Un contact center è un’organizzazione di beni e persone che utilizza prevalentemente strumenti tecnologici per gestire grandi volumi di richieste di persone fisiche (clienti, consumatori, cittadini) allo scopo di fornire informazioni relative a prodotti e/o servizi venduti o erogati. È dunque facile immaginare la mole di dati gestiti quotidianamente da queste organizzazioni.
In particolare, un contact center può avere una struttura semplice o molto complessa con configurazioni organizzative modulari in funzione della tipologia di prodotto/servizio da fornire e/o erogare.
L’infrastruttura dei contact center può trovarsi, invece, negli stessi locali di un’organizzazione, in quanto gestita internamente (on premise) o può essere esterna (cloud). Le strutture interne richiedono personale ed investimenti in information tecnology notevoli mentre l’esternalizzazione è una forma oramai preferita, sia essa parziale (personale interno ed infrastrutture informatiche in cloud) o totale (Business Process Outsourcing[1]).
La caratteristica principale è quella di gestire prevalentemente chiamate in entrata la cui modalità di gestione viene definita inbound. Si differenza da un call center, in quanto supporta più servizi.
Il contact center[2] è quindi un call center evoluto che integra le funzionalità di telecomunicazione con i sistemi informativi, aggiungendo all’utilizzo del mezzo telefonico altri strumenti/canali di comunicazione. Il call center[3] è uno strumento per la gestione del traffico telefonico sia in entrata che in uscita (outbound) adottato per migliorare l’efficacia del rapporto con l’utente.
Entrambe le strutture hanno come finalità la gestione dei contatti che comporta lo stabilire delle relazioni con persone fisiche nonchè la conoscenza e la gestione dei loro bisogni in un determinato momento della loro vita secondo l’approccio CRM (Customer o Citizen Relationship Management).
Indice degli argomenti
Contact center: modalità di acquisizione dei dati
La modalità omnicanale è lo schema più frequente utilizzato dai contact center per acquisire, in maniera contemporanea, i dati provenienti da vari punti di contatto ed interazione con l’utente finale come posta elettronica, chat, chatbot[4], mobile app, voice over IP[5] (VoIP), supporto di un sito Web ed i canali dei principali social media.
La sua adozione può comportare l’assunzione di un enorme quantità di dati, tanto, che in alcuni casi, sono classificabili come “Big Data[6]” in quanto per volume, velocità di acquisizione e varietà richiedono metodologie e tecniche particolari di profilazione per l’interpretazione e lo studio.
In questi casi, per la gestione, è necessario ricorrere a strumenti di data governance[7] lungo tutto il processo di relazione con le persone e far riferimento a modelli di “data driven[8]“che, con sofisticati algoritmi conducono alla valorizzazione dei dati attraverso tecniche di profilazione molto spinte.
Il Presidente dell’Autorità Garante Antonello Soro aveva già espresso preoccupazioni sui rischi di mancanza di trasparenza[9] provenienti dalla gestione dei Big Data per “la capacità di elaborare, anche in tempo reale, tramite algoritmi sempre più potenti un’ingente mole di dati che consente di estrarre conoscenza e, in misura esponenziale, di effettuare valutazioni predittive sui comportamenti degli individui nonché, più in generale, di assumere decisioni per l’intera collettività”.
Tanto che già il 30 maggio 2017, in un documento[10] congiunto, pubblicato il 2 luglio 2019, l’Autorità Garante della Concorrenza e del Mercato, l’Autorità per le Garanzie nelle Comunicazioni ed il Garante per la protezione dei dati personali, hanno invitato il Governo ed il Parlamento a promuovere un appropriato quadro normativo che conduca ad un effettiva trasparenza nell’uso di informazioni personali.
