Este artículo también está disponible en:
Este artículo está traducido utilizando un traductor automático. Podría contener algunos errores o traducciones extrañas. De todos modos, creemos que es valioso que puedas leer este artículo de ayuda en tu idioma materno. Déjanos tu comentario al final del artículo si este artículo te resultó útil o si tienes algún otro comentario.

En este artículo, explicaremos cómo la invalidación del Escudo de Privacidad afectó a la forma en que almacenamos los datos de nuestros clientes y participantes.

Última actualización: 11 de agosto de 2020_

El 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea invalidó el Escudo de Privacidad UE-EEUU. Esto significa que el Escudo de Privacidad ya no es un marco legal válido para transferir datos personales desde el Espacio Económico Europeo a los Estados Unidos. Nosotros, y miles de otras empresas, confiábamos en este marco para partes esenciales de nuestro sistema. Como esta decisión fue inesperada, hay mucha incertidumbre sobre nuestras opciones en cuanto al uso de servicios con sede en Estados Unidos

La privacidad y la seguridad son muy importantes para nosotros. Almacenamos todos los datos en la Unión Europea, pero tenemos subprocesadores en Estados Unidos que son esenciales para el funcionamiento de nuestro LMS. Estamos siguiendo los acontecimientos en torno a la invalidación del Escudo de Privacidad y actualmente estamos investigando nuestras opciones con nuestros subprocesadores no basados en la UE.

Tenemos la intención de cumplir plenamente con el GDPR, por lo que haremos todo lo posible para asegurarnos de que todos nuestros datos se procesen de forma legal y segura, salvaguardando la privacidad de nuestros clientes y sus clientes. Por ahora hemos decidido firmar Acuerdos de Procesamiento de Datos (DPA), que contienen Cláusulas Contractuales Estándar (SCC), con todos nuestros subprocesadores de Estados Unidos, asegurando una protección de todos los datos personales a un nivel similar al del GDPR. Cuando haya alguna actualización, se publicará en esta página.

Como queremos ser transparentes sobre cómo estamos abordando esta situación, hemos creado una lista de todos nuestros subprocesadores no pertenecientes a la UE, los datos personales que tratan y nuestra respuesta a la invalidación del Escudo de Privacidad. Dado que tratamos los datos tanto de nuestros clientes directos como de los participantes de nuestros clientes, nos referiremos a estos diferentes grupos de datos personales como "datos personales de los clientes" y "datos personales de los participantes", respectivamente.

Datos personales de los participantes

Estos sistemas tratan los datos personales de los participantes:

AWS

Nuestra aplicación está alojada en los servidores de Amazon AWS en Frankfurt, Alemania. Todos los datos se almacenan en otro servidor de AWS en la misma ubicación, totalmente encriptados. Hasta ahora, hemos confiado en el Escudo de Privacidad para cualquier transferencia de datos a los Estados Unidos. Aunque todos los datos están encriptados y deberían estar seguros, actualmente estamos estudiando la posibilidad de firmar CCE que debería asegurar todos los datos por completo. Puede leer más sobre AWS y la privacidad aquí.

Mandrill

Estamos utilizando Mandrill para todos nuestros correos electrónicos que se generan desde nuestro sistema LMS. Mandrill almacena y procesa toda la información en Estados Unidos. Han incorporado las CSC en sus condiciones de servicio y declaran en su página web que seguirán siguiendo las mismas medidas de protección de datos, dando esencialmente la misma protección de datos que antes de la invalidación del Escudo de Privacidad.

Los siguientes correos electrónicos se envían a través de Mandrill a los participantes:
Correos electrónicos de invitación
Correos electrónicos de resultados
Correos electrónicos de certificados
Correos electrónicos de restablecimiento de contraseña
Y a los administradores
Correos electrónicos de notificación de resultados
Correos electrónicos de notificación de exportación
Correos electrónicos de invitación a los administradores
Correos electrónicos de restablecimiento de la contraseña del administrador
Correos electrónicos de facturación
La mayoría de estos correos electrónicos contienen información personal del participante, concretamente su nombre y su dirección de correo electrónico.

Puedes asegurarte de que no se envíen correos electrónicos a los participantes a través de Mandrill utilizando tu propio servidor de correo. Puede encontrar la forma de hacerlo aquí.

Esto no afecta a los correos electrónicos que se envían a los administradores. Estamos trabajando en cambiar eso, pero mientras tanto, puedes desactivar las notificaciones cuando un participante termina. En combinación con tu propio servidor de correo, no se envían datos personales de los participantes a Mandrill. Esto no impide que los datos personales de los clientes se envíen a Mailchimp.

Datos personales del cliente

Los siguientes sistemas sólo procesan los datos personales de los clientes

Herramientas de demostración

Utilizamos varias herramientas para nuestras demostraciones y solicitudes de características, que incluyen:
Calendly
GoToMeeting
Pipedrive
Productboard
Zapier
Hemos revisado y firmado DPAs con todas estas empresas, garantizando la seguridad cuando procesan nombres, direcciones de correo electrónico, números de teléfono y detalles de la empresa.

Productos de Atlassian

Utilizamos varios productos de Atlassian, sobre todo para el seguimiento de procesos internos. Algunos de estos datos incluyen correos electrónicos de clientes, por lo que hemos firmado su DPA para asegurarnos de que estos datos se almacenan y procesan de forma segura.

Google Drive

Utilizamos Google Drive para el almacenamiento interno de documentos. Estamos estudiando múltiples soluciones para garantizar la seguridad futura de los datos personales, incluido el almacenamiento de datos en la UE, la anonimización de los datos en la unidad y la búsqueda de una alternativa.

Slack

Utilizamos Slack como nuestra herramienta de comunicación interna, donde a veces discutimos las solicitudes de los clientes. Hemos firmado su DPA.

Intercom

Anteriormente, usábamos Intercom para nuestro centro de ayuda y chat, pero nos cambiamos a Crisp, que tiene su sede en la Unión Europea. Cumplen totalmente con el GDPR, así que no hay problemas
¿Este artículo te resultó útil?
Cancelar
¡Gracias!