Garante per la protezione dei dati personali Del. 07/03/2024, n. 148 Approvazione del codice di condotta in materia di telemarketing e teleselling e accreditamento dell'Organismo di monitoraggio. (Provvedimento n. 148).

 

Garante per la protezione dei dati personali

Del. 07/03/2024, n. 148

Approvazione del codice di condotta in materia di telemarketing e teleselling e accreditamento dell'Organismo di monitoraggio. (Provvedimento n. 148).

Pubblicata nella Gazz. Uff. 27 marzo 2024, n. 73.

Epigrafe

Premessa

[Testo della deliberazione]

Allegato

Sezione I

Disposizioni di carattere generale

Art. 1.Ambito di applicazione

Art. 2.Definizioni

Art. 3.Principi

Art. 4.Ruoli e responsabilità

Sezione II

Obblighi delle parti

Art. 5.Obblighi del titolare

Art. 6.Rapporti tra committenti e list provider

Art. 7.Obblighi specifici per i fornitori che eseguono i contatti

Art. 8.Obblighi comuni

Sezione III

Garanzie nel trattamento

Art. 9.Trattamento di dati particolari

Art. 10.Script e modalità di contatto

Art. 11.Informativa

Art. 12.Consenso

Art. 13.Trasmissione dei dati a terzi

Sezione IV

Misure a garanzia del corretto trattamento della «filiera»

Art. 14.Controllo della «filiera»

Art. 15.Data quality - trattamenti consentiti

Art. 16.Controllo dell'origine del contratto

Art. 17.Fornitori plurimandatari

Art. 18.Organismo di monitoraggio

Sezione V

Disposizioni transitorie e finali

Art. 19.Entrata in vigore e disposizioni transitorie e finali

Del. 7 marzo 2024, n. 148 (1).

Approvazione del codice di condotta in materia di telemarketing e teleselling e accreditamento dell'Organismo di monitoraggio. (Provvedimento n. 148). (2)

(1) Pubblicata nella Gazz. Uff. 27 marzo 2024, n. 73.

(2) Emanata dal Garante per la protezione dei dati personali.

IL GARANTE PER LA PROTEZIONE

DEI DATI PERSONALI

Nella riunione odierna alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

Visto il regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva n. 95/46/CE (di seguito, «regolamento»);

Visto il decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito il «Codice») come novellato dal decreto legislativo 10 agosto 2018, n. 101 recante «Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) n. 2016/679»;

Visto l'art. 40 del regolamento che prevede che le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento possano elaborare (modificare o prorogare) codici di condotta destinati a contribuire alla corretta applicazione del regolamento in specifici settori di attività e in funzione delle particolari esigenze delle micro, piccole e medie imprese, e che tali codici devono essere approvati dall'autorità di controllo competente;

Visto il considerando 98 del regolamento che prevede che tali codici possono calibrare gli obblighi del titolare del trattamento e del responsabile del trattamento, tenuto conto dei potenziali rischi del trattamento per i diritti e le libertà degli interessati;

Viste le «Linee guida 1/2019 sui codici di condotta e sugli organismi di monitoraggio a norma del regolamento (UE) n. 2016/679» adottate dal Comitato europeo per la protezione di dati (di seguito «Comitato») il 4 giugno 2019, all'esito della consultazione pubblica;

Considerato che l'art. 41, par. 3, del regolamento prevede che l'autorità di controllo presenti al Comitato uno schema di requisiti per l'accreditamento dell'Odm, ai sensi del meccanismo di coerenza di cui all'art. 63 del regolamento;

Visto il provvedimento del 10 giugno 2020, n. 98 - pubblicato nella Gazzetta Ufficiale n. 173 dell'11 luglio 2020 (di seguito, «provvedimento») con il quale il Garante, ai sensi dell'art. 57, par. 1, lettera p), del regolamento, ha approvato i requisiti per l'accreditamento dell'Odm, tenendo conto delle osservazioni rese dal Comitato nel parere adottato il 25 maggio 2020;

Considerato che l'adesione ad un codice di condotta può essere utilizzata come elemento di responsabilizzazione (c.d. accountability), in quanto consente di dimostrare la conformità dei trattamenti di dati, posti in essere dai titolari e/o dai responsabili del trattamento che vi aderiscano, ad alcune disposizioni o principi del regolamento, o al regolamento nel suo insieme (cfr. cons. 77 e articoli 24, par. 3, e 28, par. 5, e 32, par. 3 del regolamento);

Considerato che il Garante incoraggia lo sviluppo di codici di condotta per le micro, piccole e medie imprese al fine di promuovere un'attuazione effettiva del regolamento, aumentare la certezza del diritto per titolari e responsabili del trattamento e rafforzare la fiducia degli interessati in ordine alla correttezza dei trattamenti di dati che li riguardano;

Considerato che l'art. 41, par. 1, del regolamento prevede che, fatti salvi i compiti e i poteri dell'autorità di controllo competente, la verifica dell'osservanza delle disposizioni di un codice di condotta, ai sensi dell'art. 40 del regolamento, è effettuata da un Organismo di monitoraggio (di seguito, «Odm») in possesso dei requisiti fissati dall'art. 41, par. 2 del regolamento e del necessario accreditamento rilasciato a tal fine dalla medesima autorità, con la sola eccezione del trattamento effettuato da autorità pubbliche e da organismi pubblici per il quale non è necessaria l'istituzione di un Odm (art. 41, par. 6 del regolamento);

Rilevato, in tale contesto, che l'obbligo di affidare il monitoraggio dei codici di condotta a un Odm accreditato non dovrebbe costituire un ostacolo allo sviluppo di tali strumenti e che, quindi, va riconosciuto un certo margine di flessibilità ai promotori dei codici di condotta nell'applicazione dei requisiti di accreditamento fissati dal Garante al fine di definire il modello di Odm più adeguato a controllarne l'osservanza, fermo restando il rispetto di quanto previsto dal regolamento, dalle linee guida e dai pertinenti pareri del Comitato;

Considerato che il regolamento e le linee guida del Comitato sopra citate, fissano un quadro organico di riferimento per la definizione dei requisiti che l'Odm deve soddisfare per ottenere l'accreditamento;

Considerato che l'art. 57, par. 1, lettera q) del regolamento prevede, in particolare, che ciascuna autorità di controllo, sul proprio territorio, effettua l'accreditamento dell'Odm, ai sensi dell'art. 41;

Rilevato che, ai sensi del combinato disposto di cui agli articoli 55 del regolamento e art. 2-bis del Codice, il Garante è l'autorità di controllo competente a definire e pubblicare i requisiti per l'accreditamento dell'Odm, nonché ad accreditare lo stesso Odm nell'esercizio del potere conferitole ai sensi dell'art. 57, par. 1, lettere p e q), del regolamento;

Rilevato che, ai sensi dell'art. 55 del regolamento, il Garante è l'autorità di controllo competente ad approvare i codici di condotta aventi validità nazionale nell'esercizio del potere conferitole ai sensi dell'art. 57, paragrafo 1, lettera m), del regolamento;

Rilevato altresì che il Garante, nella procedura di accreditamento volta a verificare che l'Odm soddisfi i predetti requisiti, tiene in considerazione le specificità dei trattamenti di dati personali afferenti al/i settore/i a cui si applica il codice di condotta e, in particolare, la natura e la dimensione del settore, la tipologia e il numero (anche atteso) di soggetti aderenti, la peculiarità e la complessità delle operazioni di trattamento oggetto del codice, nonché i rischi per gli interessati;

Visto il provvedimento del 9 marzo 2023, n. 70 con il quale il Garante ha approvato il «Codice di condotta per le attività di telemarketing e teleselling» (di seguito, «codice di condotta») presentato da diverse associazioni promotrici (Asseprim, AssoCall, ASSOCONTACT, Assotelecomunicazioni, Confcommercio, Confindustria, DMA - Data & Marketing Association Italia, OIC - Osservatorio Imprese Consumatori) (di seguito, «proponenti») in qualità di associazioni maggiormente rappresentative nel settore, subordinandone l'efficacia all'accreditamento dell'Odm ai sensi dell'art. 41 del regolamento;

Visto che in data 13 ottobre 2023 le proponenti hanno presentato la richiesta formale di accreditamento dell'Odm preposto alla verifica del rispetto del codice di condotta, allegando la documentazione utile a comprovare il possesso dei requisiti richiesti: il regolamento sul funzionamento dell'Odm; i rispettivi atti costitutivi; curriculum vitae e documenti di identità dei componenti; le dichiarazioni di assenza di conflitto di interessi e di rispetto dei requisiti stabiliti dal codice di condotta, sottoscritte dagli stessi candidati a componenti ai sensi dell'art. 47 del decreto del Presidente della Repubblica n. 445/2000;

Vista la nota del 4 dicembre 2023 con cui l'ufficio ha formulato alcune osservazioni in ordine alla richiesta di accreditamento che è stata, pertanto, successivamente integrata dalle proponenti con nota 27 febbraio 2024;

Esaminata la richiesta di accreditamento così integrata e la relativa documentazione, risulta che l'Odm dimostra di possedere i requisiti previsti dall'art. 41, par. 2 del regolamento e dal Provvedimento, avendo comprovato, in particolare, un adeguato livello di competenza per lo svolgimento dei propri compiti di verifica del rispetto del codice di condotta, nonché di poter assolvere alle proprie funzioni con indipendenza e imparzialità, anche attraverso specifiche misure, idonee ad individuare e mitigare il rischio di eventuali conflitti di interesse;

