Orientación GDPR de PowerObjects

En mayo de 2018, las normas de privacidad y protección de datos de la Unión Europea (UE) recibirán la revisión más significativa en los últimos veinte años. Desde que se crearon las leyes actuales en los años noventa, el mundo digital ha evolucionado drásticamente. La cantidad de datos e información que generamos como individuos, y que capturamos y almacenamos como negocios, ha crecido, lo que resulta en un antiguo marco regulatorio que ya no encaja. El GDPR introduce un nuevo régimen regulatorio que tiene una definición más amplia de datos personales, un mayor alcance territorial en todo el mundo y mayores riesgos de incumplimiento.

En PowerObjects, queremos ayudar a nuestros clientes a cumplir con las regulaciones de GDPR al usar nuestros productos y servicios. A continuación se describen los fundamentos de GDPR, cómo se está preparando PowerObjects para el impacto y cómo puede prepararse.

¿Qué es GDPR?

GDPR significa Reglamento General de Protección de Datos; Es un nuevo reglamento de la UE que entra en vigor en el 25.th Mayo 2018. GDPR reemplaza la directiva de protección de datos de 1995 EU. A diferencia de las directivas de la UE, que son implementadas individualmente por cada estado miembro, las regulaciones de la UE se aplican de una vez en todos los estados miembros. Sin embargo, el impacto de esta nueva ley va mucho más allá de las fronteras de la UE.

GDPR presenta una serie de nuevas medidas destinadas a ofrecer una mejor privacidad y protección de datos para todos los residentes de la Unión Europea. Esto tiene implicaciones de gran alcance ya que afecta no solo a las organizaciones de la UE, sino también a organizaciones de otros países que recopilan o procesan datos de los residentes de la UE. También impone sanciones severas por incumplimiento y no cumplimiento de hasta € 20M o 4% de la facturación anual global.

GDPR también aborda la transferencia de datos personales de la UE a terceros países, como Estados Unidos. Las disposiciones sobre el intercambio de datos transfronterizos no cambian radicalmente de las regulaciones previamente establecidas bajo las directivas de protección de datos. GDPR hace no contiene cualquier requisito específico para hacer cumplir que los datos personales de los residentes de la UE deben residir en un estado miembro de la UE. Sin embargo, incluye condiciones que deben cumplirse antes de que pueda ocurrir esta transferencia, incluida la adecuación de las medidas de protección de datos.

GDPR tiene seis principios fundamentales relacionados con los datos personales:
  1. Debe ser procesado legalmente, de manera justa y transparente.
  2. Se debe recopilar para fines comerciales específicos, explícitos y legítimos.
  3. Debe ser adecuado, relevante y limitado a lo que sea necesario.
  4. Debe ser preciso y, cuando sea necesario, mantenerse actualizado.
  5. Debe conservarse solo durante el tiempo que sea necesario.
  6. Debe ser procesado adecuadamente para mantener la seguridad.
Definiciones clave de GDPR

Estas son las definiciones esenciales que GDPR introduce para varios aspectos de la protección de datos.
  • Controlador: Persona u organización que decide el propósito y los medios para procesar los datos personales.
  • Procesador: Persona u organización que procesa datos personales en nombre del controlador.
  • Consentimiento: El acuerdo para procesar los datos del interesado. Debe ser entregada libremente, específica, informada y con una indicación inequívoca del sujeto de los datos mediante una declaración o una acción afirmativa explícita.
  • Datos de Carácter Personal: Cualquier información relacionada con una persona física identificada o, lo que es más importante, identificable. Por lo tanto, cualquier dato que pueda usarse para determinar la identidad de una persona puede considerarse información personal. Por ejemplo, las direcciones IP y los identificadores en línea.
  • Procesamiento: Cualquier operación, ya sea automatizada o no, realizada en conjuntos de datos personales.
¿Cuál es el rol de PowerObjects en el cumplimiento de GDPR de su organización?

Cuando usa nuestros PowerPacks, PowerObjects actúa como un Procesador de datos para usted y se le exigirá que cumpla con todos los requisitos impuestos a los procesadores de datos según la nueva regulación. Su organización será considerada la controladora de datos según la nueva ley, y es responsabilidad de su organización manejar el cumplimiento con GDPR.

PowerObjects también se considera un controlador de datos para los datos de nuestros clientes, y nos aseguraremos de que nuestro propio procesamiento de datos cumpla con los requisitos para brindarle la mejor experiencia posible al respaldar nuestros valores fundamentales de "hacer lo correcto" y "vivir la tecnología" '.

