È noto che l’attività di telemarketing sia più volte stata attenzionata dagli interventi delle autorità di controllo e che il settore sia naturalmente caratterizzato da una continua tensione fra le contrapposte esigenze di un saldo positivo di esercizio dell’attività commerciale in un mercato altamente competitivo e i costi delle garanzie da dover mantenere nei confronti degli interessati. L’autorità garante per la protezione dei dati personali ha annunciato l’avvio dei lavori per la stesura di un codice di condotta riguardante le attività di telemarketing e che si ponga in contrasto con il fenomeno delle chiamate promozionali indesiderate, coinvolgendo i rappresentanti di committenze, contact center, list provider e consumatori.
Lo strumento del codice di condotta è previsto dall’art. 40 GDPR, con lo scopo di precisare l’applicazione del GDPR e declinare i principi all’interno di un settore specifico grazie alla partecipazione di associazioni e rappresentanti delle categorie coinvolte di titolari e responsabili del trattamento, con la previsione di un organismo indipendente accreditato presso il Garante per la verifica dell’osservanza da parte dei soggetti aderenti allo stesso.
Nel momento in cui l’autorità di controllo esprime parere positivo e approva il codice di condotta (art. 40.5 GDPR) e procede alla sua pubblicazione (art. 40.6 GDPR), l’adesione diventa funzionale a dimostrare:
- il rispetto degli obblighi in materia di protezione dei dati personali (art. 24.3 GDPR);
- l’adeguatezza delle misure di sicurezza poste in atto (art. 32.3 GDR);
- garanzie adeguate delle attività di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale (art. 46.2 lett. e) GDPR);
- garanzie sufficienti per la selezione di un responsabile del trattamento (art. 28.5 GDPR).
Quello che può apparire come “trattato di pace” fra Authority e settore del telemarketing, può essere letto anche come standard di riferimento per tutti i soggetti che intendano avviare o impiegare attività di questo tipo, o che non intendano aderire al codice di condotta. Controllare le attività di trattamento prendendo come criterio di riferimento uno standard di settore non può infatti che costituire un valido elemento di rendicontazione degli adempimenti, soprattutto nella parte in cui – tanto nella conformità normativa quanto nella sicurezza – viene richiesta una valutazione di adeguatezza.
L’auspicio, inoltre, è che gli spunti che emergeranno dal corso dei lavori possano essere di più ampio respiro e portare alla formulazione di principi generali in considerazione di quell’evoluzione tecnologica inevitabile che diventa al contempo impossibile da inseguire con aggiornamenti continui del codice di condotta e dal punto di vista degli operatori di mercato economicamente insostenibile da ostacolare negli investimenti in modo aprioristico secondo logiche di autorizzazione preventiva. Se così non fosse, si andrebbe in contrasto con le logiche fondamentali di responsabilizzazione previste dal GDPR.