Il trend delle tecnologie dei contact center
Con l’evoluzione tecnologica gli utenti vogliono utilizzare sempre più canali di comunicazione a loro familiari e i contact center cercano di adattarsi per essere sempre più performanti. I principali trend sono:
- social media: piattaforme come Twitter e Instagram sono diventate popolari per la comunicazione con gli utenti;
- accesso mobile: gli utenti richiedono supporto da fruire con dispositivi mobili e quindi con web app dedicate;
- videotelefonia: i servizi di telefonia IP/video come FaceTime e Skype consentono di interagire tramite chat video;
- analisi avanzate: l’analisi delle chiamate, ricopre un ruolo sempre più importante nella previsione del comportamento degli utenti. Ad esempio, l’analisi del parlato, ovvero l’analisi delle registrazioni vocali o chiamate dal vivo degli utenti dei contact center con software di riconoscimento vocale sono utili per trovare informazioni e garantire la qualità dei riscontri. Questi software identificano le parole ed analizzano schemi audio tanto da poter arrivare ad individuare le emozioni e lo stress della voce di una persona in un colloquio telefonico. Attività non ammessa dal Garante della privacy[11] se non per finalità molto particolari[12]. Tale tipo di analisi non può essere utilizzata per monitorare e valutare i dipendenti del contact center.[13] In presenza di adozione di diverse tecniche di analisi, profilazione ed elaborazione di informazioni valutative, resta comunque l’obbligo, nel caso in cui emerga dall’analisi di impatto, un rischio elevato per i diritti e le libertà delle persone fisiche coinvolte, di consultare il Garante ai sensi dell’art. 36 del Regolamento.
Contact center: il quadro normativo
Quanto sopra illustrato comporta la necessità di soffermarsi sul quadro normativo del Regolamento UE 2016/679, su alcuni provvedimenti dell’Autorità Garante e su altri aspetti giuridici che governano l’uso di strumenti tecnologici per la gestione del Customer Relationship Management (CRM) e le risorse impiegate.
Il software CRM e il ciclo di vita dei dati
La ricaduta del GDPR è significativa sulle applicazioni di CRM in quanto il trattamento dei dati personali avviene attraverso fasi ben definite: raccolta ed acquisizione, lavorazione, analisi, conservazione e cancellazione.
Pertanto, è necessario applicare quanto richiamato dal Garante nelle sue utilissime schede di sintesi tenendo conto dei principi generali del GDPR[14] contenuti nell’art. 5 del Regolamento:
- liceità, correttezza e trasparenza del trattamento, nei confronti dell’interessato;
- limitazione della finalità del trattamento, compreso l’obbligo di assicurare che eventuali trattamenti successivi non siano incompatibili con le finalità della raccolta dei dati;
- minimizzazione dei dati: ossia, i dati devono essere adeguati pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento;
- esattezza e aggiornamento dei dati, compresa la tempestiva cancellazione dei dati che risultino inesatti rispetto alle finalità del trattamento;
- limitazione della conservazione: ossia, è necessario provvedere alla conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento;
- integrità e riservatezza: occorre garantire la sicurezza adeguata dei dati personali oggetto del trattamento.
Al paragrafo 2) si richiede al titolare di rispettare tutti questi principi e di essere “in grado di comprovarlo” come previsto dal principio di accountability, tradotto in maniera non esatta in principio di responsabilizzazione e richiamato dall’art. 24 al paragrafo 1) “il titolare mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente Regolamento”.
Vigilare sul fondamento del “legittimo interesse”
Il presupposto di questa base giuridica per il trattamento dei dati personali è che sia il titolare ad effettuare il bilanciamento fra il legittimo interesse suo o del terzo ed i diritti e libertà dell’interessato.
Da quando il Regolamento è diventato operativo, tale bilanciamento, in linea di principio, non spetta più all’Autorità. A tal proposito, si ricorda che l’interesse legittimo del titolare o del terzo deve risultare prevalente sui diritti e le libertà fondamentali dell’interessato per costituire un valido fondamento di liceità.
L’interesse legittimo, come base giuridica per il trattamento, non è applicabile dalle autorità pubbliche in esecuzione dei compiti a loro affidati.
Redigere e pubblicare un’informativa chiara e completa
L’informativa (artt. 13 e 14 del Regolamento) deve essere fornita all’interessato prima di effettuare il trattamento, quindi prima della raccolta dei dati.
