Blog
CRM & Privacy Shield
6 min lettura

CRM & Privacy Shield

La CGUE ha invalidato il Privacy Shield il 16 luglio 2020. Da allora non esiste più alcun accordo che regoli il trasferimento dei dati delle aziende e dei cittadini europei verso gli Stati Uniti. Ogni trasferimento è ora potenzialmente illegale. Un colpo di tuono per le piattaforme americane che di fatto detengono un oligopolio sull’internet europeo. Un problema serio anche per le soluzioni CRM statunitensi (Customer Relationship Management, o Gestione della Relazione con il Cliente), che non possono più garantire legalmente l’integrità dei dati dei propri clienti, in qualunque luogo vengano archiviati ed elaborati in SaaS. 

Se le autorità americane e quelle europee stanno lavorando a negoziare un regime successore per i trasferimenti transcontinentali, nel frattempo questo incide notevolmente sulla fiducia tra partner B2B, in particolare per i dati aziendali conservati nei CRM della cui società sia immatricolata negli Stati Uniti d’America. L’evoluzione dei contratti dei grandi clienti che mirano esplicitamente agli US persons e alle diverse leggi di extraterritorialità, come il Patriot Act, è indicativa di una presa in considerazione giuridica del rischio. 

Perché il Privacy Shield è stato invalidato

L’obiettivo iniziale del Privacy Shield è definire un quadro legale per il trasferimento di dati personali tra l’Europa e gli Stati Uniti. Ma, a seguito alle rivelazioni del PRISM (programma statunitense di sorveglianza elettronica), Maximillian Schrems ha presentato un reclamo, che ha portato all’invalidazione del Privacy Shield da parte della CGUE, sulla base dell’iniquità di trattamento tra un cittadino statunitense ed europeo in caso di mancato rispetto del regolamento. Inoltre emerge che  diverse leggi statunitensi, come la sezione 702 del FISA, il programma Upstream o ancora l’Executive Order 1233, autorizzano l’elaborazione dei dati in massa e in modo non mirato, il che contravviene al principio di proporzionalità indicato nel RGPD.

Questa cancellazione ha un effetto immediato. La conseguenza è che le aziende europee che utilizzano questo meccanismo come base per l’archiviazione e l’elaborazione dei dati personali verso un’azienda immatricolata negli USA, ad esempio un editore statunitense di software in SaaS, devono trovare un’alternativa.

Quali conseguenze per i SaaS di Gestione della Relazione con il Cliente (GRC)? 

Il CRM (Customer Relationship Management), in francese GRC o Gestione della Relazione con il Cliente, è ora al centro dell’esperienza del cliente. La centralizzazione dei dati dei clienti si gioca ora nei CRM, dall’acquisizione fino alla fidelizzazione, passando per la fatturazione e il supporto di servizi e materiali. Il CRM soppianta ora gli ERP (Enterprise Resource Planning) e diventa il fulcro del capitale data dell’azienda. 

Infatti, il software CRM raccoglie tutte le informazioni dei diversi processi aziendali per fornire una visione 360° di ogni cliente in tempo reale. La GRC va oltre la parte software per includere la tecnologia, le persone e i processi che alimentano, ottimizzano e analizzano la qualità e la natura delle relazioni intrattenute con la base di dati del cliente.

Questi dati sono dunque un’attività strategica e confidenziale dell’azienda. Concedervi l’accesso ai propri concorrenti significa permettere di leggere a libro aperto sia chi sono i suoi clienti, quali sono le sue condizioni e pratiche commerciali, ma anche il valore aggiunto messo in evidenza per concludere affari e fidelizzare. 

Il famoso esempio di Alstom Power (il produttore di serbatoi per centrali nucleari e sottomarini) che è stato perseguito dagli USA per corruzione su diversi dossier commerciali è stato facilitato da un accesso diretto ai dati commerciali del gruppo. Le conseguenze sono state  l’arresto sul suolo americano di cittadini francesi, come l’ex presidente del settore caldaie Frédéric Piérucci, una perdita di sovranità della Francia a causa della vendita forzata a General Electric e una perdita diretta di posti di lavoro e know-how. 

