Telemarketing e Teleselling: il Codice di condotta

Telemarketing e teleselling codice di condotta
Massimo Bacci

Scritto da Massimo Bacci

Avvocato esperto in materia di proprietà intellettuale, diritto delle nuove tecnologie e protezione dei dati.

25 Aprile 2023

TECH LAW

Il Codice di condotta per le attività di telemarketing e teleselling

Il 24 marzo 2023, il Garante per la protezione dei dati personali ha approvato il Codice di condotta per le attività di telemarketing e teleselling. Oltre a rappresentare uno strumento di lotta al telemarketing selvaggio, il codice di condotta è uno strumento utile per tutte quelle aziende che vogliono svolgere questa attività nel rispetto della privacy.

Possono aderire al codice tutte le imprese che svolgono attività di telemarketing e teleselling, sia in qualità di committenti che di fornitori del servizio (le agenzie di Call Center).

Il telemarketing è l’attività promozionale volta ad ottenere dati di potenziali clienti interessati alla conclusione di un contratto. Invece, il teleselling punta direttamente alla conclusione del contratto: si pensi ai contratti di telefonia, luce e gas, Pay Tv etc., che spesso vengono conclusi direttamente al telefono.

Il codice di condotta è una norma a cui si aderisce su base volontaria, esattamente come gli standard ISO. Ma allora perché una società dovrebbe autoimporsi regole ulteriori rispetto a quelle già gravose del GDPR e delle leggi nazionali?

I vantaggi dell’adesione ad un codice di condotta

La realizzazione del codice di condotta è stata promossa proprio da quei soggetti che, in qualità di committenti, fanno maggiormente ricorso al telemarketing e al teleselling, oltre che dalle associazioni rappresentative dei Call Center.

L’adesione al codice rappresenta infatti un vantaggio per entrambe queste categorie di soggetti.

Il GDPR si basa sul principio di accountability. Anziché imporre regole dettagliate, il GDPR delinea i principi da rispettare per trattare correttamente i dati personali ma lascia ai titolari del trattamento l’onere di decidere le modalità concrete con cui adeguarsi a questi principi e le misure di sicurezza adeguate. Del resto, ciò che è sufficiente per una piccola impresa manifatturiera, potrebbe non esserlo per un ospedale o per una grande società di telecomunicazioni.

I codici di condotta, previsti dall’art. 40 GDPR, consentono di entrare più nel dettaglio nel definire le norme per determinati settori che possono essere regolati uniformemente. Essi non contengono quindi degli oneri aggiuntivi rispetto al GDPR. Piuttosto, delineano delle norme più precise, che aiutano gli operatori del settore ad interpretare correttamente i principi generali del GDPR e a conformarvisi.

Il codice di condotta come strumento di accountability

Il codice di condotta può diventare un strumento importantissimo soprattutto per le agenzie di Call Center, anche di medie e piccole dimensioni, che vogliono lavorare con committenti strutturati, come compagnie telefoniche, fornitori di energia etc. Questo perché l’adesione al codice può essere utilizzata in chiave di accountability, come elemento idoneo a dimostrare il rispetto della normativa privacy.

I committenti devono infatti garantire la conformità dell’intera filiera del trattamento dei dati. Se un’agenzia a cui si rivolgono per le campagne di telemarketing non tratta correttamente i dati personali degli utenti, anche loro sono responsabili.

Oggi, per verificare il rispetto delle normative privacy da parte delle agenzie con cui collaborano, i committenti sono costretti ad effettuare dei costosi audit. L’adesione del Call Center al codice di condotta potrebbe alleviare notevolmente questa responsabilità, poiché viene istituito un Organismo di monitoraggio con il compito di controllare il rispetto del codice da parte degli aderenti.

Non solo, è il codice di condotta stesso, all’art. 5, a stabilire che le imprese committenti devono privilegiare gli aderenti al codice nell’effettuare la scelta dei partner commerciali per le attività di telemarketing e teleselling.

È evidente quindi che i grossi operatori del settore che aderiscono al codice di condotta si affideranno a Call Center che hanno a loro volta aderito al codice, sia perché forniscono maggiori garanzie sul rispetto della privacy, sia perché alleviano i loro oneri di verifica, sia perché è lo stesso codice di condotta che glielo impone.

Attenzione, questo non significa che l’adesione al codice di condotta sarà di per sé sufficiente a dimostrare il rispetto del GDPR, né che i titolari del trattamento saranno del tutto esonerati dal controllare i loro fornitori. Tuttavia, il codice fornirà un importante aiuto in tal senso.

I ruoli nel trattamento di dati: committenti, Call Center e List Provider

Il codice di condotta individua tre principali categorie di soggetti coinvolti nelle attività di telemarketing e teleselling.

La prima categoria è quella dei committenti, ovvero quelle società che utilizzano il telemarketing o il teleselling per ottenere nuovi clienti, anche delegando queste attività a fornitori esterni. Questi soggetti sono inquadrati come titolari del trattamento, perché sono coloro che definiscono le finalità e le modalità di trattamento dei dati.

I fornitori dei servizi di telemarketing e teleselling, ovvero le agenzie di Call Center, operano invece in qualità di responsabili del trattamento. Infatti, essi svolgono attività promozionale o di conclusione di contratti per conto dei committenti e seguendo le loro istruzioni.

Infine, abbiamo la categoria dei List Provider, ovvero quei soggetti che, autonomamente, raccolgono i dati degli utenti contattabili e li trasmettono ai committenti, affinché li utilizzino per le loro campagne di telemarketing o teleselling. Anche questi sono inquadrati come titolari del trattamento.

