En el ámbito de la gestión de los Call Centers se trabaja continuamente con datos personales. Tanto en el caso de los especializados en la recepción de llamadas como en el de los que las generan, la diligente gestión de los datos es un elemento de capital importancia en el marco general de una provisión de servicios de calidad.

Por ello, todos los sistemas de apoyo a la gestión de llamadas han de ser especialmente cuidadosos en la implementación de las funciones que dejan rastros de auditoría sobre todas las actuaciones en las que se gestionan datos personales.

En los últimos años, se han dado varios casos de personas que han utilizado la LOPD  (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal) como arma arrojadiza frente a las empresas cuando otros mecanismos se han mostrado insuficientes, por ejemplo en la gestión de reclamaciones. Considerando la forma de gestión de las denuncias por parte de la Agencia de Protección de Datos (APD) y la cuantía de las sanciones, está claro que disponer de mecanismos que permitan actuar frente a las denuncias minimizará las incidencias y dotará a las empresas que dispongan de ellos de un excelente recurso para relacionarse con la APD.

Una primera distinción en el tratamiento del problema se da respecto a la titularidad del Call Center. Será diferente el caso de un Call Center operado por la entidad Responsable del Fichero, respecto del de otro operado por una empresa tercera que actúa como Encargado del Tratamiento.

La forma de demostrar la actuación diligente en uno y otro caso es diferente, pero en ambos se basa en registrar minuciosamente todas las actuaciones con indicación precisa de tiempo y del detalle de la actuación.

En el caso de Call Center que actúan para empresas distintas, debe estar perfectamente documentado contractualmente el tipo de relación entre ellas, en particular respecto a la transferencia de datos, su titularidad y su tratamiento, y el tipo de servicio que se presta y cómo afecta a la gestión de los datos. Si la empresa actúa en otro país, o contrata teleoperadores en diferentes ubicaciones, debe indicarse esta circunstancia, señalando el nivel de Protección de Datos que la ley otorga en cada país y la consideración de que este nivel sea equivalente al del país de origen de los datos. En este caso debe solicitarse autorización a la Agencia de Protección de Datos con indicación del País de destino de la transferencia de datos y de las medidas de seguridad técnicas y procedimentales que se aplicarán para garantizar la confidencialidad del tratamiento de los datos.

El Documento  de Seguridad de la empresa que ofrece los servicios de Call Center posiblemente sea uno de los Anexos de la relación contractual, que la empresa contratante deberá valorar para asegurarse de que es compatible con sus propias medidas de seguridad, y, por tanto, son su propio Documento de Seguridad.

En el sistema informático de la empresa o el departamento especializados, es conveniente que se registren todas las actuaciones sobre datos personales. Si se visualizan por un operador se indicará en el sistema de registro la identidad del operador y el tipo de datos a que ha tenido acceso y en qué momento. Si pueden modificarse, se registrará el operador que los ha modificado, el momento en que lo hizo, los datos que había antes de la modificación y los que quedaron tras ella. Se indicará la causa de la modificación y la forma exacta en la que se obtuvo el consentimiento del interesado para la gestión de los datos o para la rectificación, en particular indicando si se explicó al usuario la finalidad de la obtención de los datos y el tratamiento que se les dará.

Si la obtención de los datos se realizó a través de un formulario u otro documento escrito se adjuntará un enlace a su imagen digitalizada o un localizador del documento físico que documenta la actuación. Si fue a través de un formulario web, se indicará tal circunstancia y el máximo de  datos posibles para demostrar la actuación: la IP desde la que se produjo el acceso, la resolución inversa de dominio, el valor de la cookie, de existir, el tipo de autenticación utilizado (usuario/password, teléfono móvil, certificado electrónico,…). Si el acceso fue telefónico (lo que en nuestro caso será lo más frecuente) se adjuntarán los datos de contexto de que se disponga (identificador del número llamante, mecanismos de identificación utilizados por el operador, enlace a la digitalización de la grabación si se autorizó por el usuario y existe, o localizador de la grabación si se utiliza un sistema independiente.

