Come sappiamo il cuore del GDPR (Regolamento UE 2016/679) è il trattamento dei dati personali: viene regolamentato il dato dal momento in cui il titolare del trattamento (colui che stabilisce quali dati trattare e per quali finalità) ne chiede l’acquisizione all’interessato (colui a cui il dato appartiene), fino alla sua cancellazione.
Il CRM spesso è il supporto in cui i dati vengono conservati e attraverso cui i dati vengono trattati.
Che si tratti di un CRM utilizzato ai fini di marketing, o un CRM in cui si monitorano i rapporti con i fornitori, oppure un CRM per l’assistenza clienti: anche se cambiano le finalità del trattamento dei dati siamo comunque nell’ambito del trattamento dei dati personali.
Ecco che quindi c’è una forte correlazione fra CRM e privacy.
CONTENUTO DELL'ARTICOLO
CRM privacy: approccio by design
Guarda il video
CRM e GDPR sono legati principalmente per due aspetti:
- Tracciamento dei consensi: sappiamo che la normativa GDPR impone che per determinati fini, vale a dire marketing e profilazione, è necessario il consenso dell’interessato al trattamento. Il titolare del trattamento deve essere in grado di dimostrare come e quando è stato raccolto il consenso. È qui che entra in gioco il CRM: il software deve permettere di tracciare l’iter che parte con la richiesta del consenso e arriva al rilascio del consenso da parte dell’interessato al trattamento.
- La sicurezza del supporto in cui i dati sono conservati: il software deve superare la c.d. valutazione d’impatto.
Analizziamo nel dettaglio questi due aspetti:
Tracciamento del ciclo di vita del dato
Questo aspetto è condizionato dall’uso che viene fatto di quei dati.
La disciplina del trattamento dei dati cambia a seconda delle finalità per cui i dati vengono trattati.
Quando non è necessario il consenso del soggetto interessato al trattamento?
- Quando i dati sono trattati per finalità di assistenza da parte del customer care, non è necessario il consenso e non c’è un limite temporale al trattamento.
- Stessa cosa per il trattamento dati a fini contrattuali: non è necessario il consenso al trattamento. Ma una volta cessata la finalità del trattamento i dati devono essere cancellati
- Quando i dati sono trattati per legittimo interesse del titolare del trattamento.
Quando è necessario il consenso al trattamento?
Quando i dati sono trattati per finalità di marketing e profilazione, sia da parte del titolare del trattamento che da parte di piattaforme terze.
In un caso e nell’altro è il CRM lo strumento attraverso cui il titolare del trattamento dimostra che i dati sono stati trattati legittimamente:
Nel caso delle finalità di marketing il CRM deve consentire il tracciamento di tutto l’iter di acquisizione del consenso. Nel caso delle altre finalità è attraverso il CRM che si dimostra che l’acquisizione del consenso non era necessaria.
Quindi il CRM deve tracciare non solo il consenso quando è necessario, ma l’intero ciclo di vita del trattamento del dato, per verificare che non sia stato trattato al di là dei limiti per cui è stato acquisito, e oltre i limiti temporali consentiti.
“Legal for Digital è una certezza. Ho avuto bisogno di una consulenza per la redazione della privacy policy del mio sito e di un contratto Smart. Mi sono confrontata con gli avvocati Vercellotti, Mariotti e Crispino e ognuno di loro è stato davvero prezioso nei suoi consigli, sono rimasta molto colpita dell’attenzione e della cura che hanno avuto nei confronti del mio piccolo progetto. Ringrazio moltissimo anche la Dott.ssa Rossi, velocissima e precisa nel rispondere a qualsiasi dubbio.”
Giada Corneli
Content writer freelance
Sicurezza del supporto
Il GDPR è stato pensato e strutturato nella consapevolezza che il rischio di violazione dei dati (data breach) è fisiologico. In base alla normativa questo rischio deve essere ridotto al minimo.
A questo scopo la normativa privacy prevede uno strumento che è la DPIA. Il titolare del trattamento deve scegliere la tecnologia più all’avanguardia possibile in termini di sicurezza, in relazione al tipo di dati trattati. Nel momento in cui il titolare del trattamento dovrà scegliere il CRM per la sua azienda dovrà effettuare la valutazione del rischio.
Normalmente un’azienda, da sola, non è in grado di valutare se il CRM che utilizza è adeguato per le sue esigenze. Uno dei compiti dell’avvocato esperto in privacy è proprio quello di andare a verificare che gli strumenti aziendali, compreso il CRM, siano GDPR compliant.
Ascolta il podcast
CRM privacy: 7 punti per essere a norma
La fase di raccolta dei dati coinvolge solo indirettamente il CRM. Il CRM interviene soprattutto nella fase successiva alla raccolta dei dati.
