Blog e Risorse - Adv Media Lab

CRM e GDPR: cosa cambia?

Scritto da avv. Samanta Casarin | gennaio 31, 2019

Sia che tu utilizzi un software CRM per archiviare informazioni sui potenziali clienti sia che tu non lo faccia, non puoi più ignorare il regolamento generale sulla protezione dei dati, più conosciuto come GDPR. Conservare i dati in maniera corretta è sempre stata una sfida e ha sempre richiesto investimenti mirati, ora è diventata una vera e propria necessità.

Il regolamento generale sulla protezione dei dati è un quadro giuridico che definisce le linee guida per la raccolta e il trattamento delle informazioni personali all'interno dell'Unione europea.

Il GDPR definisce i principi per la gestione dei dati e i diritti dei singoli, imponendo al tempo stesso ammende dai 10 ai 20 milioni di euro (oppure il 4% del fatturato) a tutte quelle aziende che non intraprendono azioni mirate all'allineamento con le richieste della nuova normativa.

Il GDPR è inteso a fornire la protezione dei dati personali dell'individuo ed è inoltre progettato per armonizzare le leggi sulla privacy dei dati in tutta Europa.

La nuova normativa, infatti, fornisce ai cittadini dell'UE un maggiore controllo sui propri dati personali e assicura che le loro informazioni siano protette in tutta Europa, indipendentemente dal fatto che l'elaborazione dei dati avvenga nell'UE o meno.

I dati personali possono essere un nome, email, indirizzo, data di nascita, interessi personali, identificatori univoci o altro. In genere, questo è il tipo di dati che memorizzi nel tuo sistema CRM.

Rilassati, hai già conosciuto il GDPR

Molti dei principali concetti e principi del GDPR sono molto simili a quelli della precedente normativa sulla privacy, quindi se avevi già intrapreso azioni mirate a raggiungere la conformità con la legge precedente potresti essere avvantaggiato. Puoi comunque approfondire l'argomento direttamente a questo articolo: Cos’è il GDPR?

Perché il GDPR è così importante per la tua attività?

Il GDPR comprende tre aree principali che ogni azienda deve considerare:

  1. Il regolamento GDPR stesso
  2. I sistemi che utilizzi per memorizzare tutti i tuoi dati dei clienti
  3. Gli aspetti legali del regolamento e come influenzerà il modo in cui gestisci i dati personali e i tuoi processi aziendali

Pertanto, se si utilizza una soluzione CRM, questa dovrebbe supportare la raccolta e la gestione dei dati personali in modo sicuro.

Per quanto riguarda la regolamentazione e la comprensione degli aspetti legali e dei diritti di privacy descritti nella legge, si consiglia di richiedere consulenza legale e consultare altre risorse GDPR per garantire la conformità della propria attività.

 

 

GDPR per gli addetti al marketing: cosa cambia?

Il GDPR può limitare il modo in cui i marketer possono elaborare i dati, e con l'elaborazione si intende l’utilizzo di questi.

Spieghiamo meglio questa affermazione.

I professionisti di marketing e vendita (ma anche gli altri reparti aziendali che hanno bisogno di raccogliere e gestire dati) devono necessariamente limitarsi a raccogliere informazioni strettamente necessarie per svolgere il loro lavoro e devono assicurarsi di gestire i dati in maniera sicura e secondo processi ben specificati.

Inoltre, è fondamentale avere la possibilità di risalire ad una motivazione legale per cui i contatti vengono inseriti e mantenuti in database. Le principali basi legali per cui è possibile gestire i dati sono: l’esecuzione di un contratto, un interesse legittimo (dimostrabile) e un consenso ottenuto in maniera chiara, libera e informata.

In particolare, la raccolta dei consensi implica modifiche nei processi con cui la tua azienda raccoglie dati sia online che offline e il modo in cui li gestisce e utilizza.

Partiamo dall’online...

Uno degli aspetti fondamentali per raccogliere dati online attraverso form sul tuo sito web è che gli utenti siano in grado di fornire un consenso libero, chiaro e informato. Questo significa che, come minimo:

  • Sul tuo sito web devono essere presenti una privacy policy e una cookie policy aggiornate secondo quanto richiesto dal GDPR, che siano facilmente comprensibili all’utente finale.

