Il GDPR introduce una vera rivoluzione nel modo di trattare i dati personali. MailUp è al fianco delle aziende nell’affrontare questa sfida, con un impegno che si articola lungo due linee guida:
Il regolamento richiede ai nostri clienti la rivalutazione della propria infrastruttura dati e dei processi che coinvolgono il trattamento dei dati personali. Essere conformi non sarà semplice e noi non vogliamo creare maggiore complessità: per questo abbiamo condotto attente analisi volte a sfruttare la flessibilità che ci contraddistingue e a permettere ai nostri clienti di focalizzarsi solo su quello che serve davvero.
Sappiamo bene che la piattaforma MailUp rappresenta uno strumento fondamentale per i nostri clienti: per questo motivo ci siamo sottoponendo a diversi assessment, stiamo rivedendo le specifiche dei trattamenti e, nel frattempo, vogliamo metterti a conoscenza di come utilizzare la piattaforma al meglio in preparazione all’entrata in vigore del regolamento.
In assenza del permesso, i dati personali (inclusi indirizzo email e numero di telefono) verranno mascherati, senza che questo impedisca l’utilizzo delle principali funzionalità della piattaforma. Questa scelta si basa sul principio del “privilegio minimo” che, oltre ad essere una buona pratica in termini di sicurezza, può aiutare i clienti a mantenere lo stesso livello di sicurezza definito per la propria organizzazione, consentendo ad ogni utente di poter accedere soltanto al minimo dei dati effettivamente necessari per svolgere correttamente il proprio compito. Maggiori dettagli su come configurare questi permessi alla sezione “gestione permessi” della nostra guida.
Sempre in quest’ottica i permessi di accesso alle funzionalità chiave (visibilità contatti, statistiche, import, export, creazione e invio di campagne) sono configurabili in maniera specifica per ciascun utente.
Inoltre, la piattaforma permette di creare liste differenti che possono operare come ambienti indipendenti e assegnare l’accesso a tali liste a utenti specifici. Questo permette di definire registri dei trattamenti indipendenti a seconda delle necessità (ad es. geografia di origine/acquisizione).
In questo modo l’intera email viene criptata, tramite protocollo TLS, rendendone impossibile l’alterazione e la lettura non autorizzata durante il trasporto fino a che non arriva a destinazione.
Inoltre, tutti i link contenuti nelle email, compresi eventuali re-indirizzamenti, vengono controllati in automatico dai nostri sistemi per prevenire lo spam, l’utilizzo malevolo della piattaforma e il furto dei dati (anche personali).
MailUp dispone di un team dedicato alla privacy e alla compliance, coordinato da un Data Protection Officer, che supervisiona la sicurezza e la conformità dell’organizzazione alle leggi vigenti. Tutte le persone che lavorano per l’organizzazione, e in particolar modo quelle che possono avere accesso ai dati dei clienti, hanno ricevuto adeguata formazione in termine di sicurezza e privacy e hanno chiare disposizioni alle quali attenersi per salvaguardare la confidenzialità, l’integrità e la disponibilità dei dati.
Tutti gli accessi sono limitati da un sistema di permessi per ruolo e per finalità di utilizzo, che ci permette di garantire che solo le persone autorizzate possono avere accesso ai dati o ai server, per l’accesso a quest’ultimi è in essere un controllo di accesso biometrico. In aggiunta, anche il personale autorizzato non può vedere i dati personali dei contatti che i clienti caricano in piattaforma senza una autorizzazione aggiuntiva, sempre legata ad una richiesta specifica e tracciabile da parte del cliente o previa autorizzazione del team compliance per verificare un comportamento non conforme ai termini d’utilizzo. I ruoli e gli accessi sono controllati regolarmente.
I più virtuosi, che hanno già definito una durata precisa del trattamento, possono sfruttare la funzione di gestione inattivi per:
- Fornire alle aziende strumenti e funzionalità che aiutino a divenire conformi alla nuova regolamentazione in modo semplice e lineare.
- Integrare nella soluzione MailUp i nuovi requisiti introdotti dal nuovo regolamento, aggiornando il Data Processing Agreement (DPA). Per visionare il contratto sottoscritto fate riferimento a questa pagina.
Il regolamento richiede ai nostri clienti la rivalutazione della propria infrastruttura dati e dei processi che coinvolgono il trattamento dei dati personali. Essere conformi non sarà semplice e noi non vogliamo creare maggiore complessità: per questo abbiamo condotto attente analisi volte a sfruttare la flessibilità che ci contraddistingue e a permettere ai nostri clienti di focalizzarsi solo su quello che serve davvero.
Sappiamo bene che la piattaforma MailUp rappresenta uno strumento fondamentale per i nostri clienti: per questo motivo ci siamo sottoponendo a diversi assessment, stiamo rivedendo le specifiche dei trattamenti e, nel frattempo, vogliamo metterti a conoscenza di come utilizzare la piattaforma al meglio in preparazione all’entrata in vigore del regolamento.
Contatti con le autorità
Come stabilito dalle principali normative e standard internazionali in materia di sicurezza dei dati e delle informazioni, MailUp mantiene contatti in ottica di collaborazione con le Autorità di settore.Come ti aiutiamo a raggiungere la conformità al GDPR?
Accesso, gestione e sicurezza dei dati
Ogni cliente MailUp ha la possibilità di accedere con le credenziali principali di amministratore e creare utenti aggiuntivi con accesso esclusivo o condiviso ad una o più liste. Tutti i dati che i clienti caricano in piattaforma vengono salvati nei nostri sistemi, consentendo ai clienti di avere pieno controllo nella gestione, nella ricerca e nelle modalità di accesso.L’architettura MailUp è, come le più moderne applicazioni di tipo “software as a service”, di tipo multi-tenant. Tuttavia, dal momento che la privacy e la sicurezza dei nostri clienti è sempre stata la nostra priorità, abbiamo voluto mantenere un database specifico per cliente (database-per-tenant).
Più libertà nella scelta dei dati personali
Gestendo una quantità elevata di dati di diverse tipologie, noi di MailUp sappiamo bene quali siano le problematiche legate all’accesso e al trattamento dei dati personali. Per questo abbiamo voluto, anche in questo caso, mantenere un alto grado di flessibilità. Sarà possibile definire quali campi potranno essere visualizzati/modificati da ciascun utilizzatore della piattaforma.In assenza del permesso, i dati personali (inclusi indirizzo email e numero di telefono) verranno mascherati, senza che questo impedisca l’utilizzo delle principali funzionalità della piattaforma. Questa scelta si basa sul principio del “privilegio minimo” che, oltre ad essere una buona pratica in termini di sicurezza, può aiutare i clienti a mantenere lo stesso livello di sicurezza definito per la propria organizzazione, consentendo ad ogni utente di poter accedere soltanto al minimo dei dati effettivamente necessari per svolgere correttamente il proprio compito. Maggiori dettagli su come configurare questi permessi alla sezione “gestione permessi” della nostra guida.
Sempre in quest’ottica i permessi di accesso alle funzionalità chiave (visibilità contatti, statistiche, import, export, creazione e invio di campagne) sono configurabili in maniera specifica per ciascun utente.
Inoltre, la piattaforma permette di creare liste differenti che possono operare come ambienti indipendenti e assegnare l’accesso a tali liste a utenti specifici. Questo permette di definire registri dei trattamenti indipendenti a seconda delle necessità (ad es. geografia di origine/acquisizione).
Sicurezza applicativa e nelle comunicazioni
La piattaforma permette di definire alcune regole base che sono considerate misure adeguate nell’ambito della sicurezza e del trattamento dati:- Trasmissione crittografata utilizzando SSL, sia in fase di accesso che in fase di utilizzo della piattaforma
- Le password di accesso sono salvate in formato criptato e non reversibile (hash). Nessuno del personale di MailUp può conoscerle
- Gestione Password d’accesso avanzata
- Viene richiesto il cambio password utente dopo il primo accesso e, se configurato, per tutti i successivi cambi password non sarà possibile utilizzare una password già usata di recente
- Tutti gli account hanno l’obbligo di cambio password dopo un periodo predefinito (anche diverso per utente), impostabile dall’amministratore
- Controlli avanzati sulla complessità della password, impostabili e definibili (su richiesta)
- Le pagine di log-in e le API adottano controlli per la prevenzione di accessi non autorizzati e da attacchi di tipo “brute force”
- Accesso tramite sistema di autenticazione a due fattori
- Mettiamo a disposizione degli amministratori il log dettagliato degli accessi per utente
In questo modo l’intera email viene criptata, tramite protocollo TLS, rendendone impossibile l’alterazione e la lettura non autorizzata durante il trasporto fino a che non arriva a destinazione.
Inoltre, tutti i link contenuti nelle email, compresi eventuali re-indirizzamenti, vengono controllati in automatico dai nostri sistemi per prevenire lo spam, l’utilizzo malevolo della piattaforma e il furto dei dati (anche personali).
Sicurezza nel trattamento dei dati
I dati caricati in piattaforma vengono mantenuti e salvati tramite backup per tutto il periodo contrattuale, per essere automaticamente cancellati entro 20 giorni dalla fine del contratto.MailUp dispone di un team dedicato alla privacy e alla compliance, coordinato da un Data Protection Officer, che supervisiona la sicurezza e la conformità dell’organizzazione alle leggi vigenti. Tutte le persone che lavorano per l’organizzazione, e in particolar modo quelle che possono avere accesso ai dati dei clienti, hanno ricevuto adeguata formazione in termine di sicurezza e privacy e hanno chiare disposizioni alle quali attenersi per salvaguardare la confidenzialità, l’integrità e la disponibilità dei dati.
Tutti gli accessi sono limitati da un sistema di permessi per ruolo e per finalità di utilizzo, che ci permette di garantire che solo le persone autorizzate possono avere accesso ai dati o ai server, per l’accesso a quest’ultimi è in essere un controllo di accesso biometrico. In aggiunta, anche il personale autorizzato non può vedere i dati personali dei contatti che i clienti caricano in piattaforma senza una autorizzazione aggiuntiva, sempre legata ad una richiesta specifica e tracciabile da parte del cliente o previa autorizzazione del team compliance per verificare un comportamento non conforme ai termini d’utilizzo. I ruoli e gli accessi sono controllati regolarmente.
Gestione dei dati sensibili
I dati che i clienti caricano in piattaforma possono presentare vari gradi di riservatezza. Anche se la piattaforma fornisce una elevata sicurezza e granularità per il trattamento delle diverse tipologie di dati, è responsabilità del cliente definire e implementare l’approccio più adeguato per il trattamento e l’accesso dei dati sensibili. Su richiesta possiamo valutare le specifiche esigenze e configurare i servizi per trattare i dati in modo adeguato.Consenso
Il Regolamento prevede che il titolare del trattamento debba essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali. Per noi questa è stata una priorità da sempre, anche prima della stesura definitiva del Regolamento, e per questo motivo i nostri clienti possono trovare tutti gli strumenti necessari, sempre aggiornati, per gestire al meglio il consenso:- Sistema di conferma registrazione (double opt-in) implementato come standard sui nostri form con testi e messaggi facilmente configurabili
- Pagina profilo del destinatario chiara e che include tutti gli elementi necessari a dimostrare il consenso dell’interessato
- Possibilità di esportare i contatti in blocco con le informazioni relative alla data e all’ip di iscrizione
Validità temporale del consenso
Il GDPR prevede che sia onere del titolare del trattamento e dei suoi responsabili stabilire i tempi di conservazione dei dati e di assicurare che tale periodo sia limitato al minimo necessario.I più virtuosi, che hanno già definito una durata precisa del trattamento, possono sfruttare la funzione di gestione inattivi per:
- Richiedere conferma in automatico quando si avvicina il termine di scadenza
- Gestire chi non conferma il rinnovo del consenso al trattamento
Strumenti per l’esercizio dei diritti degli interessati
- Per poter consentire ai soggetti interessati dal trattamento di esercitare i diritti previsti (accesso, cancellazione, limitazione al trattamento, portabilità) abbiamo completato il Centro Gestione Profilo, che già permetteva di soddisfare la maggior parte delle richieste. Ora, se il Centro Gestione Profilo è abilitato, i destinatari potranno esercitare direttamente non solo il diritto alla cancellazione (opt-out) ma anche di accesso:
- Conoscere quali dati vengono trattati tramite la piattaforma
- Limitarne il trattamento
- Richiedere di non essere tracciato
- Portabilità: export delle informazioni personali
- Per poter consentire ai soggetti interessati dal trattamento di esercitare il diritto alla cancellazione dei propri dati personali (una delle principali novità contenute nel GDPR), la piattaforma MailUp offre la funzione “Disiscrizione per esercizio del diritto all’oblio”: tramite questa funzione l’interessato verrà disiscritto e tutti i dati aggiuntivi verranno cancellati a esclusione dell’indirizzo email e la data d’ iscrizione, che possono servire per dimostrare in futuro il consenso.
- Se desideri continuare a gestire queste attività individualmente, abbiamo riorganizzato l’interfaccia di gestione profilo destinatario in piattaforma, consentendo un rapido accesso a tutte le funzionalità necessarie
- Per le aziende che hanno completamente integrato la piattaforma MailUp nei propri sistemi, abbiamo riportato le medesime funzionalità nelle nostre API
- Funzionalità di ricerca in piattaforma come punto di accesso per individuare facilmente il soggetto interessato al trattamento