CRM: potenzialità nel rispetto della privacy

| 25/06/2020 13:02

Commento a cura di Angela Berinati di A&A Studio Legale


Nell'era digitale sono sempre più numerose le imprese che decidono di implementare, nell'ambito della propria organizzazione, sistemi di CRM con l'utilizzo di relativi software dedicati.

L'obiettivo perseguito è quello di gestire al meglio le relazioni commerciali, organizzando i dati di contatto di clienti, prospect o altri soggetti raccolti attraverso gli svariati canali (contatti diretti, sito internet, social network, ecc.) per una più efficiente e sistematica interazione e benefici anche in termini di redditività.

Se da un lato sono evidenti i vantaggi che un sistema di Customer Relationship Management può portare, dall'altro è indispensabile ricordare che il trattamento dei dati personali organizzati e gestiti nel CRM deve sempre avvenire nel rispetto della normativa privacy.

Diventa, quindi, indispensabile eseguire una minuziosa mappatura dei dati trattati e dei soggetti interessati al fine di verificare la corretta adozione di tutte le misure richieste dalla normativa in materia e non incorrere nelle pesanti sanzioni di cui al Regolamento Europeo n. 2016/679.

Proponiamo, di seguito, una breve check list dei principali adempimenti da verificare.

>> Informative

Per tutte le categorie di interessati censite nel CRM (clienti, fornitori, collaboratori,..) devono essere predisposte le relative informative, tenuto conto delle diverse finalità per cui i dati sono trattati (acquisto o vendita di beni o servizi, adempimento di obblighi, marketing, .. ). Tra le informazioni da fornire, ricordiamo l'indicazione dell'eventuale trasferimento di dati all'estero, che può concretizzarsi anche attraverso il salvataggio in cloud con datacenter in paesi terzi.

>> Consensi

In tutti i casi in cui il trattamento si fondi sul consenso dell'interessato, occorre verificare non solo che questo sia espresso dall'interessato in modo specifico, libero ed esplicito, ma anche che vi sia possibilità di dimostrare che è stato prestato. Particolare attenzione meriterà proprio il trattamento dei dati per la finalità di marketing, per la quale tipicamente si ricorre a sistemi di Customer Relationship Management.

>> Nomine

Tutti i soggetti che, internamente alla realtà aziendale, hanno accesso al software e che quindi trattano i dati personali in esso contenuti, devono essere specificamente autorizzati e istruiti sulle modalità del trattamento e formalmente nominati come designati. Sarà indispensabile anche verificare e garantire che il trattamento avvenga esclusivamente da parte del personale che necessita di trattarli per ragioni legate alle attività svolte. Indispensabili, al riguardo, i sistemi di accessi diversificati a seconda del ruolo ricoperto e della mansione svolta.

>> Contratti ex art. 28 GDPR

Con tutti i soggetti che, esternamente alla realtà aziendale, trattano i dati personali per conto del Titolare deve essere stipulato il contratto ex art. 28 del Regolamento per disciplinare le modalità di trattamento. Tra questi, certamente, la società che si occupa della gestione e manutenzione del software e che, proprio nell'ambito di dette attività, ha o può avere accesso ai dati personali.

>> Registro dei trattamenti

Tutti i trattamenti effettuati nell'ambito del CRM devono trovare riscontro nel registro dei trattamenti.

>> DPIA

Se il trattamento, come spesso accade con l'utilizzo del CRM, comporta una profilazione degli interessati, occorrerà effettuare, se sussistono le condizioni previste dal Regolamento, la valutazione di impatto sulla protezione dei dati, con il necessario coinvolgimento del DPO eventualmente nominato.

>> Policy e procedure

Tra le policy e procedure da adottare, specifico rilievo avrà quella relativa ai tempi di conservazione dei dati contenuti nel software in uso e relativa cancellazione in base alle finalità di trattamento. Di particolare importanza, poi, la procedura per la gestione di eventuali data breach e per l'utilizzo degli strumenti informatici aziendali.

>> Misure di sicurezza

Devono, poi, ovviamente essere adottate e costantemente aggiornate, in forza del noto principio di accountability, tutte le misure tecniche e organizzative adeguate per garantire – ed avere possibilità di dimostrare – che sia stato raggiunto un livello di sicurezza adeguato ai rischi (tra quelle tecniche, sistemi di back up e di disaster recovery).

Tutto ciò, sempre nel rispetto dei principi generali del Regolamento che – lo ricordiamo – impone una particolare attenzione per l'esattezza e la minimizzazione dei dati personali (per cui sarà, ad esempio, indispensabile adottare procedure per la verifica e l'aggiornamento dei dati presenti nel software) e per la limitazione della finalità e della conservazione (che richiede l'uso dei dati per finalità determinate, esplicite e legittime e una conservazione commisurata alle finalità stesse).

Un valore aggiunto sarà poi quello di poter contare su software e sistemi progettati e sviluppati con modalità tali da contribuire a realizzare quella privacy "by design e by default" tanto cara al Regolamento.

Vetrina