En este artículo se proporciona una descripción general de las iniciativas iniciales y en curso de Brevo para garantizar nuestro propio cumplimiento del RGPD como su procesador de datos, así como nuestros esfuerzos para respaldar el cumplimiento de nuestros usuarios como controladores de datos.
Para obtener más información sobre qué es el RGPD y por qué puede ser importante para usted, consulte nuestra página dedicada Cumplir con el RGPD con Brevo.
Estas iniciativas se centran en cinco áreas clave que se describen detalladamente a continuación:
- Funcionalidades clave
- Seguridad
- Gestión de socios y procesadores
- Documentación legal
- Organización
Adaptación de las funcionalidades clave
Brevo identificó los principales hitos del RGPD que se deben cumplir colaborando con una muestra de nuestros usuarios, administradores de cuentas, el equipo de producto, el equipo técnico y nuestro asesor legal.
Deber de proporcionar información en el contexto de la responsabilidad
Hay varios recursos informativos disponibles en nuestro sitio web y blog sobre los derechos de los profesionales del marketing por email según el RGPD y las prácticas recomendadas que se pueden implementar para cumplir con la ley.
Estos recursos están disponibles en la plataforma para ayudar a los usuarios a cumplir con los pasos clave de uso de la misma:
- Importar contactos
- Crear formularios de suscripción por email para obtener el consentimiento de los contactos
- Crear campañas de email para enviar a los suscriptores
Se ha añadido una sección específica del RGPD al centro de ayuda y, además, continuamos organizando seminarios web informativos periódicos sobre el tema.
El derecho a la rectificación, a la portabilidad y al olvido
Los derechos de rectificación, portabilidad y al olvido están bien establecidos desde hace varios años. Por tanto, no tenemos ningún cambio operativo relacionado con estos derechos. Sin embargo, como se indicó anteriormente, hemos proporcionado más detalles sobre las modalidades de ejercicio de estos derechos.
Formularios de suscripción por email
Se prestó especial atención a los formularios de suscripción por email durante el proceso de cumplimiento, ya que es una parte integral del cumplimiento para nuestros usuarios.
Ahora es posible gestionar las preferencias de los suscriptores de email agregándolos a listas específicas según sus elecciones en el momento de registrarse. También permitimos a los usuarios agregar una nota estandarizada en la parte inferior de los formularios de suscripción que brinda a los suscriptores acceso a la política de privacidad de la marca.
Prueba de consentimiento
Una vez recopilada la información de contacto, la prueba de consentimiento estará disponible en el perfil de este contacto.
Cada perfil de contacto incluirá el momento exacto de la suscripción y el ID del formulario utilizado para suscribirse. Esta información se podrá exportar para permitir a los usuarios de Brevo proporcionar una prueba sencilla de consentimiento si es necesario.
Notificación de violaciones de datos personales
En caso de una violación accidental o ilegal de la seguridad que resulte en la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado a los datos personales procesados por Brevo, Brevo se compromete a notificar inmediatamente al Usuario dentro de las 72 horas siguientes a la detección de la incidente.
En tales circunstancias, y previa consulta con el Usuario, Brevo se compromete a implementar las medidas de protección de datos necesarias y a limitar cualquier efecto negativo para los interesados.
Brevo se compromete a proporcionar al Usuario toda la información y asistencia razonables para que pueda cumplir con sus obligaciones de notificación a las autoridades de protección de datos y, en su caso, a los interesados.
Revisión de seguridad avanzada
Sabemos que la seguridad de los datos es un tema delicado para muchos, por eso siempre ha sido una de nuestras principales prioridades. El RGPD nos ha permitido llevar esta prioridad aún más lejos: garantizar transferencias y almacenamiento de datos herméticos, así como mejorar la monitorización y el control de datos para un acceso más fácil y seguro para nuestros usuarios.
Para evitar filtraciones de datos, es necesario tener un control estricto sobre el procesamiento de datos que se lleva a cabo en nuestra plataforma.
A través del seguimiento de datos y la identificación de registros, hemos implementado un sistema de trazabilidad de datos en todos los procedimientos de procesamiento de datos en nuestra plataforma.
Además, buscamos maximizar la seguridad de los datos archivados de nuestros usuarios. Estos datos ahora se almacenan en bases de datos separadas y los datos personales se han cifrado.
Estos archivos se almacenan únicamente para fines legales. Una vez completado el período de retención, los datos se eliminan de la base de datos.
Gestión de nuestros socios y procesadores
Uno de los principios fundamentales introducidos por el RGPD es la responsabilidad compartida. Básicamente, esto significa que todas las partes interesadas, ya sea el controlador (la parte que determina los objetivos y medios del procesamiento de datos), o uno de los procesadores situados más abajo en la cadena, tienen una parte de responsabilidad legal ya que el procesamiento se realiza con información personal.
Al desempeñar el doble papel de controlador y procesador, Brevo debe abordar el principio de responsabilidad desde ambas partes.
Como procesador, hemos establecido medios para garantizar el cumplimiento del RGPD en toda nuestra cadena de procesamiento de datos con todos nuestros proveedores de software asociados.
Como responsables, también debemos garantizar el cumplimiento de la nueva normativa por parte de nuestros propios procesadores. En consecuencia, nos comunicamos con los procesadores con preguntas específicas sobre sus métodos de procesamiento de datos. Esto nos ha permitido garantizar que sus procedimientos relacionados con el procesamiento de nuestros datos estén en línea con el RGPD y con los compromisos que tenemos con nuestros clientes.