Ritenuto pertanto, ai sensi dell'art. 57, par. 1, lettera q), del regolamento, di accreditare l'Odm deputato alla verifica del rispetto del sopra menzionato codice di condotta;

Preso atto che la durata del citato Odm, proposta in sede di prima applicazione del codice è di tre anni non rinnovabili, fermo restando che il regolamento dell'Odm presentato per l'accreditamento prevede che i mandati successivi al primo abbiano una durata di cinque anni;

Ritenuto, pertanto, di approvare la versione definitiva del codice di condotta che acquista la piena efficacia dal giorno successivo alla sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana e sarà inserito nei re-gistri di cui all'art. 40, paragrafi 6 e 11 del regolamento;

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Pasquale Stanzione;

Tutto ciò premesso il Garante:

[Testo della deliberazione]

a) ai sensi dell'art. 57, par. 1, lettera q), del regolamento accredita l'Odm - preposto da Asseprim, AssoCall, ASSOCONTACT, Assotelecomunicazioni, Confcommercio, Confindustria, DMA - Data & Marketing Association Italia, OIC - Osservatorio Imprese Consumatori - alla verifica del rispetto del codice di condotta per la durata tre anni non rinnovabili con riguardo al primo mandato e fermo restando che il regolamento dell'Odm prevede che i mandati successivi abbiano una durata di cinque anni;

b) ai sensi dell'art. 57, par. 1, lettera m), del regolamento approva il codice di condotta riportato in allegato al presente provvedimento del quale forma parte integrante;

c) invia copia della presente deliberazione all'Ufficio pubblicazione leggi e decreti del Ministero della giustizia ai fini della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.

Allegato

PREAMBOLO

Asseprim, AssoCall - Associazione nazionale dei Contact Center Outsourcing, ASSOCONTACT - Associazione nazionale dei Business Process Outsourcer, Assotelecomunicazioni, Confcommercio, Confindustria, DMA Italia e OIC - Osservatorio Imprese e Consumatori, in qualità di associazioni rappresentative di committenti, call center, teleseller, list provider e associazioni di consumatori

PROPONGONO

il presente Codice di condotta, sottoposto all'approvazione del Garante per la protezione dei dati personali (di seguito: «Garante») ai sensi dell'art. 40 del regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (di seguito «regolamento») e nel rispetto della procedura stabilita dall'art. 20 del decreto legislativo 10 agosto 2018, n. 101, recante disposizioni di adeguamento del decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito: «Codice») alle norme del regolamento, sulla base delle seguenti

PREMESSE

a) l'art. 40 del regolamento prevede che gli Stati membri, le Autorità di controllo, il Comitato europeo per la protezione dei dati e la Commissione europa incoraggino l'elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze e delle caratteristiche proprie delle micro, piccole e medie imprese; il considerando n. 98 del regolamento, in particolare, prevede che i codici di condotta possono calibrare gli obblighi dei titolari e dei responsabili del trattamento, tenendo in debito conto i rischi potenzialmente derivanti, per i diritti e le libertà degli interessati, dalle specifiche attività cui sono riferiti;

b) lo svolgimento di attività promozionali tramite il canale telefonico è stato oggetto negli ultimi anni di evoluzioni tecnologiche e normative ed ha fortemente impegnato le autorità di controllo e, in particolare, il Garante nel contrasto a diverse e diffuse forme di illegalità ad esse connesse. Non è casuale, infatti, che non esista alcun altro ambito che impegni altrettanto frequentemente le Autorità di controllo degli Stati membri, anche in ragione della particolare sensibilità sociale per queste tematiche, sia in ragione dell'immediatezza della percezione di eventuali intrusioni indebite nella propria sfera privata, sia delle ricorrenti non conformità da parte di soggetti, spesso non adeguatamente strutturati, a vario livello operanti in questo settore;

c) allo stesso tempo, l'esigenza di regole di condotta uniformi è particolarmente sentita per consentire agli operatori che operino nel rispetto delle regole di poter contare su pari condizioni di mercato e, parallelamente, di recuperare la fiducia degli interessati e la relativa disponibilità all'ascolto;

d) i soggetti operanti nel territorio italiano nel settore delle comunicazioni promozionali tramite il canale telefonico intendono quindi rafforzare proattivamente il proprio impegno al rispetto dei diritti, delle libertà fondamentali e della dignità delle persone interessate, con particolare riferimento al diritto alla protezione dei loro dati personali e alla tutela della loro riservatezza e sfera privata; il presente codice di condotta è volto ad individuare le misure e le modalità di trattamento da attuare per garantire un'adeguata implementazione dei principi di cui all'art. 5 del regolamento, in connessione al trattamento di dati personali per finalità promozionali attraverso l'uso del canale telefonico;

e) obiettivo del presente codice di condotta è anche quello di precisare l'applicazione di alcune disposizioni del regolamento, del Codice e di varie prescrizioni dettate nel corso del tempo dal Garante nello specifico settore promozionale, per permettere agli operatori di mercato di utilizzare la relativa adesione, in chiave di accountability, come elemento idoneo a dimostrare il rispetto degli obblighi applicabili ai sensi della normativa di riferimento;

f) resta fermo ed impregiudicato il quadro normativo applicabile al Registro pubblico delle opposizioni (di seguito: «RPO») di cui all'art. 130, comma 3-bis, del Codice, per quanto riguarda il trattamento delle numerazioni presenti negli elenchi dei contraenti e, con riferimento all'art. 1, comma 2, della legge 11 gennaio 2018, n. 5, di tutte le numerazioni telefoniche nazionali fisse e mobili per l'esecuzione di contatti telefonici con operatore;

g) tutti i soggetti che svolgono attività di telemarketing, in quanto committenti o fornitori di servizi diretti o accessori, possono aderire al presente codice di condotta, seguendo le specifiche procedure.

Sezione I

Disposizioni di carattere generale

Art. 1. Ambito di applicazione

1. Il presente Codice di condotta è riferito ad attività di trattamento dei dati personali effettuati, da soggetti operanti in territorio italiano o estero, per promuovere e/o offrire beni o servizi, tramite il canale telefonico, a soggetti ubicati nel territorio dello Stato italiano. Per tale motivo, l'approvazione di cui all'art. 40 del regolamento è richiesta al Garante in qualità di Autorità di controllo competente ai sensi dell'art. 55 del regolamento.

2. In considerazione della necessità di porre un freno alle condotte in contrasto con la normativa in materia di protezione dei dati personali e lesive del diritto alla tranquillità individuale delle persone, con l'obiettivo di stimolare parallelamente maggiore fiducia da parte di queste ultime rispetto alle attività promozionali veicolate telefonicamente, l'ambito di applicazione del presente Codice di condotta è circoscritto alle attività di telemarketing e teleselling.

3. Sono escluse dal presente Codice di condotta le promozioni in-app e il digital advertising, nonché i contatti telefonici con finalità esclusivamente limitata alla rilevazione del grado di soddisfazione della clientela, a sondaggi e/o ricerche di mercato senza alcuna finalità commerciale. Si intendono, altresì, escluse dall'ambito di applicazione del presente Codice di condotta tutte le modalità di contatto sviluppate tramite canali diversi da quello telefonico quale, ad esempio, il canale SMS, nonché, ferme restando le tutele di cui al Titolo X del Codice, le attività di contatto e le altre attività a ciò connesse dirette verso soggetti diversi da persone fisiche, liberi professionisti e imprese individuali.

Art. 2. Definizioni

1. Ai fini del presente Codice di condotta, si applicano le definizioni previste dall'art. 4 del regolamento e dall'art. 121 del Codice.

2. Ai medesimi fini, si intende per:

a) «telemarketing», le attività di contatto telefonico con operatore effettuate per finalità promozionale attraverso chiamate dirette a numerazioni fisse e mobili nazionali;

b) «teleselling», le attività di contatto telefonico con operatore effettuate per finalità di vendita diretta attraverso chiamate destinate a numerazioni fisse e mobili nazionali;

c) «marketing telefonico automatizzato», le attività di contatto telefonico senza operatore effettuate per finalità di telemarketing e/o di teleselling o prodromica al contatto con operatore per finalità di vendita diretta attraverso chiamate dirette a numerazioni fisse e mobili nazionali;

d) «mezzi tradizionali» o «modalità tradizionali»: le telefonate effettuate con intervento di un operatore (persona fisica) o comunque senza utilizzo di sistemi automatizzati di chiamata;

e) «mezzi automatizzati» o «modalità automatizzate»: telefonate effettuate tramite sistemi automatizzati di chiamata, o di comunicazione di chiamata, senza l'intervento di un operatore (persona fisica);

f) «committente»: il soggetto che, operando in qualità di titolare del trattamento, incarica terzi, ad esempio, call center, teleseller e agenzie, per lo svolgimento di contatti commerciali telefonici per finalità di teleselling e telemarketing;

g) «list provider» o «editore», il soggetto che, anche in via non principale rispetto alla propria attività, operando in qualità di titolare del trattamento, procede, in virtù del consenso degli interessati, alla comunicazione dei dati personali, autonomamente raccolti, a soggetti terzi per finalità di teleselling e telemarketing;

