Questo articolo fornisce una panoramica delle iniziative iniziali e continue di Brevo per assicurare la nostra conformità al RGPD in qualità di responsabile dei dati e di ciò che facciamo per agevolare la conformità dei nostri utenti come titolari dei dati.  

Queste iniziative si concentrano su cinque aree chiave di seguito definite nei dettagli:

1. Funzionalità chiave
2. Sicurezza
3. Gestione di partner e responsabili
4. Documentazione legale
5. Organizzazione

L’adattamento delle funzionalità chiave

Brevo ha identificato gli obiettivi chiave da raggiungere stabiliti dal RGPD collaborando con un campione di utenti, responsabili del portafoglio clienti, team di prodotto, team tecnico e consulenti legali.

Obbligo di fornire informazioni relative alla responsabilità

Sul nostro sito web e blog sono disponibili molte fonti informative relative ai diritti di chi fa email marketing nel quadro del RGPD e le migliori pratiche da attuare per ottemperare alla legge.

Queste risorse sono disponibili sulla piattaforma per aiutare gli utenti a essere conformi nelle fasi chiave di utilizzo della nostra piattaforma:

• Importazione di contatti
• Creazione di moduli di sottoscrizione di email per acquisire il consenso dei contatti
• Creazione di campagne email da inviare agli abbonati

Nel Centro assistenza è stata aggiunta una sezione ad hoc per il RGPD e continueremo inoltre a organizzare regolarmente webinar informativi sul tema.

Diritto di rettifica, portabilità e oblio

I diritti di rettifica, portabilità e oblio sono ormai assodati da anni. Pertanto non abbiamo attuato modifiche operative relative a tali diritti. Tuttavia, come indicato in alto, abbiamo fornito maggiori dettagli sulle modalità di esercizio di tali diritti.

Moduli di sottoscrizione di email

Abbiamo dedicato particolare attenzione ai moduli di sottoscrizione di email durante il processo di messa in conformità perché è un elemento essenziale per la conformità dei nostri utenti.

Ora è possibile gestire le preferenze dell’abbonato all’email aggiungendole a liste specifiche in base alle scelte fatte al momento dell’iscrizione. Inoltre consentiamo agli utenti di aggiungere una nota standard in calce ai moduli di sottoscrizione per l’accesso all’informativa sulla privacy del marchio.

Prova del consenso

Una volta raccolti i dati di un contatto, la prova del consenso sarà disponibile nel profilo del contatto.

Ogni profilo di contatto includerà il momento esatto della sottoscrizione e l’ID del modulo usato per la sottoscrizione. Questi dati potranno essere esportati per consentire agli utenti Brevo di fornire facilmente una prova del consenso qualora necessario.

Verifica di sicurezza avanzata

Sappiamo che la sicurezza dei dati è un argomento delicato per molti, ecco perché è sempre stata una delle nostre priorità. Il RGPD ci consente di fare un ulteriore passo avanti, assicurando un trasferimento e una conservazione dei dati ineccepibili e migliorando il monitoraggio e il controllo dei dati per un accesso più facile e sicuro per i nostri utenti.

Installazione di sistemi di archiviazione e tracciabilità di dati

Per prevenire la violazione di dati, è necessario avere uno stretto controllo del trattamento dei dati che avviene sulla nostra piattaforma.

Usando la tracciabilità dei dati e l’identificazione dei log, abbiamo attivato un sistema di tracciabilità dei dati per tutte le procedure di trattamento dati sulla nostra piattaforma.

Cerchiamo inoltre di massimizzare la sicurezza dei dati archiviati dei nostri utenti. Questi dati ora sono conservati in database separati e i dati personali sono stati criptati.

Questi archivi sono conservati a fini puramente legali. Una volta terminato il periodo di conservazione saranno eliminati dal database.

La gestione dei nostri partner e responsabili

Uno dei principi chiave introdotti dal RGPD è la responsabilità condivisa. Ciò significa essenzialmente che tutti gli attori, siano essi il titolare (la parte che determina i fini e i mezzi dell’elaborazione dei dati) o uno dei responsabili dei dati più in basso nella catena, hanno una parte di responsabilità legale in quanto oggetto del trattamento sono i dati personali.

Svolgendo il doppio ruolo di titolare e responsabile, Brevo ha il compito di affrontare il principio della responsabilità da entrambe le parti.

In qualità di responsabile, abbiamo stabilito mezzi per garantire la conformità al RGPD lungo tutta la catena del trattamento dei dati con tutti i nostri partner fornitori di software.

In qualità di titolare, dobbiamo garantire inoltre la conformità dei nostri responsabili dei dati alla nuova regolamentazione. Di conseguenza, abbiamo contattato i responsabili dei dati ponendo domande specifiche sui loro metodi di trattamento dei dati. Ciò ci ha permesso di garantire che le loro procedure relative al trattamento dei nostri dati siano in linea con il RGPD e con gli impegni che abbiamo preso verso i nostri clienti.

Abbiamo posto fine alla collaborazione con tutti i responsabili dei dati che non erano in grado di fornire risposte soddisfacenti alle nostre domande.

Una volta ricevute risposte soddisfacenti dagli altri responsabili dei dati, abbiamo definito contrattualmente i nostri requisiti in accordi per il trattamento dei dati (DPA).

