Il nuovo Codice di Condotta per le attività di telemarketing e teleselling [ENG: The new Code of Conduct for telemarketing and teleselling activities]

English version below

***

In data 24 marzo 2023, a conclusione della procedura di consultazione pubblica, il Garante per la protezione dei dati personali (il “Garante” o l’”Autorità”) ha approvato il Codice di condotta per le attività di telemarketing e teleselling (il “Codice di Condotta”) promosso da associazioni di committenti, call center, teleseller, list provider e associazioni di consumatori e al quale hanno aderito i principali operatori del settore.

Il Codice di Condotta è stato adottato in forza delle previsioni di cui all’art. 40 del Regolamento (UE) 2016/679 (“GDPR”) che prevede l'elaborazione di codici di condotta destinati a contribuire alla corretta applicazione della normativa, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle imprese. Si tratta, pertanto, di uno strumento di responsabilizzazione volontario volto a stabilire norme di protezione dei dati personali per specifiche attività di trattamento ovvero per specifici soggetti.

In particolare, per assicurare il rispetto della normativa privacy “dal contatto al contratto” le società che aderiranno al Codice, si impegneranno a garantire il rispetto dei principi di liceità, proporzionalità, correttezza e trasparenza nei confronti degli interessati, adottando, in particolare, specifiche misure volte ad assicurare l’idonea informazione dell’utenza, l’adozione della corretta base giuridica del trattamento e l’esercizio dei diritti degli interessati al fine di garantire la correttezza e la legittimità dei trattamenti di dati svolti lungo tutta la “filiera” del telemarketing.

L’adozione del Codice di Condotta è finalizzato a porre un freno alle condotte in contrasto con la normativa in materia di protezione dei dati personali e lesive dei diritti e delle libertà fondamentali e della dignità umana, tra cui il diritto alla tranquillità individuale delle persone, con l’obiettivo di stimolare parallelamente maggiore fiducia da parte di queste ultime rispetto alle attività promozionali veicolate telefonicamente. Con riferimento agli operatori, invece, l’adozione di regole uniformi è volto a prevedere pari condizioni di mercato e ad individuare misure e modalità di trattamento da attuare per garantire un’adeguata implementazione dei principi di cui all’art. 5 del GDPR.

L’elaborazione del testo del Codice di Condotta ha tenuto conto sia delle evoluzioni tecnologiche che hanno caratterizzato negli anni lo svolgimento delle attività promozionali tramite il canale telefonico sia degli sviluppi normativi e delle numerose e consolidate pronunce del Garante in materia di telemarketing aggressivo[1].

Il Codice di Condotta entrerà in vigore una volta conclusa la fase di accreditamento dell’Organismo di Monitoraggio (“OdM”) – organismo indipendente chiamato a verificare l’osservanza del Codice di Condotta da parte degli aderenti e a gestire la risoluzione dei reclami – e 15 giorni dopo la sua pubblicazione in Gazzetta Ufficiale e si applicherà nei confronti dei soggetti che vi aderiranno.

Il contenuto del Codice di Condotta

Il Codice di Condotta regola i trattamenti di dati svolti lungo tutta la “filiera” del telemarketing, disciplinando tutte le fasi del trattamento: dalla raccolta del dato dell’interessato/contraente/utente con individuazione e formalizzazione della corretta base giuridica del trattamento (il consenso), nonché dei ruoli e degli obblighi delle parti coinvolte nella filiera, passando alla gestione di tali dati – nel rispetto di principi quali quello di privacy by design, privacy by default, minimizzazione e limitazione della conservazione dei dati personali – fino alla realizzazione del contatto telefonico o alla conclusione dei contratti a distanza con i clienti finali.

Di seguito si riporta una breve panoramica delle disposizioni del Codice di Condotta.

• Ambito di applicazione

L’ambito di applicazione del Codice di Condotta è definito dall’art. 1 dello stesso e si estende ad attività di trattamento dei dati personali effettuati, da soggetti operanti in territorio italiano o estero, per promuovere e/o offrire beni o servizi, tramite il canale telefonico, a soggetti ubicati nel territorio italiano.

