Como a SendinBlue cumpre com o disposto no RGPD?

Este artigo fornece uma visão geral das iniciativas iniciais e em ação na SendinBlue para garantir nossa própria conformidade com a RGPD, como seu processador de dados, bem como nossos esforços para dar suporte à conformidade de nossos usuários como controladores de dados.  

Estas iniciativas focam em cinco áreas-chave, as quais estão destacadas em detalhes abaixo:

  1. Recursos-chave 
  2. Segurança 
  3. Gestão de parceiros e processadores 
  4. Documentação jurídica
  5. Organização

1 – A adaptação de recursos-chave

A SendinBlue identificou as etapas-chave do RGPD a serem cumpridas, colaborando com uma amostra de usuários, nossos gerentes de conta, equipes de produtos, equipes técnicas e conselho jurídico. 

O dever de prover informações em um contexto de responsabilidades

Diversos recursos informacionais estão disponíveis em nossos site e blog sobre os direitos dos remetentes de emails marketing sob o RGPD e as melhores práticas que podem ser implementadas para se adequar à lei.

Estes recursos estão disponíveis na plataforma para ajudar usuários a respeitar as etapas-chave de uso da nossa plataforma:

  • Importação de contatos
  • Construção de formulários de assinatura de e-mails para adquirir consentimento dos contatos
  • Criação de campanhas de e-mail a serem enviadas aos assinantes

A seção específica sobre RGPD foi adicionada à central de ajuda e continuamos a organizar webinars regulares sobre o assunto para mais esclarecimentos.

O direito a retificação, portabilidade e a ser esquecido

Os direitos a retificação, portabilidade e a ser esquecido foram estabelecidos há muitos anos. Portanto, não temos nenhuma alteração operacional relacionada a estes direitos. No entanto, como indicado acima, fornecemos mais detalhes sobre as modalidades do exercícios destes direitos.

Logs transacionais

Até agora, por padrão, todos os logs de e-mails transacionais foram preservados indefinidamente.

Começando no final de maio de 2018, será possível para os usuários definirem por quanto tempo desejam preservar os logs de seus e-mails transacionais e o preview do conteúdo contido em cada uma destas mensagens. Esta funcionalidade já está disponível sob demanda por meio de nossa equipe de atendimento ao cliente.

Formulários de assinatura de e-mail

Atenção especial foi dada aos formulários de assinatura de e-mail durante o processo de conformidade, uma vez que esta é uma parte integral da conformidade para nossos usuários.

Agora é possível gerenciar as preferências do assinante, adicionando-o a listas específicas de acordo com suas escolhas no momento da assinatura. Permitimos também que o usuário adicione uma nota padronizada no rodapé dos formulários de assinatura que deem aos assinantes acesso à política de privacidade da marca.

Prova de consentimento

Uma vez coletadas as informações do contato, a prova de consentimento estará disponível em seu perfil.

Cada perfil de contato incluirá o momento exato da assinatura, a ID do formulário usado para a assinatura e seu endereço IP. Estas informações poderão ser exportadas para que os usuários SendinBlue possam facilmente fornecer prova de consentimento, se necessário.

2 – Uma avaliação avançada da segurança

Sabemos que segurança de dados é um problema sensível para muitos, motivo pelo qual sempre foi uma de nossas principais prioridades. O RGPD nos deu poder para aprofundar ainda mais esta prioridade: garantindo transferências e armazenamento de dados perfeitos, bem como um melhor monitoramento e controle de dados para acesso mais fácil e seguro para nossos usuários. 

A instalação de arquivos de dados e sistemas de rastreio

Para evitar vazamento de dados, é necessário ter controle rígido do processamento de dados que ocorre em nossa plataforma.

Usando o rastreio de dados e o log de identificação, aprovamos um sistema de rastreio de dados ao longo de todos os procedimentos de processamento de dados em nossa plataforma.

