In che modo SendinBlue è conforme al RGPD?

Questo articolo fornisce una panoramica delle iniziative iniziali e continue di SendinBlue per assicurare la nostra conformità al RGPD in qualità di responsabile dei dati e di ciò che facciamo per agevolare la conformità dei nostri utenti come titolari dei dati.  

Queste iniziative si concentrano su cinque aree chiave di seguito definite nei dettagli:

  1. Funzionalità chiave
  2. Sicurezza
  3. Gestione di partner e responsabili
  4. Documentazione legale
  5. Organizzazione

1 – L’adattamento delle funzionalità chiave

SendinBlue ha identificato gli obiettivi chiave da raggiungere stabiliti dal RGPD collaborando con un campione di utenti, responsabili del portafoglio clienti, team di prodotto, team tecnico e consulenti legali.

Obbligo di fornire informazioni relative alla responsabilità

Sul nostro sito web e blog sono disponibili molte fonti informative relative ai diritti di chi fa email marketing nel quadro del RGPD e le migliori pratiche da attuare per ottemperare alla legge.

Queste risorse sono disponibili sulla piattaforma per aiutare gli utenti a essere conformi nelle fasi chiave di utilizzo della nostra piattaforma:

  • Importazione di contatti
  • Creazione di moduli di sottoscrizione di email per acquisire il consenso dei contatti
  • Creazione di campagne email da inviare agli abbonati

Nel Centro assistenza è stata aggiunta una sezione ad hoc per il RGPD e continueremo inoltre a organizzare regolarmente webinar informativi sul tema.

Diritto di rettifica, portabilità e oblio

I diritti di rettifica, portabilità e oblio sono ormai assodati da anni. Pertanto non abbiamo attuato modifiche operative relative a tali diritti. Tuttavia, come indicato in alto, abbiamo fornito maggiori dettagli sulle modalità di esercizio di tali diritti.

Log transazionali

Finora tutti i nostri log di email transazionali sono stati conservati per un tempo indefinito per impostazione predefinita.

A partire dalla fine di maggio 2018, per gli utenti sarà possibile definire la durata di conservazione dei log delle loro email transazionali e l’anteprima del contenuto inclusa in ciascuno di questi messaggi. Questa funzionalità è già disponibile su richiesta attraverso il nostro team di assistenza clienti.

Moduli di sottoscrizione di email

Abbiamo dedicato particolare attenzione ai moduli di sottoscrizione di email durante il processo di messa in conformità perché è un elemento essenziale per la conformità dei nostri utenti.

Ora è possibile gestire le preferenze dell’abbonato all’email aggiungendole a liste specifiche in base alle scelte fatte al momento dell’iscrizione. Inoltre consentiamo agli utenti di aggiungere una nota standard in calce ai moduli di sottoscrizione per l’accesso all’informativa sulla privacy del marchio.

Prova del consenso

Una volta raccolti i dati di un contatto, la prova del consenso sarà disponibile nel profilo del contatto.

Ogni profilo di contatto includerà il momento esatto della sottoscrizione, l’ID del modulo usato per la sottoscrizione e il relativo indirizzo IP. Questi dati potranno essere esportati per consentire agli utenti SendinBlue di fornire facilmente una prova del consenso qualora necessario.

2 – Verifica di sicurezza avanzata

Sappiamo che la sicurezza dei dati è un argomento delicato per molti, ecco perché è sempre stata una delle nostre priorità. Il RGPD ci consente di fare un ulteriore passo avanti, assicurando un trasferimento e una conservazione dei dati ineccepibili e migliorando il monitoraggio e il controllo dei dati per un accesso più facile e sicuro per i nostri utenti.

Installazione di sistemi di archiviazione e tracciabilità di dati

Per prevenire la violazione di dati, è necessario avere uno stretto controllo del trattamento dei dati che avviene sulla nostra piattaforma.

Usando la tracciabilità dei dati e l’identificazione dei log, abbiamo attivato un sistema di tracciabilità dei dati per tutte le procedure di trattamento dati sulla nostra piattaforma.

