Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

ADEMPIMENTI PRIVACY

Teleselling e GDPR: regole di compliance per la corretta gestione dei dati personali

Il teleselling è uno dei metodi più usati per svolgere attività di marketing e vendere prodotti o concludere contratti telefonicamente: un’attività molto delicata dal punto di vista del trattamento dei dati personali e più in generale per la compliance al GDPR. Ecco i necessari adempimenti in materia di protezione dati

10 Dic 2019
R
Mario Renzulli

Privacy Officer certificato TUV Italia


È importante focalizzare la nostra attenzione sugli aspetti normativi e organizzativi in materia di teleselling e GDPR: il contatto telefonico, fisso o mobile che sia, è infatti uno dei metodi più usati dalle aziende per svolgere attività di marketing grazie principalmente alla semplicità con cui è possibile raccogliere numerazioni telefoniche (web, elenchi pubblici, siti web, social network, bigliettini da visita ecc.).

Un ulteriore motivo per prediligere questo metodo di commercializzazione è dato dal fatto che, con una telefonata, è possibile effettuare una vendita o concludere un contratto (es. di fornitura di energia o di telefonia), avente il medesimo effetto legale di una sottoscrizione con firma grafica, ma con una rilevante riduzione di costi per l’azienda proponente.

Teleselling e telemarketing: le differenze

Preliminarmente è necessario chiarire che, nonostante la somiglianza dei due termini, l’attività di teleselling è differente da quella di telemarketing.

Nel telemarketing il contatto telefonico è finalizzato esclusivamente alla divulgazione di offerte commerciali, oppure alla calendarizzazione di incontri “de visu” per la vendita di prodotti o servizi o per la sottoscrizione di contratti.

Con il teleselling, invece, la vendita del prodotto o la conclusione del contratto avvengono direttamente durante la telefonata, il più delle volte mediante la registrazione vocale della formula di adesione.

Dal punto di vista del trattamento dei dati personali, anche alla luce dei molteplici interventi dell’Autorità Garante, trattasi, in entrambi i casi, di attività molto delicate che richiedono una notevole attenzione, onde evitare sanzioni tali da compromettere la sopravvivenza dell’azienda (s.v. il caso della Vincall multata per 2 milioni di euro).

Teleselling e GDPR: adempimenti in tema di protezione dati

Le aziende che si occupano di vendita di beni o servizi, possono dedicare un ufficio interno al teleselling, coinvolgendo proprie risorse, o decidere di affidare tale attività all’esterno.

La differenza è sostanziale dal punto di vista degli adempimenti in tema di protezione dei dati e GDPR.

WHITEPAPER
Cybersecurity: come superare efficacemente le vulnerabilità delle tecniche di Intelligenza Artificia
IoT
Sicurezza

Nel primo caso, infatti, l’azienda sarà titolare di trattamento, mentre nel secondo caso si instaurerà un rapporto tra titolare e responsabile del trattamento ai sensi dell’art. 28 Regolamento UE 679/16.

È proprio quest’ultimo caso, peraltro il più frequente, che si vuole qui approfondire.

Al momento del conferimento dell’incarico, l’azienda titolare del trattamento dovrà nominare la società di teleselling “responsabile del trattamento” a mezzo contratto o altro atto giuridico in cui saranno stabiliti i poteri, i compiti, la finalità del trattamento, la durata del rapporto e tutte le istruzioni per un corretto svolgimento dell’attività.

Si precisa che più il documento di incarico sarà dettagliato, minori saranno le problematiche relative ad eventuali individuazioni di responsabilità in caso di violazioni.

Tutta la documentazione da sottoporre al cliente finale (informativa, formula di consenso, contratto, testo del vocal order ecc.) deve essere approvata o trasmessa dal titolare, a meno di patto contrario contenuto nell’atto di designazione.

In linea di principio, la società di teleselling non può disporre liberamente dei dati gestiti per conto della titolare, dovendosi limitare ad applicare le regole e le istruzioni specificate nell’atto di incarico.

