Cuando el RGPD entró en vigor para cualquier empresa con clientes o empleados europeos el 25 de mayo, se convirtió en motivo de gran preocupación para muchos comités de dirección.
En 24 horas, tanto Google como Facebook fueron objeto de demandas que reclamaban más de 8000 millones de dólares en daños y perjuicios. En abril de 2018, Harvey Nash y KPMG descubrieron que el 38 % de los directivos tecnológicos temían no cumplir con el RGPD antes de la fecha límite de mayo, y una encuesta realizada entre asistentes a la conferencia Infosecurity Europe en agosto de 2018 reveló que el 28 % de las organizaciones aún no se consideraban plenamente conformes.
Pero para Andre Schindler, director general para EMEA de NinjaOne, reforzar las políticas de privacidad y RGPD de la empresa fue una oportunidad para ser transparentes con los clientes.
«La idea fundamental del RGPD es ayudar a las personas a entender qué ocurre con sus datos», afirma Schindler. «No lo ocultes en términos complicados ni lo escondas en algún punto del acuerdo de licencia de usuario final (EULA) en la página 15. Simplemente explica qué sucede con sus datos».
Schindler contrató los servicios de los reconocidos consultores de privacidad de TrustArc para evaluar los procesos de datos de NinjaOne. Con sede en San Francisco, TrustArc presta apoyo a más de 1000 empresas en todo el mundo en materia de privacidad, cumplimiento normativo y gestión de riesgos.
En buena compañía
Empresas tecnológicas seleccionadas que han recurrido a TrustArc para cumplimiento normativo en materia de privacidad y gestión de riesgos
«Queríamos contar con un contratista independiente que revisara todo lo que estábamos haciendo y asegurarnos de que no se nos escapaba nada», afirma Schindler.
Tras revisar la documentación de NinjaOne y realizar entrevistas con el personal, TrustArc identificó los tipos de datos personales que recopila la empresa, asegurándose de que fueran realmente necesarios para prestar el servicio a los clientes. TrustArc también confirmó que NinjaOne contaba con procedimientos sólidos para que los clientes europeos pudieran acceder a sus datos, modificarlos, corregirlos o eliminarlos. La revisión de los procedimientos relacionados con el RGPD también examinó el marco de seguridad, incluyendo protecciones físicas en los centros de datos, la solidez de los algoritmos de cifrado y firewall, así como los protocolos de seguridad de red.
En última instancia, la política de RGPD de NinjaOne se basa en la divulgación clara de cómo la empresa utiliza los datos de los usuarios, así como en los procedimientos a seguir en caso de que un cliente europeo desee revisar los datos personales identificables o solicitar su eliminación. Esto es especialmente importante para una empresa SaaS como NinjaOne, que depende de que clientes potenciales faciliten su información de contacto para registrarse en demostraciones o servicios.
De acuerdo con las normas del RGPD, los clientes deben dar su consentimiento activo antes de que una empresa pueda utilizar sus datos para ponerse en contacto con ellos.
Y, si una persona se registra en el servicio, sus datos personales y financieros se transmiten mediante cifrado TLS y luego se almacenan en un centro de datos protegido con cifrado AES-256, copias de seguridad automatizadas, empleados con autenticación de dos factores y sistemas de protección. NinjaOne también participa en el marco EU-US Privacy Shield (Escudo de Privacidad UE-EE. UU.), que sustituyó a los anteriores principios de privacidad del Safe Harbor (Puerto Seguro).
«Mantenemos los datos muy protegidos y solo los compartimos cuando la tecnología lo requiere», afirma Schindler.
NinjaOne solo se integra con socios tecnológicos externos que también han alcanzado el cumplimiento del RGPD, como la empresa de antivirus Webroot. Si un MSP con sede en la UE, o un MSP con clientes en Europa, desea saber qué datos personales identificables ha recopilado NinjaOne, o quiere que esos datos se eliminen, la empresa solo tiene que ponerse en contacto con [email protected].
«La privacidad de los datos no está para venderse, ni debería ser una preocupación nueva solo porque haya entrado en vigor el RGPD», afirma Schindler. «La privacidad y la seguridad de los datos de los clientes deben ser una parte fundamental de los objetivos de cualquier empresa».