La disciplina si applica limitatamente alle attività di telemarketing[2] e teleselling[3], mentre sono esclusi dall’ambito di applicazione:

1. le promozioni in-app e il digital advertising[4];
2. i contatti telefonici con finalità esclusivamente limitata alla rilevazione del grado di soddisfazione della clientela, a sondaggi e/o ricerche di mercato senza alcuna finalità commerciale;
3. tutte le modalità di contatto sviluppate tramite canali diversi da quello telefonico quale, ad esempio, il canale SMS; nonché,
4. le attività di contatto e le altre attività a ciò connesse dirette verso soggetti diversi da persone fisiche, liberi professionisti e imprese individuali[5], ferme restando le tutele di cui al Titolo X del Codice di Condotta.

• Ruoli e responsabilità

L’art. 4 del Codice di Condotta individua i ruoli privacy dei diversi soggetti coinvolti:

1. il soggetto che esegue direttamente o commissiona l’effettuazione tramite il canale telefonico di campagne di telemarketing e teleselling agisce in qualità di titolare del trattamento, a prescindere dalla fonte di provenienza dei dati e indipendentemente dal materiale accesso agli stessi. Tale soggetto decide le modalità secondo le quali sono svolti i processi operativi che interessano tutte le fasi del trattamento;
2. in caso di più soggetti che determinano congiuntamente almeno le finalità e svolgono o delegano lo svolgimento di comunicazioni commerciali aventi ad oggetto prodotti o servizi propri o di terzi, sia con modalità tradizionali, che automatizzate, si è in presenza di contitolari del trattamento. I contitolari del trattamento devono stipulare un contratto, ai sensi dell’art. 26 del GDPR, ed i contenuti essenziali di tale accordo devono essere messi a disposizione degli interessati;
3. i list provider[6], quando acquisiscono autonomamente, nell’ambito di un trattamento antecedente e del tutto indipendente da quello legato all’esecuzione delle comunicazioni commerciali, i dati personali al fine di creare liste da cedere ad altri soggetti, agiscono in qualità di titolari del trattamento;
4. i fornitori di servizi incaricati di svolgere uno o più trattamenti connessi all’esecuzione di campagne di telemarketing e teleselling, o anche di reperire dati dai list provider, operano in qualità di responsabili del trattamento, in virtù di un contratto, o altro atto giuridicamente vincolante ai sensi di legge, che includa tutti gli elementi e disciplini tutti i profili di cui all’art. 28 del GDPR. Anche i call center/teleseller[7] e le agenzie incaricate dai committenti[8] dei contatti telefonici ricadono in tale categoria.

L’articolo procede precisando che in caso di violazione delle norme poste a tutela dell’interessato nelle attività di telemarketing e teleselling, il committente e gli eventuali ulteriori soggetti responsabili della violazione rispondono in solido.

• Obblighi delle parti

Al fine di garantire la correttezza e la legittimità dei trattamenti dei dati personali svolti lungo tutta la “filiera” del telemarketing, il Codice di Condotta ha inserito diversi obblighi nei confronti delle società aderenti al Codice stesso. Le previsioni sono volte a disciplinare (i) gli obblighi rivolti direttamente al titolare (art. 5 del Codice di Condotta); (ii) i rapporti tra committente e list provider (art. 6 del Codice di Condotta); (iii) gli obblighi specifici per i fornitori che eseguono i contatti (art. 7 del Codice di Condotta); e (iv) gli obblighi comuni di tutti gli aderenti coinvolti (art. 8 del Codice di Condotta).

In particolare, anche alla luce delle indicazioni fornite dall’art. 4 sopra richiamato, il Codice di Condotta prevede specifici obblighi in capo ai titolari in merito alla gestione dei ruoli privacy e dei controlli rispetto all’operato dei relativi responsabili, anche in un’ottica di accrescere l’accountability del titolare.

Nello specifico, i titolari devono privilegiare, “nel rispetto della normativa sulla concorrenza”,coloro che aderiscono al Codice di Condotta, attuando le prescrizioni di cui all’art. 28 del GDPR e tenendo conto degli standard e delle best practices indicate dal Codice, tra cui, inter alia:

