El 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea invalidó el Escudo de privacidad. Como consecuencia, no hay base legal que impida el intercambio de datos con partes estadounidenses. Toda empresa que use (sub)procesadores en Estados Unidos tendrá que incluir una cláusula contractual tipo (SCC, por sus siglas en inglés) con cada parte. GoodHabitz no es la excepción. El paso siguiente es comprobar que el nivel de protección que estas SCC ofrecen cumplen con los requisitos del Reglamento General de Protección de Datos (RGPD).
¿Qué significa esto para vos?
Tu privacidad es nuestra mayor prioridad. Por ello, queremos mostrarte los pasos que estamos dando, respecto a nuestros subprocesadores, para cumplir con el RGPD. Nuestra meta es salvaguardar la protección de tus datos personales.
-
Acá vas a ver una lista de todos los subprocesadores que podrían llegar a gestionar tus datos fuera del Espacio Económico Europeo (EEE).
-
Nos contactamos con estos subprocesadores para informarnos sobre las medidas tomadas después de la invalidación del Escudo de privacidad.
-
Ambos convocamos a un equipo de emergencia para decidir las acciones que debemos tomar con respecto a los subprocesadores en Estados Unidos.
-
Determinamos que la mejor forma de actuación es encontrar alternativas europeas al tema de nuestros dos subprocesadores ubicados en Estados Unidos.
-
Implementamos los servicios de los nuevos subprocesadores europeos.
¿Qué significa esto para nuestros clientes?
El RGPD entrará en vigencia, lo que significa que la lista de subprocesadores en el acuerdo deben ser actualizados. Nuestro deber como procesador es hacerles saber a nuestros clientes si cualquiera de los subprocesadores efectúa un cambio.
Bouncer
Subprocesador que verifica direcciones de mail.
GoodHabitz ya no puede garantizar el cumplimiento del RGPD con Kickbox, nuestro anterior subprocesador de verificación de dirección de mails. Por ello, decidimos cambiar a Bouncer, nuestro proveedor dentro del EEE. Hemos controlado y testeado minuciosamente los servicios de este proveedor polaco. El control de seguridad demostró que Bouncer respeta con integridad todas las medidas necesarias en lo que respecta a lo técnico y lo organizacional en el marco del RGPD. Compartimos solo las direcciones de mail con este proveedor. Desde la Unión Europea, Bouncer almacena y procesa las direcciones de mail en la infraestructura en la nube, una solución híbrida entre la nube de AWS (en la región de Frankfurt) y la nube de OVH (en Francia).
Ninguna información se transfiere fuera del EEE y Bouncer borra del sistema todos los datos personales después de 60 días. No utilizamos más los servicios de Kickbox.
Copernica (SMTPeter)
Subprocesador que envía mails transaccionales.
A pesar de las muchas medidas paliativas que tomó MailChimp/Mandrill, nuestro proveedor anterior ubicado en Estados Unidos, después de la invalidación del Escudo de seguridad, optamos por proveedor dentro del EEE. Hemos estado testeando la herramienta SMTPeter, que ofrece un servidor SMTP en la nube para la recepción rápida y segura de mails. Quien nos provee esta herramienta es Copernica, un proveedor de software de marketing automation (en Amsterdam). Todos los datos se almacenan en centros de datos neerlandeses. Se realizaron con éxito tantos los controles de seguridad como los testeos técnicos de las versiones de prueba. A comienzos de diciembre, el equipo de GoodHabitz Security le informó a todos sus clientes acerca del cambio que se estaba gestando. Fue el 10 de ese mes que el cambio a los servicios de SMTPeter se efectivizó.
Salesforce
Subprocesador que provee soluciones CRM a ventas y al sistema de seguimientos de asistencia al cliente
GoodHabitz acordó un SCC con Salesforce. Este proveedor se rige por normas corporativas vinculantes (o BCR) en conformidad con el RGPD. Estas son medidas muy apropiadas, pero también decidimos hacer un acuerdo con Privacy Company, un externo para que realice una evaluación de protección de datos personales (o PIA) sobre la implementación de los servicios de Salesforce con el propósito de garantizar el cumplimiento del RGPD de manera comprobable. A continuación, se muestran los hallazgos y las medidas paliativas.
1 – Salesforce se usa como CRM por GoodHabitz. De acuerdo con RGPD, GoodHabitz no actúa como procesador sino como controlador respecto al uso de Salesforce.
Medida paliativa:
-
Como Salesforce not es parte del contrato entre GoodHabitz y sus clientes, no va a aparecer como subprocesador en el Acuerdo de procesamiento de Datos (o DPA, por sus siglas en inglés) o en cualquier reseña relacionada con subprocesadores.
2 - Pardot forma parte de nuestro contrato con Salesforce, y, por lo tanto, se suponía que los datos se almacenaban en los servidores Salesforce EU18 (Francia y Alemania), al igual que todos nuestros datos en Salesforce. Sin embargo, un DPA reveló que todos de Pardot se almacenan en los Estados Unidos.
Medidas paliativas:
-
Se comprobó que las BCR de Salesforce también se aplican para los servicios de Pardot.
-
GoodHabitz acordó con Salesforce un apéndice de medidas de salvaguardas para proteger los datos personales de cualquier interferencia que vaya más allá de lo necesario en una sociedad democrática, para proteger la seguridad nacional y la pública.
-
Nos hemos asegurado que ningún dato personal de nuestros clientes se comparta con Pardot. Solo las cuentas de Salesforce, creadas con propósitos comerciales, son compartidas con Pardot. Cualquier cliente que nos contacte nuestra oficina de soporte técnico se la va a registrar en Salesforce pero no en Pardot.