CRM: i 7 punti da rispettare per essere conformi al GDPR

 

Il CRM è un processo critico per il GDPR in quanto riguarda il marketing e il commerciale: spesso si ritiene erroneamente che, non contenendo dati sensibili (ma non sempre è vero), non dobbiamo preoccuparcene più di tanto. In realtà non è così: ecco come usarlo conformemente alla normativa sulla data protection.

Che le attività commerciali e di marketing siano quelle più nel mirino dalle Autorità Garanti per la Privacy è ormai una realtà inconfutabile. E quale strumento, oltre alle piattaforme di E-Mail Marketing, viene più utilizzato per gestire attività di questo tipo se non il CRM?

Il CRM, il cui acronimo sta per Customer Relationship Manager, era nato negli Anni 90 come strumento software per gestire le attività commerciali della forza vendita, sia nei confronti della clientela già acquisita che per i potenziali clienti o Lead.

In realtà, la sua funzione si è poi estesa nel tempo ad altri processi collegati ai clienti tra cui il post-vendita e le campagne di marketing.

Ora troviamo nel mercato dei CRM piattaforme complete che permettono di gestire dalla classica attività di gestione appuntamenti, offerte ed ordini fino alle attività di assistenza tecnica ed help-desk passando dal telemarketing e mail-marketing alle campagne di advertising web e social engagement.

Possiamo quindi ben capire che la tipologia e la quantità di dati personali che un CRM può gestire possono essere veramente notevoli nonché delicati sia dal punto di vista privacy che per la protezione del business dell’azienda.

 

Quali tipologie di dati può contenere un CRM

Come detto prima, le tipologie di dati che possiamo trovare in un CRM possono essere molte tra cui:

  1. dati di contatto: nome, cognome, p.iva e codice fiscale, indirizzo, telefono, cellulare, mail, ruolo aziendale, azienda, reparto, nomi di colleghi e superiori, campo note (dove ci può essere di tutto);
  2. dati commerciali e di profilazione: prodotti acquistati, documenti commerciali (ordini, fatture, contratti), settore di appartenenza, sesso, età, grado di istruzione, hobby, interessi, dati sui famigliari, potere decisionale più altri campi note;
  3. dati Finanziari: condizioni di pagamento, solvibilità finanziaria, insoluti, livello di check credit, fido…altri campi note;
  4. dati marketing: indirizzo IP, dati dispositivo e browser, dati di navigazione web, Kpi di mail-marketing (tassi di apertura, dati di interazione), tracciatura percorsi di acquisto (funnel marketing), dati provenienti da campagne web e social, dati account social, dati da campagne di telemarketing, ulteriori campi note.

Questi sono solo alcuni esempi dei dati personali che possono essere contenuti in un CRM, fermo restando che, alcuni campi, possono essere delle vere e proprie “bombe privacy”, in particolare, i campi note.

 

Mi sono trovato spesso a gestire dei progetti CRM dove nei campi note compilati dai commerciali c’era praticamente di tutto; da eventuali relazioni con il o la collega di turno agli orientamenti sessuali, religiosi o politici e, visto che notoriamente i commerciali non hanno limiti alla fantasia, vi potete immaginare quale altro ci potrebbe essere.

Ricordiamo che queste ultime tipologie di dati sono considerati dati particolari o sensibili e che, pertanto vanno trattati con particolari modalità e solo se esistono le basi giuridiche, in base all’ Art.9 del GDPR.

 

Utilizzare il CRM in maniera conforme al GDPR

Ma ora vediamo quali sono i 7 punti da rispettare per utilizzare il CRM in maniera conforme al GDPR.

 

Analizzare e mappare le fonti

Analizzare in che modo sono stati acquisiti i dati che sono inseriti nel CRM è vitale.

Purtroppo, nella maggior parte dei casi, il database del CRM è un agglomerato di dati che provengono dalle fonti più svariate quali:

  1. ERP per i clienti già acquisiti;
  2. prospect o leads con cui la forza commerciale è entrata in contatto;
  3. servizi di liste a pagamento;
  4. biglietti da visita;
  5. contatti provenienti da eventi e fiere;
  6. elenchi pubblici (es. Camera di Commercio);
  7. nominativi pubblicati sul WEB;
  8. account iscritti alle pagine dei social aziendali (es. Linkedin);
  9. iscritti al sito web o al servizio newsletter;
  10. nominativi provenienti dal passaparola dei clienti o fornitori;
  11. altre fonti.

