GDPR e CRM: come gestire i dati ed essere compliant



Il GDPR, in vigore dal 25 maggio 2016, è un Regolamento della Commissione Europea che unifica i diversi regolamenti locali e rafforza la normativa sulla protezione dei dati personali entro i confini dell’Unione Europea, regolando anche il tema del trasferimento di tali dati al di fuori della UE.

Uno dei principali obiettivi del GDPR è rafforzare i diritti dei singoli individui sul controllo e la protezione dei propri dati personali. In particolare, il GDPR regola:

  • la possibilità di accedere più facilmente ai dati personali forniti a un’azienda;
  • il diritto a essere informati su come i propri dati vengono archiviati, gestiti e rielaborati;
  • il diritto a esprimere un consenso esplicito al trattamento dei propri dati per ogni finalità di utilizzo;
  • il diritto all’oblio, cioè a richiedere la cancellazione dei propri dati dagli archivi aziendali;
  • l’obbligo delle aziende a mettere in atto adeguate misure per la sicurezza informatica e a comunicare tempestivamente eventuali violazioni (data breach).

Il GDPR riguarda, quindi, due aspetti: le modalità di raccolta e trattamento dei dati e la sicurezza degli apparati su cui vengono conservati.
1. Per essere conformi al GDPR, il CRM deve prevedere un sistema di accessi profilato. Cosa significa?

Significa che ogni utente deve avere le sue credenziali di accesso a cui corrisponde uno specifico ruolo e degli specifici permessi di visualizzare e/o operare con i dati presenti nel sistema.

SugarCRM è già strutturato in questo modo, ma è fondamentale che all’interno dell’azienda le credenziali di ogni utente siano conservate in modo sicuro e non condivise con altri utenti.

Inoltre, l’attribuzione dei ruoli (e quindi dei relativi permessi) ai vari utenti va definita a livello aziendale insieme alla figura responsabile, il DPO (Data Protection Officer), e va esplicitata nel documento chiamato Privacy Impact Assessment.

2. L’altro argomento chiave che lega il CRM al GDPR è la gestione del consenso.

La normativa europea prevede non solo che le persone esprimano un consenso esplicito al trattamento dei dati personali, ma anche che possano decidere a quali finalità di trattamento acconsentire o meno.

Se dovete comunicare l’espletamento di un ordine da e-commerce, se volete inviare comunicazioni commerciali o materiale promozionale o inserire contatti in un elenco di remarketing, gli utenti i cui dati vengono inseriti nel CRM devono esprimere un consenso esplicito. E quest’ultimo deve essere registrato con data di acquisizione e data di fine validità.

Infine a tutti i lead o clienti già presenti nel CRM va inviata la nuova informativa sulla Privacy e va chiesto il consenso per le varie finalità di utilizzo dei dati.

Ça va sans dire, i contatti presenti nel CRM devono avere la possibilità di cancellare i propri dati in qualsiasi momento e vanno tempestivamente avvisati se subite un attacco informatico (data breach) che può aver compromesso la sicurezza dei dati.

Per ricevere una consulenza personalizzata per l’adeguamento del CRM al GDPR, contattaci e faremo insieme al nostro DPO l’analisi dell’attuale sistema.

Sei sicuro che il tuo CRM sia GDPR compliant?
Contattaci, fisseremo una call di analisi con il nostro DPO.

                 Ho letto l'Informativa Privacy *