(Allegato-art. 8) 
 
                               Art. 8. 
 
                           Obblighi comuni 
 
    1. In relazione allo svolgimento delle attivita' di teleselling e
telemarketing, gli aderenti si obbligano a: 
      a) rispettare quanto previsto  dall'art.  35  del  regolamento,
secondo  il  quale  il  titolare  effettua,   consultandosi   con   i
responsabili, un'adeguata valutazione degli impatti  che  l'attivita'
promozionale puo' determinare  sulla  protezione  dei  dati,  qualora
dalla stessa possa derivare, particolarmente in caso di uso di  nuove
tecnologie, un rischio elevato per i  diritti  e  le  liberta'  degli
interessati.  Tale   valutazione   e'   inderogabilmente   necessaria
ogniqualvolta i trattamenti che il titolare aderente  ha  pianificato
di svolgere presuppongano, o  comunque  implichino,  una  valutazione
sistematica e globale di aspetti personali relativi agli interessati,
basata su un trattamento  automatizzato,  compresa  la  profilazione,
dalla quale derivino decisioni in grado di produrre effetti giuridici
o comunque di incidere in modo significativo su questi ultimi; 
      b) non raccogliere, direttamente presso gli  interessati  o  da
fonti  terze  o  list   provider,   piu'   dati   di   quanti   siano
ragionevolmente   necessari   alla    corretta    esecuzione    della
comunicazione  commerciale  e,  piu'   in   generale,   a   garantire
l'attuazione  del  principio  di  minimizzazione,   con   particolare
riferimento alla  portata  dei  trattamenti  svolti,  al  periodo  di
conservazione   dei   dati   e   all'accessibilita'   agli    stessi,
consentendone il  trattamento  esclusivamente  da  parte  di  persone
fisiche, agenti sotto l'autorita' del soggetto aderente, che  abbiano
una concreta e ragionevole esigenza di accesso ai dati  e  che  siano
state debitamente autorizzate ed istruite in tal senso; 
      c) adottare misure tecniche e/o organizzative volte ad impedire
l'estrazione o la copia non autorizzate, in modalita'  elettronica  o
cartacea anche solo  parziale,  dei  dati  presenti  nelle  liste  di
contatto da parte dei soggetti incaricati del trattamento che operino
per il titolare o il responsabile. Tali misure includeranno, in  sede
di formazione, indicazioni chiare circa l'illiceita' di comportamenti
quali  l'utilizzo  a   fini   diversi   da   quelli   inclusi   nelle
autorizzazioni e nelle istruzioni al  trattamento  e  le  conseguenze
anche penali di tali comportamenti; 
      d) adottare misure tecniche e organizzative volte  ad  impedire
l'accesso ai dati, contenuti nelle liste, da parte  dei  responsabili
del trattamento alla scadenza del mandato; 
      e)  garantire  la  rettifica  dei  dati  inesatti  raccolti   e
trattati,  anche  attraverso  attivita'  di   data   quality   svolte
autonomamente o delegate a fornitori di servizi, senza necessita'  di
apposita richiesta da parte degli interessati ai sensi  dell'art.  16
del regolamento, in tutti i casi in cui ricevano evidenza  di  errori
nei dati di contatto riferiti all'interessato; 
      f) adottare procedure e misure tecniche e organizzative,  anche
di carattere contrattuale, idonee  a  garantire  il  tracciamento  in
maniera trasparente  dell'intera  filiera  di  contatto,  nonche'  ad
agevolare le varie attivita' di controllo da  parte  di  organismi  o
Autorita' competenti, oltre ad audit interni. A tal  fine,  a  titolo
esemplificativo,  gli  aderenti  archiviano  e   rendono   facilmente
accessibili,  ai  soggetti  autorizzati  a  svolgere   attivita'   di
controllo, copia degli script utilizzati nel corso dell'attivita'  di
contatto e ad utilizzare sistemi di verifica delle liste  fornite  da
terzi editori, astenendosi dall'utilizzo di quelle che non rispondano
a criteri di liceita' e trasparenza. 
    2. I committenti e i fornitori  utilizzano,  ove  disponibili  in
base alla rete telefonica e consentite dalla  normativa  applicabile,
soluzioni tecnologiche che permettano  l'immediata  identificabilita'
del numero chiamante per il cliente e ne impediscano la clonazione ad
opera di terzi (ad esempio, mediante l'indicazione del brand  tramite
alias o di altro tratto distintivo quale, ad esempio, una numerazione
telefonica  ad  uso  esclusivo  del  committente  per  le   attivita'
outbound). 
    3.  Fermo  restando  quanto   disciplinato   dall'art.   37   del
regolamento, si raccomanda ai  titolari  del  trattamento  e,  quando
svolgano questo genere di servizi in via principale  e  continuativa,
anche i soggetti scelti dai titolari, di nominare un responsabile per
la protezione dei dati - data protection officer  - con  funzione  di
consultazione, consulenza, sorveglianza e  controllo  in  materia  di
protezione dei dati personali. Ai fini di cui sopra,  gli  affidatari
del servizio scelti dai  titolari  creano  canali  di  interlocuzione
diretta con i responsabili per la protezione dei  dati  nominati  dai
titolari o, in mancanza, con i titolari del trattamento. Tali  canali
devono essere espressamente formalizzati ed  indicati  nel  contratto
che regola i rapporti con il fornitore di servizi.