Nel caso di dati personali non raccolti direttamente presso l’interessato (art. 14), l’informativa deve essere fornita entro un termine ragionevole che non può superare un mese dalla raccolta, oppure al momento della comunicazione (non della registrazione) dei dati (a terzi o all’interessato).
In particolare, il titolare deve sempre specificare i dati di contatto del Responsabile della protezione dei dati (DPO), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo, se quest’ultimo costituisce la base giuridica del trattamento e se trasferisce i dati personali in Paesi terzi.
In caso affermativo, si dovrà precisare se questi sono giudicati adeguati dalla Commissione europea, e se si utilizzano BCR[15] di gruppo o specifiche clausole contrattuali. Se i dati non sono raccolti direttamente presso l’interessato l’informativa dovrà comprendere anche le categorie dei dati personali oggetto di trattamento.
In tutti i casi, il titolare deve specificare la propria identità e quella dell’eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati (compreso il diritto alla portabilità dei dati), se esiste un responsabile del trattamento e la sua identità, quali sono i destinatari dei dati, il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo.
Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato.
Analisi dei rischi
Fondamentali fra tali attività sono quelle connesse al secondo criterio individuato nel Regolamento rispetto alla gestione degli obblighi dei titolari: ossia il rischio inerente al trattamento.
Quest’ultimo è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati (C75-77); tali impatti dovranno essere analizzati attraverso un apposito processo di valutazione (artt. 35- 36) tenendo conto dei rischi noti o evidenziabili e delle misure tecniche ed organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi[16].
Secondo questo approccio, i contact center sono tenuti a:
- adottare misure tecniche, informatiche, procedurali, fisiche ed organizzative idonee ad assicurare e dimostrare la conformità al Regolamento delle attività di trattamento svolte;
- garantire l’osservanza dei criteri di protezione dei dati fin dalla progettazione e per impostazione predefinita;
- garantire la sicurezza, l’integrità e la riservatezza delle informazioni oggetto di trattamento, così da prevenire o minimizzare i rischi di distruzione, perdita, modifica e divulgazione non autorizzata o di accesso, in modo accidentale o illegale, a dati personali trattati.
Tali misure devono prevedere la pseudonimizzazione[17] e, se del caso, la cifratura[18] dei dati personali, al fine di garantire la sicurezza dei trattamenti ed impedire l’accesso diretto a personale non autorizzato nonché la riconducibilità a specifici interessati.
Quindi, è necessario dimostrare e garantire costantemente:
- l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, tenendo conto delle minacce potenziali derivanti sia da eventi ordinari ed accidentali che da azioni dolose di terzi;
- l’esistenza e la funzionalità di procedure di Disaster Recovery ovvero l’adozione di misure tecnologiche/logistiche ed organizzative volte a ripristinare sistemi, dati ed infrastrutture necessarie allo svolgimento regolare delle attività del contact center in presenza di eventi che impediscono il trattamento dei dati personali;
- la continuità operativa attraverso l’adozione di soluzioni di Business Continuity;
- l’adozione di un processo di data breach, che fornisca indicazioni interne ed esterne su chi, fa che cosa, come e quando, in presenza di eventi qualificati come probabilmente rischiosi per l’esercizio dei diritti e le libertà delle persone fisiche. Sono quelle misure organizzative e tecniche che devono essere adeguate a garantire il puntuale adempimento dell’obbligo di notifica al Garante, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui si viene a conoscenza, di eventuali violazioni di dati personali ovvero riguardanti le attività o i servizi del contact center. Tenendo conto che laddove tali rischi siano elevati, queste strutture, dovranno informare delle violazioni subite, senza ingiustificato ritardo, anche le persone fisiche (interessati) coinvolte, secondo quanto disposto dall’art. 34 del Regolamento.
