Gazzetta n. 73 del 27 marzo 2024 (vai al sommario) GARANTE PER LA PROTEZIONE DEI DATI PERSONALI DELIBERA 7 marzo 2024 Approvazione del codice di condotta in materia di telemarketing e teleselling e accreditamento dell'Organismo di monitoraggio. (Provvedimento n. 148). IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale; Visto il regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva n. 95/46/CE (di seguito, «regolamento»); Visto il decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito il «Codice») come novellato dal decreto legislativo 10 agosto 2018, n. 101 recante «Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) n. 2016/679»; Visto l'art. 40 del regolamento che prevede che le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento possano elaborare (modificare o prorogare) codici di condotta destinati a contribuire alla corretta applicazione del regolamento in specifici settori di attivita' e in funzione delle particolari esigenze delle micro, piccole e medie imprese, e che tali codici devono essere approvati dall'autorita' di controllo competente; Visto il considerando 98 del regolamento che prevede che tali codici possono calibrare gli obblighi del titolare del trattamento e del responsabile del trattamento, tenuto conto dei potenziali rischi del trattamento per i diritti e le liberta' degli interessati; Viste le «Linee guida 1/2019 sui codici di condotta e sugli organismi di monitoraggio a norma del regolamento (UE) n. 2016/679» adottate dal Comitato europeo per la protezione di dati (di seguito «Comitato») il 4 giugno 2019, all'esito della consultazione pubblica; Considerato che l'art. 41, par. 3, del regolamento prevede che l'autorita' di controllo presenti al Comitato uno schema di requisiti per l'accreditamento dell'Odm, ai sensi del meccanismo di coerenza di cui all'art. 63 del regolamento; Visto il provvedimento del 10 giugno 2020, n. 98 - pubblicato nella Gazzetta Ufficiale n. 173 dell'11 luglio 2020 (di seguito, «provvedimento») con il quale il Garante, ai sensi dell'art. 57, par. 1, lettera p), del regolamento, ha approvato i requisiti per l'accreditamento dell'Odm, tenendo conto delle osservazioni rese dal Comitato nel parere adottato il 25 maggio 2020; Considerato che l'adesione ad un codice di condotta puo' essere utilizzata come elemento di responsabilizzazione (c.d. accountability), in quanto consente di dimostrare la conformita' dei trattamenti di dati, posti in essere dai titolari e/o dai responsabili del trattamento che vi aderiscano, ad alcune disposizioni o principi del regolamento, o al regolamento nel suo insieme (cfr. cons. 77 e articoli 24, par. 3, e 28, par. 5, e 32, par. 3 del regolamento); Considerato che il Garante incoraggia lo sviluppo di codici di condotta per le micro, piccole e medie imprese al fine di promuovere un'attuazione effettiva del regolamento, aumentare la certezza del diritto per titolari e responsabili del trattamento e rafforzare la fiducia degli interessati in ordine alla correttezza dei trattamenti di dati che li riguardano; Considerato che l'art. 41, par. 1, del regolamento prevede che, fatti salvi i compiti e i poteri dell'autorita' di controllo competente, la verifica dell'osservanza delle disposizioni di un codice di condotta, ai sensi dell'art. 40 del regolamento, e' effettuata da un Organismo di monitoraggio (di seguito, «Odm») in possesso dei requisiti fissati dall'art. 41, par. 2 del regolamento e del necessario accreditamento rilasciato a tal fine dalla medesima autorita', con la sola eccezione del trattamento effettuato da autorita' pubbliche e da organismi pubblici per il quale non e' necessaria l'istituzione di un Odm (art. 41, par. 6 del regolamento); Rilevato, in tale contesto, che l'obbligo di affidare il monitoraggio dei codici di condotta a un Odm accreditato non dovrebbe costituire un ostacolo allo sviluppo di tali strumenti e che, quindi, va riconosciuto un certo margine di flessibilita' ai promotori dei codici di condotta nell'applicazione dei requisiti di accreditamento fissati dal Garante al fine di definire il modello di Odm piu' adeguato a controllarne l'osservanza, fermo restando il rispetto di quanto previsto dal regolamento, dalle linee guida e dai pertinenti pareri del Comitato; Considerato che il regolamento e le linee guida del Comitato sopra citate, fissano un quadro organico di riferimento per la definizione dei requisiti che l'Odm deve soddisfare per ottenere l'accreditamento; Considerato che l'art. 57, par. 1, lettera q) del regolamento prevede, in particolare, che ciascuna autorita' di controllo, sul proprio territorio, effettua l'accreditamento dell'Odm, ai sensi dell'art. 41; Rilevato che, ai sensi del combinato disposto di cui agli articoli 55 del regolamento e art. 2-bis del Codice, il Garante e' l'autorita' di controllo competente a definire e pubblicare i requisiti per l'accreditamento dell'Odm, nonche' ad accreditare lo stesso Odm nell'esercizio del potere conferitole ai sensi dell'art. 57, par. 1, lettere p e q), del regolamento; Rilevato che, ai sensi dell'art. 55 del regolamento, il Garante e' l'autorita' di controllo competente ad approvare i codici di condotta aventi validita' nazionale nell'esercizio del potere conferitole ai sensi dell'art. 57, paragrafo 1, lettera m), del regolamento; Rilevato altresi' che il Garante, nella procedura di accreditamento volta a verificare che l'Odm soddisfi i predetti requisiti, tiene in considerazione le specificita' dei trattamenti di dati personali afferenti al/i settore/i a cui si applica il codice di condotta e, in particolare, la natura e la dimensione del settore, la tipologia e il numero (anche atteso) di soggetti aderenti, la peculiarita' e la complessita' delle operazioni di trattamento oggetto del codice, nonche' i rischi per gli interessati; Visto il provvedimento del 9 marzo 2023, n. 70 con il quale il Garante ha approvato il «Codice di condotta per le attivita' di telemarketing e teleselling» (di seguito, «codice di condotta») presentato da diverse associazioni promotrici (Asseprim, AssoCall, ASSOCONTACT, Assotelecomunicazioni, Confcommercio, Confindustria, DMA - Data & Marketing Association Italia, OIC_- Osservatorio Imprese Consumatori) (di seguito, «proponenti») in qualita' di associazioni maggiormente rappresentative nel settore, subordinandone l'efficacia all'accreditamento dell'Odm ai sensi dell'art. 41 del regolamento; Visto che in data 13 ottobre 2023 le proponenti hanno presentato la richiesta formale di accreditamento dell'Odm preposto alla verifica del rispetto del codice di condotta, allegando la documentazione utile a comprovare il possesso dei requisiti richiesti: il regolamento sul funzionamento dell'Odm; i rispettivi atti costitutivi; curriculum vitae e documenti di identita' dei componenti; le dichiarazioni di assenza di conflitto di interessi e di rispetto dei requisiti stabiliti dal codice di condotta, sottoscritte dagli stessi candidati a componenti ai sensi dell'art. 47 del decreto del Presidente della Repubblica n. 445/2000; Vista la nota del 4 dicembre 2023 con cui l'ufficio ha formulato alcune osservazioni in ordine alla richiesta di accreditamento che e' stata, pertanto, successivamente integrata dalle proponenti con nota 27 febbraio 2024; Esaminata la richiesta di accreditamento cosi' integrata e la relativa documentazione, risulta che l'Odm dimostra di possedere i requisiti previsti dall'art. 41, par. 2 del regolamento e dal Provvedimento, avendo comprovato, in particolare, un adeguato livello di competenza per lo svolgimento dei propri compiti di verifica del rispetto del codice di condotta, nonche' di poter assolvere alle proprie funzioni con indipendenza e imparzialita', anche attraverso specifiche misure, idonee ad individuare e mitigare il rischio di eventuali conflitti di interesse; Ritenuto pertanto, ai sensi dell'art. 57, par. 1, lettera q), del regolamento, di accreditare l'Odm deputato alla verifica del rispetto del sopra menzionato codice di condotta; Preso atto che la durata del citato Odm, proposta in sede di prima applicazione del codice e' di tre anni non rinnovabili, fermo restando che il regolamento dell'Odm presentato per l'accreditamento prevede che i mandati successivi al primo abbiano una durata di cinque anni; Ritenuto, pertanto, di approvare la versione definitiva del codice di condotta che acquista la piena efficacia dal giorno successivo alla sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana e sara' inserito nei registri di cui all'art. 40, paragrafi 6 e 11 del regolamento; Vista la documentazione in atti; Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore il prof. Pasquale Stanzione; Tutto cio' premesso il Garante: a) ai sensi dell'art. 57, par. 1, lettera q), del regolamento accredita l'Odm - preposto da Asseprim, AssoCall, ASSOCONTACT, Assotelecomunicazioni, Confcommercio, Confindustria, DMA - Data & Marketing Association Italia, OIC_- Osservatorio Imprese Consumatori - alla verifica del rispetto del codice di condotta per la durata tre anni non rinnovabili con riguardo al primo mandato e fermo restando che il regolamento dell'Odm prevede che i mandati successivi abbiano una durata di cinque anni; b) ai sensi dell'art. 57, par. 1, lettera m), del regolamento approva il codice di condotta riportato in allegato al presente provvedimento del quale forma parte integrante; c) invia copia della presente deliberazione all'Ufficio pubblicazione leggi e decreti del Ministero della giustizia ai fini della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. Roma, 