Esa es una pregunta muy importante.
Sin embargo, tenga en cuenta que el GDPR no es específico, describe aspectos de alto nivel del procesamiento de datos personales y todavía hay muchos detalles por resolver. También tenemos que esperar a la versión final de la denominada regulación de privacidad electrónica (todavía en forma de borrador), complementaria al GDPR y que aborda aspectos más técnicos.
Afortunadamente, el propio RGPD da algunas indicaciones de lo que debe hacer un proveedor de SaaS para cumplir con la nueva resolución (además de las cosas ya enumeradas por otros encuestados):
- ¿El uso de un programa de certificación como una ventaja competitiva para asegurar una futura participación en el mercado realmente funciona para los proveedores de sw / hw / SaaS?
- EE. UU. O Canadá, ¿qué es lo mejor para ejecutar una startup SaaS en relación con impuestos, establecimiento, recursos humanos y visas para no residentes?
- ¿Qué plataformas de marketing por correo electrónico utilizan las empresas SaaS con Salesforce?
- Cómo configurar SaaS Google Analytics
- ¿Cuáles son los principales KPI de marketing para productos de software basados en SaaS?
1) Los datos deben mantenerse en los servidores ubicados en la Unión Europea
Debe proporcionar a sus clientes una base de datos segura en la UE. El GDPR establece que los datos personales de los ciudadanos de la UE deben mantenerse dentro de las fronteras de la UE.
EDITAR : Almacenar datos dentro de la UE no es un requisito explícito de GDPR. Sin embargo, tener una base de datos ubicada en la UE es muy recomendable. Por eso podría ser una buena idea:
- El Escudo de privacidad a menudo cambia de forma e introduce cambios muy cuestionables. Existen preocupaciones legítimas de que en algún momento ya no protegerá los intereses de los ciudadanos europeos de manera satisfactoria.
- El próximo Reglamento sobre privacidad y comunicaciones electrónicas (también conocido como Reglamento de privacidad electrónica) puede cambiar muchos aspectos del procesamiento legal de datos en Europa, y también la nueva versión del Bundesdatenschutzgesetz alemán. Mantener los datos dentro de las fronteras de la UE puede ayudarlo a crear un almacenamiento de datos a prueba de futuro y alinearse con cualquier requisito nuevo.
2) Debe establecer una cadena de responsabilidad confiable
Documentar adecuadamente una cadena de custodia requiere un enfoque coordinado y exhaustivo para garantizar que no haya eslabones débiles. Es por eso que es importante firmar el Acuerdo de procesamiento de datos (DPA) con su cliente, donde enumera todas las responsabilidades tanto del controlador de datos (su cliente) como del procesador de datos (usted). De esa manera, está en la misma página que su cliente y ambos saben lo que se espera de usted en base a las nuevas leyes.
Además, es importante que su DPA incluya una cláusula en la que transfiera el control y la propiedad total de los datos al controlador de datos (su cliente).
3) Debe proporcionar a sus clientes una forma de respetar los derechos de los sujetos de datos GDPR
El GDPR presenta una lista de los derechos de los interesados que deben ser observados tanto por los procesadores de datos como por los controladores de datos (como el derecho al olvido y el derecho a la portabilidad de los datos; lea sobre ellos con más detalle aquí: 5 Derechos del GDPR con serias consecuencias técnicas) )
Como procesador de datos, debe brindar a las personas una forma de aprovechar fácilmente sus derechos. Puede abordar esto de dos maneras diferentes:
- Otorgue a sus clientes acceso a los datos sin procesar (en este caso, el procesamiento de una solicitud de sujeto de datos estará de su parte).
- Cree sus propios procedimientos para manejar la solicitud del sujeto de datos (en este escenario, el controlador de datos no tiene acceso a los datos sin procesar).
Espero que esto les dé una idea de cómo adaptarse a las demandas de GDPR. Y recuerde: ¡la regulación de privacidad electrónica es muy importante! Deberías seguirlo de cerca.