Salta al contenuto
Casa » GDPR e CRM (Parte 1): Che cos'è GDPR e come influisce sul CRM?

GDPR e CRM (Parte 1): Che cos'è GDPR e come influisce sul CRM?

Se non ti sei nascosto sotto una roccia negli ultimi mesi, probabilmente hai sentito parlare molto del GDPR. Su come se il GDPR fosse la legge del paese negli Stati Uniti, i suoi standard avrebbero potuto impedire la violazione dei dati di Equifax (ora una delle più grandi della storia). Di come il GDPR non risparmia nessuno, con colossi come Google che revisionano i loro prodotti per conformarsi. E anche di come il Congresso degli Stati Uniti, eccitato dallo scandalo di Cambridge Analytica, abbia chiesto a Mark Zuckerberg se Facebook avrebbe ampliato i suoi strumenti per la privacy conformi al GDPR agli utenti a livello globale, durante il suo Audizione del Congresso sulla privacy

Che tu sia stato nascosto sotto una roccia o che tu sia al passo con la velocità di GDPR, è di importanza fondamentale che anche la tua azienda rispetti la legge di riferimento di maggio 25th. Con così tanto da cambiare in così poco tempo, iniziare può sembrare travolgente. Per aiutarti a navigare in questo viaggio, abbiamo creato questa serie di parti 3 su GDPR. In esso, tratteremo tutto ciò che è necessario sapere per essere conformi alla parte principale della legge:

  1. Che cos'è GDPR e in che modo influisce sul CRM? (Parte 1)
  2. Come Vtiger ti aiuta a rispettare GDPR, inclusa la potente gestione del consenso (Parte 2)
  3. Come configurare le nuove funzionalità di privacy di Vtiger per conformarsi a GDPR (Parte 3)

Rivelazione

Questa serie copre la conformità generale ai principi e ai diritti fondamentali di GDPR (articoli da 5 a 23). Esistono altri processi, responsabilità e standard che è necessario rispettare (articoli da 24 a 43) e non sono coperti in questa serie.

Questa serie e le modifiche del prodotto in arrivo derivano da alcune fonti diverse. Dai testi giuridici e le loro interpretazioni generalmente accettate. Dalle discussioni con i clienti e i loro avvocati, e da altre ricerche terziarie sulle soluzioni che coprono i problemi di consenso legale a cui ci stiamo rivolgendo. La guida generale da cui è stata distillata dovrebbe aiutare l'azienda a iniziare il viaggio verso la conformità, ma non dovrebbe essere considerata una consulenza legale, che è ancora consigliabile cercare nell'interpretazione di GDPR per il proprio scenario specifico.

Se comprendi già l'importanza del GDPR e non hai bisogno di un manuale introduttivo, sentiti libero di passare alla sezione intitolata "Ecco come il GDPR cambia la tua attività".

Cos'è GDPR?

GDPR è una nuova legge europea, in vigore da maggio 25th, 2018, che regola il modo in cui le aziende possono raccogliere, archiviare e utilizzare i dati dei cittadini europei. Di più su questo in un secondo.

Perché è stato promulgato il GDPR?

In parole povere: impedire alle aziende di raccogliere e utilizzare indiscriminatamente i dati delle persone in modi che potrebbero danneggiarli. Oggi, le imprese trattano i dati nello stesso modo in cui le nazioni imperialiste economiche trattano i paesi stranieri. Catturano il più possibile e lo sfruttano con scarso rispetto per i desideri dei proprietari o per gli effetti dannosi che ha su di loro.

Questo confronto potrebbe sembrare aspro, perché nessuno muore quando un'azienda acquista un elenco di lead e mercati senza consenso. Ma, quando Equifax ha perso in modo critico i dati sensibili di oltre 140 milioni di persone, e poi essenzialmente li ha lasciati a dover affrontare le conseguenze, il dolore è stato molto più palpabile. Le loro identità private e il futuro finanziario erano condannati a un futuro incerto che circolava sul mercato nero. Potrebbe essere altrettanto facilmente la cronologia delle ricerche di Google o i messaggi privati, e comunque avresti poche possibilità di ricorso legale se accadesse.

La reazione logica a questo, quindi, è

Se solo qualcuno mi desse il diritto di scegliere chi può avere i miei dati, che cosa possono e non possono usarli, si assicurerà che lo tengano al sicuro e li punisca per aver violato questi diritti!

Ed è esattamente ciò che fa il GDPR per i cittadini dell'UE.

Devo rispettare GDPR?

