Il presente articolo fornisce una panoramica delle iniziative precedenti e di quelle in corso attuate da Brevo per garantire la nostra conformità al GDPR in qualità di incaricati del trattamento dei dati, nonché del nostro impegno a supporto della conformità dei nostri utenti in qualità di responsabili del trattamento dei dati.  

Per ulteriori informazioni su cos'è il GDPR e perché può essere importante per te, consulta la nostra pagina dedicata Rispetta il regolamento GDPR con Brevo.

Queste iniziative si concentrano su cinque aree chiave, definite nei dettagli di seguito:

1. Funzionalità principali 
2. Sicurezza 
3. Gestione di partner e incaricati del trattamento dei dati 
4. Documenti legali
5. Organizzazione

Adattamento delle funzionalità principali

Brevo ha identificato gli obiettivi fondamentali del GDPR, da raggiungere attraverso la collaborazione con un campione di utenti, i nostri account manager, il team di prodotto, il team tecnico e l'ufficio legale. 

Obbligo di fornire informazioni nel contesto della responsabilità

Sul nostro sito web e sul nostro blog sono disponibili diverse risorse informative sui diritti degli addetti all'email marketing ai sensi del GDPR e sulle best practice da adottare per la conformità alla legge.

Queste risorse sono disponibili sulla piattaforma per aiutare gli utenti a rispettare la conformità nelle fasi chiave di utilizzo della nostra piattaforma:

• Importazione di contatti
• Creazione di moduli di iscrizione alle email per acquisire il consenso dei contatti
• Creazione di campagne email da inviare agli iscritti

Una sezione specifica sul GDPR è stata aggiunta al nostro Centro di assistenza e continuiamo a organizzare regolarmente webinar informativi sull'argomento.

Diritto alla rettifica, alla portabilità e all'oblio

I diritti alla rettifica, alla portabilità e all'oblio sono ben consolidati da diversi anni. Pertanto, non abbiamo apportato modifiche operative rispetto a tali diritti. Tuttavia, come indicato in precedenza, abbiamo fornito maggiori dettagli sulle modalità di esercizio di tali diritti.

Moduli di iscrizione alle email

Durante il processo di conformità, è stata prestata particolare attenzione ai moduli di iscrizione alle email, poiché sono parte integrante della conformità per i nostri utenti.

È ora possibile gestire le preferenze degli iscritti alle email, aggiungendoli a liste specifiche in base alle scelte effettuate al momento dell'iscrizione. Inoltre, consentiamo agli utenti di aggiungere una nota standardizzata in fondo ai moduli di iscrizione, che fornisce agli iscritti l'accesso all'informativa sulla privacy del marchio.

Prova del consenso

Dopo aver raccolto le informazioni di contatto, la prova del consenso è disponibile nel profilo del contatto.

Il profilo di ciascun contatto include l'ora esatta dell'iscrizione e l'ID del modulo utilizzato per l'iscrizione. Queste informazioni possono essere esportate per consentire agli utenti Brevo di fornire facilmente la prova del consenso, se necessario.

Notifica di violazioni dei dati personali

In caso di violazione accidentale o illecita della sicurezza che comporti la distruzione, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso non autorizzato ai dati personali trattati da Brevo, quest'ultima si impegna a informare immediatamente l'Utente entro 72 ore dal rilevamento dell'incidente.

In simili circostanze e in collaborazione con l'Utente, Brevo si impegna ad adottare le misure di protezione dei dati necessarie e a limitare gli effetti negativi sui soggetti interessati.

Brevo si impegna a fornire all'Utente tutte le informazioni e l'assistenza ragionevoli per consentire a quest'ultimo di adempiere i propri obblighi di notifica alle autorità garanti della protezione dei dati e, se del caso, ai soggetti interessati.

