supersqualo
Privacy & Sicurezza

Telefonate registrate analizzate da IA: consenso bilaterale, art. 167 Codice Privacy

Call center, customer care, vendite telefoniche, recruiting. Le telefonate vengono registrate «per finalità di qualità». E poi analizzate da IA per sentiment, parole chiave, scoring. Sai cosa rischi?

Di Super Squalo·6 min lettura
Nota. Una nota: nel campo dell'IA i mesi pesano. Cerco di tenere queste guide aggiornate, però se stai leggendo a distanza di tempo qualche dettaglio potrebbe essere cambiato. Per chiarimenti sono raggiungibile.

Mercoledì pomeriggio, call center di Milano. Quaranta operatori in cuffia, telefonate registrate "a fini di qualità del servizio". Fin qui tutto regolare, l'informativa è scritta. Poi il responsabile decide di passare le registrazioni dentro un'IA che analizza tono, parole chiave, sentiment, performance. La macchina capisce chi vende meglio, chi è stressato, chi sbaglia copione. Lì le cose si complicano. Il Garante non ride per niente.

Te la racconto come si fa senza beccarsi una sanzione che ti fa chiudere bottega.

Il pasticcio in cui finisci se analizzi le chiamate senza dirlo

Registrare una chiamata è una cosa. Far ascoltare la chiamata a una macchina che valuta sentiment, scoring delle performance, parole chiave, è un'altra. Per la legge italiana è monitoraggio di lavoratori a distanza, e cade sotto regole strette: lo Statuto dei Lavoratori, il Codice Privacy, le linee guida del Garante.

Aggiungi un altro pezzo. La persona dall'altro lato — il cliente che ti chiama — si è data il consenso a essere registrata. Ma non al fatto che una macchina la analizzi. È un trattamento ulteriore, e per il Garante è categoria a parte. Servono base giuridica diversa, informativa diversa, valutazione di impatto.

Casi reali: Garante 2023 ChatGPT bloccato in Italia per uso non corretto dei dati. OpenAI 15 milioni a dicembre 2024. Sanzioni a operatori telefonici per analisi non dichiarate sono già state comminate. Non sono cifre da prendere a ridere.

Cosa NON puoi fare

Non puoi applicare l'IA alle chiamate registrate senza modificare l'informativa al cliente. Quella vecchia, da anni, copre la registrazione. Non copre l'analisi automatica.

Non puoi usare gli output dell'IA per licenziare l'operatore sotto performance senza una valutazione umana. La decisione automatica su rapporti di lavoro è vietata se non c'è controllo umano vero.

Non puoi mandare audio di clienti italiani su servizi di trascrizione gratis americani. Sono dati personali, escono dall'UE, e il consenso del cliente non l'hai per quel trasferimento.

Non puoi registrare di nascosto l'operatore in cuffia oltre quello già dichiarato. Se aggiungi analisi IA, va concordato con i sindacati o autorizzato dall'Ispettorato del Lavoro. Statuto dei Lavoratori, articolo che limita i controlli a distanza, vale ancora.

Cosa invece si può fare bene

Modello pulito: l'IA gira su server in Italia o in Europa di proprietà dell'azienda, non su servizi cloud americani. Le registrazioni restano a casa, l'analisi pure. Output usati per formazione collettiva, non per pagelle individuali infilzate al singolo operatore.

Informativa al cliente aggiornata: "la chiamata è registrata e analizzata in forma aggregata da sistemi automatici per migliorare il servizio". Frase semplice, chiara, in italiano vero.

Accordo con la rappresentanza sindacale, dove esiste. Se non c'è, autorizzazione preventiva dell'Ispettorato del Lavoro. Senza queste due cose, sei fuori.

Per la valutazione individuale: l'IA segnala, l'umano decide. Se un operatore va male, si fa un colloquio, si guardano insieme alcune chiamate, si dà formazione. Non si manda una mail di richiamo basata sul punteggio della macchina.

I paletti che non si toccano

Consenso bilaterale alla registrazione: non basta dirlo dal lato call center. Va detto chiaramente al cliente nei primi secondi: "questa chiamata viene registrata, se non vuoi premi 9". Ce l'hai già, ma controlla che il messaggio pre-registrato sia aggiornato per coprire anche l'analisi automatica.

Server in UE, file cifrati. Cancellazione automatica delle registrazioni dopo il periodo dichiarato (di solito sei mesi-un anno, mai "per sempre"). Audit log di chi ha ascoltato e analizzato cosa.

Valutazione d'impatto privacy fatta prima, non dopo. Si chiama DPIA, è obbligatoria per trattamenti su larga scala con tecnologie nuove. Vale per ogni call center sopra una certa dimensione.

Formazione del personale: l'operatore deve sapere che le sue chiamate sono analizzate, come, perché. Trasparenza, non controllo nascosto.

Una nota personale

Io di mestiere monto sistemi IA privati per aziende italiane. Niente corsi, niente formule magiche. Sul gruppo Telegram di Super Squalo (t.me/Squalogruppo) si parla di privacy, GDPR e IA in azienda ogni settimana, e si risponde gratis.

Il call center di mercoledì, intanto, può ripartire. Ma con le carte in regola.

Hai un dubbio? Vieni a parlarne.

Gruppo Telegram aperto. Domande, opinioni, casi vissuti. Senza venditori e senza spam. Per consulenza personale o caso aziendale, usa il pulsante consulenza.

Entra nel gruppo TelegramRichiedi consulenza