(Allegato-art. 5) 
 
                               Art. 5. 
 
                        Obblighi del titolare 
 
    1. I titolari  del  trattamento  pongono  particolare  attenzione
nella  scelta  dei  partner   commerciali   per   le   attivita'   di
telemarketing e di teleselling,  privilegiando,  nel  rispetto  della
normativa sulla concorrenza,  gli  aderenti  al  presente  Codice  di
condotta ed attuando in ogni caso le prescrizioni di cui all'art.  28
del regolamento, secondo gli standard e le best practices di  seguito
indicate. 
    2. In particolare, ciascun titolare, nella  scelta  dei  soggetti
demandati al trattamento di dati personali per suo conto, adotta  una
procedura di prequalifica del fornitore, che  assicuri  gli  standard
adeguati previsti dal presente Codice di condotta e che  consenta  la
raccolta di informazioni e la selezione del partner anche sulla  base
di modelli di organizzazione, gestione e  controllo  o  comunque,  di
standard adeguati di compliance. 
    3.  Ciascun  titolare  adotta  e,  in  caso  di  affidamento   di
trattamenti o parti di essi a responsabili, richiede anche  a  questi
ultimi di adottare, le seguenti procedure: 
      a) una procedura formalizzata  di  gestione  delle  istanze  di
esercizio dei diritti degli interessati, efficace  nel  garantire  il
presidio di tutti i possibili canali di ricezione di tali istanze  da
parte di autorizzati al  trattamento  istruiti  nel  riconoscerle  ed
incardinarle secondo il canale piu' efficace a garantire una pronta e
completa risposta; la suddetta procedura dovra' contemplare l'obbligo
per gli eventuali affidatari di servizi di informare sempre  e  senza
ingiustificato  ritardo  il  committente/titolare  nel  caso  in  cui
ricevano una richiesta  di  esercizio  dei  diritti  da  parte  degli
interessati, nonche'  l'obbligo  di  fornire  al  titolare  tutte  le
informazioni e la documentazione necessaria per consentire l'evasione
dell'istanza ricevuta da parte del titolare o direttamente  da  parte
del responsabile in funzione delle istruzioni impartite,  di  inviare
all'interessato la comunicazione di presa in carico della richiesta e
la  possibilita'  di  mettere  in  black  list  i  dati  di  contatto
dell'interessato in modo tale da impedire ogni contatto ulteriore  da
parte del fornitore laddove l'istanza abbia ad oggetto  l'opposizione
ai contatti commerciali da parte del titolare; 
      b) una procedura formalizzata di gestione delle violazioni  dei
dati  personali  (c.d.   data   breach)   che   assicuri   tempi   di
individuazione della violazione, in caso di trattamenti  affidati  in
outsourcing, tempi di comunicazione al titolare senza  ingiustificato
ritardo e, ove  compatibile  con  la  natura  della  violazione,  non
superiori a 24 ore dalla conoscenza della violazione stessa. 
    4. Il committente che acquisisca una lista di contatti formata da
un list provider e' tenuto a verificare,  tramite  confronto  con  la
propria black list, che non siano presenti soggetti  che  hanno  gia'
manifestato, rispetto alla medesima lista di contatti, una  specifica
opposizione nei suoi confronti o  che  abbiano  revocato  il  proprio
consenso. 
    5. Il titolare, prima di avviare una campagna di telemarketing  o
teleselling, sottopone le proprie liste alle verifiche normativamente
previste presso il RPO, ai sensi dell'art. 1, comma 12,  della  legge
n. 5/2018 e tiene traccia degli esiti di tale verifica,  in  sede  di
prima applicazione del presente Codice  di  condotta,  per  almeno  3
mesi. 
    6. Fermo restando  il  riparto  delle  responsabilita'  e  quanto
previsto dal precedente art. 4 in tema di  responsabilita'  solidale,
il titolare garantisce e  richiede  ai  propri  responsabili  che  il
trattamento, a partire dalla fase di raccolta dei  dati,  avvenga  in
conformita' al  regolamento,  al  Codice  e  al  presente  Codice  di
condotta.  A  tal  fine,  il  titolare  adotta  misure  adeguate  per
verificare che il responsabile del trattamento rispetti le istruzioni
impartite attraverso  meccanismi  di  audit  quali,  ad  esempio,  le
«numerazioni civetta» (numerazioni proprie  all'interno  della  lista
delle numerazioni contattabili) e controlli a campione sui  contratti
stipulati, per verificare che i  contatti  siano  effettuati  con  le
modalita' stabilite dal titolare e in conformita' agli articoli  6  e
11 di cui al presente Codice  di  condotta  e  che,  in  particolare,
l'informativa sia stata resa in maniera intellegibile. 
    7. Il titolare adotta piani di formazione per  il  personale  con
cadenza almeno annuale, in merito al trattamento dei dati  personali,
e richiede ai soggetti nominati responsabili  di  adottare  piani  di
formazione che siano coerenti con i propri. 
    8. Il titolare predispone la  piattaforma  per  la  registrazione
delle proposte di  contratto  in  modo  tale  che  sia  garantita  la
tracciabilita'  delle  operazioni  svolte,  adottando,  ad   esempio,
procedure  di  autenticazione  che:  a)  impediscano  l'accesso  alla
piattaforma  con  le  medesime   credenziali   da   piu'   postazioni
contemporaneamente; b) impediscano l'accesso effettuato da  indirizzi
IP diversi o attraverso modalita' di autenticazione  non  conformi  a
quelle  autorizzate  per   ciascun   call   center/teleseller/agenzia
all'atto  dell'attribuzione  delle  credenziali;   c)   attribuiscano
credenziali  di  autenticazione  individuali  per  ciascun  operatore
autorizzato a svolgere le operazioni di  inserimento;  d)  consentano
l'identificazione  dell'operatore  autorizzato  anche  in   caso   di
contatto telefonico con il servizio di assistenza.