O principal objetivo deste artigo é ajudar nossos clientes da UE a avaliarem sua conformidade com os requisitos de proteção de dados da UE. Além deste artigo, preparamos a seção GDPR FAQ para ajudar a concluir uma análise de risco para você ou sua organização.
Localização dos dados
Todos os dados do Capsule são armazenados na Amazon Web Services (AWS), nos Estados Unidos. Todos os dados armazenados fora da UE devem estar em um país seguro ou com uma empresa que esteja em conformidade com as proteções exigidas pelo GDPR. Saiba mais sobre isso here.
Estipulamos um Adendo de processamento de dados com a AWS que a obriga a cumprir as Cláusulas contratuais padrão, definidas pela Comissão Europeia. Isso garante a transferência segura de dados para a AWS de acordo com as leis de proteção de dados da UE. (Para obter mais informações sobre as Cláusulas contratuais padrão, confira o UK Information Commissioner’s Office (ICO) guide).
Obrigação e relação contratual como seu processador de dados e nossos subprocessadores
O Capsule tem, por lei, a obrigação de proteger as Informações pessoais identificáveis de seus clientes. Leia o Contrato de Processamento de Dados para entender nossos compromissos e nossa abordagem para a proteção dos dados que você armazena em sua conta.
O Capsule tem vários subprocessadores, por exemplo, a AWS. Temos acordos com todos esses subprocessadores em vigor para garantir que os dados de seus clientes sejam protegidos como se estivéssemos cuidando deles diretamente na UE. Para consultar uma lista de nossos subprocessadores, clique here.
Criptografia
Os dados que são transferidos entre você e o Capsule são criptografados em trânsito usando Transport Layer Security (TLS). Trabalhamos arduamente para oferecer suporte aos mais altos padrões criptográficos possíveis para criptografia de dados em trânsito e desativamos o suporte a padrões mais antigos que não são mais considerados fortes. Todos os dados dos clientes são criptografados em repouso.
Certificação do Capsule
Os Gabinetes da Comissão de dados na UE não exigem nem oferecem um certificado. As exigências são de que cumpramos a legislação, o que já fazemos.
This article é particularmente útil para explicar. Nenhum órgão foi autorizado pelos Gabinetes da Comissão da UE a auditar e certificar a conformidade com o GDPR. Dito isso, podemos garantir que o Capsule oferece a segurança necessária para que você esteja em conformidade, por exemplo, criptografia e acordos legais, e o Capsule tem a funcionalidade para garantir que você possa agir de forma responsável com os dados dos seus clientes.
Fomos questionados sobre as certificações ISO e SOC. Elas não estão diretamente vinculadas ou relacionadas ao GDPR. Essas são certificações que confirmam os níveis de segurança: ISO, principalmente na UE, e SOC, principalmente nos EUA. Obtivemos nosso credenciamento SOC 2 Tipo 2, sobre o qual você pode ler mais neste artigo.
Armazenamento de dados do Capsule e Diretiva de proteção de dados da UE
Os requisitos de proteção de dados da UE foram padronizados de acordo com o Regulamento Geral sobre a Proteção de Dados (GDPR). Ele se aplica a qualquer pessoa que armazene dados pessoais de qualquer residente da UE.
A responsabilidade pelo cumprimento dos regulamentos é do controlador de dados. Por ser o controlador de dados em relação aos dados pessoais que armazena no Capsule, é sua responsabilidade garantir a conformidade com essa regulamento.
Para avaliar se o Capsule permite que você atenda aos requisitos, recomendamos que você faça uma análise de risco simples. As respostas a essas common GDPR questions ajudarão a concluir uma análise de risco para você ou sua organização. Fazemos isso com a firme convicção de que o Capsule está bem posicionado para proteger os dados pessoais que você nos confia.
Recursos do Capsule que atendem aos seus requisitos de conformidade
Registro de consentimento
O GDPR exige que todos os dados de clientes da UE tenham uma base legal para processamento. O consentimento é uma das maneiras de garantir o processamento legal. Outras incluem seu direito de processar os dados de um cliente devido a um interesse legítimo. O Gabinete do Comissário de Informação (ICO, sigla para Information Commissioner's Office) do Reino Unido publicou notas de orientação preliminares sobre a base legal para o processamento, que serão úteis para saber mais sobre o que isso implica e caso você precise buscar consentimento proativo. Clique aqui para obter essa orientação.
Caso precise registrar o consentimento proativo de um cliente, poderá usar o recurso de custom fields do Capsule e adicionar um campo de caixa de seleção para registrar que houve consentimento. Isso pode ser combinado com um campo de data para registrar quando o consentimento foi dado.
Também é possível destacar os clientes que consentiram o processamento de dados por meio de uma DataTag. As Etiquetas de dados permitem que você capture informações adicionais com uma etiqueta. Por exemplo, talvez você queira criar uma etiqueta “Consentimento” e registrar a data em que o consentimento foi dado ao lado da etiqueta.
Direito de ser esquecido
De acordo com o GDPR, há uma ênfase no direito de ser esquecido, permitindo que um indivíduo solicite a exclusão de seus dados. Se um de seus clientes pedir que você exclua as informações dele, é possível fazer isso com a função “Lixeira” do Capsule.
Um contato excluído permanece na lixeira por 30 dias, após os quais os dados são permanentemente removidos de nosso banco de dados ativo. Há também uma opção que permite que os superadministradores eliminem registros de contatos individuais da conta imediatamente, substituindo os 30 dias na lixeira. Para obter mais informações, consulte this article.
O Capsule mantém backups. Conforme explicado em nossos Termos do Cliente, garantimos que todos os dados residuais sejam apagados em até 50 dias após sua remoção dos sistemas ativos. Para saber mais sobre a política de exclusão e retenção que está em vigor, clique here. E também here.
Solicitação de Acesso do Titular
As Solicitações de acesso do titular são um requisito da legislação anterior, mas se tornaram mais proeminentes com a introdução do GDPR. Com isso, um indivíduo pode solicitar acesso a todos os dados que você armazenou sobre ele no Capsule.
Quando solicitado, é possível usar o recurso "Imprimir resumo" para preparar uma folha com as informações do cliente, com todo o histórico e as notas.
Para fazer isso:
-
Abra o contato que solicitou seus dados
-
Ao lado do nome do contato, use a seta para baixo para abrir um menu de ações
-
Selecione "Imprimir resumo"
-
Imprimir página
-
Agora você pode usar a função de impressão em seu navegador para imprimir as informações ou gerar um PDF, por exemplo
Como o Capsule processa seus dados
Somente processaremos seus dados pessoais de acordo com suas instruções como Controlador de dados, de acordo com nossos Termos e nossa Política de Privacidade.