I documenti rivelati da Edward Snowden nel 2015 tramite WikiLeaks hanno mostrato che lo spionaggio economico delle aziende francesi da parte delle agenzie di intelligence statunitensi è una cosa comune. La giustizia statunitense conta addirittura sulla NSA per raccogliere informazioni sui contratti che la interessano. “L’extraterritorialità della giustizia statunitense ha permesso di sottrarre più di 13 miliardi di dollari alle aziende francesi grazie alle multe inflitte dalla giustizia statunitense”. 

Quali sono le soluzioni CRM interessate ? 

Le soluzioni CRM direttamente colpite dall’invalidazione dell’accordo sul Privacy Shield sono i software SaaS di proprietà di società di diritto statunitense. Non importa se i dati vengano archiviati ed elaborati o meno da server con sede in Europa o in Francia. Il Cloud Act, approvato dagli USA in risposta al RGPD europeo due mesi prima della sua entrata in vigore, obbliga i suoi cittadini a fornire agli enti degli Stati Uniti l’accesso ai dati archiviati sui loro server al di fuori del territorio statunitense.

È un’estensione delle leggi di extraterritorialità già in vigore, una versione rafforzata del Patriot Act (legge antiterrorismo simile ad un’autorizzazione a spiare le imprese straniere). Queste due leggi si applicano alle aziende francesi non appena affidano i propri dati a un fornitore di servizi di origine statunitense. 

Con l’adozione del Cloud Act, gli operatori e i fornitori di servizi digitali statunitensi saranno obbligati a divulgare i dati delle aziende quando le autorità statunitensi (polizia, giustizia e amministrazione) glielo chiederanno. Questa divulgazione avviene senza passare dai tribunali e senza informare nemmeno gli utenti interessati. In altre parole: scegliendo di lavorare con un software CRM statunitense, scegli implicitamente di mettere i dati del tuo CRM a disposizione delle forze statunitensi e, di conseguenza, violi gli obblighi del RGPD.

Le società e i principali software SaaS CRM presenti sul mercato interessati sono (elenco non esaustivo): 

  • Salesforce CRM e Marketing Cloud / Pardot 
  • Oracle CRM e Siebel 
  • Microsoft Dynamics 365
  • Adobe Marketing Cloud e Marketo 
  • Hubspot Sales e Hubspot Marketing
  • Active Campaign
  • Mailchimp
  • Zendesk Sell
  • Freshwork CRM (Freshsales)
  • Nimble
  • PipelineDeals
  • Nutshell CRM

Cosa fare se utilizzate un software CRM SaaS statunitense ? 

Cambiare le proprie abitudini

Potete scegliere di rinunciare a utilizzare un servizio che trasferisce i vostri dati al di fuori dell’Unione Europea. 

Potete quindi optare per un’azienda europea che garantisce di non effettuare alcun trasferimento di dati. Diversi siti raccolgono questi software, in particolare il database Solainn per le soluzioni software francesi, e MartechTribe ha raggruppato per Paese europei le principali soluzioni di Marketing, inclusi i software di CRM e di Marketing Automation.  

Ecco un elenco di software CRM europei (non esaustivo anche): 

  • Pipedrive 
  • Efficy 
  • Everwin
  • Dimo Yellowbox
  • Webmecanik Pipeline
  • Sellsy
  • Sendinblue 
  • NoCRM 
  • SimpleCRM
  • Sage
  • SAP Sales Cloud

Aggiungere clausole

Potete far aggiungere clausole tipo di protezione dei dati adottate dalla Commissione Europea (Standard Contractual Clauses o SCC). Un’azienda europea che invia dati agli Stati Uniti, direttamente o indirettamente ad esempio tramite un software CRM,  deve valutare che l’azienda che li riceve abbia messo in atto tutte le azioni necessarie a livello tecnico, giuridico e finanziario, al fine di fornire le garanzie appropriate.

Valutare ogni contratto

Ciascuna azienda europea deve quindi verificare nel proprio registro dei trattamenti se esistono trasferimenti di dati personali verso gli Stati Uniti e se questi erano coperti esclusivamente tramite il Privacy Shield. Se desiderate continuare a utilizzare i servizi di questa società statunitense, dovrete valutare ciascuno dei contratti stipulati con gli editori software, per convalidare caso per caso con la società interessata le clausole appropriate. 

