Base de Conhecimento

25 de maio de 2018 marcou o início da aplicação do Regulamento Geral de Proteção de Dados da União Europeia (GDPR).

A nova legislação impactou significativamente qualquer pessoa cujo negócio envolva o manuseio de dados pessoais de residentes da UE ou dentro da UE. Naturalmente, dados pessoais são cruciais para qualquer atividade de vendas, por isso nossa equipe e nossos usuários estão sempre se esforçando para garantir que o regulamento seja cumprido.

Este artigo fornece uma visão geral das funções e responsabilidades relacionadas a dados ao ter o Pipedrive como sua plataforma de CRM e explica as medidas que tomamos para atender aos valores e requisitos do GDPR.

A Pipedrive como processadora de dados

As pessoas armazenadas como contatos são os titulares dos dados, e você é considerado o controlador dessas informações pessoais. Nos nossos Termos de serviço e Aviso de privacidade, chamamos esses dados de dados do cliente (as informações que você processa no Pipedrive).

Ao usar o nosso aplicativo do Pipedrive para gerenciar seus clientes, você contrata nossa empresa como processadora de dados para realizar certas atividades em seu nome.

Segundo o Artigo 28 do GDPR, a relação entre controlador e processador precisa ser estabelecida por escrito (o formato eletrônico também é aceito, conforme a subseção 9 do mesmo artigo).

É aqui que os nossos Adendo de processamento de dados (DPA), Termos de serviço e Aviso de privacidade entram em cena. Esses três documentos também servem como um contrato de processamento de dados, apontando as instruções que você está dando à Pipedrive para fins de processamento dos dados pessoais que você controla, deixando estabelecidos os direitos e responsabilidades de ambas as partes. Na função mencionada, a Pipedrive só processa as informações dos seus clientes seguindo as instruções que você fornece enquanto controlador de dados.

Por fim, é importante ler a Seção 14.1 dos nossos Termos de serviço para saber qual entidade da Pipedrive é a sua parceira contratual.

Todos os clientes da UE têm um relacionamento contratual com a nossa entidade da UE, com sede na Estônia.

Transferência de dados

Um assunto que costuma surgir com os clientes é a transferência de dados fora da EEA.

O GDPR estabelece condições estritas de transferência de dados para fora do seu escopo de proteção. Isso é natural, caso contrário, seria impossível que a lei cumprisse seu propósito.

Quem é responsável por cumprir esses requisitos de transferência de dados? Como os nossos clientes da UE possuem uma relação jurídica com a nossa entidade da UE, esta transferência de dados permanece no EEE. No entanto, se precisarmos contratar sub-processadores de fora da EEE posteriormente, será nosso trabalho garantir que os dados sejam transferidos respeitando as leis vigentes.

Na nossa página de subprocessadores, você encontra uma lista atualizada de parceiros para garantir total transparência em relação a essas transferências. Esta lista também explicará quais dados estão envolvidos e como asseguramos que eles permaneçam adequadamente protegidos, mesmo após deixarem o EEE.

Fazemos isso garantindo que nossos prestadores externos de serviços possuam o certificado do Framework de Privacidade de dados UE – EUA ou tenham assinado as cláusulas contratuais da Comissão da UE para transferência de dados. Entretanto, é importante lembrar que não dependemos do DPF como mecanismo de transferência de dados.

Cumprimos as leis e os regulamentos de privacidade em vigor ao transferir dados entre regiões ou países, incluindo a implementação de medidas de proteção adequadas, como criptografia e acordos contratuais (DPAs, SCCs, quando aplicável), para garantir a conformidade e proteger a privacidade dos dados dos nossos clientes.

Pipedrive como controlador de dados

Além disso, o Pipedrive atua como o controlador de dados para as informações pessoais que coletamos sobre você, usuário do nossos nossos aplicativos e site.

Primeiramente, processamos os dados necessários para que possamos cumprir nosso contrato com você (Artigo 6(1)(b) do RGPD).

