Atención al cliente

La gestión de los datos personales en los Contact Center

By julio 16, 2013marzo 22nd, 2021No Comments

En muchas ocasiones, las empresas que tienen implementados servicios de Contact Center no siguen unos criterios uniformes de protección de sus activos más valiosos, la información.

Cuando esta información, recogida a través de los servicios de atención telefónica, a su vez, incluye datos personales de diversa índole (sanitarios, geolocalización, datos bancarios, etc..), las empresas deberán prestar especial atención al cumplimiento de lo establecido por el “Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal”, donde se recogen todas y cada una de las medidas de seguridad que deben ser utilizadas a nivel interno por la empresas para proteger los datos personales que almacenan tanto de sus clientes como de terceros.

Cabe destacar las siguientes medidas de seguridad que hay que tener en cuenta (en función de la tipología de datos tratados), que afectan a estos servicios:

Mantener un registro de incidencias (donde quede constancia de los datos personales afectados, perdidos o dañados y las medidas correctoras aplicadas)

Control de acceso (sólo los usuarios autorizados deberán acceder a la información personal de la compañía). Deberán establecerse mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.

Gestión de soportes (Además de tener registros de entrada/salida de soportes automatizados de información, siempre que vaya a desecharse cualquier soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior).

Identificación y autenticación (mediante mecanismos que permitan la identificación unívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado). Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.

Copias de respaldo y recuperación (sistemas de back-up)

Control de acceso físico (a los CPDs y salas donde residan servidores)

Distribución de soportes (la distribución de los soportes se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte.

Registro de accesos (De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero al que se ha accedido, el tipo de acceso y si ha sido autorizado o denegado. Los mecanismos que permiten el registro de accesos estarán bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivación ni la manipulación de los mismos. El período mínimo de conservación de los datos registrados será de dos años (en datos de nivel alto-salud, religión, afiliación sindical, etc..).

Sistemas de Telecomunicaciones (Cuando deban implantarse las medidas de seguridad de nivel alto, la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros).

b2ap3_thumbnail_images.jpg

Estas obligaciones legales no solo son de aplicación para las empresas españolas, sino también para todas aquellas multinacionales con sede permanente o filial en nuestro país. De hecho, las sanciones impuestas a unas y otras empresas en los últimos años por la Agencia Española de Protección de Datos oscilan entre los 900 y los 300.000 € (leves-graves) por cada infracción cometida consistente en no cumplir con las medidas de seguridad establecidas

Por ello y como recomendación, a partir del nivel medio de datos, los sistemas de información e instalaciones de tratamiento y almacenamiento de datos deben someterse, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del Reglamento de Seguridad de Protección de Datos.

Asimismo, se recomienda tener implantadas en la compañía todos aquellos procedimientos, políticas, documento de seguridad y guías internas, que faciliten la gestión apropiada de la información personal, tal y como hemos mencionado. En caso contrario, se estará descuidando la información personal de todos nuestros clientes, que no sólo conlleva las sanciones de la AEPD mencionadas sino también un importante daño reputacional para la empresa y una alta vulnerabilidad frente a hackers y phreakers.