Your CRM and GDPR

Is GDPR worth the panic?

We’ve been overwhelmed with quite a GDPR panic lately. 😵

There’s tons of talk about the possible fines. Companies sending dedicated emails and web pages with vague statements about GDPR compliance. Consultants and lawyers appearing out of nowhere.

A fellow founder recently told me: “This is going to be like the Y2K bug. Lots of craze and then nothing really happens in the end.” 😏

Provavelmente, o pânico é de fato um pouco exagerado.

Mas a diferença com o bug do Y2K é que o pânico atual do GDPR terá um efeito visivelmente positivo no final.

The positive effect of GDPR

Até recentemente, a aplicação da regulamentação europeia de privacidade e segurança de dados era bastante vaga e não muito rigorosa. Cada um lidava com isso de uma maneira diferente. Alguns melhor do que outros.

GDPR changes that. Despite the fact that the guidelines on practical implementation are not super concrete, the high level guidelines have been set. 🙌

É bom que as empresas tenham essa orientação. Além disso, isso também significa que os clientes e o público em geral sabem o que esperar. Porque agora todas as empresas precisam seguir a mesma estrutura.

What GDPR means for Salesflare’s CRM

We’ve always taken data privacy and security serious while building Salesflare’s CRM platform, as data is at the core of what we do.

If you like to read more about some of the measures we take on this level, check out this article in our knowledge base. 👈

Still, the GDPR exercise we’re currently going through forces us to map exactly how we handle data, for customers and for ourselves. The benefits:

• Ele aprimora os processos que seguimos;
• Faz com que revisemos os contratos com clientes e fornecedores;
• E, de modo geral, torna nosso tratamento de dados mais preparado para o futuro.

Em resumo, ele profissionaliza ainda mais a forma como os dados são tratados. E nos pede para produzir uma tonelada de documentação.

GDPR in 2 minutes

O Regulamento Geral sobre a Proteção de Dados (GDPR) europeu altera a forma como os dados pessoais de cidadãos e residentes europeus são tratados.

If you’re keeping data on European Citizens/Residents you need to comply with the regulation, regardless of where you’re based or headquartered.

Os dados pessoais são basicamente qualquer dado que possa ser usado para identificar alguém, quando usado isoladamente ou em combinação com outros dados. Isso torna o conceito de dados pessoais muito amplo.

There’s 3 parties in the relationship:

• O titular dos dados: a pessoa que é o titular dos dados pessoais
• O controlador de dados: a empresa que decide manter e controlar esses dados
• O processador de dados: a empresa que processa os dados em nome do controlador

As Salesflare, we are a data processor for our customers. Plus we are a data controller as well when marketing to prospects, providing customer service, keeping data on employees for HR reasons, …

👉 If you’re a customer of Salesflare, we will soon provide you with the necessary legal documents to make sure that you as a data controller (controlling data about your customers, the data subjects) are employing a data processor (that’s Salesflare) who complies with the regulations.

Os princípios

Os princípios estabelecidos no texto do GDPR são simples, lógicos e atemporais:

• O processamento dos dados precisa de um base legal
• Isso finalidade do processamento precisa ser especificado explicitamente
• O processamento de dados precisa permanecer limitado a esse propósito
• Os dados só podem ser coletados e mantidos o quanto e por quanto tempo for necessário
• É necessário que haja abertura sobre como os dados são processados
• As pessoas têm o direito de ter seus dados pessoais transferidos, modificados ou excluídos
• A qualidade dos dados precisa ser mantida
• Os dados precisam ser mantidos de forma segura
• As empresas podem ser responsabilizadas por seguir estes princípios

Pretty logical, ain’t it? 😏

GDPR meets CRM: what Salesflare is working on

As I explained above, Salesflare needs to be GDPR compliant both as a controller and as a processor of personal data. What’s relevant to you as a customer is our role as a processor (for you as a controller).

As a data processor, we’re working on:

• An updated privacy policy & terms and a data processing agreement (UPDATE: you can now request a DPA for signing here) ✔
• Keeping all your personal data in Europe (it’s already there, on Google Cloud servers in Belgium, so that part is easy) ✔
• Organizing an additional and professional security assessment to guarantee your personal data is 100% safe ✔
• An internal mapping of all processed data, in which we document compliance with the above principles, making changes where needed ✔
• Getting contracts with our subprocessors to assure they are GDPR compliant too ✔
• Appointing responsibles and building processes: this is to stay compliant, to guarantee people can have their data transfered, modified, deleted, … and to notify the official instances in case of data breaches (would be a first). ✔

It’s a whole bunch, but the work is totally worth it 👊

O que você deve fazer para estar em conformidade com o GDPR

Salesflare being GDPR as your CRM is one important step, as it holds your customer data, but it’s definitely not the only step to take.

Resumindo em poucas palavras:

• Nomear responsáveis, incluindo um Escritório de Proteção de Dados (DPO)
• Instrua todos os membros da equipe, crie conscientização, políticas e diretrizes
• Atualize seus documentos legais, incluindo sua política de privacidade
• Crie Registros de atividades de processamento (RPA) e mapeie seus dados
• Certifique-se de que seus fornecedores e terceiros estejam em conformidade com o GDPR (como Salesflare e muitos outros)
• Se você tiver dados confidenciais, faça uma Avaliação do impacto da proteção de dados
• Trabalhar em coisas como obter o consentimento dos titulares dos dados e informá-los
• Create processes to handle requests of data subjects to access, modify, … to handle data breaches and to ensure continued compliance
• Registro com suas autoridades locais de proteção de dados

Still sounds a tad abstract? 🙃

No worries. Checklists like GDPR Checklist or GDPR compliance apps like ECOMPLY are here to help you nail the details. Check them out! 👈

Em resumo

Não se preocupe com o pânico, a fumaça e os espelhos e os consultores loucos por dinheiro. Concentre-se no que é real e comece a trabalhar.

It’ll surely take some documents, meetings and emails to get compliant, but it will make our parallel data world a much better place.

If you need help, we’re in it together. Check out the discussions on this EU GDPR Facebook group, the resources just above, … and get going. 💪

Boa sorte!