Além disso, buscamos maximizar a segurança dos dados arquivados de nossos usuários. Agora, estes dados estão sendo armazenados em bases de dados separadas e os dados pessoais criptografados.

Estes arquivos são armazenados apenas para fins legais. Uma vez terminado o período de retenção, o dado é eliminado da base de dados.

Testes contra penetração na rede

Começamos a trabalhar com uma empresa de consultoria especializada em segurança cibernética e recebemos um feedback muito positivo quanto à dificuldade de penetração em nosso sistema.

Sabendo que sempre podemos fazer mais para garantir a segurança de nossos dados, buscamos a Bounty Factory. Esta plataforma britânica nos permite criar colaborativamente uma pesquisa adicional em nossa rede e segurança de dados a partir de uma grande comunidade de “white hat” ou hackers éticos e pesquisadores de segurança.

O programa, conhecido como bug bounty, incentiva fortemente pesquisar as vulnerabilidades em nossos sistemas, com cada vulnerabilidade (ou “bug”) encontrado sendo premiado com uma recompensa financeira.

O sistema de compensação financeira cria um forte incentivo para que os pesquisadores descubram quaisquer vulnerabilidades possíveis no sistema SendinBlue, minimizando nossos riscos de potenciais ataques maliciosos.

3 – A gestão de nossos parceiros e processadores

Um dos principais princípios introduzidos pelo RGPD é o da responsabilidade compartilhada. Isto significa, essencialmente, que todas as partes interessadas, sejam elas o controlador (parte que determina as finalidades e os meios do processamento de dados) ou um dos processadores mais adiante na cadeia, têm parte da responsabilidade jurídica, uma vez que o processamento está sendo realizado em dados pessoais.

Atuando tanto como controladora, quanto processadora, a SendinBlue tem que abordar o princípio da responsabilidade de ambos os lados.

Como processadora, estabelecemos meios para garantir a conformidade ao RGPD em toda a nossa cadeia de processamento de dados com todos os nossos provedores de softwares parceiros.

Como controladora, também devemos garantir a conformidade de nossos próprios processadores com as novas regulamentações. Consequentemente, contactamos processadores com questões específicas sobre seus métodos de processamento de dados. Isso nos permitiu garantir que os procedimentos deles acerca do processamento de nossos dados estão em conformidade com o RGPD e os compromissos que temos com os nossos clientes.

Encerramos colaboração com qualquer processador incapaz de fornecer respostas satisfatórias para nossas perguntas.

Uma vez tendo recebido respostas satisfatórias de nossos outros processadores, colocamos nossas exigências em contratos por meio de DPAs (Acordos de processamento de dados).

O DPA é um documento especificando o tipo e os métodos de processamento de dados realizados pelo processador em nome da SendinBlue, que torna possível garantir o enquadramento jurídico e a rastreabilidade dos dados.

Para nossos processadores localizados nos Estados Unidos, verificamos também suas certificações do Escudo de Proteção da Privacidade, que é condição necessária para processamento de dados de cidadãos europeus.

4 – Documentação jurídica

Levando em conta as novas exigências trazidas pelo RGPD, é claro que atualizamos nossa documentação jurídica. Especificamente, fizemos alterações em nossos Termos e Condições Gerais e em nossa Política de privacidade, ambos disponíveis em nosso site.

Uma cláusula de processador foi elaborada e incluída em nossos Termos e Condições a fim de detalhar a função e responsabilidades da SendinBlue diante de nossos usuários como um provedor de serviço de terceiros.

5 – Implicações internas do RGPD na organização SendinBlue

O RGPD também nos compele a otimizar nossa organização interna e arranjar melhores práticas e procedimentos que deem suporte aos principais princípios apresentados pela regulação.

Consciência dos funcionários

Alguns indivíduos na SendinBlue têm funções que requerem acesso privilegiado a dados pessoais.

Por exemplo, gerentes de conta podem precisar acessar alguns elementos de uma conta de usuário a fim de atender a uma dúvida de suporte.