Anche se non vengono espressamente definite nel codice di condotta, esistono delle agenzie che, autonomamente, raccolgono i dati degli utenti contattabili mediante attività di lead generation e, in un momento successivo, li chiamano per conto dei committenti. Queste agenzie possono inquadrarsi come List Provider, ovvero titolari del trattamento, nella prima fase di generazione dei lead, mentre diventano responsabili del trattamento quando contattano il lead per conto del committente.

Obblighi richiesti dal codice di condotta

Individuare in questo articolo tutti gli obblighi richiesti dal codice di condotta richiederebbe troppo tempo. Mi limiterò pertanto a descriverne alcuni, che ritengo maggiormente rilevanti.

Obblighi per i committenti

Gli obblighi posti a carico dei committenti vengono indirettamente ribaltati anche sui Call Center. Infatti, il codice richiede ai committenti di assicurarsi che anche i Call Center a cui si rivolgono li rispettino. 

Fra questi, vi sono:

  • l’obbligo di adottare una procedura per gestire le richieste di esercizio dei diritti da parte degli interessati. Il committente dovrà assicurarsi che i Call Center, nelle loro procedure, prevedano l’obbligo di comunicare al committente il ricevimento di istanze per l’esercizio dei diritti che lo riguardano;
  • l’obbligo di dotarsi di una procedura di Data Breach. Anche in questo caso, il committente dovrà assicurarsi che i Call Center, nelle rispettive procedure, prevedano l’obbligo di comunicargli entro 24 ore le notizie di Data Breach riguardanti i dati che trattano per suo conto;
  • l’obbligo di adottare piani di formazione del personale almeno annuali, assicurandosi che anche i Call Center facciano lo stesso.
Banner corso GDPR
Clicca sul banner per maggiori informazioni sul Corso Privacy di IPRights

I committenti hanno inoltre l’obbligo di adottare delle black list di utenti che si siano opposti al trattamento dei dati per finalità di telemarketing o abbiano revocato il loro consenso. Essi devono sempre confrontare le liste di contatti ottenute dai list provider con le black list. Inoltre, prima di iniziare una campagna di telemarketing, devono sottoporre le liste alla verifica presso il Registro Pubblico delle Opposizioni (RPO).

Per assicurarsi che i Call Center rispettino le istruzioni fornite, i committenti devono dotarsi di numeri civetta ed effettuare controlli a campione.

Obblighi per i Call Center

Chiunque effetti attività di telemarketing o teleselling, anche se non lo fa come attività principale, è tenuto ad iscriversi al Registro degli Operatori di Comunicazioni (ROC).

I Call Center hanno l’obbligo di consentire l’identificazione della linea chiamante, utilizzando l’apposito prefisso per identificare le comunicazioni commerciali. In alternativa, possono utilizzare una propria numerazione priva del prefisso, purché sia ricontattabile dell’utente. In ogni caso, le numerazioni utilizzate devono essere comunicate al ROC.

Fra i numerosi obblighi imposti dal codice ai Call Center, vi sono:

  • fornire al committente, entro 15 giorni dalla chiusura della campagna, un report dettagliato delle telefonate effettuate e dei loro esiti;
  • dotarsi di black list dove registrare i soggetti che hanno revocato il consenso o esercitato il diritto di opposizione e comunicarle al committente entro 24 ore;
  • rispettare determinate fasce orarie per le chiamate;
  • fornire agli interessati un’informativa sintetica sul trattamento dei loro dati personali.  

Obblighi comuni

Fra gli obblighi che il codice di condotta impone sia ai committenti che ai fornitori delle attività di telemarketing e teleselling, vi sono:

  • effettuare valutazioni d’impatto sui trattamenti di dati personali;
  • non raccogliere più dati di quanto necessario (principio di minimizzazione);
  • adottare misure di sicurezza tecniche ed organizzative adeguate per impedire l’estrazione dei dati, le copie non autorizzate ed il loro uso per finalità diverse da quelle previste;
  • garantire la rettifica dei dati inesatti mediante attività di data quality;
  • garantire il tracciamento dell’intera filiera di contatto;
  • adottare soluzioni tecnologiche che permettano l’immediata identificabilità del numero chiamante per il cliente e ne impediscano la clonazione;
  • nominare un Data Protection Officer.

Controlli della filiera e meccanismi sanzionatori

Come già anticipato, i committenti sono responsabili non soltanto delle attività poste in essere in prima persona ma anche di quelle delegate a soggetti esterni. Devono pertanto realizzare dei meccanismi che consentano di garantire la correttezza del trattamento dei dati da parte dell’intera filiera e devono essere in grado di documentarlo.

I committenti devono effettuare dei controlli, anche a campione, per assicurarsi che le attività di contatto si siano svolte correttamente.

Nei contratti con i Call Center, i committenti devono inserire dei meccanismi sanzionatori che prevedano una penale e la mancata corresponsione della provvigione per quei contratti che si sono perfezionati in assenza di un contatto legittimo. Le penali devono essere sufficientemente dissuasive, ad esempio pari al triplo della provvigione riconosciuta all’agente per ciascun contratto.

Come aderire al codice di condotta

Per poter aderire al Codice di condotta per le attività di telemarketing e teleselling, gli operatori del settore dovranno innanzi tutto adeguare il proprio sistema di gestione privacy, assicurandosi di rispettare tutti i requisiti richiesti dal codice.

Una volta pronti, si potrà formulare l’istanza di adesione all’Organismo di monitoraggio, il quale comunicherà entro 15 giorni l’avvenuto inserimento nella lista degli aderenti e si occuperà di effettuare le necessarie attività di verifica.  

Licenza Creative Commons

Quest’opera è distribuita con Licenza Creative Commons Attribuzione 4.0 Italia.

contatta iprights

Potrebbe interessarti anche…

Chiedi una consulenza

7 + 13 =

Leggi l’informativa privacy.