Este artigo também está disponível em:
Neste artigo, vamos explicar como a invalidação do Privacy Shield afetou a forma como armazenamos os dados de nossos clientes e participantes.

Última atualização: 11 de agosto de 2020_

Em 16 de julho de 2020, o Tribunal de Justiça da União Européia invalidou o Escudo de Privacidade UE-EUA. Isto significa que o Privacy Shield não é mais uma estrutura legal válida para a transferência de dados pessoais da Área Econômica Européia para os Estados Unidos. Nós, e milhares de outras empresas, confiamos nesta estrutura para partes essenciais do nosso sistema. Como esta decisão foi inesperada, há muita incerteza sobre nossas opções em relação ao uso de serviços baseados nos EUA.

Privacidade e segurança são muito importantes para nós. Nós estamos armazenando todos os dados dentro da União Européia, mas temos sub-processadores nos Estados Unidos que são essenciais para o funcionamento do nosso LMS. Estamos acompanhando os desenvolvimentos em torno da invalidação do Privacy Shield e estamos atualmente investigando nossas opções com nossos sub-processadores não baseados na UE.

Pretendemos ser totalmente compatíveis com a GDPR, portanto faremos tudo para garantir que todos os nossos dados sejam processados de forma legal e segura, salvaguardando a privacidade de nossos clientes e de seus clientes. Nós decidimos por enquanto assinar Acordos de Processamento de Dados (DPAs), contendo Cláusulas Contratuais Padrão (SCCs), com todos os nossos sub-processadores americanos, assegurando uma proteção de todos os dados pessoais em um nível similar ao da GDPR. Quando houver alguma atualização, ela será publicada nesta página.

Porque queremos ser transparentes sobre como estamos lidando com esta situação, criamos uma lista de todos os nossos sub-processadores não comunitários, que dados pessoais eles processam e nossa resposta à invalidação do Privacy Shield. Como processamos os dados tanto de nossos clientes diretos quanto dos participantes de nossos clientes, nos referiremos a esses diferentes grupos de dados pessoais como "dados pessoais do cliente" e "dados pessoais dos participantes", respectivamente.

Dados pessoais do participante

Estes sistemas processam os dados pessoais dos participantes:

AWS

Nossa aplicação é hospedada em servidores Amazon AWS em Frankfurt, Alemanha. Todos os dados são armazenados em outro servidor AWS no mesmo local, totalmente criptografados. Até agora, temos confiado no Privacy Shield para qualquer transferência de dados para os EUA. Mesmo que todos os dados sejam criptografados e devam ser seguros, estamos atualmente procurando assinar SCCs que devem proteger todos os dados completamente. Você pode ler mais sobre AWS e privacidade aqui.

Mandrill

Nós estamos usando Mandrill para todos os nossos e-mails que são gerados a partir do nosso sistema LMS. A Mandrill armazena e processa todas as informações nos Estados Unidos. Eles incorporaram SCCs em seus Termos de Serviço e declaram em seu website que continuarão seguindo as mesmas medidas de proteção de dados, dando essencialmente a mesma proteção de dados que antes da invalidação do Privacy Shield.

Os seguintes e-mails são enviados através do Mandrill para os participantes:
Emails de convite
Emails de resultados
Emails de certificados
Emails de redefinição de senha
E para os administradores:
Emails de notificação de resultados
Emails de notificação de exportação
Administrar e-mails de convite
Admin password reset e-mails
Emails de faturas
A maioria desses e-mails contém informações pessoais do participante, ou seja, seu nome e endereço de e-mail.

Você pode garantir que nenhum e-mail seja enviado aos participantes através do Mandrill, usando seu próprio servidor de e-mail. Como fazer isso pode ser encontrado aqui.

Isto não afeta os e-mails que são enviados para os administradores. Estamos trabalhando para mudar isso, mas enquanto isso, você pode desativar as notificações quando um participante terminar. Em combinação com seu próprio servidor de e-mail, nenhum dado pessoal do participante é enviado para a Mandrill. Isto não impede que os dados pessoais do cliente sejam enviados para o Mailchimp.

Dados pessoais do cliente

Os seguintes sistemas processam apenas os dados pessoais do cliente

Ferramentas de demonstração

Nós usamos várias ferramentas para nossas demonstrações e pedidos de recursos, que incluem:
Calendário
GoToMeeting
Pipedrive
Tabela de produtos
Zapier
Nós revisamos e assinamos DPAs com todas essas empresas, garantindo segurança e proteção quando elas processam nomes, endereços de e-mail, números de telefone e detalhes da empresa.

Produtos Atlassian

Estamos usando vários produtos da Atlassian, a maioria para rastreamento de processos internos. Alguns desses dados incluem e-mails de clientes, então assinamos seus DPA para garantir que esses dados sejam armazenados e processados de forma segura.

Google Drive

Nós usamos o Google Drive para o armazenamento interno de documentos. Estamos buscando várias soluções para garantir a segurança futura dos dados pessoais, incluindo o armazenamento de dados na UE, anonimizando os dados no drive e encontrando uma alternativa.

folga

Nós usamos a Slack como nossa ferramenta de comunicação interna, onde às vezes discutimos as solicitações dos clientes. Nós assinamos a DPA deles.

Intercomunicador

Anteriormente, nós usamos Intercom para nosso centro de ajuda e chat, mas nós mudamos para Crisp, que é baseado dentro da União Européia. Eles são totalmente compatíveis com o GDPR, então não há problemas lá!
Este artigo foi útil?
Cancelar
Obrigado!