English version below *** In data 24 marzo 2023, a conclusione della procedura di consultazione pubblica, il Garante per la protezione dei dati personali (il “Garante” o l’”Autorità”) ha approvato il Codice di condotta per le attività di telemarketing e teleselling (il “Codice di Condotta”) promosso da associazioni di committenti, call center, teleseller, list provider e associazioni di consumatori e al quale hanno aderito i principali operatori del settore. Il Codice di Condotta è stato adottato in forza delle previsioni di cui all’art. 40 del Regolamento (UE) 2016/679 (“GDPR”) che prevede l'elaborazione di codici di condotta destinati a contribuire alla corretta applicazione della normativa, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle imprese. Si tratta, pertanto, di uno strumento di responsabilizzazione volontario volto a stabilire norme di protezione dei dati personali per specifiche attività di trattamento ovvero per specifici soggetti. In particolare, per assicurare il rispetto della normativa privacy “dal contatto al contratto” le società che aderiranno al Codice, si impegneranno a garantire il rispetto dei principi di liceità, proporzionalità, correttezza e trasparenza nei confronti degli interessati, adottando, in particolare, specifiche misure volte ad assicurare l’idonea informazione dell’utenza, l’adozione della corretta base giuridica del trattamento e l’esercizio dei diritti degli interessati al fine di garantire la correttezza e la legittimità dei trattamenti di dati svolti lungo tutta la “filiera” del telemarketing. L’adozione del Codice di Condotta è finalizzato a porre un freno alle condotte in contrasto con la normativa in materia di protezione dei dati personali e lesive dei diritti e delle libertà fondamentali e della dignità umana, tra cui il diritto alla tranquillità individuale delle persone, con l’obiettivo di stimolare parallelamente maggiore fiducia da parte di queste ultime rispetto alle attività promozionali veicolate telefonicamente. Con riferimento agli operatori, invece, l’adozione di regole uniformi è volto a prevedere pari condizioni di mercato e ad individuare misure e modalità di trattamento da attuare per garantire un’adeguata implementazione dei principi di cui all’art. 5 del GDPR. L’elaborazione del testo del Codice di Condotta ha tenuto conto sia delle evoluzioni tecnologiche che hanno caratterizzato negli anni lo svolgimento delle attività promozionali tramite il canale telefonico sia degli sviluppi normativi e delle numerose e consolidate pronunce del Garante in materia di telemarketing aggressivo[1]. Il Codice di Condotta entrerà in vigore una volta conclusa la fase di accreditamento dell’Organismo di Monitoraggio (“OdM”) – organismo indipendente chiamato a verificare l’osservanza del Codice di Condotta da parte degli aderenti e a gestire la risoluzione dei reclami – e 15 giorni dopo la sua pubblicazione in Gazzetta Ufficiale e si applicherà nei confronti dei soggetti che vi aderiranno. Il contenuto del Codice di Condotta Il Codice di Condotta regola i trattamenti di dati svolti lungo tutta la “filiera” del telemarketing, disciplinando tutte le fasi del trattamento: dalla raccolta del dato dell’interessato/contraente/utente con individuazione e formalizzazione della corretta base giuridica del trattamento (il consenso), nonché dei ruoli e degli obblighi delle parti coinvolte nella filiera, passando alla gestione di tali dati – nel rispetto di principi quali quello di privacy by design, privacy by default, minimizzazione e limitazione della conservazione dei dati personali – fino alla realizzazione del contatto telefonico o alla conclusione dei contratti a distanza con i clienti finali. Di seguito si riporta una breve panoramica delle disposizioni del Codice di Condotta. L’ambito di applicazione del Codice di Condotta è definito dall’art. 1 dello stesso e si estende ad attività di trattamento dei dati personali effettuati, da soggetti operanti in territorio italiano o estero, per promuovere e/o offrire beni o servizi, tramite il canale telefonico, a soggetti ubicati nel territorio italiano. La disciplina si applica limitatamente alle attività di telemarketing[2] e teleselling[3], mentre sono esclusi dall’ambito di applicazione: L’art. 4 del Codice di Condotta individua i ruoli privacy dei diversi soggetti coinvolti: L’articolo procede precisando che in caso di violazione delle norme poste a tutela dell’interessato nelle attività di telemarketing e teleselling, il committente e gli eventuali ulteriori soggetti responsabili della violazione rispondono in solido. Al fine di garantire la correttezza e la legittimità dei trattamenti dei dati personali svolti lungo tutta la “filiera” del telemarketing, il Codice di Condotta ha inserito diversi obblighi nei confronti delle società aderenti al Codice stesso. Le previsioni sono volte a disciplinare (i) gli obblighi rivolti direttamente al titolare (art. 5 del Codice di Condotta); (ii) i rapporti tra committente e list provider (art. 6 del Codice di Condotta); (iii) gli obblighi specifici per i