Codice di condotta telemarketing: le difficoltà da superare

Il Codice di Condotta in materia di telemarketing e teleselling è oramai in pista da un anno esatto, se bene per le aziende sia possibile aderire solo da pochi mesi.

Molte committenze lo hanno già fatto, altre si stanno preparando a farlo. Lo stesso dicasi per gli outsourcers, sia che essi appartengano alla categoria dei Contact Center/Agenzie sia che appartengano a quella dei List Providers.

Codice di condotta telemarketing: le regole e i problemi

È innegabile, però, che conformarsi a talune delle regole/obblighi del Codice di condotta non sia affatto semplice.

Proprio di questo si parlerà nel prossimo Privacy Symposium di Venezia, in un panel cui troveranno posto esponenti di tutte le categorie coinvolte, quindi Autorità Garante per la Protezione dei dati personali, Organismo di Monitoraggio, grandi Committenze, Associazioni di categoria rappresentative degli Outsourcers, rappresentanti dei Consumatori e, infine, esponenti politici impegnati in prima linea nella riforma della disciplina del Contact Center.

Per quanto riguarda buona parte delle regole circostanziate dal Codice, con un po’ di onestà intellettuale, si può rilevare come esse siano assolutamente accessibili per chiunque possieda un minimo di struttura organizzativa.

Ma quali sono, nel dettaglio, le incombenze previste dal Codice di Condotta e quali, tra esse, richiedono un effort particolare a livello di investimenti o, addirittura, impongono modifiche sostanziali delle modalità operative?

Vediamole nel dettaglio.

Gli obblighi a basso impatto

Come noto, il Codice individua, nella sua sezione II, gli obblighi per gli aderenti a seconda che essi siano titolari del trattamento (art. 5), list providers (art. 6) o fornitori che eseguono in contatti (art. 7). All’art. 8 vengono riportati gli obblighi comuni, che insistono quindi su tutti gli aderenti a prescindere dalla categoria a cui appartengono. Nella sezione III vengono indicate ulteriori garanzie che gli aderenti devono assicurare nel trattamento dei dati personali per finalità di telemarketing e teleselling (artt. da 9 a 13) mentre nella sezione IV (artt. da 14 a 17) sono riportate la misure che i titolari del trattamento devono porre a garanzia del corretto controllo della filiera di trattamento.

Vorrei qui però suddividere le misure principali imposte dal Codice (senza presunzione di completezza) secondo un diverso criterio: quello dell’effort necessario per implementarle, a livello economico e/o a livello di impatto organizzativo.

Partirei quindi dalle misure a impatto basso o nullo, dal punto di vista economico e organizzativo.

Direi che sono misure sostanzialmente doverose, se si intende trattare dati personali.

Nel novero, rientrano, a mio parere, le seguenti:

• implementare procedure efficaci per la gestione delle istanze di esercizio dei diritti degli interessati e per la gestione delle violazioni dei dati personali (art. 5 comma 3, lettera a e lettera b)
• confrontare le liste di contatti ottenute dai list providers con la propria black list (art. 5 comma 4)
• tenere traccia per almeno tre mesi degli esiti delle verifiche effettuate presso il RPO (art. 5 comma 4) e verificare che anche le liste utilizzate dai partners auto-procacciatori siano state sottoposte alla verifica presso il RPO (art. 6, comma 2, lettere a e b)
• garantire la reperibilità dei fornitori di banche dati e di servizi, in particolare quando questi soggetti sono situati extra SEE (art. 6, comma 1, lettera b)
• verificare la presenza di un regolamento, per il caso di banche dati formate tramite partecipazione a concorsi a premi (art. 6 comma 1, lettera c)
• informare l’editore o il fornitore delle liste delle manifestazioni di volontà negativa espresse dagli interessati (art. 6, comma 2, lettera d)
• per i list providers, fornire al titolare una dichiarazione di conformità delle liste cedute a livello di correttezza, liceità e aggiornamento dei consensi raccolti (art. 6, comma 3)
• rispettare la disciplina AGCOM (art. 7, comma 1 e comma 2).

N.B.: Questa incombenza, a impatto nullo per i committenti e contact center, presuppone invece un cambiamento di approccio e di organizzazione da parte delle Agenzie.