7 marzo 2024 Il presidente e relatore: Stanzione Il segretario generale: Mattei   Allegato Preambolo Asseprim, AssoCall - Associazione nazionale dei Contact Center Outsourcing, ASSOCONTACT - Associazione nazionale dei Business Process Outsourcer, Assotelecomunicazioni, Confcommercio, Confindustria, DMA Italia e OIC - Osservatorio Imprese e Consumatori, in qualita' di associazioni rappresentative di committenti, call center, teleseller, list provider e associazioni di consumatori Propongono il presente Codice di condotta, sottoposto all'approvazione del Garante per la protezione dei dati personali (di seguito: «Garante») ai sensi dell'art. 40 del regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati (di seguito «regolamento») e nel rispetto della procedura stabilita dall'art. 20 del decreto legislativo 10 agosto 2018, n. 101, recante disposizioni di adeguamento del decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito: «Codice») alle norme del regolamento, sulla base delle seguenti Premesse a) l'art. 40 del regolamento prevede che gli Stati membri, le Autorita' di controllo, il Comitato europeo per la protezione dei dati e la Commissione europa incoraggino l'elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del regolamento, in funzione delle specificita' dei vari settori di trattamento e delle esigenze e delle caratteristiche proprie delle micro, piccole e medie imprese; il considerando n. 98 del regolamento, in particolare, prevede che i codici di condotta possono calibrare gli obblighi dei titolari e dei responsabili del trattamento, tenendo in debito conto i rischi potenzialmente derivanti, per i diritti e le liberta' degli interessati, dalle specifiche attivita' cui sono riferiti; b) lo svolgimento di attivita' promozionali tramite il canale telefonico e' stato oggetto negli ultimi anni di evoluzioni tecnologiche e normative ed ha fortemente impegnato le autorita' di controllo e, in particolare, il Garante nel contrasto a diverse e diffuse forme di illegalita' ad esse connesse. Non e' casuale, infatti, che non esista alcun altro ambito che impegni altrettanto frequentemente le Autorita' di controllo degli Stati membri, anche in ragione della particolare sensibilita' sociale per queste tematiche, sia in ragione dell'immediatezza della percezione di eventuali intrusioni indebite nella propria sfera privata, sia delle ricorrenti non conformita' da parte di soggetti, spesso non adeguatamente strutturati, a vario livello operanti in questo settore; c) allo stesso tempo, l'esigenza di regole di condotta uniformi e' particolarmente sentita per consentire agli operatori che operino nel rispetto delle regole di poter contare su pari condizioni di mercato e, parallelamente, di recuperare la fiducia degli interessati e la relativa disponibilita' all'ascolto; d) i soggetti operanti nel territorio italiano nel settore delle comunicazioni promozionali tramite il canale telefonico intendono quindi rafforzare proattivamente il proprio impegno al rispetto dei diritti, delle liberta' fondamentali e della dignita' delle persone interessate, con particolare riferimento al diritto alla protezione dei loro dati personali e alla tutela della loro riservatezza e sfera privata; il presente codice di condotta e' volto ad individuare le misure e le modalita' di trattamento da attuare per garantire un'adeguata implementazione dei principi di cui all'art. 5 del regolamento, in connessione al trattamento di dati personali per finalita' promozionali attraverso l'uso del canale telefonico; e) obiettivo del presente codice di condotta e' anche quello di precisare l'applicazione di alcune disposizioni del regolamento, del Codice e di varie prescrizioni dettate nel corso del tempo dal Garante nello specifico settore promozionale, per permettere agli operatori di mercato di utilizzare la relativa adesione, in chiave di accountability, come elemento idoneo a dimostrare il rispetto degli obblighi applicabili ai sensi della normativa di riferimento; f) resta fermo ed impregiudicato il quadro normativo applicabile al Registro pubblico delle opposizioni (di seguito: «RPO») di cui all'art. 130, comma 3-bis, del Codice, per quanto riguarda il trattamento delle numerazioni presenti negli elenchi dei contraenti e, con riferimento all'art. 1, comma 2, della legge 11 gennaio 2018, n. 5, di tutte le numerazioni telefoniche nazionali fisse e mobili per l'esecuzione di contatti telefonici con operatore; g) tutti i soggetti che svolgono attivita' di telemarketing, in quanto committenti o fornitori di servizi diretti o accessori, possono aderire al presente codice di condotta, seguendo le specifiche procedure. Art. 1. Ambito di applicazione 1. Il presente Codice di condotta e' riferito ad attivita' di trattamento dei dati personali effettuati, da soggetti operanti in territorio italiano o estero, per promuovere e/o offrire beni o servizi, tramite il canale telefonico, a soggetti ubicati nel territorio dello Stato italiano. Per tale motivo, l'approvazione di cui all'art. 40 del regolamento e' richiesta al Garante in qualita' di Autorita' di controllo competente ai sensi dell'art. 55 del regolamento. 2. In considerazione della necessita' di porre un freno alle condotte in contrasto con la normativa in materia di protezione dei dati personali e lesive del diritto alla tranquillita' individuale delle persone, con l'obiettivo di stimolare parallelamente maggiore fiducia da parte di queste ultime rispetto alle attivita' promozionali veicolate telefonicamente, l'ambito di applicazione del presente Codice di condotta e' circoscritto alle attivita' di telemarketing e teleselling. 3. Sono escluse dal presente Codice di condotta le promozioni in-app e il digital advertising, nonche' i contatti telefonici con finalita' esclusivamente limitata alla rilevazione del grado di soddisfazione della clientela, a sondaggi e/o ricerche di mercato senza alcuna finalita' commerciale. Si intendono, altresi', escluse dall'ambito di applicazione del presente Codice di condotta tutte le modalita' di contatto sviluppate tramite canali diversi da quello telefonico quale, ad esempio, il canale SMS, nonche', ferme restando le tutele di cui al Titolo X del Codice, le attivita' di contatto e le altre attivita' a cio' connesse dirette verso soggetti diversi da persone fisiche, liberi professionisti e imprese individuali.   Art. 2. Definizioni 1. Ai fini del presente Codice di condotta, si applicano le definizioni previste dall'art. 4 del regolamento e dall'art. 121 del Codice. 2. Ai medesimi fini, si intende per: a) «telemarketing», le attivita' di contatto telefonico con operatore effettuate per finalita' promozionale attraverso chiamate dirette a numerazioni fisse e mobili nazionali; b) «teleselling», le attivita' di contatto telefonico con operatore effettuate per finalita' di vendita diretta attraverso chiamate destinate a numerazioni fisse e mobili nazionali; c) «marketing telefonico automatizzato», le attivita' di contatto telefonico senza operatore effettuate per finalita' di telemarketing e/o di teleselling o prodromica al contatto con operatore per finalita' di vendita diretta attraverso chiamate dirette a numerazioni fisse e mobili nazionali; d) «mezzi tradizionali» o «modalita' tradizionali»: le telefonate effettuate con intervento di un operatore (persona fisica) o comunque senza utilizzo di sistemi automatizzati di chiamata; e) «mezzi automatizzati» o «modalita' automatizzate»: telefonate effettuate tramite sistemi automatizzati di chiamata, o di comunicazione di chiamata, senza l'intervento di un operatore (persona fisica); f) «committente»: il soggetto che, operando in qualita' di titolare del trattamento, incarica terzi, ad esempio, call center, teleseller e agenzie, per lo svolgimento di contatti commerciali telefonici per finalita' di teleselling e telemarketing; g) «list provider» o «editore», il soggetto che, anche in via non principale rispetto alla propria attivita', operando in qualita' di titolare del trattamento, procede, in virtu' del consenso degli interessati, alla comunicazione dei dati personali, autonomamente raccolti, a soggetti terzi per finalita' di teleselling e telemarketing; h) «call-center/teleseller» e «agenzie», operatori economici che, operando in qualita' di responsabili del trattamento dei committenti, sviluppano contatti telefonici per finalita' di promozione della conclusione di contratti di vendita/locazione/abbonamento per servizi/prodotti o di richiesta di incontri al medesimo fine; i) «interessato», la persona fisica, identificata o identificabile, cui sono riferiti i dati personali; sono equiparati agli interessati, sotto ogni profilo, anche i liberi professionisti e, in considerazione di quanto disposto dall'art. 2563, comma 2, del codice civile, le ditte individuali; j) «contraente», la persona fisica, giuridica, ente, associazione o altro organismo che sia parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o che comunque ne benefici anche tramite schede prepagate; k) «utente», la persona fisica che utilizza il servizio di comunicazione elettronica senza esservi necessariamente abbonata; l) «classificazione», l'operazione di mera estrazione da database di macro-categorie di interessati effettuata tramite query per partizionare i dati grezzi presenti nella banca dati (ad esempio, fascia di eta', genere, area di residenza, nazionalita'), senza effettuare ulteriori operazioni di trattamento consistenti in attivita' di profilazione quali, ad esempio, lo sviluppo di conclusioni in merito ad aspetti