La società di teleselling è sicuramente obbligata a:

  • redigere un registro dei trattamenti nella qualità di titolare (es. per la gestione dei dati dei propri dipendenti, collaboratori, fornitori ecc.) ed un registro dei trattamenti quale responsabile del trattamento, come espressamente previsto dall’art. 30 del GDPR 679/16. In questo secondo registro saranno indicati, in modo dettagliato: l’elenco dei titolari e, per ognuno di essi, la tipologia di dati trattati, le misure di sicurezza adottate, l’eventuale comunicazione di dati a terzi e a Paesi extra UE, le modalità di consegna dell’informativa e raccolta consenso, il periodo di conservazione dei dati, oltre altre notizie che possono tornare utili nella gestione del rapporto con il titolare, come, ad esempio, data di ricezione dell’incarico e durata del rapporto;
  • creare e testare specifiche procedure di gestione del trattamento (per esempio al fine di verificare: che l’utente chiamato abbia fornito idoneo consenso, che il nominativo dell’utente chiamato non sia presente nei Registri delle Opposizioni, che i dati vengano cancellati entro i tempi dichiarati, che sia resa idonea informativa ad ogni trattamento, che siano predisposte attività di audit periodiche, che i dati di un titolare siano tenuti distinti da quelli di altro titolare, che il numero chiamante sia sempre visibile all’utente e sia registrato negli elenchi R.O.C. (Registro degli operatori di Comunicazione), che venga sempre specificato all’utente il nominativo della società per la quale si sta procedendo, che sia possibile conoscere per ogni dato personale la sua origine o il momento e la modalità di raccolta consenso ecc.);
  • predisporre tutte le misure di sicurezza idonee a proteggere i dati, sia da un punto di vista informatico, che cartaceo dopo aver effettuato un’accurata analisi dei rischi;
  • approntare un programma di formazione di dipendenti e collaboratori in materia di protezione dei dati personali.

È invece consigliabile:

  • redigere una valida policy aziendale per la regolamentazione e la gestione dei mezzi messi a disposizione per lo svolgimento dell’attività (es. mail aziendale, telefono, PC ecc.);
  • predisporre un piano di continuità operativa (o Business Continuity Plan) in modo da dimostrare di essere in grado di garantire la continuità operativa in caso di eventi che provochino l’indisponibilità dei dati;
  • redigere una DPIA (Data Protection Impact Assessment), a prescindere dai casi di obbligatorietà di cui all’art. 35 GDPR.

Per quanto attiene l’obbligo, per le società di teleselling, di nominare un responsabile per la protezione dei dati personali (RPD o DPO), va detto che l’Autorità Garante per la Protezione dei Dati Personali ha inserito genericamente i “call center”, tra le categorie di aziende tenute a tale adempimento.

Tale nomina tuttavia deve coincidere con un’attività aziendale di monitoraggio sistematico e su larga scala come espressamente previsto dall’art. 37 del GDPR, per cui è bene valutare approfonditamente la quantità e qualità dati personali trattati prima di procedere a tale nomina.

A prescindere dalla nomina del DPO, tuttavia, anche considerando la particolare categoria di trattamento, è consigliabile dedicare una o più risorse alla materia, con il compito di verificare la correttezza delle attività di trattamento e filtrare i reclami e le richieste di esercizio dei diritti inoltrate da utenti e consumatori.

È di fondamentale importanza, inoltre, che siano chiare le modalità di comunicazione e conservazione dati tra titolare e responsabile del trattamento (ad es. modalità e durata di conservazione delle registrazioni delle conversazioni telefoniche, dei consensi raccolti, dei data base utilizzati per lo svolgimento dell’attività).

Nei casi in cui le società di teleselling svolgono la loro attività esclusivamente con dati trasmessi dal titolare (es: liste contatti già “consensati”), certamente utile inserire, nel conferimento dell’incarico, i patti di segretezza e non diffusione dei dati.

Stesso dicasi per il documento di autorizzazione al trattamento dei dati da sottoporre ai dipendenti o collaboratori dell’agenzia di teleselling. Non sono rari i casi di dipendenti infedeli, colpevoli di “fuga di dati”, facendo leva sul guadagno conseguente la vendita dei data base e sulla difficoltà, per l’azienda, di risalire in modo certo all’azione illecita.

Conclusioni

È ormai noto l’adagio secondo cui “i dati personali sono il petrolio delle aziende”, orbene tale affermazione, per le società di teleselling, è ancora più vera.

È necessario, pertanto, applicare alla lettera di principi di privacy by design e privacy by default stabiliti dal GDPR, seguendo con particolare accuratezza tutte le fasi dei vari trattamenti e ciò, non solo onde evitare di incorrere in sanzioni, ma anche e soprattutto, per la garantire all’azienda un elevato grado di produttività e massimizzare il risultato di tutti gli sforzi organizzativi e lavorativi.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5