Revisione avanzata della sicurezza

Sappiamo che la sicurezza dei dati è un tema delicato per molte persone, motivo per cui è sempre stata una delle nostre priorità assolute. Il GDPR ci ha permesso di portare questa priorità a un livello ancora superiore: garantire trasferimenti e archiviazione dei dati a tenuta stagna e migliorare il monitoraggio e il controllo dei dati per un accesso più semplice e più sicuro per i nostri utenti.

Per prevenire le violazioni dei dati, è necessario un controllo rigoroso sul loro trattamento che viene eseguito sulla nostra piattaforma.

Attraverso il tracciamento dei dati e l'identificazione dei log, abbiamo implementato un sistema di tracciabilità dei dati in tutte le procedure di trattamento dei dati sulla nostra piattaforma.

Inoltre, abbiamo cercato di massimizzare la sicurezza dei dati archiviati dai nostri utenti. Questi dati vengono ora archiviati in database separati e i dati personali sono stati crittografati.

Questi archivi vengono conservati esclusivamente per scopi legali. Al termine del periodo di conservazione, i dati vengono eliminati dal database.

Gestione dei nostri partner e incaricati del trattamento dei dati

Uno dei principi fondamentali introdotti dal GDPR è la responsabilità condivisa. Significa essenzialmente che tutte le parti interessate, dal responsabile del trattamento dei dati (la parte che determina le finalità e i mezzi del trattamento dei dati) all'ultimo degli incaricati del trattamento dei dati a valle nella catena, hanno una parte di responsabilità legale poiché il trattamento viene eseguito su dati personali.

Ricomprendo il doppio ruolo di responsabile e di incaricato del trattamento dei dati, Brevo deve affrontare il principio di responsabilità da entrambi i lati.

In qualità di incaricati del trattamento dei dati, abbiamo stabilito i mezzi per garantire la conformità al GDPR in tutta la nostra catena di trattamento dei dati con tutti i nostri partner fornitori di software.

In qualità di responsabili del trattamento dei dati, dobbiamo anche garantire la conformità alle nuove normative dei nostri incaricati del trattamento dei dati. Di conseguenza, abbiamo contattato gli incaricati ponendo loro domande specifiche sui metodi di trattamento dei dati utilizzati. Questo ci ha permesso di garantire che le loro procedure relative al trattamento dei nostri dati siano in linea con il GDPR e con gli impegni che abbiamo assunto nei confronti dei nostri clienti.

Abbiamo interrotto la collaborazione con tutti gli incaricati del trattamento dei dati che non sono stati in grado di fornire risposte soddisfacenti alle nostre domande.

Una volta in grado di ricevere risposte soddisfacenti dagli altri incaricati del trattamento dei dati, abbiamo contrattualizzato i nostri requisiti con i DPA (Accordi per il trattamento dei dati).

Il DPA è un documento che specifica la tipologia e le modalità del trattamento dei dati eseguito dall'incaricato del trattamento per conto di Brevo, che consente di garantire un quadro giuridico e la tracciabilità dei dati.

Per i nostri incaricati del trattamento dei dati negli Stati Uniti, abbiamo anche verificato la relativa certificazione Privacy Shield, condizione necessaria per il trattamento dei dati dei cittadini europei.

Documenti legali

Alla luce dei nuovi requisiti introdotti dal GDPR, come naturale conseguenza, abbiamo aggiornato i nostri documenti legali. In particolare, abbiamo apportato modifiche alle nostre Condizioni generali e alla nostra Informativa sulla privacy, entrambe disponibili sul nostro sito web.

Una clausola per gli incaricati del trattamento dei dati è stata redatta e allegata alle nostre Condizioni generali per definire nei dettagli il ruolo e le responsabilità di Brevo nei confronti dei nostri utenti in qualità di fornitore di servizi di terze parti.

Implicazioni interne del GDPR sull'organizzazione Brevo

Il GDPR ci ha inoltre obbligati a ottimizzare la nostra organizzazione interna e a definire best practice e procedure a supporto dei principi fondamentali stabiliti dal regolamento.

