Your CRM and GDPR

Is GDPR worth the panic?

We’ve been overwhelmed with quite a GDPR panic lately. 😵

There’s tons of talk about the possible fines. Companies sending dedicated emails and web pages with vague statements about GDPR compliance. Consultants and lawyers appearing out of nowhere.

A fellow founder recently told me: “This is going to be like the Y2K bug. Lots of craze and then nothing really happens in the end.” 😏

Probabilmente il panico è davvero un po' troppo.

Ma la differenza con il bug dell'anno 2000 è che l'attuale panico da GDPR avrà un effetto sensibilmente positivo alla fine.

The positive effect of GDPR

Fino a poco tempo fa, l'applicazione della normativa europea sulla privacy e sulla sicurezza dei dati era piuttosto vaga e non molto rigorosa. Ognuno la gestiva in modo diverso. Alcuni meglio di altri.

GDPR changes that. Despite the fact that the guidelines on practical implementation are not super concrete, the high level guidelines have been set. 🙌

È bene che le aziende abbiano questa guida. Inoltre, significa anche che i clienti e il pubblico in generale sanno cosa aspettarsi. Perché ora ogni azienda deve seguire la stessa struttura.

What GDPR means for Salesflare’s CRM

We’ve always taken data privacy and security serious while building Salesflare’s CRM platform, as data is at the core of what we do.

If you like to read more about some of the measures we take on this level, check out this article in our knowledge base. 👈

Still, the GDPR exercise we’re currently going through forces us to map exactly how we handle data, for customers and for ourselves. The benefits:

• Migliora i processi che seguiamo;
• Ci fa rivedere gli accordi con clienti e fornitori;
• E in generale rende il nostro trattamento dei dati più a prova di futuro.

In breve, professionalizza ulteriormente il modo in cui vengono gestiti i dati. E ci chiede di produrre una tonnellata di documentazione.

GDPR in 2 minutes

Il Regolamento generale europeo sulla protezione dei dati (GDPR) modifica il modo in cui vengono trattati i dati personali dei cittadini e dei residenti europei.

If you’re keeping data on European Citizens/Residents you need to comply with the regulation, regardless of where you’re based or headquartered.

I dati personali sono fondamentalmente qualsiasi dato che possa essere usato per identificare qualcuno, se usato da solo o in combinazione con altri dati. Questo rende il concetto di dati personali molto ampio.

There’s 3 parties in the relationship:

• L'interessato: la persona che è oggetto dei dati personali.
• Il titolare del trattamento: l'azienda che decide di conservare e controllare questi dati.
• Il responsabile del trattamento: l'azienda che tratta i dati per conto del responsabile del trattamento

As Salesflare, we are a data processor for our customers. Plus we are a data controller as well when marketing to prospects, providing customer service, keeping data on employees for HR reasons, …

👉 If you’re a customer of Salesflare, we will soon provide you with the necessary legal documents to make sure that you as a data controller (controlling data about your customers, the data subjects) are employing a data processor (that’s Salesflare) who complies with the regulations.

I principi

I principi enunciati nel testo del GDPR sono semplici, logici e senza tempo:

• L'elaborazione dei dati necessita di un base giuridica
• Questo scopo dell'elaborazione deve essere specificato esplicitamente
• L'elaborazione dei dati deve rimanere limitatamente a questo scopo
• I dati possono essere raccolti e conservati solo quanto e per quanto tempo è necessario
• Deve esserci apertura sul modo in cui i dati vengono elaborati.
• Le persone hanno il diritto di far trasferire, modificare o cancellare i propri dati personali.
• La qualità dei dati deve essere mantenuta
• I dati devono essere conservati in modo sicuro
• Le aziende possono essere ritenute responsabili di seguire questi principi

Pretty logical, ain’t it? 😏

GDPR meets CRM: what Salesflare is working on

As I explained above, Salesflare needs to be GDPR compliant both as a controller and as a processor of personal data. What’s relevant to you as a customer is our role as a processor (for you as a controller).

As a data processor, we’re working on:

• An updated privacy policy & terms and a data processing agreement (UPDATE: you can now request a DPA for signing here) ✔
• Keeping all your personal data in Europe (it’s already there, on Google Cloud servers in Belgium, so that part is easy) ✔
• Organizing an additional and professional security assessment to guarantee your personal data is 100% safe ✔
• An internal mapping of all processed data, in which we document compliance with the above principles, making changes where needed ✔
• Getting contracts with our subprocessors to assure they are GDPR compliant too ✔
• Appointing responsibles and building processes: this is to stay compliant, to guarantee people can have their data transfered, modified, deleted, … and to notify the official instances in case of data breaches (would be a first). ✔

It’s a whole bunch, but the work is totally worth it 👊

Su cosa si dovrebbe lavorare per essere conformi al GDPR

Salesflare being GDPR as your CRM is one important step, as it holds your customer data, but it’s definitely not the only step to take.

Riassumendo in breve:

• Nominare i responsabili, tra cui un Ufficio per la protezione dei dati (DPO)
• Educare tutti i membri del team, creare consapevolezza, politiche e linee guida
• Aggiornate i vostri documenti legali, compresa l'informativa sulla privacy.
• Creare Registri delle attività di trattamento (RPA) e mappare i vostri dati
• Assicuratevi che i vostri venditori e terze parti siano conformi al GDPR (come Salesflare e molti altri).
• Se detenete dati sensibili, fate un Valutazione d'impatto sulla protezione dei dati
• Lavorare per ottenere il consenso degli interessati e informarli.
• Create processes to handle requests of data subjects to access, modify, … to handle data breaches and to ensure continued compliance
• Registro con le autorità locali preposte alla protezione dei dati

Still sounds a tad abstract? 🙃

No worries. Checklists like GDPR Checklist or GDPR compliance apps like ECOMPLY are here to help you nail the details. Check them out! 👈

In breve

Superate il panico, il fumo e gli specchi, e i consulenti impazziti per il denaro. Concentratevi su ciò che è reale e fatevi valere.

It’ll surely take some documents, meetings and emails to get compliant, but it will make our parallel data world a much better place.

If you need help, we’re in it together. Check out the discussions on this EU GDPR Facebook group, the resources just above, … and get going. 💪

Buona fortuna!