I sistemi informativi di CRM (Customer Relationship Management) e i trattamenti di dati personali per finalità di marketing e profilazione sono sempre più diffusi, e molti settori di mercato arrivano ad avere data base anche di milioni di anagrafiche, non necessariamente tutte di cittadini residenti sul territorio italiano.
Questi trattamenti, di grandissima rilevanza da un lato per il vantaggio competitivo che possono portare alle imprese, e dall’altro per il rischio di invadenza della riservatezza di individui e famiglie, devono oggi essere progettati, implementati e gestiti in modo conforme al GDPR, il Regolamento Europeo 2016/679 per la Data Protection in pieno vigore dal 25 maggio scorso.
Multinazionali e normative locali
L’impatto normativo è molteplice e abbraccia tutte le fasi del trattamento.
Ed infatti, in fase di progettazione dei sistemi CRM, occorre valutare e considerare la normativa applicabile (o le normative applicabili), in quanto se la raccolta dei dati effettuata da un titolare riguarda soggetti residenti in diversi paesi del mondo, ci potrebbero essere normative applicabili localmente da tenere in considerazione, indipendentemente dall’applicazione del GDPR al titolare stabilito in territorio dell’Unione Europea.
Who's Who
Gabriele Faggioli
CEO di Digital360, CEO di P4I - Partners4Innovation, Presidente Clusit
Ma il problema di eventuali normative specifiche applicabili in singoli paesi riguarda anche i paesi membri dell’Unione Europea. Ed infatti, per fare un esempio, se in Italia è applicabile la regola stabilita dall’Autorità Garante per cui i dati personali inerenti gli acquisti possono essere trattati per motivi di profilazione e marketing per un lasso di tempo predeterminato dall’Autorità stessa, lo stesso vincolo temporale non è esistente in tutti i paesi. E comunque non con la stessa durata.
Occorre quindi che il titolare del trattamento che intende progettare un sistema CRM a livello sovranazionale, valuti quali, quante, e dove sono localizzate le società coinvolte, con mappatura di tutte le eventuali normative rilevanti da tenere in considerazione.
L’approccio “by design” imposto dal GDPR per la costruzione di un sistema CRM è quindi assolutamente essenziale.
Consensi da tracciare (anche quelli su carta)
Al momento della raccolta dei dati occorrerà poi fornire l’informativa e raccogliere gli eventuali consensi che si siano resi necessari in relazione alle finalità che si intende perseguire con il trattamento di tali dati.
Al di là di scrivere testi che siano coerenti con le normative applicabili, di grande rilevanza è la necessità di essere in grado di dimostrare di aver dato seguito agli obblighi normativi.
Soprattutto per le raccolte di dati effettuate con strumenti elettronici, occorre quindi valutare come impostare un sistema di tracciatura che permetta di dimostrare quando l’interessato ha fornito i dati e quali consensi ha espresso. Sotto quest’ultimo profilo, potrà risultare opportuno l’invio di e-mail tramite le quali gli interessati potranno confermare la volontà di iscrizione al sistema CRM magari cliccando su un apposito link.
Il problema comunque si pone anche nelle raccolte effettuate su supporti cartacei, perché chi raccoglie i dati di milioni di anagrafiche deve poter dimostrare l’adempimento agli obblighi normativi e i consensi espressi dagli interessati, e deve quindi poter ritrovare i moduli cartacei.
Un ulteriore problema che si può porre durante la gestione dei dati personali è l’eventuale cambio di idea di un interessato nel corso del tempo rispetto ai consensi. Se l’interessato fornisce i consensi, li revoca dopo due mesi, e poi successivamente li fornisce ancora, nel caso in cui l’azienda tracci sempre e solo l’ultima manifestazione di volontà non sarà in grado di dimostrare in quali periodi era titolata a inviare pubblicità e in quali periodi no.
Marketing e Customer Care: poteri d’accesso diversi allo stesso database
Ancora: molte realtà si sono scontrate con l’esigenza di fare accedere soggetti di unità organizzative differenti ai dati personali raccolti e detenuti in un unico database. Si ipotizzi a titolo di esempio il caso della società Alfa che ha sia un ufficio marketing sia un ufficio customer care e utilizza, per queste due macrofinalità, uno stesso sistema informativo.
In linea ipotetica ai dati personali inerenti i clienti potranno accedere i lavoratori dell’ufficio marketing ma limitatamente ai soli interessati che abbiano prestato il consenso, con un periodo di visibilità massimo di due anni, come da provvedimento dell’Autorità. Mentre i lavoratori addetti al customer care potranno accedere ai dati di tutti gli interessati, essendo la base giuridica del trattamento il contratto, e non il consenso come nel primo caso. Ma su una base storica di dati probabilmente diversa da quella applicata per il trattamento per fini di marketing. Questo significa che è possibile avere utenti con poteri di accesso differenziati: differenze che devono essere gestite.
Sotto un diverso profilo occorre ragionare quando si entra nel merito dei diritti degli interessati, i quali potrebbero agire ai sensi del GDPR per accedere ai dati o chiederne la portabilità. Di estrema importanza è oggi sapere quali dati sono oggetto dei singoli diritti attribuiti agli interessati, comprenderne il campo di applicazione (quali trattamenti, quali basi giuridiche, quali dati) e avere strumenti anche tecnologici a supporto della ricerca dei dati e della loro estrazione.
Inutile dire, per finire, che un tema essenziale è quello della sicurezza.
I dati devono essere protetti previa analisi dei rischi tramite l’adozione di misure di sicurezza adeguate. Nel caso dei sistemi CRM è necessario effettuare una valutazione di impatto (Data Protection Impact Assessment), attività che deve contribuire alla scelta di adeguatezza in merito alle misure di sicurezza da applicare.
Gli spunti di cui sopra meriterebbero una trattazione singola molto più lunga di quanto si può fare in un breve articolo. Gli elementi di attenzione sono anche altri, tutti di grande rilevanza.
L’importante è che l’approccio a un sistema CRM avvenga in ottica by design, sempre ricordando che il GDPR impone l’obbligo non solo di adempiere alla normativa, ma anche di dimostrare di aver rispettato ogni prescrizione, un classico caso di “prova diabolica” con cui ci si dovrà prima o poi scontrare.