¿Cuáles son las responsabilidades de PowerObjects bajo GDPR?

Como Procesador de datos, nuestras principales responsabilidades son garantizar que implementemos políticas y prácticas que cumplan con los requisitos de GDPR y que nuestros PowerPacks cumplan con GDPR. Esto incluye medidas de seguridad, que ya tenemos implementadas, así como procedimientos y documentación para demostrar el cumplimiento con GDPR y, por lo tanto, respaldar el cumplimiento de su organización.

La responsabilidad de PowerObjects es procesar los datos según lo acordado y tomar las medidas de seguridad adecuadas para proteger sus datos.

¿Qué PowerPacks son afectados por GDPR?

Nuestros PowerPacks son soluciones adicionales que brindan valor al extender la plataforma Dynamics 365. Muchos de ellos operan directamente dentro de la plataforma y, por lo tanto, no requieren que los datos de su cliente sean procesados ​​por PowerObjects. Sin embargo, algunos de nuestros PowerPacks necesitan integración de back-end y sincronización para cumplir con su función. Esta información se puede encontrar rápidamente navegando a la página de configuración para cada complemento de PowerPack importado en su CRM.

PowerPacks que dependen de los servicios en la nube de PowerObjects:
  • PowerChat: Confía en nuestra nube para configurar las comunicaciones de chat con los puntos finales del cliente.
  • PowerEmail: Utiliza nuestra nube para rastrear la entrega de correo electrónico y abre.
  • PowerMailChimp: Sincroniza datos entre Dynamics 365 y MailChimp usando nuestra nube.
  • Poder compartido: Utiliza nuestra nube para rastrear las visitas a los activos digitales compartidos con la herramienta.
  • PowerSMS: Sincroniza datos entre Dynamics 365 y el proveedor de SMS usando nuestra nube.
  • PowerSurveyPlus: Utiliza nuestra nube para capturar las respuestas de la encuesta para grabar en Dynamics 365.
  • PowerWebForm: Utiliza nuestra nube para capturar envíos de formularios para grabar en Dynamics 365.
  • PowerWebTraffic: Utiliza nuestra nube para rastrear las visitas a sitios web configurados por usted.
  • PowerZapEvent: Sincroniza datos entre Dynamics 365 y ZapEvent usando nuestra nube.
  • Adjunto de energía: Utiliza nuestra nube para extraer archivos adjuntos para almacenar en su SharePoint.
  • PowerAutoNumber: Utiliza nuestra nube para generar el siguiente número secuencial.
  • PowerGeoLog: Utiliza nuestra nube para rastrear los inicios de sesión de usuarios de Dynamics 365.
¿Cómo maneja PowerObjects el intercambio transfronterizo y las jurisdicciones de datos?

El único intercambio de datos transfronterizo que PowerObjects hace es para los conjuntos de datos necesarios para registrar un PowerPack. Esta información se registra en nuestro propio sistema con sede en los EE. UU. Hacemos no realizar cualquier transferencia de datos transfronteriza dentro de nuestros PowerPacks. Cada vez que instala un PowerPack que Si requiere el procesamiento de back-end en nuestro PowerPack Cloud, usted puede decidir en qué región desea que ocurra su procesamiento de datos. Las ubicaciones disponibles actuales son Estados Unidos, Brasil, Europa y Asia oriental. Utilizamos los servicios de Microsoft Azure para nuestros sistemas PowerPack Cloud y nuestras regiones de la nube corresponden a las regiones subyacentes de Microsoft Azure.

Tenga en cuenta que algunos de nuestros PowerPacks proporcionan integración con servicios de terceros. Usted es responsable de la provisión de estos servicios de terceros, y nuestros PowerPacks se comunicarán con ellos según lo indicado por usted en la configuración. Esto podría incluir transferencias de datos transfronterizas, y usted es responsable de garantizar que los terceros que procesan sus datos también cumplan con GDPR. Por ejemplo, MailChimp tiene una guía detallada dentro de su base de conocimiento sobre cómo están logrando esto en relación con el acuerdo del Escudo de Privacidad UE-EE. UU.

Cómo procesamos los datos en nuestros PowerPacks

Siempre que necesitemos procesamiento de back-end en nuestra nube PowerPack para ofrecer la funcionalidad PowerPack, utilizamos servicios en la plataforma Microsoft Azure. Esta plataforma nos ofrece un alto nivel de seguridad y brinda beneficios adicionales para garantizar que existan medidas técnicas de seguridad adecuadas para brindar la máxima protección a los datos de sus clientes.