personali relativi ad un interessato, quali preferenze d'acquisto, interessi, gusti ed abitudini, comportamenti on-line, ubicazione o spostamenti; m) «profilazione», qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilita', il comportamento, l'ubicazione o gli spostamenti di detta persona fisica; n) «data quality»: l'operazione o l'insieme di operazioni, con esclusione di ogni forma di profilazione, per garantire che i dati personali trattati per finalita' promozionali siano sempre esatti ed aggiornati. Tra le operazioni di data quality rientrano, a titolo esemplificativo, la messa a disposizione di liste di dati nei confronti di uno o piu' fornitori di servizi, ai fini dello svolgimento di attivita' di controllo dell'esattezza ed aggiornamento anche mediate la c.d. operazione di «deduplica»; o) «Registro pubblico delle opposizioni», o «RPO», il registro pubblico delle opposizioni istituito ai sensi dell'art. 130, commi 3-bis e 3-ter del Codice e disciplinato dal decreto del Presidente della Repubblica 27 gennaio 2022, n. 26, esteso alle numerazioni nazionali fisse e mobili non riportate negli elenchi di contraenti di cui all'art. 129 del Codice, secondo quanto previsto dall'art. 1, comma 2, della legge 11 gennaio 2018, n. 5; p) «aderente», la persona giuridica, ente o altro organismo che svolge attivita' di telemarketing o teleselling, in quanto committente o fornitore di servizi diretti o accessori, per cui si sia positivamente conclusa la procedura di adesione al presente Codice di condotta; q) «fornitori»: salva diversa specificazione, chiunque effettui attivita' di telemarketing e teleselling (inclusi contact center e agenzie); r) «filiera», tutti i soggetti coinvolti a vario titolo nel trattamento commissionato dal titolare finalizzato alla realizzazione del contatto promozionale, dalla raccolta del dato fino alla realizzazione del contatto telefonico o alla chiusura del contratto a distanza; s) «IVR», sistema interattivo di menu a scelta mediante tasti o istruzioni vocali proposto all'interessato all'inizio della telefonata; t) «digital advertising»: qualsiasi forma pagata di presentazione e promozione non personale di idee, beni e servizi a scopo informativo o commerciale, attraverso tecnologie digitali/internet come applicazioni, siti web, piattaforme on-line, testate e pubblicazioni on-line, messaggistica, chat, social network e similari, da parte di un committente identificato; u) «inbound», servizio veicolato tramite il canale telefonico attraverso il quale gli interessati/contraenti/utenti contattano il titolare del trattamento per ricevere informazioni o assistenza; v) «outbound», servizio veicolato tramite il canale telefonico attraverso il quale gli interessati/contraenti/utenti sono contattati dal titolare per proporre offerte commerciali o servizi di vendita telefonica; a) «Associazioni promotrici»: le associazioni indicate nel preambolo del presente Codice di condotta, che hanno promosso e, a seguito della procedura di cui al successivo art. 19, sottoposto all'approvazione del Collegio del Garante il presente Codice di condotta.   Art. 3. Principi 1. Gli aderenti, nello svolgimento delle rispettive attivita', garantiscono il rispetto dei principi di liceita', proporzionalita', correttezza e trasparenza nei confronti degli interessati, adottando, in particolare, specifiche misure volte ad assicurare l'idonea informazione dell'utenza, l'adozione della corretta base giuridica del trattamento e l'esercizio dei diritti degli interessati. 2. I trattamenti dei dati personali per le finalita' di cui al presente Codice di condotta avvengono nel pieno rispetto dei principi di privacy by design e by default di cui all'art. 25 del regolamento e sono improntati al principio di minimizzazione e di conservazione limitata dei dati. 3. Gli aderenti applicano al trattamento adeguate misure di sicurezza, organizzativa e tecnica, volte a garantire elevati standard di protezione dei dati personali. 4. Gli aderenti che offrono app di blocco chiamate si impegnano a collaborare con l'Organismo di monitoraggio di cui al successivo art. 18 per garantire uno sviluppo equo e trasparente delle stesse app, che valorizzi l'iscrizione al ROC delle numerazioni dei fornitori aderenti al presente Codice di condotta.   Art. 4. Ruoli e responsabilita' 1. A prescindere dalla fonte di provenienza dei dati e indipendentemente dal materiale accesso agli stessi, agisce in qualita' di titolare del trattamento, secondo quanto previsto all'art. 4, punto 7), del regolamento, il soggetto che esegue direttamente o commissiona l'effettuazione tramite il canale telefonico di campagne di telemarketing e teleselling. 2. I processi operativi che interessano tutte le fasi del trattamento, dalla raccolta del dato dell'interessato/contraente/utente, sino alla conclusione del contratto, sono organizzati secondo le modalita' decise dal titolare (compatibilmente con quanto previsto dalla disciplina prevista dall'eventuale contratto di agenzia), la cui individuazione, nell'ambito delle diverse fasi, e' basata su elementi normativi, documentali e teorici, ma anche su un'analisi fattuale e concreta, ossia sul ruolo concretamente svolto nel trattamento, tenuto conto anche dell'immagine restituita agli interessati e del legittimo affidamento di questi ultimi sulla base di tale percezione. 3. Quando piu' soggetti, determinandone congiuntamente almeno le finalita', svolgono o delegano lo svolgimento di comunicazioni commerciali aventi ad oggetto prodotti o servizi propri o di terzi, sia con modalita' tradizionali, che automatizzate, agiscono in veste di contitolari del trattamento, in virtu' di un contratto stipulato ai sensi dell'art. 26 del regolamento, i cui contenuti essenziali devono essere messi a disposizione degli interessati. 4. I list provider, quando acquisiscono autonomamente, nell'ambito di un trattamento antecedente e del tutto indipendente da quello legato all'esecuzione delle comunicazioni commerciali, i dati personali al fine di creare liste da cedere ad altri soggetti, agiscono in qualita' di titolari del trattamento. 5. I fornitori di servizi incaricati di svolgere uno o piu' trattamenti connessi all'esecuzione di campagne di telemarketing e teleselling, o anche di reperire dati dai list provider, operano in qualita' di responsabili del trattamento, in virtu' di un contratto, o altro atto giuridicamente vincolante ai sensi di legge, che includa tutti gli elementi e disciplini tutti i profili di cui all'art. 28 del regolamento. Ricadono in tale categoria, fra gli altri, i call center/teleseller e le agenzie incaricate dai committenti dei contatti telefonici. 6. Ai sensi di quanto previsto dall'art. 24 del regolamento, grava sul titolare il compito di mettere in atto misure tecniche e organizzative per garantire ed essere in grado di dimostrare che il trattamento e' effettuato conformemente al regolamento e al presente Codice di condotta. 7. In caso di violazione delle norme poste a tutela dell'interessato nelle attivita' di telemarketing e teleselling, il committente e gli eventuali ulteriori soggetti responsabili della violazione rispondono in solido, in base a quanto previsto dall'art. 1, comma 11, della legge 11 gennaio 2018, n. 5, dall'art. 24-bis, comma 8, decreto-legge 22 giugno 2012, n. 83, convertito con legge 7 agosto 2012, n. 134, come sostituito dall'art. 1, comma 243, della legge 11 dicembre 2016, n. 232 e dall'art. 6, comma 2, della legge 24 novembre 1981, n. 689.   Art. 5. Obblighi del titolare 1. I titolari del trattamento pongono particolare attenzione nella scelta dei partner commerciali per le attivita' di telemarketing e di teleselling, privilegiando, nel rispetto della normativa sulla concorrenza, gli aderenti al presente Codice di condotta ed attuando in ogni caso le prescrizioni di cui all'art. 28 del regolamento, secondo gli standard e le best practices di seguito indicate. 2. In particolare, ciascun titolare, nella scelta dei soggetti demandati al trattamento di dati personali per suo conto, adotta una procedura di prequalifica del fornitore, che assicuri gli standard adeguati previsti dal presente Codice di condotta e che consenta la raccolta di informazioni e la selezione del partner anche sulla base di modelli di organizzazione, gestione e controllo o comunque, di standard adeguati di compliance. 3. Ciascun titolare adotta e, in caso di affidamento di trattamenti o parti di essi a responsabili, richiede anche a questi ultimi di adottare, le seguenti procedure: a) una procedura formalizzata di gestione delle istanze di esercizio dei diritti degli interessati, efficace nel garantire il presidio di tutti i possibili canali di ricezione di tali istanze da parte di autorizzati al trattamento istruiti nel riconoscerle ed incardinarle secondo il canale piu' efficace a garantire una pronta e completa risposta; la suddetta procedura dovra' contemplare l'obbligo per gli eventuali affidatari di servizi di informare sempre e senza ingiustificato ritardo il committente/titolare nel caso in cui ricevano una richiesta di esercizio dei diritti da parte degli interessati, nonche' l'obbligo di fornire al titolare tutte le informazioni e la documentazione necessaria per consentire l'evasione dell'istanza ricevuta da parte del titolare o direttamente da parte del responsabile in funzione delle istruzioni impartite, di inviare all'interessato la comunicazione di presa in carico della richiesta e la possibilita' di mettere in black list i dati di contatto dell'interessato in modo tale da impedire ogni contatto ulteriore da parte del fornitore laddove l'istanza abbia ad oggetto l'opposizione ai contatti commerciali da parte del titolare; b) una procedura formalizzata di gestione delle violazioni dei dati personali (c.d. data breach) che assicuri tempi di individuazione della violazione, in caso di trattamenti affidati in outsourcing, tempi di comunicazione al titolare senza ingiustificato ritardo e, ove compatibile con la natura della violazione, non superiori a 24 ore dalla conoscenza della violazione stessa. 