GDPR do DropboxConformidadeJornada

IntroduçãoO Regulamento Geral de Proteção de Dados (GDPR) é um regulamento da União Europeia que atualiza e harmoniza a estrutura de processamento de dados pessoas na UE, e está ativo desde 25 de maio de 2018.

Desde que o regulamento passou a ter efeito, nossos clientes estão cada vez mais focados nas consequências da nova estrutura de proteção de dados europeia no mundo real.

No Dropbox, estamos preparados para o GDPR. Com base nos comentários de clientes, decidimos compartilhar um pouco dessa jornada com você.

Jornada do Dropbox no cumprimento do GDPR 2

O q u e o G D P R s i g n i f i c a p a r a o D r o p b o xA confiança é a base do nosso relacionamento com milhões de pessoas e empresas ao redor do mundo. Apreciamos a confiança que você deposita em nós e assumimos a responsabilidade de proteger suas informações com seriedade.

No Dropbox, a segurança e pr ivac idade dos seus dados são a nossa maior pr ior idade :

• Temos uma equipe de segurança específica, que usa ferramentas de especialistas e segue as práticas de engenharia disponíveis para desenvolver e manter o Dropbox, e implementamos múltiplos níveis de segurança para proteger e fazer o backup dos seus dados.

• Nossas práticas de segurança estão em conformidade com os padrões e regulamentos mais aceitos, como ISO 27001, ISO 27017, ISO 27018, HIPPA/HITECH, Germany BSI C5 e SOC 1, 2 e 3. Auditores terceirizados e independentes testam nossos controles e enviam relatórios e pareceres.

• Mais informações sobre os padrões que seguimos e como verificamos nossas práticas de segurança estão disponíveis em nossa página sobre conformidade.

• O whitepaper sobre Segurança do Dropbox Business define em detalhes todos os aspectos da nossa abordagem de segurança (infraestrutura, rede, aplicativo, estrutura física, informação, etc.).

Jornada do Dropbox no cumprimento do GDPR 3

Te m o s u m h i s t ó r i c o f o r t e e m p r o t e ç ã o d e d a d o s :

• A proteção de dados é de extrema importância para o Dropbox, que tem um histórico de estar sempre à frente quando o assunto é conformidade. Por exemplo, fomos um dos primeiros fornecedores de serviços na nuvem a conseguir a certificação ISO 27018 — o padrão reconhecido internacionalmente para melhores práticas de proteção de dados e privacidade na nuvem.

• Temos especialistas em privacidade designados para trabalhar no design e manutenção do nosso programa de privacidade e em políticas que protegem os seus dados, de acordo com as exigências do GDPR.

• O Dropbox inclui compromissos contratuais fortes nos seus acordos com clientes business. Nossos acordos com clientes business incorporam as cláusulas de contrato no modelo da União Europeia, e temos a certificação da estrutura de Escudo de Privacidade da UE e dos EUA. Isso significa que temos proteções legais adicionais e fazemos monitoramento externo sobre a coleta, uso e retenção de dados pessoais transferidos da União Europeia para os Estados Unidos.

Jornada do Dropbox no cumprimento do GDPR 4

Como o Dropbox se preparou para o GDPRDevido à sua forte base, o Dropbox vê a conformidade com o GDPR como uma estrutura incremental sob as práticas e controles existentes, em vez de uma revolução na forma como processamos dados pessoais.

A jornada do Dropbox na conformidade começou assim que o regulamento foi adotado em 2016. Nosso primeiro passo foi criar uma equipe multifuncional de especialistas em proteção de dados, formada por um conselho legal, profissionais de segurança e conformidade, engenheiros de produto e de infraestrutura — dos dois lados do Atlântico — para analisar e abordar especificamente as novas exigências do GDPR.

O próximo passo foi avaliar a segurança e as práticas de proteção de dados atuais e os níveis de preparo para o GDPR. Isso envolveu a realização de uma avaliação de lacunas detalhada sobre o GDPR e as diretrizes mais recentes, determinando que áreas eram aplicáveis ao Dropbox e se nossas práticas atuais estavam de acordo com as exigências como descritas ou se precisavam de iteração para cumprir totalmente as exigências.

Nosso passo seguinte foi conduzir uma avaliação completa e detalhada dos nossas atividades de processamento de dados pessoais. Este exercício é referido, algumas vezes, como "mapeamento de dados". Na verdade, esse mapeamento rastreia o ciclo de vida dos dados pessoais em nossos sistemas — da coleta inicial do usuário até exclusão e descarte.

Jornada do Dropbox no cumprimento do GDPR 5

Nós trabalhamos nos nossos processos e procedimentos já existentes para garantir que eles estivessem de acordo os princípios de responsabilidade das exigências do GDPR. Isso é importante, pois o GDPR coloca um foco maior na documentação de decisões e práticas que afetam dados pessoais.

Com nossa equipe de experts criada, a avaliação de lacunas quanto ao GDPR e o mapeamento de dados concluído, o Dropbox implementou passos e etapas de desenvolvimento de processo de forma a garantir nossa conformidade total com o GDPR, em maio de 2018.

Jornada do Dropbox no cumprimento do GDPR 6