È opportuno, quindi, prevedere un campo specifico “Fonte Dati” con una lista predefinita di Fonti da cui scegliere (non un campo libero ma una picklist) che possa essere compilato automaticamente in caso di importazione massiva di dati, come nel caso di una lista a pagamento o se inserito tramite una form di iscrizione automatica alla newsletter.

 

Verificare le basi giuridiche

Ricordiamo che per trattare qualsiasi dato personale, sensibile e non, è necessario che il trattamento sia legittimo ovvero, poggi su almeno una delle seguenti basi giuridiche:

  1. il trattamento è eseguito in base ad obblighi di legge (es. Contabilità);
  2. il trattamento è eseguito sulla base di un contratto (es. ordine) o pre-contratto (es. richiesta di preventivo);
  3. il Trattamento è eseguito per salvaguardare la salute dell’interessato (es. Sanità);
  4. il trattamento è necessario per il pubblico interesse (es. enti pubblici);
  5. il trattamento serve per perseguire un legittimo interesse del titolare purché non prevalga i diritti dell’interessato;

In assenza di almeno una delle suddette basi giuridiche l’unico criterio che ci legittima a trattare un dato personale, ad eccezione dei dati sensibili per i quali servono ulteriori requisiti (vedi Art. 9 GDPR), è il consenso che però, per essere giudicato legittimo deve essere libero, informato, inequivocabile e dimostrabile.

Tornando sulle fonti che abbiamo citato prima troviamo che, ad esclusione del pubblico interesse e della salvaguardia della salute, tutte le altre basi giuridiche potrebbero essere utilizzate a seconda dei casi specifici.

Per quanto riguarda i clienti già acquisiti le basi applicabili possono essere quella contrattuale o pre-contrattuale, se devo finalizzare una vendita ad esempio, oppure il legittimo interesse in base al quale il titolare può essere legittimato a trattare dati di clienti, inclusi lavoratori, per finalità di marketing purché inerenti a prodotti che ha già acquistato.

Il discorso cambia invece per i lead ovvero i potenziali clienti con i quali non abbiamo ancora avuto nessun rapporto pre-contrattuale o di vendita.

Per questa tipologia l’unica base giuridica applicabile è il consenso che può essere ottenuto in varie forme quindi, non necessariamente in forma scritta, tramite la spunta di un flag o anche a voce purché sia dimostrabile e preceduto da un’informativa anche questa, non necessariamente in forma scritta.

Altra storia a parte sono i dati resi pubblici, come ad esempio i dati presi dal sito web.

In tal caso bisogna fare una netta distinzione fra dati personali e non.

Ricordiamo che il GDPR regolamenta solo i dati che riconducono inequivocabilmente a persone fisiche come ad esempio la mail nome.cognome@azienda.it

Una casella mail info@azienda.it non è considerata dato personale quindi non soggetto al GDPR.

Anche se qui ci sono diverse interpretazioni, il consiglio che mi sento di darvi è comunque quello di trattare qualsiasi dato personale, anche se reso pubblico dallo stesso interessato, dietro rilascio di un consenso, soprattutto se utilizzato per finalità di marketing e/o profilazione. Se invece utilizzate il dato per altri scopi bisogna invece verificare l’applicabilità di una qualsiasi delle altre basi giuridiche di cui sopra.

Questo perché una casella mail personale, anche se resa pubblica sul web è equiparata ad una cassetta postale fisica che, pur se accessibile da chiunque, non può essere inondata di materiale pubblicitario o promozionale, attività equiparata a SPAM in base alle Linee guida marketing e contrasto allo spam del Garante del 4 Luglio 2013.

 

Fornire l’informativa

In qualsiasi caso e, con qualsiasi base giuridica, consenso o no, l’informativa è “conditio sine qua non” per procedere ad un trattamento dati.

Per essere conforme al GDPR, l’informativa deve rispettare determinati requisiti che sono esplicitati negli Art. 6,7 e 13 del Regolamento, deve essere chiara e comprensibile (meglio non in legalese) e deve fornire le seguenti informazioni:

  1. dati di contatto del Titolare;
  2. le finalità e le modalità di trattamento (digitale, manuale o entrambi);
  3. le categorie e tipologie di dati trattati;
  4. come abbiamo ottenuto i dei dati;
  5. se vengono adottate misure adeguate di protezione dei dati;
  6. quali sono i diritti dell’interessato e come può esercitarli;
  7. indicare a chi possono essere comunicati i dati;
  8. se i dati possono essere trasferiti anche in paesi Extra UE (es. USA) e quali garanzie di protezione offrono;
  9. quali sono i tempi minimi e massimi di conservazione;
  10. se c’è un processo di profilazione automatizzato;
  11. se si trattano dati di minori e, nel caso, come vengono gestiti;
  12. l’indicazione dei Responsabili esterni o come fare per ottenerli;
  13. i dati di contatto del DPO o Responsabile Protezione Dati (se nominato);
  14. chi fornire l’informativa.

