Qual è la prima cosa che vi verrebbe in mente parlando di “dati personali”? Sicuramente il vostro nome. Con alta probabilità, seguirebbero la vostra data di nascita, il vostro indirizzo di casa e anche il numero di telefono. Questi e pochi altri i dati che tendiamo a ritenere i più intimi e privati.
E la nostra voce? La voce non è forse una delle cose più personali che possediamo?
Erroneamente, ci limitiamo a ricondurre alla sfera dei “dati personali” informazioni “più tangibili e quotidiane”, come sono il nostro nome o l’indirizzo di casa, ma ci dimentichiamo delle innumerevoli sfumature racchiuse in questa dicitura.
La nostra voce è qualificabile come un dato personale e come tale merita la giusta protezione. Ma, vengono davvero sempre messe in atto opportune precauzioni per la sua tutela?
In questo articolo, l’approfondimento della tematica porterà alla presentazione di due importanti funzionalità presenti in Comsy, la nostra soluzione di Contact Center: Audio Recording Encryption e Audio Recording Anonymize.
Linee guida GDPR (Regolamento UE 2016/679): le dovute premesse
Se ci domandassimo se esiste un obbligo generale, dettato dal GDPR, riguardante la crittografia o l’anonimizzazione dei dati personali in capo al responsabile del trattamento dei dati in questione, la risposta sarebbe no. Diversamente, se ci chiedessimo se una procedura come ad esempio la crittografia sia consigliata dal GDPR come mezzo idoneo a rinforzare i livelli di sicurezza ed incrementare la protezione dei dati, allora la risposta sarebbe certamente affermativa.
L’attuale approccio del GDPR è caratterizzato da una significativa flessibilità che rispecchia il contesto di riferimento, in cui esigenze e strumenti tecnologici sono in continuo mutamento. Nello specifico, il Regolamento rimette ai titolari il compito di stabilire autonomamente modalità e limiti del trattamento dei dati sulla base della valutazione dei rischi specifici e sempre in conformità con i principi generali del GDPR.
Encryption: metti “sotto chiave” i tuoi dati
Il termine encryption deriva da crittografia, la scienza che, tramite l’ausilio di algoritmi, permette ai dati di acquisire un formato illeggibile nei confronti di tutti quei soggetti sprovvisti di autorizzazione.
Possiamo distinguere due tipologie di encryption:
- Full-disk encryption a protezione sia dell’hardware che di tutto ciò che viene caricato (sistema operativo, file di programma e file temporanei). Oggi, la maggioranza dei laptop e degli smartphone possiedono già integrata questa funzionalità, denominata native encryption.
- File-level encryption a protezione dei dati quando sono in movimento o nel cloud. Riguarda l’inserimento di un “lucchetto” su ogni file.
Va specificato che le due procedure non costituiscono una l’alternativa dell’altra, bensì si completano a vicenda e per questo, spesso, vengono utilizzate insieme.
Anonymize: metti “in anonimo” i tuoi dati
Il termine anonymize indica un processo grazie al quale un dato può essere reso anonimo. Nello specifico, le informazioni anonime vengono definite dal GDPR come “informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi ufficialmente anonimi da impedire o da non consentire più l’identificazione dell’interessato”. Di fatto, viene meno la correlazione tra dati personali e persona fisica.
È possibile menzionare alcune tecniche di anonimizzazione, maggiormente utilizzate:
- Data Masking: riguarda la semplice cancellazione o offuscamento dei principali identificativi personali. È la procedura in uso per la pubblicazione delle sentenze nelle banche dati giuridiche;
- Pseudoniminizzazione: riguarda l’oscuramento o la sostituzione parziale dei dati rilasciati da una persona. Il soggetto, in questo caso, non è totalmente esente dal rischio di essere comunque identificata indirettamente.
- Aggregazione: riguarda la pubblicazione di dati personali di molti in modo aggregato. È una delle tecniche più sicure.
Un campo di applicazione: le registrazioni di telefonate in un Call e Contact Center
La registrazione delle chiamate è fondamentale per le attività di Call e Contact Center. A riguardo, è bene sottolineare che da un lato, il controllo qualità e la conservazione digitale di verbal order sono fattori essenziali, dall’altro il timbro vocale e il contenuto della conversazione stessa costituiscono entrambi dati personali e, pertanto, la loro acquisizione presuppone il rilascio dell’informativa privacy e l’ottenimento del consenso, ai sensi del GDPR. Attenzione: nella registrazione telefonica non è memorizzata esclusivamente la voce del cliente, ma anche quella dell’operatore e anch’essa deve essere trattata in modo opportuno.
