ESPERTO RISPONDE

Esternalizzazione del processo di chiamate in-bound tramite call center: quali gli adempimenti privacy

23 Lug 2020
Diego Padovan

CIPP/E, CDP, Amministratore DPOCC


DOMANDA

La mia azienda vuole esternalizzare il processo di chiamate in-bound tramite call center, quali sono gli adempimenti privacy che devo rispettare?

RISPOSTA

Il ricorso a soggetti terzi rispetto all’Organizzazione per gestire processi interni che comportano il trattamento di dati personali, prevede diversi adempimenti.

Il primo e più importante coincide con una scelta di buon senso: optare per i soli soggetti affidabili. Infatti, affinché sia soddisfatto il principio cardine del GDPR, quello di accountability, è d’obbligo per il titolare la scelta di fornitori che sappiano rispettare (e dimostrare di averlo fatto) l’art. 28 del GDRP.

Ciò implica che il soggetto terzo, inquadrabile come responsabile del trattamento, offra garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate a proteggere e trattare i dati ad esso affidati, ovvero che sappia operare con la stessa diligenza del titolare, sul quale permane la responsabilità complessiva dell’intero processo di trattamento.

Questo si traduce in altre misure di conformità, ad esempio: verificare se il fornitore sia in grado di rispettare gli obblighi di sicurezza del trattamento (art. 32 del GDPR). In tal senso, il possesso di certificazioni di sicurezza può fornire elementi utili alla valutazione.

Inoltre, è importante che il call center sappia rispondere prontamente ad eventuali violazioni di dati personali (artt. 33-34 del GDPR), ovvero che abbia procedure interne di verifica e policy GDPR adeguate.

A ciò si dovrebbe aggiungere, più in generale, che il provider sia in grado di dimostrare la propria accountability per impostazione predefinita (artt. 24-25 del GDPR).

Nella pratica, che siano verificabili le principali azioni di conformità, dalla formazione privacy e la corretta tenuta dei registri di trattamenti, alle valutazioni d’impatto privacy (DPIA) o alla nomina del DPO.

Infine, è importante ricordare che affidare (anche parte) del trattamento sui dati personali all’esterno dell’organizzazione, specie in situazioni come quelle descritte dal lettore, dovrebbe essere poi oggetto di verifica da parte dello stesso titolare. Concretamente, ciò è possibile attraverso appositi audit GDPR, che concorreranno fortemente alla dimostrazione del rispetto degli adempimenti GDPR.

Mandate i vostri quesiti ai nostri esperti

Quesiti privacy: info@dpocc.it

@RIPRODUZIONE RISERVATA

Articolo 1 di 5