Em maio de 2018, a legislação RGPD se tornará lei e a fetará todas as organizações que tenham relações comerciais com os titulares de dados da UE. Nós da Reply.io estamos comprometidos em tornar nosso produto e organização compatíveis com estes novos conjuntos de regras e, durante esse processo, também iremos ajudar nossos clientes a se prepararem.

Já estamos passando por mudanças em processos, políticas e infraestrutura para que isso aconteça. Alguns dos tópicos e perguntas mais comuns sobre o RGPD e o Escudo de Proteção da Privacidade UE-EUA abordados neste artigo foram criados para ajudar os clientes e parceiros a entender onde estamos atualmente e o que esperar.

Sobre dados pessoais

Pesquisa e identificação de dados pessoais

Na Reply.io, os dados pessoais dos nossos clientes armazenados na nossa plataforma estão localizados na nuvem do Azure (Azure Cloud) e em sistemas internos necessários para operações que também são aplicativos em nuvem. Fizemos alterações na política interna para garantir que não haja dados pessoais armazenados localmente por funcionários fora desse plano. Para dados que pertencem aos nossos clientes como controladores de dados em suas contas, estes são armazenados apenas na nuvem do Azure. Recomenda-se que os clientes acessem sua infraestrutura, pois é responsabilidade deles lidar com dados pessoais em suas contas.

Categorização

Não fazemos um esforço consciente para coletar dados pessoais de grupos específicos, como por exemplo, informações sobre pessoas com menos de 18 anos de idade, que são especificamente mencionados nos regulamentos da RGPD.

Manter um inventário de dados pessoais

Atualmente, temos uma separação clara dos dados pessoais sobre nossos funcionários e clientes usados em vários sistemas (CRM, Intercom, plataforma Reply, Slack). Os dados pessoais dos titulares de dados nas contas dos clientes são armazenados e processados apenas no aplicativo Reply. Fora do aplicativo Reply, usamos e processamos esses dados apenas como agregados para fins de análise.

Gestão de dados

Permitir práticas e processos de governança de dados

Estamos a desenvolver um plano de processos que afetarão muitos departamentos e que respeitarão os direitos dos titulares de dados pessoais de acordo com a decisão do RGPD e como lidamos com eles.

Fornecer aviso detalhado das atividades de processamento para os titulares dos dados pessoais

Desenvolvemos uma página de "Trust" no site com uma política de privacidade atualizada que abordará como usamos os dados de nossosclientes como controladora de dados. Tem também uma explicação decomo os dados pessoais em suas contas Reply serão processados (comoprocessador de dados).

Pedido para descontinuar o processamento de dados

Na página de "Trust", haverá um formulário de solicitação e estamos a implementar um processo para interromper o processamento de dados pessoais dos seus titulares e notificar os controladores de dados (clientes).

Coleta de consentimento granular e inequívoco dos titulares de dados

Iremos usar dados pessoais dos nossos clientes e funcionários sob a cláusula de "motivos de interesse legítimo" conforme necessário para cumprir nossas obrigações contratuais ou para fornecer suporte ao cliente no uso da plataforma Reply. Para os titulares de dados nas contas dos nossos clientes, é responsabilidade deles, como controladores de dados, obter o consentimento ou usar outras razões (compatíveis com RGPD) para obter e armazenar dados pessoais. Nós, como processadores de dados, estamos aqui para ajudar a respeitar os direitos dos titulares de dados e fornecer informações sobre como processamos esses dados.

Facilitar o mecanismo de comunicação entre o titular de dados e a organização para lidar com as solicitações dos mesmos

Estamos trabalhando para lançar a página "Trust" no nosso site - Reply.io, até meados de Abril, onde os formulários de solicitação serão localizados para postar solicitações relacionadas com o Escudo de Proteção da Privacidade RGPD ou UE-EUA. A nossa equipe de DPO (Oficial de Proteção de Dados) ou Suporte ao Cliente irá comunicar através de e-mail ou chat sobre esses tópicos.

Corrigir dados pessoais incorretos ou incompletos relativos aos titulares de dados

Na página "Trust", será possível postar tal solicitação (e também solicitar o fornecimento de dados que armazenamos relativamente aos titulares de dados) e nós iremos respeitar.

Apagar dados pessoais relativos aos titulares de dados

Na página "Trust", será possível postar tal solicitação (e também solicitar o fornecimento de dados que armazenamos relativamente aos titulares de dados) e nós iremos respeitar. Em Abril, vamos implementar um processo interno de como atenderemos a essas solicitações.