h) «call-center/teleseller» e «agenzie», operatori economici che, operando in qualità di responsabili del trattamento dei committenti, sviluppano contatti telefonici per finalità di promozione della conclusione di contratti di vendita/locazione/abbonamento per servizi/prodotti o di richiesta di incontri al medesimo fine;

i) «interessato», la persona fisica, identificata o identificabile, cui sono riferiti i dati personali; sono equiparati agli interessati, sotto ogni profilo, anche i liberi professionisti e, in considerazione di quanto disposto dall'art. 2563, comma 2, del codice civile, le ditte individuali;

j) «contraente», la persona fisica, giuridica, ente, associazione o altro organismo che sia parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o che comunque ne benefici anche tramite schede prepagate;

k) «utente», la persona fisica che utilizza il servizio di comunicazione elettronica senza esservi necessariamente abbonata;

l) «classificazione», l'operazione di mera estrazione da database di macro-categorie di interessati effettuata tramite query per partizionare i dati grezzi presenti nella banca dati (ad esempio, fascia di età, genere, area di residenza, nazionalità), senza effettuare ulteriori operazioni di trattamento consistenti in attività di profilazione quali, ad esempio, lo sviluppo di conclusioni in merito ad aspetti personali relativi ad un interessato, quali preferenze d'acquisto, interessi, gusti ed abitudini, comportamenti on-line, ubicazione o spostamenti;

m) «profilazione», qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica;

n) «data quality»: l'operazione o l'insieme di operazioni, con esclusione di ogni forma di profilazione, per garantire che i dati personali trattati per finalità promozionali siano sempre esatti ed aggiornati. Tra le operazioni di data quality rientrano, a titolo esemplificativo, la messa a disposizione di liste di dati nei confronti di uno o più fornitori di servizi, ai fini dello svolgimento di attività di controllo dell'esattezza ed aggiornamento anche mediate la c.d. operazione di «deduplica»;

o) «Registro pubblico delle opposizioni», o «RPO», il registro pubblico delle opposizioni istituito ai sensi dell'art. 130, commi 3-bis e 3-ter del Codice e disciplinato dal decreto del Presidente della Repubblica 27 gennaio 2022, n. 26, esteso alle numerazioni nazionali fisse e mobili non riportate negli elenchi di contraenti di cui all'art. 129 del Codice, secondo quanto previsto dall'art. 1, comma 2, della legge 11 gennaio 2018, n. 5;

p) «aderente», la persona giuridica, ente o altro organismo che svolge attività di telemarketing o teleselling, in quanto committente o fornitore di servizi diretti o accessori, per cui si sia positivamente con-clusa la procedura di adesione al presente Codice di condotta;

q) «fornitori»: salva diversa specificazione, chiunque effettui attività di telemarketing e teleselling (inclusi contact center e agenzie);

r) «filiera», tutti i soggetti coinvolti a vario titolo nel trattamento commissionato dal titolare finalizzato alla realizzazione del contatto promozionale, dalla raccolta del dato fino alla realizzazione del contatto telefonico o alla chiusura del contratto a distanza;

s) «IVR», sistema interattivo di menu a scelta mediante tasti o istruzioni vocali proposto all'interessato all'inizio della telefonata;

t) «digital advertising»: qualsiasi forma pagata di presentazione e promozione non personale di idee, beni e servizi a scopo informativo o commerciale, attraverso tecnologie digitali/internet come applicazioni, siti web, piattaforme on-line, testate e pubblicazioni on-line, mes-saggistica, chat, social network e similari, da parte di un committente identificato;

u) «inbound», servizio veicolato tramite il canale telefonico attraverso il quale gli interessati/contraenti/utenti contattano il titolare del trattamento per ricevere informazioni o assistenza;

v) «outbound», servizio veicolato tramite il canale telefonico attraverso il quale gli interessati/contraenti/utenti sono contattati dal titolare per proporre offerte commerciali o servizi di vendita telefonica;

a) «Associazioni promotrici»: le associazioni indicate nel preambolo del presente Codice di condotta, che hanno promosso e, a seguito della procedura di cui al successivo art. 19, sottoposto all'approvazione del Collegio del Garante il presente Codice di condotta.

Art. 3. Principi

1. Gli aderenti, nello svolgimento delle rispettive attività, garantiscono il rispetto dei principi di liceità, proporzionalità, correttezza e trasparenza nei confronti degli interessati, adottando, in particolare, specifiche misure volte ad assicurare l'idonea informazione dell'utenza, l'adozione della corretta base giuridica del trattamento e l'esercizio dei diritti degli interessati.

2. I trattamenti dei dati personali per le finalità di cui al presente Codice di condotta avvengono nel pieno rispetto dei principi di privacy by design e by default di cui all'art. 25 del regolamento e sono improntati al principio di minimizzazione e di conservazione limitata dei dati.

3. Gli aderenti applicano al trattamento adeguate misure di sicurezza, organizzativa e tecnica, volte a garantire elevati standard di protezione dei dati personali.

4. Gli aderenti che offrono app di blocco chiamate si impegnano a collaborare con l'Organismo di monitoraggio di cui al successivo art. 18 per garantire uno sviluppo equo e trasparente delle stesse app, che valorizzi l'iscrizione al ROC delle numerazioni dei fornitori aderenti al presente Codice di condotta.

Art. 4. Ruoli e responsabilità

1. A prescindere dalla fonte di provenienza dei dati e indipendentemente dal materiale accesso agli stessi, agisce in qualità di titolare del trattamento, secondo quanto previsto all'art. 4, punto 7), del regolamento, il soggetto che esegue direttamente o commissiona l'effettuazione tramite il canale telefonico di campagne di telemarketing e teleselling.

2. I processi operativi che interessano tutte le fasi del trattamento, dalla raccolta del dato dell'interessato/contraente/utente, sino alla conclusione del contratto, sono organizzati secondo le modalità decise dal titolare (compatibilmente con quanto previsto dalla disciplina prevista dall'eventuale contratto di agenzia), la cui individuazione, nell'ambito delle diverse fasi, è basata su elementi normativi, documentali e teorici, ma anche su un'analisi fattuale e concreta, ossia sul ruolo concretamente svolto nel trattamento, tenuto conto anche dell'immagine restituita agli interessati e del legittimo affidamento di questi ultimi sulla base di tale percezione.

3. Quando più soggetti, determinandone congiuntamente almeno le finalità, svolgono o delegano lo svolgimento di comunicazioni commerciali aventi ad oggetto prodotti o servizi propri o di terzi, sia con modalità tradizionali, che automatizzate, agiscono in veste di contitolari del trattamento, in virtù di un contratto stipulato ai sensi dell'art. 26 del regolamento, i cui contenuti essenziali devono essere messi a disposizione degli interessati.

4. I list provider, quando acquisiscono autonomamente, nell'ambito di un trattamento antecedente e del tutto indipendente da quello legato all'esecuzione delle comunicazioni commerciali, i dati personali al fine di creare liste da cedere ad altri soggetti, agiscono in qualità di titolari del trattamento.

5. I fornitori di servizi incaricati di svolgere uno o più trattamenti connessi all'esecuzione di campagne di telemarketing e teleselling, o anche di reperire dati dai list provider, operano in qualità di responsabili del trattamento, in virtù di un contratto, o altro atto giuridicamente vincolante ai sensi di legge, che includa tutti gli elementi e disciplini tutti i profili di cui all'art. 28 del regolamento. Ricadono in tale categoria, fra gli altri, i call center/teleseller e le agenzie incaricate dai committenti dei contatti telefonici.

6. Ai sensi di quanto previsto dall'art. 24 del regolamento, grava sul titolare il compito di mettere in atto misure tecniche e organizzative per garantire ed essere in grado di dimostrare che il trattamento è effettuato conformemente al regolamento e al presente Codice di condotta.

7. In caso di violazione delle norme poste a tutela dell'interessato nelle attività di telemarketing e teleselling, il committente e gli eventuali ulteriori soggetti responsabili della violazione rispondono in solido, in base a quanto previsto dall'art. 1, comma 11, della legge 11 gennaio 2018, n. 5, dall'art. 24-bis, comma 8, decreto-legge 22 giugno 2012, n. 83, convertito con legge 7 agosto 2012, n. 134, come sostituito dall'art. 1, comma 243, della legge 11 dicembre 2016, n. 232 e dall'art. 6, comma 2, della legge 24 novembre 1981, n. 689.

Sezione II

Obblighi delle parti

Art. 5. Obblighi del titolare

1. I titolari del trattamento pongono particolare attenzione nella scelta dei partner commerciali per le attività di telemarketing e di teleselling, privilegiando, nel rispetto della normativa sulla concorrenza, gli aderenti al presente Codice di condotta ed attuando in ogni caso le prescrizioni di cui all'art. 28 del regolamento, secondo gli standard e le best practices di seguito indicate.

2. In particolare, ciascun titolare, nella scelta dei soggetti demandati al trattamento di dati personali per suo conto, adotta una procedura di prequalifica del fornitore, che assicuri gli standard adeguati previsti dal presente Codice di condotta e che consenta la raccolta di informazioni e la selezione del partner anche sulla base di modelli di organizzazione, gestione e controllo o comunque, di standard adeguati di compliance.