1. l’adozione di una procedura di prequalifica del fornitore volta a valutare che vengano assicurati gli standard adeguati previsti dal Codice di Condotta e che venga consentita la raccolta di informazioni e la selezione del partner anche sulla base di modelli di organizzazione, gestione e controllo o comunque, di standard adeguati di compliance;
2. l’adozione, da parte del titolare – o da parte dei responsabili del trattamento, in caso di affidamento di trattamenti o parti di essi – di misure tecniche e organizzative, tra cui la specifica formazione degli operatori e l’adozione di procedure ad hoc, finalizzate a gestire in modo efficace e tempestivo le istanze di esercizio dei diritti degli interessati, nel pieno rispetto degli obblighi e delle tempistiche previste dal GDPR, nonché a gestire i data breach;
3. in caso di acquisizione di una lista di contatti formata da un list provider,la verifica da parte del committente, tramite confronto con la propria black list, dell’assenza di soggetti che abbiano già esercitato, rispetto alla lista dei contatti stessa, il diritto di opposizione o abbiano revocato il consenso;prima dell’avvio di una campagna di telemarketing o teleselling, la consultazione del registro pubblico delle opposizioni (“RPO”) e l’aggiornamento delle proprie liste sulla base degli esiti di tale verifica, tenendone traccia (per maggiori approfondimenti sul registro pubblico delle opposizioni si rimanda ad un nostro precedente contributo, disponibile qui);
4. l’adozione, da parte del titolare – o da parte dei responsabili del trattamento, in caso di affidamento di trattamenti o parti di essi – di piani di formazione per il personale con cadenza almeno annuale.

Il Codice di Condotta prevede altresì che, in caso di selezione dei list provider,i committenti debbano adottare la massima diligenza e valutare la presenza di diversi elementi di garanzia tra cui, inter alia, (i) l’adozione di corrette modalità di acquisizione del consenso, anche tramite il rilascio di una informativa chiara e comprensibile e (ii) la reperibilità del fornitore e, in caso di soggetti extra-UE, la presenza di uno stabilimento nell’Unione Europea.

Inoltre, anche i fornitori che mettono materialmente in atto la campagna promozionale, quali responsabili del trattamento, sono tenuti a diversi obblighi, quali, a titolo esemplificativo e non esaustivo, l’obbligo, per chiunque effettui attività di telemarketing/teleselling (inclusi contact center e agenzie), nonché per tutti i soggetti terzi affidatari di servizi di call center, di iscriversi al Registro degli operatori di comunicazione (“ROC”), di cui alla delibera n. 666/08/CONS dell’Autorità per le garanzie nelle comunicazioni, e di comunicare tutte le numerazioni telefoniche messe a disposizione del pubblico e utilizzate per i servizi di telemarketing e teleselling.

Coloro che offrono servizi di call center o di teleselling e agiscono in qualità di responsabili del trattamento sono altresì tenuti ad:

1. adottare misure tecniche e organizzative, anche contrattuali, idonee a verificare e assicurare l’adempimento, da parte dei soggetti autorizzati ai sensi dell’art. 29 del GDPR e dell’art. 2-quaterdecies del D.lgs. 196/2003 così come modificato dal D.lgs. 101/2018 (il “Codice Privacy”), delle istruzioni impartite;
2. utilizzare esclusivamente numerazioni richiamabili o identificabili e a rifiutare incarichi da committenti che non prevedano un obbligo espresso di utilizzo, in caso di contatti commerciali outbound, unicamente di tali numerazioni;
3. fornire ai committenti che hanno richiesto il servizio, entro 15 giorni dalla conclusione della campagna promozionale, un report che contenga specifiche informazioni (ad es. numero di telefonate effettuate su base giornaliera, numero di persone contattate che hanno dichiarato di non essere interessate; dati dei soggetti che hanno esercitato i propri diritti in qualità di interessati).

L’art. 7 del Codice di Condotta prevede, inoltre, che suddetti fornitori non possano contattare gli interessati nelle seguenti fasce orarie:

1. prima delle 9.00 e dopo le 20.00 dal lunedì al venerdì;
2. prima delle 10.00 e dopo le 19.00 il sabato o i giorni prefestivi;
3. la domenica o i giorni festivi.

I contatti possono essere effettuati anche in orari e giorni diversi, laddove siano stati espressamente concordati con l’interessato stesso.

Gli aderenti al Codice di Condotta, inoltre, saranno tenuti, inter alia:

1. nel rispetto dell’art. 35 del GDPR, ad effettuare una valutazione dell’impatto nel caso in cui svolgano trattamenti automatizzati, compresa la profilazione, i quali comportano un’analisi sistematica e globale di aspetti personali relativi agli interessati e dalla quale derivino decisioni in grado di produrre effetti giuridici o comunque incidere in modo significato su questi ultimi;
2. adottare procedure e misure tecniche e organizzative, anche di carattere contrattuale, idonee a garantire il tracciamento in maniera trasparente dell’intera filiera di contatto, nonché ad agevolare le varie attività di controllo da parte di organismi o Autorità competenti, oltre ad audit interni.