En los call center inbound (especializados en gestión de llamadas entrantes) en los que se traten quejas y reclamaciones, y especialmente en los relativos a problemas de facturación se instruriá a los operadores a que sean sensibles a cualquier mención de la LOPD o de la APD  por parte del reclamante, registrando esta circunstancia en la ficha que documenta la actuación. Aunque no en todos los casos en los que se amenaza con denunciar a la entidad ante la APD se cumple tal amenaza, debemos asegurarnos de que los responsables de la gestión están al tanto de que es posible, de forma que sea posible verificar de forma reforzada que se mantiene toda la capacidad probatoria respecto a las actuaciones en ese cliente si hubiera que documentarlas ante la APD. En este sentido, uno de los elementos de análisis es la proporción entre la cuantía o peculiaridad de la discrepancia con el cliente, respecto al coste de gestión de la denuncia o la cuantía de la sanción potencial.

En los call center outbound (especializados en gestión de llamadas salientes) hay que ser cuidadosos en varios aspectos. Verificar la oportunidad de la llamada y si el destinatario de la llamada desea recibirla en otro momento (registrando esta eventualidad en la ficha de actuación). Identificar en nombre de quien se hace la llamada, que será la entidad  Responsable del Fichero o del Tratamiento. De la forma más natural posible en el curso de la conversación, se dará indicación al usuario de las circunstancias por las que la entidad dispone de sus datos, de la importancia de que sean correctos, y de la  finalidad de la entidad al disponer de ellos. Antes de concluir la llamada conviene indicar que la entidad es respetuosa con sus datos personales y muy rigurosa en su gestión y la forma en la que el usuario puede ejercitar sus derechos ARCO (Acceso, Rectificación, Cancelación y  Oposición)

Ciertos tipos de datos personales requieren tratamientos especiales. Los datos clasificados por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), como de nivel alto han de estar sometidos a unas medidas de seguridad más severas, lo que debe tenerse en cuenta en los sistemas utilizados para su gestión.

En la actualidad, el Reglamento de Medidas de Seguridad, aprobado por Real Decreto 994/1999, de 11 de junio como desarrollo de la vieja LORTAD (Ley Orgánica 5/1992, de 29 de octubre) sigue vigente por la Disposición Transitoria Tercera de la LOPD. Aunque el Reglamento se aplicaba inicialmente solo al tratamiento automatizado de datos, la LOPD amplió su alcance a los soportes no automatizados (en papel y otros). Eso quiere decir que en todo proyecto nuevo se debe considerar desde el principio toda la gestión no automatizada, si bien, los ficheros en soportes no automatizados que existieran antes de enero del 2000 (fecha de entrada en vigor de la LOPD) disponen del período de adaptación establecido en la Disposición Adicional Primera (que finaliza en octubre de 2007).

En la actualidad se conocen algunos datos del Borrador del nuevo Reglamento que desarrollará la LOPD y que en la actualidad se encuentra en proceso de tramitación parlamentaria. Entre sus objetivos está el de dotar de mayor seguridad jurídica a los consumidores, lo que implica que el sector del telemarketing habrá de estar especialmente alerta a sus contenidos.

El reglamento, elaborado conjuntamente por el Ministerio de Justicia y la Agencia Española de Protección de Datos, será trasladado al para su aprobación. Inicialmente, se pensaba que el reglamento vería la luz en la primavera de 2006. Sin embargo, diferentes circunstancias han alargado el plazo inicialmente previsto, y en estos momentos no parece que se publique antes del 2007.

Aunque no supone una modificación sustancial de la normativa hasta ahora vigente, sí incorpora ciertas novedades que afectarán sobre todo a aquellas empresas o profesionales que tengan en su poder datos de niveles medio y/o alto.

Otras novedades se centran en el desarrollo de las medidas de seguridad que deberán aplicarse en la protección de toda la información empresarial almacenada en soporte papel. Lo que significa, que la entrada en vigor de la nueva norma conllevará la adopción de medidas de seguridad adicionales.