Fornecera os titulares de dados os seus dados pessoais em um formato comum e estruturado

Na página "Trust", será possível postar talsolicitação (e também solicitar o fornecimento de dados que armazenamos relativamente aos titulares de dados) e nós iremos respeitar.

Restringir o processamento de dados pessoais

Na página "Trust", será possível postar tal solicitação (e também solicitar o fornecimento de dados que armazenamos relativamente aos titulares de dados) e nós iremos respeitar.

Analise de processamento de dados realizada através de meios automatizados

Na página "Trust" e na política de privacidade, destacaremos os casos em que usamos meios automatizados para processamento de dados pessoais ou de perfil.

Nomear um Oficial de Proteção de Dados (DPO)

Até 1ºde Maio de 2018, iremos nomear um DPO e seus contatos (com contatos do nosso representante na UE e de uma empresa de terceiros que fornecerá mecanismos de recursos independentes para o Escudo de Proteção da Privacidade UE-EUA) e estarão disponíveis na página "Trust".

Proteção de dados

Proteção de dados e privacidade desde a concepção como configuração padrão

Como parte da implementação da conformidade com o RGPD, nós analisamos as nossas políticas internas e como abordamos a Criação de Valor para os clientes com a sua privacidade em mente.

Proteção de dados pessoais através de criptografia

Até 1ºde Maio, planejamos usar criptografia para dados armazenados na plataforma Reply através da nuvem do Microsoft Azure (sujeito a limitações técnicas).

Proteção de dados pessoais, aproveitando os controles de segurança que garantem a confidencialidade, integridade e disponibilidade dos dados pessoais

Uma abordagem de três vias está neste momento a ocorrer. Primeiro, atualizamos nossas políticas internas de funcionários para conceder acesso às funções necessárias e limitar as possibilidades de violação. Em segundo lugar, os processos para respeitar as regrasdo RGPD estão em processo de implementação. Por fim, as melhorias técnicas na infraestrutura, como o cofre e criptografia de dados do Microsoft Azure, estão planejadas até 25 de Maio.

Preparar, detectar e responder às violações de dados

O processo e as políticas que já desenvolvemos irão cobrir a forma como comunicamos sobre possíveis violações, enquanto as melhorias técnicas deverão limitar tais riscos.

Facilitar testes frequentes de medidas de segurança

Durante o ano de 2017, nós realizamos durante três meses um período detestes intensivos de segurança dos nossos aplicativos e corrigimos 15 vulnerabilidades. Após Maio de 2018, outro período de testes irá ser planejado para analisar a situação atual.

Relatórios

Manter um registro para exibir a conformidade com o RGPD

Nós armazenamos dados em formatos processados ou brutos e temos uma listade atividades de processamento que podem ser combinadas para cadaregistro caso seja necessário.

Rastreare registrar fluxos de dados pessoais dentro e fora da UE

Para cobrir esses fluxos, nós aplicamos e estamos atualmente no processo de auto-certificação do programa de proteção de dados pessoais e à privacidade entre a UE e os EUA para a migração de dados entre estes. Também, os nossos funcionários (ou contratados) assinarão contratos com cláusulas contratuais que cobrirão a transferência de dados para países que não sejam cobertos pelo Escudo de Proteção da Privacidade UE-EUA. Dados que se movem através de integrações nas contas dos nossos clientes, pertencem a eles como controladores de dados, assim como essas contas conectadas. Para garantir que tais aplicativos cubram fluxos de registros de dados pessoais compatíveis, os clientes devem consultar os representantes dessas empresas /organizações.

Rastrear e registrar fluxos de dados pessoais para provedores de serviços de terceiros

Dados pessoais dos nossos clientes ou funcionários que se mudaram para provedores de terceiros (como nossos sistemas internos que são necessários para automatizar as operações da empresa) são armazenados lá e podem ser acessados ou eliminados a qualquer momento. Também temos registros de fluxos de dados desde o ponto em que coletamos esses dados para sistemas de terceiros (se tal transferência ocorreu).

Facilitar a avaliação do impacto da proteção de dados

A partir de agora, nós implementamos a primeira onda de processos e mudanças técnicas necessárias para estar em conformidade. Depois disso, vamos considerar a avaliação de impacto da proteção dedados.

Did this answer your question?