  • Nei tuoi form dovresti fornire un’informativa chiara sui termini e le condizioni che stanno accettando anche con un link di rimando alla privacy policy (ciò che in inglese viene identificato con il termine “notice”.

  • All'interno dei tuoi form devi necessariamente dare ai tuoi utenti la possibilità di scegliere se ricevere o meno comunicazioni di vendita o marketing in maniera separata e rispettare la loro scelta.

  • Gli utenti che compilano un form devono essere consapevoli che i loro dati saranno inseriti all'interno di un CRM per trattamenti futuri.

  • Nel caso in cui tu abbia bisogno di trasferire dati a terzi per attività di marketing e vendita devi assicurarti di ricevere il permesso della persona che compila il form.

Cosa implica tutto ciò per il tuo CRM?

Molto semplicemente dovresti assicurarti di utilizzare un software o un sistema in grado di rispettare quanto richiesto dal GDPR in termini di sicurezza (crittografia, pseudonomizzazione), di registrare le informazioni riguardanti il consenso o l’interesse legittimo per cui il contatto viene mantenuto in database e che sia in grado di garantire la portabilità dei dati (intesa come possibilità di visualizzazione, modifica, cancellazione o trasferimento dei dati da parte del diretto interessato).

Inoltre, qualora tu utilizzi il tuo CRM o altri sistemi per effettuare strategie di lead nurturing o email marketing, è molto importante che, i tuoi utenti abbiano la possibilità di gestire le loro preferenze di iscrizione e che i tuoi sistemi siano in grado di registrarle. Se, ad esempio un utente non presta il suo consenso all'invio di comunicazioni di vendita, assicurati che i tuoi commerciali possano risalire a questa informazione ed evitino di chiamarlo o contattarlo via email.

… e passiamo all’offline

Una delle pratiche più comuni in ambito B2B è quella di scambiarsi il biglietto da visita.

Con l’entrata in vigore del GDPR lo scambio di biglietti da visita non consiste in un’autorizzazione ad essere inseriti in una mailing list.

Al contrario, questa attività può essere svolta solo se il contatto compila un modulo in cui viene informato correttamente ed in maniera chiara dell’uso che sarà fatto del suo contatto e sceglie liberamente di voler ricevere comunicazioni dalla tua azienda.

Un’altra alternativa può essere quella di inviare una prima email in cui si invia al contatto una richiesta di conferma di opt-in, solo nel caso in cui il contatto confermi il suo interesse potrai iniziare ad inviargli comunicazioni.

Ecco che, dunque, anche la raccolta di contatti offline si complica.

Non è più possibile dare alle persone dei moduli precompilati per quanto riguarda la privacy oppure compilare le caselle al posto dell’interlocutore.

Il silenzio non significa assenso così come non significa diniego.

Semplicemente il tuo interlocutore decide dall'asteneresi dal compiere una scelta e ciò non significa che tu puoi iscriverlo nelle tue liste.

Ciò che resta fondamentale è essere consapevoli del fatto che, qualsiasi processo tu segua per raccogliere contatti, devi essere in grado di risalire esattamente al momento in cui un contatto ha prestato il suo consenso al trattamento dei dati.

GDPR e CRM: i principi fondamentali

In primo luogo, il GDPR richiede che il consenso al trattamento dei dati sia libero, specifico, informato e non ambiguo. Una volta ottenuto, è essenziale avere l’opportunità di risalire al momento esatto in cui questo consenso è stato prestato.

Se si ottiene il consenso per via telefonica, è importante pensare a come registrare le chiamate e collegarle al record CRM del cliente per consentire un facile recupero, se necessario, oppure prevedere una procedura che lo faccia passare per un consenso scritto.

Devi anche specificare chiaramente quale sarà l’utilizzo dei dati e se questi saranno passati a terze parti (e per quali motivi).

Le singole società devono essere nominate quando si richiede il consenso per il marketing di terze parti.

