CRM e GDPR: come gestire i processi di marketing e commerciali tramite CMR in conformità alle previsioni del Regolamento Europeo. 

CRM: che cosa è e perché è fondamentale per le attività commerciali 

Praticamente tutte le aziende commerciali e di marketing, al giorno d'oggi, utilizzano due strumenti per le proprie attività di promozione. Se le piattaforme di email marketing sono ovvie, meno attenzione viene data all'uso del CRM.

Il CRM, Customer Relationship Manager, è uno strumento software pensato per gestire le attività commerciali a partire dai clienti già "stabili" alla gestione dei flussi di lead e dei nuovi contatti. Nel tempo i CRM sono diventati sempre più importanti nella gestione dell'attività promozionale, pre e post vendita. Sono aumentate le funzionalità offerte e, di conseguenza, anche la mole di dati che questi software processano. Tra questi, moltissimi dati personali e sensibili, a dispetto della leggenda metropolitana per la quale i CRM non contengono dati sensibili. Ad esempio l'introduzione di attività di marketing via social, il cosiddetto social engagement, ha ovviamente portato un flusso di dati sensibili e personali.

CRM: quali tipi di dati 

Come sempre quando si parla di GDPR, il primo passo è quello di verificare la tipologia di dati che transita nel CRM. Tendenzialmente vi troviamo: 

• dati di contatto come nome e cognome, partita IVA e/o codice fiscale, indirizzo fisico, numero di telefono, azienda, reparto e il classico campo "note" dove può trovare casa una vasta tipologia di dati;
• dati di profilazione e commerciali come lo storico dei prodotti acquistati, documenti commerciali come ordini e fatture o contratti ma anche dati come sesso, età, hobby, grado di istruzione ecc…
• dati finanziari collegati ai pagamenti;
• dati di marketing come l'indirizzo IP, i dati del browser e del dispositivo, dati di navigazione, tracciamento del percorso acquisti ( funnel), dati account social ecc…

Come si può vedere, i dati personali sono quindi molteplici. Alcuni di questi sono anche dati sensibili e, come tali, devono godere di protezione rafforzata e possono essere trattati solo se esistono specifiche basi giuridiche (art.9 del GDPR).

CRM e GDPR: consigli per la conformità

Andiamo quindi al vivo della questione: come utilizzare il CRM aziendale in conformità al GDPR? Premettendo che trattamenti, modalità e strumenti devono essere valutati caso per caso, azienda per azienda, ecco le regole base: 

Analizza le fonti
il primo passo è verificare quali sono le fonti dalle quali i dati sono acquisiti e inseriti nel CRM. Alcuni esempi: 

• Enterprise Resource Planning (ERP) per clienti già acquisiti;
• biglietti da visita;
• elenchi pubblici;
• nominativi disponibili sul web;
• account social;
• iscrizioni a newsletter o al sito web;
• passaparola;
• liste di contatti a pagamento ecc…

Aggiungere uno specifico campo del tipo "Fonte dati" aiuterà soprattutto nel caso di importazione massiva di dati.

Verifica la base giuridica
Ora che i dati ci sono, occorre individuare la base giuridica che ne legittima il trattamento. Il GDPR infatti è chiaro sul punto. Perché il trattamento sia legittimo deve poggiare su una base giuridica quale: 

• obbligo di legge (esempio la contabilità);
• contratto (l'interessato ha fatto un ordine o ha richiesto un preventivo);
• salvaguardia della salute dell'interessato (nel caso di trattamenti sanitari);
• pubblico interesse (perché i dati sono trattati da enti pubblici);
• legittimo interesse. Sul tema rimandiamo a questo approfondimento > Legittimo interesse nel GDPR: cosa è e quando è valida base giuridica?

In mancanza di almeno una di queste basi giuridiche l'unico modo perché il trattamento dei dati personali sia legittimo è quello di ottenere il consenso "libero, specifico informato, inequivocabile e dimostrabile" dall'interessato.

Fornisci l'informativa

Consenso o no, fornire l'informativa è un obbligo giuridico per poter procedere al trattamento dati. Ricordo che per la conformità del CRM al GDPR, l'informativa deve contenere: 

• contatti del titolare,
• finalità del trattamento dei dati;
• categorie e tipo di dati trattati;
• fonte dei dati;
• misure di protezione dei dati;
• contatti del DPO;
• eventualità di trasferimento dati extra UE;
• tempi di conservazione
• eventuale profilazione automatizzata. 