Ricordate che il CRM non riguarda solo clienti e lead ai quali va ovviamente fornita l’informativa.

Nel CRM infatti avremo sicuramente i dati dei commerciali, dei responsabili e degli operatori marketing ed help-desk e che, nella maggior parte dei casi, vengono utilizzati per controllare l’operato degli stessi: attività, nr.visite e appuntamenti, agenda, mail, offerte e ordini, vendite, budget etc. Tutti dati che possono essere anche usati per essere profilati e determinare magari delle conseguenze sul rapporto lavorativo e sul calcolo dei compensi.

L’informativa quindi, deve essere redatta e fornita, ancor prima dei clienti, a questi soggetti, indicando bene le finalità e le modalità con cui vengono stabiliti i criteri di una eventuale profilazione automatizzata (tramite un algoritmo).

 

Verificare i consensi

E qui, come si suole dire, “casca l’asino”.

In tutti i progetti di CRM in cui sono stato coinvolto non c’è mai stata volta in cui mi sono trovato di fronte ad una situazione chiara e soprattutto rintracciabile alla fonte.

Questo perché, come già detto prima, le fonti da cui provengono i dati sono i più svariati e spesso sono anche datati, come liste di nomi distribuiti n miriadi di fogli Excel rimbalzati nei pc dei vari commerciali e responsabili che si sono succeduti nel tempo.

Non esiste quasi mai un “campo consenso” specifico in base al quale si tiene traccia del momento (perlomeno la data) e della modalità con cui questo consenso è stato ottenuto.

Importante ricordare che, se fate profilazione, ovvero raggruppate i dati in base a criteri prestabiliti i quali poi verranno elaborati in maniera automatizzata, quindi da un algoritmo digitale tanto per intenderci, dovete chiedere un ulteriore consenso separato da quello commerciale/marketing.

Fate molta attenzione alle liste acquistate da società esterne, il cui consenso, spesso spacciato per ottenuto legalmente e valido, non è sempre tracciabile e dimostrabile con chiarezza e, soprattutto, non sempre comprende anche il consenso a trasferire i dati a terzi per finalità di marketing.

Quindi che fare? Il mio consiglio, prima di approcciare un progetto CRM, è quello di partire come se fosse l’anno zero e fare una qualifica del Database in base ai dati che siamo legittimati a trattare, lasciando fuori tutti gli altri che non supportati da alcuna base giuridica o da un consenso che sia dimostrabile, in tal casoanche il classico biglietto da visita può essere considerato una prova di consenso.

 

Data Retention: questa sconosciuta

I criteri per la data retention, ovvero quelli che stabiliscono per quanto tempo posso o devo conservare i dati, devono essere stabiliti prima di mettere in atto il trattamento in base ai principi della privacy by design e by default, e ben indicati nell’informativa.

Fermo restando che i dati ottenuti con il consenso dell’interessato possono essere conservati fino a revoca, per tutti gli altri invece esistono criteri differenti e, purtroppo, non sempre così chiari.

Per i dati utilizzati per fini amministrativi e fiscali è semplice perché i tempi di conservazione sono stabiliti per Legge (10 anni).

Negli altri casi e, in particolare per i dati utilizzati per fini commerciali e marketing si deve sempre distinguere fra clienti acquisiti e potenziali o lead.

Per quanto riguarda i clienti acquisiti ovvero, quelli per cui il Titolare può inviare comunicazioni marketing inerenti a prodotti simili già acquistati (vedi Punto 2), il criterio del Legittimo Interesse ha senso fintanto che il Cliente è ancora attivo e compra regolarmente ma, perde efficacia nel caso il cliente smetta di comprare o comunque non interagisca più con la nostra azienda.

In questo caso, siccome il GDPR non cita questi casi specifici, ci si deve aggrappare a pareri e linee guida emesse dai Garanti Europei in base ai quali si è arrivati a questa definizione, adottata in diversi Paesi UE:

“Si deve cessare di inviare comunicazioni marketing ad un cliente se non ha eseguito alcuna iterazione con l’azienda negli ultimi 24 mesi in quanto, oltre tale periodo, decadrebbero le ragioni per mantenere un Legittimo Interesse”.

Dove per iterazione possiamo intendere azioni di acquisto, pagamenti, preventivi, contratti o forniture ancora in esecuzione, richieste di informazioni, contatti diretti della propria rete commerciale etc…

A meno che tu non abbia ottenuto anche il consenso ad inviargli comunicazioni allora, a quel punto, prevarrebbe sul Legittimo Interesse.

