Nel panorama bancario/finanziario la “banca telefonica” costituisce un canale imprescindibile nel rapporto col cliente, utile a consentirgli di consultare le proprie posizioni e di disporre operazioni via telefono, con il supporto di un operatore o persino in modo automatizzato.
Nelle sue due “forme” – informativa e dispositiva – la realizzazione di una Banca Telefonica sicura e conforme alle norme a tutela dei dati personali, rappresenta una sfida complessa ed entusiasmante per legali e DPO.
I molteplici “binari” della banca telefonica
In lontananza, sulla banchina del binario 1, un capotreno passeggia pensieroso verso la testa della macchina non più a vapore. Gli è stato riferito che tutto è pronto, i passeggeri sono a bordo e la partenza è imminente. Mentre si accinge a salire e prima di dare l’ok con un colpo di fischietto, alcuni interrogativi ne rallentano il passo: “Cosa so del prossimo viaggio? Dove porta questo treno e quanto è sicuro? …”
Servizi come quelli di contact center (nel panorama bancario/finanziario spesso conosciuti come “banca telefonica”) constano di attività connaturate da molteplici trattamenti che si intersecano come binari o che corrono paralleli, caratterizzate da dati personali in viaggio su convogli più o meno articolati, guidati da motrici high-tech che via via hanno sostituito le locomotive a vapore.
Addentrandoci in questa disamina, parleremo dunque di viaggi, illustrandone le attività preparatorie, gli aspetti di sicurezza, i rischi prevedibili e identificati e le eventuali battute d’arresto dovute a possibili incidenti di percorso.
Lo faremo con gli occhi di chi, quotidianamente, agisce da “capotreno”, che sia un legale di conformità, un privacy manager o un DPO, senza sottacere pericoli, minacce e zone d’ombra tipiche di una stazione ferroviaria.
Strategie digitali, ruoli e responsabilità
Le strategie digitali di banche e gruppi bancari hanno portato allo sviluppo di infrastrutture in grado di gestire efficacemente i contatti telefonici con la clientela.
Accanto ai servizi di ‘home banking’, la banca telefonica assicura una migliore customer experience, attraverso la messa a disposizione di un canale privilegiato con cui sviluppare un rapporto one to one anche a distanza.
Nella consapevolezza di non poter esplorare tutti i “binari” di una Banca Telefonica, una prima distinzione circa i trattamenti di dati che la stessa comporta si sintetizza in: attività di trattamento dei dati dei clienti e dei dipendenti, nonché nella distinzione tra banca telefonica informativa e dispositiva.
Lato clienti, la banca telefonica, integrata con il CRM (“Customer Relationship Management”) aziendale, consente di gestire un’ampia congerie di operazioni informative e dispositive, che presuppongono il trattamento di dati anagrafici, bancari e finanziari.
Lato dipendenti, la banca telefonica, per il tramite di suite di gestione del traffico telefonico, raccoglie dati dei dipendenti e metadati dell’attività svolta, che consentono potenzialmente di monitorarne l’operato.
I principali “attori” dei suddetti trattamenti, i loro ruoli e le responsabilità possono essere sintetizzati nell’immagine che segue:
Accanto alle operazioni informative e dispositive, la banca telefonica consente di gestire tutte le operazioni outbound legate a campagne di marketing, le quali, come noto, dovranno essere svolte conformemente al Codice di Condotta Telemarketing (quale best practice per risultare conformi a tutte le normative applicabili). Tralasceremo, tuttavia, questo “binario” con le sue diramazioni, concentrandoci sulle sole attività inbound come innanzi menzionate.
Rischi specifici della Banca Telefonica
Uno dei principali rischi insiti nella realizzazione di una banca telefonica si rileva nel processo di identificazione del chiamante, finalizzato ad “aprirgli le porte” delle informazioni bancarie e di eventuali operazioni dispositive. Si tratta, a ben vedere, di un processo che coinvolge non solo misure di sicurezza organizzative, ma principalmente tecniche.
Identificazione del chiamante: mitigare il rischio di “breach”
L’implementazione di meccanismi di identificazione del chiamante consente di evitare ogni possibile comunicazione di dati personali/bancari/finanziari a terzi non clienti, che colposamente o dolosamente abbiano contattato la banca.