Ancora, viene raccomandato ai titolari del trattamento (nonché ai soggetti scelti dai titolari, laddove offrano tipi di servizio relativi al teleselling e al telemarketing in via principale e continuativa) di nominare un Data Protection Officer (“DPO”), fermo restando quanto disciplinato dall’art. 37 del GDPR.

• Garanzie nel trattamento

La sezione III del Codice di Condotta prevede alcune garanzie nel trattamento dei dati e, in particolare, stabilisce che:

1. i dati relativi a condanne penali e reati non possano essere trattati per finalità promozionali, posto il divieto di cui all’art. 10 del GDPR;
2. i dati di categoria particolare di cui all’art. 9 del GDPR[9], possono essere utilizzati per finalità promozionale solo nel caso in cui siano stati raccolti nell’ambito di specifici rapporti contrattuali in essere con gli interessati e il trattamento, esclusa la profilazione, sia basato sull’esplicito e specifico consenso dell’interessato;
3. il fornitore, in assenza di esplicita richiesta da parte dell’interessato della chiamata o la richiamata, possa chiamare per finalità di telemarketing o teleselling le utenze telefoniche che non sono presenti negli elenchi telefonici pubblici per le quali risulti presente un idoneo consenso e le utenze telefoniche presenti negli elenchi telefonici pubblici che non siano iscritte al RPO;
4. a seguito della risposta alla chiamata, dopo aver indicato il call center dal quale si chiama e il committente della chiamata, si debba specificare se la chiamata arriva da un call center sito in un Paese extra-UE;
5. durante il contatto debba essere fornita all’interessato un’informativa in forma semplificata che indichi necessariamente determinati elementi (i.e. le generalità del titolare, la base giuridica applicabile al trattamento e la fonte da cui sono stati raccolti i dati);
6. il chiamante debba indicare, laddove richiesto, le generalità dell’eventuale responsabile, le finalità e le modalità del trattamento, nonché un recapito presso il quale poter esercitare, in forma agevole e gratuita, i diritti degli interessati;
7. il consenso per finalità di telemarketing e teleselling debba essere raccolto secondo specifiche indicazioni;
8. la trasmissione di dati personali a terzi, per lo svolgimento di proprie campagne promozionali, sia lecita solo in presenza di un idoneo consenso dell’interessato per questa specifica finalità.

Al fine di garantire la correttezza e la legittimità dei trattamenti svolti nella “filiera” del telemarketing, gli aderenti e i soggetti che operano per loro conto sono altresì tenuti a effettuare verifiche e controlli del corretto trattamento dell’intera filiera di soggetti coinvolti nell’attività di campagna promozionale, nonché ad adottare idonee misure tecniche e organizzative che garantiscano il rispetto della normativa applicabile.

L’attività di accertamento del rispetto del Codice di Condotta spetterà, ai sensi dell’art. 18 del Codice di Condotta, all’OdM, il quale potrà predisporre tutte le verifiche ritenute opportune e adottare ogni iniziativa funzionale, ivi inclusa la gestione dei reclami eventualmente insorti tra aderenti e interessati e, tra aderenti, in merito a violazioni e/o modalità applicative del Codice stesso. In ogni caso, l’interessato potrà presentare reclamo al Garante e/o avviare procedure giudiziali a tutela dei propri diritti.

Conclusioni

Il Codice di Condotta introduce diverse disposizioni volte a contrastare le attività promozionali tramite telemarketing e teleselling aventi il carattere dell’illegalità, poiché poste in essere in maniera difforme rispetto alla disciplina applicabile.

Oltre a specifiche connesse al trattamento dei dati personali, con il Codice di Condotta vengono altresì introdotte alcune disposizioni volte a contrastare il fenomeno dei call center “abusivi”.

Sul punto, infatti, il Codice, oltre a prevedere specifici obblighi (ad es. adozione di misure tecniche e organizzative adeguate e obbligo di specificare il call center dal quale si chiama e se lo stesso si trova ubicato in un Paese extra-UE), stabilisce che nei contratti tra committente e affidatario del servizio si debba espressamente prevedere un meccanismo sanzionatorio, sotto forma di penale, e la mancata corresponsione o annullamento della provvigione per ogni vendita di servizi realizzata in assenza di un contatto legittimo.