4. Il committente che acquisisca una lista di contatti formata da un list provider e' tenuto a verificare, tramite confronto con la propria black list, che non siano presenti soggetti che hanno gia' manifestato, rispetto alla medesima lista di contatti, una specifica opposizione nei suoi confronti o che abbiano revocato il proprio consenso. 5. Il titolare, prima di avviare una campagna di telemarketing o teleselling, sottopone le proprie liste alle verifiche normativamente previste presso il RPO, ai sensi dell'art. 1, comma 12, della legge n. 5/2018 e tiene traccia degli esiti di tale verifica, in sede di prima applicazione del presente Codice di condotta, per almeno 3 mesi. 6. Fermo restando il riparto delle responsabilita' e quanto previsto dal precedente art. 4 in tema di responsabilita' solidale, il titolare garantisce e richiede ai propri responsabili che il trattamento, a partire dalla fase di raccolta dei dati, avvenga in conformita' al regolamento, al Codice e al presente Codice di condotta. A tal fine, il titolare adotta misure adeguate per verificare che il responsabile del trattamento rispetti le istruzioni impartite attraverso meccanismi di audit quali, ad esempio, le «numerazioni civetta» (numerazioni proprie all'interno della lista delle numerazioni contattabili) e controlli a campione sui contratti stipulati, per verificare che i contatti siano effettuati con le modalita' stabilite dal titolare e in conformita' agli articoli 6 e 11 di cui al presente Codice di condotta e che, in particolare, l'informativa sia stata resa in maniera intellegibile. 7. Il titolare adotta piani di formazione per il personale con cadenza almeno annuale, in merito al trattamento dei dati personali, e richiede ai soggetti nominati responsabili di adottare piani di formazione che siano coerenti con i propri. 8. Il titolare predispone la piattaforma per la registrazione delle proposte di contratto in modo tale che sia garantita la tracciabilita' delle operazioni svolte, adottando, ad esempio, procedure di autenticazione che: a) impediscano l'accesso alla piattaforma con le medesime credenziali da piu' postazioni contemporaneamente; b) impediscano l'accesso effettuato da indirizzi IP diversi o attraverso modalita' di autenticazione non conformi a quelle autorizzate per ciascun call center/teleseller/agenzia all'atto dell'attribuzione delle credenziali; c) attribuiscano credenziali di autenticazione individuali per ciascun operatore autorizzato a svolgere le operazioni di inserimento; d) consentano l'identificazione dell'operatore autorizzato anche in caso di contatto telefonico con il servizio di assistenza.   Art. 6. Rapporti tra committenti e list provider 1. Nella selezione dei list provider, i committenti adottano la massima diligenza e valutano la presenza di tutti gli elementi di garanzia necessari, tra cui: a) l'adozione di corrette modalita' di acquisizione del consenso attraverso l'esame delle informative rilasciate al momento della raccolta dei dati e della user experience, volta a verificare la presentazione di richieste di conferimento del consenso chiare e comprensibili, non vincolate e facilmente revocabili; sara' considerato correttamente acquisito un consenso che risulti adeguatamente documentato, tenendo traccia, con modalita' informatiche che ne garantiscano l'immodificabilita' della data e dell'origine, come, ad esempio, la conservazione sia della coppia IP-timestamp del soggetto che ha fornito il consenso on-line selezionando le apposite caselle, sia dell'invio allo stesso soggetto di un messaggio di notifica della registrazione del consenso (ad esempio, SMS) oppure con meccanismi cosiddetti double opt-in dove il consenso acquisito on-line viene successivamente confermato dall'interessato rispondendo ad un messaggio di conferma; la verifica di detti consensi deve essere effettuata almeno su un campione significativamente rappresentativo della banca dati e, in ogni caso, deve essere effettuata ogni volta che il titolare riceva un reclamo o una richiesta di esercizio dei diritti di cui agli articoli 12-22 del regolamento da parte di un interessato; b) la reperibilita' del fornitore, in particolare quando si utilizzano banche dati di soggetti terzi ubicati fuori dal territorio nazionale; nel caso di soggetti extra-UE, occorre verificare se sia indicato uno stabilimento in UE ai sensi dell'art. 3, par. 1 del regolamento oppure un rappresentante ai sensi dell'art. 27 del regolamento. c) nel caso di banche dati formate tramite la partecipazione a concorsi a premi, e' utile verificare la presenza di un regolamento del concorso che, in conformita' alla legge al decreto del Presidente della Repubblica del 26 ottobre 2001, n. 430 «Regolamento concernente la revisione organica della disciplina dei concorsi e delle operazioni a premio, nonche' delle manifestazioni di sorte locali, ai sensi dell'art. 19, comma 4, della legge 27 dicembre 1997, n. 449», riporti i dati del soggetto promotore e dell'eventuale rappresentante in Italia (art. 5, comma 2). 2. Il committente, che intenda trattare per finalita' di telemarketing o teleselling dati autonomamente raccolti in qualita' di autonomi titolari da parte di editori, deve: a) richiedere che le liste di numerazioni acquisite da utilizzare nella campagna promozionale siano state verificate prima dal relativo titolare del trattamento presso il RPO e rispettino pertanto le volonta' degli interessati, ove iscritti, a non essere inseriti nelle campagne promozionali; b) confrontare tali dati con quelli presenti nella black list, al fine di escludere dalle liste di contatto tutti gli interessati che abbiano precedentemente esercitato il proprio diritto di opposizione o revocato il proprio consenso nei confronti del committente rispetto alla medesima lista di contatti; c) verificare le liste, cosi' formate, presso il registro pubblico delle opposizioni; d) informare entro e non oltre quindici giorni l'editore, o il fornitore, di manifestazioni di volonta' negativa espresse dagli interessati rispetto alla raccolta del consenso da parte dell'editore, al fine di tenerne conto nella formazione e gestione delle liste laddove l'interessato abbia manifestato la volonta' in tal senso. 3. I list provider che raccolgono i dati personali quali autonomi titolari forniscono una dichiarazione debitamente sottoscritta che attesti la correttezza, liceita' e aggiornamento di tutti i consensi raccolti.   Art. 7. Obblighi specifici per i fornitori che eseguono i contatti 1. Oltre a quanto previsto dal regolamento, dal Codice e da altre disposizioni del presente Codice di condotta, i fornitori che effettuano materialmente la campagna di promozione in qualita' di responsabili del trattamento sono tenuti ai seguenti obblighi. Chiunque effettui attivita' di telemarketing/teleselling (inclusi contact center e agenzie), anche se tale attivita' non e' la principale attivita' di impresa, e' tenuto a iscriversi al Registro degli operatori di comunicazione («ROC») di cui alla delibera dell'Autorita' per le garanzie nelle comunicazioni n. 666/08/CONS del 26 novembre 2008 ed eventuali successive modificazioni ed integrazioni, comunicando, altresi', tutte le numerazioni telefoniche messe a disposizione del pubblico e utilizzate per i servizi di telemarketing e teleselling. L'obbligo di iscrizione sussiste anche a carico dei soggetti terzi affidatari dei servizi di call center e deve essere contemplato nel contratto di affidamento del servizio (art. 24-bis, comma 11, decreto-legge n. 83/2012, convertito con legge n. 134/2012, come sostituito dall'art. 1, comma 243 della legge n. 232/2016. Restano fermi gli obblighi relativi all'utilizzo di numerazioni iscritte al ROC, nonche' le prescrizioni relative alle comunicazioni da indirizzare al Ministero per lo sviluppo economico («MISE»), al Ministero del lavoro, all'Ispettorato nazionale del lavoro e al Garante qualora l'attivita' di call center sia svolta in un Paese extra UE. 2. Chiunque effettui attivita' di telemarketing/teleselling (inclusi contact center e agenzie), ai sensi dell'art. 2 della legge n. 5/2018, rispetta l'obbligo di presentazione dell'identificazione della linea chiamante utilizzando l'apposito codice prefisso, individuato dall'AGCOM con delibera n. 156/18/CIR, ed eventuali, successive, modificazioni e integrazioni, per identificare le attivita' di pubblicita', vendita e comunicazione commerciale. In alternativa, e fino a diverse disposizioni che dovessero essere introdotte de jure condendo, chiunque effettui attivita' di telemarketing/teleselling (inclusi contact center e agenzie) potra' valutare l'utilizzo di una propria numerazione priva del codice prefisso purche' ricontattabile da parte dell'utente. Tali numerazioni devono essere comunicate al committente prima dell'inizio dell'attivita' promozionale e devono risultare iscritte nel ROC. 3. I fornitori che offrono servizi di call center o di teleselling, (incluse eventualmente le agenzie o altri operatori) esclusivamente in qualita' di responsabili del trattamento, devono