• Monitorare il rispetto delle istruzioni impartite da parte del personale adibito alle attività di trattamento, anche se si tratta di agenti o parasubordinati (art. 7, comma 3, lettera a)
• per i fornitori di servizi, fornire periodicamente, al titolare del trattamento/committente, un report dettagliato sulle campagne effettuate, registrare le istanze di opposizione o revoca del consenso comunicandole al Committente, rispettare limiti di orario nelle chiamate, saper fornire informazioni complete agli interessati (art. 7, comma 3, lettere c, d, f, g)
• effettuare una valutazione di impatto e assicurare il rispetto dei principi di minimizzazione ed esattezza (art. 8, comma 1, lettere a, b, e)
• adeguare gli script e le informative (art. 10, comma 1 e art. 11, comma 1 e 2).

Vi sono poi misure ad impatto medio, sotto l’aspetto economico ed organizzativo.

Gli obblighi del codice condotta, a impatto medio

Con impatto medio intendo che, per applicarle, un aderente dovrà necessariamente fare uno sforzo organizzativo che potrebbe comportare anche dei costi.

Tra queste, rientrano:

• attuare una procedura di prequalifica dei fornitori che assicuri gli standard del Codice di Condotta (art. 5, comma 1 e comma 2) e verificare che i fornitori rispettino le istruzioni impartite e gli standard accertati in sede di prequalifica (art. 5, comma 6, art. 14, comma 1, lettere a e b)
• attuare piani di formazione con cadenza almeno annuale(art. 5 comma 7)
• nominare un DPO (non mandatorio ma raccomandato) e creare canali di contatto tra i DPO (o tra chi si occupa di data protection) lungo la filiera di trattamento (art. 8, comma 3)
• adottare procedure e misure tecniche/organizzative (di carattere anche contrattuale) utili a garantire il tracciamento dell’intera filiera di contatto e ad agevolare le attività di controllo (art. 8, comma 1, lettera f ed art. 14 comma 1)
• adottare misure idonee per garantire che i dati particolari eventualmente raccolti nell’esecuzione dei contratti siano conservati separatamente e protetti con specifiche misure di sicurezza (art. 9, comma 2)
• adeguare le modalità di raccolta del consenso e di accoglimento delle opposizioni (diniego) (art. 12)
• prevedere misure contrattuali che includano meccanismi di risoluzione e/o penali idonee a scoraggiare pratiche contrarie al Codice di Condotta (art. 14, comma 3)
• prevedere misure di separazione logica degli ambienti di lavoro, per committenza, a carico dei fornitori plurimandatari (il personale non deve poter gestire simultaneamente liste di contatto per più committenti) (art. 17).

Misure ad alto impatto

Arriviamo, in fine, alle misure che necessariamente comportano un investimento in termini di sviluppo non indifferente. Uno sviluppo che impone, altrettanto necessariamente, un effort non banale a livello economico e altresì, per talune situazioni (esempio canale Agenzie) un sensibile cambio di paradigma nell’operatività.

E sono, purtroppo, proprio queste le misure che garantiscono maggiore efficacia (si spera) nel contrastare le pratiche scorrette che rendono remunerativo il telemarketing ed il teleselling illegali.

Vediamole nel dettaglio:

• predisporre una piattaforma di registrazione delle proposte di contratto sicura sotto l’aspetto degli accessi e della garanzia di riservatezza, integrità, disponibilità e che permetta la piena tracciabilità delle operazioni svolte (art. 5, comma 8).

È complesso da realizzare? No.

La maggior parte delle piattaforme in uso permettono implementazioni in tal senso.

La vera difficoltà, sta nel gestire i c.d. falsi alert che possono essere bloccanti per l’operatività.

È costoso? Si.

Questa misura impatta sui titolari del trattamento ma non appare affatto irragionevole.

Non è pensabile, infatti, neppure in assenza di un Codice di Condotta, che si possano gestire delle informazioni personali mediante piattaforme che non impediscano l’accesso a terzi non autorizzati.

• adottare corrette modalità di acquisizione del consenso e tenere traccia dei consensi acquisiti con modalità che garantiscano l’immodificabilità della data e dell’origine, verificandone un campione significativo (art. 6, comma 1, lettera a).

È complesso da realizzare? Sì e no.

No: se si utilizzano canali di lead acquisition strutturati, quali list providers, comparatori o piattaforme proprietarie (sito web del titolare).

Il problema però è che tutti i fornitori devono adeguarsi a questa previsione e, ciò, richiede tempo e contrattazione.

Si: è molto complesso, se si concede al canale agenzie la possibilità di chiamare, non dico per vendere, ma anche solo per prendere appuntamento.

Come noto, infatti, le agenzie operano spesso tramite una rete di agenti che fanno dei loro contatti un vero e proprio asset, difficilmente conforme, a livello di accountability, rispetto ai consensi.

È costoso? Si.

