En monday.com, nada es más importante que el éxito de los clientes y la protección de sus datos personales. Con clientes en casi todos los países del mundo, cumplimos el Reglamento General de Protección de Datos (RGPD). El RGPD amplía los derechos de privacidad otorgados a los ciudadanos europeos y requiere que ciertas empresas que procesan datos personales de ciudadanos europeos cumplan un conjunto de reglamentaciones nuevas. En particular, el RGPD puede aplicarse a las empresas que procesan datos personales de ciudadanos europeos y que tienen presencia en la UE, como oficinas o establecimientos, y a las empresas que no tienen presencia en la UE, pero que se dirigen al mercado europeo, por ejemplo, ofreciendo bienes o servicios, o supervisan el comportamiento de ciudadanos europeos. Estamos para ayudar a los clientes en sus esfuerzos por cumplir el RGPD.
¿Qué es el RGPD?
En 2016, la Unión Europea (UE) aprobó un reglamento nuevo sobre privacidad llamado Reglamento General de Protección de Datos, conocido en general como el RGPD. Es una norma obligatoria que se aplica a todas las empresas que recopilan datos e información de ciudadanos de la UE y cumplen ciertos requisitos territoriales. El objetivo del RGPD es reforzar la seguridad y la protección de los datos personales en la UE, así como proporcionar a las empresas un marco estructurado sobre la forma de recopilar, procesar, utilizar y compartir datos personales. En el marco del RGPD, el concepto “datos personales” es muy amplio y abarca casi toda la información relacionada con una persona específica.
¿Cuándo comienzan a aplicarse estas normas?
Todas las empresas que recopilen o procesen datos personales de ciudadanos de la UE deben cumplir el RGPD antes del 25 de mayo de 2018.
Controladores y procesadores
El RGPD define y distingue dos tipos de partes y responsabilidades a la hora de recopilar y procesar datos personales: los controladores y los procesadores de datos. Un controlador de datos determina los propósitos y las formas de procesamiento de los datos personales, mientras que un procesador de datos es quien procesa los datos en nombre del controlador. Esto significa que el controlador podría ser cualquier empresa u organización, como una empresa de TI, SaaS u otra que procese los datos en nombre del controlador. monday.com es un procesador de datos. Los clientes de monday.com, es decir las organizaciones que usan monday.com, son controladores de datos. El controlador se asegura de que todos los procesadores con los que trate cumplan el RGPD y los procesadores deben llevar registros de sus actividades de procesamiento.
¿Qué medidas tomó monday.com para cumplir los requisitos del RGPD?
Acogemos con satisfacción la llegada del RGPD y consideramos que las regulaciones aumentan la exigencia de cumplimiento, seguridad y protección de datos. Seguiremos comprometidos con clientes y usuarios para ayudarlos a cumplir el RGPD mientras usen monday.com como procesador de datos.
Trabajamos con los equipos de ingeniería, producto, seguridad y legales para hacer que el producto y las condiciones legales sean coherentes con el RGPD y continuaremos asegurándonos de que sigan así. Como parte del proyecto de preparación del RGPD de monday.com, tomamos las siguientes medidas:
-
Se revisaron y fortalecieron las prácticas, y la infraestructura de seguridad, el cifrado de datos en tránsito y almacenados, las copias de seguridad, los registros y las alertas de seguridad.
-
Se completó un proceso de evaluación de riesgos y mapeo de datos para asegurar que cualquier dato que pueda almacenarse o procesarse se procese y gestione según las instrucciones del RGPD.
-
Borramos o anonimizamos los datos de análisis de los usuarios después de la eliminación del usuario.
-
Solicitamos una auditoría externa a E&Y para recibir la certificación de seguridad
SOC 2 tipo II del Instituto Estadounidense de Contadores Públicos Certificados (AICPA).
-
Recibimos una certificación de seguridad reconocida internacionalmente de
ISO 27001ISMS (sistemas de gestión de seguridad de la información) e ISO 27018 (protección de los datos personales en la nube).
-
Nos aseguramos de tener los términos contractuales adecuados a fin de desempeñar el papel de procesador de datos para nuestros clientes y, al mismo tiempo, cumplir el RGPD.
-
Implementamos procedimientos, procesos y controles internos y sesiones de capacitación periódicas para el equipo a fin de garantizar el cumplimiento continuo del RGPD.
-
Revisamos los Términos de uso y la Política de privacidad para respaldar los requisitos del RGPD.
-
Realizamos una evaluación de seguridad y privacidad de los subprocesadores para asegurar que todos cumplan los requisitos del RGPD.
-
Nombramos una Oficina de Protección de Datos (DPO) y un representante en la UE.
-
Desarrollamos, y ofreceremos en los próximos días, características del producto que permiten a la organización ocuparse de la eliminación de datos:
- Eliminar perfiles de usuarios: ahora, el administrador puede eliminar del sistema los datos personales de los usuarios, por iniciativa propia o a pedido del usuario, lo que permitirá a la organización cumplir los requisitos del RGPD. Se eliminará el nombre, el teléfono, el correo electrónico, la foto, la dirección y el título del usuario, así como las referencias a redes sociales y otros campos del cliente, según corresponda. La eliminación del usuario no eliminará los mensajes del usuario ni los archivos subidos, que permanecerán disponibles para la organización, con un nombre anónimo, según lo definido por la organización.
-
Eliminar cuentas: al cancelar una cuenta, el administrador puede decidir si quiere conservar la información de la organización, incluidos los datos personales, para usarla en el futuro o eliminarla permanentemente.
Continuaremos supervisando las directrices sobre el cumplimiento del RGPD y nos aseguraremos de que los productos y procesos cumplan dichas directrices cuando entren en vigencia.
También creamos el portal
“Seguridad, privacidad y legales”, donde puedes obtener más información sobre las prácticas de seguridad y privacidad, las certificaciones, los términos legales, las políticas y los procedimientos de monday.com.
¿monday.com ofrece un Acuerdo de Procesamiento de Datos (DPA)?
Sí. Puedes
ver
el Acuerdo de Procesamiento de Datos/la adenda (DPA) en línea. Si necesitas una copia firmada del DPA, puedes descargarlo, enviar una copia firmada a legal@monday.com y te daremos una copia refrendada.
¿monday.com tiene un Responsable de la Protección de Datos (DPO) designado?
Sí. Designamos a Aner Rabinovitz, experto en privacidad, como Responsable de la Protección de Datos para supervisar y asesorar sobre el cumplimiento continuo de la política de privacidad de monday.com y como punto de contacto en asuntos de privacidad para las autoridades supervisoras y los titulares de datos. Puedes comunicarte con Aner en dpo@monday.com.
¿El RGPD impide que una empresa almacene datos fuera de la UE?
Nada en el RGPD impide que las empresas almacenen datos fuera de la UE, siempre y cuando los procesadores de datos cumplan las reglamentaciones y las protecciones necesarias. En monday.com, almacenamos datos con Amazon Web Service (AWS), radicada en los Estados Unidos. Al igual que monday.com, AWS ha declarado que cumple el RGPD.
¿Dónde puedo obtener más información sobre el RGPD?
Puedes obtenerse información adicional en el
sitio web del RGPD de la Unión Europea..
Tengo más preguntas, ¿con quién debo comunicarme?
Si tienes alguna pregunta adicional sobre el RGPD, puedes escribir a support@monday.com o llamar al +1 (201) 778-4567.