Tutti i dati raccolti o controllati devono superare il seguente test, altrimenti dovrebbero essere cancellati.

  • Trattati in modo lecito, equo e trasparente nei confronti degli individui: devi essere onesto nell'usare i dati di un individuo in modo lecito e far sapere alle persone come intendi utilizzare le informazioni e perché.

  • Raccolti per scopi determinati, espliciti e legittimi e non ulteriormente trattati in modo incompatibile con tali scopi. Dopo essere stato trasparente su come e perché vengono utilizzati i dati, non è possibile utilizzarli per altri motivi.

  • Adeguati, pertinenti e limitati a quanto necessario in relazione agli scopi per cui sono trattati. Non dovresti controllare i dati che non hanno scopo. Ad esempio, non dovresti inserire nel tuo database informazioni su altezza, colore dei capelli, età e religione se non ha alcuna relazione con il tuo business e la sua attività core.

  • Accurati e aggiornati. Il GDPR richiede che siano adottati tutti gli sforzi del caso per garantire che i dati personali inseriti all'interno di un database aziendale risultino costantemente aggiornati tenendo conto delle finalità per cui sono trattati. Inoltre, è necessario che in caso di richiesta di cancellazione o modifica la tua azienda sia in grado di seguire una procedura stabilita in maniera rapida.

  • Conservati in una forma che consenta l'identificazione degli interessati per non più del necessario per gli scopi per i quali i dati personali sono trattati. Un'eccezione è rappresentata dal caso in cui i dati vengano archiviati a beneficio dell'interesse pubblico.

  • Elaborati in modo tale da garantire un'adeguata sicurezza dei dati personali, compresa la protezione contro l'elaborazione non autorizzata o illecita e contro la perdita accidentale, la distruzione o il danneggiamento, utilizzando misure tecniche o organizzative appropriate.

Ecco invece i principi fondamentali relativi ai diritti dell'individuo con il GDPR:

  • Il diritto di essere informato. Un utente che si trova a compilare un form sul tuo sito web o una persona che compila un modulo cartaceo in fiera deve avere la consapevolezza di cosa sta sottoscrivendo. Per questo motivo è molto importante informare il tuo interlocutore di eventuali necessità di condivisione delle informazioni con terze parti.

  • Il diritto di accesso. Chiunque ha il diritto esclusivo di poter accedere ai propri dati personali nel caso in cui ne facciano richiesta.

  • Il diritto di rettifica. Se i dati sono incompleti o errati, un individuo deve avere la possibilità di modificare e aggiornare i suoi dati.

  • Il diritto alla cancellazione. L’utente ha il diritto di richiedere la cancellazione dei propri dati, in questo caso l’azienda deve assecondare la richiesta precisando che i dati non saranno più recuperabili in un secondo momento.

  • Il diritto alla portabilità dei dati. L’utente ha il diritto di ricevere i propri dati in un formato elettronico facilmente fruibile e può richiederne la condivisione con terze parti.

  • Il diritto di opporsi. L’utente ha il diritto di non dare il suo consenso per la profilazione, l’elaborazione o il contatto di vendita.

  • Diritti per il processo decisionale automatizzato e la profilazione. Quando l'elaborazione è automatizzata, gli individui non sono soggetti a una decisione automatizzata non controllata che potrebbe essere potenzialmente dannosa.

 

Non puoi mantenere contatti in database per sempre

Non è possibile conservare tali dati per sempre, ma solo per un periodo di tempo ragionevole ritenuto necessario per lo scopo previsto.

L’individuo ha il diritto di essere dimenticato: ciò conferisce al titolare dei dati il diritto di contattare un'azienda e di chiedere gratuitamente quali dati detengono su di loro e, se lo desiderano, di richiedere che venga completamente cancellato, vale a dire che dimenticano l'informazione dei cittadini nel suo complesso.

Per molti tuttavia, questo da solo potrebbe rivelarsi una sfida.

In primo luogo, è necessario fornire un metodo semplice in base al quale il cittadino può effettuare la richiesta e ricevere le informazioni richieste.