Registro dei trattamenti
Come specificato nelle FAQ del Garante, sono tenuti a redigere il registro dei trattamenti, le imprese o le organizzazioni con almeno 250 dipendenti e, al di sotto dei 250 dipendenti, qualunque titolare o responsabile che effettui trattamenti che possano presentare rischi, anche non elevati, per i diritti e le libertà delle persone o che effettui trattamenti non occasionali di dati oppure trattamenti di particolari categorie di dati (come i dati biometrici, dati genetici, quelli sulla salute, sulle convinzioni religiose, sull’origine etnica etc.), o anche di dati relativi a condanne penali ed a reati.
Uso di algoritmi di intelligenza artificiale
L’uso sempre più frequente di sofisticate applicazioni software che usano algoritmi di intelligenza artificiale ha attirato l’attenzione delle Autorità europee tanto da far pubblicare al nostro Garante privacy, il 25 gennaio 2019, la traduzione delle Linee Guida in materia di intelligenza artificiale[19] che si basano sul Rapporto[20] (“Intelligenza artificiale e protezione dei dati: sfide e possibili rimedi”) del Comitato Consultivo della Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale (Convenzione 108).
Nel documento, oltre a raccomandare un approccio incentrato sulla prevenzione ed attenuazione dei potenziali rischi del trattamento dei dati personali, risulta interessante la definizione di Intelligenza Artificiale ripresa dal sito web del Consiglio d’Europa[21]: “Un insieme di scienze, teorie e tecniche il cui scopo è quello di riprodurre, attraverso la macchina, le capacità cognitive di un essere umano. Gli sviluppi attuali mirano, ad esempio, ad affidare a una macchina compiti complessi precedentemente delegati a un essere umano“.
Paese esterno di gestione delle chiamate
I contact center rientrano nella normativa prevista dalla legge 11 dicembre 2016, n. 232 (Bilancio di previsione dello Stato per l’anno finanziario 2017 e bilancio pluriennale per il triennio 2017-2019), entrata in vigore il primo gennaio del 2017, in quanto strutture evolute di call center.
Si tratta di disposizioni[22] relative alle “misure a sostegno della tutela dei dati personali, della sicurezza nazionale, della concorrenza e dell’occupazione nelle attività di call center”.
Al menzionato art. 24-bis si prevede che “qualora un’azienda (con più di venti dipendenti) decida di spostare l’attività di call center fuori dal territorio nazionale deve darne comunicazione, almeno centoventi giorni prima del trasferimento, al Ministero del lavoro e delle politiche sociali indicando i lavoratori coinvolti”.
Inoltre, deve darne comunicazione all’Autorità Garante per la protezione dei dati personali, indicando quali misure vengono adottate per il rispetto della legislazione nazionale e del registro delle opposizioni. Analoga informativa deve essere fornita dalle aziende che già oggi operano in Paesi esteri.
Al successivo comma 4, si stabilisce che “quando un cittadino effettua una chiamata ad un call center deve essere informato preliminarmente sul Paese estero in cui l’operatore con cui parla è fisicamente collocato e deve, al fine di poter essere garantito rispetto alla protezione dei suoi dati personali, poter scegliere che il servizio richiesto sia reso tramite un operatore collocato nel territorio nazionale”.
La stessa informazione va fornita anche qualora il cittadino sia destinatario di una chiamata da un call center. Al comma 6 è indicato: “Il mancato rispetto di tali disposizioni comporta la sanzione amministrativa pecuniaria di € 10.000 per ogni giornata di violazione”.
Registrazione delle conversazioni
Spesso i contact center, hanno necessità di avvalersi di un sistema di registrazione, trascrizione ed analisi delle chiamate inbound[23] allo scopo di migliorare la qualità del servizio del Customer Care con interventi nei processi operativi e nella formazione degli operatori, e quindi di migliorare la conoscenza sui bisogni degli utenti. Ciò comporta per esempio, l’ascolto delle conversazioni telefoniche tra utenti ed operatori e la relativa memorizzazione.