3. Ciascun titolare adotta e, in caso di affidamento di trattamenti o parti di essi a responsabili, richiede anche a questi ultimi di adottare, le seguenti procedure:

a) una procedura formalizzata di gestione delle istanze di esercizio dei diritti degli interessati, efficace nel garantire il presidio di tutti i possibili canali di ricezione di tali istanze da parte di autorizzati al trattamento istruiti nel riconoscerle ed incardinarle secondo il canale più efficace a garantire una pronta e completa risposta; la suddetta procedura dovrà contemplare l'obbligo per gli eventuali affidatari di servizi di informare sempre e senza ingiustificato ritardo il committente/titolare nel caso in cui ricevano una richiesta di esercizio dei diritti da parte degli interessati, nonché l'obbligo di fornire al titolare tutte le informazioni e la documentazione necessaria per consentire l'evasione dell'istanza ricevuta da parte del titolare o direttamente da parte del responsabile in funzione delle istruzioni impartite, di inviare all'interessato la comunicazione di presa in carico della richiesta e la possibilità di mettere in black list i dati di contatto dell'interessato in modo tale da impedire ogni contatto ulteriore da parte del fornitore laddove l'istanza abbia ad oggetto l'opposizione ai contatti commerciali da parte del titolare;

b) una procedura formalizzata di gestione delle violazioni dei dati personali (c.d. data breach) che assicuri tempi di individuazione della violazione, in caso di trattamenti affidati in outsourcing, tempi di comunicazione al titolare senza ingiustificato ritardo e, ove compatibile con la natura della violazione, non superiori a 24 ore dalla conoscenza della violazione stessa.

4. Il committente che acquisisca una lista di contatti formata da un list provider è tenuto a verificare, tramite confronto con la propria black list, che non siano presenti soggetti che hanno già manifestato, rispetto alla medesima lista di contatti, una specifica opposizione nei suoi confronti o che abbiano revocato il proprio consenso.

5. Il titolare, prima di avviare una campagna di telemarketing o teleselling, sottopone le proprie liste alle verifiche normativamente previste presso il RPO, ai sensi dell'art. 1, comma 12, della legge n. 5/2018 e tiene traccia degli esiti di tale verifica, in sede di prima applicazione del presente Codice di condotta, per almeno 3 mesi.

6. Fermo restando il riparto delle responsabilità e quanto previsto dal precedente art. 4 in tema di responsabilità solidale, il titolare garantisce e richiede ai propri responsabili che il trattamento, a partire dalla fase di raccolta dei dati, avvenga in conformità al regolamento, al Codice e al presente Codice di condotta. A tal fine, il titolare adotta misure adeguate per verificare che il responsabile del trattamento rispetti le istruzioni impartite attraverso meccanismi di audit quali, ad esempio, le «numerazioni civetta» (numerazioni proprie all'interno della lista delle numerazioni contattabili) e controlli a campione sui contratti stipulati, per verificare che i contatti siano effettuati con le modalità stabilite dal titolare e in conformità agli articoli 6 e 11 di cui al presente Codice di condotta e che, in particolare, l'informativa sia stata resa in maniera intellegibile.

7. Il titolare adotta piani di formazione per il personale con cadenza almeno annuale, in merito al trattamento dei dati personali, e richiede ai soggetti nominati responsabili di adottare piani di formazione che siano coerenti con i propri.

8. Il titolare predispone la piattaforma per la registrazione delle proposte di contratto in modo tale che sia garantita la tracciabilità delle operazioni svolte, adottando, ad esempio, procedure di autenticazione che: a) impediscano l'accesso alla piattaforma con le medesime credenziali da più postazioni contemporaneamente; b) impediscano l'accesso effettuato da indirizzi IP diversi o attraverso modalità di autenticazione non conformi a quelle autorizzate per ciascun call center/teleseller/ agenzia all'atto dell'attribuzione delle credenziali; c) attribuiscano credenziali di autenticazione individuali per ciascun operatore autorizzato a svolgere le operazioni di inserimento; d) consentano l'identificazione dell'operatore autorizzato anche in caso di contatto telefonico con il servizio di assistenza.

Art. 6. Rapporti tra committenti e list provider

1. Nella selezione dei list provider, i committenti adottano la massima diligenza e valutano la presenza di tutti gli elementi di garanzia necessari, tra cui:

a) l'adozione di corrette modalità di acquisizione del consenso attraverso l'esame delle informative rilasciate al momento della raccolta dei dati e della user experience, volta a verificare la presentazione di richieste di conferimento del consenso chiare e comprensibili, non vincolate e facilmente revocabili; sarà considerato correttamente acquisito un consenso che risulti adeguatamente documentato, tenendo traccia, con modalità informatiche che ne garantiscano l'immodificabilità della data e dell'origine, come, ad esempio, la conservazione sia della coppia IPtimestamp del soggetto che ha fornito il consenso on-line selezionando le apposite caselle, sia dell'invio allo stesso soggetto di un messaggio di notifica della registrazione del consenso (ad esempio, SMS) oppure con meccanismi cosiddetti double opt-in dove il consenso acquisito on-line viene successivamente confermato dall'interessato rispondendo ad un messaggio di conferma; la verifica di detti consensi deve essere effettuata almeno su un campione significativamente rappresentativo della banca dati e, in ogni caso, deve essere effettuata ogni volta che il titolare riceva un reclamo o una richiesta di esercizio dei diritti di cui agli articoli 12-22 del regolamento da parte di un interessato;

b) la reperibilità del fornitore, in particolare quando si utilizzano banche dati di soggetti terzi ubicati fuori dal territorio nazionale; nel caso di soggetti extra-UE, occorre verificare se sia indicato uno stabilimento in UE ai sensi dell'art. 3, par. 1 del regolamento oppure un rappresentante ai sensi dell'art. 27 del regolamento.

c) nel caso di banche dati formate tramite la partecipazione a concorsi a premi, è utile verificare la presenza di un regolamento del concorso che, in conformità alla legge al decreto del Presidente della Repubblica del 26 ottobre 2001, n. 430 «Regolamento concernente la revisione organica della disciplina dei concorsi e delle operazioni a premio, nonché delle manifestazioni di sorte locali, ai sensi dell'art. 19, comma 4, della legge 27 dicembre 1997, n. 449», riporti i dati del soggetto promotore e dell'eventuale rappresentante in Italia (art. 5, comma 2).

2. Il committente, che intenda trattare per finalità di telemarketing o teleselling dati autonomamente raccolti in qualità di autonomi titolari da parte di editori, deve:

a) richiedere che le liste di numerazioni acquisite da utilizzare nella campagna promozionale siano state verificate prima dal relativo titolare del trattamento presso il RPO e rispettino pertanto le volontà degli interessati, ove iscritti, a non essere inseriti nelle campagne promozionali;

b) confrontare tali dati con quelli presenti nella black list, al fine di escludere dalle liste di contatto tutti gli interessati che abbiano precedentemente esercitato il proprio diritto di opposizione o revocato il proprio consenso nei confronti del committente rispetto alla medesima lista di contatti;

c) verificare le liste, così formate, presso il registro pubblico delle opposizioni;

d) informare entro e non oltre quindici giorni l'editore, o il fornitore, di manifestazioni di volontà negativa espresse dagli interessati rispetto alla raccolta del consenso da parte dell'editore, al fine di tenerne conto nella formazione e gestione delle liste laddove l'interessato abbia manifestato la volontà in tal senso.

3. I list provider che raccolgono i dati personali quali autonomi titolari forniscono una dichiarazione debitamente sottoscritta che attesti la correttezza, liceità e aggiornamento di tutti i consensi raccolti.

Art. 7. Obblighi specifici per i fornitori che eseguono i contatti

1. Oltre a quanto previsto dal regolamento, dal Codice e da altre disposizioni del presente Codice di condotta, i fornitori che effettuano materialmente la campagna di promozione in qualità di responsabili del trattamento sono tenuti ai seguenti obblighi. Chiunque effettui attività di telemarketing/teleselling (inclusi contact center e agenzie), anche se tale attività non è la principale attività di impresa, è tenuto a iscriversi al Registro degli operatori di comunicazione («ROC») di cui alla delibera dell'Autorità per le garanzie nelle comunicazioni n. 666/08/CONS del 26 novembre 2008 ed eventuali successive modificazioni ed integrazioni, comunicando, altresì, tutte le numerazioni telefoniche messe a disposizione del pubblico e utilizzate per i servizi di telemarketing e teleselling. L'obbligo di iscrizione sussiste anche a carico dei soggetti terzi affidatari dei servizi di call center e deve essere contemplato nel contratto di affidamento del servizio (art. 24-bis, comma 11, decreto-legge n. 83/2012, convertito con legge n. 134/2012, come sostituito dall'art. 1, comma 243 della legge n. 232/2016. Restano fermi gli obblighi relativi all'utilizzo di numerazioni iscritte al ROC, nonché le prescrizioni relative alle comunicazioni da indirizzare al Ministero per lo sviluppo economico («MISE»), al Ministero del lavoro, all'Ispettorato nazionale del lavoro e al Garante qualora l'attività di call center sia svolta in un Paese extra UE.

