Regole pratiche per l'uso del CRM in conformità al Gdpr
Il CRM o Customer Relationship Management è una strategia il cui obiettivo è la proficua ed efficace gestione dei rapporti e delle interazioni di un'organizzazione con i clienti e i potenziali clienti. Un sistema CRM aiuta le organizzazioni a gestire al meglio le interazioni, a semplificare i processi e a migliorare la produttività. Di regola, hanno accesso al CRM gli incaricati il cui ambito di trattamento consentito include la produzione di preventivi e offerte, o l’invio sistematico di comunicazioni marketing e commerciali. Generalizzando, accedono al CRM dirigenti e funzionari commerciali, venditori, addetti degli uffici marketing, commerciali e preventivazione, capi commessa.
(Nella foto: Luciano Corino, consulente in personal data protection e membro del Consiglio Direttivo di Federprivacy)
Le basi giuridiche che legittimano la registrazione sul CRM di dati personali riguardanti un contatto
sono essenzialmente tre:
a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più finalità;
b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.
Particolari criticità emergono per quanto riguarda la base giuridica del legittimo interesse.
Coloro che svolgono mansioni commerciali sono sempre molto favorevoli a fare riferimento a questa base giuridica la cui applicazione richiede però approfondite verifiche e valutazioni, ricorrendo se necessario a checklist di controllo, come quella proposta dall’ICO e nota con l’acronimo LIA (Legitimate Interests Assessment).
Dalla lettura del Considerando 47, si potrebbe dedurre che tale base giuridica sia palesemente ammessa dal Regolamento e possa pertanto essere utilizzata in alcuni casi, specialmente nel caso in cui l’attività svolta dall’organizzazione sia di tipo B2B, ambito in cui le ragionevoli aspettative di contatto da parte delle figure professionali i cui dati sono oggetto di trattamento sono di regola riscontrabili.
Il Considerando 47 precisa inoltre che “Ad esempio, potrebbero sussistere tali legittimi interessi quando esista una relazione pertinente e appropriata tra l’interessato e il titolare del trattamento, ad esempio quando l’interessato è un cliente o è alle dipendenze del titolare del trattamento.”
Dunque, nel caso di contatti ottenuti durante la gestione dei rapporti contrattuali o precontrattuali l’applicazione del legittimo interesse del Titolare quale base giuridica di riferimento appare legittima, anche considerando la disciplina del cosiddetto soft spam (ex art. 130 c. 4 D.lgs. 193/2006), per cui se il Titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato (in questo caso, persona fisica) nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell'interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l'interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione effettuata per le finalità indicate, è sempre informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente.
Occorre altresì considerare quanto stabilito dalla normativa nazionale, anche in recepimento di altra direttiva europea, la cosiddetta e-privacy, che limita di fatto lo spazio entro il quale il Considerando 47 debba intendersi.
Il contenuto sostanziale dell'art. 130 del Codice Privacy "Comunicazioni indesiderate" prevede che debba essere richiesto il consenso del contraente o utente per l'uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, nonché per le comunicazioni elettroniche (posta elettronica, telefax, MMS o SMS). Il riferimento all'utente o contraente (in luogo dell’espressione persona fisica) significa che la disposizione tutela anche le persone giuridiche.
Senza dimenticare le norme che regolamentano l’accesso al registro pubblico delle opposizioni.
Quanto sopra esposto deve essere attentamente valutato quando si progetta l’invio di comunicazioni massive e di newsletter.
È bene ricordare che occorre sempre bilanciare il legittimo interesse del Titolare del trattamento con i diritti e le libertà dell’interessato prima che il trattamento venga eseguito e darne prova. Il Considerando 69, infatti, statuisce “È opportuno che incomba al titolare del trattamento dimostrare che i suoi interessi legittimi cogenti prevalgono sugli interessi o sui diritti e sulle libertà fondamentali dell’interessato”. Questa valutazione viene fatta sotto la responsabilità del Titolare del trattamento e l’interessato ha il diritto, in qualsiasi momento e gratuitamente, di opporsi a tale trattamento, sia con riguardo a quello iniziale che ulteriore. Tale diritto deve essere esplicitamente portato all’attenzione dell’interessato con l’informativa sul trattamento dei dati personali.