fornitori che eseguono i contatti (art. 7 del Codice di Condotta); e (iv) gli obblighi comuni di tutti gli aderenti coinvolti (art. 8 del Codice di Condotta). In particolare, anche alla luce delle indicazioni fornite dall’art. 4 sopra richiamato, il Codice di Condotta prevede specifici obblighi in capo ai titolari in merito alla gestione dei ruoli privacy e dei controlli rispetto all’operato dei relativi responsabili, anche in un’ottica di accrescere l’accountability del titolare. Nello specifico, i titolari devono privilegiare, “nel rispetto della normativa sulla concorrenza”,coloro che aderiscono al Codice di Condotta, attuando le prescrizioni di cui all’art. 28 del GDPR e tenendo conto degli standard e delle best practices indicate dal Codice, tra cui, inter alia: Il Codice di Condotta prevede altresì che, in caso di selezione dei list provider,i committenti debbano adottare la massima diligenza e valutare la presenza di diversi elementi di garanzia tra cui, inter alia, (i) l’adozione di corrette modalità di acquisizione del consenso, anche tramite il rilascio di una informativa chiara e comprensibile e (ii) la reperibilità del fornitore e, in caso di soggetti extra-UE, la presenza di uno stabilimento nell’Unione Europea. Inoltre, anche i fornitori che mettono materialmente in atto la campagna promozionale, quali responsabili del trattamento, sono tenuti a diversi obblighi, quali, a titolo esemplificativo e non esaustivo, l’obbligo, per chiunque effettui attività di telemarketing/teleselling (inclusi contact center e agenzie), nonché per tutti i soggetti terzi affidatari di servizi di call center, di iscriversi al Registro degli operatori di comunicazione (“ROC”), di cui alla delibera n. 666/08/CONS dell’Autorità per le garanzie nelle comunicazioni, e di comunicare tutte le numerazioni telefoniche messe a disposizione del pubblico e utilizzate per i servizi di telemarketing e teleselling. Coloro che offrono servizi di call center o di teleselling e agiscono in qualità di responsabili del trattamento sono altresì tenuti ad: L’art. 7 del Codice di Condotta prevede, inoltre, che suddetti fornitori non possano contattare gli interessati nelle seguenti fasce orarie: I contatti possono essere effettuati anche in orari e giorni diversi, laddove siano stati espressamente concordati con l’interessato stesso. Gli aderenti al Codice di Condotta, inoltre, saranno tenuti, inter alia: Ancora, viene raccomandato ai titolari del trattamento (nonché ai soggetti scelti dai titolari, laddove offrano tipi di servizio relativi al teleselling e al telemarketing in via principale e continuativa) di nominare un Data Protection Officer (“DPO”), fermo restando quanto disciplinato dall’art. 37 del GDPR. La sezione III del Codice di Condotta prevede alcune garanzie nel trattamento dei dati e, in particolare, stabilisce che: Al fine di garantire la correttezza e la legittimità dei trattamenti svolti nella “filiera” del telemarketing, gli aderenti e i soggetti che operano per loro conto sono altresì tenuti a effettuare verifiche e controlli del corretto trattamento dell’intera filiera di soggetti coinvolti nell’attività di campagna promozionale, nonché ad adottare idonee misure tecniche e organizzative che garantiscano il rispetto della normativa applicabile. L’attività di accertamento del rispetto del Codice di Condotta spetterà, ai sensi dell’art. 18 del Codice di Condotta, all’OdM, il quale potrà predisporre tutte le verifiche ritenute opportune e adottare ogni iniziativa funzionale, ivi inclusa la gestione dei reclami eventualmente insorti tra aderenti e interessati e, tra aderenti, in merito a violazioni e/o modalità applicative del Codice stesso. In ogni caso, l’interessato potrà presentare reclamo al Garante e/o avviare procedure giudiziali a tutela dei propri diritti. Conclusioni Il Codice di Condotta introduce diverse disposizioni volte a contrastare le attività promozionali tramite telemarketing e teleselling aventi il carattere dell’illegalità, poiché poste in essere in maniera difforme rispetto alla disciplina applicabile. Oltre a specifiche connesse al trattamento dei dati personali, con il Codice di Condotta vengono altresì introdotte alcune disposizioni volte a contrastare il fenomeno dei call center “abusivi”. Sul punto, infatti, il Codice, oltre a prevedere specifici obblighi (ad es. adozione di misure tecniche e organizzative adeguate e obbligo di specificare il call center dal quale si chiama e se lo stesso si trova ubicato in un Paese extra-UE), stabilisce che nei contratti tra committente e affidatario del servizio si debba espressamente prevedere un meccanismo sanzionatorio, sotto forma di penale, e la mancata corresponsione o annullamento della provvigione per ogni vendita di servizi realizzata in assenza di un contatto legittimo. Alla luce di quanto sopra, in un mondo in cui lo svolgimento delle attività promozionali tramite canale telefonico risulta sempre più frequente e oggetto non solo di evoluzioni tecnologiche, ma anche normative, risulterà, pertanto, necessario considerare anche