2. Chiunque effettui attività di telemarketing/teleselling (inclusi contact center e agenzie), ai sensi dell'art. 2 della legge n. 5/2018, rispetta l'obbligo di presentazione dell'identificazione della linea chiamante utilizzando l'apposito codice prefisso, individuato dall'AGCOM con delibera n. 156/18/CIR, ed eventuali, successive, modificazioni e integrazioni, per identificare le attività di pubblicità, vendita e comunicazione commerciale. In alternativa, e fino a diverse disposizioni che dovessero essere introdotte de jure condendo, chiunque effettui attività di telemarketing/teleselling (inclusi contact center e agenzie) potrà valutare l'utilizzo di una propria numerazione priva del codice prefisso purché ricontattabile da parte dell'utente. Tali numerazioni devono essere comunicate al committente prima dell'inizio dell'attività promozionale e devono risultare iscritte nel ROC.

3. I fornitori che offrono servizi di call center o di teleselling, (in-cluse eventualmente le agenzie o altri operatori) esclusivamente in qualità di responsabili del trattamento, devono inoltre:

a) adottare misure tecniche e organizzative, anche contrattuali, fermo quanto disposto dall'art. 4 della legge 20 maggio 1970, n. 300, idonee a verificare ed assicurare l'adempimento, da parte dei soggetti autorizzati ai sensi dell'art. 29 del regolamento e dell'art. 2-quaterdecies del Codice, delle istruzioni impartite;

b) utilizzare esclusivamente numerazioni richiamabili o identificabili e non accettare incarichi da committenti che non prevedano un obbligo espresso di utilizzo, in caso di contatti commerciali outbound, unicamente di tali numerazioni;

c) fornire entro quindici giorni dalla chiusura delle singole campagne promozionali, ai committenti per conto dei quali vengono svolte le attività di telemarketing e teleselling, un report dettagliato contenente:

i. il numero di telefonate effettuate su base giornaliera;

ii. il numero di telefonate effettuate e rimaste senza risposta su base giornaliera;

iii. il numero di persone contattate che abbiano dichiarato di non essere interessate;

iv. i dati identificativi, il numero di telefono e la data di recepimento della richiesta di ciascun interessato o contraente contattato che abbia: i) esercitato il proprio diritto di opposizione, verso il titolare; ii) chiesto la cancellazione dei propri dati da parte del titolare; iii) revocato il proprio consenso al ricevimento di ulteriori contatti commerciali;

d) registrare in apposite black-list tutte le richieste di cui alla precedente lettera c), provvedendo all'inoltro al committente, secondo le modalità e nel rispetto dei tempi previsti dalle procedure di cui all'art. 5, comma 3, lettera a) del presente Codice di condotta e comunque entro e non oltre 24 ore dal relativo ricevimento, ovvero, in alternativa inviare in modalità automatizzate i log degli esiti dei contatti al committente da parte dei fornitori che offrono servizi di call center o di teleselling;

e) inviare al titolare, secondo le modalità e nel rispetto dei tempi previsti dalle procedure di cui all'art. 5, comma 3, lettera a) del presente Codice e comunque entro quindici giorni dall'esecuzione della chiamata rilevante, i dati identificativi ed il numero di telefono degli interessati o dei contraenti che abbiano manifestato interesse o direttamente aderito alla proposta o promozione oggetto della campagna;

f) non contattare il medesimo interessato (laddove per contatto si intende la chiamata con risposta): ii) prima delle 9,00 e dopo le 20,00 dal lunedì al venerdì; iii) prima delle 10,00 e dopo le 19,00 il sabato o i giorni prefestivi; iv) la domenica o i giorni festivi; la chiamata che trovi occupato o che rimanga senza risposta si considera come non effettuata. E' ammessa una tolleranza di 15 minuti (prima/dopo) rispetto agli orari indicati nella presente lettera f) ed è, pertanto, ammessa qualsiasi chiamata che sia iniziata entro la suddetta tolleranza. Sono fatti salvi contatti commerciali anche in orari e giorni diversi, se espressamente concordati con l'interessato stesso (ad esempio, chiamate per fornire chiarimenti, chiamate a diverso orario, chiamate per reperire ulteriori documenti) e sono fatte altresì salve le chiamate e richiamate dirette all'interessato che siano state espressamente richieste dall'interessato, ad esempio, mediante landing page, digital advertising, sito o funzioni dell'IVR e anche con mezzi diversi;

g) essere in grado di fornire agli interessati, nel corso della telefonata e senza eccezioni, le previste informazioni sul trattamento dei dati personali e sulle modalità di esercizio dei diritti, delineando con chiarezza i ruoli (titolare/responsabile) e le rispettive incombenze.

Art. 8. Obblighi comuni

1. In relazione allo svolgimento delle attività di teleselling e telemarketing, gli aderenti si obbligano a:

a) rispettare quanto previsto dall'art. 35 del regolamento, secondo il quale il titolare effettua, consultandosi con i responsabili, un'adeguata valutazione degli impatti che l'attività promozionale può deter-minare sulla protezione dei dati, qualora dalla stessa possa derivare, particolarmente in caso di uso di nuove tecnologie, un rischio elevato per i diritti e le libertà degli interessati. Tale valutazione è inderogabilmente necessaria ogniqualvolta i trattamenti che il titolare aderente ha pianificato di svolgere presuppongano, o comunque implichino, una valutazione sistematica e globale di aspetti personali relativi agli interessati, basata su un trattamento automatizzato, compresa la profilazione, dalla quale derivino decisioni in grado di produrre effetti giuridici o comunque di incidere in modo significativo su questi ultimi;

b) non raccogliere, direttamente presso gli interessati o da fonti terze o list provider, più dati di quanti siano ragionevolmente necessari alla corretta esecuzione della comunicazione commerciale e, più in generale, a garantire l'attuazione del principio di minimizzazione, con particolare riferimento alla portata dei trattamenti svolti, al periodo di conservazione dei dati e all'accessibilità agli stessi, consentendone il trattamento esclusivamente da parte di persone fisiche, agenti sotto l'autorità del soggetto aderente, che abbiano una concreta e ragionevole esigenza di accesso ai dati e che siano state debitamente autorizzate ed istruite in tal senso;

c) adottare misure tecniche e/o organizzative volte ad impedire l'estrazione o la copia non autorizzate, in modalità elettronica o cartacea anche solo parziale, dei dati presenti nelle liste di contatto da parte dei soggetti incaricati del trattamento che operino per il titolare o il responsabile. Tali misure includeranno, in sede di formazione, indicazioni chiare circa l'illiceità di comportamenti quali l'utilizzo a fini diversi da quelli inclusi nelle autorizzazioni e nelle istruzioni al trattamento e le conseguenze anche penali di tali comportamenti;

d) adottare misure tecniche e organizzative volte ad impedire l'accesso ai dati, contenuti nelle liste, da parte dei responsabili del trattamento alla scadenza del mandato;

e) garantire la rettifica dei dati inesatti raccolti e trattati, anche attraverso attività di data quality svolte autonomamente o delegate a fornitori di servizi, senza necessità di apposita richiesta da parte degli interessati ai sensi dell'art. 16 del regolamento, in tutti i casi in cui ricevano evidenza di errori nei dati di contatto riferiti all'interessato;

f) adottare procedure e misure tecniche e organizzative, anche di carattere contrattuale, idonee a garantire il tracciamento in maniera trasparente dell'intera filiera di contatto, nonché ad agevolare le varie attività di controllo da parte di organismi o Autorità competenti, oltre ad audit interni. A tal fine, a titolo esemplificativo, gli aderenti archiviano e rendono facilmente accessibili, ai soggetti autorizzati a svolgere attività di controllo, copia degli script utilizzati nel corso dell'attività di contatto e ad utilizzare sistemi di verifica delle liste fornite da terzi editori, astenendosi dall'utilizzo di quelle che non rispondano a criteri di liceità e trasparenza.

2. I committenti e i fornitori utilizzano, ove disponibili in base alla rete telefonica e consentite dalla normativa applicabile, soluzioni tecnologiche che permettano l'immediata identificabilità del numero chiamante per il cliente e ne impediscano la clonazione ad opera di terzi (ad esempio, mediante l'indicazione del brand tramite alias o di altro tratto distintivo quale, ad esempio, una numerazione telefonica ad uso esclusivo del committente per le attività outbound).

3. Fermo restando quanto disciplinato dall'art. 37 del regolamento, si raccomanda ai titolari del trattamento e, quando svolgano questo genere di servizi in via principale e continuativa, anche i soggetti scelti dai titolari, di nominare un responsabile per la protezione dei dati - data protection officer - con funzione di consultazione, consulenza, sorveglianza e controllo in materia di protezione dei dati personali. Ai fini di cui sopra, gli affidatari del servizio scelti dai titolari creano canali di interlocuzione diretta con i responsabili per la protezione dei dati nominati dai titolari o, in mancanza, con i titolari del trattamento. Tali canali devono essere espressamente formalizzati ed indicati nel contratto che regola i rapporti con il fornitore di servizi.

Sezione III

Garanzie nel trattamento

Art. 9. Trattamento di dati particolari

1. Fermo restando il divieto di trattamento per finalità promozionali dei dati personali di cui all'art. 10 del regolamento, i dati appartenenti a categorie particolari ai sensi dell'art. 9 del regolamento non possono essere utilizzati per finalità promozionale, tranne quando gli stessi siano raccolti nell'ambito di specifici rapporti contrattuali in essere con gli interessati ed il trattamento, esclusa la profilazione, sia basato sull'esplicito e specifico consenso dell'interessato ai sensi dell'art. 9, comma 2, lettera a) del regolamento.

