni AGCOM relative alla riconoscibilità e alla richiamabilità del numero [6] del call center da parte dell’utente, e l’iscrizione al Registro degli Operatori di Comunicazione (ROC [7]).

Ricordiamo inoltre che il Codice di Condotta introduce meccanismi di risoluzione e/o altra misura negoziale, anche sotto forma di penale, all’interno degli stessi accordi con i provider.

I limiti applicativi

Il perimetro del Codice di condotta è definito all’interno dell’articolo 1 del Codice stesso, che ne traccia l’ambito di applicazione: esso riguarda tutte le attività di trattamento dei dati personali effettuate da soggetti operanti in territorio italiano o estero, per promuovere e/o offrire beni o servizi, tramite il canale telefonico, a soggetti ubicati nel territorio dello Stato italiano.

Il Codice di condotta si applicherà solo al telemarketing verso persone fisiche (privati, professionisti o imprese individuali), escludendo:

• promozioni pervenute tramite App;
• il digital advertising (pubblicità online);
• i contatti telefonici con finalità esclusivamente limitata alla rilevazione del grado di soddisfazione della clientela;
• i sondaggi e/o ricerche di mercato senza alcuna finalità commerciale;
• le modalità di contatto sviluppate tramite canali diversi da quello telefonico quale, ad esempio, il canale SMS o mail.

I punti più importanti per i committenti

I committenti sono i soggetti che, operando in qualità di titolari del trattamento, incaricano terzi, ad esempio call center, teleseller e agenzie (responsabili del trattamento) per lo svolgimento di contatti commerciali telefonici per finalità di teleselling e telemarketing.

I nuovi obblighi a carico dei committenti saranno i seguenti:

• prequalifica dei fornitori responsabili;
• obbligo di effettuare uno screening della lista di contatti ricevuta dai list provider, comparandola con il Registro Pubblico delle Opposizioni [8] ed eventuali blacklist esistenti;
• effettuare controlli sulle modalità di acquisizione dei consensi degli interessati, mediante verifiche a campione tali da risalire al primo numero che ha effettuato la chiamata di promozione e proposto l’offerta;
• implementare le piattaforme dedicate alla registrazione delle proposte di contratto, rendendo ogni operazione tracciabile, introducendo penali per le vendite realizzate senza consenso specifico;
• codificare ed impostare correttamente i consensi marketing;
• disporre di script a contenuto informativo minimo obbligato durante le chiamate;
• non raccogliere, direttamente presso gli interessati o da fonti terze o list provider, più dati di quanti siano ragionevolmente necessari alla corretta esecuzione della comunicazione commerciale, garantendo il principio di minimizzazione;
• garantire la rettifica dei dati inesatti raccolti e trattati, attraverso attività di data quality [9].

In ultimo, qualora il fornitore intenda subappaltare l’incarico, sarà autorizzato solo un livello di subappalto, purché i soggetti individuati abbiano gli stessi requisiti e caratteristiche dell’appaltatore [10]. In caso il call center non rispetti il Codice, l’Operatore committente dovrà risolvere il rapporto. Il fornitore dovrà inoltre garantire completa aderenza dei numeri di telefono contattati rispetto all’elenco fornito dall’operatore stesso, pena sanzione, come avvenuto nel Gennaio 2024 [11].

Conclusioni

Finalmente il lungo iter di approvazione del Codice di condotta sembra essere giunto al termine. L’utilizzo di operatori “certificati” da parte dei committenti, rappresenterà un importante progresso dal punto di vista privacy, giuslavoristico e concorrenziale del settore. Eclatante è il recente caso della multa inflitta dal Garante Privacy ad Enel Energia a fine Febbraio 2024, ben 79 milioni di euro di ammenda e 9300 contratti coinvolti [12].

Garantire la tracciabilità di ogni operazione è essenziale per evitare che eventuali contratti raccolti “a strascico” siano poi “ripuliti” da operatori intermedi e accettati dai committenti, anche inconsapevolmente.