Per mitigare sensibilmente tale rischio di “breach”, una prima forma di identificazione “light” è realizzabile tramite “Interactive Voice Response” (“IVR”), ovvero un sistema in grado di recitare informazioni ad un chiamante interagendo tramite tastiera telefonica, nonché di riconoscere se il numero chiamante sia presente nei sistemi Banca, associandolo quindi al cliente attraverso l’integrazione con il CRM.
Considerata la delicatezza dei dati personali coinvolti, risulta tuttavia più idoneo prevedere una forma di identificazione “strong”, che garantisca un presidio di sicurezza robusto e consenta di gestire quelle casistiche in cui l’IVR non dovesse trovare una corrispondenza tra numero chiamante e cliente (ad es. perché la chiamata viene effettuata da altra numerazione).
Una modalità di identificazione “strong” efficace può consistere nella richiesta di digitazione (o di comunicazione vocale se il sistema è particolarmente evoluto), di codici/PIN collegati al conto corrente o al rapporto in essere con la Banca. In alternativa, laddove si tratti di cliente “digitalizzato” (ossia con “home banking” attivo), può essere utilizzato tale canale per l’invio di una “one-time-password” da comunicare in sede di chiamata. Questa seconda modalità, tuttavia, può complicare la fruizione dei servizi di banca telefonica, nella misura in cui il cliente potrebbe voler richiedere un contatto con un operatore anche per difficoltà nell’accesso al proprio “home banking”.
Le misure tecniche prospettate vanno, dunque, intese come necessarie ai fini di una corretta identificazione del chiamante, parzialmente sostituibili con delle istruzioni agli operatori circa le modalità di richiesta di dati anagrafici al chiamante: in tale fattispecie l’operatore andrà a sostituire l’IVR, ma sarà comunque indispensabile che i sistemi impongano all’operatore medesimo di inserire all’interno della suite di gestione delle chiamate il codice/PIN e gli ulteriori dati ricevuti telefonicamente, ai fini di un preventivo “matching” delle informazioni.
Registrazione delle chiamate
La registrazione delle chiamate, come noto, comporta un ulteriore trattamento di dati personali, da ritenersi anche piuttosto delicato nel suo “doppio binario”: presuppone infatti la registrazione della voce sia del cliente che del dipendente.
Di conseguenza, la registrazione non potrà essere indiscriminata per tutte le chiamate, ma limitata a quelle casistiche sorrette da un fondamento giuridico idoneo, in relazione alle finalità perseguite.
In ambito bancario/finanziario sussistono alcune norme di settore che impongono o rendono necessario provvedere alla registrazione delle chiamate, in particolare per le operazioni dispositive: a titolo esemplificativo, la Direttiva Europea 2014/65/UE (“Mifid II”) prevede un obbligo per gli intermediari di registrare le conversazioni telefoniche o le comunicazioni elettroniche che riguardino almeno le operazioni concluse in caso di negoziazione per conto proprio e la prestazione di servizi di ordini della clientela connessi alla ricezione, trasmissione ed esecuzione di tali ordini. Tale obbligo risponde anche alle prescrizioni del Regolamento delegato UE 2017/56 e del Regolamento Intermediari Consob (15 febbraio 2018 e ss.mm.ii.), i quali vincolano gli intermediari a mantenere, per tutti i servizi prestati e per tutte le attività e operazioni effettuate, registrazioni sufficienti a consentire all’Autorità di Vigilanza competente (Consob) di verificare il rispetto delle norme in materia di servizi e attività di investimento e di servizi accessori. Tali registrazioni (che ricomprendono anche quelle telefoniche) devono essere fornite ai clienti interessati su richiesta e devono essere conservate per un periodo di cinque anni o, se richiesto dall’Autorità, per un periodo fino a sette anni.
Sotto altro profilo, nell’ambito di operazioni rilevanti ai sensi della Payment Service Directive 2 (“PSD2” e in attesa dell’approvazione della PSD2 e del Payment Service Regulation) effettuate telefonicamente, potrebbe risultare necessario procedere alla registrazione degli ordini dispositivi dei clienti, conservando la registrazione per il tempo sufficiente alla finalità di difesa nell’ambito di contestazioni/disconoscimenti (es. 13 mesi).
Qualora si intenda procedere alla registrazione anche di altre tipologie di chiamata (es. misurazione della qualità del servizio, ecc.) il Titolare del trattamento dovrà valutare fondamenti giuridici alternativi all’obbligo di legge, quali ad esempio il “legittimo interesse” o il “consenso del chiamante”.
