Este artigo fornece uma visão geral das iniciativas iniciais e contínuas da Brevo para garantir a nossa própria conformidade com o GDPR como seu processador de dados, bem como nossos esforços para apoiar a conformidade dos nossos usuários como controladores de dados.  

Para saber mais sobre o que é o GDPR e por que ele pode ser importante para você, consulte nossa página dedicada Prepare-se para o RGPD.

Estas iniciativas centram-se em cinco áreas principais que são descritas em detalhe abaixo:

1. Características principais 
2. Segurança 
3. Gestão de parceiros e processadores 
4. Documentação legal
5. Organização

A adaptação dos principais recursos

A Brevo identificou os principais marcos do GDPR a serem alcançados, colaborando com uma amostra de nossos usuários, nossos gerentes de conta, a equipe de produto, a equipe técnica e nosso consultor jurídico. 

O dever de fornecer informação no contexto da prestação de contas

Vários recursos informativos estão disponíveis em nosso site e blog sobre os direitos dos profissionais de marketing por e-mail de acordo com o GDPR e as melhores práticas que podem ser implementadas para estar em conformidade com a lei.

Esses recursos estão disponíveis na plataforma para ajudar os usuários a cumprir as principais etapas de uso de nossa plataforma:

• Importando contatos
• Criação de formulários de assinatura de e-mail para obter consentimento dos contatos
• Criação de campanhas de e-mail para enviar aos assinantes

Uma seção específica do GDPR foi adicionada à central de ajuda e continuamos a organizar webinars informativos regulares sobre o assunto.

O direito à retificação, à portabilidade e ao esquecimento

Os direitos à retificação, à portabilidade e ao esquecimento estão bem estabelecidos há vários anos. Portanto, não temos nenhuma alteração operacional relacionada a esses direitos. No entanto, conforme indicado acima, fornecemos mais detalhes sobre as modalidades de exercício desses direitos.

Formulários de assinatura de e-mail

Foi dada atenção especial aos formulários de assinatura de e-mail durante o processo de conformidade porque são parte integrante da conformidade para nossos usuários.

Agora é possível gerenciar as preferências dos assinantes de e-mail, adicionando-os a listas específicas de acordo com suas escolhas no momento da assinatura. Também permitimos que os usuários adicionem uma nota padronizada na parte inferior dos formulários de assinatura que fornece aos assinantes acesso à política de privacidade da marca.

Prova de consentimento

Assim que as informações de contato forem coletadas, o comprovante de consentimento estará disponível no perfil de contato.

Cada perfil de contato incluirá o momento exato da assinatura e o ID do formulário utilizado para a assinatura. Essas informações poderão ser exportadas para permitir que os usuários da Brevo forneçam uma prova fácil de consentimento, se necessário.

Notificação de violações de dados pessoais

No caso de uma violação acidental ou ilícita da segurança que resulte na destruição, perda, alteração, divulgação não autorizada ou acesso não autorizado aos dados pessoais tratados pela Brevo, a Brevo compromete-se a notificar imediatamente o Usuário no prazo de 72 horas após a detecção do incidente.

Nessas circunstâncias, e em consulta com o Usuário, a Brevo compromete-se a implementar as medidas de proteção de dados necessárias e a limitar quaisquer efeitos negativos sobre os titulares dos dados.

A Brevo compromete-se a fornecer ao Usuário todas as informações e assistência razoáveis que lhe permitam cumprir as suas obrigações de notificação às autoridades de proteção de dados e, quando aplicável, aos titulares dos dados.

Uma análise de segurança avançada

Sabemos que a segurança dos dados é uma questão delicada para muitos, e é por isso que sempre foi uma das nossas principais prioridades. O GDPR nos capacitou a levar essa prioridade ainda mais longe: garantindo transferências e armazenamento de dados herméticos, bem como melhorando o monitoramento e controle de dados para um acesso mais fácil e seguro para nossos usuários.

Para evitar violações de dados, é necessário ter um controle rígido sobre o processamento de dados que ocorre em nossa plataforma.

Usando rastreamento de dados e identificação de log, implementamos um sistema de rastreabilidade de dados em todos os procedimentos de processamento de dados em nossa plataforma.

Além disso, procuramos maximizar a segurança dos dados arquivados dos nossos usuários. Esses dados agora estão sendo armazenados em bancos de dados separados e os dados pessoais foram criptografados.

Esses arquivos são armazenados exclusivamente para fins legais. Assim que o período de retenção for concluído, os dados serão eliminados do banco de dados.

A gestão dos nossos parceiros e processadores

Um dos principais princípios introduzidos pelo GDPR é a responsabilidade compartilhada. Isso significa essencialmente que todas as partes interessadas, sejam elas o controlador (a parte que determina as finalidades e os meios do processamento de dados) ou um dos processadores mais abaixo na cadeia, têm uma parcela de responsabilidade legal, uma vez que o processamento está sendo realizado com dados pessoais.

Desempenhando o duplo papel de controlador e processador, a Brevo é obrigada a abordar o princípio da responsabilização de ambos os lados.

Como processador, estabelecemos meios para garantir a conformidade com o GDPR em toda a nossa cadeia de processamento de dados com todos os nossos fornecedores de software parceiros.

Como controlador, também devemos garantir a conformidade de nossos próprios processadores com as novas regulamentações. Consequentemente, entramos em contato com os processadores com perguntas específicas sobre seus métodos de processamento de dados. Isso nos permitiu garantir que seus procedimentos relativos ao processamento de nossos dados estejam de acordo com o GDPR e com os compromissos que temos com nossos clientes.