Alla luce di quanto sopra, in un mondo in cui lo svolgimento delle attività promozionali tramite canale telefonico risulta sempre più frequente e oggetto non solo di evoluzioni tecnologiche, ma anche normative, risulterà, pertanto, necessario considerare anche questo ulteriore tassello, posto che il Codice di Condotta parrebbe essere volto ad assicurare il rispetto della protezione dei dati personali degli utenti “dal contatto al contratto” ed a tutelare gli stessi dal  “telemarketing selvaggio”.

Ad ogni modo, si rimane in attesa, oltre che della pubblicazione in Gazzetta Ufficiale, di vedere se il Garante considererà quanto previsto dal Codice di Condotta la regola da seguire in caso di attività di telemarketing.

***

[English version]

The new Code of Conduct for telemarketing and teleselling activities

On March 24, 2023, at the conclusion of the public consultation process, the Italian Data Protection Authority (the “Italian DPA”) approved the Code of Conduct for telemarketing and teleselling activities (the “Code of Conduct”), promoted by associations of clients, call centers, telesale representatives, list providers, and consumer associations, and joined by the main operators in the sector.

The Code of Conduct was adopted in accordance with the provisions of Article 40 of the Regulation (EU) 2016/679 (“GDPR”), which envisages the elaboration of codes of conduct aimed at contributing to the correct application of the legislation, taking into account the specificities of various processing sectors and the specific needs of businesses. Therefore, it is a voluntary accountability tool aimed at establishing rules for the protection of personal data for specific processing activities or specific subjects.

In particular, to ensure compliance with privacy regulations “from contact to contract”, companies adhering to the Code of Conduct will commit to respecting the principles of lawfulness, proportionality, fairness, and transparency towards data subjects. This will involve adopting specific measures to ensure adequate information for users, the correct legal basis for processing, and the exercise of the rights of data subjects to ensure the fairness and legitimacy of data processing throughout the telemarketing “supply chain”.

The adoption of the Code of Conduct aims to curb behaviors that contrast with the legislation on the protection of personal data and detrimental to fundamental rights and freedoms and human dignity, including the right to individual serenity. The goal is to stimulate greater trust on the part of individuals concerning telephone-based promotional activities. As for operators, the adoption of uniform rules aims to ensure equal market conditions and to identify measures and processing methods to guarantee proper implementation of the principles laid out in Article 5 of the GDPR.

The drafting of the Code of Conduct took into account both technological developments that have characterized promotional activities through the telephone channel over the years and the legislative developments and numerous and established orders by the Italian DPA regarding aggressive telemarketing[10].

The Code of Conduct will come into effect once the accreditation phase of the Monitoring Body (the “OdM”) is concluded. The OdM is an independent body responsible for verifying compliance with the Code of Conduct by adherents and managing complaint resolutions. The Code of Conduct will take effect 15 days after its publication in the Italian Official Gazette and will apply to the subjects who adhere to it.

The content of the Code of Conduct

The Code of Conduct regulates the processing of data carried out throughout the telemarketing “supply chain”, governing all stages of the process: from the collection of data from the data subject/contractor/user, with the identification and formalization of the correct legal basis for processing (the consent), as well as the roles and obligations of the parties involved in the chain, to the management of such data – in compliance with the principles such as privacy by design, privacy by default, minimization, and limitation of the retention of personal data – up to the actual phone contact or conclusion of distance contracts with end customers.

Here below a brief overview of the provisions of the Code of Conduct.

• Scope of application

The scope of application of the Code of Conduct is defined in Article 1 and extends to the processing of personal data carried out by entities operating in Italy or abroad to promote and/or offer goods or services, through the telephone channel, to individuals located in Italy.

The Code of Conduct applies only to telemarketing activities[11] and teleselling[12], while the following are excluded from its scope:

1. in-app promotions and digital advertising[13];
2. telephone contacts solely aimed at assessing customer satisfaction, surveys, and/or market research without any commercial purpose;
3. all contact methods developed through channels other than the telephone, such as message channels; and,
4. contact activities and other related activities directed at entities other than natural persons, self-employed professionals, and individual businesses[14], with the protections of Title X of the Code of Conduct still applicable.

