Il 25 maggio 2018 è entrato in vigore il GDPR - General Data Protection Regulation in tutti gli Stati membri dell’Unione Europea. Il legislatore è intervenuto per uniformare e armonizzare le normative relative alla protezione delle informazioni personali in modo da permettere trattamento e libera circolazione dei dati personali in piena sicurezza. Un settore influenzato dall’applicazione del GDPR è quello dei call center e, più in generale, le attività di marketing. Il fine del Regolamento è infatti trovare un equilibrio tra il diritto alla riservatezza dei dati e la possibilità da parte di enti e imprese di migliorare i propri servizi accumulando conoscenza sui propri consumatori finali e profilandoli in base ai loro requisiti.
Cosa dice il GDPR in merito ai call center?
Fare attività di call center è naturalmente prevista dal GDPR ma, premessa imprescindibile per il suo svolgimento è rappresentata dall’espressione del consenso degli individui. Esso deve essere prestato liberamente, in modo specifico e nel contesto di una chiara informativa (come descritto nell’art.13 del GDPR). Il GDPR interviene con decisione sui call center stabilendo che devono utilizzare i dati personali solo per la ragione per cui sono stati specificatamente raccolti.
La legge prescrive poi che i soggetti che “effettuano trattamenti di dati per le finalità di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale di garantire la presentazione dell’identificazione della linea chiamante” ovvero di non chiamare con numero nascosto. A questo proposito, se il call center usa numeri in chiaro, il destinatario della chiamata può usare il diritto di recesso riconosciuto dal GDPR e dunque chiedere di eliminare i propri dati.
Quali azioni compiere per rendere i call center compliance al GDPR
Le aziende che fanno attività di call center prima di utilizzare i dati ricevuti sono tenute, in qualità di responsabili del trattamento, a verificare che l’imprenditore titolare del trattamento abbia l’autorizzazione al loro utilizzo. Autorizzazione che, ovviamente, le aziende gestiscono al loro interno il servizio di customer care devono raccogliere in prima persona.
È poi importante che il call center tenga presente che il GDPR ha esteso l’ambito di applicazione del concetto di dati personali rispetto alle norme precedenti relative al numero di telefono. Col GDPR, infatti, rientrano in tale definizione l’insieme di informazioni che rivela l’identità di una persona: nome, indirizzo, foto, coordinate bancarie, post sui social network, indirizzo e-mail e anche l’indirizzo IP di un computer.
Il Regolamento impone che tutti questi dati siano sempre aggiornati e immediatamente cancellati se il loro utilizzo non corrisponde più alle finalità del trattamento per cui si erano raccolti e, ugualmente, la loro conservazione è possibile solo per gli scopi per i quali sono stati richiesti.
Il call center è poi obbligato dal GDPR, oltre a garantire integrità e riservatezza delle informazioni, a comunicare ai clienti le modalità che in cui le gestisce, le aggiorna eccetera. Per questo i dipendenti dei call center devono essere formati sulle policy sul GDPR.
Tutti questi obblighi valgono anche per i call center virtuali che, in più, devono garantire che i data center sui quali basano i loro servizi siano conformi al GDPR.
Certificazione PCI DSS: cos'è e perché è importante per i call center
La certificazione PCI DSS - Payment Card Industry Data Security Standard, è uno standard di sicurezza (nata dalla collaborazione dei principali brand di carte di credito: American Express, Discover, JCB, Mastercard e Visa) sviluppato per dare a commercianti e fornitori di servizi un modello di approccio unificato per la protezione dei dati dei titolari di carte di credito. Lo standard regola la gestione dei pagamenti mediante moneta elettronica e prevede che siano seguiti 12 requisiti generali organizzati nei cosiddetti obiettivi di controllo finalizzati in generale alla protezione di reti e informazioni.
La compliance allo standard PCI DSS è un requisito per tutti i Contact Center che archiviano, elaborano e trasmettono dati relativi a carte di credito.