Cerchiamo inoltre di massimizzare la sicurezza dei dati archiviati dei nostri utenti. Questi dati ora sono conservati in database separati e i dati personali sono stati criptati.

Questi archivi sono conservati a fini puramente legali. Una volta terminato il periodo di conservazione saranno eliminati dal database.

Test di penetrazione della rete

Abbiamo iniziato a lavorare con una ditta di consulenza specializzata in cybersicurezza e abbiamo ricevuto un feedback molto positivo in relazione alla difficoltà di penetrare nel nostro sistema.

Sapendo che possiamo fare sempre di più per garantire la sicurezza dei nostri dati, ci siamo rivolti a Bounty Factory. Questa piattaforma inglese ci consente di fare crowdsourcing per una ricerca più approfondita sulla sicurezza della nostra rete e dei nostri dati ad opera di una vasta community di “white hat” o hacker etici e ricercatori sul tema della sicurezza.

Questo programma, noto come bug bounty, incoraggia caldamente la ricerca di vulnerabilità del sistema, premiando l’individuazione di ogni vulnerabilità (o “bug”) con una ricompensa finanziaria.

Il sistema di compensazione crea un forte incentivo per i ricercatori a scoprire tutte le possibili vulnerabilità nel sistema SendinBlue, riducendo al minimo il rischio di possibili attacchi maligni.

3 – La gestione dei nostri partner e responsabili

Uno dei principi chiave introdotti dal RGPD è la responsabilità condivisa. Ciò significa essenzialmente che tutti gli attori, siano essi il titolare (la parte che determina i fini e i mezzi dell’elaborazione dei dati) o uno dei responsabili dei dati più in basso nella catena, hanno una parte di responsabilità legale in quanto oggetto del trattamento sono i dati personali.

Svolgendo il doppio ruolo di titolare e responsabile, SendinBlue ha il compito di affrontare il principio della responsabilità da entrambe le parti.

In qualità di responsabile, abbiamo stabilito mezzi per garantire la conformità al RGPD lungo tutta la catena del trattamento dei dati con tutti i nostri partner fornitori di software.

In qualità di titolare, dobbiamo garantire inoltre la conformità dei nostri responsabili dei dati alla nuova regolamentazione. Di conseguenza, abbiamo contattato i responsabili dei dati ponendo domande specifiche sui loro metodi di trattamento dei dati. Ciò ci ha permesso di garantire che le loro procedure relative al trattamento dei nostri dati siano in linea con il RGPD e con gli impegni che abbiamo preso verso i nostri clienti.

Abbiamo posto fine alla collaborazione con tutti i responsabili dei dati che non erano in grado di fornire risposte soddisfacenti alle nostre domande.

Una volta ricevute risposte soddisfacenti dagli altri responsabili dei dati, abbiamo definito contrattualmente i nostri requisiti in accordi per il trattamento dei dati (DPA).

Il DPA è un documento che specifica il tipo e i metodi di trattamento dei dati utilizzati dal responsabile a nome di SendinBlue, cosa che permette di garantire un quadro legale e la tracciabilità dei dati.

Per i nostri responsabili dei dati che si trovano negli Stati Uniti abbiamo inoltre verificato la loro certificazione relativa alla certificazione Scudo per la privacy, condizione necessaria per il trattamento di dati di cittadini europei.

4 – Documentazione legale

Alla luce dei nuovi requisiti forniti dal RGPD, abbiamo aggiornato la nostra documentazione legale di conseguenza. In particolare, abbiamo modificato le nostre Condizioni generali e la nostra informativa sulla privacy, entrambe disponibili sul nostro sito web.

È stata redatta e aggiunta alle nostre Condizioni generali una clausola sul responsabile dei dati per definire nei dettagli il ruolo e le responsabilità di SendinBlue nei confronti dei suoi utenti come fornitore di servizi terzo.

5 – Implicazioni interne del RGPD sull’organizzazione SendinBlue

Il RGPD ci impone inoltre di ottimizzare la nostra organizzazione interna e di elaborare le migliori pratiche e procedure a sostegno dei principi chiave indicati dal regolamento.

