Questo articolo è disponibile anche in:
Questo articolo è tradotto usando un traduttore automatico. Potrebbe contenere alcuni errori o traduzioni che suonano strane. Pensiamo lo stesso che possa esserti utile leggere questo articolo nella tua lingua madre. Facci sapere se ti è stato di aiuto, o facci avere il tuo feedback, in fondo all'articolo.

In questo articolo, spiegheremo come l'invalidazione del Privacy Shield ha influenzato il modo in cui conserviamo i dati dei nostri clienti e partecipanti.

Ultimo aggiornamento: 11 agosto 2020_

Il 16 luglio 2020, la Corte di giustizia dell'Unione europea ha invalidato lo scudo UE-USA per la privacy. Ciò significa che il Privacy Shield non è più un quadro giuridico valido per il trasferimento di dati personali dallo Spazio economico europeo agli Stati Uniti. Noi, e migliaia di altre aziende, facevamo affidamento su questo quadro per parti essenziali del nostro sistema. Poiché questa decisione è stata inaspettata, c'è molta incertezza sulle nostre opzioni riguardo all'uso di servizi basati negli Stati Uniti

La privacy e la sicurezza sono molto importanti per noi. Stiamo memorizzando tutti i dati all'interno dell'Unione europea, ma abbiamo sub-processori negli Stati Uniti che sono essenziali per il funzionamento del nostro LMS. Stiamo seguendo gli sviluppi relativi all'invalidazione del Privacy Shield e stiamo attualmente studiando le nostre opzioni con i nostri sub-processori non basati nell'UE.

Intendiamo essere pienamente conformi al GDPR, quindi faremo di tutto per assicurarci che tutti i nostri dati siano trattati in modo legale e sicuro, salvaguardando la privacy dei nostri clienti e dei loro clienti. Abbiamo deciso per ora di firmare accordi di trattamento dei dati (DPA), contenenti clausole contrattuali standard (SCC), con tutti i nostri sub-processori statunitensi, garantendo una protezione di tutti i dati personali ad un livello simile a quello previsto dal GDPR. Quando ci saranno aggiornamenti, saranno pubblicati su questa pagina.

Poiché vogliamo essere trasparenti su come stiamo affrontando questa situazione, abbiamo creato una lista di tutti i nostri sub-processori non UE, quali dati personali trattano e la nostra risposta all'invalidazione del Privacy Shield. Poiché trattiamo i dati sia dei nostri clienti diretti che dei partecipanti dei nostri clienti, ci riferiremo a questi diversi gruppi di dati personali rispettivamente come "dati personali dei clienti" e "dati personali dei partecipanti".

Dati personali dei partecipanti

Questi sistemi trattano i dati personali dei partecipanti:

AWS

La nostra applicazione è ospitata su server Amazon AWS a Francoforte, in Germania. Tutti i dati sono memorizzati su un altro server AWS nella stessa posizione, completamente criptati. Fino ad ora, ci siamo affidati al Privacy Shield per qualsiasi trasferimento di dati verso gli Stati Uniti. Anche se tutti i dati sono crittografati e dovrebbero essere al sicuro, attualmente stiamo cercando di firmare gli SCC che dovrebbero proteggere completamente tutti i dati. Potete leggere di più su AWS e la privacy qui.

Mandrill

Stiamo usando Mandrill per tutte le nostre e-mail che sono generate dal nostro sistema LMS. Mandrill memorizza ed elabora tutte le informazioni negli Stati Uniti. Hanno incorporato gli SCC nei loro termini di servizio e dichiarano sul loro sito web che continueranno a seguire le stesse misure di protezione dei dati, dando essenzialmente la stessa protezione dei dati come prima dell'invalidazione del Privacy Shield.

Le seguenti e-mail vengono inviate tramite Mandrill ai partecipanti:
Email di invito
E-mail di risultato
Email di certificati
Email per la reimpostazione della password
E agli amministratori:
Email di notifica dei risultati
Email di notifica dell'esportazione
Email di invito degli amministratori
Email di reset della password dell'amministratore
Email di fatturazione
La maggior parte di queste e-mail contengono informazioni personali del partecipante, cioè il suo nome e l'indirizzo e-mail.

Puoi assicurarti che nessuna email venga inviata ai partecipanti attraverso Mandrill utilizzando il tuo server di posta. Come fare questo può essere trovato qui.

Questo non influisce sulle email che vengono inviate agli amministratori. Stiamo lavorando per cambiare questo aspetto, ma nel frattempo puoi disabilitare le notifiche quando un partecipante finisce. In combinazione con il tuo server di posta, nessun dato personale dei partecipanti viene inviato a Mandrill. Questo non impedisce ai dati personali dei clienti di essere inviati a Mailchimp.

Dati personali del cliente

I seguenti sistemi trattano solo i dati personali dei clienti

Strumenti dimostrativi

Usiamo diversi strumenti per le nostre demo e richieste di funzionalità, che includono:
Calendly
GoToMeeting
Pipedrive
Productboard
Zapier
Abbiamo esaminato e firmato le DPA con tutte queste aziende, garantendo sicurezza e protezione quando elaborano nomi, indirizzi email, numeri di telefono e dettagli aziendali.

Prodotti Atlassian

Stiamo usando diversi prodotti di Atlassian, soprattutto per il monitoraggio dei processi interni. Alcuni di questi dati includono le email dei clienti, quindi abbiamo firmato la loro DPA per assicurarci che questi dati siano conservati ed elaborati in modo sicuro.

Google Drive

Usiamo Google Drive per l'archiviazione interna dei documenti. Stiamo esaminando diverse soluzioni per garantire la sicurezza futura dei dati personali, tra cui l'archiviazione dei dati nell'UE, l'anonimizzazione dei dati nel drive e la ricerca di un'alternativa.

Slack

Usiamo Slack come nostro strumento di comunicazione interna, dove a volte discutiamo le richieste dei clienti. Abbiamo firmato il loro DPA.

Intercom

In precedenza, abbiamo usato Intercom per il nostro centro di assistenza e chat, ma siamo passati a Crisp, che ha sede nell'Unione europea. Sono completamente conformi al GDPR, quindi nessun problema!
È stato utile questo articolo?
Annulla
Grazie!