GDPR e software gestionali: adeguare ERP e CRM alla nuova normativa sul trattamento dei dati
SOMMARIO
Che cos’è il GDPR
Il GDPR in pratica: cosa fare per mettersi in regola
GDPR e software gestionali: come gestire i dati utilizzati da ERP, CRM, SFA
Il famigerato GDPR, General Data Protection Regulation, entrerà in vigore il 25 maggio e riguarderà tutte le imprese dell’Unione Europea. Quando diciamo tutte, intendiamo proprio tutte: dalla grande multinazionale alla ditta individuale. Certo, ciascuno dovrà mettere in atto provvedimenti più o meno importanti, ma ognuno dovrà fare qualcosa per adeguarsi alla nuova normativa sulla privacy e sul trattamento dei dati dei propri interlocutori (che siano clienti, fornitori o dipendenti).
Nelle ultime settimane abbiamo appurato che c’è molta confusione su cosa sia il GDPR, cosa comporti e chi riguardi e, naturalmente, nella confusione si generano le situazioni più disparate: c’è chi va nel panico non sapendo neanche da che parte cominciare, chi ignora completamente la cosa e chi si affida a pseudo-soluzioni “chiavi in mano” proposte da sedicenti esperti di sicurezza.
Con questo articolo vogliamo fare un po’ di chiarezza sugli effetti del GDPR sulla gestione aziendale e in particolare sull’utilizzo dei software gestionali come ERP e CRM.
Che cos’è il GDPR
Il GDPR è un Regolamento della Commissione Europea che unifica i diversi regolamenti locali e rafforza la normativa sulla protezione dei dati personali entro i confini dell’Unione Europea, regolando anche il tema del trasferimento di tali dati al di fuori della UE.
Il GDPR, in realtà, è già in vigore dal 25 maggio 2016, ma alle aziende sono stati dati due anni di tempo per mettersi in regola: il termine ultimo, quindi, è il 25 maggio 2018.
Uno dei principali obiettivi del GDPR è rafforzare i diritti dei singoli individui sul controllo e la protezione dei propri dati personali. In particolare, il GDPR regola:
- la possibilità di accedere più facilmente ai dati personali forniti a un’azienda;
- il diritto a essere informati su come i propri dati vengono archiviati, gestiti e rielaborati;
- il diritto a esprimere un consenso esplicito al trattamento dei propri dati per ogni finalità di utilizzo;
- il diritto all’oblio, cioè a richiedere la cancellazione dei propri dati dagli archivi aziendali;
- l’obbligo delle aziende a mettere in atto adeguate misure per la sicurezza informatica e a comunicare tempestivamente eventuali violazioni, cioè i cosiddetti data breach.
Chiariamo subito un aspetto: non è che queste cose prima non fossero regolamentate, semplicemente, come abbiamo detto all’inizio, il GDPR rafforza le varie normative e unifica i regolamenti nazionali.
Le sanzioni per chi non ottempera agli obblighi previsti da GDPR possono arrivare a corrispondere al 4% del fatturato, ma non sono l’unica cosa di cui dovreste preoccuparvi, in quanto una violazione o il trattamento non corretto dei dati dei vostri interlocutori possono portare a ingenti danni economici su tutti i fronti: pensate a dover sostenere una causa penale o a ritrovarvi con l’intero sistema informatico bloccato per giorni.
Inoltre, mettersi in regola è una questione etica. All’interno dei vostri sistemi informatici aziendali magari non ci sarà la mole di informazioni personali che ha Facebook, ma ci sono comunque molti dati sensibili dei vostri dipendenti, fornitori e clienti. Tenerli al sicuro e utilizzarli in maniera trasparente è un obbligo non solo di legge, ma anche morale nei confronti di tutti i vostri interlocutori.
Il GDPR in pratica: cosa fare per mettersi in regola
Che cos’è il GDPR
Gli adempimenti legati al GDPR sono tanti e variano da azienda ad azienda, noi ci siamo affidati a uno studio legale specializzato sull’argomento per poter regolarizzare la nostra situazione e adeguare quella dei nostri clienti.
Il primo passo verso la compliance al GDPR (cioè l’adeguamento alla nuova normativa) è fare un’autovalutazione della propria situazione aziendale per capire quali processi, applicazioni e database gestiscono dati personali e sono quindi soggetti al nuovo regolamento.
Se volete avere un’idea di cosa dovreste fare per mettervi in regola con il GDPR potete iniziare provando a rispondere alle seguenti domande:
- Avete una specifica informativa sulla privacy consultabile facilmente da ogni soggetto interessato?
- Sapete quali sono i casi in cui è vietato utilizzare i dati personali senza il consenso espresso dell’interessato? Avete già predisposto una modalità chiara e comprensibile per la raccolta di tale consenso esplicito?
- Avete già nominato le diverse figure responsabili del trattamento dei dati all’interno della vostra azienda?
- Disponete di una cookie policy adeguata nel vostro sito internet aziendale? Avete adeguato il banner informativo in modo da permettere agli utenti di scegliere quale cookie attivare?
- I sistemi operativi collegati alla rete locale della vostra azienda sono aggiornati e sicuri? Sapete che basta un personal computer con un sistema obsoleto come Microsoft Windows XP per essere esposti ad attacchi esterni?
- Alla vostra rete locale Wi-Fi possono accedere anche ospiti e utenti esterni?
- Disponete di adeguate misure di protezione perimetrale (es. firewall) per bloccare tentativi di attacchi esterni da Internet verso la vostra rete locale?
