Il CRM e i requisiti per la conformità al GDPR

Un sondaggio condotto nel 2020 ha rilevato che solo il 20% delle aziende intervistate aveva implementato completamente il GDPR, mentre il 60% ha addirittura riportato il fallimento di progetti innovativi a causa del regolamento. Tuttavia, oltre la metà delle aziende pensa che il GDPR stabilisca standard globali per la gestione dei dati personali e offra vantaggi competitivi per le aziende dell’UE.

Un secondo sondaggio condotto nel 2022, ha rilevato che il 22% delle aziende intervistate non ha ancora completamente implementato il regolamento e il 33% lo ha fatto solo parzialmente. Pertanto, il tema del CRM e del GDPR è ancora molto attuale. La raccolta e il trattamento dei dati personali in un sistema CRM sono essenziali per una gestione delle relazioni con i clienti efficace e di successo. Ciò non solo nell’interesse delle aziende, ma anche in quello dei clienti e delle parti interessate.

Il GDPR UE 2016/679

Dal 25 maggio 2018, il GDPR dell’UE è entrato in vigore in tutta Europa e regola il trattamento dei dati personali da parte di aziende ed enti pubblici. Il suo obiettivo principale è quello di rafforzare i diritti individuali all’autodeterminazione informativa. Il GDPR dell’UE si applica a tutte le aziende dell’UE che memorizzano e processano dati personali, ma è importante notare che le aziende al di fuori dell’UE devono rispettare il GDPR se offrono servizi o prodotti ai cittadini dell’UE e raccolgono e utilizzano i loro dati nel processo.

Cosa sono i dati personali?

Il termine “dati personali” si riferisce a qualsiasi informazione relativa a una persona fisica identificata o identificabile. Tra le informazioni che possono essere considerate dati personali anche in un ambiente aziendale, troviamo:

• Nome e cognome
• Indirizzo
• Genere
• Numero di telefono
• Indirizzo e-mail
• Indirizzo IP
• Dati di contatto delle persone presso clienti o fornitori
• Indirizzi IP dei visitatori del sito web
• Elenco dei destinatari delle newsletter

Cosa significa “trattamento dei dati personali”?

Per trattamento dei dati personali si intende essenzialmente qualsiasi attività descritta al punto 2 del GDPR, che può comprendere:

• Raccolta (ad es. tramite questionario modulo online)
• Acquisizione (ad es. attraverso software o fotocamera)
• Archiviazione (ad es. in un database, file Excel o record)
• Modifica (ad es. aggiornamento di informazioni personali)
• Trasmissione (ad es. a un’agenzia governativa o a una società affiliata)
• Corrispondenza e collegamento
• Blocco o cancellazione

Esempi comuni di trattamento dei dati personali includono la memorizzazione dei dettagli di contatto dei clienti o dei contatti aziendali nel sistema CRM o la raccolta di indirizzi e-mail per l’invio di newsletter. Anche la registrazione delle informazioni personali dei candidati, per una posizione lavorativa in azienda, rientra nella definizione di trattamento dei dati personali.

Perché le aziende hanno bisogno di dati personali?

Per effettuare vendite di successo, è fondamentale conoscere molto bene i potenziali clienti, in modo da scegliere l’approccio e i canali di comunicazione giusti per convincerli della qualità dei prodotti o servizi proposti. Tuttavia, per raggiungere questo obiettivo, c’è bisogno di raccogliere e utilizzare i dati personali dei clienti, come gli indirizzi e-mail per campagne marketing e invio di newsletter, così come per i processi commerciali.

Quali dipartimenti lavorano con i dati personali?

Si potrebbe pensare che l’elaborazione degli acquisti e la contabilità siano le uniche attività che coinvolgono i dati personali dei clienti. Tuttavia, molti altri dipartimenti lavorano con queste informazioni, sia prima che dopo l’acquisto. Ad esempio, il reparto marketing si concentra sulla ricerca di nuovi potenziali clienti, il team delle vendite cerca di acquisire nuovi clienti, mentre il servizio clienti si occupa dell’assistenza ai clienti esistenti.

Inoltre, l’utilizzo di software di vendita può aiutare ad ottimizzare i processi, mentre l’utilizzo di un’app di assistenza sul campo può rendere più efficiente il servizio fornito. Infine, il dipartimento marketing può utilizzare software di gestione delle campagne per pianificare e monitorare le attività.

Anche il trattamento dei dati dei dipendenti è regolato dal GDPR?

Il GDPR tutela i dati personali di clienti e dipendenti, dalla candidatura alla fine del rapporto lavorativo. Il GDPR prevede che i dati personali, tra cui quelli dei dipendenti, siano trattati solo se esiste una base legale specifica o il consenso del dipendente. Questa base legale è prevista dalla normativa sul trattamento dei dati. Ciò implica che i datori di lavoro possano trattare i dati personali necessari per l’avvio, lo svolgimento o la conclusione di un rapporto lavorativo anche senza consenso.

Requisiti normativi del software

Per una gestione dei dati personali in linea con il GDPR, è indispensabile un software CRM che assicuri i diritti e la sicurezza dei clienti e che, allo stesso tempo, protegga da possibili sanzioni elevate in caso di errori di processo. Trasparenza, processi ottimizzati e archiviazione centralizzata dei dati per una visione completa favoriscono il rispetto del GDPR nel CRM meglio di una collezione di fogli Excel disseminati su vari server.

