Art. 8. Obblighi comuni 1. In relazione allo svolgimento delle attivita' di teleselling e telemarketing, gli aderenti si obbligano a: a) rispettare quanto previsto dall'art. 35 del regolamento, secondo il quale il titolare effettua, consultandosi con i responsabili, un'adeguata valutazione degli impatti che l'attivita' promozionale puo' determinare sulla protezione dei dati, qualora dalla stessa possa derivare, particolarmente in caso di uso di nuove tecnologie, un rischio elevato per i diritti e le liberta' degli interessati. Tale valutazione e' inderogabilmente necessaria ogniqualvolta i trattamenti che il titolare aderente ha pianificato di svolgere presuppongano, o comunque implichino, una valutazione sistematica e globale di aspetti personali relativi agli interessati, basata su un trattamento automatizzato, compresa la profilazione, dalla quale derivino decisioni in grado di produrre effetti giuridici o comunque di incidere in modo significativo su questi ultimi; b) non raccogliere, direttamente presso gli interessati o da fonti terze o list provider, piu' dati di quanti siano ragionevolmente necessari alla corretta esecuzione della comunicazione commerciale e, piu' in generale, a garantire l'attuazione del principio di minimizzazione, con particolare riferimento alla portata dei trattamenti svolti, al periodo di conservazione dei dati e all'accessibilita' agli stessi, consentendone il trattamento esclusivamente da parte di persone fisiche, agenti sotto l'autorita' del soggetto aderente, che abbiano una concreta e ragionevole esigenza di accesso ai dati e che siano state debitamente autorizzate ed istruite in tal senso; c) adottare misure tecniche e/o organizzative volte ad impedire l'estrazione o la copia non autorizzate, in modalita' elettronica o cartacea anche solo parziale, dei dati presenti nelle liste di contatto da parte dei soggetti incaricati del trattamento che operino per il titolare o il responsabile. Tali misure includeranno, in sede di formazione, indicazioni chiare circa l'illiceita' di comportamenti quali l'utilizzo a fini diversi da quelli inclusi nelle autorizzazioni e nelle istruzioni al trattamento e le conseguenze anche penali di tali comportamenti; d) adottare misure tecniche e organizzative volte ad impedire l'accesso ai dati, contenuti nelle liste, da parte dei responsabili del trattamento alla scadenza del mandato; e) garantire la rettifica dei dati inesatti raccolti e trattati, anche attraverso attivita' di data quality svolte autonomamente o delegate a fornitori di servizi, senza necessita' di apposita richiesta da parte degli interessati ai sensi dell'art. 16 del regolamento, in tutti i casi in cui ricevano evidenza di errori nei dati di contatto riferiti all'interessato; f) adottare procedure e misure tecniche e organizzative, anche di carattere contrattuale, idonee a garantire il tracciamento in maniera trasparente dell'intera filiera di contatto, nonche' ad agevolare le varie attivita' di controllo da parte di organismi o Autorita' competenti, oltre ad audit interni. A tal fine, a titolo esemplificativo, gli aderenti archiviano e rendono facilmente accessibili, ai soggetti autorizzati a svolgere attivita' di controllo, copia degli script utilizzati nel corso dell'attivita' di contatto e ad utilizzare sistemi di verifica delle liste fornite da terzi editori, astenendosi dall'utilizzo di quelle che non rispondano a criteri di liceita' e trasparenza. 2. I committenti e i fornitori utilizzano, ove disponibili in base alla rete telefonica e consentite dalla normativa applicabile, soluzioni tecnologiche che permettano l'immediata identificabilita' del numero chiamante per il cliente e ne impediscano la clonazione ad opera di terzi (ad esempio, mediante l'indicazione del brand tramite alias o di altro tratto distintivo quale, ad esempio, una numerazione telefonica ad uso esclusivo del committente per le attivita' outbound). 3. Fermo restando quanto disciplinato dall'art. 37 del regolamento, si raccomanda ai titolari del trattamento e, quando svolgano questo genere di servizi in via principale e continuativa, anche i soggetti scelti dai titolari, di nominare un responsabile per la protezione dei dati - data protection officer - con funzione di consultazione, consulenza, sorveglianza e controllo in materia di protezione dei dati personali. Ai fini di cui sopra, gli affidatari del servizio scelti dai titolari creano canali di interlocuzione diretta con i responsabili per la protezione dei dati nominati dai titolari o, in mancanza, con i titolari del trattamento. Tali canali devono essere espressamente formalizzati ed indicati nel contratto che regola i rapporti con il fornitore di servizi.