Consapevolezza dei dipendenti

Presso SendinBlue alcune persone hanno un ruolo che richiede un accesso privilegiato ai dati personali.

I responsabili del portafoglio clienti, per esempio, possono aver bisogno di accedere ad alcuni elementi dell’account di un utente per poter rispondere a una domanda di assistenza.

Abbiamo iniziato estendendo la clausola di riservatezza nei contratti dei dipendenti stipendiati e promuovendo sessioni di formazione.

La formazione include una panoramica generale dei requisiti del RGPD e sessioni specializzate ideate per sviluppare la formazione iniziale per determinati team che trattano regolarmente dati sensibili.

Ciò fornisce a tutto il personale una visione chiara degli obblighi relativi al nuovo regolamento.

Procedure e controlli interni

Per garantire un’attuazione delle nostre misure di messa in conformità, abbiamo riesaminato tutte le nostre procedure interne che riguardano la gestione dell’accesso del personale ai dati personali, la gestione delle richieste di persone che vogliono esercitare i loro diritti relativi ai loro dati personali e il trattamento che concerne la conservazione e l’eliminazione dei dati.

È stato realizzato un piano di controllo per verificare regolarmente l’applicazione corretta di queste procedure e l’aggiornamento della documentazione corrispondente.

Nomina di persone con l’incarico di mantenere una conformità adeguata

L’attuazione delle nostre misure di messa in conformità è gestita dal nostro Direttore operativo. Parallelamente, abbiamo nominato come DPO (Responsabile della protezione dei dati) Jule Jeanroy, che è responsabile di garantire la conformità continua di SendinBlue al RGPD nel corso del tempo.

Il DPO ha inoltre la responsabilità di monitorare l’applicazione di diversi aspetti del regolamento e garantire che rispettiamo i principi chiave del RGPD, in particolare il principio della “Privacy by Design,” che si riferisce alla conformità di una procedura di trattamento dei dati prima che sia realmente attuata.

Il nostro DPO sarà assistito da una SecOps per aspetti specificamente correlati alla sicurezza e alla tracciabilità dei dati. In caso di necessità, è possibile contattare il nostro DPO direttamente per email all’indirizzo dpo@sendinblue.com.

Stato attuale e fasi successive

La conformità al RGPD in realtà non finisce mai. È un processo continuo che richiede un monitoraggio costante e la conferma che i principi della legge sono difesi internamente grazie al nostro trattamento dei dati attuale e alla valutazione continua che utilizza il criterio della Privacy by Design per ogni nuova procedura che comprenda il trattamento di dati personali.

SendinBlue è fiera di avere completato la prima parte di questa sfida. Continueremo a mantenere il nostro impegno alla conformità per continuare a essere un partner terzo fidato nella fornitura di software per i nostri utenti.

Lo svolgimento di questa enorme operazione di messa in conformità ha fornito a SendinBlue numerosi vantaggi, tra cui:

  • L’avere radunato l’intera azienda attorno a un obiettivo comune e la collaborazione tra team differenti per raggiungere tale obiettivo
  • L’attuazione di procedure ancora più rigorose relative alla gestione e al trattamento dei nostri dati per continuare a migliorare la nostra sicurezza
  • Il rapido ottenimento della conformità con l’aiuto di partner esterni
  • L’esecuzione di una valutazione innovativa della sicurezza della nostra rete e l’attuazione delle misure correttive necessarie
  • Il rafforzamento del legame tra SendinBlue e i suoi utenti fornendo gli strumenti necessari per la conformità al RGPD sulla nostra piattaforma

SendinBlue è un’organizzazione che comprende quasi 150 persone: siamo tutti impegnati a garantire la sicurezza e la riservatezza dei dati personali che ci avete affidato. Prendiamo sul serio questa responsabilità come parte della nostra missione principale per fornire una piattaforma completa di marketing digitale per piccole e medie imprese in crescita e di successo.

Dubbi o domande?

Siamo lieti di rispondere a eventuali domande o di discutere eventuali dubbi su SendinBlue e il RGPD in qualsiasi momento. Basta contattarci per email in qualsiasi momento all’indirizzo gdpr@sendinblue.com.