Il CRM (Customer Relationship Management) a supporto del GDPR: best practice

In una situazione dove il tema del trattamento, circolazione e protezione dei dati personali, si fa sempre più sentire con interpretazioni, modalità di gestione diverse, a volte incoerenti, con procedure diverse e non sempre efficaci, il CRM (Customer Relationship Management) può essere un valido supporto nell’ambito del GDPR, con le dovute accortezze.

Il marketing sembra essere in conflitto con il GDPR: la verità è che se trattiamo correttamente i dati personali, gestiamo i consensi e siamo consapevoli di dove sono trattati i dati personali, il problema non si pone.

Il CRM a supporto del GDPR per ottimizzare il trattamento dati

Il CRM oltre ad essere uno strumento per la gestione dell’acquisizione di nuovi clienti e della relazione con i clienti già acquisiti, per ottimizzare il flusso delle attività che coinvolgono le diverse aree aziendali, come back office, amministrazione e ufficio tecnico, eliminando mail e chiamate, è un sistema che aiuta l’azienda nell’ottimizzare il trattamento dei dati personali. Ecco, qui di seguito, alcuni motivi:

• possibilità di raccogliere in un unico ambiente (e non nei diversi fogli Excel, modelli cartacei) i contatti di clienti, potenziali clienti, partner eccetera provenienti da diverse fonti, come telefonate, mail, lead generation, banche dati conformi, fiere, ed essere pronti a comunicare all’interessato dove è stato acquisito il contatto;
• gestione dei permessi e profili di accesso in base ai ruoli, competenze e responsabilità, minimizzando così il rischio che ci siano persone non autorizzate a vedere determinati dati;
• possibilità di sincronizzazione dei dati tra i diversi sistemi gestionali, come l’ERP, gestionali per l’amministrazione, evitando con ridondanze di dati, errori di caricamento e perdita di dati;
• raccolta e gestione dei diversi consensi, obbligatori e facoltativi, con l’eventuale tracciabilità di eventuali opposizioni al trattamento (per esempio per fini di marketing), evitando così il rischio di controversie per trattamenti non autorizzati da parte dell’interessato;
• impostazione di procedure che aiutano il reparto commerciale ad individuare quali siano i dati strettamente necessari per la loro attività, rispettando così il principio di minimizzazione del trattamento dei dati personali;
• pronta risposta nel caso in cui un interessato al trattamento eserciti i propri diritti, come la richiesta di accesso ai dati personali, indicazione della fonte dei dati e se è in corso un trattamento dei dati personali;
• migliore gestione dei dati personali in termini di esattezza e aggiornamento puntuale dei dati, dato che la variazione viene fatta subito a sistema.

Per fare in modo che il CRM sia uno strumento efficace e non un “nemico” del GDPR creando problemi nella gestione, è importante avere queste accortezze:

• fare un’analisi preliminare e progettare questo sistema in base ai flussi operativi e di gestione dei dati all’interno dell’azienda, verificando l’eventuale sincronizzazione e integrazioni con ai sistemi informativi e gestionali;
• non considerare il CRM solo come una raccolta di contatti, ma come un processo di gestione dei dati che coinvolgono, dal punto di vista commerciale e non solo, le diverse aree aziendali;
• verificare dov’è localizzato il server o data center del CRM, qualora fosse in cloud, verificando se è conforme al GDPR e se è localizzato all’interno dell’Unione Europea (nel caso sia al di fuori va data comunicazione);
• verificare l’adeguatezza delle misure di sicurezza sia, sia in termini di protocolli di sicurezza, password, backup ma anche sugli strumenti che vengono utilizzati dagli operatori (smartphone, PC, tablet);
• prevedere attività formative che, oltre a spiegare l’utilizzo del CRM, forniscano le istruzioni per il trattamento dei dati in conformità sia del GDPR ma anche alla riservatezza di informazioni in ambito aziendale.

L’adozione di un CRM in ottima di privacy by design

Riepilogando per l’adozione o aggiornamento di un CRM, da un lato in ottica di privacy by design, dall’altro per migliorare il flusso e gestione dei dati sia personali che aziendali, occorre seguire questi passi:

• analizzare le diverse fonti di dati, “fogli Excel” e banche dati che sono utilizzate dalle diverse figure lungo il processo commerciale, marketing e gestione del cliente (compreso l’eventuale gestione reclami, assistenza e manutenzione);
• considerare nel progetto non solo le figure professionali interne all’azienda ma anche tutte quelle figure professionali che ruotano nell’ambito commerciale e gestione dei clienti come agenzie di marketing, web marketing, agenti e rivenditori, manutentori e/o tecnici esterni;
• verificare l’esattezza dei diversi dati, presenti nelle diverse fonti del punto precedente, eliminando dati obsoleti e non più necessari, gestendo dati doppi, indicando eventuali consensi già presente o meno;
• elaborare il flusso operativo sia commerciale che di marketing e gestione cliente indicando le diverse figure coinvolte, sistemi utilizzati (che saranno da integrare o far comunicare con il CRM), ruoli e responsabilità nelle diverse fasi;
• scegliere il sistema di CRM adatto all’azienda, in base ai flussi e processi aziendali, prevedendo gli eventuali sviluppi, schermate, personalizzazioni che le diverse aree aziendali devono avere (mostrando solo i dati e funzioni strettamente necessari allo specifico ruolo) e sincronizzazioni con i diversi applicativi aziendali, come l’ERP, evitando così ridondanza e caricamento multiplo degli stessi dati;
• nella raccolta dei dati e caricamento di tali informazioni nel CRM indicare la fonte di acquisizione (Web, Fiere, Banche dati pubbliche, lead generation, telefonate, form contatti, richieste da potenziali clienti ecc.);
• analizzare e prevedere forme di acquisizione del consenso e tracciatura nei diversi sistemi e ambiti di raccolta dei dati personali, così da poter predisporre le corrette iniziative commerciali in linea con i rispettivi consensi dati;
• nel caso di mancato interesse di potenziali clienti, contatti non confermi o termine del rapporto con clienti attivi, implementare un sistema che inserisca tali dati in liste non più utilizzabili perché non aventi più il consenso e prima di tutto interesse;
• gestire l’integrazione del CRM con sistemi di mail marketing, newsletter per tracciare le eventuali opposizioni al trattamento che possono arrivare da esse, evitando così di inviare comunicazioni commerciali a persone non interessate;
• predisporre progetti di formazione e monitoraggio che permettano l’adozione del sistema CRM nel suo insieme per evitare che ci siano persone che utilizzo sistemi, banche dati, fogli Excel al di fuori del sistema, perdendone la tracciabilità;
• verificare costantemente i sistemi e misure di sicurezza per evitare la perdita di riservatezza, disponibilità e integrità;
• considerare il sistema CRM non come un sistema statico ma dinamico che va modificato, ampliato, revisionato in base alle evoluzioni aziendali come un nuovo servizio, una nuova linea di business, una nuova politica e strategia commerciale.

Vediamo quindi che i sistemi informativi e gestionali, come il CRM, se adottati in ottica privacy by design, invece che essere un pericolo per il GDPR, aumentandone le criticità nel trattamento, possono essere un valido supporto per ridurre il rischio di perdita, mancata riservatezza ed integrità dei dati personali, nonché supportare nel trattamento e gestione ai fini commerciali e di marketing, aree fondamentali per la crescita e sviluppo aziendale.