GDPR si applica a te se si verifica una delle seguenti condizioni:

  1. Hai clienti nell'UE
  2. Fornisci servizi a (a pagamento o gratuiti) ai cittadini dell'UE
  3. Commercializzi ai cittadini dell'UE
  4. Monitorate le attività dei cittadini dell'UE

Se la tua attività è esclusivamente locale ed esterna all'UE, probabilmente non devi preoccuparti del GDPR. È improbabile che un negozio di fiori nell'Ohio rurale che commercializza e spedisce solo nella città locale debba conformarsi, anche se qualcuno dall'UE si ferma dal tuo sito web e finisce nella tua soluzione di analisi.

Ma solo perché la tua azienda è piccola non significa che il GDPR non si applichi. È probabile che un'azienda SEO di una piccola città che commercializza i suoi servizi online e che abbia già alcuni clienti da alcuni altri paesi, anche se non si rivolga specificamente ai clienti dell'UE, dovrà attenersi al GDPR perché si potrebbe prevedere che la società di SEO apprezzerebbe gli affari dei clienti europei se emergesse.

Quali diritti devo rispettare?

I cittadini dell'UE ora possiedono legalmente anche i dati su di loro che sono in tuo possesso. E hanno alcuni diritti fondamentali da associare a quella proprietà. Stiamo usando la regola 80/20 per riassumere i testi seguenti in una battuta. Come per qualsiasi riepilogo ci sono sempre delle avvertenze, quindi se sei curioso, fai clic sui link inclusi per leggere il testo legale completo e le eccezioni (non sono lunghi!):

  1. Quando raccogli dati da qualcuno, devi rivelare cosa intendi fare con esso e per quanto tempo hai intenzione di mantenerlo, tra le altre informazioni, al momento della raccolta (articoli 7, 12, 13, 14)
    1. In genere non è possibile memorizzare informazioni relative alla storia criminale (articolo 10)
    2. È possibile conservare le informazioni sui bambini solo se un tutore acconsente (articolo 8)
    3. È richiesto il consenso per l'archiviazione e l'utilizzo di dati sensibili (articolo 9, 10)
  2. Quando usi i dati di qualcuno, tutti i tuoi usi dovrebbero essere fatti con il consenso per quell'uso, in relazione diretta con un uso già concordato, o perché ha passato il bilanciamento degli interessi test, con alcuni avvertimenti (articolo 6)
  3. È necessario rispondere alle seguenti richieste di diritti da un contatto entro il mese 1 della richiesta (articolo 12)
    1. Per sapere quali informazioni hai su di loro e su cosa le usi (articolo 15)
    2. Per correggere qualsiasi informazione che hai su di loro (articolo 16)
    3. Per cancellare i dati che hai su di loro (articolo 17)
    4. Per limitare la possibilità di utilizzare i propri dati senza doverli eliminare (articolo 18)
    5. Per sapere quando hai cancellato o smesso di usare i loro dati (articolo 19)
    6. Portare i tuoi dati su di loro ad un concorrente (articolo 20)
    7. Opporsi a qualsiasi processo (articolo 21)
    8. Opporsi al processo decisionale automatizzato (algoritmico) (articolo 22)
  4. Non è necessario utilizzare o conservare i dati più a lungo del necessario (considerando 39)
  5. È necessario utilizzare i dati protetti in modo proporzionato in termini di sicurezza per il potenziale danno che potrebbe accadere all'interessato se i dati fossero esposti (articolo 25, 32)

In che modo GDPR influenza la mia attività?

Come archiviare e gestire i dati di contatto

Esistono tipi di dati 2 da considerare in GDPR. Dati sensibili e dati personali. Ecco alcuni esempi specifici di dati, raggruppati per tipo.

Non sensibile pelle sensibile
Identificazione personale Marca preferita di chip
Cap		 Sesso
Religione
Razza
Affiliazione politica
Identificazione personale Nome
E-mail
Facebook ID		 Numero di identificazione nazionale
Numero di carta di credito

Dati sensibili

Si tratta di dati che non sono disponibili pubblicamente e che possono essere utilizzati in modo improprio per danneggiare le persone, come il numero di un passaporto o l'affiliazione politica di qualcuno. Il GDPR consiglia di ottenere il consenso per l'archiviazione dei dati sensibili e di proteggerli successivamente, comunque possibile. Questi dati sono protetti al meglio effettuando le seguenti operazioni:

  • Crittografia di questi campi nei database per prevenire l'uso improprio in caso di violazione dei dati
  • Oscurare questi campi nelle visualizzazioni dei dipendenti per impedire l'uso improprio da parte dei dipendenti quando l'accesso non è necessario (es: mostra solo le ultime cifre 4 di un CC #)
  • Registra quando i dipendenti non nascondono i valori per scoraggiare l'uso improprio quando è necessario l'accesso

Identificazione personale dei dati

I dati possono essere dannosi solo se possono essere collegati a una persona. GDPR consente ai tuoi contatti di chiederti di cancellare i loro dati di identificazione personale (soggetti a certe condizioni).

