l'analisi

AssetProtection. I contact center mantengono il passo del GDPR?

di Alberto Buzzoli, Socio ANSSAIF – Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria |

Nella corsa per l’adeguamento al GDPR i contact center hanno alcune complicanze da risolvere, oltre a dover chiarire al più presto, le tante aree di incertezza sull’interpretazione di alcuni aspetti di carattere operativo.

La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.

In questa fase di sprint finale nella corsa per l’adeguamento al nuovo Regolamento Europeo per la Sicurezza dei Dati Personali i contact center hanno alcune complicanze da risolvere, oltre a dover chiarire al più presto, come molti, le tante aree di incertezza sull’interpretazione di alcuni aspetti di carattere operativo.

Sistemi di CRM e Phonebar

Il provvedimento del Garante per la Privacy contro Sky dell’8 marzo scorso e le posizioni dell’Ispettorato Nazionale del Lavoro circa i sistemi tipicamente utilizzati nei contact center sembrano disegnare uno scenario che rende veramente molto difficile la possibilità di operare in modo legittimo.

Il primo provvedimento dichiara illecito il trattamento sui dati personali degli operatori del call center in assenza di un accordo sindacale: il software utilizzato dagli stessi per la gestione dei clienti raccoglieva anche molti dati sull’attività lavorativa svolta, configurandosi come ipotetico strumento di controllo a distanza. Mentre le posizioni dell’Ispettorato Nazionale del Lavoro, definite nella circolare n.4 del 2017, chiariscono i criteri autorizzativi per gli Ispettorati Territoriali in riferimento a quanto definito all’art. 4 dello statuto dei lavoratori: l’impiego dei sistemi CRM sarebbe ammissibile, mentre delle phonebar no.

A chiarimento per i non addetti ai lavori bisogna specificare che, attraverso i sistemi CRM (Customer Relationship Management), si compiono trattamenti di dati che interessano sostanzialmente i clienti che chiamano oppure che vengono contattati per proposte promozionali e che quindi sono definiti come strumenti necessari a rendere la prestazione lavorativa, anche se qualche informazione sull’attività degli operatori la raccolgono. Le phonebar invece consentono anche l’acquisizione di dati dettagliati circa il comportamento degli operatori in fase di gestione della comunicazione: ad esempio, quanto tempo impiega un singolo operatore a prendere in gestione una chiamata, per quanto tempo è in conversazione, quanto durano eventuali pause per la consultazione di informazioni sulla base delle richieste dell’interlocutore, quanto tempo impiega per aggiornare la scheda del cliente dopo aver riagganciato.

E’ però doveroso segnalare a questo proposito anche due ulteriori aspetti che l’INL non ha chiarito: Le phonebar non sono software opzionali: senza questa tecnologia non sarebbe pensabile poter gestire un centro di contatto. In secondo luogo, la conoscenza di dati specifici sull’attività svolta dai singoli operatori non è prevalentemente rivolta all’esercizio del controllo e quindi all’applicazione di possibili discriminazioni o provvedimenti disciplinari, bensì al miglioramento delle performance del gruppo attraverso la conduzione di interventi formativi mirati e al mantenimento di un soddisfacente livello di redditività delle commesse, con conseguente riflesso positivo anche sui lavoratori.

Obbligatorietà della nomina del DPO

Per quanto riguarda i criteri di designazione del DPO (il Responsabile della Protezione dei Dati) definiti all’art. 37 del regolamento UE 16/679, il Garante per la Privacy definisce che “sono tenuti alla nomina […] le società di call center” (Nuove Faq sul Responsabile della Protezione dei Dati in ambito privato, del 26 marzo) . Su quest’indicazione non manca una certa resistenza del settore ad un’interpretazione tanto perentoria circa i criteri più ampi definiti nel Regolamento stesso: Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta […] le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che […] richiedono il monitoraggio regolare e sistematico degli interessati su larga scala (art. 37, b) ). Il motivo della preoccupazione, maggiore per le strutture più piccole, deriva dall’atteggiamento della committenza, la quale insiste nel fomentare i contact center alla guerra dei prezzi a ribasso invece di concedere la giusta attenzione anche alla capacità degli outsourcer di garantire un presidio idoneo dei dati loro affidati.

Altre questioni

Costituiscono infine fonte di preoccupazione per i contact center – soprattutto per l’impatto tecnologico – il livello di granularità dei registri delle attività di trattamento (art. 30), la definizione dei tempi di retention, in fase di accordo contrattuale con i committenti, compatibili con le effettive esigenze di gestione di eventuali reclami presentati dalle persone contattate, e l’assenza di standardizzazione delle prassi per l’esternalizzazione extra UE in caso di subappalto in off-shore.

Non affrontiamo qui la questione del prefisso unico chiaramente identificabile oppure del numero ricontattabile poiché, pur avendo a che vedere con la privacy, sono attività sotto il dominio del garante per le TLC.

Conclusioni

Certamente per i “sottoscalisti” – così sono definiti quei call center organizzati nel sottoscala alla meno peggio e che delle regole se ne infischiano – il GDPR sarà solo l’ennesima scocciatura alla quale rimediare con qualche scartoffia, almeno fin quando non arriva la sanzione. Ma per quelli che operano nella legalità ed in modo professionale l’adeguamento rappresenta la grande opportunità di scrollarsi di dosso l’etichetta di “call center brutto, sporco e cattivo”.

Leggi le altre notizie sull’home page di Key4biz