inoltre: a) adottare misure tecniche e organizzative, anche contrattuali, fermo quanto disposto dall'art. 4 della legge 20 maggio 1970, n. 300, idonee a verificare ed assicurare l'adempimento, da parte dei soggetti autorizzati ai sensi dell'art. 29 del regolamento e dell'art. 2-quaterdecies del Codice, delle istruzioni impartite; b) utilizzare esclusivamente numerazioni richiamabili o identificabili e non accettare incarichi da committenti che non prevedano un obbligo espresso di utilizzo, in caso di contatti commerciali outbound, unicamente di tali numerazioni; c) fornire entro quindici giorni dalla chiusura delle singole campagne promozionali, ai committenti per conto dei quali vengono svolte le attivita' di telemarketing e teleselling, un report dettagliato contenente: i. il numero di telefonate effettuate su base giornaliera; ii. il numero di telefonate effettuate e rimaste senza risposta su base giornaliera; iii. il numero di persone contattate che abbiano dichiarato di non essere interessate; iv. i dati identificativi, il numero di telefono e la data di recepimento della richiesta di ciascun interessato o contraente contattato che abbia: i) esercitato il proprio diritto di opposizione, verso il titolare; ii) chiesto la cancellazione dei propri dati da parte del titolare; iii) revocato il proprio consenso al ricevimento di ulteriori contatti commerciali; d) registrare in apposite black-list tutte le richieste di cui alla precedente lettera c), provvedendo all'inoltro al committente, secondo le modalita' e nel rispetto dei tempi previsti dalle procedure di cui all'art. 5, comma 3, lettera a) del presente Codice di condotta e comunque entro e non oltre 24 ore dal relativo ricevimento, ovvero, in alternativa inviare in modalita' automatizzate i log degli esiti dei contatti al committente da parte dei fornitori che offrono servizi di call center o di teleselling; e) inviare al titolare, secondo le modalita' e nel rispetto dei tempi previsti dalle procedure di cui all'art. 5, comma 3, lettera a) del presente Codice e comunque entro quindici giorni dall'esecuzione della chiamata rilevante, i dati identificativi ed il numero di telefono degli interessati o dei contraenti che abbiano manifestato interesse o direttamente aderito alla proposta o promozione oggetto della campagna; f) non contattare il medesimo interessato (laddove per contatto si intende la chiamata con risposta): ii) prima delle 9,00 e dopo le 20,00 dal lunedi' al venerdi'; iii) prima delle 10,00 e dopo le 19,00 il sabato o i giorni prefestivi; iv) la domenica o i giorni festivi; la chiamata che trovi occupato o che rimanga senza risposta si considera come non effettuata. E' ammessa una tolleranza di 15 minuti (prima/dopo) rispetto agli orari indicati nella presente lettera f) ed e', pertanto, ammessa qualsiasi chiamata che sia iniziata entro la suddetta tolleranza. Sono fatti salvi contatti commerciali anche in orari e giorni diversi, se espressamente concordati con l'interessato stesso (ad esempio, chiamate per fornire chiarimenti, chiamate a diverso orario, chiamate per reperire ulteriori documenti) e sono fatte altresi' salve le chiamate e richiamate dirette all'interessato che siano state espressamente richieste dall'interessato, ad esempio, mediante landing page, digital advertising, sito o funzioni dell'IVR e anche con mezzi diversi; g) essere in grado di fornire agli interessati, nel corso della telefonata e senza eccezioni, le previste informazioni sul trattamento dei dati personali e sulle modalita' di esercizio dei diritti, delineando con chiarezza i ruoli (titolare/responsabile) e le rispettive incombenze.   Art. 8. Obblighi comuni 1. In relazione allo svolgimento delle attivita' di teleselling e telemarketing, gli aderenti si obbligano a: a) rispettare quanto previsto dall'art. 35 del regolamento, secondo il quale il titolare effettua, consultandosi con i responsabili, un'adeguata valutazione degli impatti che l'attivita' promozionale puo' determinare sulla protezione dei dati, qualora dalla stessa possa derivare, particolarmente in caso di uso di nuove tecnologie, un rischio elevato per i diritti e le liberta' degli interessati. Tale valutazione e' inderogabilmente necessaria ogniqualvolta i trattamenti che il titolare aderente ha pianificato di svolgere presuppongano, o comunque implichino, una valutazione sistematica e globale di aspetti personali relativi agli interessati, basata su un trattamento automatizzato, compresa la profilazione, dalla quale derivino decisioni in grado di produrre effetti giuridici o comunque di incidere in modo significativo su questi ultimi; b) non raccogliere, direttamente presso gli interessati o da fonti terze o list provider, piu' dati di quanti siano ragionevolmente necessari alla corretta esecuzione della comunicazione commerciale e, piu' in generale, a garantire l'attuazione del principio di minimizzazione, con particolare riferimento alla portata dei trattamenti svolti, al periodo di conservazione dei dati e all'accessibilita' agli stessi, consentendone il trattamento esclusivamente da parte di persone fisiche, agenti sotto l'autorita' del soggetto aderente, che abbiano una concreta e ragionevole esigenza di accesso ai dati e che siano state debitamente autorizzate ed istruite in tal senso; c) adottare misure tecniche e/o organizzative volte ad impedire l'estrazione o la copia non autorizzate, in modalita' elettronica o cartacea anche solo parziale, dei dati presenti nelle liste di contatto da parte dei soggetti incaricati del trattamento che operino per il titolare o il responsabile. Tali misure includeranno, in sede di formazione, indicazioni chiare circa l'illiceita' di comportamenti quali l'utilizzo a fini diversi da quelli inclusi nelle autorizzazioni e nelle istruzioni al trattamento e le conseguenze anche penali di tali comportamenti; d) adottare misure tecniche e organizzative volte ad impedire l'accesso ai dati, contenuti nelle liste, da parte dei responsabili del trattamento alla scadenza del mandato; e) garantire la rettifica dei dati inesatti raccolti e trattati, anche attraverso attivita' di data quality svolte autonomamente o delegate a fornitori di servizi, senza necessita' di apposita richiesta da parte degli interessati ai sensi dell'art. 16 del regolamento, in tutti i casi in cui ricevano evidenza di errori nei dati di contatto riferiti all'interessato; f) adottare procedure e misure tecniche e organizzative, anche di carattere contrattuale, idonee a garantire il tracciamento in maniera trasparente dell'intera filiera di contatto, nonche' ad agevolare le varie attivita' di controllo da parte di organismi o Autorita' competenti, oltre ad audit interni. A tal fine, a titolo esemplificativo, gli aderenti archiviano e rendono facilmente accessibili, ai soggetti autorizzati a svolgere attivita' di controllo, copia degli script utilizzati nel corso dell'attivita' di contatto e ad utilizzare sistemi di verifica delle liste fornite da terzi editori, astenendosi dall'utilizzo di quelle che non rispondano a criteri di liceita' e trasparenza. 2. I committenti e i fornitori utilizzano, ove disponibili in base alla rete telefonica e consentite dalla normativa applicabile, soluzioni tecnologiche che permettano l'immediata identificabilita' del numero chiamante per il cliente e ne impediscano la clonazione ad opera di terzi (ad esempio, mediante l'indicazione del brand tramite alias o di altro tratto distintivo quale, ad esempio, una numerazione telefonica ad uso esclusivo del committente per le attivita' outbound). 3. Fermo restando quanto disciplinato dall'art. 37 del regolamento, si raccomanda ai titolari del trattamento e, quando svolgano questo genere di servizi in via principale e continuativa, anche i soggetti scelti dai titolari, di nominare un responsabile per la protezione dei dati - data protection officer - con funzione di consultazione, consulenza, sorveglianza e controllo in materia di protezione dei dati personali. Ai fini di cui sopra, gli affidatari del servizio scelti dai titolari creano canali di interlocuzione diretta con i responsabili per la protezione dei dati nominati dai titolari o, in mancanza, con i titolari del trattamento. Tali canali devono essere espressamente formalizzati ed indicati nel contratto che regola i rapporti con il fornitore di servizi.   Art. 9. Trattamento di dati particolari 1. Fermo restando il divieto di trattamento per finalita' promozionali dei dati personali di cui all'art. 10 del regolamento, i dati appartenenti a categorie particolari ai sensi dell'art. 9 del regolamento non possono essere utilizzati per finalita' promozionale, tranne quando gli stessi siano raccolti nell'ambito di specifici rapporti contrattuali in essere con gli interessati ed il trattamento, esclusa la profilazione, sia basato sull'esplicito e specifico consenso dell'interessato ai sensi dell'art. 9, comma 2, lettera a) del regolamento. 2. Gli aderenti definiscono e adottano misure idonee, sia dal punto di vista organizzativo che tecnico ed informatico, per garantire che i dati personali rientranti in categorie particolari, eventualmente raccolti nel corso dell'esecuzione di servizi oggetto di contratti specifici stipulati con gli interessati e trattati, nei limiti stabiliti dal precedente art. 3.1, ai fini dello svolgimento di attivita' di teleselling e telemarketing, siano conservati separatamente, dal punto di vista fisico o anche solo logico, da quelli trattati per finalita' di adempimento degli obblighi contrattuali assunti verso gli interessati e siano protetti con specifiche misure di sicurezza.   