A VWO e o RGPD

Compromisso da VWO com a privacidade e proteção de dados

A VWO sempre honrou os direitos dos seus usuários à privacidade e proteção de dados. Ao longo dos anos, demonstramos nosso compromisso com isso excedendo consistentemente os padrões do setor. Não precisamos coletar e processar informações pessoais dos usuários além do que é necessário para o funcionamento de nossos produtos, e isso nunca mudará. Temos uma cultura consciente da privacidade, e o RGPD é uma oportunidade para fortalecermos isso ainda mais.

O que é o RGPD?

O Regulamento Geral sobre a Proteção de Dados (RGPD) é uma das maiores mudanças legislativas feitas desde 1975. Para entrar em vigor a partir de 25 de maio de 2018, o principal objetivo dessas alterações é a proteção dos dados pessoais e dos direitos dos residentes da UE.

O RGPD é uma lei de privacidade e proteção de dados em toda a UE que regula a forma como os dados dos residentes da UE são protegidos pelas empresas e aumenta o controle que os residentes da UE têm sobre os seus dados pessoais.

O RGPD é relevante para qualquer empresa que opere globalmente e não apenas para as empresas sediadas na UE e residentes na UE. Os dados de nossos clientes são importantes, independentemente de onde estejam localizados, e é por isso que implementamos os controles do RGPD como nosso padrão de linha de base para todas as nossas operações. O RGPD entrou em vigor a partir de 25 de maio de 2018.

Certificações de privacidade de dados e segurança da informação

Fomos certificados para as seguintes certificações para garantir a preparação para o RGPD:

  • ISO 27701:2019 Sistema de gestão de informações de privacidade [PIMS] e conformidade com o regulamento RGPD: a ISO 27701 é reconhecida internacionalmente e construída como uma extensão das normas ISO/IEC 27001 e ISO/IEC 27002 amplamente usadas para gestão de segurança da informação. É um padrão de privacidade global que se concentra na coleta e processamento de informações pessoalmente identificáveis (IIP). Esta norma foi desenvolvida para ajudar as organizações a cumprir as estruturas e leis internacionais de privacidade.
  • ISO 27001:2013 Sistemas de gestão de segurança da informação [ISMS]: o ISMS garante uma abordagem sistemática para gerenciar informações confidenciais da empresa para que elas permaneçam seguras. O ISMS inclui pessoas, processos e sistemas de TI por meio da aplicação de um processo de gestão de riscos.
  • Controles de sistema e organização 2 tipo II (SOC 2 tipo II): o SOC 2 tipo II é um rigoroso padrão de auditoria desenvolvido pelo American Institute of CPAs (AICPA). Garante que as empresas estabeleceram e mantiveram controles eficazes para proteger a segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade dos dados dos clientes.

A VWO abraça o RGPD

A VWO implementou processos e procedimentos para cumprir as várias disposições do RGPD — direitos do titular dos dados, princípios essenciais do RGPD, adendo de proteção de dados, exclusão de dados, retenção de dados e pseudonimização, que se alinham aos nossos valores essenciais de confiança do cliente e privacidade de dados.

Que medidas a VWO tomou para se preparar para o RGPD?

Nos últimos anos, cobrimos muito terreno para entender e analisar como o RGPD afetará nossos clientes e fazer as alterações apropriadas nos nossos produtos e processos. Isso foi possível com a ajuda de um grupo focado composto por especialistas em segurança e conformidade corporativa e membros da nossa liderança sênior. Abaixo está um vislumbre da nossa análise e as etapas que tomamos para garantir que estamos em conformidade bem a tempo:

Atuamos em muitas frentes para aderir a essa nova regulamentação.