Affinchè tale attività sia conforme alla normativa e consenta di minimizzare il trattamento dei dati personali degli interessati, sono utili le indicazioni derivanti dalla lettura del relativo provvedimento del Garante:
- campionare le telefonate registrate nella misura circa del 10% del totale;
- circoscrivere l’ascolto delle registrazioni a casi particolari (circa 1,5% delle chiamate);
- cancellare i dati relativi agli orari e alle presentazioni tra operatore e cliente;
- circoscrivere i tempi di conservazione dei dati raccolti differenziandoli in funzione dei tipi di dati e degli specifici scopi delle diverse operazioni di trattamento;
- tracciare le operazioni effettuate attraverso un sistema di logging;
- predisporre un data base dedicato e non collegato con altri sistemi aziendali;
- consentire l’accesso ai soli incaricati del relativo trattamento;
- criptare i file contenenti le registrazioni.
Per quanto relativo ai dati dell’operatore le registrazione non dovranno mai essere riconducibili (neppure indirettamente) ai singoli operatori.[24]
Contact center: alcuni utili suggerimenti
Nei contact center risulta quindi necessario assicurarsi che le informazioni acquisite siano accompagnate da una dichiarazione che i dati delle persone fisiche acquisite rispettino i principi sopra esposti a prescindere se la struttura è in house o in outsourcing.
Istituire un processo interno per la gestione delle richieste di:
- accesso (art. 15)
- rettifica (art. 16)
- cancellazione (art. 17)
- limitazione del trattamento (art. 18)
- opposizione (art. 21)
- revoca (art. 7)
da trasferire con immediatezza alla mandante se trattasi di attività acquisita da terzi o alla business unit di competenza in caso di gestione interna.
A tal proposito, si ricorda che i termini per la risposta[25] all’interessato, sono per tutti i diritti, quantificati in un mese, estendibile fino a tre mesi in casi di particolare complessità.
Inoltre, il titolare del trattamento deve comunque dare riscontro all’interessato entro un mese dalla richiesta anche in caso di diniego.[26]
La violazione di uno dei principi sopra citati rientra nel novero delle violazioni più gravi, soprattutto a livello sanzionatorio.
Inoltre, sarà opportuno:
- sottoporre a formazione[27] con verifica di apprendimento, dipendenti, collaboratori vincolandoli all’obbligo di riservatezza;
- cambiare le credenziali di accesso ai sistemi ogni volta che si sostituiscono gli operatori constatato l’alto tasso di turn over di queste strutture;
- definire l’ambito di accesso ai dati personali[28] degli utenti da parte di ogni dipendente, collaboratore in funzione delle finalità e dell’erogazione del servizio;
- nominare un Responsabile della protezione dei dati personali[29];
- restituire e cancellare (per i contact center che svolgono attività in outsourcing), a fine attività, tutti i data base ricevuti dalla mandante limitandosi a mantenere copia delle informazioni necessarie agli adempimenti obbligatori per legge;
- limitare l’accesso ad eventuali archivi cartacei, solo ad alcuni dipendenti, collaboratori, appositamente individuati a svolgere tali compiti;
- nominare Responsabili del trattamento che presentino le garanzie previste all’art. 28 del Reg. UE 2016/679 inserendo clausole che vincolino al rispetto dello stesso e riservandosi la possibilità di effettuare delle verifiche sull’osservanza delle disposizioni.
Conclusioni
Nel contact center, il consenso è la principale base legale per il trattamento dei dati. Quindi, è necessario:
- identificare e mappare il contesto del consenso raccolto;
- acquisire una registrazione (digitale, analogica, biometrica) del consenso iniziale;
- documentare e gestire tali registrazioni di consenso in funzione della provenienza e del momento della raccolta.
Un utente può decidere di revocare il consenso per una tipologia di trattamento o su un canale di acquisizione ma non su un altro. La presenza di rigorosi processi di tracciamento e documentazione è quindi fondamentale.
L’accesso e conservazione dei dati, ad esempio, potrebbe essere un aspetto della conformità complesso da gestire. I dati personali sono ovunque, sul cloud, nei pc, sui device esterni, negli appunti in varie forme semplici o profilate. Con più fonti di dati, spesso non strutturati, serve una strategia di governo, con fasi ben definite per poter soddisfare le richieste degli interessati in merito all’esercizio dei loro diritti.
