Recursos/White Papers

Gestão

CRM e GDPR: 8 pontos que você deve considerar

Esta é a primeira semana de um interminável processo de conformidade com o GDPR. Seus sistemas de gerenciamento de relacionamento com o cliente (CRM) e de automação de marketing são o marco zero

David Taber, CIO/EUA

Publicada em 30 de maio de 2018 às 10h15

Todos nós fomos atingidos por ofertas de webinars e por infinitos artigos sobre GDPR. Então não vou repetir as coisas que você pode ouvido e lido por aí. Mas há alguns pontos importantes que talvez você ainda não tenha percebido, e vale a pena resumir aqui.

Ponto # 0: Fale com seus advogados. Mesmo que os regulamentos possam parecer irrelevantes para você e sua empresa, a ignorância da lei não será desculpa ... e definitivamente poderá até vir a ser um infortúnio. Mesmo que você não faça negócios com a Europa, sua empresa provavelmente será afetada pelo GDPR e poderá incorrer em penalidades. Por quê? Porque existem muitas maneiras pelas quais os cidadãos europeus podem ter seus dados registrados por seus sistemas sem o seu conhecimento. E as penalidades pelo não cumprimento podem ser surpreendentemente altas. Dito isso, é preciso ter em mente que o regulamento ainda não chegou aos tribunais. E estaremos operando em um território obscuro por algum tempo. Pague seus advogados por conselhos práticos sobre como minimizar o risco do negócio (mesmo que você veja abaixo que não pode eliminá-lo totalmente).

Relacionado a isso, há algumas considerações fundamentais a fazer: não sou advogado, e você não deve aceitar nada neste artigo como assessoria jurídica.

Ponto # 1: Ignore os gritos de "não estamos em conformidade!" Embora a não conformidade para sua empresa seja muito provável, se você for perfeccionista na interpretação de GDPR vai perceber que ninguém é 100% compatível. Além disso, não há nenhum produto que possa torná-lo compatível, não há consultor que possa garantir a conformidade, não parece haver um “selo de aprovação” que certifique a conformidade e ficaria surpreso se encontrasse um fornecedor de TI disposto a indenizar você se você não for compatível. (Você pode conseguir alguma cobertura sob sua apólice de seguro corporativo, no entanto.) Então comece com a triagem dos riscos.

Ponto # 2: sistemas de CRM, sistemas de automação de marketing e websites são o marco zero para problemas de GDPR.  Esses sistemas contêm muitas informações sobre as pessoas, e é praticamente certo que não mantenham nenhum registro sobre sua cidadania. Portanto, esses sistemas precisam começar a registrar as informações de aceitação e outros metadados necessários para permitir a conformidade com o GDPR e sincronizar esses dados para que todos os seus processos atuem de forma consistente. Os formulários de registro do seu site precisam fornecer caminhos especiais para os cidadãos europeus (para garantir que eles estejam expostos a todas as isenções, notificações e caixas de seleção), isentando as pessoas que afirmam não serem cidadãos europeus (para que não sejam sobrecarregados com requisições irrelevantes). Enquanto trabalhamos nesses sistemas centralizados, percebemos que há um risco descentralizado que é ainda maior ... chegaremos a isso.

Ponto # 3: Você pode comprar produtos que mostram que você está aplicando diligência comercial em relação à conformidade com o GDPR.  Embora não seja possível comprar conformidade, você pode comprar habilitação. Todos os produtos que fornecem log e alertas relacionados a eventos de segurança (como o Salesforce Sentry) provavelmente são bons. Todas as ferramentas que ajudam a detectar problemas de segurança em sistemas (como o Splunk) ou fornecem proteção detalhada para vazamentos de dados e invasão de sistemas estão próximas dos itens obrigatórios. Se você adquiriu esses produtos ou serviços, deve demonstrar pelo menos a intenção de obedecer.