  • Aumentamos a conscientização em toda a organização por meio de debates frequentes em nossos canais internos e treinamos os colaboradores para lidar com os dados de forma adequada. Eles agora entendem a importância da segurança da informação e os altos padrões estabelecidos pelo RGPD.
  • Avaliamos todos os produtos da Wingify, individualmente, em relação aos requisitos do RGPD e implementamos novos recursos que lhe darão mais controle sobre seus dados e aliviarão seu fardo de alcançar a conformidade com o RGPD.
  • Constituímos um registro de ativos de informação (IAR), que inclui informações sobre todas as funções que a Wingify assume, como controlador e processador de dados. Ele detalha as várias categorias de dados pessoais processados por nossa organização e qual departamento está obtendo acesso a quais dados e para qual finalidade. Possui uma cobertura abrangente de todos os nossos processos e procedimentos.
  • Avaliamos nossos subprocessadores (prestadores de serviços terceirizados, parceiros) e simplificamos o processo de contrato com eles para garantir que eles atendam às necessidades urgentes do mundo atual de segurança e privacidade.
  • Nomeamos campeões internos de privacidade para todas as nossas equipes. Também nomeamos um Diretor de Proteção de Dados (DPO).
  • Nossas equipes de aplicativos adotaram o conceito de privacidade desde a concepção e forneceram mais controle sobre os dados que você armazena nos nossos sistemas. Esforçamo-nos constantemente para lhe fornecer mais melhorias, que serão implementadas em fases.
  • Alteramos nosso Adendo de Processamento de Dados para estar em conformidade com os requisitos de processamento de dados do RGPD. Clique aqui.
  • Realizamos auditorias internas de nossos produtos, processos, operações e gestão. Os resultados foram comunicados às nossas equipes, que elaboraram as soluções para os problemas identificados.
  • Com base nas PIAs e auditorias internas, aprimoramos nossos métodos e processos de segurança de dados. Isso inclui criptografar dados em repouso, com base no nível de sensibilidade e probabilidade de riscos.
  • Limpamos nossos bancos de dados para garantir que tenhamos apenas as informações mais recentes e precisas. Este processo de limpeza inclui a remoção de contas encerradas e inativas de acordo com nossos Termos.
  • Quando necessário, as notificações de violação serão feitas de acordo com nossa política interna de resposta a incidentes de violação. Os clientes serão notificados de uma violação sem demora injustificada e dentro do prazo exigido pela(s) Lei(s) de Proteção de Dados Aplicável(eis) à POC designada do cliente.
  • Revisamos nossa Política de Privacidade para incorporar os requisitos das leis de privacidade aplicáveis com base no nosso inventário de dados, fluxos de dados e práticas de tratamento de dados.

Como a VWO está ajudando as empresas a se tornarem prontas para o RGPD

Na VWO, tomamos o máximo cuidado para garantir que os dados dos nossos clientes estejam seguros e facilmente acessíveis. Embora estejamos constantemente trabalhando duro para garantir que nossas práticas internas de dados estejam prontas para o RGPD, uma parte igualmente importante para nós é ajudar nossos clientes e parceiros na sua jornada em direção à conformidade. Com isso em mente, introduzimos as seguintes atualizações na plataforma da VWO:

  VWO Features Como funciona
Armazenamento e gestão de dados pessoais para visitantes Gravações de visitantes

Por padrão, a VWO anonimiza todas as teclas pressionadas para evitar o armazenamento ou transmissão de quaisquer dados pessoais ou confidenciais nos servidores da VWO. Adicionamos novos recursos para anonimizar o seguinte:

  • Ocultar todo o texto no corpo do html.
  • Lista de permissões usando o caminho do seletor CSS: esta opção pode ser usada para anonimizar ou colocar na lista de permissões especificamente um campo de entrada/não entrada ou rótulos de texto.
  • Anonimize um elemento específico usando a classe nls_protected.

Leia mais

Dimensões personalizadas

Atualizamos o processo de criação de dimensões personalizadas na VWO para incluir os seguintes novos recursos:

Por padrão, a VWO filtrará todos os dados recebidos para uma dimensão personalizada de propriedades pessoais, como endereço de e-mail, número de cartão de crédito e outros.

Recomenda-se que os usuários criptografem todos os dados recebidos.

Leia mais
Informações do local

Os clientes agora podem personalizar quais informações de localização dos visitantes são armazenadas ou desativar totalmente o armazenamento de qualquer informação de localização.

Leia mais

Endereço de IP — por padrão, a VWO substitui o último octeto do endereço de IP por 0 antes de salvá-lo. Os clientes agora podem personalizar essa configuração e desativar o armazenamento do endereço de IP.

Leia mais

Coleta de consentimento Pesquisas na página

Adicionamos a opção de exibir uma mensagem de consentimento no início de cada pesquisa. A mensagem também pode incluir links para políticas e outras informações.

Leia mais

Configurações de privacidade do navegador

Os clientes podem configurar suas configurações de privacidade no VWO App para parar de registrar qualquer informação dos visitantes do site que tenham as configurações “Não rastrear” ativadas nos seus navegadores.

Leia mais

Direitos do titular dos dados Configurações de segurança

Os clientes podem solicitar dados para os visitantes do site ou do aplicativo móvel por meio do UUID de um visitante. Um link será gerado pela VWO que coletará todos os dados para um UUID específico ou dados pessoais em potencial, como URLs e gravações de visitantes por um período de tempo definido.

Leia mais

Configurações de segurança

Os clientes podem solicitar a exclusão de dados dos visitantes do site ou do aplicativo móvel por meio do UUID do visitante.

Leia mais

 

O que estamos fazendo para garantir que você possa usar o produto da VWO de maneira pronta para o RGPD

O RGPD está focado na conformidade organizacional, em vez da conformidade no nível do produto. No entanto, atribuímos a máxima importância à forma como construímos os nossos produtos e adotamos uma abordagem de privacidade e segurança desde a concepção. Nossos produtos são projetados com privacidade e segurança em mente e como um componente central do nosso processo de desenvolvimento.

Como controlador de dados, você precisará garantir que está em conformidade com suas próprias obrigações sob o RGPD. No entanto, se comprar um produto da VWO, pretendemos garantir que pode usar o nosso produto de uma forma preparada para o RGPD, ajudando você a cumprir as suas obrigações ao abrigo do RGPD. Por exemplo, projetamos nossos produtos para facilitar a minimização de dados e fornecer uma melhor visão e controle sobre seus fluxos de dados, a fim de facilitar a satisfação de suas obrigações com o RGPD como controlador de dados.

Sou cliente da segurança de pagamento da VWO. Como posso ter certeza de que está em conformidade com os requisitos do RGPD em relação à segurança?

A VWO possui fortes políticas de segurança em vigor para cumprir o RGPD. Mantemos um alto padrão de segurança e temos várias validações de terceiros para muitas das nossas ofertas de SaaS. A segurança de pagamento da VWO adere aos rigorosos padrões PCI que incluem criptografia de dados em movimento e dados em repouso. Mantemos um plano robusto de resposta a incidentes, revisado mensalmente com exercícios anuais para garantir que estamos preparados para responder a qualquer evento de segurança. Se sofrermos uma violação de dados pessoais que o afete, a VWO informará você sem demora injustificada, para permitir que cumpra as suas obrigações nos termos do RGPD.

Perguntas mais frequentes

O que é o RGPD?

O Regulamento Geral sobre a Proteção de Dados da UE (RGPD) é um divisor de águas nas leis de proteção de dados e privacidade. A UE percebeu que, embora a tecnologia tenha evoluído drasticamente nas últimas décadas, as leis de privacidade não. Em 2016, os órgãos reguladores da UE decidiram atualizar a atual Diretiva de Proteção de Dados para se adequar aos tempos de mudança. Esta lei cria uma lista abrangente de regulamentos que regem o processamento de dados pessoais de residentes da UE.

A quem se aplica?

O RGPD aplica-se a qualquer organização que trabalhe com dados pessoais de residentes na UE. Esta lei introduz novas obrigações para os processadores de dados, ao mesmo tempo em que declara claramente a responsabilidade dos controladores de dados.

Onde se aplica o RGPD?

Essa lei não tem fronteiras territoriais. Não importa de onde sua organização é — se você processar os dados pessoais de indivíduos da UE, você está sob a jurisdição da lei.

Quais são as penalidades por não conformidade?

Uma violação do RGPD incorre em uma multa de até 4% do faturamento global anual ou € 20 milhões (o que for maior).

Quem são as partes interessadas principais?

  • Titular dos dados — uma pessoa singular residente na UE que é o titular dos dados.
  • Controlador de dados — determina a finalidade e os meios de processamento dos dados.
  • Processador de dados — processa dados de acordo com as instruções do controlador.
  • Autoridades supervisoras — autoridades públicas que rastreiam a aplicação do regulamento.

O que são dados pessoais ou informações pessoalmente identificáveis (IIP)?

Toda informação relativa a uma pessoa natural identificada ou identificável. Os identificadores são classificados em dois tipos: diretos (por exemplo, nome, e-mail, número de telefone etc.) e indiretos (por exemplo, data de nascimento, gênero etc.).

O que significa RGPD por “proteção de dados desde a concepção e por padrão”?

A proteção de dados desde a concepção significa garantir apenas que os dados pessoais necessários sejam coletados e também incorporar recursos e funcionalidades de privacidade em produtos e serviços desde o momento em que são projetados pela primeira vez.

Proteção de dados por padrão, as empresas devem implementar medidas apropriadas para mitigar os riscos de privacidade no momento da coleta dos dados, assim como nós, estendendo-os no momento do processamento.

Quais são as bases legais que o controlador de dados pode usar para processar os dados do cliente?

O controlador de dados pode escolher entre seis bases de processamento de dados. São elas:

Consentimento — o consentimento também é uma base legal para processar dados. Consentimento do titular dos dados significa “qualquer indicação dada livremente, específica, informada e inequívoca dos desejos do titular dos dados pela qual ele, por uma declaração ou por uma ação afirmativa clara, concorda com o processamento de dados pessoais relacionados a si”

Contrato — isso se aplica quando você precisa processar os dados pessoais do cliente para cumprir suas obrigações contratuais ou para tomar alguma ação com base na solicitação do cliente (por exemplo, enviar uma cotação ou fatura).

Obrigação legal — isto aplica-se quando tem de cumprir uma obrigação ao abrigo de qualquer lei aplicável (por exemplo, fornecer informações em resposta a pedidos válidos, como uma investigação por uma autoridade).

Interesses vitais — Isso se aplica a questões urgentes de vida ou morte, especialmente no que diz respeito a dados de saúde.

Tarefa pública — isso se aplica às atividades das autoridades públicas.

Interesses legítimos — os interesses legítimos podem incluir interesses comerciais, como marketing direto, interesses individuais ou benefícios sociais mais amplos. O controlador deve documentar e manter um registro das decisões sobre interesses legítimos na forma de uma avaliação de interesses legítimos.

O que é LIA?

  • LIA significa “avaliação de interesses legítimos”. Ela especifica o motivo pelo qual uma organização deseja processar os dados pessoais de um cliente. A organização também deve realizar uma LIA para mostrar que o processamento é necessário.

  • A avaliação da existência de um interesse legítimo. O estabelecimento da necessidade de processamento.

Onde estão localizados os meus dados?

Como cliente da VWO, pode escolher onde gostaria que armazenássemos os dados dos usuários/visitantes da sua conta e selecionar um dos três data centers seguintes:

  • O data center “europe-west1” do GCP, localizado na Bélgica
  • O data center “us-east4” do GCP, localizado no norte da Virgínia/Estados Unidos
  • O data center “asia-south1” do GCP, localizado em Mumbai/Índia

Se escolher o data center da UE, todos os seus dados de visitante/usuário serão armazenados exclusivamente na UE e não serão transferidos para um país que não seja membro da UE.

 

Onde posso encontrar recursos adicionais sobre o RGPD?

Aqui estão alguns links que você pode consultar para ler mais sobre o RGPD:

Quando o RGPD entra em vigor?

O RGPD foi aprovado e adotado pelo Parlamento da UE em abril de 2016. O regulamento entrará em vigor após um período de transição de dois anos e, ao contrário de uma Diretiva, não exigirá que nenhuma legislação seja aprovada pelo governo; o que significa que entrará em vigor a partir de 25 de maio de 2018.

Quem é afetado pelo RGPD?

O RGPD aplica-se não apenas a organizações localizadas na UE, mas também a organizações localizadas fora da UE, se oferecerem bens ou serviços ou rastrearem o comportamento dos titulares de dados da UE. O RGPD aplica-se a todas as empresas que tratam e detêm os dados pessoais de titulares de dados residentes na União Europeia, independentemente da localização das empresas.

Qual é a diferença entre um processador de dados e um controlador de dados?

Um controlador é uma entidade que determina as finalidades, condições e meios do processamento de dados pessoais, enquanto um processador é uma entidade que processa dados pessoais em nome do controlador.

Sinta-se à vontade para fazer perguntas e compartilhar preocupações conosco pelo e-mail privacy@wingify.com

Última atualização: Oct 15, 2018

Enterprise-Grade Data Security
You Can Trust

With certifications such as ISO 27001:2013, ISO 27701:2019, and SOC 2 Type II, VWO upholds a high level of data privacy and security, as expected by world-class businesses.

GDPR Icon