Questo articolo è disponibile anche in:
In questo articolo, spiegheremo come l'invalidazione del Privacy Shield abbia influito sul modo in cui archiviamo i dati dei nostri clienti e dei partecipanti.

Ultimo aggiornamento: 11 agosto 2020_

Il 16 luglio 2020 la Corte di Giustizia dell'Unione Europea ha invalidato il Privacy Shield UE-USA. Ciò significa che il Privacy Shield non è più un quadro giuridico valido per il trasferimento di dati personali dallo Spazio economico europeo agli Stati Uniti. Noi, e migliaia di altre aziende, abbiamo fatto affidamento su questo quadro di riferimento per parti essenziali del nostro sistema. Poiché questa decisione è stata inaspettata, c'è molta incertezza sulle nostre opzioni per quanto riguarda l'uso dei servizi basati negli Stati Uniti.

La privacy e la sicurezza sono molto importanti per noi. Stiamo memorizzando tutti i dati all'interno dell'Unione Europea, ma negli Stati Uniti abbiamo dei subprocessori che sono essenziali per il funzionamento del nostro LMS. Stiamo seguendo gli sviluppi relativi all'invalidazione del Privacy Shield e stiamo attualmente esaminando le nostre opzioni con i nostri subprocessori non UE.

Intendiamo essere pienamente conformi alla GDPR, quindi faremo tutto il possibile per garantire che tutti i nostri dati siano trattati in modo legale e sicuro, salvaguardando la privacy dei nostri clienti e dei loro clienti. Abbiamo deciso per il momento di firmare gli Accordi sul trattamento dei dati (DPA), contenenti clausole contrattuali standard (SCC), con tutti i nostri subprocessori statunitensi, garantendo una protezione di tutti i dati personali a un livello simile a quello previsto dalla GDPR. Quando ci saranno aggiornamenti, questi saranno pubblicati su questa pagina.

Poiché vogliamo essere trasparenti su come stiamo affrontando questa situazione, abbiamo creato un elenco di tutti i nostri subprocessori non appartenenti all'UE, quali sono i dati personali da loro trattati e la nostra risposta all'invalidazione del Privacy Shield. Poiché trattiamo i dati sia dei nostri clienti diretti che dei partecipanti dei nostri clienti, faremo riferimento a questi diversi gruppi di dati personali rispettivamente come "dati personali del cliente" e "dati personali del partecipante".

Dati personali del partecipante

Questi sistemi trattano i dati personali dei partecipanti:

AWS

La nostra applicazione è ospitata sui server di Amazon AWS a Francoforte, Germania. Tutti i dati sono memorizzati su un altro server AWS nella stessa posizione, completamente criptato. Fino ad ora, ci siamo affidati al Privacy Shield per qualsiasi trasferimento di dati verso gli Stati Uniti. Anche se tutti i dati sono criptati e dovrebbero essere sicuri, stiamo attualmente esaminando la possibilità di firmare SCC che dovrebbero proteggere completamente tutti i dati. Potete leggere di più su AWS e privacy qui.

Mandrill

Stiamo usando Mandrill per tutte le nostre e-mail generate dal nostro sistema LMS. Mandrill memorizza ed elabora tutte le informazioni negli Stati Uniti. Hanno incorporato gli SCC nei loro Termini di Servizio e dichiarano sul loro sito web che continueranno a seguire le stesse misure di protezione dei dati, dando essenzialmente la stessa protezione dei dati come prima dell'invalidazione del Privacy Shield.

Le seguenti e-mail vengono inviate tramite Mandrill ai partecipanti:
E-mail di invito
Risultato e-mail
E-mail di certificazione
Email di reset della password
E agli amministratori:
Email di notifica dei risultati
Email di notifica di esportazione
Email di invito per l'amministratore
Email di reset della password dell'amministratore
E-mail di fatturazione
La maggior parte di queste e-mail contengono informazioni personali del partecipante, vale a dire il suo nome e l'indirizzo e-mail.

Potete assicurarvi che non vengano inviate e-mail ai partecipanti attraverso Mandrill utilizzando il vostro server di posta. Come fare questo può essere trovato qui.

Questo non influisce sulle e-mail che vengono inviate agli amministratori. Stiamo lavorando per cambiare questo aspetto, ma nel frattempo è possibile disattivare le notifiche quando un partecipante termina. In combinazione con il proprio server di posta, nessun partecipante invia dati personali a Mandrill. Ciò non impedisce l'invio dei dati personali del cliente a Mailchimp.

Dati personali del cliente

I seguenti sistemi trattano solo i dati personali del cliente

Strumenti demo

Utilizziamo diversi strumenti per le nostre demo e richieste di funzionalità, che includono:
Calendario
GoToMeeting
Pipedrive
Scheda prodotto
Zapier
Abbiamo esaminato e firmato le DPA con tutte queste società, garantendo sicurezza e protezione quando elaborano nomi, indirizzi e-mail, numeri di telefono e dettagli della società.

Prodotti Atlassian

Utilizziamo diversi prodotti di Atlassian, soprattutto per la tracciatura interna dei processi. Alcuni di questi dati includono le e-mail dei clienti, per cui abbiamo firmato il loro DPA per assicurarci che questi dati siano conservati ed elaborati in modo sicuro.

Google Drive

Utilizziamo Google Drive per l'archiviazione interna dei documenti. Stiamo studiando diverse soluzioni per garantire la sicurezza futura dei dati personali, tra cui l'archiviazione dei dati nell'UE, l'anonimizzazione dei dati nell'unità e la ricerca di un'alternativa.

Slack

Utilizziamo Slack come strumento di comunicazione interna, dove a volte discutiamo le richieste dei clienti. Abbiamo firmato il loro DPA.

Citofono

In precedenza, abbiamo usato Intercom per il nostro centro di assistenza e chat, ma siamo passati a Crisp, che ha sede all'interno dell'Unione Europea. Sono pienamente conformi al GDPR, quindi non ci sono problemi!
È stato utile questo articolo?
Annulla
Grazie!