Consapevolezza dei dipendenti

Alcuni dipendenti Brevo ricoprono ruoli che richiedono un accesso privilegiato ai dati personali.

Ad esempio, gli account manager potrebbero aver bisogno di accedere a determinati elementi di un account utente per rispondere a una richiesta di assistenza.

Abbiamo iniziato ampliando la clausola di riservatezza nei contratti dei dipendenti e facilitando le sessioni di formazione.

La formazione comprende un corso di introduzione generale ai requisiti del GDPR, oltre a corsi di formazione specializzati, pensati come punto di partenza per la formazione iniziale di team specifici che trattano regolarmente dati sensibili.

Ciò fornisce a tutto il personale una chiara comprensione dei propri obblighi in relazione al nuovo regolamento.

Procedure e controlli interni

Al fine di garantire la regolare applicazione delle nostre misure di conformità, abbiamo rivisto tutte le nostre procedure interne relative alla gestione dell'accesso ai dati personali da parte dei dipendenti, alla gestione delle richieste di persone che cercano di esercitare i propri diritti in merito ai propri dati personali e ai processi che prevedono la conservazione e la cancellazione dei dati.

È stato definito un piano di controllo per verificare periodicamente la corretta applicazione di queste procedure e l'aggiornamento della documentazione corrispondente.

Nomina di persone incaricate di mantenere la corretta conformità

L'implementazione delle misure di conformità è stata gestita dal nostro Chief Operating Officer. Parallelamente, il nostro DPO (Data Protection Officer) è responsabile di garantire nel tempo la costante conformità al GDPR da parte di Brevo.

È anche responsabilità del DPO monitorare l'applicazione dei diversi aspetti del regolamento e garantire il rispetto dei principi fondamentali del GDPR, in particolare del principio di "Privacy by Design", che si riferisce alla conformità di una procedura di trattamento dei dati prima della sua effettiva attuazione.

Il nostro DPO si avvale dell'assistenza SecOps per gli aspetti legati in modo specifico alla sicurezza e alla tracciabilità dei dati. Se hai bisogno di contattare il nostro DPO, puoi inviare un'email direttamente all'indirizzo dpo@brevo.com.

Stato corrente e fasi successive

Di per sé, la conformità al GDPR in realtà non finisce mai. Si tratta di un processo continuo che richiede un monitoraggio regolare e la conferma che i principi di legge siano rispettati internamente grazie al nostro attuale trattamento dei dati e alla valutazione continua secondo il criterio di Privacy by Design per ogni nuova procedura che prevede il trattamento dei dati personali.

Brevo è orgogliosa di aver portato a termine la prima parte della sfida. Continueremo a mantenere la nostra dedizione alla conformità per essere sempre un fornitore di software di terze parti affidabile per i nostri utenti.

L'esecuzione di questa massiccia operazione di conformità ha fornito a Brevo diversi vantaggi, tra cui:

• La compattezza dell'intera organizzazione intorno a un obiettivo comune e la collaborazione tra i diversi team per raggiungere tale obiettivo
• L'adozione di procedure ancora più rigorose per la gestione e il trattamento dei nostri dati, per continuare a migliorare la nostra sicurezza
• Il rapido raggiungimento della conformità con l'aiuto di partner esterni
• L'esecuzione di una valutazione innovativa della sicurezza della nostra rete e l'adozione delle misure correttive necessarie
• Il rafforzamento del legame tra Brevo e i nostri utenti, fornendo gli strumenti necessari per la conformità al GDPR sulla nostra piattaforma

Brevo è un'organizzazione composta da oltre 400 persone, tutte impegnate a garantire la sicurezza e la riservatezza dei dati personali che ci vengono affidati. Prendiamo sul serio questa responsabilità come parte della nostra missione principale, per fornire una piattaforma completa di marketing digitale per la crescita e il successo delle piccole e medie imprese.

🤔 Domande?

In caso di domande, non esitare a contattare il team dell’assistenza creando un ticket dal tuo account. Se ancora non hai un account, puoi contattarci qui.