Al momento non vi sono ulteriori indicazioni da parte dell'Autorità italiana sull’interpretazione e la conseguente applicazione della base giuridica del legittimo interesse, per cui è consigliabile adottare una linea prudente in quanto la scelta di questa base giuridica non è priva di rischi.
Un possibile approccio è scegliere la base giuridica del legittimo interesse non quale prima opzione, ma solo dopo aver escluso l’applicabilità delle altre basi giuridiche.
Potrebbe apparire strana l’affermazione di non applicabilità del consenso.
In realtà, in alcuni casi, può essere davvero molto complicato ottenere e documentare il consenso, soprattutto per i contatti più datati, non potendo inviare una comunicazione per la richiesta del consenso.
(Nella foto: Cristiana Burali, Data Protection Officer di CPL Concordia)
Per operare una valutazione relativa all’applicabilità dell’interesse legittimo come base giuridica riteniamo proponibile agire con le seguenti modalità:
- per i contatti di tipo B2B, ma solo per determinate figure professionali ritenute interessanti per la funzione commerciale (board, uffici commerciali, responsabili tecnici, uffici acquisti), escludendo quindi ruoli e mansioni che ragionevolmente non si aspettano l’utilizzo dei loro dati personali per le finalità di gestione della relazione commerciale, dopo aver effettuato una LIA relativa a questo specifico trattamento e, prudenzialmente, una DPIA di concerto tra la funzione commerciale e il DPO, se non sono emersi elementi di criticità è possibile applicare la base giuridica del legittimo interesse.
- In tutti gli altri casi, ovvero per i contatti di tipo B2C, oppure per le figure professionali che non si aspettano l’utilizzo dei loro dati per finalità di gestione della relazione commerciale, l’inserimento dei dati di contatto e il loro successivo utilizzo può avvenire solo sulla base del consenso, legittimante acquisito e documentato.
- È opportuno conservare e archiviare i documenti LIA e DPIA prodotti in un apposito “Registro delle valutazioni” che si suggerisce di istituire, non solo per questi casi.
Nel caso in cui i risultati delle valutazioni di cui si è parlato siano positivi, è preferibile che il primo contatto sia telefonico. In ogni caso, è necessario fornire una informativa che illustri all’interessato le ragioni per cui la comunicazione gli viene inviata, l’applicazione della base giuridica del legittimo interesse, i diritti che gli sono riconosciuti, la possibilità di opt-out immediato e gratuito dal CRM con conseguente cessazione del trattamento.
Un buon sistema software di gestione del CRM deve avere un campo per indicare la base giuridica applicata per ogni contatto inserito nel data base e, nel caso in cui la base giuridica sia il consenso, deve essere possibile riportare gli estremi del consenso ricevuto (giorno e ora, modalità di acquisizione).
Inoltre, è opportuno disattivare le funzionalità che consentono la registrazione e l’utilizzo di dati personali privati degli interessati (ad esempio, interessi personali, data di nascita, dati riguardanti coniugi, figli, ecc.), dati per il cui trattamento è necessario il consenso e che non sono necessari per le finalità perseguite.
Per quanto attiene la cancellazione dei dati, è necessario definire un termine oltre al quale i dati degli interessati che non sono più stati contattati per un certo periodo vengono cancellati. Tale termine può essere diverso in funzione di alcuni parametri, come ad esempio, la mansione, il ciclo di vita del prodotto o servizio fornito, ecc.
A tale proposito, riteniamo che l’eventuale telefonata occasionale con il cliente possa essere considerata un contatto idoneo a rinnovare la legittimità del trattamento, purché tale informazione venga annotata, secondo le modalità sopra indicate, nel CRM.
Infine, ricordiamo che i trattamenti in ambito CRM devono essere riportati nel registro dei trattamenti, puntualmente descritti e aggiornati ogni volta in cui si verifichi un cambiamento significativo nella finalità, nella natura o nel contesto del trattamento.
Di Luciano Corino, membro del Consiglio Direttivo di Federprivacy, e Cristiana Burali, Data Protection Officer di CPL Concordia