In tal caso il Titolare potrà mutuare (per quanto applicabili) le misure di sicurezza contenute nel provvedimento dell’Autorità Garante “Verifica preliminare. Sistema di registrazione, trascrizione e analisi delle chiamate inbound – 18 aprile 2018”, nel quale si rinvengono interessanti spunti per la mitigazione dei rischi insiti nella registrazione delle chiamate per scopi assimilabili alla misurazione della qualità del servizio offerto (es. campionamento delle telefonate, circoscrizione dell’ascolto a casi particolari, morphing della voce, ecc.).
Il trattamento della voce degli operatori dipendenti del Titolare
Focalizzando l’attenzione sul “binario” del trattamento della voce degli operatori dipendenti del Titolare, nonché di eventuali metadati riferiti alle loro prestazioni, è indispensabile che la base giuridica individuata (obbligo di legge, consenso, legittimo interesse) sia sostenuta dal rispetto dell’art. 4 della Legge 300/70 (Statuto dei Lavoratori), anche per effetto del richiamo dell’art. 114 del Codice Privacy, in materia di controlli a distanza. A tal fine, si suggerisce di consultare tanto i provvedimenti dell’Autorità Garante che affrontano tali tematiche (es. Provvedimento TPER), quanto le Circolari dell’Ispettorato Nazionale del Lavoro (es. Circolare 4/2017).
Come si evince proprio dal Provvedimento TPER (ed in continuità con gli orientamenti nazionali ed europei in tema di valutazione di impatto – DPIA), inoltre, la presenza di sistemi di registrazione dell’attività dei dipendenti e dei metadati della prestazione presupporrebbe la conduzione di una valutazione di impatto ai sensi dell’art. 35 GDPR (per effetto del monitoraggio sistematico dei dipendenti), valutazione che andrebbe effettuata “a fortiori” quand’anche la Banca Telefonica (prescindendo dalla registrazione delle chiamate) fosse parzialmente o interamente automatizzata con chatbot più o meno evoluti (nella fattispecie a principale tutela dei clienti).
Il ruolo degli operatori di Banca Telefonica
Come rappresentato nell’immagine prodotta nei primi paragrafi, gli operatori della Banca Telefonica, pur supportati da misure di sicurezza tecniche, hanno comunque un ruolo di rilievo nella gestione delle operazioni informative e dispositive e quindi nella loro “veste” di persone autorizzate.
È, pertanto, onere della banca provvedere agli adempimenti formativi ed informativi per garantire che gli operatori abbiano le competenze necessarie rispetto alle attività assegnate.
In tal senso, va citata la recentissima UNI/PdR 150:2024 (“Profili professionali operanti nei servizi del settore Business Process Outsourcing/Customer Relation Management – Requisiti di conoscenza, abilità e autonomia”), che, pur essendo una prassi di riferimento a certificazione volontaria, va presa a modello laddove include la “Protezione dei dati personali e privacy” tra i requisiti formativi di base del personale adibito a svolgere mansioni di contatto con la clientela, al fine di garantire alti standard di qualità nel trattamento dei dati personali.
Le misure di sicurezza organizzative, nella fattispecie, possono essere sintetizzate nell’immagine proposta di seguito.
Conclusioni
Ritornando a quanto in premessa, la banca telefonica è assimilabile ad una stazione ferroviaria connaturata da molteplici trattamenti che, come binari, via via si intersecano guidando convogli articolati, su cui viaggiano dati personali di diversa natura.
Come ogni stazione ha le sue complicazioni, le sue zone buie e sotterranee, alle volte da scoprire e riqualificare.
Per governare progetti e attività così complesse è indispensabile conoscere, esplorare, viaggiare con quegli stessi dati seguendone il flusso, dal luogo di partenza al capolinea.
E così, legali di conformità, privacy manager, DPO si trovano a dover assumere le sembianze del “capotreno”.
Capotreno vuol dire essere il punto di riferimento per i viaggiatori sottobordo e a bordo treno. Il capotreno accoglie, orienta ed informa dando indicazioni in modo chiaro, trasparente e professionale, anche in caso di situazioni critiche.
Come potrebbe farlo senza conoscere i dettagli di ogni viaggio?
