Este artículo también está disponible en:
En este artículo, explicaremos cómo la invalidación del Escudo de Privacidad afectó la forma en que almacenamos los datos de nuestros clientes y participantes.

Última actualización: 11 de agosto de 2020_

El 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea invalidó el Escudo de Privacidad UE-EE.UU.. Esto significa que el Escudo de Privacidad ya no es un marco legal válido para la transferencia de datos personales del Área Económica Europea a los Estados Unidos. Nosotros, y miles de otras compañías, confiamos en este marco para partes esenciales de nuestro sistema. Debido a que esta decisión fue inesperada, hay mucha incertidumbre sobre nuestras opciones con respecto al uso de los servicios basados en los Estados Unidos.

La privacidad y la seguridad son muy importantes para nosotros. Estamos almacenando todos los datos dentro de la Unión Europea, pero tenemos subprocesadores en los Estados Unidos que son esenciales para el funcionamiento de nuestro LMS. Estamos siguiendo los desarrollos en torno a la invalidación del Escudo de Privacidad y actualmente estamos investigando nuestras opciones con nuestros subprocesadores no basados en la Unión Europea.

Tenemos la intención de cumplir plenamente con la normativa de la RPI, por lo que haremos todo lo posible para asegurarnos de que todos nuestros datos se procesen de forma legal y segura, salvaguardando la privacidad de nuestros clientes y sus clientes. Hemos decidido por ahora firmar Acuerdos de Procesamiento de Datos (DPAs), que contienen Cláusulas Contractuales Estándar (SCCs), con todos nuestros sub-procesadores de los Estados Unidos, asegurando una protección de todos los datos personales a un nivel similar al de la GDPR. Cuando haya alguna actualización, se publicará en esta página.

Porque queremos ser transparentes en cuanto a la forma en que estamos tratando esta situación, hemos creado una lista de todos nuestros subprocesadores no comunitarios, qué datos personales procesan y nuestra respuesta a la invalidación del Escudo de Privacidad. Debido a que procesamos los datos tanto de nuestros clientes directos como de los participantes de nuestros clientes, nos referiremos a estos diferentes grupos de datos personales como "datos personales del cliente" y "datos personales de los participantes" respectivamente.

Los datos personales de los participantes

Estos sistemas procesan los datos personales de los participantes:

AWS

Nuestra aplicación está alojada en los servidores de Amazon AWS en Frankfurt, Alemania. Todos los datos se almacenan en otro servidor AWS en la misma ubicación, totalmente encriptados. Hasta ahora, hemos confiado en el Escudo de Privacidad para cualquier transferencia de datos a los EE.UU. A pesar de que todos los datos están encriptados y deberían estar seguros, actualmente estamos buscando firmar los SCC que deberían asegurar todos los datos completamente. Puede leer más sobre AWS y la privacidad aquí.

Mandril

Usamos Mandril para todos los correos electrónicos que se generan en nuestro sistema LMS. Mandrill almacena y procesa toda la información en los Estados Unidos. Han incorporado los SCC en sus Términos de Servicio y declaran en su página web que seguirán las mismas medidas de protección de datos, dando esencialmente la misma protección de datos que antes de la invalidación del Escudo de Privacidad.

Los siguientes correos electrónicos se envían a través de Mandrill a los participantes:
Correos electrónicos de invitación
Los correos electrónicos de resultados
Correos electrónicos certificados
Correos electrónicos de restablecimiento de la contraseña
Y a los administradores:
Los correos electrónicos de notificación de resultados
Exportar correos electrónicos de notificación
Invitación de la administración de correos electrónicos
La contraseña del administrador resetea los correos electrónicos
Correos electrónicos de facturas
La mayoría de estos correos electrónicos contienen información personal del participante, a saber, su nombre y dirección de correo electrónico.

Puedes asegurarte de que no se envíen correos electrónicos a los participantes a través de Mandrill usando tu propio servidor de correo. Cómo hacerlo se puede encontrar aquí.

Esto no afecta a los correos electrónicos que se envían a los administradores. Estamos trabajando para cambiar eso, pero mientras tanto, puedes deshabilitar las notificaciones cuando un participante termine. En combinación con su propio servidor de correo, no se envían datos personales de los participantes a Mandrill. Esto no impide que los datos personales de los clientes se envíen a Mailchimp.

Datos personales del cliente

Los siguientes sistemas sólo procesan los datos personales de los clientes

Demo tools

Utilizamos varias herramientas para nuestras demostraciones y solicitudes de características, que incluyen:
Calendario
GoToMeeting
Pipedrive
Tabla de productos
Zapier
Hemos revisado y firmado DPA con todas estas compañías, garantizando la seguridad cuando procesan nombres, direcciones de correo electrónico, números de teléfono y detalles de la compañía.

Productos Atlassian

Estamos utilizando varios productos de Atlassian, sobre todo para el seguimiento de procesos internos. Algunos de estos datos incluyen los correos electrónicos de los clientes, por lo que hemos firmado su DPA para asegurarnos de que estos datos se almacenan y procesan de forma segura.

Google Drive

Usamos Google Drive para el almacenamiento interno de documentos. Estamos buscando múltiples soluciones para garantizar la seguridad futura de los datos personales, incluyendo el almacenamiento de datos en la UE, el anonimato de los datos en la unidad y la búsqueda de una alternativa.

Slack

Usamos Slack como nuestra herramienta de comunicación interna, donde a veces discutimos las peticiones de los clientes. Hemos firmado su DPA.

Intercomunicador

Antes, usábamos el Intercomunicador para nuestro centro de ayuda y el chat, pero cambiamos a Crisp, que tiene su base en la Unión Europea. Son totalmente compatibles con GDPR, así que no hay problemas allí!
¿Este artículo te resultó útil?
Cancelar
¡Gracias!