Cessamos a colaboração com quaisquer processadores que não foram capazes de fornecer respostas satisfatórias às nossas perguntas.

Quando conseguimos receber respostas satisfatórias de nossos outros processadores, contratualizamos nossos requisitos com DPAs (Acordos de Processamento de Dados).

O DPA é um documento que especifica o tipo e os métodos de processamento de dados que estão sendo realizados pelo processador em nome da Brevo, o que torna possível garantir uma estrutura legal e a rastreabilidade dos dados.

Para os nossos processadores localizados nos Estados Unidos, também verificamos a sua certificação Privacy Shield, que é uma condição necessária para o processamento de dados de cidadãos europeus.

Documentação legal

Tendo em vista os novos requisitos trazidos pelo GDPR, atualizamos nossa documentação legal como uma questão natural. Especificamente, fizemos alterações em nossas Termos e Condições Gerais e em nossa política de privacidade, ambos disponíveis no nosso site.

Uma cláusula do processador foi elaborada e anexada aos nossos Termos e Condições para detalhar o papel e as responsabilidades da Brevo perante nossos usuários como prestador de serviços terceirizado.

As implicações internas do GDPR na organização Brevo

O GDPR também nos obrigou a otimizar a nossa organização interna e a apresentar as melhores práticas e procedimentos que apoiem os princípios fundamentais estabelecidos pelo regulamento.

Conscientização dos funcionários

Determinados indivíduos na Brevo desempenham funções que exigem acesso privilegiado a dados pessoais.

Por exemplo, os gerentes de contas podem precisar acessar determinados elementos de uma conta de usuário para responder a uma pergunta de suporte.

Começamos ampliando a cláusula de confidencialidade nos contratos dos assalariados e facilitando os treinamentos.

O treinamento inclui um curso de visão geral sobre os requisitos do GDPR, bem como cursos de treinamento especializados projetados para complementar o treinamento inicial para equipes específicas que lidam regularmente com dados confidenciais.

Isso proporciona a todo o pessoal uma compreensão clara das suas obrigações no que diz respeito ao novo regulamento.

Procedimentos e controles internos

Para garantir uma boa aplicação das nossas medidas de conformidade, revisamos todos os nossos procedimentos internos relacionados ao gerenciamento do acesso de funcionários a dados pessoais, ao tratamento de solicitações de indivíduos que buscam exercer seus direitos em relação a seus dados pessoais e aos processos que envolvem a preservação e a eliminação de dados.

Foi estabelecido um plano de controle para verificar regularmente a correta aplicação destes procedimentos e a atualização da documentação correspondente.

A nomeação de indivíduos encarregados de manter a conformidade adequada

A implementação de nossas medidas de conformidade foi gerenciada por nosso diretor de operações. Paralelamente, o nosso DPO (Data Protection Officer) é responsável por garantir a conformidade contínua da Brevo com o GDPR ao longo do tempo.

Também é responsabilidade do DPO monitorar a aplicação dos diferentes aspectos do regulamento e garantir que respeitemos os principais princípios do GDPR, especialmente o princípio de "Privacidade por projeto", que se refere à conformidade de um procedimento de processamento de dados antes de sua implementação efetiva.

Nosso DPO será auxiliado por um SecOps para aspectos especificamente relacionados à segurança e rastreabilidade de dados. Caso necessite entrar em contato com nosso DPO, ele pode ser contatado diretamente pelo e-mail dpo@brevo.com.

Status atual e próximas etapas

A conformidade com o GDPR, por si só, nunca está realmente concluída. É um processo contínuo que requer monitoramento regular e confirmação de que os princípios da lei estão sendo respeitados internamente com o nosso atual tratamento de dados, bem como avaliação contínua utilizando o critério de Privacidade por projeto para cada novo procedimento que envolva o tratamento de dados pessoais.

A Brevo orgulha-se de ter cumprido a primeira parte do desafio. Continuaremos a manter nossa dedicação à conformidade para continuarmos sendo um fornecedor de software terceirizado confiável para nossos usuários.

A realização desta enorme operação de conformidade proporcionou à Brevo vários benefícios, incluindo:

• Reunir toda a nossa organização em torno de um objetivo comum e colaborar entre diferentes equipes para alcançá-lo
• Implementar procedimentos ainda mais rigorosos em torno do nosso gerenciamento e processamento de dados para continuar melhorando nossa segurança
• Alcançar rapidamente a conformidade com a ajuda de parceiros externos
• Realizar uma avaliação inovadora da segurança da nossa rede e implementar as medidas corretivas necessárias
• Reforçar o vínculo entre a Brevo e nossos usuários, fornecendo as ferramentas necessárias para a conformidade com o GDPR em nossa plataforma

A Brevo é uma organização composta por mais de 400 pessoas e todos estamos empenhados em garantir a segurança e a confidencialidade dos dados pessoais que nos são confiados. Levamos essa responsabilidade a sério como parte de nossa missão principal de fornecer uma plataforma de marketing digital completa para que pequenas e médias empresas cresçam e tenham sucesso.

🤔 Dúvidas?

Em caso de dúvida, sinta-se à vontade para entrar em contato com nossa equipe de suporte, criando um tíquete a partir da sua conta. Caso ainda não tenha uma conta, entre em contato conosco aqui.

Se você está procurando ajuda com um projeto usando o Brevo, podemos encontrar o parceiro especialista certificado em Brevo.