2. Gli aderenti definiscono e adottano misure idonee, sia dal punto di vista organizzativo che tecnico ed informatico, per garantire che i dati personali rientranti in categorie particolari, eventualmente raccolti nel corso dell'esecuzione di servizi oggetto di contratti specifici stipulati con gli interessati e trattati, nei limiti stabiliti dal precedente art. 3.1, ai fini dello svolgimento di attività di teleselling e telemarketing, siano conservati separatamente, dal punto di vista fisico o anche solo logico, da quelli trattati per finalità di adempimento degli obblighi contrattuali assunti verso gli interessati e siano protetti con specifiche misure di sicurezza.

Art. 10. Script e modalità di contatto

1. Il committente mette a disposizione del fornitore, con modalità documentata e verificabile, uno script conforme al presente Codice di condotta applicabile ad ogni singola campagna di telemarketing o teleselling contenente le istruzioni da seguire per lo svolgimento dei relativi contatti ed il testo dell'informativa, altresì conforme al presente Codice di condotta, da sottoporre agli interessati.

2. Il fornitore, laddove l'interessato non abbia chiesto espressamente la chiamata o la richiamata ai sensi del successivo comma 3, può chiamare per finalità di telemarketing o teleselling le utenze telefoniche non presenti negli elenchi telefonici pubblici per le quali risulti presente un idoneo consenso e le utenze telefoniche presenti negli elenchi telefonici pubblici che non siano iscritte al RPO.

3. Qualora un interessato richiami il numero di un fornitore che lo abbia previamente contattato per finalità di telemarketing o teleselling nel rispetto della normativa vigente e del presente Codice di condotta, il relativo contatto commerciale dovrà considerarsi lecito, in quanto effettuato spontaneamente, per conto proprio, da parte dell'interessato, purché allo stesso sia fornita un'informativa secondo quanto previsto al successivo art. 11. Si applica la medesima procedura anche nel caso in cui il numero utilizzato dall'interessato per richiamare il fornitore risulti differente da quello originariamente contattato da quest'ultimo nell'ambito della campagna di telemarketing o teleselling, esentando altresì il fornitore dallo svolgimento delle verifiche con il registro pubblico delle opposizioni. Le suindicate procedure semplificate valgono con esclusivo riferimento al singolo committente per cui è utilizzata la numerazione richiamata dall'interessato. 4. Fermo restando il divieto di raccolta sistematica di contatti, potenzialmente interessati alla proposta commerciale (c.d. referenziati), da parte del chiamante e fermi restando gli obblighi informativi di cui all'art. 14 del regolamento, nonché di consultazione del RPO, il fornitore può mettere a disposizione del chiamato un canale di contatto utile da comunicare al referenziato.

5. Il contatto deve avvenire da numerazioni iscritte al ROC come indicato al precedente art. 7 e in apertura di chiamata - dopo l'indicazione del call center dal quale si chiama e il committente per il quale si chiama - deve essere specificato se la chiamata origina da un call center ubicato extra UE.

Art. 11. Informativa

1. In occasione del contatto commerciale e precisamente all'inizio della telefonata, viene utilizzato lo script fornito dal committente contenente anche un'informativa per il trattamento dei dati in forma semplificata, che indichi in maniera intellegibile almeno i seguenti elementi: le generalità del titolare, la base giuridica applicabile al trattamento e la fonte da cui sono stati raccolti i dati (ad esempio, se è stato fornito un consenso o se la numerazione è presente negli elenchi telefonici e non è risultata iscritta nel RPO). Nel corso della telefonata, l'operatore deve essere in grado di indicare, su richiesta, le generalità dell'eventuale responsabile, le finalità e le modalità del trattamento, un recapito presso il quale poter esercitare, in forma agevole e gratuita, i diritti di cui agli articoli 15-22 del regolamento. Inoltre, prima di procedere alla raccolta di qualsiasi dato personale dell'interessato o su richiesta dello stesso, l'operatore indica dove può essere reperita l'informativa estesa, che verrà comunque rilasciata prima dell'eventuale stipula del contratto.

2. In applicazione degli articoli 12, 13 e 14 del regolamento e nel rispetto delle indicazioni fornite dal Garante e dal Comitato europeo per la protezione dei dati, l'informativa sia nella sua forma sintetica sopra indicata, sia in quella estesa, è resa in un linguaggio semplice e di agevole e rapida comprensione. In riferimento all'informativa estesa, si devono, inoltre, tenere in considerazione, l'utilità di testi multi-strato, con un dettaglio progressivo delle informazioni, partendo da quelle indicate al precedente comma 1, nonché le esigenze delle persone in condizione di vulnerabilità o affette da disabilità, alle quali ultime devono essere assicurati, quando applicabili, i previsti parametri di accessibilità, anche web nonché, in ogni caso, l'agevole ed effettiva comprensione del testo, anche grazie, ove possibile, all'ausilio di icone, disegni, audio e video.

Art. 12. Consenso

1. Il consenso per finalità di telemarketing e teleselling viene ritenuto valido se adeguatamente informato ai sensi degli articoli 12, 13 e 14 del regolamento e in linea con le indicazioni del suindicato art. 11 del presente Codice di condotta, nonché libero, specifico, inequivocabile e documentabile mediante elementi precisi e circostanziati quali, ad esempio, quelli di cui al precedente art. 6, comma 1, lettera a). In attuazione dei principi di finalità, correttezza e trasparenza di cui all'art. 5 del regolamento, le finalità contenute nella formula di acquisizione del consenso devono corrispondere con esattezza alle finalità indicate nell'informativa resa in conformità al regolamento, nei modi specificati al precedente art. 11.

2. Non è valido il consenso:

a) generico al trattamento dei dati;

b) unico per finalità contrattuali, o amministrative o contabili, e per trattamenti di marketing, di profilazione, o di comunicazione a terzi per finalità diverse da quelle contrattuali, o amministrative o contabili;

c) unico per trattamenti di marketing e di marketing su dati oggetto di profilazione;

d) unico per finalità di marketing proprio e di comunicazione a terzi per finalità promozionali;

e) preselezionato, sia vincolato sia deselezionabile, per qualsiasi genere di finalità sopra descritta;

f) non adeguatamente documentato o documentabile con certezza.

3. In caso di acquisizione del consenso in modalità non ammesse ai sensi del precedente comma 2, si considera illecita sia la raccolta sia ogni successiva attività di trattamento, anche in caso di mancato effettivo utilizzo, per finalità promozionali e/di profilazione, dei dati raccolti.

4. L'attività di profilazione finalizzata al marketing richiede un consenso specifico e distinto, in linea con i requisiti di cui al precedente comma 1, rispetto al consenso per l'effettuazione di attività promozionali. Non necessita di un consenso specifico e distinto l'attività di classificazione degli interessati eseguita da parte o per conto dell'aderente purché sia effettuata come descritto al precedente art. 2, comma 2, lettera l) e non comporti in alcun modo un'attività di profilazione.

5. Il diniego alla ricezione di contatti commerciali espresso nel corso della telefonata promozionale o in altra sede, anche in forma orale, purché riferibile ad un interessato già identificabile, o che altrimenti acconsente ad essere identificato fornendo i propri dati anagrafici, s'intende quale revoca del consenso o come opposizione al trattamento della numerazione per finalità di telemarketing e teleselling, con limitato riferimento al committente nell'interesse del quale è stato effettuato il contatto commerciale o al titolare che l'abbia eseguito in via diretta e all'individuo che ha espresso tale diniego, il quale deve confermare altresì, in caso di utenza fissa, di esserne il titolare. Il medesimo diniego viene raccolto prontamente e senza ingiustificato ritardo dal chiamante al fine di garantirne la pronta operatività, già nell'ambito della campagna promozionale in corso.

6. Si considera quale valida manifestazione di interesse che precede l'avvio del contatto commerciale uscente, anche a fronte del rilascio di informativa semplificata nelle forme sopra disciplinate, purché debitamente tracciata e comprovabile come, ad esempio:

a) la pressione di un tasto numerico sulla tastiera entro un certo intervallo di tempo, o l'espressione vocale di consenso tramite pronuncia di termini inequivocabili quali «CONSENTO», «ACCETTO» o la risposta affermativa «SI» alla domanda se, ricevuta l'informativa, si vuole proseguire con la telefonata promozionale;

b) l'inserimento di OTP univoco su una apposita pagina quando richiesto dall'IVR o dall'operatore incaricato dal titolare o dal fornitore;

c) il rilascio in un form web dei propri dati personali unitamente alla selezione di una casella relativa al consenso al trattamento dei propri dati personali per finalità promozionali;

d) qualsiasi altra modalità di firma elettronica prevista dall'ordinamento o registrazione della volontà su supporto durevole.

Art. 13. Trasmissione dei dati a terzi

1. I dati raccolti o trattati per finalità di telemarketing e teleselling non possono essere comunicati dagli aderenti, salvo quanto previsto al successivo comma 2.

2. La trasmissione di dati personali da un aderente a terzi autonomi titolari ai fini dello svolgimento delle loro proprie attività promozionali può considerarsi lecita solo in presenza di un idoneo consenso dell'interessato per questa specifica finalità, ferma restando l'applicazione della disciplina relativa al registro pubblico delle opposizioni ivi incluso quanto previsto per gli elenchi telefonici. In caso di interessati a cui l'informativa sia stata fornita esclusivamente per via telefonica, la eventuale modifica dell'informativa può essere notificata anche con SMS con il link alla nuova informativa.

