Lea este artículo si desea obtener más información sobre el cumplimiento de GDPR y el Escudo de privacidad de la UE-EE. UU. en Reply.io y cómo puede administrar sus datos.

En mayo del 2018, la legislación GDPR se convertirá en ley y afectará a todas las organizaciones que tienen relaciones comerciales con personas interesadas en los temas de datos de la UE. En Reply.io, estamos comprometidos a hacer que nuestro producto y organización cumplan con estas nuevas reglas y, en el proceso, también ayudaremos a nuestros clientes a prepararse.
Ya estamos experimentando cambios en los procesos, políticas e infraestructura para que eso suceda. Algunos de los temas y preguntas más comunes relacionados con el GDRP y el escudo de privacidad de la UE-EE. UU. que se cubren en este artículo se crearon para ayudar a los clientes y socios a comprender dónde estamos actualmente y qué esperar.

Descubrir los datos personales

Buscar e identificar datos personales
Para Reply.io, los datos personales de nuestros clientes almacenados en su aplicación se encuentran en la nube de Azure y en los sistemas internos necesarios para las operaciones, que también son aplicaciones en la nube. Hemos realizado cambios en las políticas internas para garantizar que los empleados no almacenen localmente datos personales fuera de este ámbito. En cuanto a los datos que pertenecen a nuestros clientes como controladores en sus cuentas, solo se almacenan en la nube de Azure. Se recomienda que los clientes accedan a su infraestructura, ya que es su responsabilidad manejar los datos personales en sus cuentas. 

CategorizaciónNo hacemos un esfuerzo consciente para recopilar datos personales de grupos específicos, como información sobre personas menores de 18 años, por ejemplo, que se mencionan específicamente en las regulaciones de GDPR.

Mantener un inventario de los datos personalesActualmente, tenemos una clara separación de los datos personales sobre nuestros empleados y clientes utilizados en cantidad de sistemas (CRM, Intercom, aplicación de Reply, Slack).  Los datos personales de los temas de datos en las cuentas de los clientes se almacenan y procesan solo en la aplicación de Reply. Fuera de la aplicación de Reply, utilizamos y procesamos dichos datos solo como agregados para fines de análisis.

Administrar datos

Habilitar prácticas y procesos de gobernabilidad de datos
Estamos avanzando en el desarrollo de una gama de procesos que afectarán a muchos departamentos y respetarán los derechos de los sujetos de datos y cómo los manejamos según la resolución GDPR.

Proporcionar notificación detallada de las actividades de procesamiento a los sujetos de datos.Desarrollamos una página de ‘Responsabilidad’ en el sitio web con una política de privacidad actualizada que cubrirá cómo utilizamos los datos de nuestros clientes como controlador. También hay una explicación de cómo se procesarán los datos personales en sus cuentas de Reply (como procesador). 

Interrumpir el procesamiento a peticiónEn la página ‘Responsabilidad’ habrá un formulario de solicitud y estamos implementando un proceso para detener el procesamiento de datos personales de los sujetos de datos y notificar a los controladores de datos (clientes).

Obtener el consentimiento granular e inequívoco de los sujetos de datosUtilizaremos los datos personales de nuestros clientes y empleados en virtud de la cláusula de ‘intereses legítimos’ según sea necesario para cumplir con nuestras obligaciones contractuales o para proporcionar asistencia al cliente mediante el uso de la plataforma de Reply. Para los sujetos de datos en las cuentas de nuestros clientes, es su responsabilidad como controladores de datos obtener el consentimiento o utilizar otras razones (compatibles con GDPR) para obtener y almacenar datos personales. Nosotros, como procesador, estamos aquí para ayudar a respetar los derechos de los sujetos de datos y proporcionar información sobre cómo procesamos dichos datos.

Facilitar el mecanismo de comunicación entre el sujeto de los datos y la organización para manejar las solicitudes de los sujetos de datos.Estamos trabajando para lanzar la página 'Responsabilidad' en nuestro sitio web, Reply.io, a mediados de abril, donde se ubicarán los formularios de solicitud para publicar solicitudes relacionadas con GDPR o el escudo de privacidad de la UE-EE. UU. Nuestro DPO o equipo de soporte al cliente se comunicarán por correo electrónico o chat de soporte sobre estos temas.

Rectificar los datos personales inexactos o incompletos relacionados con los sujetos de datosEn la página de ‘Responsabilidad’, existirá la posibilidad de publicar dicha solicitud (y también la solicitud de proporcionar datos que almacenemos sobre los sujetos de datos) y la respetaremos.