Quando è consentito il trattamento dei dati personali nel CRM?

Il trattamento dei dati personali deve essere conforme al GDPR, che richiede una base giuridica per il trattamento. Questa può essere una delle seguenti: 

• il trattamento è indispensabile per adempiere a un contratto con la persona, come per esempio usare l’indirizzo del cliente per consegnare il prodotto acquistato.
• il trattamento dei dati è obbligatorio per rispettare le norme legali, come recuperare e conservare i dati identificativi dei partner contrattuali secondo la legge antiriciclaggio.
• La Società ha un interesse legittimo nel trattare i dati. Non ci sono alternative meno invasive. Gli interessi opposti delle persone coinvolte non hanno la precedenza, come visualizzare le proposte commerciali di un dipendente assente per gestire le richieste urgenti dei clienti.
• l’interessato è stato informato e ha dato il suo consenso esplicito all’uso dei dati, come nel caso di un cliente che si registra alla newsletter.

Alcuni dettami del GDPR

Usare i dati solo per fini che corrispondono o sono compatibili con quelli per cui sono stati raccolti originariamente. Non raccogliere e usare più dati di quelli necessari per l’obiettivo specifico. Per esempio, non è necessario richiedere il nome e il datore di lavoro per l’iscrizione a una newsletter. Eliminare i dati personali quando non servono più. Per esempio, dopo il termine del periodo di conservazione legale di 10 anni. Correggere dati sbagliati o incompleti. Proteggere adeguatamente i dati da accessi non autorizzati, perdite e falsificazioni. La sicurezza dei dati secondo il GDPR nel CRM è assicurata, per esempio, da concetti di ruolo, password, crittografia e firewall.

Il GDPR impone, in alcuni casi, requisiti supplementari per il trattamento dei dati. Questi valgono anche per il GDPR applicato al CRM: i dati sensibili sono soggetti a un divieto generale di trattamento. Questo riguarda, ad esempio, i dati sulla salute, la religione, le opinioni politiche, l’affiliazione sindacale o la vita sessuale. Il trattamento è consentito solo se ci sono eccezioni giustificate e con condizioni particolarmente severe, come il consenso, il diritto del lavoro e gli obblighi di sicurezza sociale.

GDPR nel CRM

Per rispettare i dettami del GDPR, un sistema CRM deve possedere determinate funzionalità e caratteristiche, esaminiamole attraverso alcuni scenari esemplificativi:

Una persona vuole conoscere quali dati personali sono memorizzati su di lei. Può anche chiedere per quale motivo vengono trattate le informazioni o in quale trattamento vengono usati i dati personali. Occorre poter rispondere a tali domande.

Una persona vuole che i suoi dati personali vengano eliminati. Questo è possibile solo se altre leggi non impongono che i dati personali siano conservati o se c’è qualche altro interesse che richiede la conservazione delle informazioni.

Ogni volta che i dati personali vengono raccolti, modificati, eliminati, combinati o trattati, questi devono essere registrati. La conservazione dei dati personali richiede il consenso della persona interessata. Il consenso deve essere documentato per iscritto.

I dati personali raccolti devono essere adeguati allo scopo e limitati al necessario. Inoltre, devono essere conservati solo per il tempo strettamente necessario. Le persone hanno il diritto di ricevere i propri dati personali in un formato comunemente usato. I dati personali possono essere conservati ma non possono essere trattati automaticamente. Una persona può opporsi al trattamento dei propri dati personali. Occorre essere informati del proprio diritto di opposizione alla prima comunicazione. Gli utenti di un sistema di trattamento dei dati personali possono accedere solo ai dati corrispondenti alla loro autorizzazione di accesso. Tutte le funzioni per visualizzare i dati o esportarli devono essere protette adeguatamente.

Archiviazione sicura dei dati personali secondo il GDPR

Quando i dati vengono esportati, deve essere assicurato un livello adeguato di protezione anche quando i dati vengono trasferiti a entità fuori dall’Unione europea e dallo Spazio economico europeo. Per alcuni paesi, la Commissione europea ha stabilito che le loro leggi sulla protezione dei dati sono adeguate (ad esempio per Giappone, Israele, Svizzera). Per tutti gli altri paesi, di solito devono essere stipulati contratti speciali con i destinatari dei dati. Sino a poco tempo fa, le aziende negli Stati Uniti potevano certificarsi secondo il Privacy Shield, ma ora questo è stato dichiarato illegittimo dalla Corte di giustizia europea. Al momento non è in vigore un nuovo accordo.

Chi risponde delle violazioni?

In caso di violazione, è responsabile l’azienda. Sono diverse le organizzazioni che hanno ricevuto sanzioni anche molto elevate. Per evitare che ciò accada, è necessario verificare attentamente la rispondenza del CRM adottato alle regolamentazioni del GDPR riguardanti il trattamento, la conservazione e lo scambio delle informazioni. Se i dati sono protetti nel proprio data center, si ha il pieno controllo e responsabilità. Anche i cloud provider europei devono operare secondo il GDPR ed è bene sapere che si è sempre responsabili per le infrazioni commesse da piattaforme stanziate fuori dall’Europa.

Autore: Marco Marra