Llegamos a ustedes gracias a:



Columnas de opinión

CRM y GDPR: 8 puntos que puede haber perdido

Por: David Taber, CEO de SalesLogistix

[25/05/2018] Todos hemos sido golpeados con ofertas interminables de seminarios en línea de GDPR y lanzamientos de productos, así que no voy a repetir las cosas que usted puede encontrar allí. Pero hay algunos puntos importantes que puede que no haya captado todavía, y vale la pena resumirlos aquí.

Punto #0: Hable con sus abogados. A pesar de que las regulaciones pueden parecer irrelevantes para usted y su negocio, la ignorancia de la ley no es una excusa... y definitivamente no es una bendición. Incluso si no hace negocios en Europa, es probable que su negocio se vea afectado por el GDPR, y podría incurrir en penalizaciones. ¿Por qué? Porque hay muchas maneras en las que los ciudadanos europeos pueden introducir sus datos en sus sistemas sin su conocimiento; y si lo han hecho, se supone que usted debe cumplir con el nuevo reglamento.Y las sanciones por incumplimiento pueden ser sorprendentemente altas. Dicho esto, nada de esto ha sido probado en la corte o en apelaciones regulatorias todavía, así que va a ser un territorio turbio por un tiempo. Pague a sus abogados por consejos prácticos sobre cómo minimizar el riesgo del negocio (aunque a continuación verá que no puede ser eliminado).

Relacionado con esto hay un par de renuncias fundamentales: Yo no soy abogado, y no debe tomar nada de este artículo como consejo legal.

Punto #1: Ignora los gritos de "¡no somos obedientes!" Mientras que el incumplimiento para su empresa es muy probable que sea cierto en abstracto, si usted es perfeccionista en la interpretación del GDPR, todos incumplen. No hay ningún producto que pueda hacerle cumplir, no hay ningún consultor que pueda garantizar el cumplimiento, no parece que exista un "sello de aprobación" que certifique el cumplimiento, y me sorprendería encontrar un proveedor de TI dispuesto a indemnizarle si usted no cumple. (Sin embargo, es posible que pueda obtener alguna cobertura bajo su póliza de seguro corporativa). Así que empiece con el triaje y trabaja en los riesgos "asesinos primero.

Punto #2: Los sistemas CRM, los sistemas de automatización de marketing y los sitios web son el punto de partida para los problemas de GDPR.Estos sistemas contienen mucha información sobre las personas, y están virtualmente seguros de no tener ningún dato sobre su ciudadanía.Por lo tanto, estos sistemas necesitan comenzar a mantener la información opt-in y otros metadatos necesarios para permitir el cumplimiento del GDPR, y sincronizar estos datos para que todos sus procesos actúen de forma coherente. Los formularios de registro de su sitio web deben proporcionar itinerarios especiales para los ciudadanos europeos (para asegurarse de que están expuestos a todas las exenciones de responsabilidad, notificaciones y casillas de verificación correctas), y eximir a las personas que afirman que no son ciudadanos europeos (para que no tengan que cargar con información y opciones irrelevantes). Al trabajar en estos sistemas centralizados, tenga en cuenta que hay un riesgo descentralizado que es aún mayor... llegaremos a eso.

Punto #3: Usted puede comprar productos que demuestren que está aplicando diligencia comercial con respecto al cumplimiento del GDPR. Si bien no puede comprar la conformidad, sí puede comprar la habilitación. Cualquier producto que proporcione registros y alertas sobre eventos de seguridad (como Salesforce Sentry) probablemente sea bueno. Cualquier herramienta que ayude a detectar problemas de seguridad en todos los sistemas (como Splunk) o que proporcione una protección en profundidad para las filtraciones de datos de intrusión en el sistema, está cerca de los elementos de compra obligatoria. Si usted ha adquirido estos productos o servicios, al menos está demostrando su intención de cumplir.

