Diversi anni fa, più precisamente il 25 maggio 2018, è entrato in vigore il GDPR - General Data Protection Regulation in tutti gli Stati membri dell’Unione Europea.
All’epoca, il legislatore è intervenuto per uniformare e armonizzare le normative relative alla protezione delle informazioni personali in modo da permettere trattamento e libera circolazione dei dati personali in piena sicurezza. Un settore influenzato dall’applicazione del GDPR è quello dei call center e, più in generale, le attività di marketing.
Il fine del Regolamento è infatti trovare un equilibrio tra il diritto alla riservatezza dei dati e la possibilità da parte di enti e imprese di migliorare i propri servizi accumulando conoscenza sui propri consumatori finali e profilandoli in base ai loro requisiti.
Cosa dice il GDPR in merito ai call center?
Fare attività di call center è naturalmente prevista dal GDPR ma, premessa imprescindibile per il suo svolgimento è rappresentata dall’espressione del consenso degli individui. Esso deve essere prestato liberamente, in modo specifico e nel contesto di una chiara informativa (come descritto nell’art.13 del GDPR).
Il GDPR interviene con decisione sui call center stabilendo che devono utilizzare i dati personali solo per la ragione per cui sono stati specificatamente raccolti. La legge prescrive poi che i soggetti che “effettuano trattamenti di dati per le finalità di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale di garantire la presentazione dell’identificazione della linea chiamante” ovvero di non chiamare con numero nascosto. A questo proposito, se il call center usa numeri in chiaro, il destinatario della chiamata può usare il diritto di recesso riconosciuto dal GDPR e dunque chiedere di eliminare i propri dati.
Quali azioni compiere per rendere i call center compliance al GDPR
Le aziende che fanno attività di call center prima di utilizzare i dati ricevuti sono tenute, in qualità di responsabili del trattamento, a verificare che il titolare del trattamento abbia l’autorizzazione al loro utilizzo. Autorizzazione che, ovviamente, le aziende che gestiscono al loro interno il servizio di customer care devono raccogliere in prima persona.
È poi importante che il call center tenga presente che il GDPR ha esteso l’ambito di applicazione del concetto di dati personali rispetto alle norme precedenti relative al numero di telefono. Col GDPR, infatti, rientrano in tale definizione l’insieme di informazioni che rivela l’identità di una persona: nome, indirizzo, foto, coordinate bancarie, post sui social network, indirizzo e-mail e anche l’indirizzo IP di un computer.
Il Regolamento impone che tutti questi dati siano sempre aggiornati e immediatamente cancellati se il loro utilizzo non corrisponde più alle finalità del trattamento per cui si erano raccolti e, ugualmente, la loro conservazione è possibile solo per gli scopi per i quali sono stati richiesti.
Il call center è poi obbligato dal GDPR, oltre a garantire integrità e riservatezza delle informazioni, a comunicare ai clienti le modalità che in cui le gestisce, le aggiorna eccetera. Per questo i dipendenti dei call center devono essere formati sulle policy sul GDPR. Tutti questi obblighi valgono anche per i call center virtuali che, in più, devono garantire che i data center sui quali basano i loro servizi siano conformi al GDPR.
Le novità del GDPR per i call center
GPPR ha ormai nove anni e, per quanto resti il punto di riferimento per le tematiche della privacy e del trattamento di dati sensibili, è naturale ipotizzare qualche evoluzione dettata dai cambiamenti nel contesto economico.
Negli ultimi anni, per esempio, si sono registrate un’intensificazione delle attività ispettive legate all’applicazione del GDPR nei call center e l’aumento dell’ammontare delle sanzioni, ma soprattutto è in discussione una possibile riforma del regolamento (il cosiddetto GDPR 2.0) con l’obiettivo di semplificare gli adempimenti, soprattutto per le piccole e medie imprese, che in molti casi sono soggette agli stessi oneri delle grandi enterprise. Il principio resta quello della massima tutela dei dati personali, ma con una maggiore proporzionalità tra obblighi normativi e dimensioni organizzative, cosa che si rifletterà anche sui relativi call center.
L’importanza della formazione del personale per la conformità al GDPR
Uno degli aspetti più critici per garantire la conformità al GDPR nei call center è la formazione continua del personale. Operatori e responsabili si trovano quotidianamente a gestire dati personali, spesso anche sensibili, ed è fondamentale che conoscano a fondo le regole sul trattamento, la conservazione e la protezione delle informazioni.
La normativa presuppone che chiunque tratti dati sia adeguatamente istruito sulle policy aziendali e sugli obblighi previsti dal Regolamento. Una preparazione insufficiente può tradursi in errori operativi, accessi non autorizzati o omissioni informative che espongono l’azienda a sanzioni e danni reputazionali. Investire in formazione non è quindi un obbligo formale, ma uno strumento concreto di prevenzione.
Come gestire le richieste di accesso e cancellazione dei dati da parte dei clienti
Il GDPR riconosce a tutti gli interessati una serie di diritti fondamentali, tra cui il diritto di accesso, rettifica e cancellazione dei propri dati personali. I call center, in quanto soggetti che trattano tali dati, devono essere in grado di gestire queste richieste in modo tempestivo, tracciabile e conforme alla normativa.
Per farlo, è necessario predisporre procedure chiare e documentate, che permettano al personale di riconoscere una richiesta valida, identificarne l’ambito e rispondere nei tempi previsti (generalmente entro 30 giorni). È fondamentale anche verificare l’identità del richiedente per evitare accessi non autorizzati.
Certificazione PCI DSS: cos'è e perché è importante per i call center
La costellazione normativa che circonda il contact center non consta unicamente del GDPR. La certificazione PCI DSS (Payment Card Industry Data Security Standard), per esempio, è uno standard di sicurezza (nata dalla collaborazione dei principali brand di carte di credito: American Express, Discover, JCB, Mastercard e Visa) sviluppato per dare a commercianti e fornitori di servizi un modello di approccio unificato per la protezione dei dati dei titolari di carte di credito.
Lo standard regola la gestione dei pagamenti mediante moneta elettronica e prevede che siano seguiti 12 requisiti generali organizzati nei cosiddetti obiettivi di controllo finalizzati in generale alla protezione di reti e informazioni. La compliance allo standard PCI DSS è un requisito per tutti i Contact Center che archiviano, elaborano e trasmettono dati relativi a carte di credito.
Registro delle opposizioni e telemarketing: obblighi per i call center
I call center che svolgono attività di telemarketing sono tenuti a rispettare il Registro Pubblico delle Opposizioni (RPO), uno strumento fondamentale per la tutela dei consumatori italiani.
Prima di avviare qualsiasi campagna promozionale tramite telefono, è opportuno / obbligatorio riscriversi al Registro e verificare la lista degli utenti iscritti per escluderli dalle chiamate. L'inosservanza di questa norma, aggiornata nel 2022 per includere anche i cellulari e le numerazioni non presenti negli elenchi telefonici pubblici, comporta sanzioni importanti per le aziende.
La gestione di tale registro richiede un processo preciso: ogni operatore deve accedere al sistema, interrogare la banca dati con le liste dei contatti e ottenere un riscontro prima di procedere con le chiamate. Questa procedura garantisce il rispetto della volontà del cittadino di non essere disturbato e rappresenta un pilastro della corretta gestione dei dati personali nel telemarketing, ponendo l'onere della verifica e del rispetto delle scelte individuali direttamente sui call center.