A questo punto sarà necessario fare riferimento a all’articolo 46 del RGPD. Questa parte del regolamento indica che il trasferimento può avvenire se vengono fornite garanzie appropriate. Una garanzia appropriata è quando si può valutare concretamente la sicurezza dei dati, l’accesso ad essi da parte di chiunque – comprese le autorità governative – e la capacità delle persone europee di far valere i propri diritti. In ogni caso, fate valutare dal vostro servizio legale o da un avvocato specializzato le condizioni generali di vendita e il rispetto della privacy del vostro fornitore di soluzioni software. 

Fonte https://www.salesforce.com/company/privacy/full_privacy/

Conclusione

Il modo più semplice è comunque iniziare a scegliere per i nuovi software di soluzioni – CRM o altri – la cui persona giuridica appartenga alla comunità europea. Le opzioni sono molteplici, di qualità paragonabile, spesso meno costose e con un supporto locale di qualità. 

Per i software più datati, è l’opportunità di modernizzarli con una nuova soluzione più aggiornata – i CRM arrivano alla loro quarta generazione con l’IA e la loro integrazione nativa con il Marketing Automation. Se li mantenete, procedete alla valutazione dei rischi alla luce delle CGV e delle Privacy Policy e fatevi aggiungere le clausole SCC della CEE, oltre all’articolo 46 del RGPD. 

Continua a esplorare gli articoli

CRM e marketing automation: come (finalmente) allineare i team Sales e Marketing?

L’opportunità che nessuno chiedeva Nel 2025 la crisi di fiducia continua a persistere nelle nostre economie. Questa crisi rende l’acquisizione di nuovi clienti lunga, complessa e incerta. Come per ogni ciclo di crisi di un sistema basato sulla crescita continua delle vendite di beni e servizi. In troppe aziende francesi lo schema si ripete: il […]

Come trarre il massimo vantaggio da un tour commerciale?

Introduzione  Le telefonate, le email, le videoconferenze… funziona. Ma a volte non c’è niente di meglio di una stretta di mano, uno sguardo, uno scambio davvero reale. I numeri parlano da soli: gli appuntamenti in presenza consentono di aumentare il tasso di conversione del 25 % rispetto alle interazioni virtuali, secondo uno studio di RAIN […]

Come calcolare e ottimizzare il proprio margine commerciale?

In qualità di commerciale, il tuo obiettivo non è solo vendere, ma vendere in modo redditizio. Gestionando bene il margine, puoi aumentare i profitti riducendo al tempo stesso gli sforzi commerciali. Una gestione ottimizzata del margine commerciale si basa su un’analisi accurata e una strategia adatta alla tua attività. Che cos’è il margine commerciale? Come […]

Come definire obiettivi commerciali raggiungibili

Gli obiettivi commerciali svolgono un ruolo nel successo delle aziende. Servono come riferimento, per guidare azioni e decisioni verso risultati concreti. Senza questi obiettivi commerciali, diventa difficile valutare le vostre performance o indirizzare i vostri sforzi strategici. Vi spiego perché definire obiettivi commerciali chiari sia essenziale per raggiungere i vostri risultati. Vedremo anche come fissare […]

Vendita complessa: come massimizzare le vostre conversioni

Nell’ambito di un ciclo di vendita complesso, è essenziale per un commerciale comprendere le dinamiche interne di un’organizzazione e individuare le persone che influenzano le decisioni per massimizzare la conversione delle vostre opportunità. Identificare questi decisori chiave e seguire la loro influenza vi permetterà di adattare le vostre azioni commerciali a ogni potenziale cliente e […]

L’automazione dei processi commerciali per una maggiore efficacia

In un mondo in cui la concorrenza è più agguerrita che mai, la velocità e l’efficacia dei team commerciali sono diventate qualità indispensabili. Per restare al passo e superare i vostri concorrenti, non c’è niente di meglio di un valido alleato: l’automazione dei processi commerciali. Perché automatizzare i propri processi commerciali? Le funzionalità di Webmecanik […]