Em 16 de julho de 2020, o Tribunal de Justiça Europeu invalidou o Privacy Shield. Como resultado, não há mais base legal para a troca de dados com partes americanas. Cada organização que usa (sub)processadores nos Estados Unidos terá que concluir uma Cláusula Contratual Padrão (SCC) com cada uma dessas partes. GoodHabitz não é exceção. O próximo passo é provar que o nível de proteção oferecido por esses SCCs atende aos requisitos do GDPR.
O que isso significa para os alunos?
A sua privacidade é a nossa maior prioridade, por isso queremos mostrar-lhe os passos que estamos a dar para cumprir o LGPD, no que diz respeito aos nossos subprocessadores. Nosso objetivo, é claro, é salvaguardar comprovadamente a proteção de seus dados pessoais.
- Listamos todos os subprocessadores que podem processar seus dados pessoais fora da EEE.
- Entramos em contato com esses subprocessadores para perguntar sobre quaisquer medidas tomadas após a invalidação do Privacy Shield.
-Convocamos uma Equipe de Resposta a Emergências para decidir o que fazer com os subprocessadores baseados nos EUA.
- Decidimos encontrar alternativas europeias para nossos dois subprocessadores baseados nos EUA.
- Implementamos os serviços dos novos subprocessadores europeus.
O que isso significa para nossos clientes?
O contrato de processamento de dados celebrado permanecerá em vigor. Dito isso, a lista de subprocessadores mencionados no contrato deve ser atualizada. É nosso dever como processador informar os clientes sobre quaisquer alterações no subprocessador.
Segurança
Novo subprocessador para verificação de endereço de e-mail.
A GoodHabitz não pode mais garantir a conformidade com LGPD para Kickbox, nosso antigo subprocessador com sede nos EUA para verificação de endereço de e-mail. É por isso que decidimos mudar para um provedor no EEE, chamado Bouncer. Examinamos e testamos minuciosamente os serviços deste fornecedor polonês. A triagem de segurança mostrou que todas as medidas técnicas e organizacionais necessárias foram tomadas pela Bouncer para cumprir integralmente o LGPD. Apenas endereços de e-mail são compartilhados com este provedor. O Bouncer armazena e processa com segurança esses endereços de e-mail em uma infraestrutura de nuvem baseada na União Europeia, uma solução híbrida de nuvem AWS (região de Frankfurt) e nuvem OVH (França). Nenhum dado está sendo transferido para fora do EEE e o Bouncer apagará todos os dados pessoais do sistema após 60 dias. Não estamos mais usando os serviços do Kickbox.
Copernica (SMTPeter)
Novo subprocessador para envio de emails transacionais
Apesar das muitas medidas mitigadas tomadas pelo nosso ex-fornecedor Mailchimp/Mandrill com sede nos EUA após a invalidação do Privacy Shield, decidimos mudar para um fornecedor no EEE. Estamos analisando e testando a ferramenta SMTPeter, que oferece um servidor SMTP baseado em nuvem para entrega de e-mail rápida e segura. O SMTPeter é fornecido pela Copernica. A Copernica é uma fornecedora holandesa de software de automação de marketing, localizada em Amsterdã. Todos os dados são armazenados em data centers holandeses. Tanto a triagem de segurança quanto o teste de demonstração técnica foram concluídos com sucesso. No início de dezembro, a equipe GoodHabitz Security informou todos os clientes sobre nossa mudança planejada. Desde 10 de dezembro, mudamos totalmente para os serviços do SMTPeter.
Salesforce
Subprocessador para fornecer um CRM de vendas e um sistema de tickets para fins de suporte ao cliente GoodHabitz concluiu cláusulas contratuais padrão (SCC) com a Salesforce. Além disso, a Salesforce tem regras corporativas vinculativas (BCR) em vigor, que estão de acordo com o GDPR. Apesar dessas medidas apropriadas, contratamos a Privacy Company como uma parte externa para realizar uma Avaliação de Impacto da Proteção de Dados (DPIA) em nossa implementação do Salesforce, a fim de garantir a conformidade com o GDPR demonstrável. Isso resultou nas seguintes descobertas e medidas mitigadas:
1 - O Salesforce é usado como CRM pela GoodHabitz. De acordo com o GDPR, a GoodHabitz não atua como processador, mas como controladora em relação ao uso do Salesforce.
Medida atenuada:
Como o Salesforce não faz parte do contrato entre a GoodHabitz e seus clientes, ele não será mais listado como um subprocessador no Contrato de Processamento de Dados e nas visões gerais de subprocessadores relacionados.
2 - Pardot faz parte do nosso contrato Salesforce e, portanto, assumiu-se que os dados foram armazenados nos servidores Salesforce EU18 (localização França e Alemanha), assim como todos os nossos dados Salesforce. No entanto, o DPIA detalhado revelou que todos os dados do Pardot são armazenados nos Estados Unidos.
Medidas atenuadas:
Verifica-se que as Regras Corporativas Vinculativas da Salesforce também se aplicam aos serviços Pardot.
A GoodHabitz fechou um Adendo de Salvaguardas Adicionais com a Salesforce para proteger os dados pessoais contra qualquer interferência que vá além do necessário em uma sociedade democrática para salvaguardar a segurança nacional, defesa e segurança pública.
Garantimos que nenhum dado pessoal de alunos seja compartilhado com o Pardot, portanto, apenas contas do Salesforce criadas para fins comerciais são compartilhadas com o Pardot. Um aluno que entrar em contato com nosso suporte técnico será registrado no Salesforce, mas não no Pardot.