È quindi necessario poter cercare tutti i dati in possesso di tutti i sistemi e i backup per identificare se si dispone di dati e se si adatta all'ambito, per rimuoverlo. E infine, è necessario veramente eseguire la rimozione e confermare al cittadino che è stata completata.

Motivazioni legali per l’elaborazione dei dati

Dopo aver testato i dati memorizzati o controllati utilizzando i principi sopra riportati, è importante assicurarsi di avere una motivazione legale per cui i dati vengono conservati all’interno del database.

Questi motivi devono anche essere documentati e messi in evidenza per mostrare qualsiasi autorità o soggetto a cui si riferisce.

  1. Consenso
  2. Esecuzione di un contratto
  3. Per ottemperare agli obblighi di legge
  4. Per proteggere gli interessi vitali dell'interessato o di altre persone
  5. Per eseguire un compito nell'interesse pubblico
  6. Interessi legittimi

In che modo il mio CRM può aiutare con la conformità GDPR?

Il GDPR influenzerà il modo in cui gestisci, raccogli ed elabori i dati dai tuoi clienti.

Dovrai assicurarti che il software sia conforme a tutti i regolamenti GDPR.

Ecco cosa dovrebbe essere considerato:

  • Memorizzazione dei dati: è necessario assicurarsi di aver ottenuto un’autorizzazione chiara, esplicita ed informata da parte dell’interessato prima di poter memorizzare i suoi dati all’interno di un database.

  • Il tipo di dati che stai archiviando e raccogliendo: devi giustificare che i dati che stai raccogliendo sono necessari per gestire la tua attività.

  • Elaborazione dei dati: nel momento in cui un utente acconsente all'elaborazione dei dati è fondamentale assicurarsi che questa avvenga secondo quanto indicato nella privacy policy presente sul sito.

  • Trasferimento dati: il GDPR stabilisce regole precise nel caso in cui sia necessario trasferire dati al di fuori dell’Unione Europea. Se, ad esempio, utilizzi software CRM o di email marketing che conservano dati negli Stati Uniti, dovresti assicurarti di avere un DPA (Data Processing Agreement ) aggiornato secondo quanto richiesto dalla nuova normativa e che questi software siano certificati.

  • Accesso ai dati: è importante definire chi all'interno della tua azienda ha accesso a quali dati. Ad esempio potresti individuare delle figure amministrative che hanno accesso a dati bancari e responsabili marketing che hanno accesso a dati più generici e di profilazione.

Il GDPR ha un grande impatto sul modo in cui le aziende raccolgono, archiviano e proteggono i dati personali dei clienti, ciò significa che GDPR ha un impatto sul marketing, cambia le prospettive di vendita e richiede un cambiamento nei servizi di assistenza clienti, dal momento che tutti i dati personali devono essere gestiti in modo più professionale.

La buona notizia è che GDPR e CRM hanno molto in comune in quanto conformandosi alla nuova normativa e facendo un uso corretto dei database aziendali è possibile sviluppare una relazione di maggiore fiducia e lealtà con i clienti nuovi ed esistenti attraverso la gestione professionale dei dati personali dei clienti

Il tuo CRM può essere uno strumento fondamentale per ottenere e mantenere la conformità con le richieste del GDPR.  Diventa importante però utilizzarne uno professionale.

 

Il semplice fatto di avere un CRM che raccoglie dati personali non ti rende conforme. Anzi.

Se le tue policy dichiarano che hai solo bisogno di nome, indirizzo, informazioni email, per eseguire la gestione / il servizio richiesto ai tuoi clienti, allora il tuo CRM deve essere configurato in modo tale che questo sia tutto ciò che è in grado di memorizzare.

Il tuo CRM non dovrebbe consentire agli utenti di registrare dati personali come età, stato civile ecc. ecc.

Controlla i diritti di accesso dell'utente: guarda tutti i tuoi utenti e quali sono i loro diritti di accesso al tuo sistema CRM. I sistemi CRM migliori consentiranno di definire diversi livelli di accesso degli utenti: chi può vedere quali informazioni, modificarle o eliminarle.

