Sendinblue Blog

Elige una categor铆a :

Nuestra historia: qu茅 hace Sendinblue para cumplir con el RGPD

驴RGPD? Estas cuatro letras, ahora muy conocidas en el mundo digital, despiertan un gran inter茅s y se est谩n convirtiendo en una gran preocupaci贸n para todas aquellas empresas que poseen datos de ciudadanos europeos.

Haremos un resumen de c贸mo Sendinblue ya cumpl铆a con el Reglamento General de Protecci贸n de Datos desde principios de 2017.

 

1 – Inicio y primeras medidas

 

A principios del 2017, el concepto de RGPD segu铆a siendo vago y poco conocido por el p煤blico en general. Sin embargo, Sendinblue comenz贸 r谩pidamente a reflexionar sobre el tema y las implicaciones que tendr铆a est谩 regulaci贸n una vez que entrara en vigor.

Fue entonces evidente que ten铆amos mucho trabajo por hacer, especialmente porque somos un controlador de datos y una empresa que gestiona datos personales de terceros.

La misi贸n de Sendinblue siempre ha sido proporcionar a peque帽as y medianas empresas herramientas de marketing para tener 茅xito en sus campa帽as. Por lo tanto, adem谩s de nuestro propio cumplimiento, nos hemos esforzado por ayudar a nuestros usuarios a garantizar el suyo.

La primera acci贸n fue nombrar a Amalia Bercot – Directora de Operaciones – como coordinadora del cumplimiento del reglamento. El objetivo era garantizar que Sendinblue continuase con su objetivo principal: permitir que las PYMES se comunicasen con sus clientes actuales y potenciales mientras cumplen con esta nueva regulaci贸n.

Amalia r谩pidamente confi贸 en la experiencia de la firma Keley Data (firma consultora especializada en temas de datos) para hacer una primera auditor铆a y ver c贸mo Sendinblue manejaba los datos.

Despu茅s de esta primera auditor铆a se identificaron tanto las 谩reas claves como las caracter铆sticas principales para ayudar a nuestros usuarios a cumplir con el RGPD.

 

2 – El proceso de implantaci贸n

Gradualmente, Sendinblue empez贸 a implementar los pasos necesarios para poder cumplir con el RGPD, y abord贸 al mismo tiempo aspectos de seguridad, legales, t茅cnicos, organizativos y humanos con la ayuda de las partes interesadas.

 

2.1 – La adaptaci贸n de las caracter铆sticas clave

 

Empezamos haciendo una reuni贸n con algunos usuarios, directores de cuentas, el equipo de producto, el equipo t茅cnico y nuestros abogados para identificar los puntos clave relacionados con el RGPD que Sendinblue necesitaba tomar en cuenta.

 

  • El deber de dar informaci贸n en un contexto de corresponsabilidad

Desde inicios de la primavera del 2017, despu茅s de estar informados sobre la inminente llegada del RGPD, muchos usuarios comenzaron a ponerse en contacto con nosotros para resolver dudas de gran relevancia respecto al RGPD.

Como respuesta, pusimos a su disposici贸n una gran cantidad de informaci贸n y recursos en nuestro sitio web y blog sobre los derechos que tienen respecto al RGPD y las mejores pr谩cticas para cumplir con esta ley.

Esta informaci贸n est谩 presente en la plataforma para ayudar a los usuarios cumplir con la ley en el uso de nuestra plataforma:

-La importaci贸n de contactos

-La creaci贸n de un formulario de recopilaci贸n para obtener el consentimiento de los contactos

-La creaci贸n de campa帽as de correo electr贸nico y el env铆o a los suscriptores

Se ha agregado adem谩s una secci贸n espec铆fica sobre el RGPD en el centro de ayuda y regularmente organizamos seminarios web informativos sobre el tema.

 

  • El derecho de rectificaci贸n, olvido y portabilidad

Hace algunos a帽os ya era posible ejercer el derecho a la rectificaci贸n, el olvido y la portabilidad de datos. Por lo tanto, no hemos necesitado de ning煤n cambio a este nivel. Sin embargo, como indic谩bamos anteriormente, hemos detallado los procedimientos para ejercer estos derechos en varios apartados dentro de nuestra web.

 

  • Duraci贸n de los registros a emails transaccionales

Hasta ahora, los registros transacciones se manten铆an por defecto sin l铆mite de tiempo. Desde finales de mayo de 2018, cada usuario podr谩 definir la duraci贸n durante la cual desea que se conserven sus registros para los env铆os de emails transaccionales, as铆 como la vista previa del contenido de sus mensajes. Esta funci贸n ya est谩 disponible solicit谩ndola a trav茅s del Servicio de Atenci贸n al Cliente.

 

  • Gesti贸n del formulario de suscripci贸n al newsletter

Se ha prestado especial atenci贸n a los formularios de inscripci贸n porque son una parte integral para los usuarios y el poder cumplir con la regulaci贸n.

Ahora es posible administrar las preferencias del suscriptor al agregarlos a listas espec铆ficas en funci贸n de sus elecciones al momento de registrarse. Tambi茅n ofrecemos a los usuarios la posibilidad de agregar una nota en la parte inferior de las formas de suscripci贸n que les permite tener acceso a la pol铆tica de privacidad de la marca.

 

  • Disponibilidad de la prueba de consentimiento

Una vez que el contacto ha dado sus datos, la prueba del consentimiento del contacto estar谩 completamente disponible en su ficha de contacto.

Cada perfil especificar谩 el momento exacto de su registro, el ID de la forma que utiliz贸 para suscribirse, as铆 como su IP. Esta informaci贸n ser谩 exportable para proporcionar a nuestros usuarios una prueba de consentimiento si fuese necesario.

 

2.2 – Una extensa revisi贸n de seguridad

 

Algo tan sensible como la seguridad de los datos siempre ha sido nuestra prioridad. El RGPD nos ha permitido ir un paso m谩s all谩: garantizar la seguridad herm茅tica de las transferencias de datos y el almacenamiento, as铆 como mejorar la supervisi贸n, el control y el acceso seguro a los datos.

 

  • Instalaci贸n de sistemas de archivo de datos y rastreabilidad

La prevenci贸n de fugas de datos requiere un control preciso del procesamiento de datos que ocurre en nuestra plataforma.

Hemos implementado la rastreabilidad de todos los procesamientos de datos que se llevan a cabo en nuestra plataforma, gracias a un sistema de seguimiento e identificaci贸n de registros.

Adem谩s, buscamos optimizar la protecci贸n los datos archivados de nuestros clientes. Esta informaci贸n est谩 alojada en bases de datos separadas y los datos personales est谩n encriptados.

Estos archivos est谩n guardados solo por razones legales. Una vez que se acaba el tiempo de retenci贸n de datos, estos se eliminan al final del per铆odo.

 

  • El lanzamiento de pruebas de intrusi贸n

Empezamos trabajando con una empresa de consultor铆a especializada en ciberseguridad, de la cual recibimos una retroalimentaci贸n muy positiva respecto a la dificultad de acceder a nuestro sistema.

Convencidos de que siempre podemos hacer m谩s para asegurar la seguridad de los datos, contactamos a Bounty Factory. Esta empresa brit谩nica cuenta con una comunidad de investigadores de seguridad y hackers 茅ticos que pueden ser solicitados para hacer investigaci贸n adicional de nuestro sistema y evaluar la seguridad de los datos.

Este programa, conocido como bug bounty, promueve encarecidamente la b煤squeda de errores en el sistema, ya que por cada error identificado la empresa proporciona un incentivo al buscador que lo encuentre.

Este modelo de “recompensa” fomenta fuertemente la detecci贸n de fallos y vulnerabilidad en la plataforma de Sendinblue, minimizando el riesgo de potenciales ataques e intrusiones.

 

2.3 – La gesti贸n de nuestros socios y procesadores

 

Con el RGPD se resalta la importancia de la corresponsabilidad: de ahora en adelante, todas las partes interesadas son responsables del tratamiento de los datos, ya sea el controlador (la parte que determina los prop贸sitos del procesamiento de datos), o los procesadores dentro de toda la cadena, todos tienen una parte de responsabilidad ya que el procesamiento tiene efectos en los datos personales.

Con esta doble funci贸n, de controlador y procesador, Sendinblue requiere garantizar el cumplimiento de ambas partes.

Como procesador, hemos establecido los medios para garantizar el cumplimiento del RGPD en toda nuestra cadena de procesamiento de datos con todos nuestros proveedores de software asociados.

Como controlador, tambi茅n debemos garantizar el cumplimiento de las nuevas reglamentaciones por parte de de nuestros propios proveedores o procesadores de informaci贸n.

Por lo tanto, contactamos a cada uno de nuestros proveedores con preguntas espec铆ficas sobre su propio procesamiento de datos. Esto nos permiti贸 aseguramos de que sus procesos de procesamiento de datos estuvieran en l铆nea con el RGPD y con los compromisos que tenemos para con nuestros clientes.

Tuvimos que tomar la decisi贸n de dejar de trabajar con determinados proveedores ya que no ten铆an respuestas satisfactorias a nuestras preguntas.

Cuando las respuestas fueron satisfactorias, contractualizamos estos requerimientos mediante DPAs (Acuerdo de procesamiento de datos).

El DPA es un documento que especifica el tipo y los m茅todos del procesamiento de datos llevado a cabo por el proveedor en nombre de Sendinblue, lo que permite garantizar un marco regulatorio y una rastreabilidad de los datos.

Para nuestros proveedores domiciliados en los Estados Unidos, tambi茅n verificamos su certificaci贸n de Escudo de privacidad, una condici贸n necesaria para el procesamiento de datos de ciudadanos europeos.

 

2.4 – Documentaci贸n legal

 

Por supuesto, hemos adaptado nuestra documentaci贸n legal, en particular los T茅rminos Generales y Condiciones de uso de los servicios de Sendinblue y la Pol铆tica de privacidad, ambos disponibles en la web.

Contratamos los servicios de Gide, una firma l铆der de abogados, para poner nuestros compromisos y responsabilidades, as铆 como de los usuarios, en t茅rminos completos y transparentes.

Se ha redactado una cl谩usula de subcontrataci贸n y es contigua a los T茅rminos de Uso, con el fin de especificar el rol y las responsabilidades de Sendinblue frente a sus usuarios como un tercero en la prestaci贸n de servicios.

 

2.5 – Las implicaciones del RGPD sobre la organizaci贸n interna de Sendinblue

 

El RGPD tambi茅n nos anim贸 a optimizar nuestra organizaci贸n interna y poner en pr谩ctica dentro de nuestra empresa las mejores pr谩cticas y procesamientos que apoyen los principios fundamentales de la regulaci贸n.

 

  • Capacitaci贸n del personal

Los roles de algunos empleados de Sendinblue requiere acceso privilegiado a ciertos datos personales. Este es el caso, por ejemplo, de los ejecutivos de cuentas, que necesitan acceder a ciertos elementos de las cuentas de sus clientes para responder sus preguntas.

Comenzamos por profundizar la cl谩usula de confidencialidad de los contratos de los empleados y hemos organizado sesiones de capacitaci贸n. La capacitaci贸n incluye un repaso general de las reglas del RGPD, as铆 como cursos de capacitaci贸n especializados dise帽ados para enriquecer la capacitaci贸n inicial para los equipos espec铆ficos que se ocupan de datos confidenciales de manera regular.

Esto provee a todo el personal de la compa帽铆a un conocimiento claro de sus obligaciones bajo las nuevas regulaciones.

 

  • Establecimiento de procedimientos 聽y controles internos

Para garantizar el cumplimiento de las medidas, se han revisado los procedimientos internos, especialmente en lo que respecta a la gesti贸n del acceso del personal, la gesti贸n de las solicitudes de los interesados respecto a sus derechos 鈥嬧媦 la gesti贸n de la conservaci贸n y la eliminaci贸n de los datos.

Se estableci贸 un plan de control para verificar regularmente la correcta aplicaci贸n de los procedimientos implementados y la actualizaci贸n de la documentaci贸n.

 

  • Nombramiento de personas a cargo para garantizar el cumplimiento

La implementaci贸n del cumplimiento de las medidas ha sido gestionado por nuestro Director de Operaciones. Paralelamente, hemos nombrado un Oficial de Protecci贸n de Datos (OPD), Jules Jeanroy, que es responsable de garantizar que el cumplimiento de Sendinblue con el RGPD sea efectivo a lo largo del tiempo.

Corresponde al OPD monitorear regularmente la aplicaci贸n de los diferentes aspectos de la regulaci贸n y garantizar el cumplimiento de los principios fundamentales del RGPD, particularmente el principio de 鈥淧rivacidad de Dise帽o鈥, que se refiere al cumplimiento de un procedimiento de procesamiento de datos antes de que sea implementado.

Nuestro OPD ser谩 asistido por un SecOps para los aspectos relacionados con la seguridad y rastreabilidad de datos. Nuestro OPD puede ser contactado directamente en dpo@sendinblue.com

 

3 – Estatus actual y pr贸ximos pasos

 

El cumplimiento del RGPD, en realidad nunca termina. Es un proceso continuo que requiere comprobar regularmente que los principios de la ley se respeten internamente, as铆 como continuar evaluando y pasar cada nuevo procesamiento de datos bajo el microscopio del criterio de 鈥減rivacidad de dise帽o鈥.

Sendinblue se enorgullece de haber completado la primera parte del reto. Continuaremos manteniendo este cumplimiento, y seguir siendo un proveedor de software confiable para nuestros clientes.

Al tomar estas medidas regulatorias, Sendinblue ha tenido varios beneficios, como:

  • Reunir a toda nuestra organizaci贸n en torno a un objetivo com煤n y colaborar en diferentes equipos para lograrlo
  • Implementar procedimientos a煤n m谩s rigurosos en torno a nuestra gesti贸n y procesamiento de datos para continuar mejorando nuestra seguridad
  • Lograr un cumplimiento r谩pido a trav茅s del apoyo de socios externos
  • Realizar una evaluaci贸n innovadora de la seguridad de nuestra red e implementar las medidas correctivas necesarias
  • Reforzar el v铆nculo entre Sendinblue y nuestros usuarios al proporcionar las herramientas necesarias para el cumplimiento de GDPR en nuestra plataforma.

Sendinblue es una organizaci贸n con cerca de 150 personas, y todos estamos comprometidos en asegurar la seguridad y confidencialidad de los datos personales que se nos encomienden. Tomamos esta responsabilidad seriamente como parte de nuestra misi贸n de proveer una plataforma de marketing digital todo en uno para peque帽as y medianas empresas.

Nos dar谩 gusto responder a cualquier pregunta o discutir de cualquier preocupaci贸n que puedas tener respecto a Sendinblue y el RGPD. Env铆anos tu mensaje a:

Si tienes alguna pregunta sobre el cumplimiento de Sendinblue con el RGPD, env铆ala a la siguiente direcci贸n: dpo@sendinblue.com

 

Etiquetas: ,

Dejar una Respuesta

Pruebe gratuitamente y env铆e hasta 300 e-mails al d铆a

Sin tarjeta de cr茅dito. Sin compromiso.