Una volta cancellati i dati personali, le informazioni correlate importanti per il processo decisionale aziendale, come la cronologia degli acquisti e l'impegno con i tuoi servizi digitali, sono sicure da archiviare perché non sono più associate a una persona identificabile.

Fai attenzione ai gruppi di informazioni di identificazione non personale, poiché gruppi di esse possono identificarsi se quel gruppo è unico per una singola persona. Ad esempio, quando conosci il codice di avviamento postale, il sesso, l'etnia e la data di nascita di qualcuno (insieme queste proprietà potrebbero essere uniche per un singolo individuo e riconducibili a lui tramite qualche altra fonte di informazioni), quindi è importante essere sicuri che ciò non accada con ciò che resta del tuo set di dati cancellato.

Limiti di spazio

Nessuno dovrebbe rimanere nel tuo database per sempre, solo perché hanno compilato il tuo webform una volta. Ora devi smettere automaticamente di usare ed eventualmente eliminare i dati di identificazione personale quando non sono più necessari. Il limite di tempo appropriato da utilizzare varia da caso a caso. Nel nostro caso, elimineremo i nostri dati di contatto un anno dopo che un contatto si interrompe direttamente con noi.

Come presentate i moduli del sito Web

informativa

Le persone dovrebbero davvero inviare informazioni solo online se sanno che cosa ne farà il destinatario. Pertanto, i tuoi moduli web devono ora indicare direttamente in che modo verranno utilizzate le informazioni o collegarti a informazioni su come utilizzerai i loro dati. Questo può essere fatto tramite tooltip o collegando direttamente a una politica di utilizzo dei dati.

Email opt-in

Se vuoi iscriverti a qualcuno alla tua email marketing dopo l'invio di un modulo, ora devono anche accettarlo esplicitamente. Ciò significa mostrare una casella di controllo non spuntata con un linguaggio chiaro come "Vorrei ricevere email di marketing da [società]". Semplicemente non chiedere o fornire una casella di controllo pre-selezionata non conta più.

Come scrivi la tua politica sulla privacy

Ogni volta che raccogli informazioni da qualcuno o prevedi di utilizzarle per un nuovo scopo, devi informarlo di alcune nozioni di base che di solito vengono trasmesse attraverso una politica sulla privacy. Questo deve essere scritto in un linguaggio chiaro, facile da capire e sezionato in modo tale che ogni utilizzo dei dati e lo scopo siano scritti separatamente. Le cose più importanti da includere in questa politica sono:

  • Cosa fa la tua azienda e come contattarti
  • Come usi i loro dati, e per quali scopi non cercherai il consenso
  • Con chi condividerai i loro dati
  • Se trasferirai i dati al di fuori del Paese del contatto
  • Per quanto tempo hai intenzione di utilizzare i dati per
  • Tutti i diritti del soggetto (accedere, correggere, cancellare, limitare o portare i dati o presentare un reclamo)
  • Cosa succede se il contatto non fornisce i dati
  • Se prendi decisioni automatiche con i loro dati

Come gestisci l'email marketing

Double opt-in

Per inviare un'email di marketing a qualcuno, è necessario disporre di prove non falsificabili che desiderano riceverlo da te. Poiché chiunque può compilare un modulo sul tuo sito sostenendo di essere qualcun altro, il modo migliore per ottenere tale prova è con una doppia email di attivazione.

Le e-mail di doppio consenso funzionano in questo modo: quando qualcuno indica che desidera ricevere la tua e-mail (verbalmente o selezionando una casella su un modulo web), invii loro un'e-mail contenente un collegamento speciale. Se fanno clic su di esso, il loro clic viene registrato e vengono aggiunti alla tua lista di posta elettronica.

Gestione delle preferenze e disattivazione

Ogni volta che si invia un messaggio di posta elettronica a un contatto, deve essere facile per loro decidere di optare per l'accettazione. Ciò significa in genere includere un link di annullamento dell'iscrizione nella parte inferiore dell'e-mail. Una soluzione più robusta consentirebbe ai contatti di gestire i propri opt-in e outs di specifici elenchi di posta elettronica da una pagina accessibile dal piè di pagina dell'e-mail.

Come monitorare i clienti su siti Web, e-mail e documenti

Molti servizi digitali forniti ai clienti tracceranno le loro azioni e forniranno analisi, in modo che possiate imparare come migliorare la loro esperienza. Potrebbe trattarsi di un sito Web, di una campagna e-mail o di un documento che hai condiviso con loro. Indipendentemente dal modo in cui viene eseguito il tracciamento, nella maggior parte dei casi devi dire agli utenti che vengono tracciati e fornire loro la possibilità di disattivare il tracciamento.

