Compliance, cybersecurity, Guida

CRM: quali sono le regole per essere conformi al GDPR

Come già sappiamo, il regolamento Europeo EU n. 679/2016 noto come GDPR (General Data Protection Regulation) ha introdotto importanti novità in merito al trattamento e alla libera circolazione dei dati personali delle persone fisiche. Un insieme di regole pensate per fornire alle persone che risiedono nella comunità europea il controllo sull’utilizzo dei propri dati da parte delle aziende e organizzazioni.

Il mancato rispetto degli obblighi derivanti dal Regolamento comporta sanzioni amministrative pecuniarie fino a 20 milioni di euro, oppure per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.

L’argomento interessa direttamente quelle aziende – indipendentemente dalle dimensioni – che si occupano della gestione delle relazioni con i clienti mediante l’utilizzo di un software CRM, che spesso è il supporto in cui i dati vengono conservati e attraverso cui i dati vengono trattati.

Che si tratti di un CRM utilizzato ai fini di marketing, o un CRM in cui si monitorano i rapporti con i fornitori, oppure un CRM per l’assistenza clienti: anche se cambiano le finalità del trattamento dei dati siamo comunque nell’ambito del trattamento dei dati personali.

Cosa si intende per dati personali?

Si definiscono dati personali le informazioni che identificano una persona fisica e che possono fornire dettagli sulle sue caratteristiche. Con l’entrata in vigore del GDPR hanno assunto un ruolo significativo i dati:

  • identificativi: dati anagrafici (nome, cognome,..). Dati contenuti all’interno dei programmi gestionali;
  • particolari: possono rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale;
  • giudiziari: possono rivelare l’esistenza di provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato;

Con l’evoluzione delle nuove tecnologie, altri dati personali hanno assunto un ruolo rilevante. Un esempio sono i dati relativi alle comunicazioni elettroniche (via Internet o telefono) e quelli che consentono la geolocalizzazione, fornendo informazioni sui luoghi frequentati e sugli spostamenti.

Software CRM: cos’é e a cosa serve?

CRM è l’acronimo di “Customer Relationship Management”, ed è una piattaforma per la gestione e profilazione dei dati relativi ai clienti e a quelli potenziali, utilizzata a livello gestionale e di marketing.

Un software  CRM è l’ideale per la gestione dei dati personali, ma spesso è il sistema centrale dove arrivano i dati dai diversi canali di contatto con gli utenti. Dal sito istituzionale, dall’e-commerce, dai social network e da tutti gli strumenti utilizzati nel mondo del Marketing Digitale.

Il CRM può essere considerato da una parte, come strumento di marketing per la vendita e conoscenza del cliente, e dall’altro come strumento per assolvere gli obblighi previsti dal GDPR.

CRM e GDPR: quali sono le regole pratiche per essere a norma?

Come detto poc’anzi, all’interno dei software gestionali sono contenuti i dati personali identificativi delle persone fisiche. Per questo motivo è necessario verificare che siano presenti le funzionalità di base che rendono il CRM conforme alla normativa GDPR.

Di seguito alcune caratteristiche base che dovrebbe avere il programma:

  1. accessi al software protetti da “nome utente” e “password”;
  2. password di accesso “sicure”;
  3. viste predisposte in base ai ruoli degli utenti;
  4. database protetto e anonimo (in caso di comunicazione del DB al servizio di assistenza);
  5. tracciabilità dei log di accesso per eventuali comunicazioni di data breach;
  6. diritto all’oblio: cancellazione automatica dei dati personali una volta trascorso il periodo di conservazione obbligatorio.

Come si dovrebbe utilizzare il CRM nel rispetto del GDPR?

Di seguito vi elenchiamo alcune best practice per utilizzare lo strumento nel rispetto della norma europea:

  • tutti i dati devono essere raccolti in un unico ambiente (spesso si tratta di un cloud). Ciò permette all’azienda maggiore sicurezza e la possibilità di comunicare immediatamente dove è stato acquisito il contatto.
  • gli accessi a tale ambiente devono essere concessi unicamente sulla base del ruolo ricoperto in azienda. In questo modo si riduce il livello di rischio.
  • è necessario evitare la ridondanza dei dati, errori di caricamento e l’eventuale perdita.
  • ridurre il rischio di controversie legate ai consensi. Con questo strumento è possibile tracciare i consensi o le opposizioni al trattamento dati.
  • minimizzare il trattamento dei dati personali;
  • garantire una migliore gestione dei dati con il loro relativo aggiornamento.

Inoltre è opportuno, per il corretto utilizzo del CRM nel rispetto del GDPR, che l’azienda predisponga ai propri dipendenti continui corsi di aggiornamento.

Quali sono basi giuridiche che legittimano la registrazione sul CRM di dati personali riguardanti un contatto?

Secondo il Regolamento Europeo, di base sono sostanzialmente tre:

  1. l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più finalità.  È necessario ottenere il consenso per memorizzare i dati personali e bisogna documentarlo chiaramente;
  2. il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
  3. il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

Infine, ricordiamo che i trattamenti in ambito CRM devono essere riportati nel registro dei trattamenti, puntualmente descritti e aggiornati ogni volta in cui si verifichi un cambiamento significativo nella finalità, nella natura o nel contesto del trattamento.

Stai cercando soluzioni per il monitoraggio e il controllo della sicurezza informatica, e la governance dei dati? Scopri il SIEM cloud Intrusa e richiedi una demo!