Customer Relationship Manager, o CRM: uno strumento digitale potentissimo e imprescindibile per una moderna organizzazione aziendale. Vediamo come e perché un CRM adeguatamente aggiornato svolge la doppia funzione di proteggere il capitale intellettuale aziendale e fornire un notevole supporto nel trattamento dei dati personali che l’azienda gestisce.
Dal nostro precedente articolo emerge che ogni azienda ha bisogno, da un lato, di proteggere le informazioni che si trova a gestire e, dall’altro, di creare valore a partire da queste ultime. Per tutto questo, ma non solo, il CRM è un valido alleato: si tratta di uno strumento strategico che aiuta a gestire il patrimonio informativo aziendale e che, al contempo, tutela il diritto alla privacy. Il CRM è in grado, ad esempio, di rendere le informazioni visibili solo a chi effettivamente le utilizza, per i fini per cui queste sono state concesse dai proprietari.
Nessuno può mettere in dubbio la strategicità di uno strumento come il CRM, né che le informazioni che ci aiuta a gestire appartengano al patrimonio informativo aziendale a pieno titolo.
L’operatività del CRM è il risultato della cooperazione integrata di diverse funzioni dell’azienda (interne o esterne): tra queste, perlomeno il marketing, il customer service, le vendite, il supporto tecnico; e il valore del CRM per l’azienda è strettamente correlato all’armonia con cui interagiscono tutti gli elementi di cui esso si compone: innanzitutto i dati primari immessi, ma anche la corretta impostazione e funzionamento delle infrastrutture applicate per le diverse fasi di raccolta, analisi, aggregazione, misurazione e profilazione di dati e risultati.
E naturalmente costituisce fattore fondamentale anche la riservatezza che deve sempre accompagnare lo sviluppo e utilizzo di questo strumento in un determinato ambiente.
Se qualcuna di queste componenti non è impostata correttamente o non coopera coerentemente con le altre, i risultati finali rischiano di essere inattendibili o addirittura inutilizzabili.
Con riferimento alle informazioni “primarie” immesse, le modalità della raccolta ne condizioneranno fortemente la possibilità di utilizzo con il rischio di vanificare gli sforzi fatti per l’implementazione delle altre componenti del CRM: è inutile investire in tecnologia, anche altamente performante, se poi non si ha il controllo della filiera della raccolta.
Ma per avere il controllo è necessario prima di tutto avere individuato in modo chiaro e univoco gli obiettivi e le caratteristiche commerciali dell’azione di raccolta, e poi le attività conseguenti.
Esemplificando, è necessario:
- avere definito la finalità; ad esempio: implementazione, arricchimento, aggiornamento o validazione del Data Base, fidelizzazione di clientela già attiva, fundraising;
- avere definito il tipo di azione; ad esempio: direct marketing, telemarketing, email marketing, web marketing, social marketing, mobile marketing, ricerche di mercato, operazioni a premio;
- avere individuato il target cui rivolgere l’azione e il relativo cluster, evidenziando particolari categorie critiche (es. minori);
- avere definito gli aspetti organizzativi; ad esempio: raccolta diretta tramite propri addetti oppure tramite organizzazioni terze; raccolta presso terzi list broker; raccolta da elenchi pubblici.
Impostati gli elementi chiave del progetto, dovranno essere individuate e attuate le conseguenti azioni di prevenzione del rischio di violazione dei dati personali che saranno oggetto di trattamento; per garantirne l’efficacia e poterne dimostrare in sede difensiva la conformità al GDPR, tutte le azioni dovranno essere regolate preventivamente mediante apposite procedure che ne dettaglino i processi.
Ad esempio, dovranno essere tradotte in best practice le regole ed i criteri di:
- selezione dei fornitori, dei dati e delle liste;
- valutazione della loro conformità alle azioni progettate e al GDPR;
- individuazione, valutazione e gestione di rischi di violazione dei diritti degli interessati (particolarmente necessario in caso di profilazione);
- individuazione di ruoli e responsabilità all’interno e all’esterno dell’organizzazione titolare e contenuti e modalità di formalizzazione dei ruoli e responsabilità;
- caratteristiche e periodicità della conduzione di audit per il controllo dell’operato degli incaricati interni all’organizzazione nonché dei responsabili e dei sub-responsabili.
Dunque, raggiungere l’obiettivo fissato dal GDPR consente di introdurre nel CRM nuove informazioni corrette e legittimamente utilizzabili per le azioni commerciali progettate: le conseguenze saranno un diretto incremento del valore del CRM nonché, indirettamente, un vantaggio derivante dalla possibilità di operare secondo le strategie commerciali scelte, evitando o comunque mitigando in modo sensibile i rischi legati a contenziosi o sanzioni e, in termini di immagine, la fiducia del mercato.
Oltre a ciò, bisogna considerare che le attività preventive attuate favoriscono una codificazione esplicita – e dunque piena consapevolezza e ripetibilità da parte dell’organizzazione – delle tecniche e dei meccanismi applicati e delle competenze e dell’esperienza necessarie per operare correttamente e ottenere dal CRM i risultati desiderati: ad esempio, informazioni attendibili e pienamente utilizzabili, tra cui anche conoscenze che consentono di creare altri dati (es. le logiche di analisi e aggregazione che guidano la correlazione tra le informazioni e conducono a ottenere informazioni nuove da quelle primarie, o anche competenze ed esperienza specifica acquisite dai dipendenti dell’organizzazione), che di per sé non godrebbero della protezione attribuita dalla legge quale know-how o oggetto di proprietà industriale o intellettuale, ma che hanno comunque un ruolo rilevante per la competitività delle imprese.
Le azioni assunte per la conformità al GDPR in un’ottica di accountability favoriscono dunque la tutela del complessivo patrimonio informativo aziendale connesso al CRM.
Questa protezione passerà senz’altro da:
- accurata individuazione dei passaggi che conducono ai dati “primari” immessi (come abbiamo detto);
- rigorosa organizzazione e formalizzazione dei processi di sviluppo e di utilizzo del CRM e delle sue componenti da parte delle diverse funzioni aziendali, comprensive dell’assegnazione di compiti, poteri, deleghe e della stipula – ove opportuno – di patti di riservatezza e di non concorrenza;
- predisposizione di azioni di controllo del rispetto effettivo dei processi stabiliti.
Di contro, il fallimento nel raggiungimento dell’obiettivo indicato dal GDPR comporta una serie di conseguenze negative, tra cui spicca in particolare il divieto di trattamento dei dati illecitamente raccolti: evento che può provocare danni di estrema rilevanza all’operatività aziendale, senza considerare che l’immissione di dati inutilizzabili può inficiare anche gravemente il valore del CRM.
Di Avv. Maria Roberta Perugini; IUSINTECH