Home > Noticias > AEERC > El papel del delegado de protección de datos en el Contac center

AEERC

Volver

AEERC (21 Noviembre 2022)

El papel del delegado de protección de datos en el Contac center

A estas alturas, la figura del delegado de protección de datos es sobradamente conocida, se han escrito rios de tinta sobre su necesidad, posición, independencia o funciones. Pero ¿Qué papel cumple en un Contact center? La gran mayoría de empresas del sector han optado por automatizar un gran número de procesos, como el ejercicio de derechos en materia de protección de datos, la oposición a llamada comercial o la consulta y tramitación de la lista Robinson.

 Se convierte, por tanto, en una figura que debe dar apoyo, soporte informativo y asesoramiento constante, su misión debe pasar por sensibilizar a todos los intervinientes en los procesos y ser punto de encuentro en materia de protección de datos. Esta tarea puede ser asumida de manera interna o externalizar sus servicios, el grado de conocimiento del sector y de la propia organización serán claves en el éxito de su desempeño.

La automatización, la digitalización o la inteligencia artificial, son herramientas actuales que poco a poco van consolidándose en el sector. La integración de estos nuevos procesos conlleva un cambio y adaptación en materia de protección de datos, en todas las fases del tratamiento, desde el departamento de desarrollo hasta el último de los agentes. Si no cuidamos este punto, a la hora de elegir estas herramientas o diseñarlas, acabará siendo un coste importante, económico y reputacional en caso de sanción.

Es un buen momento para hacer un ejercicio de reflexión y comprobar si se han creado buenos procedimientos y protocolos para poder dar cumplimiento a los requisitos normativos actuales, que no son pocos.

Los puntos básicos son dar respuesta en tiempo y forma a los ejercicios de derechos, así como a las peticiones de información por parte del usuario, pero el asesoramiento constante a la alta dirección facilitará las políticas de cumplimiento interno. No es tarea sencilla integrar la privacidad y protección de datos en todos los niveles de una empresa dedicada al Contact center. El agente es un puesto clave y su relación con el usuario final puede reflejar el nivel de cumplimiento de una compañía, no en vano, es un usuario insatisfecho el que presenta una reclamación o hace valer sus derechos.

Pero, se antoja más complicado todavía, si hablamos de como cumplir, o como demostrar el famoso concepto recogido en el  artículo 24 del Reglamento (UE) 2016/679, de 27 de abril de 2016, de protección de datos (RGPD) el principio de responsabilidad proactiva del responsable del tratamiento.

Realizar un completo análisis de riesgo y además actualizarlo permanentemente es una tarea ardua, para muchas organizaciones y empresas de nuestro sector, en especial, por la gran cantidad de datos que tratan (visualizan, recaban, almacenan o transfieren). Debemos analizar el riesgo que implica todo tratamiento de datos personales, la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas (artículo 24.1 del RGPD).

Nuestra Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) explica el principio de responsabilidad activa, que exige una valoración por el responsable o por el encargado del tratamiento del riesgo que pudiera generar el tratamiento de los datos personales para, a partir de dicha valoración, adoptar las medidas que procedan. En su artículo 28 trata la responsabilidad proactiva de responsables y encargados del tratamiento, incluyendo un listado de supuestos de mayor riesgo en el tratamiento de los datos personales a tener en cuenta.

Las medidas adoptadas, por tanto, deben ser valoradas y decididas por cada responsable y estimar si son suficientes para cumplir los objetivos. No hay una solución fácil, ni unas medidas universales que funcionen para todos, se trata de cumplir y poder demostrarlo, en caso de requerimiento nos tocará exponer nuestras medidas adoptadas y su eficacia. La experiencia nos dice, que la formación y la información a todos los intervinientes en los procesos, mejoran y sensibilizan, creando un marco de responsabilidad interna.

El número y cuantía de las sanciones impuestas por la Agencia Española de Protección de Datos (AEPD) en los primeros seis meses del 2022, casi 20,5 millones, está cerca de alcanzar dos tercios del total de las contabilizadas en todo 2021, 35 millones de euros. Nuestro sector no ha quedado al margen de las sanciones y las llamadas sin base de legitimación, en especial ausencia de consentimiento, la petición de datos excesiva durante la llamada o impedir el ejercicio de derechos, han estado en centro de la mayoría de requerimientos.

Si repasamos el  plan de inspección de oficio de la AEPD, sobre contratación a distancia en operadores de telecomunicaciones y comercializadores de energía, de octubre 2020, encontramos las líneas maestras de nuestro trabajo, la importancia de la existencia de procedimientos, transparencia y una correcta trazabilidad en el uso de los datos personales. Esta auditoría no tenía carácter sancionador, pero ya encontrábamos lo que hoy es una realidad, no demostrar responsabilidad proactiva se termina sancionando.

Cada empresa debe decidir como va a proteger los datos que maneja y que canales serán los adecuados. No debemos centrarnos exclusivamente en la seguridad informática, que, siendo un pilar del sistema, no asegura la legitimidad del tratamiento de datos personales.

El papel de los delegados de protección de datos se hace tremendamente importante, sobre todo, en las fases previas a comenzar a tratar datos personales. La privacidad es esencial desde el diseño y por defecto, nunca debemos olvidar estos principios.

Daniel Fernández-Viagas
Delegado de protección de datos certificado según esquema AEPD/DPD
Miembro de la Asociación Española de Delegados de Protección de Datos.