Il DPA è un documento che specifica il tipo e i metodi di trattamento dei dati utilizzati dal responsabile a nome di Brevo, cosa che permette di garantire un quadro legale e la tracciabilità dei dati.

Per i nostri responsabili dei dati che si trovano negli Stati Uniti abbiamo inoltre verificato la loro certificazione relativa alla certificazione Scudo per la privacy, condizione necessaria per il trattamento di dati di cittadini europei.

Documentazione legale

Alla luce dei nuovi requisiti forniti dal RGPD, abbiamo aggiornato la nostra documentazione legale di conseguenza. In particolare, abbiamo modificato le nostre Condizioni generali e la nostra informativa sulla privacy, entrambe disponibili sul nostro sito web.

È stata redatta e aggiunta alle nostre Condizioni generali una clausola sul responsabile dei dati per definire nei dettagli il ruolo e le responsabilità di Brevo nei confronti dei suoi utenti come fornitore di servizi terzo.

Implicazioni interne del RGPD sull’organizzazione Brevo

Il RGPD ci impone inoltre di ottimizzare la nostra organizzazione interna e di elaborare le migliori pratiche e procedure a sostegno dei principi chiave indicati dal regolamento.

Consapevolezza dei dipendenti

Presso Brevo alcune persone hanno un ruolo che richiede un accesso privilegiato ai dati personali.

I responsabili del portafoglio clienti, per esempio, possono aver bisogno di accedere ad alcuni elementi dell’account di un utente per poter rispondere a una domanda di assistenza.

Abbiamo iniziato estendendo la clausola di riservatezza nei contratti dei dipendenti stipendiati e promuovendo sessioni di formazione.

La formazione include una panoramica generale dei requisiti del RGPD e sessioni specializzate ideate per sviluppare la formazione iniziale per determinati team che trattano regolarmente dati sensibili.

Ciò fornisce a tutto il personale una visione chiara degli obblighi relativi al nuovo regolamento.

Procedure e controlli interni

Per garantire un’attuazione delle nostre misure di messa in conformità, abbiamo riesaminato tutte le nostre procedure interne che riguardano la gestione dell’accesso del personale ai dati personali, la gestione delle richieste di persone che vogliono esercitare i loro diritti relativi ai loro dati personali e il trattamento che concerne la conservazione e l’eliminazione dei dati.

È stato realizzato un piano di controllo per verificare regolarmente l’applicazione corretta di queste procedure e l’aggiornamento della documentazione corrispondente.

Nomina di persone con l’incarico di mantenere una conformità adeguata

L’attuazione delle nostre misure di messa in conformità è gestita dal nostro Direttore operativo. Parallelamente, il nostro DPO (Responsabile della protezione dei dati) è responsabile di garantire la conformità continua di Brevo al RGPD nel corso del tempo.

Il DPO ha inoltre la responsabilità di monitorare l’applicazione di diversi aspetti del regolamento e garantire che rispettiamo i principi chiave del RGPD, in particolare il principio della “Privacy by Design,” che si riferisce alla conformità di una procedura di trattamento dei dati prima che sia realmente attuata.

Il nostro DPO sarà assistito da una SecOps per aspetti specificamente correlati alla sicurezza e alla tracciabilità dei dati. In caso di necessità, è possibile contattare il nostro DPO direttamente per email all’indirizzo dpo@brevo.com.

Stato attuale e fasi successive

La conformità al RGPD in realtà non finisce mai. È un processo continuo che richiede un monitoraggio costante e la conferma che i principi della legge sono difesi internamente grazie al nostro trattamento dei dati attuale e alla valutazione continua che utilizza il criterio della Privacy by Design per ogni nuova procedura che comprenda il trattamento di dati personali.

Brevo è fiera di avere completato la prima parte di questa sfida. Continueremo a mantenere il nostro impegno alla conformità per continuare a essere un partner terzo fidato nella fornitura di software per i nostri utenti.

Lo svolgimento di questa enorme operazione di messa in conformità ha fornito a Brevo numerosi vantaggi, tra cui:

• L’avere radunato l’intera azienda attorno a un obiettivo comune e la collaborazione tra team differenti per raggiungere tale obiettivo
• L’attuazione di procedure ancora più rigorose relative alla gestione e al trattamento dei nostri dati per continuare a migliorare la nostra sicurezza
• Il rapido ottenimento della conformità con l’aiuto di partner esterni
• L’esecuzione di una valutazione innovativa della sicurezza della nostra rete e l’attuazione delle misure correttive necessarie
• Il rafforzamento del legame tra Brevo e i suoi utenti fornendo gli strumenti necessari per la conformità al RGPD sulla nostra piattaforma

Brevo è un’organizzazione che comprende quasi 150 persone: siamo tutti impegnati a garantire la sicurezza e la riservatezza dei dati personali che ci avete affidato. Prendiamo sul serio questa responsabilità come parte della nostra missione principale per fornire una piattaforma completa di marketing digitale per piccole e medie imprese in crescita e di successo.

🤔 Domande?

In caso di domande, non esitare a contattare il team dell’assistenza creando un ticket dal tuo account. Se ancora non hai un account, puoi contattarci qui.