 

Nota Bene! Tutti gli utenti del CRM devono essere informati e formati sulle implicazioni del GDPR. 

 

Altri aspetti rilevanti riguardano le tempistiche e le modalità di conservazione dei dati, oltre che gli invii massivi di email.

Partiamo dal primo punto.

Per quanto tempo il CRM può contenere i dati di una persona?

Il regolamento UE o GDPR prevede regole specifiche in base all'azienda che raccoglie e gestisce le informazioni. La legislazione indica che oltre un periodo di garanzia del prodotto, non ci sarebbe alcuna ragionevole necessità per un'azienda di conservare i dati di quella persona.

Passiamo al secondo punto.

Se il tuo sistema CRM ti pemette di inviare email massive o automatiche (o se si può integrare con un sistema in grado di farlo) è importante ottenere il permesso per inviare le diverse tipologie di comunicazione.

HubSpot, ad esempio, permette di creare quelli che vengono definiti “email type” e l’utente può decidere a quali comunicazioni iscriversi proprio selezionando i diversi “email type”.

Anche in questo caso le terminologie possono essere diverse, l’importante è assicurarsi di aver ottenuto un consenso per ogni tipo di comunicazione inviato.

 

Approfondisci l'argomento con i contenuti più interessanti sul CRM:

 

Come raccogliere e registrare consensi grazie al CRM

Avere a disposizione una piattaforma integrata può fare la differenza.

Il GDPR stabilisce uno standard elevato per il consenso, ma un approccio ben implementato al GDPR potrebbe effettivamente aiutarti ad acquisire, fidelizzare e sviluppare i clienti.

La prima cosa da fare è controllare le pratiche di consenso già esistenti: hai i giusti accorgimenti per continuare a comunicare con i clienti e i potenziali clienti?

Ricorda, ottenere il consenso significa offrire agli individui una scelta e un controllo chiari e genuini.

Non utilizzare caselle pre-barrate o altri metodi di consenso per impostazione predefinita.

Come vantaggio di memorizzare queste informazioni nel tuo sistema CRM, puoi conservare la prova del consenso: chi, quando, come e cosa hai detto alle persone. Dovrai tenere sotto controllo il consenso e aggiornarlo se cambia qualcosa.

A questo punto, le tue attività di marketing e l’approccio di vendita adottato finora potrebbe dover essere rivisto in tempi rapidi per garantire che dati, processi e attività siano il più possibile conformi alla normativa in modo da non essere a rischio di reclami e multe.

Con l’entrata in vigore del GDPR, infatti:

  • Ogni persona deve accettare il trattamento dei propri dati attraverso un consenso libero e informato
  • Ogni persona ha diritto a sapere come saranno processati i suoi dati e in che modo saranno utilizzati
  • Ogni persona ha diritto a sapere per quanto tempo saranno mantenuti in database i propri dati
  • Ogni persona deve poter esercitare il diritto all’oblio

Diversi CRM, come HubSpot, riescono ad integrare la parte di gestione di database con la gestione delle attività di marketing fino al punto di permetterti di creare i form di raccolta di contatti direttamente dal CRM.

Utilizzare questo processo permetterebbe di tenere traccia del consenso prestato dalla persona e del momento esatto in cui lo ha fatto, oltre che delle sue preferenze di iscrizione all’interno di un unico sistema.

Non solo, tutti i software CRM conformi con le richieste del GDPR offrono la possibilità di accedere, modificare, aggiornare, eliminare, trasferire e (più in generale) gestire i dati secondo procedure diverse.

L’importante è riuscire ad identificare la procedura più adatta per eseguire ogni processo in maniera conforme al GDPR senza dover spendere troppe energie e risorse.

 

 

Altre funzioni del CRM per aiutarti a gestire i dati dei clienti

Oltre alla gestione del consenso, dovrai far fronte anche alla gestione delle iscrizioni.

Ci spieghiamo meglio: anche quando un contatto ha dato il suo consenso a ricevere campagne di email marketing dalla tua azienda, lui o lei dovrebbe sempre avere il diritto di aggiornare le proprie preferenze di iscrizione fino al punto di decidere di non ricevere più comunicazioni.