Al datore di lavoro è vietato l’utilizzo di strumenti di controllo a distanza nei confronti dei dipendenti, ivi compresa la registrazione, se non limitatamente al perseguimento di fini organizzativi e produttivi e per la tutela della sicurezza dei dipendenti e del patrimonio aziendale. Al bilanciamento di questi interessi si collega anche l’articolo 4 dello Statuto dei Lavoratori secondo il quale il datore di lavoro è legittimato a fornire in uso ai propri dipendenti strumenti di lavoro informatici/telematici e ad utilizzare i dati raccolti tramite tali strumenti senza passare dalla preventiva autorizzazione delle Organizzazioni Sindacali o dell’Ispettorato del Lavoro, a condizione che venga data adeguata protezione ai dati personali raccolti, attraverso idonea informativa e rispetto della normativa privacy.
Conformemente ai suddetti criteri, quindi, le registrazioni possono essere tranquillamente effettuate, ma non devono essere riconducibili direttamente o indirettamente ai singoli operatori. Sotto questo aspetto, sono utili automatismi che effettuano il camuffamento della voce (dell’operatore o di entrambi gli interlocutori a seconda dello scopo della registrazione) e funzioni di “clipping” per rimuovere automaticamente i primi secondi della registrazione che generalmente possono contenere riferimenti all’operatore.
Inoltre, sempre in presenza di informativa e consenso, le registrazioni a scopo di controllo qualità (assimilabili all’ascolto con doppia cuffia o a funzioni di listening o wispering) sono effettuabili e ascoltabili, entro specifici limiti, come strumento finalizzato al miglioramento delle competenze professionali del personale, anche a tutela dei clienti e al monitoraggio della qualità del servizio.
In sintesi, quali sono le direttive da seguire per il corretto trattamento delle registrazioni di telefonate in un Call e Contact Center?
- Effettuare un campionamento delle telefonate registrate per circa il 10% del totale;
- Limitare l’ascolto delle registrazioni a casi particolari;
- Eliminare i dati relativi ad orari e presentazioni tra operatore e cliente;
- Circoscrivere i tempi di conservazione dei dati raccolti distinguendoli in base alle tipologie di dati e agli scopi specifici delle diverse operazioni di trattamento;
- Tracciare le operazioni realizzate tramite un sistema di logging;
- Creare uno specifico database, distinto da altri sistemi aziendali;
- Crittografare i file in cui sono contenute le registrazioni;
- Autorizzare all’accesso i soli soggetti incaricati del trattamento dei dati.
Audio Recording Encryption e Audio Recording Anonymize in Comsy
Comsy Contact Center presenta due funzionalità che permettono alla nostra voce di ricevere nell’ambito delle registrazioni telefoniche la protezione appropriata:
- L’audio recording encryption in Comsy consiste nel crittografare le registrazioni telefoniche mediante l’algoritmo AES 256 (standard del settore per la sicurezza dei dati) sulla base delle specifiche GDPR. In particolare, per le registrazioni viene applicata una cifratura di tipo file-level, ma è possibile mettere in atto una cifratura di tipo full-disk, qualora la situazione lo richieda. L’abilitazione della cifratura, con configurazione della password e l’abilitazione dell’operazione di anonimizzazione sono configurabili a livello di Campagna Comsy.
- L’audio recording anonymize in Comsy permette alle voci di essere irriconoscibili sulle registrazioni telefoniche, pur mantenendo inalterata la loro qualità e durata, grazie ad una procedura riconducibile alla tecnica del Data Masking. Infatti, mediante la funzione “pitch shift” (indicativa del livello di manipolazione eseguito sulla registrazione) è possibile alterare la frequenza di un audio, rendendo più acute o più gravi le voci sia dell’operatore che dell’utente, impedendone la riconoscibilità, ma non la comprensibilità. L’anonymize può essere configurato sulla campagna per essere eseguito su un canale o entrambi.
Alla luce di quanto descritto finora, è chiaro che queste importanti procedure sono due facce della stessa medaglia, due diversi pilastri di Comsy che perseguono un obiettivo comune: proteggere la nostra voce!