Il software deve essere conforme al GDPR per quanto riguarda gli accessi ai dati, la conservazione dei dati e dei consensi, e la sicurezza del gestionale rispetto alla violazione:
- Le impostazioni del software devono permettere ad ogni utente incaricato del trattamento, di avere un proprio accesso con proprie password. L’accesso poi deve essere limitato ai dati che l’utente è autorizzato a trattare. Infatti può accadere che ad un unico database possano accedere sia il responsabile del marketing sia l’incaricato al customer care. In qualità di responsabili del trattamento dati, ognuno di loro potrà accedere ai dati dei soggetti trattati, solo per le finalità per cui ha ricevuto l’incarico. Quindi il software dovrà consentire un’impostazione di accesso personalizzata per ciascuno. Per quanto riguarda la conservazione sicura dei dati di accesso di ogni utente (user ID e password), la responsabilità non è più del gestionale ma del titolare del trattamento dati.
- Il software deve essere strutturato in modo che nella scheda anagrafica dell’interessato al trattamento siano indicati i consensi rilasciati In questo modo sarà possibile fare una segmentazione automatizzata degli utenti.
- Aspetto fondamentale: il CRM deve avere integrato un sistema di tracciamento della raccolta dei consensi, che permette di verificare quando l’interessato ha dato il consenso e quale consenso ha dato. Questo aspetto è fondamentale in relazione al principio di responsabilizzazione del titolare del trattamento, introdotto dalla normativa europea.
- in relazione alla scadenza del consenso, e alla necessità di rinnovo o cancellazione del dato, si dovrebbe poter impostare un alert o una cancellazione automatica dei dati non più trattabili.
- Se l’interessato esercita il diritto alla disiscrizione o alla modifica dei dati, il software deve essere aggiornato in tempo reale.
- Il software deve permettere all’utente di decidere quali comunicazioni ricevere: solo blog, solo materiale formativo o anche e-mail marketing. Quindi il soggetto interessato al trattamento deve poter decidere non solo in merito al consenso ma anche in merito alle iscrizioni.
- Per quanto riguarda la conformità ai requisiti di sicurezza richiesti dal GDPR, il software deve prevedere i sistemi che consentono la crittografia e la pseudonomizzazione. E deve essere sempre aggiornato man mano che ci sono progressi tecnologici che permettono una maggiore sicurezza.
Dati utenti fuori UE
Il titolare del trattamento residente in un Paese europeo è tenuto al rispetto del GDPR, ma è tenuto al rispetto anche delle normative privacy dei Paesi in cui sono residenti i soggetti interessati al trattamento dei dati.
Il software deve essere progettato affinché si creino liste suddivise per Paesi, in ognuna delle quali saranno raccolti i dati acquisiti in maniera conforme alla normativa privacy di quel Paese.
Guida gratuita GDPR
39 pagine formative gratuite sul GDPR
SFOGLIA L’ANTEPRIMA
Una Guida esclusiva di 39 pagine per adeguarti al GDPR, evitare sanzioni e aumentare le tue performance legali.
Lo strumento gratuito migliore per affacciarsi al mondo del GDPR!
CRM per fini di marketing e privacy
L’utilizzo dei CRM ai fini di marketing è sempre più diffuso. Oggi non c’è azienda che mette in atto una strategia di marketing online, che non preveda l’uso di questo tipo di software. Infatti il CRM è il tool in cui vengono raccolti i dati una volta acquisiti e profilati attraverso le campagne.
CRM all’avanguardia permettono un inserimento in liste apposite gli utenti che compiono una determinata azione, inviando e-mail automatiche al compimento di un . Siamo nel campo dell’automation marketing.
Quando nel CRM viene integrato anche un sistema di invio di newsletter, di automation marketing e di landing page, allora i requisiti di conformità al GDPR si estendono a:
- form contatti che deve rispettare i requisiti visti nell’articolo dedicato al GDPR per siti web
- previsione del doppio optin che permette la conservazione del consenso
- link alla privacy policy nelle landing: la cosa migliore è che la landing sia integrata nel sito web per avere entrambe le pagine all’interno dello stesso dominio
Il CRM conforme al gdpr è uno strumento di marketing più efficace
L’incremento dell’utilizzo del CRM come strumento di acquisizione clienti, risponde all’esigenza di personalizzare le strategie di marketing, in funzione della segmentazione delle esigenze degli utenti.
Le liste dei prospect sono sempre più profilate, affinché possano ricevere proposte di marketing che rispondano maggiormente alle esigenze specifiche di ognuna.
Mentre si adempie agli obblighi imposti dal GDPR in merito alla richiesta del consenso per ogni specifica finalità, contemporaneamente si assolve all’esigenza di profilazione.
Grazie al GDPR puoi chiedere ai tuoi contatti ciò che desiderano veramente da te.
