¿Qué hace SendinBlue para cumplir con el RGPD?

Este artículo proporciona una descripción general de las acciones iniciales y en curso de SendinBlue para garantizar nuestro cumplimiento con el RGPD como su procesador de datos, así como nuestros esfuerzos para apoyar a nuestros usuarios en el cumplimiento de la regulación como controladores de datos.

Estas iniciativas se centran en cinco áreas clave que se detallan a continuación:

  1. Características clave
  2. Seguridad
  3. Gestión de socios y procesadores
  4. Documentacion legal
  5. Organización

1 - La adaptación de las características clave

SendinBlue identificó los puntos clave del RGPD a cumplir al colaborar con un grupo de nuestros usuarios, gerentes de cuentas, encargados de producto, equipo técnico y nuestro asesor legal.

El deber de dar información en un contexto de corresponsabilidad

Varios recursos informativos están disponibles en nuestro sitio web y blog con respecto a los derechos de los mercadólogos de correo electrónico bajo el RGPD y las mejores prácticas que pueden implementarse para cumplir con la ley.

Esta información está presente en la plataforma para ayudar a los usuarios cumplir con la ley en el uso de nuestra plataforma:

  • La importación de contactos
  • La creación de un formulario de recopilación para obtener el consentimiento de los contactos
  • La creación de campañas de correo electrónico y el envío a los suscriptores

Se ha agregado además una sección específica sobre el RGPD en el centro de ayuda y regularmente organizamos seminarios web informativos sobre el tema.

El derecho de rectificación, olvido y portabilidad

Hace algunos años ya era posible ejercer el derecho a la rectificación, el olvido y la portabilidad de datos. Por lo tanto, no hemos necesitado de ningún cambio a este nivel. Sin embargo, como indicábamos anteriormente, hemos detallado los procedimientos para ejercer estos derechos en varios apartados dentro de nuestra web.

Duración de los registros a emails transaccionales

Hasta ahora, los registros transacciones se mantenían por defecto sin límite de tiempo. Desde finales de mayo de 2018, cada usuario podrá definir la duración durante la cual desea que se conserven sus registros para los envíos de emails transaccionales, así como la vista previa del contenido de sus mensajes. Esta función ya está disponible solicitándola a través del Servicio de Atención al Cliente.

Gestión del formulario de suscripción al newsletter

Se ha prestado especial atención a los formularios de inscripción porque son una parte integral para los usuarios y el poder cumplir con la regulación.

Ahora es posible administrar las preferencias del suscriptor al agregarlos a listas específicas en función de sus elecciones al momento de registrarse. También ofrecemos a los usuarios la posibilidad de agregar una nota en la parte inferior de las formas de suscripción que les permite tener acceso a la política de privacidad de la marca.

Disponibilidad de la prueba de consentimiento

Una vez que el contacto ha dado sus datos, la prueba del consentimiento del contacto estará completamente disponible en su ficha de contacto.

Cada perfil especificará el momento exacto de su registro, el ID de la forma que utilizó para suscribirse, así como su IP. Esta información será exportable para proporcionar a nuestros usuarios una prueba de consentimiento si fuese necesario.

2 - Una extensa revisión de seguridad

Algo tan sensible como la seguridad de los datos siempre ha sido nuestra prioridad. El RGPD nos ha permitido ir un paso más allá: garantizar la seguridad hermética de las transferencias de datos y el almacenamiento, así como mejorar la supervisión, el control y el acceso seguro a los datos.

Instalación de sistemas de archivo de datos y rastreabilidad

La prevención de fugas de datos requiere un control preciso del procesamiento de datos que ocurre en nuestra plataforma.

Hemos implementado la rastreabilidad de todos los procesamientos de datos que se llevan a cabo en nuestra plataforma, gracias a un sistema de seguimiento e identificación de registros.

Además, buscamos optimizar la protección los datos archivados de nuestros clientes. Esta información está alojada en bases de datos separadas y los datos personales están encriptados.

Estos archivos están guardados solo por razones legales. Una vez que se acaba el tiempo de retención de datos, estos se eliminan al final del período.

El lanzamiento de pruebas de intrusión

Empezamos trabajando con una empresa de consultoría especializada en ciberseguridad, de la cual recibimos una retroalimentación muy positiva respecto a la dificultad de acceder a nuestro sistema.

Convencidos de que siempre podemos hacer más para asegurar la seguridad de los datos, contactamos a Bounty Factory. Esta empresa británica cuenta con una comunidad de investigadores de seguridad y hackers éticos que pueden ser solicitados para hacer investigación adicional de nuestro sistema y evaluar la seguridad de los datos.

Este programa, conocido como bug bounty, promueve encarecidamente la búsqueda de errores en el sistema, ya que por cada error identificado la empresa proporciona un incentivo al buscador que lo encuentre.

Este modelo de "recompensa" fomenta fuertemente la detección de fallos y vulnerabilidad en la plataforma de SendinBlue, minimizando el riesgo de potenciales ataques e intrusiones.

3 - La gestión de nuestros socios y subcontratistas

Con el RGPD se resalta la importancia de la corresponsabilidad: de ahora en adelante, todas las partes interesadas son responsables del tratamiento de los datos, ya sea el controlador (la parte que determina los propósitos del procesamiento de datos), o los procesadores dentro de toda la cadena, todos tienen una parte de responsabilidad ya que el procesamiento tiene efectos en los datos personales.

Con esta doble función, de controlador y procesador, SendinBlue requiere garantizar el cumplimiento de ambas partes.

Como procesador, hemos establecido los medios para garantizar el cumplimiento del RGPD en toda nuestra cadena de procesamiento de datos con todos nuestros proveedores de software asociados.