Il Codacons, in occasione di una recente operazione di confisca di banche dati, ha proposto di vagliare un risarcimento a favore di cittadini vittime di telefonate moleste da parte di società e call center che utilizzano in modo illegale i dati degli utenti [13].

Il completamento di questo percorso, garantirà, si auspica, una qualità complessiva del servizio di telemarketing più elevata, con beneficio sia per i consumatori sia per i committenti, rendendo sostenibile il mercato e garantendo il rispetto dei principi di liceità, proporzionalità, correttezza e trasparenza nei confronti degli interessati.

Note:

[1] Il Codice “definisce, in una logica di autoregolamentazione, una serie di misure, da recepire nei contratti tra operatori di comunicazioni elettroniche e partner commerciali che svolgono attività di call center”

[2] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9993808

[3] L’OdM era stato proposto da una serie di associazioni: Asseprim, AssoCall, ASSOCONTACT, Assotelecomunicazioni, Confcommercio, Confindustria, DMA – Data & Marketing Association Italia, OIC – Osservatorio Imprese Consumatori

[4] Attività di elaborazione automatizzata che consente a titolari e responsabili di orientare le proposte di beni e servizi tenuto conto delle abitudini e delle preferenze dei soggetti destinatari, utenti prospect, o contraenti in costanza di rapporto, in questo modo ottimizzando gli investimenti in termini di engagement della clientela.

[5] All’articolo 12 il Codice definisce in modo chiaro la differenza tra “consenso al marketing” e “consenso alla profilazione”, specificando che l’attività di profilazione “richiede un consenso specifico e distinto”, rispetto all’effettuazione di attività promozionali semplici.

[6] Caller Line Identification della linea da cui arriva la chiamata al cliente.

[7] È disponibile un apposito servizio online messo a disposizione dall’AGCOM che consente di verificare se il numero chiamante è associato ad un operatore di call center iscritto al Registro degli operatori di comunicazione (ROC).

[8] Nelle intenzioni del Governo, l’applicazione del RPO doveva essere semplice e immediata. All’utente sarebbe bastato inoltrare la richiesta (sul web, via mail o per telefono) e attendere non più di 15 giorni per beneficiare del blocco di tutte le chiamate degli operatori di telemarketing sui propri recapiti. “Tutte le aziende del settore sono tenute a consultare il Registro ed eliminare dalla lista i numeri che hanno tolto il consenso al trattamento dei dati”, recita la normativa.

[9] Per “data quality” si intende, secondo le definizioni del Codice, “l’operazione o l’insieme di operazioni, con esclusione di ogni forma di profilazione, per garantire che i dati personali trattati per finalità promozionali siano sempre esatti ed aggiornati”.

[10] https://www.agendadigitale.eu/sicurezza/privacy/telemarketing-al-varo-il-codice-di-condotta-agcom-ecco-le-regole-per-operatori-e-call-center/

[11] https://www.ilsole24ore.com/art/telemarketing-multe-garante-privacy-contro-telefonate-non-gradite-AFQIm2PC

Se un operatore si serve di un numero iscritto al RPO per procedere a finalità commerciali, rischia di essere sanzionato. In questo caso si configura la violazione del diritto di opposizione, le cui conseguenze sono stabilite dall’articolo 83 del GDPR.

[12] https://www.rainews.it/articoli/2024/02/telemarketing-garante-privacy-sanziona-per-79-mln-enel-energia-carente-nella-protezione-dei-dati-48f4dbe3-c7b8-44b3-9594-2bd9d47a3ea0.html

[13] https://tg24.sky.it/cronaca/2023/06/06/telemarketing-garante-privacy-call-center

Articolo a cura del Team Governance, Risk and Compliance
Consulthink S.p.A.
info@consulthink.it

Altri articoli Consulthink che parlano di Privacy: https://www.consulthink.it/cybersecurity-e-marketing-come-salvare-il-digital-marketing-buttandone-meta/

Recent posts

Guardiani Virtuali o Occhi Indiscreti? Il ruolo dell'Intelligenza Artificiale tra Innovazione Tecnologica e Privacy

Analisi del caso CrowdStrike Falcon