Borrar datos personales de un sujeto de datosEn la página de ‘Responsabilidad’, existirá la posibilidad de publicar dicha solicitud (y también la solicitud de proporcionar datos que almacenemos sobre los sujetos de datos) y la respetaremos. En abril, implementaremos un proceso interno sobre cómo cumpliremos dichas solicitudes.

Proporcionar al sujeto de datos sus datos personales en un formato común y estructurado
En la página de ‘Responsabilidad’, existirá la posibilidad de publicar dicha solicitud (y también la solicitud de proporcionar datos que almacenemos sobre los sujetos de datos) y la respetaremos.

Restringir el procesamiento de los datos personalesEn la página de ‘Responsabilidad’, existirá la posibilidad de publicar dicha solicitud (y también la solicitud de proporcionar datos que almacenemos sobre los sujetos de datos) y la respetaremos.

Revisar el procesamiento de datos llevado a cabo por medios automáticosEn la página de ‘Responsabilidad’ y en la política de privacidad, destacaremos los casos en los que usamos medios automatizados para procesar datos personales o crear perfiles.

Designar a un Funcionario de protección de datos (DPO, por sus siglas en inglés)Para el 1 de mayo del 2018, nombraremos a un DPO y a sus contactos (con los contactos de nuestro representante en la UE y de una compañía externa que proporcionará mecanismos de recurso independientes para el escudo de privacidad de la UE-EE. UU.) y estará disponible en la página de ‘Responsabilidad’. 

Proteger los datos

Protección de datos y privacidad por diseño y de forma predeterminadaComo parte de la implementación del cumplimiento de GDPR, hemos revisado nuestras políticas internas y la forma en que enfocamos la creación de un nuevo valor para los clientes con la privacidad en mente.

Asegurar los datos personales a través del cifrado
Para el 1 de mayo, estamos planificando utilizar el cifrado para los datos almacenados en la aplicación de Reply en la nube de Microsoft Azure (sujeto a limitaciones técnicas o de rendimiento).

Proteger los datos personales al aprovechar los controles de seguridad que garantizan la confidencialidad, integridad y disponibilidad de los datos personalesActualmente, se está implementando un enfoque de tres vías. En primer lugar, hemos actualizado nuestras políticas internas de empleados para otorgar acceso a los roles necesarios y limitar las posibilidades de incumplimiento. En segundo lugar, se están implementando procesos para respetar las reglas GDPR. Finalmente, las mejoras técnicas en infraestructura, como la bóveda de claves de Azure y el cifrado de bases de datos, se planifican para el 25 de mayo.

Prepararse, detectar y responder a incumplimientos de datos
El proceso y las políticas que desarrollamos en este momento cubrirán cómo comunicamos las posibles infracciones, mientras que las mejoras técnicas deberían limitar dichos riesgos.

Facilitar la prueba regular de medidas de seguridad
Durante el 2017, llevamos a cabo un período de 3 meses de pruebas intensivas de seguridad de aplicaciones y reparamos más de 15 vulnerabilidades. Después de mayo del 2018, se planificará otro período similar para analizar la situación actual.

Informe

Mantener un informe para mostrar el cumplimiento de GDPR
Almacenamos datos en formatos procesados o sin procesar y tenemos una lista de actividades de procesamiento que se pueden combinar para cada registro, de ser necesario.

Rastrear y registrar flujos de datos personales dentro y fuera de la UEPara cubrir dichos flujos, hemos solicitado y estamos actualmente en proceso de auto certificación para el programa de protección de la privacidad de la UE-EE. UU., para realizar la migración de datos entre la UE y los EE. UU. Además, nuestros empleados (o contratistas) firmarán contratos con cláusulas que cubrirán la transferencia de datos a países distintos a los cubiertos por el Escudo de privacidad de la UE-EE. UU. Los datos que se transmiten a través de las integraciones en las cuentas de nuestros clientes les pertenecen como controladores de datos, así como a estas cuentas conectadas. Para asegurarse de que dichas aplicaciones cubran flujos de registro de datos personales compatibles, los clientes deben consultar con los representantes de estas organizaciones.

Rastrear y registrar flujos de datos personales a proveedores de servicios de terceros
Los datos personales de nuestros clientes o empleados que se transfirieron a terceros proveedores (como nuestros sistemas internos que son necesarios para automatizar las operaciones de la compañía) se almacenan allí y se puede acceder a ellos o pueden eliminarse en cualquier momento. También contamos con registros de flujos de datos desde el momento en el que recopilamos estos datos en sistemas de terceros (si se produce dicha transferencia).

Facilitar la evaluación del impacto de la protección de datosA partir de este momento, hemos implementado la primera ola de procesos y cambios técnicos necesarios para cumplir con los requisitos. Luego de esto, consideraremos realizar la evaluación del impacto de protección de datos.

Did this answer your question?