Como controlador, también debemos garantizar el cumplimiento de las nuevas reglamentaciones por parte de de nuestros propios proveedores o procesadores de información. Por lo tanto, contactamos a cada uno de nuestros proveedores con preguntas específicas sobre su propio procesamiento de datos. Esto nos permitió aseguramos de que sus procesos de procesamiento de datos estuvieran en línea con el RGPD y con los compromisos que tenemos para con nuestros clientes.

Tuvimos que tomar la decisión de dejar de trabajar con determinados proveedores ya que no tenían respuestas satisfactorias a nuestras preguntas.

Cuando las respuestas fueron satisfactorias, contractualizamos estos requerimientos mediante DPAs (Acuerdo de procesamiento de datos).

El DPA es un documento que especifica el tipo y los métodos del procesamiento de datos llevado a cabo por el proveedor en nombre de SendinBlue, lo que permite garantizar un marco regulatorio y una rastreabilidad de los datos.

Para nuestros proveedores domiciliados en los Estados Unidos, también verificamos su certificación de Escudo de privacidad, una condición necesaria para el procesamiento de datos de ciudadanos europeos.

4 - Documentación legal

Por supuesto, hemos adaptado nuestra documentación legal, en particular los Términos Generales y Condiciones de uso de los servicios de SendinBlue y la Política de privacidad, ambos disponibles en la web.

Se ha redactado una cláusula de subcontratación y es contigua a los Términos de Uso, con el fin de especificar el rol y las responsabilidades de SendinBlue frente a sus usuarios como un tercero en la prestación de servicios.

5 - Las implicaciones del RGPD sobre la organización interna de SendinBlue

El RGPD también nos animó a optimizar nuestra organización interna y poner en práctica dentro de nuestra empresa las mejores prácticas y procesamientos que apoyen los principios fundamentales de la regulación.

Capacitación del personal

Los roles de algunos empleados de SendinBlue requiere acceso privilegiado a ciertos datos personales.

Este es el caso, por ejemplo, de los ejecutivos de cuentas, que necesitan acceder a ciertos elementos de las cuentas de sus clientes para responder sus preguntas.

Comenzamos por profundizar la cláusula de confidencialidad de los contratos de los empleados y hemos organizado sesiones de capacitación.

La capacitación incluye un repaso general de las reglas del RGPD, así como cursos de capacitación especializados diseñados para enriquecer la capacitación inicial para los equipos específicos que se ocupan de datos confidenciales de manera regular.

Esto provee a todo el personal de la compañía un conocimiento claro de sus obligaciones bajo las nuevas regulaciones.

Establecimiento de procedimientos y controles internos

Para garantizar el cumplimiento de las medidas, se han revisado los procedimientos internos, especialmente en lo que respecta a la gestión del acceso del personal, la gestión de las solicitudes de los interesados respecto a sus derechos ​​y la gestión de la conservación y la eliminación de los datos.

Se estableció un plan de control para verificar regularmente la correcta aplicación de los procedimientos implementados y la actualización de la documentación.

Nombramiento de personas a cargo para garantizar el cumplimiento

La implementación del cumplimiento de las medidas ha sido gestionado por nuestro Director de Operaciones. Paralelamente, hemos nombrado un Oficial de Protección de Datos (OPD), Jules Jeanroy, que es responsable de garantizar que el cumplimiento de SendinBlue con el RGPD sea efectivo a lo largo del tiempo.

Corresponde al OPD monitorear regularmente la aplicación de los diferentes aspectos de la regulación y garantizar el cumplimiento de los principios fundamentales del RGPD, particularmente el principio de “Privacidad de Diseño”, que se refiere al cumplimiento de un procedimiento de procesamiento de datos antes de que sea implementado.

Nuestro OPD será asistido por un SecOps para los aspectos relacionados con la seguridad y rastreabilidad de datos. Nuestro OPD puede ser contactado directamente en dpo@sendinblue.com.

Estatus actual y próximos pasos

El cumplimiento del RGPD, en realidad nunca termina. Es un proceso continuo que requiere comprobar regularmente que los principios de la ley se respeten internamente, así como continuar evaluando y pasar cada nuevo procesamiento de datos bajo el microscopio del criterio de “privacidad de diseño”.

SendinBlue se enorgullece de haber completado la primera parte del reto. Continuaremos manteniendo este cumplimiento, y seguir siendo un proveedor de software confiable para nuestros clientes.

Al tomar estas medidas regulatorias, SendinBlue ha tenido varios beneficios, como:

  • Reunir a toda nuestra organización en torno a un objetivo común y colaborar en diferentes equipos para lograrlo
  • Implementar procedimientos aún más rigurosos en torno a nuestra gestión y procesamiento de datos para continuar mejorando nuestra seguridad
  • Lograr un cumplimiento rápido a través del apoyo de socios externos
  • Realizar una evaluación innovadora de la seguridad de nuestra red e implementar las medidas correctivas necesarias
  • Reforzar el vínculo entre SendinBlue y nuestros usuarios al proporcionar las herramientas necesarias para el cumplimiento de GDPR en nuestra plataforma.

SendinBlue es una organización con cerca de 150 personas, y todos estamos comprometidos en asegurar la seguridad y confidencialidad de los datos personales que se nos encomienden. Tomamos esta responsabilidad seriamente como parte de nuestra misión de proveer una plataforma de marketing digital todo en uno para pequeñas y medianas empresas.

Dudas y preguntas

Nos dará gusto responder a cualquier pregunta o discutir de cualquier preocupación que puedas tener respecto a SendinBlue y el RGPD. Envíanos tu mensaje a: Si tienes alguna pregunta sobre el cumplimiento de SendinBlue con el GDPR, envíala a la siguiente dirección: gdpr@sendinblue.com