Immagine | Envato Elements
Un sondaggio condotto nel 2020 ha rilevato che solo il 20% delle aziende intervistate aveva implementato completamente il GDPR, mentre il 60% ha addirittura riportato il fallimento di progetti innovativi a causa del regolamento. Tuttavia, oltre la metà delle aziende pensa che il GDPR stabilisca standard globali per la gestione dei dati personali e offra vantaggi competitivi per le aziende dell’UE.
Un secondo sondaggio condotto nel 2022, ha rilevato che il 22% delle aziende intervistate non ha ancora completamente implementato il regolamento e il 33% lo ha fatto solo parzialmente. Pertanto, il tema del CRM e del GDPR è ancora molto attuale. La raccolta e il trattamento dei dati personali in un sistema CRM sono essenziali per una gestione delle relazioni con i clienti efficace e di successo. Ciò non solo nell’interesse delle aziende, ma anche in quello dei clienti e delle parti interessate.
Dal 25 maggio 2018, il GDPR dell’UE è entrato in vigore in tutta Europa e regola il trattamento dei dati personali da parte di aziende ed enti pubblici. Il suo obiettivo principale è quello di rafforzare i diritti individuali all’autodeterminazione informativa. Il GDPR dell’UE si applica a tutte le aziende dell’UE che memorizzano e processano dati personali, ma è importante notare che le aziende al di fuori dell’UE devono rispettare il GDPR se offrono servizi o prodotti ai cittadini dell’UE e raccolgono e utilizzano i loro dati nel processo.
Il termine “dati personali” si riferisce a qualsiasi informazione relativa a una persona fisica identificata o identificabile. Tra le informazioni che possono essere considerate dati personali anche in un ambiente aziendale, troviamo:
Per trattamento dei dati personali si intende essenzialmente qualsiasi attività descritta al punto 2 del GDPR, che può comprendere:
Esempi comuni di trattamento dei dati personali includono la memorizzazione dei dettagli di contatto dei clienti o dei contatti aziendali nel sistema CRM o la raccolta di indirizzi e-mail per l’invio di newsletter. Anche la registrazione delle informazioni personali dei candidati, per una posizione lavorativa in azienda, rientra nella definizione di trattamento dei dati personali.
Per effettuare vendite di successo, è fondamentale conoscere molto bene i potenziali clienti, in modo da scegliere l’approccio e i canali di comunicazione giusti per convincerli della qualità dei prodotti o servizi proposti. Tuttavia, per raggiungere questo obiettivo, c’è bisogno di raccogliere e utilizzare i dati personali dei clienti, come gli indirizzi e-mail per campagne marketing e invio di newsletter, così come per i processi commerciali.
Si potrebbe pensare che l’elaborazione degli acquisti e la contabilità siano le uniche attività che coinvolgono i dati personali dei clienti. Tuttavia, molti altri dipartimenti lavorano con queste informazioni, sia prima che dopo l’acquisto. Ad esempio, il reparto marketing si concentra sulla ricerca di nuovi potenziali clienti, il team delle vendite cerca di acquisire nuovi clienti, mentre il servizio clienti si occupa dell’assistenza ai clienti esistenti.
Inoltre, l’utilizzo di software di vendita può aiutare ad ottimizzare i processi, mentre l’utilizzo di un’app di assistenza sul campo può rendere più efficiente il servizio fornito. Infine, il dipartimento marketing può utilizzare software di gestione delle campagne per pianificare e monitorare le attività.
Il GDPR tutela i dati personali di clienti e dipendenti, dalla candidatura alla fine del rapporto lavorativo. Il GDPR prevede che i dati personali, tra cui quelli dei dipendenti, siano trattati solo se esiste una base legale specifica o il consenso del dipendente. Questa base legale è prevista dalla normativa sul trattamento dei dati. Ciò implica che i datori di lavoro possano trattare i dati personali necessari per l’avvio, lo svolgimento o la conclusione di un rapporto lavorativo anche senza consenso.
Per una gestione dei dati personali in linea con il GDPR, è indispensabile un software CRM che assicuri i diritti e la sicurezza dei clienti e che, allo stesso tempo, protegga da possibili sanzioni elevate in caso di errori di processo. Trasparenza, processi ottimizzati e archiviazione centralizzata dei dati per una visione completa favoriscono il rispetto del GDPR nel CRM meglio di una collezione di fogli Excel disseminati su vari server.