Art. 10. Script e modalita' di contatto 1. Il committente mette a disposizione del fornitore, con modalita' documentata e verificabile, uno script conforme al presente Codice di condotta applicabile ad ogni singola campagna di telemarketing o teleselling contenente le istruzioni da seguire per lo svolgimento dei relativi contatti ed il testo dell'informativa, altresi' conforme al presente Codice di condotta, da sottoporre agli interessati. 2. Il fornitore, laddove l'interessato non abbia chiesto espressamente la chiamata o la richiamata ai sensi del successivo comma 3, puo' chiamare per finalita' di telemarketing o teleselling le utenze telefoniche non presenti negli elenchi telefonici pubblici per le quali risulti presente un idoneo consenso e le utenze telefoniche presenti negli elenchi telefonici pubblici che non siano iscritte al RPO. 3. Qualora un interessato richiami il numero di un fornitore che lo abbia previamente contattato per finalita' di telemarketing o teleselling nel rispetto della normativa vigente e del presente Codice di condotta, il relativo contatto commerciale dovra' considerarsi lecito, in quanto effettuato spontaneamente, per conto proprio, da parte dell'interessato, purche' allo stesso sia fornita un'informativa secondo quanto previsto al successivo art. 11. Si applica la medesima procedura anche nel caso in cui il numero utilizzato dall'interessato per richiamare il fornitore risulti differente da quello originariamente contattato da quest'ultimo nell'ambito della campagna di telemarketing o teleselling, esentando altresi' il fornitore dallo svolgimento delle verifiche con il registro pubblico delle opposizioni. Le suindicate procedure semplificate valgono con esclusivo riferimento al singolo committente per cui e' utilizzata la numerazione richiamata dall'interessato. 4. Fermo restando il divieto di raccolta sistematica di contatti, potenzialmente interessati alla proposta commerciale (c.d. referenziati), da parte del chiamante e fermi restando gli obblighi informativi di cui all'art. 14 del regolamento, nonche' di consultazione del RPO, il fornitore puo' mettere a disposizione del chiamato un canale di contatto utile da comunicare al referenziato. 5. Il contatto deve avvenire da numerazioni iscritte al ROC come indicato al precedente art. 7 e in apertura di chiamata - dopo l'indicazione del call center dal quale si chiama e il committente per il quale si chiama - deve essere specificato se la chiamata origina da un call center ubicato extra UE.   Art. 11. Informativa 1. In occasione del contatto commerciale e precisamente all'inizio della telefonata, viene utilizzato lo script fornito dal committente contenente anche un'informativa per il trattamento dei dati in forma semplificata, che indichi in maniera intellegibile almeno i seguenti elementi: le generalita' del titolare, la base giuridica applicabile al trattamento e la fonte da cui sono stati raccolti i dati (ad esempio, se e' stato fornito un consenso o se la numerazione e' presente negli elenchi telefonici e non e' risultata iscritta nel RPO). Nel corso della telefonata, l'operatore deve essere in grado di indicare, su richiesta, le generalita' dell'eventuale responsabile, le finalita' e le modalita' del trattamento, un recapito presso il quale poter esercitare, in forma agevole e gratuita, i diritti di cui agli articoli 15-22 del regolamento. Inoltre, prima di procedere alla raccolta di qualsiasi dato personale dell'interessato o su richiesta dello stesso, l'operatore indica dove puo' essere reperita l'informativa estesa, che verra' comunque rilasciata prima dell'eventuale stipula del contratto. 2. In applicazione degli articoli 12, 13 e 14 del regolamento e nel rispetto delle indicazioni fornite dal Garante e dal Comitato europeo per la protezione dei dati, l'informativa sia nella sua forma sintetica sopra indicata, sia in quella estesa, e' resa in un linguaggio semplice e di agevole e rapida comprensione. In riferimento all'informativa estesa, si devono, inoltre, tenere in considerazione, l'utilita' di testi multi-strato, con un dettaglio progressivo delle informazioni, partendo da quelle indicate al precedente comma 1, nonche' le esigenze delle persone in condizione di vulnerabilita' o affette da disabilita', alle quali ultime devono essere assicurati, quando applicabili, i previsti parametri di accessibilita', anche web nonche', in ogni caso, l'agevole ed effettiva comprensione del testo, anche grazie, ove possibile, all'ausilio di icone, disegni, audio e video.   Art. 12. Consenso 1. Il consenso per finalita' di telemarketing e teleselling viene ritenuto valido se adeguatamente informato ai sensi degli articoli 12, 13 e 14 del regolamento e in linea con le indicazioni del suindicato art. 11 del presente Codice di condotta, nonche' libero, specifico, inequivocabile e documentabile mediante elementi precisi e circostanziati quali, ad esempio, quelli di cui al precedente art. 6, comma 1, lettera a). In attuazione dei principi di finalita', correttezza e trasparenza di cui all'art. 5 del regolamento, le finalita' contenute nella formula di acquisizione del consenso devono corrispondere con esattezza alle finalita' indicate nell'informativa resa in conformita' al regolamento, nei modi specificati al precedente art. 11. 2. Non e' valido il consenso: a) generico al trattamento dei dati; b) unico per finalita' contrattuali, o amministrative o contabili, e per trattamenti di marketing, di profilazione, o di comunicazione a terzi per finalita' diverse da quelle contrattuali, o amministrative o contabili; c) unico per trattamenti di marketing e di marketing su dati oggetto di profilazione; d) unico per finalita' di marketing proprio e di comunicazione a terzi per finalita' promozionali; e) preselezionato, sia vincolato sia deselezionabile, per qualsiasi genere di finalita' sopra descritta; f) non adeguatamente documentato o documentabile con certezza. 3. In caso di acquisizione del consenso in modalita' non ammesse ai sensi del precedente comma 2, si considera illecita sia la raccolta sia ogni successiva attivita' di trattamento, anche in caso di mancato effettivo utilizzo, per finalita' promozionali e/di profilazione, dei dati raccolti. 4. L'attivita' di profilazione finalizzata al marketing richiede un consenso specifico e distinto, in linea con i requisiti di cui al precedente comma 1, rispetto al consenso per l'effettuazione di attivita' promozionali. Non necessita di un consenso specifico e distinto l'attivita' di classificazione degli interessati eseguita da parte o per conto dell'aderente purche' sia effettuata come descritto al precedente art. 2, comma 2, lettera l) e non comporti in alcun modo un'attivita' di profilazione. 5. Il diniego alla ricezione di contatti commerciali espresso nel corso della telefonata promozionale o in altra sede, anche in forma orale, purche' riferibile ad un interessato gia' identificabile, o che altrimenti acconsente ad essere identificato fornendo i propri dati anagrafici, s'intende quale revoca del consenso o come opposizione al trattamento della numerazione per finalita' di telemarketing e teleselling, con limitato riferimento al committente nell'interesse del quale e' stato effettuato il contatto commerciale o al titolare che l'abbia eseguito in via diretta e all'individuo che ha espresso tale diniego, il quale deve confermare altresi', in caso di utenza fissa, di esserne il titolare. Il medesimo diniego viene raccolto prontamente e senza ingiustificato ritardo dal chiamante al fine di garantirne la pronta operativita', gia' nell'ambito della campagna promozionale in corso. 6. Si considera quale valida manifestazione di interesse che precede l'avvio del contatto commerciale uscente, anche a fronte del rilascio di informativa semplificata nelle forme sopra disciplinate, purche' debitamente tracciata e comprovabile come, ad esempio: a) la pressione di un tasto numerico sulla tastiera entro un certo intervallo di tempo, o l'espressione vocale di consenso tramite pronuncia di termini inequivocabili quali «CONSENTO», «ACCETTO» o la risposta affermativa «SI» alla domanda se, ricevuta l'informativa, si vuole proseguire con la telefonata promozionale; b) l'inserimento di OTP univoco su una apposita pagina quando richiesto dall'IVR o dall'operatore incaricato dal titolare o dal fornitore; c) il rilascio in un form web dei propri dati personali unitamente alla selezione di una casella relativa al consenso al trattamento dei propri dati personali per finalita' promozionali; d) qualsiasi altra modalita' di firma elettronica prevista dall'ordinamento o registrazione della volonta' su supporto durevole.   Art. 13. Trasmissione dei dati a terzi 1. I dati raccolti o trattati per finalita' di telemarketing e teleselling non possono essere comunicati dagli aderenti, salvo quanto previsto al successivo comma 2. 2. La trasmissione di dati personali da un aderente a terzi autonomi titolari ai fini dello svolgimento delle loro proprie attivita' promozionali puo' considerarsi lecita solo in presenza di un idoneo consenso dell'interessato per questa specifica finalita', ferma restando l'applicazione della disciplina relativa al registro pubblico delle opposizioni ivi incluso quanto previsto per gli elenchi telefonici. In caso di interessati a cui l'informativa sia stata fornita esclusivamente per via telefonica, la eventuale modifica dell'informativa puo' essere notificata anche con SMS con il link alla nuova informativa. 