3. I titolari aderenti al presente Codice di condotta possono adempiere all'obbligo disposto dall'art. 1, comma 8, della legge 11 gennaio 2018, n. 5, tramite pubblicazione nel proprio sito web di apposita lista aggiornata contenente gli estremi identificativi di tutte le terze parti, agenti quali autonomi titolari, a cui l'aderente abbia comunicato le numerazioni telefoniche rilevanti, purché dell'esistenza di tale lista sia in qualunque modo fornita evidenza all'interessato nell'informativa rilasciata al momento della raccolta dei dati e del consenso rilevante, oltre che in occasione di ogni successiva comunicazione promozionale svolta direttamente dall'aderente verso l'interessato.

Sezione IV

Misure a garanzia del corretto trattamento della «filiera»

Art. 14. Controllo della «filiera»

1. Oltre a quanto espressamente già previsto dal regolamento, dal Codice e dalle altre disposizioni del presente Codice di condotta, gli aderenti e i soggetti operanti per conto di essi sono tenuti al rispetto delle seguenti misure volte a garantire la correttezza e legittimità dei trattamenti svolti nella «filiera» del telemarketing; in particolare:

a) ciascun aderente verifica il possesso dei requisiti dichiarati dall'affidatario del servizio mediante verifica documentale e/o ispezione interna, con frequenza idonea e con modalità e strumenti adeguati alla situazione di fatto, tenendo traccia delle motivazioni delle scelte effettuate in apposito documento;

b) gli aderenti al presente Codice di condotta si impegnano, anche mediante inserimento di idonea previsione nell'atto giuridico vincolante che disciplina i trattamenti da parte del responsabile, di cui all'art. 28, par. 3, del regolamento a:

i. consentire al titolare di verificare in affiancamento a tecnici del responsabile, in sede di verifica o ispezione interna, il rispetto delle misure di sicurezza previste per il trattamento dei dati affidati in outsourcing e trattati mediante i sistemi fisici ed informatici dell'affidatario del servizio (nell'accezione più ampia di cui all'art. 4, par. 1, n. 2 del regolamento);

ii. implementare gli standard garantiti in prima nomina tenuto conto dello stato dell'arte, dei costi di attuazione, nonché nella durata e del contesto del trattamento delegato;

iii. vietare l'affidamento delle attività delegate a sub responsabili, salva l'espressa autorizzazione da parte del committente/titolare del trattamento, che potrà essere concessa solo per soggetti che garantiscano i medesimi standard richiesti dal presente Codice di condotta per i responsabili del trattamento.

2. Il titolare garantisce, anche grazie alla necessaria cooperazione da parte dei propri responsabili del trattamento, il pieno, puntuale e costante controllo dell'intera filiera di soggetti comunque coinvolti in qualunque fase preparatoria o di esecuzione della campagna promozionale. In tale prospettiva:

a) i committenti pongono in essere procedure e/o misure tecniche volte a favorire il perfezionamento di contratti con gli interessati verso cui siano stati svolti contatti commerciali, direttamente da parte del committente o da fornitori per conto di quest'ultimo, purché tutte le relative operazioni siano svolte alle condizioni e secondo le modalità stabilite dalla vigente normativa in materia di protezione dei dati personali e dal presente Codice di condotta; in particolare, qualora l'interessato accetti una proposta di contratto in occasione di contatto commerciale, il committente è tenuto a garantire la tracciabilità del contratto rispetto alla numerazione contattata e al nominativo del fornitore ha eseguito il contatto;

b) i committenti, che ricevano dai fornitori contrattualizzati l'indicazione di contratti perfezionati nel corso delle attività promozionali svolte da questi ultimi in qualità di responsabili del trattamento, adottano soluzioni tecnologiche che consentano la stipula a distanza e l'adozione di sistemi tecnologici volte a garantire la sicurezza e certezza delle relative operazioni contrattuali;

c) in particolare, nel caso di contratti perfezionati per mezzo dei servizi forniti da agenzie che operino direttamente in presenza e con modalità di sottoscrizione non elettroniche (c.d. contratti cartacei), i committenti, nell'ambito delle misure previste dai periodi precedenti, adottano soluzioni organizzative e tecniche che garantiscano la corretta e specifica acquisizione dei dati identificativi del cliente; dell'indicazione del committente medesimo; della data e del tipo di offerta; della ragione sociale dell'agenzia incaricata; nonché l'utilizzo dei dati acquisiti esclusivamente per quell'operazione, impedendo qualsiasi possibilità di illegittimo riutilizzo.

3. I committenti garantiscono che gli accordi che regolano i rapporti commerciali con i fornitori richiamano gli obblighi di controllo e collaborazione derivanti dal presente Codice di condotta e prevedono meccanismi di risoluzione e/o altra misura negoziale, anche sotto forma di penale, idonea a scoraggiare pratiche contrarie a quanto ivi previsto.

Art. 15. Data quality - trattamenti consentiti

1. I trattamenti nell'ambito delle verifiche della data quality possono essere svolti da parte dei titolari, anche grazie al supporto di fornitori, in virtù di un'idonea base giuridica ai sensi dell'art. 6 del regolamento, nei limiti stabiliti al successivo comma 2.

2. Nell'ambito delle attività di cui al presente Codice di condotta, il titolare può avvalersi di sistemi e strumenti automatizzati di raccolta dei dati, purché impostati in maniera tale da eseguire unicamente la correzione dei dati inesatti presenti nelle liste caricate da parte del titolare; tale trattamento deve essere riferito esclusivamente a dati della medesima tipologia/qualità fornita dall'utente e può essere effettuato solo nei casi in cui tale ricorso a dati non forniti direttamente dall'interessato sia indispensabile per l'esclusivo scopo di adottare politiche di garanzia dell'esattezza delle informazioni raccolte.

3. Dall'attività di data quality va tenuta distinta l'eventuale, diversa, attività di arricchimento dei dati, che deve prevedere una valutazione preliminare della finalità della stessa e della necessità effettiva della realizzazione di tali trattamenti, al fine di garantire in modo comprovabile che le azioni poste in essere abbiano adeguata base giuridica e rispettino i principi di cui all'art. 5 del regolamento.

4. Il titolare conserva per cinque anni il file o tabella di confronto prodotto dai sistemi automatizzati eventualmente impiegati, così da poterlo fornire al Garante, in caso di specifica richiesta.

Art. 16. Controllo dell'origine del contratto

1. I titolari del trattamento adottano procedure organizzative e/o tecniche finalizzate a comprovare che i dati dell'interessato/contraente/ utente siano stati acquisiti nel rispetto dei principi di cui all'art. 5, par. 1, del regolamento; in particolare, tenuto conto del principio di proporzionalità, mediante misure by default, gli stessi implementano nei sistemi apposite procedure che individuino le campagne promozionali, le liste di contatto e gli operatori coinvolti in ogni contratto concluso a distanza e siano in grado di comprovare la correttezza delle informazioni di cui sopra. Tali procedure impediscono la registrazione di contratti dei quali le predette informazioni non siano rinvenibili. In caso di registrazione di contratti a distanza privi delle predette informazioni, si applica quanto previsto ai sensi del successivo comma 6.

2. Gli aderenti al presente Codice di condotta assicurano che tutta la filiera tratti i dati esclusivamente sulla base di un idoneo consenso al trattamento per finalità di telemarketing e teleselling che sia chiaramente distinto dalla manifestazione della volontà negoziale.

3. I committenti, monitorano nei modi indicati nel presente Codice di condotta la correttezza delle attività di contatto delegate anche ponendo in essere attività di controllo della qualità/legittimità delle chiamate, nonché di verifiche tra contraenti contattati, liste di contatto e contratti attivati.

4. Le attività di cui sopra possono essere effettuate anche a campione, purché in misura quantitativamente proporzionata all'attività svolta, anche tramite l'eventuale ausilio di questionari qualora coinvolgano il cliente.

5. Nell'effettuare l'attività di controllo di qualità, i titolari del trattamento privilegiano l'utilizzo di metodologie non invasive per il personale predisposto all'attività di contatto, come ad esempio questionari di gradimento somministrati ai contraenti al termine della chiamata o misure che garantiscano il controllo tra liste affidate, numerazioni contattate e contratti attivati.

6. Il committente sviluppa i propri processi affinché i contratti stipulati a seguito di attività di teleselling avvengano in presenza di un inequivocabile consenso al contatto originario, salvi i casi ricadenti nell'ambito di applicazione dell'art. 130, comma 3-bis del Codice. In sede di prima applicazione del presente Codice di condotta e ad esclusiva tutela dell'interessato, nel caso a seguito dei controlli emergano contratti per i quali risulti viziato il primo contatto, detti contratti possono continuare ad avere esecuzione purché il committente informi l'interessato dell'origine viziata del contratto e che lo stesso interessato confermi la volontà di volerlo mantenere, fatti salvi i casi residuali in cui il cliente non dia seguito a comprovati tentativi di contatto del committente. Il committente, con cadenza regolare, non inferiore a tre mesi, da definire nell'ambito dell'organismo di monitoraggio di cui al successivo art. 18, fornisce il numero di contratti in violazione rispetto al numero totale del campione controllato e/o in percentuale secondo tale procedura; tali dati sono trasmessi al Garante. Resta ferma l'applicabilità dei poteri correttivi di cui all'art. 58 del regolamento, nonché delle responsabilità di cui agli articoli 82, 83 e 84 del regolamento.