Em segundo lugar, processamos dados para cumprir nossas obrigações legais (GDPR, Artigo 6(1)(c)). Isso envolve principalmente dados e informações financeiras que precisamos para cumprir nossas obrigações de prestação de contas sob o GDPR.

Em terceiro lugar, processamos seus dados pessoais para nossos interesses legítimos, em conformidade com o Artigo 6(1)(f) do GDPR.

Quais são esses "interesses legítimos" de que falamos?

• Melhorar o aplicativo para ajudar nossos usuários a alcançar novos níveis de produtividade;
• Garantir que os dados dos usuários e os nossos sistemas estejam protegidos;
• Marketing responsável dos nossos produtos e recursos.

Esperamos que isso ajude você a compreender melhor os requisitos de proteção de dados da UE.

O que a Pipedrive faz para estar em conformidade com o GDPR?

Como a Pipedrive tem suas raízes na Europa, estamos bem posicionados para entender as implicações do Regulamento Geral de Proteção de Dados da UE para empresas.

Na Pipedrive, levamos as necessidades de privacidade dos nossos usuários, bem como as dos clientes deles, muito a sério. Por isso, implementamos, com melhorias contínuas, medidas técnicas e organizacionais alinhadas com o RGPD, com o intuito de resguardar os dados pessoais processados pelo nosso CRM.

Processos internos, segurança e transferência de dados

Uma parte significativa da conformidade com o GDPR envolve garantir que procedimentos estejam em vigor e que os processos de dados sejam mapeados e auditáveis. Portanto, incorporamos elementos ao nosso ciclo de desenvolvimento de aplicativos para criar recursos seguindo os princípios de Privacy by Design e Security by Design.

Qualquer acesso aos Dados do cliente que processamos em seu nome é estritamente limitado. Nossos procedimentos e registros internos garantem que os requisitos de responsabilização do GDPR nesse sentido sejam respeitados.

Estabelecemos um processo de onboarding de prestadores de serviços terceirizados e de adesão de ferramentas para garantir que nossos parceiros externos atendam às altas expectativas de privacidade e segurança da Pipedrive e seus clientes.

Prontidão para atender às solicitações de acesso ao assunto

A propriedade dos titulares dos dados pessoais está no cerne do RGPD. Por isso, estamos preparados para atender às solicitações dos titulares de dados para excluir, modificar ou transferir seus dados.

Isso significa que nossos especialistas em suporte ao cliente e os engenheiros que os auxiliam estão bem preparados para ajudar a resolver qualquer assunto que envolva seus dados pessoais, além de oferecer experiência de alto nível com que você está acostumado.

Documentação

Nossos Termos de serviço e Aviso de privacidade são frequentemente atualizados para aumentar a transparência e garantir conformidade com os requisitos do GDPR.

Como esses documentos constituem a base do nosso relacionamento com você, devemos fornecer uma explicação abrangente e transparente sobre nossos compromissos e seus direitos.

Além disso, mapeamos nossas atividades de processamento de dados continuamente para garantir conformidade com os requisitos de responsabilização do GDPR.

Treinamento

Todos os itens acima são respaldados por extensos esforços de treinamento dentro da empresa, garantindo que os processos de conformidade com o RGPD que implementamos sejam cautelosamente seguidos.

Nossos funcionários passam por treinamentos e programas de conscientização sobre privacidade e segurança regularmente, para estarem sempre atualizados sobre boas práticas, ameaças atuais e como proteger dados pessoais. Por exemplo, sessões sobre privacidade e segurança de dados são parte importante do nosso processo de onboarding, e cada departamento recebe um treinamento personalizado para trabalhar com informações pessoais.

A Pipedrive acredita firmemente que atender aos requisitos do GDPR vai além de simplesmente marcar itens em uma lista. Para nós, o GDPR representa um compromisso em respeito à privacidade dos indivíduos e com a responsabilidade ao manusear dados pessoais.