3. I titolari aderenti al presente Codice di condotta possono adempiere all'obbligo disposto dall'art. 1, comma 8, della legge 11 gennaio 2018, n. 5, tramite pubblicazione nel proprio sito web di apposita lista aggiornata contenente gli estremi identificativi di tutte le terze parti, agenti quali autonomi titolari, a cui l'aderente abbia comunicato le numerazioni telefoniche rilevanti, purche' dell'esistenza di tale lista sia in qualunque modo fornita evidenza all'interessato nell'informativa rilasciata al momento della raccolta dei dati e del consenso rilevante, oltre che in occasione di ogni successiva comunicazione promozionale svolta direttamente dall'aderente verso l'interessato.   Art. 14. Controllo della «filiera» 1. Oltre a quanto espressamente gia' previsto dal regolamento, dal Codice e dalle altre disposizioni del presente Codice di condotta, gli aderenti e i soggetti operanti per conto di essi sono tenuti al rispetto delle seguenti misure volte a garantire la correttezza e legittimita' dei trattamenti svolti nella «filiera» del telemarketing; in particolare: a) ciascun aderente verifica il possesso dei requisiti dichiarati dall'affidatario del servizio mediante verifica documentale e/o ispezione interna, con frequenza idonea e con modalita' e strumenti adeguati alla situazione di fatto, tenendo traccia delle motivazioni delle scelte effettuate in apposito documento; b) gli aderenti al presente Codice di condotta si impegnano, anche mediante inserimento di idonea previsione nell'atto giuridico vincolante che disciplina i trattamenti da parte del responsabile, di cui all'art. 28, par. 3, del regolamento a: i. consentire al titolare di verificare in affiancamento a tecnici del responsabile, in sede di verifica o ispezione interna, il rispetto delle misure di sicurezza previste per il trattamento dei dati affidati in outsourcing e trattati mediante i sistemi fisici ed informatici dell'affidatario del servizio (nell'accezione piu' ampia di cui all'art. 4, par. 1, n. 2 del regolamento); ii. implementare gli standard garantiti in prima nomina tenuto conto dello stato dell'arte, dei costi di attuazione, nonche' nella durata e del contesto del trattamento delegato; iii. vietare l'affidamento delle attivita' delegate a sub responsabili, salva l'espressa autorizzazione da parte del committente/titolare del trattamento, che potra' essere concessa solo per soggetti che garantiscano i medesimi standard richiesti dal presente Codice di condotta per i responsabili del trattamento. 2. Il titolare garantisce, anche grazie alla necessaria cooperazione da parte dei propri responsabili del trattamento, il pieno, puntuale e costante controllo dell'intera filiera di soggetti comunque coinvolti in qualunque fase preparatoria o di esecuzione della campagna promozionale. In tale prospettiva: a) i committenti pongono in essere procedure e/o misure tecniche volte a favorire il perfezionamento di contratti con gli interessati verso cui siano stati svolti contatti commerciali, direttamente da parte del committente o da fornitori per conto di quest'ultimo, purche' tutte le relative operazioni siano svolte alle condizioni e secondo le modalita' stabilite dalla vigente normativa in materia di protezione dei dati personali e dal presente Codice di condotta; in particolare, qualora l'interessato accetti una proposta di contratto in occasione di contatto commerciale, il committente e' tenuto a garantire la tracciabilita' del contratto rispetto alla numerazione contattata e al nominativo del fornitore ha eseguito il contatto; b) i committenti, che ricevano dai fornitori contrattualizzati l'indicazione di contratti perfezionati nel corso delle attivita' promozionali svolte da questi ultimi in qualita' di responsabili del trattamento, adottano soluzioni tecnologiche che consentano la stipula a distanza e l'adozione di sistemi tecnologici volte a garantire la sicurezza e certezza delle relative operazioni contrattuali; c) in particolare, nel caso di contratti perfezionati per mezzo dei servizi forniti da agenzie che operino direttamente in presenza e con modalita' di sottoscrizione non elettroniche (c.d. contratti cartacei), i committenti, nell'ambito delle misure previste dai periodi precedenti, adottano soluzioni organizzative e tecniche che garantiscano la corretta e specifica acquisizione dei dati identificativi del cliente; dell'indicazione del committente medesimo; della data e del tipo di offerta; della ragione sociale dell'agenzia incaricata; nonche' l'utilizzo dei dati acquisiti esclusivamente per quell'operazione, impedendo qualsiasi possibilita' di illegittimo riutilizzo. 3. I committenti garantiscono che gli accordi che regolano i rapporti commerciali con i fornitori richiamano gli obblighi di controllo e collaborazione derivanti dal presente Codice di condotta e prevedono meccanismi di risoluzione e/o altra misura negoziale, anche sotto forma di penale, idonea a scoraggiare pratiche contrarie a quanto ivi previsto.   Art. 15. Data quality - trattamenti consentiti 1. I trattamenti nell'ambito delle verifiche della data quality possono essere svolti da parte dei titolari, anche grazie al supporto di fornitori, in virtu' di un'idonea base giuridica ai sensi dell'art. 6 del regolamento, nei limiti stabiliti al successivo comma 2. 2. Nell'ambito delle attivita' di cui al presente Codice di condotta, il titolare puo' avvalersi di sistemi e strumenti automatizzati di raccolta dei dati, purche' impostati in maniera tale da eseguire unicamente la correzione dei dati inesatti presenti nelle liste caricate da parte del titolare; tale trattamento deve essere riferito esclusivamente a dati della medesima tipologia/qualita' fornita dall'utente e puo' essere effettuato solo nei casi in cui tale ricorso a dati non forniti direttamente dall'interessato sia indispensabile per l'esclusivo scopo di adottare politiche di garanzia dell'esattezza delle informazioni raccolte. 3. Dall'attivita' di data quality va tenuta distinta l'eventuale, diversa, attivita' di arricchimento dei dati, che deve prevedere una valutazione preliminare della finalita' della stessa e della necessita' effettiva della realizzazione di tali trattamenti, al fine di garantire in modo comprovabile che le azioni poste in essere abbiano adeguata base giuridica e rispettino i principi di cui all'art. 5 del regolamento. 4. Il titolare conserva per cinque anni il file o tabella di confronto prodotto dai sistemi automatizzati eventualmente impiegati, cosi' da poterlo fornire al Garante, in caso di specifica richiesta.   Art. 16. Controllo dell'origine del contratto 1. I titolari del trattamento adottano procedure organizzative e/o tecniche finalizzate a comprovare che i dati dell'interessato/contraente/utente siano stati acquisiti nel rispetto dei principi di cui all'art. 5, par. 1, del regolamento; in particolare, tenuto conto del principio di proporzionalita', mediante misure by default, gli stessi implementano nei sistemi apposite procedure che individuino le campagne promozionali, le liste di contatto e gli operatori coinvolti in ogni contratto concluso a distanza e siano in grado di comprovare la correttezza delle informazioni di cui sopra. Tali procedure impediscono la registrazione di contratti dei quali le predette informazioni non siano rinvenibili. In caso di registrazione di contratti a distanza privi delle predette informazioni, si applica quanto previsto ai sensi del successivo comma 6. 2. Gli aderenti al presente Codice di condotta assicurano che tutta la filiera tratti i dati esclusivamente sulla base di un idoneo consenso al trattamento per finalita' di telemarketing e teleselling che sia chiaramente distinto dalla manifestazione della volonta' negoziale. 3. I committenti, monitorano nei modi indicati nel presente Codice di condotta la correttezza delle attivita' di contatto delegate anche ponendo in essere attivita' di controllo della qualita'/legittimita' delle chiamate, nonche' di verifiche tra contraenti contattati, liste di contatto e contratti attivati. 4. Le attivita' di cui sopra possono essere effettuate anche a campione, purche' in misura quantitativamente proporzionata all'attivita' svolta, anche tramite l'eventuale ausilio di questionari qualora coinvolgano il cliente. 5. Nell'effettuare l'attivita' di controllo di qualita', i titolari del trattamento privilegiano l'utilizzo di metodologie non invasive per il personale predisposto all'attivita' di contatto, come ad esempio questionari di gradimento somministrati ai contraenti al termine della chiamata o misure che garantiscano il controllo tra liste affidate, numerazioni contattate e contratti attivati. 6. Il committente sviluppa i propri processi affinche' i contratti stipulati a seguito di attivita' di teleselling avvengano in presenza di un inequivocabile consenso al contatto originario, salvi i casi ricadenti nell'ambito di applicazione dell'art. 130, comma 3-bis del Codice. In sede di prima applicazione del presente Codice di condotta e ad esclusiva tutela dell'interessato, nel caso a seguito dei controlli emergano contratti per i quali risulti viziato il primo contatto, detti contratti possono continuare ad avere esecuzione purche' il committente informi l'interessato dell'origine viziata del contratto e che lo stesso interessato confermi la volonta' di volerlo mantenere, fatti salvi i casi residuali in cui il cliente non dia seguito a comprovati tentativi di contatto del committente. Il committente, con cadenza regolare, non inferiore a tre mesi, da definire nell'ambito dell'organismo di monitoraggio di cui al successivo art. 18, fornisce il numero di contratti in violazione rispetto al numero totale del campione controllato e/o in percentuale secondo tale procedura; tali dati sono trasmessi al Garante. Resta ferma l'applicabilita' dei poteri correttivi di cui all'art. 58 del regolamento, nonche' delle responsabilita' di cui agli articoli 82, 83 e 84 del regolamento. 