questo ulteriore tassello, posto che il Codice di Condotta parrebbe essere volto ad assicurare il rispetto della protezione dei dati personali degli utenti “dal contatto al contratto” ed a tutelare gli stessi dal “telemarketing selvaggio”. Ad ogni modo, si rimane in attesa, oltre che della pubblicazione in Gazzetta Ufficiale, di vedere se il Garante considererà quanto previsto dal Codice di Condotta la regola da seguire in caso di attività di telemarketing. *** [English version] The new Code of Conduct for telemarketing and teleselling activities On March 24, 2023, at the conclusion of the public consultation process, the Italian Data Protection Authority (the “Italian DPA”) approved the Code of Conduct for telemarketing and teleselling activities (the “Code of Conduct”), promoted by associations of clients, call centers, telesale representatives, list providers, and consumer associations, and joined by the main operators in the sector. The Code of Conduct was adopted in accordance with the provisions of Article 40 of the Regulation (EU) 2016/679 (“GDPR”), which envisages the elaboration of codes of conduct aimed at contributing to the correct application of the legislation, taking into account the specificities of various processing sectors and the specific needs of businesses. Therefore, it is a voluntary accountability tool aimed at establishing rules for the protection of personal data for specific processing activities or specific subjects. In particular, to ensure compliance with privacy regulations “from contact to contract”, companies adhering to the Code of Conduct will commit to respecting the principles of lawfulness, proportionality, fairness, and transparency towards data subjects. This will involve adopting specific measures to ensure adequate information for users, the correct legal basis for processing, and the exercise of the rights of data subjects to ensure the fairness and legitimacy of data processing throughout the telemarketing “supply chain”. The adoption of the Code of Conduct aims to curb behaviors that contrast with the legislation on the protection of personal data and detrimental to fundamental rights and freedoms and human dignity, including the right to individual serenity. The goal is to stimulate greater trust on the part of individuals concerning telephone-based promotional activities. As for operators, the adoption of uniform rules aims to ensure equal market conditions and to identify measures and processing methods to guarantee proper implementation of the principles laid out in Article 5 of the GDPR. The drafting of the Code of Conduct took into account both technological developments that have characterized promotional activities through the telephone channel over the years and the legislative developments and numerous and established orders by the Italian DPA regarding aggressive telemarketing[10]. The Code of Conduct will come into effect once the accreditation phase of the Monitoring Body (the “OdM”) is concluded. The OdM is an independent body responsible for verifying compliance with the Code of Conduct by adherents and managing complaint resolutions. The Code of Conduct will take effect 15 days after its publication in the Italian Official Gazette and will apply to the subjects who adhere to it. The content of the Code of Conduct The Code of Conduct regulates the processing of data carried out throughout the telemarketing “supply chain”, governing all stages of the process: from the collection of data from the data subject/contractor/user, with the identification and formalization of the correct legal basis for processing (the consent), as well as the roles and obligations of the parties involved in the chain, to the management of such data – in compliance with the principles such as privacy by design, privacy by default, minimization, and limitation of the retention of personal data – up to the actual phone contact or conclusion of distance contracts with end customers. Here below a brief overview of the provisions of the Code of Conduct. The scope of application of the Code of Conduct is defined in Article 1 and extends to the processing of personal data carried out by entities operating in Italy or abroad to promote and/or offer goods or services, through the telephone channel, to individuals located in Italy. The Code of Conduct applies only to telemarketing activities[11] and teleselling[12], while the following are excluded from its scope: Article 4 of the Code of Conduct identifies the privacy roles of the different involved parties: The article proceeds to specify that in case of violation of the rules protecting data subjects in telemarketing and teleselling activities, the client and any other parties responsible for the violation are jointly liable. To ensure the fairness and legitimacy of the processing of personal data carried out throughout the telemarketing “supply chain”, the Code of Conduct includes several obligations for the companies adhering to the Code. The provisions aim to regulate (i) the obligations directly addressed