Il trattamento dei dati personali deve essere conforme al GDPR, che richiede una base giuridica per il trattamento. Questa può essere una delle seguenti:
Usare i dati solo per fini che corrispondono o sono compatibili con quelli per cui sono stati raccolti originariamente. Non raccogliere e usare più dati di quelli necessari per l’obiettivo specifico. Per esempio, non è necessario richiedere il nome e il datore di lavoro per l’iscrizione a una newsletter. Eliminare i dati personali quando non servono più. Per esempio, dopo il termine del periodo di conservazione legale di 10 anni. Correggere dati sbagliati o incompleti. Proteggere adeguatamente i dati da accessi non autorizzati, perdite e falsificazioni. La sicurezza dei dati secondo il GDPR nel CRM è assicurata, per esempio, da concetti di ruolo, password, crittografia e firewall.
Il GDPR impone, in alcuni casi, requisiti supplementari per il trattamento dei dati. Questi valgono anche per il GDPR applicato al CRM: i dati sensibili sono soggetti a un divieto generale di trattamento. Questo riguarda, ad esempio, i dati sulla salute, la religione, le opinioni politiche, l’affiliazione sindacale o la vita sessuale. Il trattamento è consentito solo se ci sono eccezioni giustificate e con condizioni particolarmente severe, come il consenso, il diritto del lavoro e gli obblighi di sicurezza sociale.
Per rispettare i dettami del GDPR, un sistema CRM deve possedere determinate funzionalità e caratteristiche, esaminiamole attraverso alcuni scenari esemplificativi:
Una persona vuole conoscere quali dati personali sono memorizzati su di lei. Può anche chiedere per quale motivo vengono trattate le informazioni o in quale trattamento vengono usati i dati personali. Occorre poter rispondere a tali domande.
Una persona vuole che i suoi dati personali vengano eliminati. Questo è possibile solo se altre leggi non impongono che i dati personali siano conservati o se c’è qualche altro interesse che richiede la conservazione delle informazioni.
Ogni volta che i dati personali vengono raccolti, modificati, eliminati, combinati o trattati, questi devono essere registrati. La conservazione dei dati personali richiede il consenso della persona interessata. Il consenso deve essere documentato per iscritto.
I dati personali raccolti devono essere adeguati allo scopo e limitati al necessario. Inoltre, devono essere conservati solo per il tempo strettamente necessario. Le persone hanno il diritto di ricevere i propri dati personali in un formato comunemente usato. I dati personali possono essere conservati ma non possono essere trattati automaticamente. Una persona può opporsi al trattamento dei propri dati personali. Occorre essere informati del proprio diritto di opposizione alla prima comunicazione. Gli utenti di un sistema di trattamento dei dati personali possono accedere solo ai dati corrispondenti alla loro autorizzazione di accesso. Tutte le funzioni per visualizzare i dati o esportarli devono essere protette adeguatamente.
Quando i dati vengono esportati, deve essere assicurato un livello adeguato di protezione anche quando i dati vengono trasferiti a entità fuori dall’Unione europea e dallo Spazio economico europeo. Per alcuni paesi, la Commissione europea ha stabilito che le loro leggi sulla protezione dei dati sono adeguate (ad esempio per Giappone, Israele, Svizzera). Per tutti gli altri paesi, di solito devono essere stipulati contratti speciali con i destinatari dei dati. Sino a poco tempo fa, le aziende negli Stati Uniti potevano certificarsi secondo il Privacy Shield, ma ora questo è stato dichiarato illegittimo dalla Corte di giustizia europea. Al momento non è in vigore un nuovo accordo.
In caso di violazione, è responsabile l’azienda. Sono diverse le organizzazioni che hanno ricevuto sanzioni anche molto elevate. Per evitare che ciò accada, è necessario verificare attentamente la rispondenza del CRM adottato alle regolamentazioni del GDPR riguardanti il trattamento, la conservazione e lo scambio delle informazioni. Se i dati sono protetti nel proprio data center, si ha il pieno controllo e responsabilità. Anche i cloud provider europei devono operare secondo il GDPR ed è bene sapere che si è sempre responsabili per le infrazioni commesse da piattaforme stanziate fuori dall’Europa.
Autore: Marco Marra
A Napoli fiaccolata per Chiara Jaconis: "Perdonaci". Il padre: "Grazie, popolo fantastico" Centinaia di persone…
Champions League, Gasperini in conferenza stampa pre Atalanta-Arsenal Il tecnico nerazzurro alla vigilia del match…
CA Drivalia al Salone di Torino L' esperienza al servizio del mercato Economia (Torino). Intervista…
Draghi lascia Palazzo Chigi dopo oltre un'ora di colloquio con Giorga Meloni Draghi era stato…
Mario Draghi entra a Palazzo Chigi per l'incontro con Giorgia Meloni La premier nei giorni…
Vannacci, Crippa: "Doveva fare il vicepresidente, parleremo con alleati. Solidarietà a lui" "Rimarrà nella Lega…