7. Il contratto con l'affidatario del servizio deve espressamente prevedere un meccanismo sanzionatorio, sotto forma di penale e mancata corresponsione o annullamento della provvigione, per ogni contratto predisposto in assenza di un contatto legittimo. Tale ipotesi di misura sanzionatoria deve essere espressamente prevista anche laddove l'interessato confermi l'interesse al contratto ma risulti illegittimo il contatto effettuato dall'affidatario del servizio. Le penali imposte dovranno essere parametrate rispetto all'entità delle provvigioni ed alla percentuale di contratti sottoposti a controllo in modo da essere dissuasive, ad esempio pari al triplo della provvigione prevista e non corrisposta o richiesta in ripetizione per ciascun contratto. Resta ferma la possibilità del committente di risolvere il contratto, nonché di prevedere altre tipologie di penali, ad esempio, importi percentuali rispetto alle commissioni previste.

8. I titolari del trattamento pongono altresì in essere misure organizzative, contrattuali o tecnologiche efficaci nel garantire che gli affidatari delegati al trattamento cancellino le liste di contatto una volta esaurita la campagna delegata.

Art. 17. Fornitori plurimandatari

1. Ove le attività di telemarketing/teleselling con conclusione del contratto a distanza vengano effettuate per il tramite di fornitori plurimandatari, i titolari del trattamento garantiscono che tali soggetti, oltre a sottostare a tutte le prescrizioni previste per gli affidatari dei servizi nel presente Codice di condotta e ferma restando la propria autonomia imprenditoriale, effettuino i contatti adottando misure di separazione logiche degli ambienti di lavoro, affinché il personale non possa gestire simultaneamente liste di contatti per più committenti in violazione delle istruzioni ricevute e in violazione del presente Codice di condotta. Al personale viene richiesto il possesso di requisiti di preparazione, opportunamente documentati tramite esito di formazione anche con riferimento al presente Codice di condotta.

Art. 18. Organismo di monitoraggio

1. Fatti salvi i compiti e i poteri del Garante di cui agli articoli 56 - 58 del regolamento, il rispetto del presente Codice di condotta da parte degli aderenti è garantito da apposito organismo di monitoraggio (di seguito «OdM» o «Organismo», costituito e accreditato ai sensi dell'art. 41 del regolamento.

2. L'OdM è esterno all'organizzazione delle associazioni promotrici ed è composto da un numero di nove componenti, incluso il presidente. I componenti dell'OdM, selezionati tra soggetti in possesso di comprovata esperienza in materia di protezione dei dati personali, con particolare riguardo al settore del marketing, e nello svolgimento di compiti di vigilanza e controllo, nonché di approfondita conoscenza dei mercati, delle filiere e delle categorie interessati dal presente Codice di condotta, sono individuati sulla base delle candidature presentate dalle associazioni promotrici. I componenti dell'OdM garantiscono e mantengono per l'intera durata dell'incarico i necessari requisiti di onorabilità, indipendenza, imparzialità e competenza. L'incarico del presidente e dei componenti ha durata quinquennale, non rinnovabile. Con almeno tre mesi di anticipo rispetto alla scadenza del mandato dell'OdM, le associazioni promotrici provvederanno a richiedere l'accreditamento dell'organismo nella nuova composizione.

3. Al fine di garantire la piena indipendenza e imparzialità dei componenti dell'OdM, evitando qualsiasi forma di interferenza, condizionamento o conflitto di interessi, l'organismo nel proprio complesso e i singoli componenti dello stesso, non devono subire alcuna ingerenza nell'esercizio delle proprie attività da parte degli aderenti al presente Codice di condotta. Nello svolgimento delle proprie funzioni di controllo, inoltre, l'OdM non sarà soggetto, in via diretta o indiretta, ad alcuna forma di controllo, vigilanza o potere gerarchico da parte degli aderenti e adotterà le proprie decisioni senza che alcuno di essi possa in alcun modo sindacarle.

4. Le attività dell'OdM, debitamente rendicontate, saranno finanziate da parte di ciascuno degli aderenti al presente Codice di condotta, mediante il pagamento di quote stabilite e annualmente aggiornate dall'OdM, previa consultazione degli aderenti, secondo criteri di economicità ed efficienza, tenendo conto delle dimensioni e delle modalità organizzative degli aderenti.

5. Spetta all'OdM:

a) garantire il rispetto del presente Codice di condotta da parte degli aderenti, anche predisponendo tutte le verifiche ritenute opportune, ivi inclusi controlli, sia in remoto che presso la sede degli aderenti, i quali saranno tenuti a prestare la massima collaborazione ai fini del proficuo svolgimento di tali attività;

b) fornire al Garante e agli aderenti resoconti riassuntivi periodici, con cadenza almeno annuale, relativi alle attività svolte, ivi inclusi i controlli e le verifiche effettuate;

c) mettere a disposizione degli aderenti, con cadenza annuale, una rendicontazione economica inerente alle attività svolte, alle spese sostenute e agli emolumenti eventualmente elargiti;

d) fornire periodicamente, con cadenza almeno annuale, al Garante, alle associazioni promotrici e agli aderenti informazioni sul funzionamento del presente Codice di condotta, specie quelle che evidenziano la necessità di apportarvi modifiche.

6. L'OdM ha, altresì, facoltà di:

a) proporre linee di indirizzo per la gestione e la risoluzione di contestazioni insorte tra aderenti ed interessati, e tra aderenti, esclusivamente relativa a violazioni e/o modalità applicative del presente Codice di condotta;

b) promuovere la costituzione di gruppi di lavoro tecnici per l'individuazione di soluzioni tecnologiche di supporto allo svolgimento delle attività di telemarketing e teleselling;

c) promuovere uniforme interpretazione del presente Codice di condotta, adottando all'occorrenza apposite linee guida e/o suggerendo opportune best practice.

7. Tenuto conto del funzionamento del presente Codice di condotta e previa consultazione degli aderenti, l'OdM può adottare ogni iniziativa funzionale a garantire il rispetto del presente Codice di condotta, compresa la gestione dei reclami eventualmente insorti tra aderenti ed interessati, e tra aderenti, relativamente a violazioni e/o modalità applicative del presente Codice di condotta. Resta in ogni caso salvo il diritto dell'interessato a presentare un reclamo al Garante e/o ad avviare procedure giudiziali di tutela dei propri diritti ai sensi degli articoli 77 e 79 del regolamento.

8. L'OdM adotta un regolamento interno che può disciplinare:

a) le cause di cessazione dell'incarico del presidente e dei componenti;

b) i tempi e le modalità per reintegrare la composizione dell'OdM a nove membri nel caso di decadenza o cessazione della carica di uno o più componenti, per qualsiasi ragione, nel corso della naturale durata del mandato;

c) i quorum deliberativi e costitutivi dell'OdM;

d) la procedura per l'adesione al presente Codice di condotta, nonché le cause di revoca o sospensione temporanea dell'adesione;

e) il protocollo di collaborazione per lo svolgimento delle verifiche e dei controlli svolti dall'OdM;

f) le procedure di conferimento incarichi a soggetti terzi.

9. A parziale deroga di quanto previsto al precedente comma 2, la durata del primo organismo di monitoraggio accreditato è di tre anni, non rinnovabile.

Sezione V

Disposizioni transitorie e finali

Art. 19. Entrata in vigore e disposizioni transitorie e finali

1. Le disposizioni di cui al presente Codice di condotta si applicano ai suoi aderenti; questi ultimi sono tenuti a prevederne l'applicazione, compresi se del caso la vigilanza dell'OdM e il pagamento dei conseguenti oneri, per via negoziale nei rapporti con i fornitori o i committenti che non vi aderiscano.

2. L'adesione al presente Codice di condotta è richiesta mediante istanza all'Organismo di monitoraggio che, entro quindici giorni dalla sua ricezione, comunica all'istante l'avvenuto inserimento nell'apposito elenco degli aderenti.

3. Il presente Codice di condotta è approvato in data 21 luglio 2022 e viene sottoposto a procedura di consultazione pubblica. Il medesimo Codice di condotta verrà eventualmente rivisto in base agli esiti di detta consultazione e sottoposto all'approvazione del Collegio del Garante.

4. Il Codice di condotta eventualmente rivisto ai sensi del precedente comma entrerà in vigore, previo accreditamento dell'OdM, ai sensi dell'art. 41 del regolamento, quindici giorni dopo la sua pubblicazione nella Gazzetta ufficiale della Repubblica italiana.

5. Le misure necessarie per l'applicazione del presente Codice di condotta sono adottate dai soggetti aderenti entro il termine di sei mesi dall'entrata in vigore del Codice di condotta.

6. Le Associazioni promotrici possono promuovere il riesame e l'eventuale modifica dello stesso, anche alla luce di novità normative, delle prassi applicative del regolamento, del progresso tecnologico o dell'esperienza acquisita nella sua applicazione, sottoponendo le proposte di modifica all'approvazione del Garante ai sensi dell'art. 40 del regolamento.