Quando o GDPR se tornou obrigatório para qualquer empresa com clientes ou funcionários europeus em 25 de maio, ele se tornou fonte de intensa consternação em algumas diretorias.
Em 24 horas, tanto o Google quanto o Facebook foram foram alvo de ações judiciais que ameaçam mais de US$ 8 bilhões em danos. Em abril de 2018, a Harvey Nash e a KPMG descobriram que 38% dos executivos de tecnologia estavam preocupados com a possibilidade de não estarem em conformidade com o GDPR até o prazo final de maio, e uma pesquisa com participantes da conferência Infosecurity Europe em agosto de 2018 descobriu que 28% das organizações ainda não se consideravam totalmente em conformidade.
Mas, para Andre Schindler, gerente geral da NinjaOne para a região EMEA, a definição das políticas de privacidade e do GDPR da empresa foi uma oportunidade de ser transparente com os clientes.
“Toda a ideia do GDPR é ajudar as pessoas a entender o que acontece com seus dados”, diz Schindler. “Não o esconda em termos complicados, não o esconda no contrato de licença do usuário final (EULA) em algum lugar da página 15. Basta dizer a eles o que acontece com seus dados.”
A Schindler contratou os serviços dos respeitados consultores de privacidade da TrustArc para avaliar os processos de dados da NinjaOne. Com sede em São Francisco, a TrustArc auxilia mais de 1.000 empresas em todo o mundo com privacidade, conformidade e gerenciamento de riscos.
Em boa companhia
Empresas de tecnologia selecionadas que contrataram a TrustArc para conformidade com a privacidade e gerenciamento de riscos
“Queríamos ter um prestador de serviços independente para analisar todas as coisas que estamos fazendo e garantir que não estamos esquecendo de nada”, diz Schindler.
Após obter documentos da NinjaOne e realizar entrevistas com a equipe, a TrustArc identificou os tipos de dados personalizados que a empresa acumula, assegurando que eram realmente necessários para prestar serviços aos clientes. A TrustArc também confirmou que a NinjaOne tinha procedimentos robustos para que os clientes europeus pudessem ter seus dados avaliados, alterados, corrigidos ou excluídos. A revisão dos procedimentos do GDPR também examinou o regime de segurança, inclusive as proteções físicas nos data centers, a força dos algoritmos de criptografia e firewalls e os protocolos de segurança de rede.
Em última análise, a política do GDPR da Ninja se resume à divulgação clara sobre o que a empresa faz com os dados do usuário, bem como aos procedimentos no caso de um cliente europeu querer revisar os dados de identificação pessoal do usuário ou excluí-los. Isso é particularmente importante para uma empresa de SaaS como a NinjaOne, que depende de clientes em potencial que fornecem informações de contato para se inscrever em demonstrações ou serviços.
De acordo com as regras do GDPR, os clientes optam ativamente por participar antes que uma empresa possa usar seus dados para entrar em contato com a pessoa.
E, se a pessoa se inscrever no serviço, os dados pessoais e os detalhes financeiros serão transmitidos por criptografia TLS e armazenados em um data center protegido por criptografia AES-256, backups automatizados, funcionários humanos que usam autenticação de dois fatores e sistemas de supressão de incêndio. A Ninja também participa da Estrutura do Escudo de Privacidade UE-EUA que substitui os anteriores Princípios Internacionais de Privacidade Safety Harbor.
“Mantemos os dados muito próximos e só os compartilhamos quando a tecnologia exige que o façamos”, diz Schindler.
O NinjaOne só se integra a parceiros de tecnologia de terceiros que também tenham alcançado a conformidade com o GDPR, como a ferramenta antivírus Webroot ou a empresa de acesso remoto TeamViewer. E se um MSP sediado na UE, ou um MSP que tenha clientes na Europa, quiser ver quais dados de identificação pessoal foram coletados pela NinjaRM ou ter esses dados excluídos, basta entrar em contato com a empresa em [email protected].
“A privacidade dos dados não existe para ser vendida – nem deve ser uma nova preocupação só porque o GDPR foi criado”, diz Schindler. “A privacidade dos dados e a segurança dos clientes devem ser uma parte fundamental das metas de qualquer empresa.”