Le nuove funzionalità dei CRM e dei software di email marketing consentono a potenziali clienti e clienti di decidere da soli quale tipo di informazioni desiderano ricevere, sia che si tratti di aggiornamenti di post di blog, white paper o materiale educativo ed informativo sui prodotti o i servizi forniti dalla tua azienda, sia di decidere il tipo di contenuto che non desiderano ricevere.

Avere un CRM in grado di gestire queste informazioni è uno degli aspetti fondamentali per mantenere il tuo database in linea con le richieste del GDPR.

Una volta valutata la qualità del tuo database, il tipo di informazioni personali gestite, la loro provenienza e la motivazione legale per cui puoi processarle, imposta una strategia mirata ad acquisire i consensi mancanti grazie al supporto dei tuoi sistemi CRM e di email marketing.

Ormai, tutti i CRM consentono di effettuare modifiche collettive su diversi contatti (in bulk).

Ad esempio, se all'interno del tuo software hai identificato correttamente tutti i tuoi clienti, potresti applicare questo filtro per individuare tutti i contatti che rispettano questo criterio ed assegnargli in maniera massiva la stessa motivazione legale per cui vengono mantenuti in database.

Anziché aggiornare uno per uno i record personali, operazione che può richiedere molto tempo, sarà possibile impostare regole specifiche e utilizzare la funzionalità di aggiornamento collettivo per impostare scopo, base legale, origine e data su più record con pochi click, risparmiando tempo prezioso.

Le terminologie con cui questi processi vengono identificati variano da CRM a CRM, ma le modalità di funzionamento sono comuni a tutti i sistemi.

La conformità GDPR non è più un optional

Per marketer, responsabili commerciali e CRM, c'è un pò di lavoro da fare.

In primo luogo, per rispettare la legislazione, è necessario capirne il regolamento.

Gli addetti ai lavori devono essere organizzati per reagire rapidamente e in modo appropriato alle richieste di visualizzazione, modifica o distruzione dei dati.

Il personale addetto deve conoscere il GDPR, assicurando che il consenso legale e valido sia archiviato e documentato e che i dati e i processi siano rivisti e perfezionati.

Su cosa dovresti lavorare per essere conforme a GDPR

Riassumendo in brevissimo tempo:

  • Nominare responsabili, incluso un Data Protection Officer (DPO) - se necessario.
  • Formare tutti i componenti del team che lavorano a stretto contatto con i dati, creare consapevolezza, politiche e linee guida
  • Aggiornare i tuoi documenti legali, inclusa la tua politica sulla privacy
  • Creare record di attività di elaborazione (RPA) e mappare i tuoi dati
  • Assicurati che i tuoi fornitori e terze parti siano conformi al GDPR
  • Se si detengono dati sensibili, eseguire una valutazione dell'impatto sulla protezione dei dati
  • Lavorare su come ottenere il consenso sulla detenzione e utilizzo dei dati in modo intelligente e sostenibile

Una volta eseguita un’analisi di conformità con il GDPR e stabiliti gli step da attuare per raggiungerla è importante pensare alle modalità di utilizzo dei dati.

Se il tuo attuale sistema CRM non supporta queste funzionalità compatibili con il GDPR, ora è il momento di trovare una nuova soluzione, prima che sia troppo tardi. 

Approfondisci tutti gli strumenti di HubSpot per adeguarsi alle richieste del GDPR

Se i regolamenti GDPR ti spaventano, l'aspetto più semplice di GDPR da tenere a mente è che è necessaria più trasparenza tra te, i tuoi clienti e i loro dati personali.

 

Cerchi supporto per la tua strategia e attività di marketing e vendita a norma GDPR?

 

*Adv Media Lab srl non risponde di danni derivanti dall'uso dei dati e delle notizie ivi contenuti; non risponde di eventuali danni causati da involontari refusi o errori di stampa; declina ogni responsabilità per l'uso delle suddette informazioni, per eventuali errori e/o contenuti inesatti.