Come abbiamo detto più volte, sia nelle nostre consulenze, sia nelle formazioni, non si può parlare di adeguamento al GDPR come un “costo privacy”, ma piuttosto come un investimento che favorisce anche la strategia di marketing più efficace. Quando fai domande all’utente che in qualche modo è venuto a contatto con la tua azienda, interrogandolo sui suoi interessi, l’utente si sente coinvolto e percepisce l’interesse da parte della tua azienda nel soddisfare i suoi bisogni. Scatterà quindi un senso di gratitudine e fiducia, che sono i presupposti della fidelizzazione.
Obblighi del titolare del trattamento che utilizza un CRM
Corso sulla Privacy e Gdpr
24 lezioni teoriche e pratiche sul Gdpr
Con questo corso potrai imparare, tra l’altro:
- Tutti gli aspetti fondamentali del R.U. 679/2016
- Quali sono i dati personali e quali non rientrano nel GDPR
- Tipologie di dati personali e relative tutele
- I soggetti del GDPR e relative responsabilità
- Corretta gestione dei dati personali online e offline
Il nostro corso esclusivo su tutto quello che ti serve sapere gestire la privacy sui tuoi asset digitali in modo legale ma anche performante al fine di evitare multe salate e problemi con gli utenti e clienti.
Quando all’interno di un’azienda è previsto un software CRM collegato ad un gestionale in cui si raccolgono e si trattano i dati personali, gli adempimenti del titolare del trattamento si estendono alle modalità d’uso del software stesso:
- se il CRM è utilizzato per più tipologie di utenti: prospect, fornitori, clienti, per ognuno deve essere prevista l’apposita informativa privacy
- di riflesso, se al CRM accedono più soggetti con mansioni diverse, per ognuno di essi dovrà essere redatta una nomina per il trattamento con riferimento specifico alle modalità d’uso del CRM
- formazione specifica per ogni soggetto sulle modalità di trattamento dati con il CRM
- necessaria sincronizzazione del software in tutti i reparti aziendali in cui viene utilizzato
- l’attività svolta attraverso il CRM dovrà trovare riscontro nel registro dei trattamenti
- qualora il CRM venga utilizzato per finalità di marketing, il titolare del trattamento dovrà effettuare la valutazione d’impatto con eventuale DPO se nominato.
Questi sono gli adempimenti che si aggiungono a quelli consueti che riguardano le modalità di raccolta e trattamento dati.
Conclusioni: CRM in aiuto del GDPR
Il CRM conforme al GDPR è un asset che può essere un ottimo strumento di supporto al titolare del trattamento per adempiere agli obblighi previsti dalla normativa europea:
- costituisce la prova che dimostra che il consenso è stato acquisito correttamente
- è il software che permette di adempiere alle richieste di conservazione in sicurezza dei dati
- è lo strumento che mi permette di tracciare tutta la vita del dato, dal momento dell’acquisizione fino alla cancellazione
IL CRM non deve essere eliminato, ma deve essere usato correttamente per assolvere alla doppia funzione di eccezionale strumento di marketing e di strumento per assolvere agli obblighi previsti dalla normativa europea.
Rivolgiti a Legal for Digital, lo studio legale esperto in privacy, per mettere a norma di GDPR la tua azienda senza rinunciare ad avere una strategia di marketing efficace.
Brunella Martino
Avvocato specializzato in privacy e proprietà intellettuale con 18 anni di esperienza, DPO, arbitro in materia societaria, autrice Flaccovio Editore, formatrice aziendale, socia FederPrivacy, già componente Aiga nazionale Dipartimento Diritto delle nuove tecnologie, Founder Legal for Digital studio dell'anno per il Sole 24 Ore e Corriere della Sera
⚖️ Strategia di lead generation a norma di GDPR
11 Dicembre 2021Lead generation e profilazione sono gli strumenti che hanno rivoluzionato il marketing, permettendo di far arrivare il messaggio giusto alle persone giuste.Finché il GDPR ha posto un freno sia alle modalità di raccolta contatti, sia alla profilazione dei contatti stessi.
Leggi altro
DPA, data processing agreement
13 Marzo 2024Quasi tutte le aziende fanno trattare i dati personali a soggetti terzi. Per farlo è necessario un DPA, che sta DPA sta per Data Processing Agreement, tradotto in italiano come contratto di nomina a Responsabile del trattamento dei dati. Senza si rischiano gravi sanzioni!
Leggi altro
Cybersecurity in Italia: miglioriamo la sicurezza dei dati?
26 Maggio 2023Quando parliamo di protezione dei dati personali, del valore del GDPR, della privacy e della redazione di una documentazione adeguata a tutelare le informazioni condivise online, lo facciamo anche per sensibilizzare le persone a un uso corretto delle normative, favorire la sicurezza informatica ed evitare reati o cyberattacchi.
Leggi altro