Art. 5. Obblighi del titolare 1. I titolari del trattamento pongono particolare attenzione nella scelta dei partner commerciali per le attivita' di telemarketing e di teleselling, privilegiando, nel rispetto della normativa sulla concorrenza, gli aderenti al presente Codice di condotta ed attuando in ogni caso le prescrizioni di cui all'art. 28 del regolamento, secondo gli standard e le best practices di seguito indicate. 2. In particolare, ciascun titolare, nella scelta dei soggetti demandati al trattamento di dati personali per suo conto, adotta una procedura di prequalifica del fornitore, che assicuri gli standard adeguati previsti dal presente Codice di condotta e che consenta la raccolta di informazioni e la selezione del partner anche sulla base di modelli di organizzazione, gestione e controllo o comunque, di standard adeguati di compliance. 3. Ciascun titolare adotta e, in caso di affidamento di trattamenti o parti di essi a responsabili, richiede anche a questi ultimi di adottare, le seguenti procedure: a) una procedura formalizzata di gestione delle istanze di esercizio dei diritti degli interessati, efficace nel garantire il presidio di tutti i possibili canali di ricezione di tali istanze da parte di autorizzati al trattamento istruiti nel riconoscerle ed incardinarle secondo il canale piu' efficace a garantire una pronta e completa risposta; la suddetta procedura dovra' contemplare l'obbligo per gli eventuali affidatari di servizi di informare sempre e senza ingiustificato ritardo il committente/titolare nel caso in cui ricevano una richiesta di esercizio dei diritti da parte degli interessati, nonche' l'obbligo di fornire al titolare tutte le informazioni e la documentazione necessaria per consentire l'evasione dell'istanza ricevuta da parte del titolare o direttamente da parte del responsabile in funzione delle istruzioni impartite, di inviare all'interessato la comunicazione di presa in carico della richiesta e la possibilita' di mettere in black list i dati di contatto dell'interessato in modo tale da impedire ogni contatto ulteriore da parte del fornitore laddove l'istanza abbia ad oggetto l'opposizione ai contatti commerciali da parte del titolare; b) una procedura formalizzata di gestione delle violazioni dei dati personali (c.d. data breach) che assicuri tempi di individuazione della violazione, in caso di trattamenti affidati in outsourcing, tempi di comunicazione al titolare senza ingiustificato ritardo e, ove compatibile con la natura della violazione, non superiori a 24 ore dalla conoscenza della violazione stessa. 4. Il committente che acquisisca una lista di contatti formata da un list provider e' tenuto a verificare, tramite confronto con la propria black list, che non siano presenti soggetti che hanno gia' manifestato, rispetto alla medesima lista di contatti, una specifica opposizione nei suoi confronti o che abbiano revocato il proprio consenso. 5. Il titolare, prima di avviare una campagna di telemarketing o teleselling, sottopone le proprie liste alle verifiche normativamente previste presso il RPO, ai sensi dell'art. 1, comma 12, della legge n. 5/2018 e tiene traccia degli esiti di tale verifica, in sede di prima applicazione del presente Codice di condotta, per almeno 3 mesi. 6. Fermo restando il riparto delle responsabilita' e quanto previsto dal precedente art. 4 in tema di responsabilita' solidale, il titolare garantisce e richiede ai propri responsabili che il trattamento, a partire dalla fase di raccolta dei dati, avvenga in conformita' al regolamento, al Codice e al presente Codice di condotta. A tal fine, il titolare adotta misure adeguate per verificare che il responsabile del trattamento rispetti le istruzioni impartite attraverso meccanismi di audit quali, ad esempio, le «numerazioni civetta» (numerazioni proprie all'interno della lista delle numerazioni contattabili) e controlli a campione sui contratti stipulati, per verificare che i contatti siano effettuati con le modalita' stabilite dal titolare e in conformita' agli articoli 6 e 11 di cui al presente Codice di condotta e che, in particolare, l'informativa sia stata resa in maniera intellegibile. 7. Il titolare adotta piani di formazione per il personale con cadenza almeno annuale, in merito al trattamento dei dati personali, e richiede ai soggetti nominati responsabili di adottare piani di formazione che siano coerenti con i propri. 8. Il titolare predispone la piattaforma per la registrazione delle proposte di contratto in modo tale che sia garantita la tracciabilita' delle operazioni svolte, adottando, ad esempio, procedure di autenticazione che: a) impediscano l'accesso alla piattaforma con le medesime credenziali da piu' postazioni contemporaneamente; b) impediscano l'accesso effettuato da indirizzi IP diversi o attraverso modalita' di autenticazione non conformi a quelle autorizzate per ciascun call center/teleseller/agenzia all'atto dell'attribuzione delle credenziali; c) attribuiscano credenziali di autenticazione individuali per ciascun operatore autorizzato a svolgere le operazioni di inserimento; d) consentano l'identificazione dell'operatore autorizzato anche in caso di contatto telefonico con il servizio di assistenza.