Nuestro procesamiento PowerPack Cloud es sencillo. Solo sincronizamos o integramos datos con el objetivo de grabarlos en su instancia de Microsoft Dynamics 365. Por lo tanto, no tenemos ninguno de sus datos de clientes registrados permanentemente en nuestros servicios en la nube. Solo lo conservamos durante el tiempo que sea necesario para completar el procesamiento exitoso, y no más de 30 días.

En general, podemos describir nuestro procesamiento de datos PowerPack de la siguiente manera:
  1. Cuando instala un nuevo PowerPack, recopilamos información de registro que incluye sus datos de contacto y los detalles de su organización de Dynamics 365: nombre de instancia e identificación única, número de usuarios y URL; así como algunos otros detalles necesarios para cada PowerPack específico, como credenciales o claves API. Esta información se transmite de forma segura a nuestro motor de registro PowerPack utilizando el cifrado TLS estándar de la industria. Luego, los datos se registran en nuestro centro de datos con sede en EE. UU. Y se cifran en reposo.
  2. Si PowerPack necesita procesamiento o sincronización de back-end como se describió anteriormente, puede elegir una de nuestras ubicaciones de PowerPack Cloud que mejor se adapte a sus requisitos de jurisdicción de datos. Estas ubicaciones corresponden a las ubicaciones en la nube de Microsoft Azure, ya que utilizamos los servicios en la nube de Microsoft Azure para proporcionar esta infraestructura. Nunca enviamos sus datos a diferentes ubicaciones en la nube de PowerPack, por lo que tiene control total sobre dónde residen sus datos. Además, gracias a la fortaleza de Microsoft Cloud, tenemos una cantidad adicional de medidas técnicas de seguridad para ayudarnos a proteger sus datos durante este procesamiento.
  3. Si la funcionalidad requiere integración con API de terceros, por ejemplo, MailChimp o Twilio, proporcionará esta configuración durante la configuración de la solución para habilitar la funcionalidad PowerPack. Luego usamos esa información para enviar los datos como se espera a estos servicios de terceros para implementar el PowerPack. Toda la transmisión de datos entre sistemas está encriptada y sigue los estándares de seguridad de la industria.
  4. Los datos de sus clientes solo se conservan en nuestra nube hasta treinta días, mientras nos aseguramos de que se hayan almacenado correctamente en su instancia de Dynamics 365. Después de eso, eliminamos la información de nuestros sistemas. Nuestro PowerPack Cloud no mantiene ningún registro permanente de los datos de sus clientes.
¿Qué está haciendo PowerObjects para garantizar el cumplimiento de GDPR?

Estamos trabajando arduamente para tener todo listo para el cumplimiento de GDPR, algunas de las actividades que verá que suceden antes de mayo 2018.
  • Políticas y documentos actualizados:
    Estamos actualizando nuestra política de privacidad, acuerdos de licencia y otros términos para garantizar el cumplimiento y la descripción adecuada de los procedimientos para acceder al sujeto de datos.
  • Privacidad:
    Nos tomamos la seguridad muy en serio, ya realizamos escaneos de seguridad semanales y mensuales. También realizamos auditorías externas periódicas y pruebas de penetración en toda nuestra infraestructura.
  • Comunicación:
    Estamos revisando nuestros procedimientos de comunicación y notificación para asegurarnos de que cumplan con el GDPR.
  • Detalles de implementación técnica:
    Estamos creando algunas Guías técnicas que brindan más detalles sobre cómo cada PowerPack afectado procesa la información de su cliente. Estas guías estarán disponibles bajo demanda para nuestros clientes.
¿Dónde puedo encontrar más información sobre GDPR?

El texto completo del GDPR está disponible aquí. La Comisión Europea tiene un útil página web dedicado al tema de Protección de datos que cubre GDPR y otros temas relacionados. También recomendamos al Comisionado de Protección de Datos de Irlanda Sitio de GDPRy la Oficina del Comisionado de Información del Reino Unido Guía de pasos de 12 recursos valiosos para ayudar a comprender cómo cumplir con GDPR.

Como suscriptor de PowerPack, siempre puede comunicarse con nuestro equipo de PowerPack si tiene preguntas sobre el cumplimiento de PowerObjects con GDPR u otros problemas relacionados con la privacidad de los datos.