Asociación Española de Expertos en la
Relación con Clientes

Actualidad (27 Junio 2017)

El Impacto del nuevo Reglamento de Protección de Datos en el Contact Center

Queda un año escaso para que el nuevo Reglamento Europeo de Protección de Datos Personales entre en vigor en toda la Unión Europea. A lo largo de este año, tanto el sector público como el privado tienen que hacer un esfuerzo importante para adaptarse a la nueva normativa. Los dos años que han pasado desde que se publicó la norma hasta su aplicación en mayo del 2018, han servido para en primer lugar, digerir los cambios más notables, escuchar a expertos en la materia y a los Reguladores de Protección de Datos, así como para poner en marcha una revolución interna en las entidades para cumplir con la normativa en plazo.

En el sector del Contact Center esta adaptación se complica, ya que su éxito depende de una visión común con los clientes. La colaboración y comunicación constante entre los distintos equipos del cliente y del proveedor del Contact Center se hace imprescindible para aplicar los cambios que a continuación se describen. Digo bien “distintos equipos”, porque considero que es fundamental que departamentos tan diversos como Legal, Sistemas, Seguridad y Operaciones del cliente y del proveedor trabajen estrechamente.

Los proveedores deben revisar con sus clientes las cláusulas específicas de protección de datos de los contratos de prestación de servicios y adaptarlas a la nueva normativa. Otro punto crucial es el consentimiento del cliente final. Según el Reglamento, ya no es válido el consentimiento tácito, por tanto, las fórmulas hasta ahora tan comúnmente utilizadas para, por poner un ejemplo, informar sobre la grabación de la llamada por motivos de calidad, a partir de mayo del 2018 no son suficientes, sino que se debe recoger un “SÍ” sin ambigüedades, o bien que el interesado pulse una tecla en el teléfono para mostrar su acuerdo de una manera activa.

A pesar de que se baraja una mayor flexibilidad del consentimiento recogido por teléfono en el Reglamento de Privacidad y Comunicaciones Electrónicas, que se está actualmente discutiendo en las instituciones europeas, y que se prevé que entre en vigor al mismo tiempo que el Reglamento Europeo de Protección de Datos Personales, la única certeza que tenemos a día de hoy es que el consentimiento a la hora de recoger datos personales debe ser inequívoco.

El interés legítimo se baraja como excepción al consentimiento, pero hay que actuar con cautela, siendo necesario un análisis caso por caso para poder aplicarlo. Especial atención hay que dirigir al considerando 47 del Reglamento Europeo de Protección de Datos Personales, que aparte de regular el interés legítimo, también menciona los fines de mercadotecnia directa para validarlo. También se debe tener en mente el artículo 21 de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico, que valida el envío de emails comerciales sin consentimiento, siempre que existiera una relación contractual previa entre las partes y que los servicios o productos ofrecidos en el email sean parecidos a los previamente contratados.

Igualmente, los Reguladores de Protección de Datos, han insistido durante este periodo de adaptación en la claridad de las cláusulas informativas, rechazando las fórmulas farragosas que se vienen utilizando. Ahora se debe conjugar el deber de información cuando se recogen datos personales con una redacción clara y precisa, en definitiva, comprensible para cualquiera. Todo un reto.

Otro principio fundamental es que desde el inicio de los proyectos en los que se van a tratar datos personales, ya sea la implementación de un nuevo aplicativo que procese datos personales; inicio de una nueva campaña con bases de datos a tratar; participación de un nuevo contratista en la relación cliente – proveedor de Contact Center, etc…, se analicen todas las implicaciones que puedan tener estos proyectos desde la óptica de protección de datos, para que los proyectos cumplan con la norma desde su inicio. La participación del Delegado de Protección de Datos es imprescindible. Esta figura debe ejercer una labor de coordinación con el resto de departamentos implicados en la gestión de proyectos con datos personales, la producción de procedimientos en la compañía para que las interacciones internas y externas, y en general cualquier proceso/ modus operandi de la compañía que implique el tratamiento de datos personales, cumpla con la norma. Es fundamental que todo quede por escrito, que llegue a todos los niveles de la compañía y que todos los implicados sean formados regularmente sobre la materia, y que en caso de duda sobre cómo actuar conforme a la norma, acudan sin demora al Delgado de Protección de Datos. Si se genera esa duda ya se tienen mucho ganado.

Las buenas noticias que nos da el Reglamento Europeo de Protección de Datos Personales son el mantenimiento de un registro interno de bases de datos con información personal, que sustituye a todas las comunicaciones que previamente se hacían en el Registro de los Reguladores de Protección de Datos, así como la mayor flexibilidad a la hora de efectuar transferencias internacionales de datos, siempre que se fundamenten en un mecanismo legal válido.

Punto importante es la notificación inmediata y transparente cuando se produzca un incidente de seguridad por parte del Contact Center al cliente, para que éste inicie las acciones necesarias, incluso de cara a sus clientes finales y a los Reguladores de Protección de Datos.

No cabe duda de que el cumplimiento de la norma por parte de proveedores de Contact Center y su capacidad para demostrarlo, será fundamental para la elección o renovación de los mismos por parte de las compañías clientes.

El análisis contenido en este artículo, se puede aplicar a cualquier relación cliente – proveedor de Contact Center de la Unión Europea, cuando sea aplicable la norma dentro de un año, si bien es cierto que, en España se tiene mucho camino ya hecho, con una normativa de protección de datos que desde el año 1999 - año de publicación de la LOPD - , y desde el 2007, - año publicación del Real Decreto que desarrolla la LOPD -, así como la difusión por parte de la Agencia Española de Protección de Datos de informes jurídicos, guías, recomendaciones, etc... sobre materias muy diversas han ayudado a alcanzar un grado de madurez bastante notable, si lo comparamos con otros países de la Unión Europea, con normas más generalistas y reguladores menos activos.   

Marina García Egido

Abogada, Global Compliance Sitel Ibérica