La CGUE ha invalidato il Privacy Shield il 16 luglio 2020. Da allora non esiste più alcun accordo che regoli il trasferimento dei dati delle aziende e dei cittadini europei verso gli Stati Uniti. Ogni trasferimento è ora potenzialmente illegale. Un colpo di tuono per le piattaforme americane che di fatto detengono un oligopolio sull’internet europeo. Un problema serio anche per le soluzioni CRM statunitensi (Customer Relationship Management, o Gestione della Relazione con il Cliente), che non possono più garantire legalmente l’integrità dei dati dei propri clienti, in qualunque luogo vengano archiviati ed elaborati in SaaS.
Se le autorità americane e quelle europee stanno lavorando a negoziare un regime successore per i trasferimenti transcontinentali, nel frattempo questo incide notevolmente sulla fiducia tra partner B2B, in particolare per i dati aziendali conservati nei CRM della cui società sia immatricolata negli Stati Uniti d’America. L’evoluzione dei contratti dei grandi clienti che mirano esplicitamente agli US persons e alle diverse leggi di extraterritorialità, come il Patriot Act, è indicativa di una presa in considerazione giuridica del rischio.
Perché il Privacy Shield è stato invalidato
L’obiettivo iniziale del Privacy Shield è definire un quadro legale per il trasferimento di dati personali tra l’Europa e gli Stati Uniti. Ma, a seguito alle rivelazioni del PRISM (programma statunitense di sorveglianza elettronica), Maximillian Schrems ha presentato un reclamo, che ha portato all’invalidazione del Privacy Shield da parte della CGUE, sulla base dell’iniquità di trattamento tra un cittadino statunitense ed europeo in caso di mancato rispetto del regolamento. Inoltre emerge che diverse leggi statunitensi, come la sezione 702 del FISA, il programma Upstream o ancora l’Executive Order 1233, autorizzano l’elaborazione dei dati in massa e in modo non mirato, il che contravviene al principio di proporzionalità indicato nel RGPD.
Questa cancellazione ha un effetto immediato. La conseguenza è che le aziende europee che utilizzano questo meccanismo come base per l’archiviazione e l’elaborazione dei dati personali verso un’azienda immatricolata negli USA, ad esempio un editore statunitense di software in SaaS, devono trovare un’alternativa.
Quali conseguenze per i SaaS di Gestione della Relazione con il Cliente (GRC)?
Il CRM (Customer Relationship Management), in francese GRC o Gestione della Relazione con il Cliente, è ora al centro dell’esperienza del cliente. La centralizzazione dei dati dei clienti si gioca ora nei CRM, dall’acquisizione fino alla fidelizzazione, passando per la fatturazione e il supporto di servizi e materiali. Il CRM soppianta ora gli ERP (Enterprise Resource Planning) e diventa il fulcro del capitale data dell’azienda.
Infatti, il software CRM raccoglie tutte le informazioni dei diversi processi aziendali per fornire una visione 360° di ogni cliente in tempo reale. La GRC va oltre la parte software per includere la tecnologia, le persone e i processi che alimentano, ottimizzano e analizzano la qualità e la natura delle relazioni intrattenute con la base di dati del cliente.
Questi dati sono dunque un’attività strategica e confidenziale dell’azienda. Concedervi l’accesso ai propri concorrenti significa permettere di leggere a libro aperto sia chi sono i suoi clienti, quali sono le sue condizioni e pratiche commerciali, ma anche il valore aggiunto messo in evidenza per concludere affari e fidelizzare.
Il famoso esempio di Alstom Power (il produttore di serbatoi per centrali nucleari e sottomarini) che è stato perseguito dagli USA per corruzione su diversi dossier commerciali è stato facilitato da un accesso diretto ai dati commerciali del gruppo. Le conseguenze sono state l’arresto sul suolo americano di cittadini francesi, come l’ex presidente del settore caldaie Frédéric Piérucci, una perdita di sovranità della Francia a causa della vendita forzata a General Electric e una perdita diretta di posti di lavoro e know-how.
I documenti rivelati da Edward Snowden nel 2015 tramite WikiLeaks hanno mostrato che lo spionaggio economico delle aziende francesi da parte delle agenzie di intelligence statunitensi è una cosa comune. La giustizia statunitense conta addirittura sulla NSA per raccogliere informazioni sui contratti che la interessano. “L’extraterritorialità della giustizia statunitense ha permesso di sottrarre più di 13 miliardi di dollari alle aziende francesi grazie alle multe inflitte dalla giustizia statunitense”.
Quali sono le soluzioni CRM interessate ?