Per approfondire > Informativa privacy: dove, come, quando, perché

Verifica i consensi
Il titolare del trattamento deve poter dimostrare di aver ottenuto regolarmente il consenso al trattamento dei dati personali. E' una attività complessa, perché molteplici sono le fonti di acquisizione dei dati. Stabilire protocolli rigidi e specifici per la raccolta e gestione dei consensi è essenziale per mettere ordine nel caos, comune a moltissime aziende, delle fonti di acquisizioni.

Presta poi molta attenzione alle liste contatti acquistate da società esterne. Molto spesso viene spacciato per valido il consenso ottenuto, ma quasi mai questo è tracciabile e dimostrabile con chiarezza. Infine quasi mai questo consenso comprende il consenso al trasferimento dati a terzi.

Un dato importante: chi fa profilazione e prevede di usare quei dati in manire automatizzata (algoritmi), dovrà chiedere un consenso specifico ulteriore a quello per il trattamento dati a finalità commerciale e di marketing. 

Si, il punto è molto complesso: certe volte, va riconosciuto, è preferibile ricominciare da capo e rifare il database.

Conservazione dei dati
Criteri e modalità della cosiddetta "Data retention" devono essere stabiliti in maniera preventiva secondo i principi di privacy by design e by default. Fermo restando che se l'interessato revoca il consenso i dati devono essere cancellati, vediamo qualche specifica per i tempi di conservazione: 

• dati amminitrativi e fiscali: i tempi sono stabiliti per legge. 10 anni
• dati trattati a finalità commerciale di marketing
• dati dei clienti acquisiti la base giuridica è il legittimo interesse, che però vige finchè l'utente è attivo. In questo caso, più Garanti hanno indicato che i dati possono essere conservati fino a 24 mesi dopo l'ultima interazione dell'interessato con l'azienda. Dopo 24 mesi decadono le ragioni che concretizzano il legittimo interesse. Ne consegue che il CRM deve poter tracciare le interazioni e procedere in automatico a cancellare i dati trascorso il periodo massimo di conservazione.

Rispetta il principio di minimizzazione
Art.5 del GDPR: i dati trattati devono essere soltanto quelli strettamente necessari a soddisfare le finalità per le quali sono raccolti e trattati. Di conseguenza, i campi da inserire nell'anagrafica del tuo CRM devono essere ben ragionati. Tutto ciò che non è necessario alle finalità prestabilite non va raccolto né conservato, in osservanza dei principi di minimizzzione e proporzionalità.

Proteggi i dati
Art. 37 del GDPR: il titolare deve proteggere i dati. Non dice molto altro, questo articolo: introduce un principio, ma non lo dettaglia lasciando ampia discrezionalità al titolare del trattamento dei dati. L'importante è che siano garantiti integrità, riservatezza e disponibilità dei dati. I livello di sicurezza e di protezione dei dati è un criterio essenziale da valutare al momento di adottare in azienda un CRM.

CRM e GDPR: trattare i dati dei potenziali clienti (lead) e i dati pubblici sul web

La questione dei clienti potenziali, i cosiddetti lead, presenta invece aspetti peculiari. Il trattamento dati del cliente potenziale non può fondarsi su accordi contrattuali o pre contrattuali, contatti che ancora non sono avvenuti. Ecco che per il cliente potenziale v'è una sola base giuridica possibile, quella del consenso esplicitamente espresso. Consenso che può essere espresso in varie forme e non necessariamente per iscritto. Che il potenziale cliente spunti un flag o firmi un documento scritto o esprima il consenso a voce poco conta. Quel che conta è che il consenso sia libero e informato e che il titolare del trattamento possa dimostrare di aver ricevuto il consenso.

Per quanto riguarda, invece, i dati presi dal web perchè pubblicamente disponibili, possono verificarsi casi diversi: 

• i dati afferenti a persone fisiche sono sotto l'applicazione del GDPR. L'email nome.cognome@azienda è un dato personale ed è sottoposto al GDPR;
• dati non afferenti a persone fisiche non sono sottoposti al GDPR. L'indirizzo email info@azienda è liberamente trattabile in quanto non sottoposto al GDPR.