7. Il contratto con l'affidatario del servizio deve espressamente prevedere un meccanismo sanzionatorio, sotto forma di penale e mancata corresponsione o annullamento della provvigione, per ogni contratto predisposto in assenza di un contatto legittimo. Tale ipotesi di misura sanzionatoria deve essere espressamente prevista anche laddove l'interessato confermi l'interesse al contratto ma risulti illegittimo il contatto effettuato dall'affidatario del servizio. Le penali imposte dovranno essere parametrate rispetto all'entita' delle provvigioni ed alla percentuale di contratti sottoposti a controllo in modo da essere dissuasive, ad esempio pari al triplo della provvigione prevista e non corrisposta o richiesta in ripetizione per ciascun contratto. Resta ferma la possibilita' del committente di risolvere il contratto, nonche' di prevedere altre tipologie di penali, ad esempio, importi percentuali rispetto alle commissioni previste. 8. I titolari del trattamento pongono altresi' in essere misure organizzative, contrattuali o tecnologiche efficaci nel garantire che gli affidatari delegati al trattamento cancellino le liste di contatto una volta esaurita la campagna delegata.   Art. 17. Fornitori plurimandatari 1. Ove le attivita' di telemarketing/teleselling con conclusione del contratto a distanza vengano effettuate per il tramite di fornitori plurimandatari, i titolari del trattamento garantiscono che tali soggetti, oltre a sottostare a tutte le prescrizioni previste per gli affidatari dei servizi nel presente Codice di condotta e ferma restando la propria autonomia imprenditoriale, effettuino i contatti adottando misure di separazione logiche degli ambienti di lavoro, affinche' il personale non possa gestire simultaneamente liste di contatti per piu' committenti in violazione delle istruzioni ricevute e in violazione del presente Codice di condotta. Al personale viene richiesto il possesso di requisiti di preparazione, opportunamente documentati tramite esito di formazione anche con riferimento al presente Codice di condotta.   Art. 18. Organismo di monitoraggio 1. Fatti salvi i compiti e i poteri del Garante di cui agli articoli 56 - 58 del regolamento, il rispetto del presente Codice di condotta da parte degli aderenti e' garantito da apposito organismo di monitoraggio (di seguito «OdM» o «Organismo», costituito e accreditato ai sensi dell'art. 41 del regolamento. 2. L'OdM e' esterno all'organizzazione delle associazioni promotrici ed e' composto da un numero di nove componenti, incluso il presidente. I componenti dell'OdM, selezionati tra soggetti in possesso di comprovata esperienza in materia di protezione dei dati personali, con particolare riguardo al settore del marketing, e nello svolgimento di compiti di vigilanza e controllo, nonche' di approfondita conoscenza dei mercati, delle filiere e delle categorie interessati dal presente Codice di condotta, sono individuati sulla base delle candidature presentate dalle associazioni promotrici. I componenti dell'OdM garantiscono e mantengono per l'intera durata dell'incarico i necessari requisiti di onorabilita', indipendenza, imparzialita' e competenza. L'incarico del presidente e dei componenti ha durata quinquennale, non rinnovabile. Con almeno tre mesi di anticipo rispetto alla scadenza del mandato dell'OdM, le associazioni promotrici provvederanno a richiedere l'accreditamento dell'organismo nella nuova composizione. 3. Al fine di garantire la piena indipendenza e imparzialita' dei componenti dell'OdM, evitando qualsiasi forma di interferenza, condizionamento o conflitto di interessi, l'organismo nel proprio complesso e i singoli componenti dello stesso, non devono subire alcuna ingerenza nell'esercizio delle proprie attivita' da parte degli aderenti al presente Codice di condotta. Nello svolgimento delle proprie funzioni di controllo, inoltre, l'OdM non sara' soggetto, in via diretta o indiretta, ad alcuna forma di controllo, vigilanza o potere gerarchico da parte degli aderenti e adottera' le proprie decisioni senza che alcuno di essi possa in alcun modo sindacarle. 4. Le attivita' dell'OdM, debitamente rendicontate, saranno finanziate da parte di ciascuno degli aderenti al presente Codice di condotta, mediante il pagamento di quote stabilite e annualmente aggiornate dall'OdM, previa consultazione degli aderenti, secondo criteri di economicita' ed efficienza, tenendo conto delle dimensioni e delle modalita' organizzative degli aderenti. 5. Spetta all'OdM: a) garantire il rispetto del presente Codice di condotta da parte degli aderenti, anche predisponendo tutte le verifiche ritenute opportune, ivi inclusi controlli, sia in remoto che presso la sede degli aderenti, i quali saranno tenuti a prestare la massima collaborazione ai fini del proficuo svolgimento di tali attivita'; b) fornire al Garante e agli aderenti resoconti riassuntivi periodici, con cadenza almeno annuale, relativi alle attivita' svolte, ivi inclusi i controlli e le verifiche effettuate; c) mettere a disposizione degli aderenti, con cadenza annuale, una rendicontazione economica inerente alle attivita' svolte, alle spese sostenute e agli emolumenti eventualmente elargiti; d) fornire periodicamente, con cadenza almeno annuale, al Garante, alle associazioni promotrici e agli aderenti informazioni sul funzionamento del presente Codice di condotta, specie quelle che evidenziano la necessita' di apportarvi modifiche. 6. L'OdM ha, altresi', facolta' di: a) proporre linee di indirizzo per la gestione e la risoluzione di contestazioni insorte tra aderenti ed interessati, e tra aderenti, esclusivamente relativa a violazioni e/o modalita' applicative del presente Codice di condotta; b) promuovere la costituzione di gruppi di lavoro tecnici per l'individuazione di soluzioni tecnologiche di supporto allo svolgimento delle attivita' di telemarketing e teleselling; c) promuovere uniforme interpretazione del presente Codice di condotta, adottando all'occorrenza apposite linee guida e/o suggerendo opportune best practice. 7. Tenuto conto del funzionamento del presente Codice di condotta e previa consultazione degli aderenti, l'OdM puo' adottare ogni iniziativa funzionale a garantire il rispetto del presente Codice di condotta, compresa la gestione dei reclami eventualmente insorti tra aderenti ed interessati, e tra aderenti, relativamente a violazioni e/o modalita' applicative del presente Codice di condotta. Resta in ogni caso salvo il diritto dell'interessato a presentare un reclamo al Garante e/o ad avviare procedure giudiziali di tutela dei propri diritti ai sensi degli articoli 77 e 79 del regolamento. 8. L'OdM adotta un regolamento interno che puo' disciplinare: a) le cause di cessazione dell'incarico del presidente e dei componenti; b) i tempi e le modalita' per reintegrare la composizione dell'OdM a nove membri nel caso di decadenza o cessazione della carica di uno o piu' componenti, per qualsiasi ragione, nel corso della naturale durata del mandato; c) i quorum deliberativi e costitutivi dell'OdM; d) la procedura per l'adesione al presente Codice di condotta, nonche' le cause di revoca o sospensione temporanea dell'adesione; e) il protocollo di collaborazione per lo svolgimento delle verifiche e dei controlli svolti dall'OdM; f) le procedure di conferimento incarichi a soggetti terzi. 9. A parziale deroga di quanto previsto al precedente comma 2, la durata del primo organismo di monitoraggio accreditato e' di tre anni, non rinnovabile.   Art. 19. Entrata in vigore e disposizioni transitorie e finali 1. Le disposizioni di cui al presente Codice di condotta si applicano ai suoi aderenti; questi ultimi sono tenuti a prevederne l'applicazione, compresi se del caso la vigilanza dell'OdM e il pagamento dei conseguenti oneri, per via negoziale nei rapporti con i fornitori o i committenti che non vi aderiscano. 2. L'adesione al presente Codice di condotta e' richiesta mediante istanza all'Organismo di monitoraggio che, entro quindici giorni dalla sua ricezione, comunica all'istante l'avvenuto inserimento nell'apposito elenco degli aderenti. 3. Il presente Codice di condotta e' approvato in data 21 luglio 2022 e viene sottoposto a procedura di consultazione pubblica. Il medesimo Codice di condotta verra' eventualmente rivisto in base agli esiti di detta consultazione e sottoposto all'approvazione del Collegio del Garante. 4. Il Codice di condotta eventualmente rivisto ai sensi del precedente comma entrera' in vigore, previo accreditamento dell'OdM, ai sensi dell'art. 41 del regolamento, quindici giorni dopo la sua pubblicazione nella Gazzetta ufficiale della Repubblica italiana. 5. Le misure necessarie per l'applicazione del presente Codice di condotta sono adottate dai soggetti aderenti entro il termine di sei mesi dall'entrata in vigore del Codice di condotta. 6. Le Associazioni promotrici possono promuovere il riesame e l'eventuale modifica dello stesso, anche alla luce di novita' normative, delle prassi applicative del regolamento, del progresso tecnologico o dell'esperienza acquisita nella sua applicazione, sottoponendo le proposte di modifica all'approvazione del Garante ai sensi dell'art. 40 del regolamento.