• Roles and responsibilities

Article 4 of the Code of Conduct identifies the privacy roles of the different involved parties:

1. the entity directly carrying out or commissioning campaigns of telemarketing and teleselling through the telephone channel acts as the data controller, regardless of the source of the data and regardless of the material accessed. This entity decides the methods by which all stages of the processing are carried out;
2. in cases where multiple entities jointly determine the purposes and carry out or delegate the execution of commercial communications related to their own or third-party products or services, through traditional or automated methods, they are considered joint data controllers. Joint data controllers must enter into an agreement, in accordance with Article 26 of the GDPR, and the essential content of this agreement must be made available to data subjects;
3. list providers[15], when autonomously acquiring personal data in a processing separate and entirely independent from that related to the execution of commercial communications, for the purpose of creating lists to be provided to other entities, act as data controllers;
4. service providers responsible for carrying out one or more treatments related to telemarketing and teleselling campaigns, or even retrieving data from list providers, act as data processors under a contract or other legally binding act in accordance with the provisions of Article 28 of the GDPR. Call centers/telesale representatives[16] and agencies appointed by clients[17] for telephone contacts also fall under this category.

The article proceeds to specify that in case of violation of the rules protecting data subjects in telemarketing and teleselling activities, the client and any other parties responsible for the violation are jointly liable.

• Obligations of the parties

To ensure the fairness and legitimacy of the processing of personal data carried out throughout the telemarketing “supply chain”, the Code of Conduct includes several obligations for the companies adhering to the Code.

The provisions aim to regulate (i) the obligations directly addressed to the data controller (Article 5 of the Code of Conduct); (ii) the relationships between the client and list providers (Article 6 of the Code of Conduct); (iii) specific obligations for service providers executing contacts (Article 7 of the Code of Conduct); and (iv) common obligations for all involved adherents (Article 8 of the Code of Conduct).

In particular, considering the indications provided in Article 4 mentioned above, the Code of Conduct imposes specific obligations on data controllers regarding the management of privacy roles and controls related to the actions of their data processors, with the aim of increasing the accountability of the data controller.

Specifically, data controllers must prioritize, in compliance with the Italian competition law, those who adhere to the Code of Conduct, implementing the provisions of Article 28 of the GDPR and considering the standards and best practices indicated in the Code, including, among others:

1. adopting a prequalification procedure for suppliers to evaluate the assurance of the appropriate standards required by the Code of Conduct and allowing the collection of information and partner selection based on organizational, management, and control models, or other adequate compliance standards, while respecting competition law;
2. implementing technical and organizational measures by the data controller – or by data processors, in case of delegated processing – including specific training for operators and the adoption of ad hoc procedures to effectively and promptly handle data subject rights requests, fully complying with GDPR obligations and timeframes, as well as managing data breaches;
3. in case of acquiring a contact list from a list provider, the client's verification, through comparison with their own blacklist, of the absence of individuals who have already exercised, concerning the same contact list, their right to object or have withdrawn their consent;
4. before initiating a telemarketing or teleselling campaign, consulting the Italian public opt-out registry (“Registro Pubblico delle Opposizioni”, briefly “RPO”) and updating their contact lists based on the RPO outcomes, keeping track of these actions (for further information on the RPO, please refer to our previous contribution available here, also in English);
5. data controllers and processors are also required to conduct training plans for their personnel at least annually.

The Code of Conduct also stipulates that, in the selection of list providers, clients must exercise the utmost diligence and consider various assurance elements, including, among others: (i) the adoption of appropriate consent acquisition methods, providing clear and understandable information, and (ii) the availability of the provider, and in the case of non-EU entities, the presence of an establishment in the European Union.

Furthermore, the service providers who physically execute the promotional campaign, acting as data processors, have various obligations, such as, for example, the obligation for anyone conducting telemarketing/teleselling activities (including contact centers and agencies), as well as for all third-party entities entrusted with call center services, to register in the Italian Registry of Communications Operators Communication (also known, in Italian, as “ROC”), as per the Authority for Communications Guarantees’ deliberation no. 666/08/CONS (available here, only in Italian), and to report all telephone numbers made available to the public and used for telemarketing and teleselling services.

Service providers acting as data processors are also required to:

1. implement technical and organizational measures, including contractual ones, suitable for verifying and ensuring compliance by authorized parties according to Article 29 of the GDPR and Article 2-quaterdecies of Legislative Decree 196/2003 as amended by Legislative Decree 101/2018 (“Privacy Code”) with the instructions given to them;
2. use exclusively callable or identifiable numbers and refuse assignments from clients that do not expressly require the use of such numbers, ensuring that, in the case of outbound commercial contacts, only those numbers are used;
3. provide clients who requested the service with a report within 15 days of the conclusion of the promotional campaign, containing specific information (e.g., the number of calls made daily, the number of contacted individuals who declared no interest, data of individuals who exercised their rights as data subjects).