- State effettuando copie di backup dei vostri dati su unità predisposte per questo scopo come i supporti rimovibili (es. cassette digitali) e non su pennette USB o altri supporti non sicuri? Queste copie sono create crittografando i dati?
Naturalmente, gli aspetti da affrontare sono diversi da caso a caso e questo elenco di domande va inteso solo a titolo esemplificativo per capire la portata della normativa: ci teniamo a sottolineare quanto sia importante richiedere una consulenza personalizzata sugli adempimenti da mettere in atto, sia a livello legale che a livello tecnologico.
GDPR e software gestionali: come gestire i dati utilizzati da ERP, CRM, SFA
Il GDPR riguarda quindi due aspetti: le modalità di raccolta e trattamento dei dati e la sicurezza degli apparati su cui vengono conservati. Se il secondo aspetto riguarda direttamente l’argomento della Cyber Security e necessita di una trattazione a parte, il primo è strettamente collegato al database di informazioni su cui si basano i diversi software di gestione aziendale.
- Per essere conformi al GDPR, software con l’ERP, il CRM, l’SFA devono prevedere un sistema di accessi profilato. Cosa significa? Significa che ogni utente deve avere le sue credenziali di accesso a cui corrisponde uno specifico ruolo e degli specifici permessi di visualizzare od operare con i dati presenti nel sistema. I nostri software sono già strutturati in questo modo, ma è fondamentale che all’interno dell’azienda le credenziali di ogni utente siano conservate in modo sicuro e non condivise con altri utenti. Per fare un esempio pratico: un post-it attaccato al monitor del computer non è un modo sicuro di conservare le proprie credenziali di accesso all’ERP eppure è uno dei più comuni (basti pensare alla foto che ha fatto il giro del web, dove si vede un post-it con la password attaccato al monitor del responsabile della Hawaii Emergency Management Agency). Inoltre, l’attribuzione dei ruoli (e quindi dei relativi permessi) ai vari utenti va definita a livello aziendale insieme alla figura responsabile, il DPO (Data Protection Officer), e va esplicitata nel documento chiamato Privacy Impact Assessment.
- L’altro argomento chiave che lega i software gestionali, in particolare il CRM, al GDPR è la gestione del consenso.
La nuova normativa, infatti, prevede non solo che le persone esprimano un consenso esplicito al trattamento dei dati personali, ma anche che possano decidere a quali finalità di trattamento acconsentire o meno. Ad esempio, è possibile che i dati siano utilizzati: - Semplicemente per fornire il prodotto o servizio richiesto: se un utente acquista un articolo dal vostro e-commerce i suoi dati personali sono necessari per la fatturazione, la sua email è necessaria a comunicargli l’espletamento dell’ordine, il suo indirizzo fisico (e magari il numero di telefono) sono altrettanto necessari per consegnargli la merce. In questo caso, il cliente può decidere che questi siano gli unici utilizzi possibili dei suoi dati: ciò significa che non potete utilizzare il suo indirizzo fisico, la sua email o il numero di telefono per inviargli materiale promozionale o per inserirlo in un elenco di remarketing.
- Per ricevere comunicazione commerciali e promozioni.
- Per redigere statistiche.
- Per implementare operazioni di remarketing.
Per ognuna di queste voci (da prendere sempre a titolo esemplificativo) gli utenti i cui dati vengono inseriti nel vostro CRM devono esprimere un consenso esplicito.
E per tutti quegli utenti che sono già nel CRM? Beh, vanno contattati per comunicare loro la nuova informativa sulla privacy e chiedere il consenso per le varie finalità di utilizzo dei dati. Importantissimo: non vale il principio del silenzio assenso. Se le persone non esprimono il loro consenso, voi non potete trattare i loro dati.
Per capirci: la segmentazione del database clienti per sviluppare azioni di marketing su misura si potrà fare solo dopo aver raccolto il consenso esplicito al trattamento per questa finalità.
Inoltre, gli utenti presenti nei vostri database devono avere la possibilità di cancellare i propri dati in qualsiasi momento e vanno tempestivamente avvisati se subite un attacco informatico che può aver compromesso la sicurezza dei suoi dati.
I software dovrebbero essere strutturati in modo tale che all’interno della scheda anagrafica di ogni utente siano indicati anche i consensi da lui espressi: in questo modo è possibile una segmentazione automatica del database in base ai consensi.
Il GDPR, insomma, non è la fine del mondo, ma l’avvento di un nuovo approccio alla conservazione e al trattamento delle informazioni relative ai propri interlocutori: un approccio più trasparente che tutela il diritto di ognuno di noi ad avere il controllo sui propri dati personali.
Quelle elencate in questo articolo ovviamente sono solo alcune delle implicazioni che il GDPR ha sui processi di gestione aziendale, marketing e business intelligence. Se desiderate ricevere una consulenza personalizzata per l’adeguamento del vostro sistema informatico al GDPR, contattateci e valuteremo insieme la situazione.
Emilio Ferrini
Specialista in software ERP e analisi dei processi | Co-fondatore di Uno Sistemi srl
Da oltre trent'anni mi occupo di sistemi ERP per il settore moda e nel 1983 ho fondato Uno Sistemi insieme a Gianni Petroselli. All’interno dell’azienda seguo soprattutto le fasi di analisi, progettazione e configurazione del software, ma mi occupo anche di formazione e assistenza per aiutare i nostri clienti a implementare e gestire le soluzioni informatiche più adatte alle loro esigenze.