to the data controller (Article 5 of the Code of Conduct); (ii) the relationships between the client and list providers (Article 6 of the Code of Conduct); (iii) specific obligations for service providers executing contacts (Article 7 of the Code of Conduct); and (iv) common obligations for all involved adherents (Article 8 of the Code of Conduct). In particular, considering the indications provided in Article 4 mentioned above, the Code of Conduct imposes specific obligations on data controllers regarding the management of privacy roles and controls related to the actions of their data processors, with the aim of increasing the accountability of the data controller. Specifically, data controllers must prioritize, in compliance with the Italian competition law, those who adhere to the Code of Conduct, implementing the provisions of Article 28 of the GDPR and considering the standards and best practices indicated in the Code, including, among others: The Code of Conduct also stipulates that, in the selection of list providers, clients must exercise the utmost diligence and consider various assurance elements, including, among others: (i) the adoption of appropriate consent acquisition methods, providing clear and understandable information, and (ii) the availability of the provider, and in the case of non-EU entities, the presence of an establishment in the European Union. Furthermore, the service providers who physically execute the promotional campaign, acting as data processors, have various obligations, such as, for example, the obligation for anyone conducting telemarketing/teleselling activities (including contact centers and agencies), as well as for all third-party entities entrusted with call center services, to register in the Italian Registry of Communications Operators Communication (also known, in Italian, as “ROC”), as per the Authority for Communications Guarantees’ deliberation no. 666/08/CONS (available here, only in Italian), and to report all telephone numbers made available to the public and used for telemarketing and teleselling services. Service providers acting as data processors are also required to: Furthermore, Article 7 of the Code of Conduct specifies that the aforementioned providers cannot contact data subjects during the following time slots: Contacts can be made at different times and days only if expressly agreed upon with the data subjects. Additionally, adherents to the Code of Conduct will also be required to, among other things: Furthermore, it is recommended for data controllers (and those chosen by data controllers, if they primarily and continuously offer teleselling and telemarketing-related services) to appoint a Data Protection Officer (“DPO”), subject to what is regulated by Article 37 of the GDPR. Section III of the Code of Conduct provides certain guarantees in data processing, and in particular, it establishes that: To ensure the fairness and legitimacy of the processing carried out in the telemarketing “supply chain”, adherents and the entities acting on their behalf are also required to carry out checks and controls on the correct processing by all parties involved in the promotional campaign activity. They must also adopt appropriate technical and organizational measures to ensure compliance with applicable regulations. The verification of compliance with the Code of Conduct shall be carried out, as stated in Article 18 of the Code of Conduct, by the OdM, which may conduct all necessary verifications and take any functional initiatives, including managing complaints that may arise between adherents and data subjects or between adherents concerning violations and/or application of the Code itself. In any case, data subjects have the right to lodge complaints to the Italian DPA and/or initiate legal proceedings to protect their rights. Conclusions The Code of Conduct introduces several provisions aimed at countering promotional activities through telemarketing and teleselling that may be illegal, as they are carried out in violation to the applicable regulations. In addition to specific provisions related to the processing of personal data, the Code of Conduct also introduces measures to address the issue of “abusive” call centers. In this regard, the Code of Conduct not only establishes specific obligations (e.g., adopting appropriate technical and organizational measures and the requirement to specify the calling call center and whether it is located in a non-EU country) but also stipulates that contracts between the client and the service provider must expressly include a sanctioning mechanism, in the form of penalties, and the non-payment or cancellation of commission for each service sale made without a legitimate contact. On the light of the above, with the increasing prevalence of promotional activities through the telephone channel in a world characterized not only by technological advancements but also regulatory changes, it will be necessary to take into account this additional aspect. The Code of Conduct seems to aim at ensuring