Your CRM and GDPR

Is GDPR worth the panic?

We’ve been overwhelmed with quite a GDPR panic lately. 😵

There’s tons of talk about the possible fines. Companies sending dedicated emails and web pages with vague statements about GDPR compliance. Consultants and lawyers appearing out of nowhere.

A fellow founder recently told me: “This is going to be like the Y2K bug. Lots of craze and then nothing really happens in the end.” 😏

Es probable que el pánico sea excesivo.

Pero la diferencia con el efecto 2000 es que el pánico actual al GDPR tendrá al final un efecto notablemente positivo.

The positive effect of GDPR

Hasta hace poco, la aplicación de la normativa europea sobre privacidad y seguridad de los datos era bastante vaga y poco estricta. Cada cual la manejaba de una manera. Unos mejor que otros.

GDPR changes that. Despite the fact that the guidelines on practical implementation are not super concrete, the high level guidelines have been set. 🙌

Es bueno que las empresas dispongan de esta orientación. Además, también significa que los clientes y el público en general saben qué esperar. Porque ahora todas las empresas tienen que seguir el mismo marco.

What GDPR means for Salesflare’s CRM

We’ve always taken data privacy and security serious while building Salesflare’s CRM platform, as data is at the core of what we do.

If you like to read more about some of the measures we take on this level, check out this article in our knowledge base. 👈

Still, the GDPR exercise we’re currently going through forces us to map exactly how we handle data, for customers and for ourselves. The benefits:

• Mejora los procesos que seguimos;
• Nos hace revisar los acuerdos con clientes y proveedores;
• Y, en general, hace que nuestro tratamiento de datos esté más preparado para el futuro.

En resumen, profesionaliza aún más el tratamiento de los datos. Y nos pide que produzcamos una tonelada de documentación.

GDPR in 2 minutes

El Reglamento General de Protección de Datos europeo (RGPD) cambia la forma en que se tratan los datos personales de los ciudadanos y residentes europeos.

If you’re keeping data on European Citizens/Residents you need to comply with the regulation, regardless of where you’re based or headquartered.

Los datos personales son básicamente cualquier dato que pueda utilizarse para identificar a alguien, por sí solo o en combinación con otros datos. Esto hace que el concepto de datos personales sea muy amplio.

There’s 3 parties in the relationship:

• El interesado: la persona objeto de los datos personales
• El responsable del tratamiento: la empresa que decide conservar y controlar estos datos
• El encargado del tratamiento: la empresa que trata los datos por cuenta del responsable del tratamiento

As Salesflare, we are a data processor for our customers. Plus we are a data controller as well when marketing to prospects, providing customer service, keeping data on employees for HR reasons, …

👉 If you’re a customer of Salesflare, we will soon provide you with the necessary legal documents to make sure that you as a data controller (controlling data about your customers, the data subjects) are employing a data processor (that’s Salesflare) who complies with the regulations.

Los principios

Los principios establecidos en el texto del RGPD son sencillos, lógicos y atemporales:

• El tratamiento de los datos necesita un base jurídica
• Este propósito del tratamiento debe ser especificado explícitamente
• El tratamiento de datos debe seguir siendo limitado a este fin
• Los datos sólo pueden recogerse y conservarse tanto y tanto tiempo como sea necesario
• Tiene que haber apertura sobre cómo se procesan los datos.
• Las personas tienen derecho a que sus datos personales sean transferidos, modificados o suprimidos
• Es necesario mantener la calidad de los datos.
• Los datos deben conservarse de forma segura
• Se puede exigir a las empresas responsabilidad por seguir estos principios

Pretty logical, ain’t it? 😏

GDPR meets CRM: what Salesflare is working on

As I explained above, Salesflare needs to be GDPR compliant both as a controller and as a processor of personal data. What’s relevant to you as a customer is our role as a processor (for you as a controller).

As a data processor, we’re working on:

• An updated privacy policy & terms and a data processing agreement (UPDATE: you can now request a DPA for signing here) ✔
• Keeping all your personal data in Europe (it’s already there, on Google Cloud servers in Belgium, so that part is easy) ✔
• Organizing an additional and professional security assessment to guarantee your personal data is 100% safe ✔
• An internal mapping of all processed data, in which we document compliance with the above principles, making changes where needed ✔
• Getting contracts with our subprocessors to assure they are GDPR compliant too ✔
• Appointing responsibles and building processes: this is to stay compliant, to guarantee people can have their data transfered, modified, deleted, … and to notify the official instances in case of data breaches (would be a first). ✔

It’s a whole bunch, but the work is totally worth it 👊

En qué debe trabajar para cumplir el GDPR

Salesflare being GDPR as your CRM is one important step, as it holds your customer data, but it’s definitely not the only step to take.

Resumiendo en muy breve:

• Designar responsables, incluido un Oficina de Protección de Datosr (RPD).
• Educar a todos los miembros del equipo, crear sensibilización, políticas y directrices
• Actualice sus documentos legales, incluida su política de privacidad.
• Crear Registros de Actividades de Tratamiento (RPA) y mapear sus datos.
• Asegúrate de que tus proveedores y terceros cumplen con el GDPR (como Salesflare y muchos otros).
• Si tiene datos sensibles, haga un Evaluación de impacto de la protección de datos
• Trabajar para obtener el consentimiento de los interesados e informarlos.
• Create processes to handle requests of data subjects to access, modify, … to handle data breaches and to ensure continued compliance
• Regístrese en con las autoridades locales de protección de datos

Still sounds a tad abstract? 🙃

No worries. Checklists like GDPR Checklist or GDPR compliance apps like ECOMPLY are here to help you nail the details. Check them out! 👈

En resumen

Olvídate del pánico, de los espejismos y de los asesores obsesionados con el dinero. Céntrate en lo importante y ponte a moler.

It’ll surely take some documents, meetings and emails to get compliant, but it will make our parallel data world a much better place.

If you need help, we’re in it together. Check out the discussions on this EU GDPR Facebook group, the resources just above, … and get going. 💪

Buena suerte.