Furthermore, Article 7 of the Code of Conduct specifies that the aforementioned providers cannot contact data subjects during the following time slots:

1. before 9:00 am and after 8:00 pm from Monday to Friday;
2. before 10:00 am and after 7:00 pm on Saturdays or pre-holiday days;
3. on Sundays or public holidays.

Contacts can be made at different times and days only if expressly agreed upon with the data subjects.

Additionally, adherents to the Code of Conduct will also be required to, among other things:

1. conduct an impact assessment, in compliance with Article 35 of the GDPR, if they carry out automated processing, including profiling, which involves a systematic and comprehensive analysis of personal aspects related to data subjects and from which decisions with legal effects or significant impact on individuals arise;
2. adopt procedures and technical and organizational measures, including contractual ones, suitable for transparently tracking the entire contact chain and facilitating various control activities by competent bodies or authorities, as well as internal audits.

Furthermore, it is recommended for data controllers (and those chosen by data controllers, if they primarily and continuously offer teleselling and telemarketing-related services) to appoint a Data Protection Officer (“DPO”), subject to what is regulated by Article 37 of the GDPR.

• Guarantees in data processing

Section III of the Code of Conduct provides certain guarantees in data processing, and in particular, it establishes that:

1. the data related to criminal convictions and offenses cannot be processed for promotional purposes, due to the prohibition stated in Article 10 of the GDPR;
2. the special categories data as referred to in Article 9 of the GDPR[18] can be used for promotional purposes only if they have been collected within specific existing contractual relationships with the data subjects, and the processing, excluding profiling, is based on explicit and specific consent from the data subject;
3. the provider, where the data subject has not explicitly requested the call or callback, may make telemarketing or teleselling calls to telephone numbers that are not listed in public telephone directories, provided there is appropriate consent, and to telephone numbers listed in public telephone directories that are not registered in the Italian RPO;
4. following the call response, after indicating the calling call center and the caller's identity, it must be specified if the call comes from a call center located in a non-EU country;
5. during the contact, a brief privacy notice must be provided to the data subject, including specific elements (e.g., the identity of the data controller, the applicable legal basis for the processing, and where the personal data was collected);
6. the caller must provide, when requested, the identity of any data processor, the purposes and methods of processing, and a contact address where data subjects can easily and free of charge exercise their rights;
7. the consent for telemarketing and teleselling purposes must be obtained according to specific indications;
8. the transmission of personal data to third parties for the conduct of their promotional campaigns is only lawful in the presence of specific consent from the data subject for this specific purpose.

To ensure the fairness and legitimacy of the processing carried out in the telemarketing “supply chain”, adherents and the entities acting on their behalf are also required to carry out checks and controls on the correct processing by all parties involved in the promotional campaign activity. They must also adopt appropriate technical and organizational measures to ensure compliance with applicable regulations.

The verification of compliance with the Code of Conduct shall be carried out, as stated in Article 18 of the Code of Conduct, by the OdM, which may conduct all necessary verifications and take any functional initiatives, including managing complaints that may arise between adherents and data subjects or between adherents concerning violations and/or application of the Code itself. In any case, data subjects have the right to lodge complaints to the Italian DPA and/or initiate legal proceedings to protect their rights.

Conclusions

The Code of Conduct introduces several provisions aimed at countering promotional activities through telemarketing and teleselling that may be illegal, as they are carried out in violation to the applicable regulations.

In addition to specific provisions related to the processing of personal data, the Code of Conduct also introduces measures to address the issue of “abusive” call centers.

In this regard, the Code of Conduct not only establishes specific obligations (e.g., adopting appropriate technical and organizational measures and the requirement to specify the calling call center and whether it is located in a non-EU country) but also stipulates that contracts between the client and the service provider must expressly include a sanctioning mechanism, in the form of penalties, and the non-payment or cancellation of commission for each service sale made without a legitimate contact.

On the light of the above, with the increasing prevalence of promotional activities through the telephone channel in a world characterized not only by technological advancements but also regulatory changes, it will be necessary to take into account this additional aspect. The Code of Conduct seems to aim at ensuring the protection of users’ personal data “from contact to contract” and safeguarding them from unwanted telemarketing activities.