Começamos por expandir a cláusula de confidencialidade nos contratos dos funcionários contratados e por facilitar as sessões de treinamento.

O treinamento inclui um curso de visão geral sobre as exigências do RGPD, bem como cursos de treinamento especializado projetados para treinamento de equipes específicas que lidam com dados sensíveis em uma base regular.

Estes cursos fornecem a todo o pessoal entendimento claro de suas obrigações em relação à nova regulação.

Procedimentos e controles internos

A fim de garantir uma aplicação suave de nossas medidas de conformidade, revisamos todos os nossos procedimentos internos acerca da gestão do acesso de funcionários aos dados pessoais, do tratamento dos pedidos de indivíduos que buscam exercitar seus direitos em relação aos próprios dados pessoais e dos processos envolvendo a manutenção e eliminação dos dados.

Um plano de controle foi estabelecido para verificar regularmente a aplicação adequada destes procedimentos e a atualização da documentação correspondente.

A nomeação de indivíduos responsáveis pela manutenção da conformidade adequada

A implementação de nossas medidas de conformidade foi gerenciada por nosso Diretor de Operações. Paralelamente, nomeamos Jule Jeanroy como DPO (Diretor de Proteção de Dados), responsável por garantir a conformidade continuada da SendinBlue com o RGPD ao longo do tempo.

É responsabilidade do DPO monitorar também a aplicação dos diferentes aspectos da regulamentação e garantir que respeitemos os principais princípios do RGPD, principalmente o princípio de “Privacidade na concepção,” o qual se refere à conformidade de um procedimento de processamento de dados antes deste ser realmente implementado.

Nosso DPO será assistido por um SecOps para aspectos especificamente relacionados a segurança e rastreabilidade de dados. Caso precise entrar em contato com nosso DPO, ele pode ser contactado diretamente pelo e-mail dpo@sendinblue.com.

Status atual e próximas etapas

A conformidade com o RGPD, em si, nunca termina realmente. Trata-se de um processo contínuo que requer monitoramento regular e confirmação de que os princípios da lei estão sendo respeitados internamente por nossos processamentos atuais de dados, bem como continuamente avaliados usando o critério de Privacidade na concepção para cada novo procedimento que envolva o processamento de dados pessoais.

SendinBlue está orgulhosa de ter concluído a primeira parte do desafio. Continuaremos a manter nossa dedicação à conformidade a fim de continuar sendo um fornecedor de software a terceiros de confiança para nossos usuários.

A realização desta massiva operação de conformidade forneceu diversos benefícios à SendinBlue, incluindo:

  • a união de toda a nossa organização em torno de um objetivo comum, fazendo com que diferentes equipes colaborassem entre si para o alcance deste objetivo;
  • a implementação de procedimentos ainda mais rigorosos em torno da nossa gestão e processamento de dados, para continuar melhorando a nossa segurança;
  • a conformidade rapidamente alcançada com a ajuda dos parceiros externos;
  • a realização de uma avaliação inovadora de nossa segurança de rede e a implementação das medidas corretivas necessárias;
  • o reforço do link entre a SendinBlue e os nossos usuários, fornecendo as ferramentas necessárias para a conformidade com o RGPD em nossa plataforma.

SendinBlue é uma organização que engloba cerca de 150 pessoas e estamos todos comprometidos em garantir a segurança e a confidencialidade dos dados pessoais confiados a nós. Levamos essa responsabilidade a sério, como parte de nossa principal missão para fornecer uma plataforma de marketing digital única para pequenas e médias empresas crescerem e obterem sucesso.

Dúvidas ou preocupações?

É sempre um prazer responder a qualquer pergunta ou discutir quaisquer preocupações que você possa ter em relação à SendinBlue e ao RGPD. Entre em contato conosco a qualquer momento por meio do e-mail gdpr@sendinblue.com.