C’è però anche da dire che, se siamo in un ambito di prodotti con un ciclo di vita molto lungo, come nel settore dei beni di lusso o degli immobili, il periodo di data retention può essere prolungato.

Il CRM dovrà quindi prevedere dei meccanismi automatici che siano in grado intercettare questi segnali di iterazione (es. apertura delle mail) e procedere alla cancellazione dei dati trascorso il periodo massimo di data retention.

 

Non eccedere nei dati

Uno dei principi fondamentali su cui fonda il GDPR è quello di minimizzazione o di proporzionalità (Art.5 par.c Gdpr) in base al quale la quantità e la tipologia di dati che trattiamo devono essere quelli strettamente necessari a soddisfare le finalità per cui sono stati raccolti.

Mettiamo che tu sia un Imprenditore, un Responsabile Commerciale, un Marketing Manager, e devi decidere QUALI CAMPI inserire nel tuo CRM.

La domanda da porsi deve essere: quali dati effettivamente mi servono per gestire la mia attività commerciale? Nome, Cognome, Città, CAP, Azienda, Settore, Cellulare, Mail e Ruolo, prodotti acquistati o di interesse possono essere sicuramente giustificabili ai fini di un corretto rapporto commerciale.

Ma, se volessi anche inserire nel CRM dati relativi, per esempio, allo status socio-economico, all’orientamento politico o sessuale, all’origine razziale o etnica, al grado d’istruzione, allo stato di salute, o alle persone che frequenta abitualmente?

In quel caso la tipologia di dati raccolti sarebbe ingiustificata allo scopo (finalità) di un normale rapporto commerciale e si incorrerebbe in un trattamento eccessivo di dati, contrario al principio di minimizzazione, oltre al fatto che si parla di dati particolari o sensibili che possono essere trattati solo nei casi previsti nell’Art.9 del GDPR.

 

Proteggere i dati

L’Art.37 del Gdpr è l’unico articolo che riguarda la protezione dei dati ma non dice molto se non che spetta al Titolare valutare se e quali misure tecniche ed organizzative adottare affinché vengano garantite le condizioni di riservatezza, integrità e disponibilità dei dati (RID).

Non ci dilunghiamo su queste definizioni ma, va da sé che questa valutazione non può prescindere da un’accurata analisi dei rischi, in funzione delle quantità e delle tipologie dei dati trattati, che tenga conto anche delle dimensioni aziendali e di altri fattori che non possono essere standardizzabili.

È comunque altamente raccomandato affidarsi a software CRM collaudati e conosciuti, possibilmente non self-made o artigianali, con DB centralizzati su server, meglio ancora se in Cloud certificati e locati nel territorio UE. A tal proposito si potrebbe aprire un ampio dibattito in quanto, in base alle recenti disposizioni del Garante in merito al divieto di utilizzare servizi cloud residenti negli USA come Google Analytics, sarebbe meglio stare alla larga da CRM gestiti da società americane come Sales Force o Microsoft Dynamics, tanto per fare alcuni nomi illustri, in attesa che si formalizzi il tanto atteso accordo fra USA e UE annunciato da Biden e Ursula Von Der Layen mesi fa.

La cosa che dobbiamo assolutamente evitare è incorrere in un data breach, ovvero una violazione dati che pregiudichi la riservatezza, l’integrità o la disponibilità.

Se la violazione riguardasse anche solo qualche migliaio di indirizzi, ricadrebbe quasi sicuramente nell’obbligo di notifica al Garante entro le 72 ore, con probabili verifiche ispettive di riscontro oltre agli altri danni conseguenti non meno impattanti (immagine, inoperatività, perdita di fatturato, possibili sanzioni).

 

Conclusione

Il CRM è un processo critico per il GDPR in quanto riguarda il marketing e il commerciale, e spesso si ritiene erroneamente che, non contenendo dati sensibili (ma abbiamo visto che non sempre è vero), non dobbiamo preoccuparcene più di tanto.

In realtà non è così e ricordiamo che sono proprio i processi più legati al marketing che sono da sempre nel mirino.

Questo perché questi strumenti, anche se apparentemente innocui e, se usati male e senza consapevolezza, possono essere delle vere e proprie “bombe privacy”, pronte ad esplodere e ad innescare azioni a largo raggio e su larga scala, anche invasive, con il rischio di essere passibili di segnalazioni da parte degli interessati e, di conseguenza, di azioni ispettive.

 

 

FONTE UFFICIALE: CyberSecurity