the protection of users’ personal data “from contact to contract” and safeguarding them from unwanted telemarketing activities. However, we must await not only its publication in the Italian Official Gazette but also see if the Italian DPA will consider the provisions of the Code of Conduct as the standard to follow in the case of telemarketing activities. [1] Tra le più recenti, si può segnalare il Provvedimento del 15 dicembre 2022 nei confronti di Edison Energia S.p.A.. [2] Per “telemarketing” si intendono tutte le attività di contatto telefonico con operatore effettuate per finalità promozionale attraverso chiamate dirette a numerazioni fisse e mobili nazionali (art. 2, co. 1, lett. a) del Codice di Condotta). [3] Per “teleselling” si intendono tutte le attività di contatto telefonico con operatore effettuate per finalità di vendita diretta attraverso chiamate destinate a numerazioni fisse e mobili nazionali (art. 2, co. 1, lett. b) del Codice di Condotta). [4] Per “digital advertising” si intende qualsiasi forma pagata di presentazione e promozione non personale di idee, beni e servizi a scopo informativo o commerciale, attraverso tecnologie digitali/internet come applicazioni, siti web, piattaforme online, testate e pubblicazioni online, messaggistica, chat, social network e similari, da parte di un committente identificato (art. 2, co. 1, lett. t) del Codice di Condotta). [5] I liberi professionisti, così come le ditte individuali ex art. 2563 c.c., sono equiparati agli interessati, secondo quanto definito dal GDPR. [6] Per “list provider” o “editore” si intende il soggetto che, anche in via non principale rispetto alla propria attività, operando in qualità di titolare del trattamento, procede, in virtù del consenso degli interessati, alla comunicazione dei dati personali, autonomamente raccolti, a soggetti terzi per finalità di teleselling e telemarketing (art. 2, co. 1, lett. g) del Codice di Condotta). [7] Per “call center/teleseller” si intendono tutti gli operatori economici che, operando in qualità di responsabili del trattamento dei committenti, sviluppano contatti telefonici per finalità di promozione della conclusione di contratti di vendita/locazione/abbonamento per servizi/prodotti o di richiesta di incontri al medesimo fine (art. 2, co. 1, lett. h) del Codice di Condotta). [8] Il committente è il soggetto che, operando in qualità di titolare del trattamento, incarica terzi, ad esempio call center, teleseller e agenzie, per lo svolgimento di contatti commerciali telefonici per finalità di teleselling e telemarketing (art. 2, co. 2, lett. f) del Codice di Condotta). [9] Sono dati di categoria particolare i dati che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona. [10] Among the most recent, it is worth mentioning the Order by the Italian DPA of December 15, 2022, against Edison Energia S.p.A. (available here, only in Italian). [11] “Telemarketing” refers to all activities of direct operator-initiated telephone contact conducted for promotional purposes through direct calls to national fixed and mobile numbers (Article 2, paragraph 1, letter a), of the Code of Conduct). [12] “Teleselling” refers to all activities of direct operator-initiated telephone contact conducted for direct selling purposes through calls to national fixed and mobile numbers (Article 2, paragraph 1, letter b), of the Code of Conduct). [13] “Digital advertising” refers to any paid form of non-personal presentation and promotion of ideas, goods, and services for informational or commercial purposes, through digital/internet technologies such as applications, websites, online platforms, publications, messaging, chat, social networks, and similar channels, by an identified client (Article 2, paragraph 1, letter t), of the Code of Conduct). [14] Self-employed professionals, as well as individual businesses, under Article 2563 of the Italian Civil Code, are considered data subjects, as defined by the GDPR. [15] “List provider” or “publisher” refers to the entity that, even if not primarily engaged in such activity, acts as the data controller and, based on the consent of the data subjects, communicates autonomously collected personal data to third parties for teleselling and telemarketing purposes (Article 2, paragraph 1, letter g), of the Code of Conduct). [16] “Call center/telesale representatives” includes all economic operators who, acting as data processors on behalf of the clients, engage in telephone contacts for the promotion of contracts for sale/lease/subscription of services/products or for arranging meetings for the same purpose (Article 2, paragraph 1, letter h), of the Code of Conduct). [17] The client is the entity that, acting as the data controller, engages third parties, such as call centers, telesale representatives, and agencies, for the conduct of telephone commercial contacts for teleselling and telemarketing purposes (Article 2, paragraph 2, letter f), of the Code of Conduct). [18] Special categories data include data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation.