mayo 10, 2018

Nuestra historia: qué hace Brevo para cumplir con el RGPD

Reading time about 9 min
cumplir con el rgpd

¿RGPD? Estas cuatro letras, ahora muy conocidas en el mundo digital, despiertan un gran interés y se están convirtiendo en una gran preocupación para todas aquellas empresas que poseen datos de ciudadanos europeos.

Haremos un resumen de cómo Brevo ya cumplía con el Reglamento General de Protección de Datos desde principios de 2017.

 

1 – Inicio y primeras medidas

 

A principios del 2017, el concepto de RGPD seguía siendo vago y poco conocido por el público en general. Sin embargo, Brevo comenzó rápidamente a reflexionar sobre el tema y las implicaciones que tendría está regulación una vez que entrara en vigor.

Fue entonces evidente que teníamos mucho trabajo por hacer, especialmente porque somos un controlador de datos y una empresa que gestiona datos personales de terceros.

La misión de Brevo siempre ha sido proporcionar a pequeñas y medianas empresas herramientas de marketing para tener éxito en sus campañas. Por lo tanto, además de nuestro propio cumplimiento, nos hemos esforzado por ayudar a nuestros usuarios a garantizar el suyo.

La primera acción fue nombrar a Amalia Bercot – Directora de Operaciones – como coordinadora del cumplimiento del reglamento. El objetivo era garantizar que Brevo continuase con su objetivo principal: permitir que las PYMES se comunicasen con sus clientes actuales y potenciales mientras cumplen con esta nueva regulación.

Amalia rápidamente confió en la experiencia de la firma Keley Data (firma consultora especializada en temas de datos) para hacer una primera auditoría y ver cómo Brevo manejaba los datos.

Después de esta primera auditoría se identificaron tanto las áreas claves como las características principales para ayudar a nuestros usuarios a cumplir con el RGPD.

 

2 – El proceso de implantación

Gradualmente, Brevo empezó a implementar los pasos necesarios para poder cumplir con el RGPD, y abordó al mismo tiempo aspectos de seguridad, legales, técnicos, organizativos y humanos con la ayuda de las partes interesadas.

 

2.1 – La adaptación de las características clave

 

Empezamos haciendo una reunión con algunos usuarios, directores de cuentas, el equipo de producto, el equipo técnico y nuestros abogados para identificar los puntos clave relacionados con el RGPD que Brevo necesitaba tomar en cuenta.

 

  • El deber de dar información en un contexto de corresponsabilidad

Desde inicios de la primavera del 2017, después de estar informados sobre la inminente llegada del RGPD, muchos usuarios comenzaron a ponerse en contacto con nosotros para resolver dudas de gran relevancia respecto al RGPD.

Como respuesta, pusimos a su disposición una gran cantidad de información y recursos en nuestro sitio web y blog sobre los derechos que tienen respecto al RGPD y las mejores prácticas para cumplir con esta ley.

Esta información está presente en la plataforma para ayudar a los usuarios cumplir con la ley en el uso de nuestra plataforma:

-La importación de contactos

-La creación de un formulario de recopilación para obtener el consentimiento de los contactos

-La creación de campañas de correo electrónico y el envío a los suscriptores

Se ha agregado además una sección específica sobre el RGPD en el centro de ayuda y regularmente organizamos seminarios web informativos sobre el tema.

 

  • El derecho de rectificación, olvido y portabilidad

Hace algunos años ya era posible ejercer el derecho a la rectificación, el olvido y la portabilidad de datos. Por lo tanto, no hemos necesitado de ningún cambio a este nivel. Sin embargo, como indicábamos anteriormente, hemos detallado los procedimientos para ejercer estos derechos en varios apartados dentro de nuestra web.

 

  • Duración de los registros a emails transaccionales

Hasta ahora, los registros transacciones se mantenían por defecto sin límite de tiempo. Desde finales de mayo de 2018, cada usuario podrá definir la duración durante la cual desea que se conserven sus registros para los envíos de emails transaccionales, así como la vista previa del contenido de sus mensajes. Esta función ya está disponible solicitándola a través del Servicio de Atención al Cliente.

 

  • Gestión del formulario de suscripción al newsletter

Se ha prestado especial atención a los formularios de inscripción porque son una parte integral para los usuarios y el poder cumplir con la regulación.

Ahora es posible administrar las preferencias del suscriptor al agregarlos a listas específicas en función de sus elecciones al momento de registrarse. También ofrecemos a los usuarios la posibilidad de agregar una nota en la parte inferior de las formas de suscripción que les permite tener acceso a la política de privacidad de la marca.

 

  • Disponibilidad de la prueba de consentimiento

Una vez que el contacto ha dado sus datos, la prueba del consentimiento del contacto estará completamente disponible en su ficha de contacto.

Cada perfil especificará el momento exacto de su registro, el ID de la forma que utilizó para suscribirse, así como su IP. Esta información será exportable para proporcionar a nuestros usuarios una prueba de consentimiento si fuese necesario.

 

2.2 – Una extensa revisión de seguridad

 

Algo tan sensible como la seguridad de los datos siempre ha sido nuestra prioridad. El RGPD nos ha permitido ir un paso más allá: garantizar la seguridad hermética de las transferencias de datos y el almacenamiento, así como mejorar la supervisión, el control y el acceso seguro a los datos.

 

  • Instalación de sistemas de archivo de datos y rastreabilidad

La prevención de fugas de datos requiere un control preciso del procesamiento de datos que ocurre en nuestra plataforma.

Hemos implementado la rastreabilidad de todos los procesamientos de datos que se llevan a cabo en nuestra plataforma, gracias a un sistema de seguimiento e identificación de registros.

Además, buscamos optimizar la protección los datos archivados de nuestros clientes. Esta información está alojada en bases de datos separadas y los datos personales están encriptados.

Estos archivos están guardados solo por razones legales. Una vez que se acaba el tiempo de retención de datos, estos se eliminan al final del período.

 

  • El lanzamiento de pruebas de intrusión

Empezamos trabajando con una empresa de consultoría especializada en ciberseguridad, de la cual recibimos una retroalimentación muy positiva respecto a la dificultad de acceder a nuestro sistema.

Convencidos de que siempre podemos hacer más para asegurar la seguridad de los datos, contactamos a Bounty Factory. Esta empresa británica cuenta con una comunidad de investigadores de seguridad y hackers éticos que pueden ser solicitados para hacer investigación adicional de nuestro sistema y evaluar la seguridad de los datos.

Este programa, conocido como bug bounty, promueve encarecidamente la búsqueda de errores en el sistema, ya que por cada error identificado la empresa proporciona un incentivo al buscador que lo encuentre.

Este modelo de «recompensa» fomenta fuertemente la detección de fallos y vulnerabilidad en la plataforma de Brevo, minimizando el riesgo de potenciales ataques e intrusiones.

 

2.3 – La gestión de nuestros socios y procesadores

 

Con el RGPD se resalta la importancia de la corresponsabilidad: de ahora en adelante, todas las partes interesadas son responsables del tratamiento de los datos, ya sea el controlador (la parte que determina los propósitos del procesamiento de datos), o los procesadores dentro de toda la cadena, todos tienen una parte de responsabilidad ya que el procesamiento tiene efectos en los datos personales.

Con esta doble función, de controlador y procesador, Brevo requiere garantizar el cumplimiento de ambas partes.

Como procesador, hemos establecido los medios para garantizar el cumplimiento del RGPD en toda nuestra cadena de procesamiento de datos con todos nuestros proveedores de software asociados.

Como controlador, también debemos garantizar el cumplimiento de las nuevas reglamentaciones por parte de de nuestros propios proveedores o procesadores de información.

Por lo tanto, contactamos a cada uno de nuestros proveedores con preguntas específicas sobre su propio procesamiento de datos. Esto nos permitió aseguramos de que sus procesos de procesamiento de datos estuvieran en línea con el RGPD y con los compromisos que tenemos para con nuestros clientes.

Tuvimos que tomar la decisión de dejar de trabajar con determinados proveedores ya que no tenían respuestas satisfactorias a nuestras preguntas.

Cuando las respuestas fueron satisfactorias, contractualizamos estos requerimientos mediante DPAs (Acuerdo de procesamiento de datos).

El DPA es un documento que especifica el tipo y los métodos del procesamiento de datos llevado a cabo por el proveedor en nombre de Brevo, lo que permite garantizar un marco regulatorio y una rastreabilidad de los datos.

Para nuestros proveedores domiciliados en los Estados Unidos, también verificamos su certificación de Escudo de privacidad, una condición necesaria para el procesamiento de datos de ciudadanos europeos.

 

2.4 – Documentación legal

 

Por supuesto, hemos adaptado nuestra documentación legal, en particular los Términos Generales y Condiciones de uso de los servicios de Brevo y la Política de privacidad, ambos disponibles en la web.

Contratamos los servicios de Gide, una firma líder de abogados, para poner nuestros compromisos y responsabilidades, así como de los usuarios, en términos completos y transparentes.

Se ha redactado una cláusula de subcontratación y es contigua a los Términos de Uso, con el fin de especificar el rol y las responsabilidades de Brevo frente a sus usuarios como un tercero en la prestación de servicios.

 

2.5 – Las implicaciones del RGPD sobre la organización interna de Brevo

 

El RGPD también nos animó a optimizar nuestra organización interna y poner en práctica dentro de nuestra empresa las mejores prácticas y procesamientos que apoyen los principios fundamentales de la regulación.

 

  • Capacitación del personal

Los roles de algunos empleados de Brevo requiere acceso privilegiado a ciertos datos personales. Este es el caso, por ejemplo, de los ejecutivos de cuentas, que necesitan acceder a ciertos elementos de las cuentas de sus clientes para responder sus preguntas.

Comenzamos por profundizar la cláusula de confidencialidad de los contratos de los empleados y hemos organizado sesiones de capacitación. La capacitación incluye un repaso general de las reglas del RGPD, así como cursos de capacitación especializados diseñados para enriquecer la capacitación inicial para los equipos específicos que se ocupan de datos confidenciales de manera regular.

Esto provee a todo el personal de la compañía un conocimiento claro de sus obligaciones bajo las nuevas regulaciones.

 

  • Establecimiento de procedimientos  y controles internos

Para garantizar el cumplimiento de las medidas, se han revisado los procedimientos internos, especialmente en lo que respecta a la gestión del acceso del personal, la gestión de las solicitudes de los interesados respecto a sus derechos ​​y la gestión de la conservación y la eliminación de los datos.

Se estableció un plan de control para verificar regularmente la correcta aplicación de los procedimientos implementados y la actualización de la documentación.

 

  • Nombramiento de personas a cargo para garantizar el cumplimiento

La implementación del cumplimiento de las medidas ha sido gestionado por nuestro Director de Operaciones. Paralelamente, hemos nombrado un Oficial de Protección de Datos (OPD), Jules Jeanroy, que es responsable de garantizar que el cumplimiento de Brevo con el RGPD sea efectivo a lo largo del tiempo.

Corresponde al OPD monitorear regularmente la aplicación de los diferentes aspectos de la regulación y garantizar el cumplimiento de los principios fundamentales del RGPD, particularmente el principio de “Privacidad de Diseño”, que se refiere al cumplimiento de un procedimiento de procesamiento de datos antes de que sea implementado.

Nuestro OPD será asistido por un SecOps para los aspectos relacionados con la seguridad y rastreabilidad de datos. Nuestro OPD puede ser contactado directamente en [email protected]

 

3 – Estatus actual y próximos pasos

 

El cumplimiento del RGPD, en realidad nunca termina. Es un proceso continuo que requiere comprobar regularmente que los principios de la ley se respeten internamente, así como continuar evaluando y pasar cada nuevo procesamiento de datos bajo el microscopio del criterio de “privacidad de diseño”.

Brevo se enorgullece de haber completado la primera parte del reto. Continuaremos manteniendo este cumplimiento, y seguir siendo un proveedor de software confiable para nuestros clientes.

Al tomar estas medidas regulatorias, Brevo ha tenido varios beneficios, como:

  • Reunir a toda nuestra organización en torno a un objetivo común y colaborar en diferentes equipos para lograrlo
  • Implementar procedimientos aún más rigurosos en torno a nuestra gestión y procesamiento de datos para continuar mejorando nuestra seguridad
  • Lograr un cumplimiento rápido a través del apoyo de socios externos
  • Realizar una evaluación innovadora de la seguridad de nuestra red e implementar las medidas correctivas necesarias
  • Reforzar el vínculo entre Brevo y nuestros usuarios al proporcionar las herramientas necesarias para el cumplimiento de GDPR en nuestra plataforma.

Brevo es una organización con cerca de 150 personas, y todos estamos comprometidos en asegurar la seguridad y confidencialidad de los datos personales que se nos encomienden. Tomamos esta responsabilidad seriamente como parte de nuestra misión de proveer una plataforma de marketing digital todo en uno para pequeñas y medianas empresas.

Nos dará gusto responder a cualquier pregunta o discutir de cualquier preocupación que puedas tener respecto a Brevo y el RGPD. Envíanos tu mensaje a:

Si tienes alguna pregunta sobre el cumplimiento de Brevo con el RGPD, envíala a la siguiente dirección: [email protected]

 

Ready to grow with Brevo?

Get the tools you need to reach your customers and grow your business.

Sign up free