Infine, sarà determinante la modalità di gestione e reazione del contact center ad eventi potenzialmente pregiudicanti l’esercizio dei diritti e delle libertà degli interessati.
- BPO, esternalizzazione dei processi di gestione e controllo di un organizzazione a terzi specializzati. ↑
- Definizione nel sito presidenza del Consiglio dei ministri – Dipartimento della funzione pubblica. ↑
- Nella delibera n. 79/09/CSP, l’Autorità per le garanzie delle comunicazioni (AGCOM) definisce “call center” un insieme di risorse umane e di infrastrutture specializzate che consente contatti e comunicazioni multicanale con gli utenti (attraverso più mezzi, per esempio telefonia, Internet, posta)“. ↑
- Software progettato per simulare una conversazione con le persone dotato di Intelligenza Artificiale. ↑
- Tecnologia che rende possibile fare una conversazione tramite rete telefonica utilizzando una connessione Internet utilizzando il protocollo di trasmissione IP senza connessione per il trasporto dei dati. ↑
- Vedi Garante Privacy docweb n. 9122609 del 2.07.2019 – Linee Guida e raccomandazioni di policy. ↑
- Data governance: “La governance dei dati è l’organizzazione e l’implementazione di politiche, procedure, strutture, ruoli e responsabilità che delineano ed impongono il coinvolgimento delle regole, i diritti decisionali e le responsabilità per una gestione efficace delle risorse informative” – DAMA International. ↑
- Data driven: “Data-drivenness is about building tools, abilities, and, most crucially, a culture that acts on data” Carl Anderson – Creating a Data Driven Organization. ↑
- Intervento di Antonello Soro, Presidente del Garante per la protezione dei dati personali, docweb n. 6013519 del 23.02.17 ↑
- Big Data: linee guida e raccomandazioni di policy – Indagine conoscitiva congiunta di Agcom, Agcm e Garante privacy – 2 luglio 2019 ↑
- Garante privacy. Verifica preliminare. Sistema di registrazione, trascrizione e analisi delle chiamate inbound – 18 aprile 2018 Docweb n. 8987133 del 18 aprile 2018. ↑
- Verifica preliminare. Sperimentazione di sistemi intelligenti per la sicurezza di filiali bancarie e la prevenzione di eventi criminosi –9 maggio 2018- Docweb n. 8998311. ↑
- Garante privacy. Trattamento dei dati personali dei dipendenti di un call center – 8 marzo 2018 – docweb 8163433 ↑
- Garante Privacy: docweb 8981258 ↑
- BCR Binding Corporate Rules- Trasferimento dati personali verso Paesi terzi ↑
- Linee guida sulla DPIA del Garante privacy ↑
- Art. 4 – 32 Reg. UE 2016/679 ↑
- Art. 6 – 32 Reg. UE 2016/679 ↑
- Garante privacy – docweb n. 9096716 – 25.01.2019 ↑
- Rapporto Intelligenza artificiale e protezione dei dati: sfide e possibili rimedi ↑
- Consiglio d’Europa: glossario ↑
- Novellato art. 24-bis del D.L. 22 giugno 2012, n. 83 (convertito con modificazioni dalla legge 7 agosto 2012, n. 134), ↑
- Garante Privacy – docweb 8987133 – Verifica preliminare. Sistema di registrazione, trascrizione e analisi delle chiamate inbound. 18 aprile 2018 – Reg. dei provv. n. 229 ↑
- Provv. Garante: docweb n. 8163433 Trattamento dei dati personali dei dipendenti di un call center – 8 marzo 2018 ↑
- Garante privacy: diritti degli interessati ↑
- Sez 1, Trasparenza e modalità – Art. 12 Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato paragrafo 3. ↑
- Art. 29 del Regolamento. ↑
- Art. 29 del Regolamento e/o art. 2-quaterdecies del Dlgs. 101/2018. ↑
- Art. 37 e successivi del Regolamento. ↑