Questo, forse, è uno dei punti maggiormente dolenti.

Sinora l’accountability in ordine alla corretta acquisizione del consenso è stata posta in essere con modalità del tutto inadeguate a garantire la certezza di quanto dichiarato.

Nella migliore delle ipotesi, fogli Excel riportanti numeri di IP associati a time-stamp, così da rendere del tutto impossibile comprovare che le informazioni riportate non fossero artefatte.

Francamente io non credo che si possa asserire che circostanziare il dovere di poter rendicontare in modo certo il fatto di aver acquisito un consenso vada oltre quanto previsto, in modo ben chiaro, dal GDPR dall’art. 7. Forse è utile ricordarne la previsione: “il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il consenso al trattamento dei propri dati personali”.

• Adottare misure tecniche e/o organizzative utili ad impedire l’estrazione o la copia non autorizzate dei dati presenti nelle liste di contatto e l’accesso alle liste, da parte dei responsabili, una volta scaduto il mandato (art. 8, comma 1, lettere c e d).

È complesso da realizzare? Forse.

È costoso? Si.

Considerata la possibilità, offerta dal Codice, di ottemperare anche con misure organizzative a questa incombenza, resta aperta solo la problematica relativa alla impostazione delle modalità di lavoro e della piattaforma che, in ogni caso, potrebbe presupporre/necessitare, investimenti di tipo economico per essere messa in conformità.

Non appare comunque condivisibile che si possa considerare come esagerata una previsione che richiede di impedire che chiunque possa estrarre una lista di contatti ed usarla senza autorizzazione.

• Utilizzare soluzioni che garantiscano la immediata identificabilità del numero chiamante e impediscano la clonazione ad opera di terzi.

È complesso da realizzare? No per quanto riguarda l’identificabilità. Assolutamente SI per quanto riguarda il CLI Spoofing.

È costoso? Vedi sopra.

Sul mercato, di soluzioni tecnologiche per l’identificazione del brand, anche tramite alias, ne esistono anche a costi accessibili.

Rispetto invece al CLI Spoofing, la faccenda si fa più seria e si resta in attesa di soluzioni imposte, a monte, da AGCOM ai gestori di servizi telefonici.

• Adottare misure tecniche e/o procedure efficaci nel garantire che i contratti perfezionati tramite partners (a distanza o in presenza) siano assicurino certezza, liceità e correttezza nonché sicurezza delle informazioni trattate (art. 14, comma 2, lettere a, b e c).

È complesso da realizzare? Forse.

Soprattutto nella gestione dei contratti conclusi in presenza, su moduli cartacei, che si prestano a comportamenti fraudolenti.

Ma soluzioni, anche low budget, esistono.

Si tratta solo di operare “by design” fornendo ai partners le corrette procedure e, ove possibile, supporto di tipo tecnologico e poi verificare in modo efficace il rispetto delle prescrizioni.

È costoso? Non necessariamente.

• Adottare misure che, by default, siano efficaci nell’assicurare che i dati dell’interessato siano acquisiti nel pieno rispetto delle previsioni del codice, impedendo la registrazione (e quindi la remunerazione) di contratti in cui non sia correttamente verificabile il percorso di correttezza dalla raccolta della lista di contatto sino alla contratto e, se del caso, informare l’interessato dell’origine viziata del contatto offrendogli la possibilità di risolverlo senza costi (art. 16, il vero cuore del Codice di Condotta).

È complesso da realizzare? Si.

È costoso? Si.

Si tratta, come sopra scritto, di una delle norme più importanti di tutto il Codice di Condotta. Probabilmente un vero e proprio scoglio, se ci si trova a doverlo applicare a canali che lavorano al massimo livello di indipendenza, come è tipicamente il canale agenzie e, in generale, i canali cosiddetti auto-procacciatori.

Come monitorare la presa d’appuntamento effettuata da un agente?

Come monitorare, più in generale, l’attività stessa di un agente senza incorrere in potenziali problematiche di tipo giuslavoristico?

Come accertare che un contratto che dovrebbe essere stipulato “in prossimità” lo sia stato effettivamente?

Questi passaggi ed altri ancora sono forse i punti di maggiore impatto e, come tali, meritano attenzione ed approfondimento.

E di questo approfondimento ci occuperemo nel prossimo Privacy Symposium di Venezia, nel panel del 15 maggio dedicato, appunto, ai pain points del Codice di Condotta. Per chi non potrà esser presente, prometto sin d’ora di raccogliere in un articolo gli spunti nati in occasione di quella imperdibile occasione di confronto.