Quando si utilizzano i dati dei clienti

Utilizzi i dati dei clienti per un numero di scopi. Dalla semplice memorizzazione, all'invio di e-mail di marketing, alla verifica della cronologia dei crediti o alla condivisione con terze parti che li aiuterà a utilizzare meglio i tuoi prodotti.

Qualunque cosa si utilizzi per i dati dei clienti dovrebbe generalmente essere fatto per uno di questi tre motivi:

  1. Hai ricevuto una previa autorizzazione esplicita per tale utilizzo
  2. L'utilizzo è correlato a un altro scopo per il quale hai già ricevuto il consenso
  3. Lo scopo è nel tuo legittimo interesse e non viola i diritti del contatto (il test di bilanciamento)

Consigliamo sempre di ottenere il consenso per il maggior numero di finalità possibile, poiché questo è l'unico modo indiscutibile per utilizzare i dati dei tuoi contatti. Qualunque sia il consenso ottenuto per uno scopo, il modo migliore per ottenerlo è in un modo non falsificabile. Questi vanno da una comunicazione registrata come un'e-mail, a un portale di gestione delle preferenze a cui i contatti possono accedere per gestire i propri consensi. Come per le preferenze email, è importante consentire ai contatti di revocare il loro consenso almeno con la stessa facilità con cui lo hanno fornito.

I nuovi diritti legali che devi facilitare

Diritto di sapere quali dati vengono archiviati e la possibilità di esportarli

Se un contatto ti chiede le informazioni che tieni su di loro, sei legalmente obbligato a farlo. Inoltre, devi rivelare per cosa lo usi, con chi lo condividi, per quanto tempo hai intenzione di mantenerlo, e gli altri diritti che hanno. Possono inoltre richiedere una copia di tutte queste informazioni in un formato leggibile dalla macchina come un file CSV o database, quindi il sistema CRM che utilizzi per memorizzare le loro informazioni dovrebbe facilitare la creazione di tali file.

Diritto di aggiornare le loro informazioni

Se un contatto ti chiede di aggiornare le informazioni errate o mancanti, una volta che sei in grado di confermare chi sono, ti viene richiesto di aggiornare tali informazioni nei tuoi sistemi. Ciò è particolarmente importante se si utilizzano tali dati manualmente o in modo algoritmico per prendere decisioni su di essi.

Diritto di essere dimenticato

Un contatto ha il diritto di cancellare i tuoi dati. Mentre la soluzione più semplice è quella di cancellare tutti i record associati a loro, di solito è indesiderabile perché potrebbe eliminare informazioni aziendali importanti come i dati di acquisto, il rendering delle entrate e altri rapporti errati. Il modo ideale per risolvere questo è eliminare le informazioni di identificazione personale dalla registrazione di un contatto in modo che non sia più possibile identificarle. Le migliori soluzioni CRM conformi a GDPR faciliteranno questo tipo di cancellazione.

Diritto di opporsi a uno dei tuoi scopi

Un contatto può richiedere di non utilizzare i propri dati per uno scopo specifico. Ciò potrebbe significare rinunciare al marketing, richiedendo che non venga condiviso con una terza parte o con altri scopi specifici. Per facilitare ciò senza richiedere una gestione ardua dei record, scegli una soluzione CRM che permetta ai tuoi contatti di gestire automaticamente i loro consensi ai tuoi usi, in modo che i team responsabili di agire su tale autorizzazione possano agire solo sui contatti che hanno acconsentito.

Diritto di interrompere l'utilizzo dell'intero record

I contatti hanno finalmente il diritto di chiederti di toglierli da tutte le forme di elaborazione che fai. Qualunque sistema tu usi per memorizzare le loro informazioni dovrebbe essere in grado di congelare i loro registri in modo che non possano essere modificati dai tuoi utenti, o inviati via email per scopi commerciali sia manualmente che automaticamente.

C'è così tanto da fare! In che modo Vtiger mi aiuterà a rispettare?

Potrebbero esserci molte nuove regole da rispettare, ma i cambiamenti che arrivano a Vtiger entro maggio 9th consentono alle aziende di implementare facilmente la conformità GDPR. Se i tuoi clienti sono negli Stati Uniti, in Europa o in qualsiasi altro luogo, queste modifiche ti aiuteranno a presentare divulgazioni, archiviare i dati sensibili in modo più sicuro, legalmente il mercato delle e-mail e lasciare che i tuoi contatti forniscano e gestiscano i loro consensi con un'esperienza non disponibile con nessun altro CRM sul mercato oggi.

Puoi trovare una panoramica completa di questi cambiamenti in Parte 2 di questa serie.

Rimanete sintonizzati!

Post correlati

Grandi piccole cose: campi/blocchi dipendenti

  • 6 min letto

Grandi piccole cose: unisci tag

  • 5 min letto

Audit di qualità e i suoi vantaggi per la tua azienda

  • 5 min letto