Ponto # 4: A conformidade é em grande parte sobre processos, listas de verificação e pessoas.  Embora seja possível estar em conformidade sem precisar adquirir nenhum produto novo, não é possível estar em conformidade sem ter processos explícitos, manuais de procedimentos e incentivos/metas para que seu pessoal realmente conclua o trabalho de conformidade. Embora você certamente possa (e talvez deva) terceirizar a avaliação de vulnerabilidades e as recomendações de alto nível para o GDPR, o "trabalho pesado" de descobrir todos os detalhes mesquinhos provavelmente deve ser feito internamente. 

Lembre-se: a conformidade é uma jornada, não um evento. Provavelmente toda vez que você fizer uma reorganização significativa de sua equipe de marketing ou trocar de prestadores de serviços, precisará reformular seus procedimentos. Provavelmente fará sentido ter uma revisão em uma base anual.

Ponto # 5: O maior trabalho técnico provavelmente será em sistemas fracamente integrados.  Se você pensar nas implicações de longo prazo do GDPR, uma questão crítica será o controle de onde os dados de seus clientes residem e como são usados. Se um cidadão europeu exigir saber todos os dados pessoais que você tem sobre ele e o uso que você faz desses dados, isso pode ser um grande desafio. E se ele pedir que os dados sejam excluídos, como você pode garantir que esses dados não reaparecerão em seus sistemas a partir de algum processo semanal? No mínimo, você precisa ter um mapa de processos de todas as maneiras que os dados pessoais são armazenados e gerenciados. Não se surpreenda se descobrir alguns lugares onde a sincronização precisa ser mais completa. Algumas dessas tarefas podem ser muito dolorosas.

GDPRCRM

Ponto # 6: O maior risco provavelmente está no email.  Quase todos os clientes de email têm um catálogo de endereços, preenchido automaticamente a partir do tráfego correspondências. Isso é informação pessoal, e você não tem ideia da cidadania dos emissores. É quase certo que não haja dados de ativação nos catálogos de endereços de e-mail de seus funcionários, e você não tem ideia de qual é a proveniência de todos esses endereços. O catálogo de endereços de cada usuário de e-mail é, portanto, uma potencial bomba-relógio de risco. Portanto, além de criar novas políticas, assinaturas de e-mail, isenções de responsabilidade e programas de treinamento, você precisa pensar no lado técnico dos catálogos de endereços.

Infelizmente, a maioria dos usuários trata seus catálogos de endereços como sua propriedade pessoal e não está acostumada a manipulá-los como um ativo de dados corporativos. Uma abordagem que eu recomendo é forçar os usuários a ter dois catálogos de endereços em seu sistema de e-mail: um somente para seus endereços pessoais e outro somente para endereços corporativos. O catálogo de endereços corporativo deve ser sincronizado com o sistema de CRM, e o pessoal, revisto periodicamente para remover sobreposições com os endereços do catálogo corporativo. Lembre-se: a sincronização de centenas ou milhares de catálogos de endereços de clientes de e-mail com o sistema CRM é um desafio humano e técnico - erros podem levar à corrupção de dados e à revolta do usuário. Isso não é o que alguém chamaria de diversão. Então, todo cuidado é pouco.

Ponto # 7: Não exponha demais os seus esforços de conformidade.  Embora você precise fazer todos os tipos de declarações públicas (em seu site, em rodapés de e-mail, etc.) sobre seus esforços de estar em conformidade com o GDPR, não recomendaria pronunciamentos públicos de seus esforços. Você deve ser esperto o suficiente para ser realmente compliance, e evitar ser tolo o suficiente para tornar isso público. Por quê? Porque é provável que você atraia todos os tipos de esforços dos hackers para encontrar formas de torná-lo não conforme. E ninguém quer ser o primeiro a atrair a ira normativa da Comissão Europeia.



Reportagens mais lidas

Acesse a comunidade da CIO

LinkedIn
A partir da comunidade no LinkedIn, a CIO promove a troca de informações entre os líderes de TI. Acesse aqui