Punto #4: El cumplimiento se basa en gran medida en los procesos, las listas de control y las personas.Si bien es concebible que pueda cumplir con las normas sin comprar ningún producto nuevo, no es posible que cumpla con las normas sin contar con procesos, manuales de procedimientos e incentivos/objetivos explícitos para que su personal lleve a cabo el trabajo de cumplimiento. Si bien es cierto que puede (y tal vez debería) subcontratar la evaluación de la vulnerabilidad y las recomendaciones de alto nivel para el GDPR, el "trabajo duro" de averiguar todos los detalles difíciles probablemente debería hacerse internamente.

Hable con sus empleados de RR.HH. y legales: es posible que quiera hacer de la violación intencional del GDPR y del abuso de los datos personales de sus clientes/prospectos un delito que se puede despedir.

Y, sí, esto es un viaje, no un evento. Probablemente cada vez que haga una reorganización significativa de su equipo de marketing o cambie de proveedores de servicios, va a tener que renovar sus procedimientos. Probablemente tenga sentido realizar una revisión anual.¿Se pregunta por qué mis amigos me llaman "Comandante Aburrido"?

Punto #5: El mayor trabajo técnico se realizará probablemente en sistemas poco integrados. Si piensa en las implicaciones a largo plazo del GDPR, un tema crítico es el control de dónde residen los datos de sus clientes y cómo se utilizan.Si un ciudadano europeo exige conocer todos los datos personales que tiene sobre él y sobre cada una de las formas en que los utiliza... podría ser todo un reto.Y si piden que se eliminen los datos, ¿cómo puede asegurarse de que los datos no volverán a aparecer en sus sistemas a partir de algún proceso por lotes semanal? Como mínimo, necesita tener un mapa de procesos de todas las formas en que se almacenan y gestionan los datos personales, y probablemente descubrirá algunos lugares donde la sincronización debe ser más estricta y completa.Algo de esto puede ser muy doloroso.

Punto #6: Es probable que el mayor riesgo esté en el correo electrónico. Casi todos los clientes de correo electrónico tienen una función de libreta de direcciones, que se llena automáticamente a partir del tráfico de correo electrónico. Eso es información personal, y no tienes idea de cuál es su ciudadanía. Es casi seguro que no hay datos de inclusión voluntaria en las libretas de direcciones de correo electrónico de sus empleados, y usted no tiene idea de cuál es la procedencia de todas esas direcciones.La libreta de direcciones de cada usuario de correo electrónico es, por lo tanto, una bomba de tiempo potencial de riesgo. Por lo tanto, aparte de establecer nuevas políticas, firmas de correo electrónico, renuncias y programas de capacitación, necesita pensar en el aspecto técnico de las libretas de direcciones.

Desafortunadamente, la mayoría de los usuarios tratan sus libretas de direcciones como propiedad personal, y no están acostumbrados a manejarlas como un activo de datos corporativos. Un enfoque que recomiendo es forzar a los usuarios a tener dos libretas de direcciones en su sistema de correo electrónico: una solo para sus direcciones personales y otra solo para las direcciones corporativas. La libreta de direcciones de la empresa se sincroniza con el sistema CRM, y la personal se escanea periódicamente para eliminar los "duplicados" que se han introducido en la libreta de direcciones de la empresa. Sin embargo, la sincronización de cientos o miles de libretas de direcciones de clientes de correo electrónico con el sistema CRM es tanto un reto humano como técnico -le insto a no tomárselo a la ligera, ya que los errores pueden conducir a la corrupción de los datos y la revuelta de los usuarios.Esto no es lo que nadie llamaría diversión.

Punto #7: "Mamá" es la palabra. Aunque necesita hacer todo tipo de declaraciones públicas (en su sitio web, en los pies de página del correo electrónico, etc.) acerca de sus esfuerzos por cumplir con el GDPR, yo no recomendaría pronunciamientos públicos en contra de sus esfuerzos. Si es lo suficientemente sabio como para ser obediente, no sea tan tonto como para proclamarlo públicamente.¿Por qué? Porque es probable que atraiga a los tipos de sombreros negros o a los artistas que buscan maneras de hacer que usted no cumpla. Nadie quiere ser el primero en atraer la ira reguladora de la Comisión Europea.

David Taber es el autor del libro de Prentice Hall, "Salesforce.com secretos del éxito", ahora en su segunda edición, y es el CEO de SalesLogistix.

Puede ver también