However, we must await not only its publication in the Italian Official Gazette but also see if the Italian DPA will consider the provisions of the Code of Conduct as the standard to follow in the case of telemarketing activities.

[1] Tra le più recenti, si può segnalare il Provvedimento del 15 dicembre 2022 nei confronti di Edison Energia S.p.A..

[2] Per “telemarketing” si intendono tutte le attività di contatto telefonico con operatore effettuate per finalità promozionale attraverso chiamate dirette a numerazioni fisse e mobili nazionali (art. 2, co. 1, lett. a) del Codice di Condotta).

[3] Per “teleselling” si intendono tutte le attività di contatto telefonico con operatore effettuate per finalità di vendita diretta attraverso chiamate destinate a numerazioni fisse e mobili nazionali (art. 2, co. 1, lett. b) del Codice di Condotta).

[4] Per “digital advertising” si intende qualsiasi forma pagata di presentazione e promozione non personale di idee, beni e servizi a scopo informativo o commerciale, attraverso tecnologie digitali/internet come applicazioni, siti web, piattaforme online, testate e pubblicazioni online, messaggistica, chat, social network e similari, da parte di un committente identificato (art. 2, co. 1, lett. t) del Codice di Condotta).

[5] I liberi professionisti, così come le ditte individuali ex art. 2563 c.c., sono equiparati agli interessati, secondo quanto definito dal GDPR.

[6] Per “list provider” o “editore” si intende il soggetto che, anche in via non principale rispetto alla propria attività, operando in qualità di titolare del trattamento, procede, in virtù del consenso degli interessati, alla comunicazione dei dati personali, autonomamente raccolti, a soggetti terzi per finalità di teleselling e telemarketing (art. 2, co. 1, lett. g) del Codice di Condotta).

[7] Per “call center/teleseller” si intendono tutti gli operatori economici che, operando in qualità di responsabili del trattamento dei committenti, sviluppano contatti telefonici per finalità di promozione della conclusione di contratti di vendita/locazione/abbonamento per servizi/prodotti o di richiesta di incontri al medesimo fine (art. 2, co. 1, lett. h) del Codice di Condotta).

[8] Il committente è il soggetto che, operando in qualità di titolare del trattamento, incarica terzi, ad esempio call center, teleseller e agenzie, per lo svolgimento di contatti commerciali telefonici per finalità di teleselling e telemarketing (art. 2, co. 2, lett. f) del Codice di Condotta).

[9]  Sono dati di categoria particolare i dati che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

[10] Among the most recent, it is worth mentioning the Order by the Italian DPA of December 15, 2022, against Edison Energia S.p.A. (available here, only in Italian).

[11] “Telemarketing” refers to all activities of direct operator-initiated telephone contact conducted for promotional purposes through direct calls to national fixed and mobile numbers (Article 2, paragraph 1, letter a), of the Code of Conduct).

[12] “Teleselling” refers to all activities of direct operator-initiated telephone contact conducted for direct selling purposes through calls to national fixed and mobile numbers (Article 2, paragraph 1, letter b), of the Code of Conduct).

[13] “Digital advertising” refers to any paid form of non-personal presentation and promotion of ideas, goods, and services for informational or commercial purposes, through digital/internet technologies such as applications, websites, online platforms, publications, messaging, chat, social networks, and similar channels, by an identified client (Article 2, paragraph 1, letter t), of the Code of Conduct).

[14] Self-employed professionals, as well as individual businesses, under Article 2563 of the Italian Civil Code, are considered data subjects, as defined by the GDPR.

[15] “List provider” or “publisher” refers to the entity that, even if not primarily engaged in such activity, acts as the data controller and, based on the consent of the data subjects, communicates autonomously collected personal data to third parties for teleselling and telemarketing purposes (Article 2, paragraph 1, letter g), of the Code of Conduct).

[16] “Call center/telesale representatives” includes all economic operators who, acting as data processors on behalf of the clients, engage in telephone contacts for the promotion of contracts for sale/lease/subscription of services/products or for arranging meetings for the same purpose (Article 2, paragraph 1, letter h), of the Code of Conduct).

[17] The client is the entity that, acting as the data controller, engages third parties, such as call centers, telesale representatives, and agencies, for the conduct of telephone commercial contacts for teleselling and telemarketing purposes (Article 2, paragraph 2, letter f), of the Code of Conduct).

[18] Special categories data include data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation.