Na Fin, trabalhamos duro para cumprir o Regulamento Geral de Proteção de Dados da UE (GDPR), garantindo que cumprimos suas obrigações e mantemos transparência sobre as mensagens aos clientes e como usamos os dados.

Aqui está uma visão geral do GDPR e como alcançamos a conformidade na Fin:

O GDPR é uma lei abrangente de proteção de dados que entrou em vigor em 25 de maio de 2018. Substituiu a legislação da UE existente para fortalecer a proteção dos “dados pessoais” e os direitos do indivíduo. É um conjunto único de regras que governa o processamento e monitoramento dos dados da UE.

Sim, muito provavelmente. Se você detém ou processa dados de qualquer pessoa na UE, o GDPR se aplicará a você, esteja você baseado na UE ou não.

Ajudamos você a atender aos seus requisitos de portabilidade de dados; você pode exportar facilmente todos os seus dados vinculados a um indivíduo e excluir permanentemente todos os dados vinculados a um usuário individual.

Nós automaticamente expiramos dados de visitantes que não foram vistos em 9 meses, para garantir que cumprimos os requisitos de retenção do GDPR.

A Fin considera cuidadosamente todas as solicitações de dados de terceiros, incluindo solicitações de autoridades policiais e agências de segurança nacional.

Como política, não fornecemos a terceiros informações que não lhes pertencem e respondemos apenas a solicitações às quais somos legalmente obrigados. Isso significa que a Fin fornecerá dados apenas em resposta a uma ordem judicial, intimação, mandado ou outra solicitação legal válida que nos obrigue a fornecer dados de uma conta de cliente.

Quando legalmente permitido, sempre notificaremos você sobre as solicitações que recebemos e trabalharemos com você caso deseje contestar uma solicitação ou limitar a divulgação.

O DPA (incorporando os novos SCCs emitidos pela Comissão Europeia em 4 de junho de 2021) está incorporado nos Termos de Serviço sob os quais seus serviços Fin são regidos e não é necessária assinatura separada.

Compromissos fortes de proteção de dados são parte fundamental dos requisitos do GDPR. Nosso acordo de processamento de dados compartilha nossos compromissos de privacidade e estabelece os termos para que a Fin e nossos clientes cumpram os requisitos do GDPR. Está disponível para assinatura dos clientes mediante solicitação.

Não podemos aceitar alterações em nosso DPA, pois não temos escala para firmar DPAs personalizados com clientes. Se tiver dúvidas específicas sobre o DPA, entre em contato conosco via Messenger.

Nossa política é que contratamos apenas com base no nosso DPA GDPR.
​
Essa abordagem estabelecida baseia-se em razões legais e operacionais sólidas e reflete a prática comum para fornecedores SaaS.
​
Do ponto de vista legal, o GDPR da UE exige que um processador como a Fin repasse a seus subprocessadores certas obrigações de proteção de dados contidas nos contratos com clientes. Preparamos nosso DPA para conformidade com o GDPR e, como tal, para conter obrigações que podem ser repassadas aos nossos subprocessadores. Simplesmente, não conseguiríamos atender ao requisito de repasse do GDPR se firmássemos DPAs personalizados com clientes. Isso é especialmente verdadeiro em relação a subprocessadores em grande escala, como Amazon Web Services, onde há pouca ou nenhuma flexibilidade para negociar seus termos padrão.
​
Do ponto de vista operacional, a Fin tem dezenas de milhares de clientes e é um negócio em rápida expansão. Simplesmente não temos capacidade ou flexibilidade operacional para firmar DPAs diferentes com termos distintos para cada cliente. Isso criaria compromissos excessivamente onerosos para a Fin e não é escalável. Usando o DPA GDPR da Fin, podemos gerenciar melhor nossas obrigações de proteção de dados e, assim, focar nossas atividades no processamento de dados pessoais de forma compatível e fornecer aos clientes um serviço simplificado.
​

Para cumprir os requisitos do GDPR para transferências internacionais de dados, a Fin participa do EU-U.S. Data Privacy Framework (DPF), da Extensão do Reino Unido ao EU-U.S. DPF e do Swiss-U.S. Data Privacy Framework conforme estabelecido pelo Departamento de Comércio dos EUA. Para mais informações, consulte nossa Política de Privacidade.

Temos um Encarregado de Proteção de Dados dedicado para supervisionar e aconselhar sobre nossa gestão de dados. Entre em contato pelo messenger ou enviando um e-mail para dataprotection@intercom.io.

Quando apropriado, exigimos que todos os nossos fornecedores terceiros firmem acordos de processamento de dados que garantam que os dados dos clientes permanecerão protegidos de acordo com o GDPR e nossas obrigações para com você.

Todos os dados enviados para nós ou por nós são criptografados em trânsito usando criptografia de 256 bits. Nossa API e endpoints de aplicação são apenas TLS/SSL e recebem classificação “A+” nos testes do Qualys SSL Labs. Isso significa que usamos apenas conjuntos de cifras fortes e temos recursos como HSTS e Perfect Forward Secrecy totalmente ativados. Também criptografamos dados em repouso usando um algoritmo de criptografia AES-256 padrão da indústria.

A segurança é uma prioridade para nós. Realizamos auditorias externas regulares, pentests e bug bounties. Construímos uma estrutura robusta de segurança, alcançando padrões internacionais de conformidade (SOC2, ISO27001, ISO27701, ISO27018, HIPAA e HDS) e revisamos nosso design interno de acesso para garantir que as pessoas certas tenham acesso ao nível correto de dados dos clientes. Mais detalhes estão disponíveis em nossa página de Segurança.

Continuamos ajudando nossos clientes e potenciais clientes a estarem em conformidade. Algumas ações que você pode tomar são:

Também continuaremos a monitorar novas orientações emergentes para determinar se precisamos fazer alterações adicionais em nossas práticas de dados como resultado da decisão do CJEU.