Le soluzioni CRM direttamente colpite dall’invalidazione dell’accordo sul Privacy Shield sono i software SaaS di proprietà di società di diritto statunitense. Non importa se i dati vengano archiviati ed elaborati o meno da server con sede in Europa o in Francia. Il Cloud Act, approvato dagli USA in risposta al RGPD europeo due mesi prima della sua entrata in vigore, obbliga i suoi cittadini a fornire agli enti degli Stati Uniti l’accesso ai dati archiviati sui loro server al di fuori del territorio statunitense.
È un’estensione delle leggi di extraterritorialità già in vigore, una versione rafforzata del Patriot Act (legge antiterrorismo simile ad un’autorizzazione a spiare le imprese straniere). Queste due leggi si applicano alle aziende francesi non appena affidano i propri dati a un fornitore di servizi di origine statunitense.
Con l’adozione del Cloud Act, gli operatori e i fornitori di servizi digitali statunitensi saranno obbligati a divulgare i dati delle aziende quando le autorità statunitensi (polizia, giustizia e amministrazione) glielo chiederanno. Questa divulgazione avviene senza passare dai tribunali e senza informare nemmeno gli utenti interessati. In altre parole: scegliendo di lavorare con un software CRM statunitense, scegli implicitamente di mettere i dati del tuo CRM a disposizione delle forze statunitensi e, di conseguenza, violi gli obblighi del RGPD.
Le società e i principali software SaaS CRM presenti sul mercato interessati sono (elenco non esaustivo):
- Salesforce CRM e Marketing Cloud / Pardot
- Oracle CRM e Siebel
- Microsoft Dynamics 365
- Adobe Marketing Cloud e Marketo
- Hubspot Sales e Hubspot Marketing
- Active Campaign
- Mailchimp
- Zendesk Sell
- Freshwork CRM (Freshsales)
- Nimble
- PipelineDeals
- Nutshell CRM
Cosa fare se utilizzate un software CRM SaaS statunitense ?
Cambiare le proprie abitudini
Potete scegliere di rinunciare a utilizzare un servizio che trasferisce i vostri dati al di fuori dell’Unione Europea.
Potete quindi optare per un’azienda europea che garantisce di non effettuare alcun trasferimento di dati. Diversi siti raccolgono questi software, in particolare il database Solainn per le soluzioni software francesi, e MartechTribe ha raggruppato per Paese europei le principali soluzioni di Marketing, inclusi i software di CRM e di Marketing Automation.
Ecco un elenco di software CRM europei (non esaustivo anche):
- Pipedrive
- Efficy
- Everwin
- Dimo Yellowbox
- Webmecanik Pipeline
- Sellsy
- Sendinblue
- NoCRM
- SimpleCRM
- Sage
- SAP Sales Cloud
Aggiungere clausole
Potete far aggiungere clausole tipo di protezione dei dati adottate dalla Commissione Europea (Standard Contractual Clauses o SCC). Un’azienda europea che invia dati agli Stati Uniti, direttamente o indirettamente ad esempio tramite un software CRM, deve valutare che l’azienda che li riceve abbia messo in atto tutte le azioni necessarie a livello tecnico, giuridico e finanziario, al fine di fornire le garanzie appropriate.
Valutare ogni contratto
Ciascuna azienda europea deve quindi verificare nel proprio registro dei trattamenti se esistono trasferimenti di dati personali verso gli Stati Uniti e se questi erano coperti esclusivamente tramite il Privacy Shield. Se desiderate continuare a utilizzare i servizi di questa società statunitense, dovrete valutare ciascuno dei contratti stipulati con gli editori software, per convalidare caso per caso con la società interessata le clausole appropriate.
A questo punto sarà necessario fare riferimento a all’articolo 46 del RGPD. Questa parte del regolamento indica che il trasferimento può avvenire se vengono fornite garanzie appropriate. Una garanzia appropriata è quando si può valutare concretamente la sicurezza dei dati, l’accesso ad essi da parte di chiunque – comprese le autorità governative – e la capacità delle persone europee di far valere i propri diritti. In ogni caso, fate valutare dal vostro servizio legale o da un avvocato specializzato le condizioni generali di vendita e il rispetto della privacy del vostro fornitore di soluzioni software.
Fonte https://www.salesforce.com/company/privacy/full_privacy/
Conclusione
Il modo più semplice è comunque iniziare a scegliere per i nuovi software di soluzioni – CRM o altri – la cui persona giuridica appartenga alla comunità europea. Le opzioni sono molteplici, di qualità paragonabile, spesso meno costose e con un supporto locale di qualità.
Per i software più datati, è l’opportunità di modernizzarli con una nuova soluzione più aggiornata – i CRM arrivano alla loro quarta generazione con l’IA e la loro integrazione nativa con il Marketing Automation. Se li mantenete, procedete alla valutazione dei rischi alla luce delle CGV e delle Privacy Policy e fatevi aggiungere le clausole SCC della CEE, oltre all’articolo 46 del RGPD.