Dejamos de colaborar con los procesadores que no pudieron brindar respuestas satisfactorias a nuestras preguntas.
Una vez que pudimos recibir respuestas satisfactorias de nuestros otros procesadores, contractualizamos nuestros requisitos con DPA (Acuerdos de procesamiento de datos).
El DPA es un documento que especifica el tipo y los métodos de procesamiento de datos que lleva a cabo el procesador en nombre de Brevo, lo que permite garantizar un marco legal y la trazabilidad de los datos.
Para nuestros procesadores ubicados en Estados Unidos, también hemos verificado su certificación Privacy Shield, como condición necesaria para procesar los datos de ciudadanos europeos.
Documentación legal
A la luz de los nuevos requisitos impuestos por el RGPD, hemos actualizado nuestra documentación legal de forma natural. En concreto, hemos realizado cambios en nuestros Términos y condiciones generales y en nuestra política de privacidad, los cuales están disponibles en nuestro sitio web.
Se ha elaborado y adjuntado una cláusula de procesador a nuestros Términos y condiciones para detallar el papel y las responsabilidades de Brevo frente a nuestros usuarios como proveedor de servicios externo.
Implicaciones internas del RGPD en la organización de Brevo
El RGPD también nos obligó a optimizar nuestra organización interna y a proponer prácticas recomendadas y procedimientos que respalden los principios fundamentales establecidos por la regulación.
Concienciación de los empleados
Ciertas personas en Brevo tienen funciones que requieren acceso privilegiado a datos personales.
Por ejemplo, es posible que los administradores de cuentas necesiten acceder a ciertos elementos de una cuenta de usuario para responder una pregunta de asistencia.
Hemos comenzado ampliando la cláusula de confidencialidad en los contratos de los asalariados y facilitando sesiones de formación.
La formación incluye un curso de descripción general sobre los requisitos del RGPD, así como cursos de capacitación especializados diseñados para complementar la formación inicial para equipos específicos que manejan datos confidenciales de manera regular.
Esto proporciona a todo el personal una comprensión clara de sus obligaciones con respecto al nuevo reglamento.
Procedimientos y controles internos
Para garantizar una aplicación fluida de nuestras medidas de cumplimiento, revisamos todos nuestros procedimientos internos relacionados con la gestión del acceso de los empleados a los datos personales, el manejo de solicitudes de personas que buscan ejercer sus derechos con respecto a sus datos personales y los procesos que involucran la conservación y depuración de datos.
Se ha establecido un plan de control para verificar periódicamente la correcta aplicación de estos procedimientos y la actualización de la documentación correspondiente.
El nombramiento de personas encargadas de mantener el cumplimiento adecuado
La implementación de nuestras medidas de cumplimiento fue gestionada por nuestro Director de operaciones. Paralelamente, nuestro DPO (Delegado de protección de datos) es responsable de garantizar el cumplimiento continuo del RGPD por parte de Brevo a lo largo del tiempo.
También es responsabilidad del DPO controlar la aplicación de los diferentes aspectos de la regulación y garantizar que respetamos los principios fundamentales del RGPD, en particular el principio de “Privacidad desde el diseño”, que se refiere al cumplimiento de un procedimiento de procesamiento de datos antes de que esté implementado.
Nuestro DPO estará asistido por un SecOps (procedimientos operativos de seguridad) para aspectos específicamente relacionados con la seguridad y trazabilidad de los datos. Si necesita ponerse en contacto con nuestro DPO, puede contactarlo directamente por email a dpo@brevo.com.
Estado actual y próximos pasos
El cumplimiento del RGPD, en sí mismo, nunca termina realmente. Es un proceso continuo que requiere monitorización y confirmación periódica de que los principios de la ley se están respetando internamente en nuestro procesamiento de datos actual, así como una evaluación continua utilizando el criterio de Privacidad desde el diseño para cada nuevo procedimiento que involucra el procesamiento de datos personales.
En Brevo estamos orgullosos de haber cumplido la primera parte del reto. Continuaremos trabajando para al cumplimiento con el fin de seguir siendo un proveedor de software externo fiable para nuestros usuarios.
Llevar a cabo esta enorme operación de cumplimiento le ha brindado a Brevo varios beneficios, entre ellos:
- Reunir a toda nuestra organización en torno a un objetivo común y colaborar entre diferentes equipos para lograrlo.
- Implementar procedimientos aún más rigurosos en torno a nuestra gestión y procesamiento de datos para continuar mejorando nuestra seguridad.
- Lograr rápidamente el cumplimiento con la ayuda de socios externos.
- Realizar una evaluación innovadora de la seguridad de nuestra red e implementar las medidas correctivas necesarias.
- Reforzar el vínculo entre Brevo y nuestros usuarios proporcionando las herramientas necesarias para el cumplimiento del RGPD en nuestra plataforma.
Brevo es una organización compuesta por más de 400 personas y todos estamos comprometidos a garantizar la seguridad y confidencialidad de los datos personales que se nos confían. Nos tomamos en serio esta responsabilidad como parte de nuestra misión principal de proporcionar una plataforma de marketing digital integral a fin de que las pequeñas y medianas empresas crezcan y tengan éxito.
🤔 ¿Tiene alguna duda?
Si tiene alguna pregunta, no dude en ponerse en contacto con nuestro equipo de asistencia mediante la creación de un ticket desde su cuenta. Si todavía no tiene una cuenta, puede ponerse en contacto con nosotros aquí.
Si necesitas ayuda con un proyecto usando Brevo, podemos ponerte en contacto con un socio certificado de Brevo.