Cumplimiento de Genesys Cloud y GDPR

Lea este artículo para saber cómo Genesys Cloud aborda el RGPD y lo que su organización necesita saber sobre la implementación del RGPD de Genesys Cloud. Para obtener una descripción general del RGPD, consulte Descripción general del RGPD.

Educación GDPR

El Reglamento General de Protección de Datos (RGPD) es un cambio importante en la regulación de la privacidad de los datos. Genesys Cloud invirtió una cantidad significativa de tiempo en la formación sobre el GDPR para el equipo de Seguridad y Cumplimiento. Capacitación y certificación de la Asociación Internacional de Profesionales de la Privacidad (IAPP) comenzó a principios de 2017. Para obtener más información sobre el RGPD, consulte Cumplimiento de GDPR.

Proyecto GDPR

Genesys Cloud encargó un proyecto GDPR para:

  • Complete un inventario de datos actualizado y determine cada ubicación en la que Genesys Cloud almacena / procesa / transmite PII
  • Diseñar e implementar una API GDPR para que nuestros clientes implementen las solicitudes de sus clientes para ejercer su derechos fundamentales del interesado
  • Complete una evaluación de impacto de protección de datos

¿Genesys Cloud cumple con GDPR?

Los profesionales legales y técnicos de Genesys Cloud han revisado el RGPD y han completado la capacitación y certificación proporcionada por el Asociación Internacional de Profesionales de la Privacidad (IAPP).  En el papel de Genesys Cloud como procesador de datos, Genesys Cloud ha tomado medidas para cumplir con los requisitos de las regulaciones.

El RGPD requiere en el artículo 28 que los responsables del tratamiento de datos "utilizarán únicamente procesadores que brinden garantías suficientes para implementar las medidas técnicas y organizativas adecuadas". Genesys Cloud ha implementado estas medidas. Nuestros expertos en la materia pueden discutirlos con usted.  Para mas informacion contacte dataprivacy@genesys.com

¿Genesys Cloud tiene certificación GDPR?

No existe una certificación GDPR para un proveedor de servicios en la nube como Genesys Cloud. Sin embargo, Genesys Cloud se ha sometido a múltiples revisiones independientes de nuestros controles administrativos, físicos y técnicos para otras regulaciones de protección de datos, como HIPAA.

Como procesador de datos, Genesys Cloud implementa las medidas técnicas y organizativas adecuadas. Para obtener más detalles, consulte Acerca de la seguridad y el cumplimiento.

¿Dónde apoya Genesys Cloud el cumplimiento de GDPR?

Genesys Cloud admite el cumplimiento del GDPR para todas las regiones de Amazon Web Services (AWS) desplegadas en Genesys Cloud.

¿Tengo que habilitar el cumplimiento de GDPR?

No tiene que habilitar ni configurar nada dentro de Genesys Cloud para cumplir con el RGPD. La API de GDPR está disponible para todos los clientes. Sin embargo, el GDPR puede requerir un Acuerdo de procesamiento de datos (DPA) entre usted y Genesys Cloud. El DPA cubre el procesamiento de datos personales.

¿Cuáles son los requisitos de GDPR para el compromiso predictivo?

Si su organización planea usar Compromiso predictivo Para recopilar datos sobre las actividades de los visitantes en su sitio web, debe seguir los pasos para el cumplimiento de GDPR. Para más información, ver Compromiso predictivo y GDPR.

¿Qué es un Acuerdo de procesamiento de datos o DPA?

El RGPD requiere en el Artículo 28 que "El procesamiento por parte de un procesador se regirá por un contrato u otro acto legal en virtud de la legislación de la Unión o de los Estados miembros, que sea vinculante para el procesador con respecto al controlador y que establezca el objeto y la duración del procesamiento, la naturaleza y el propósito del procesamiento, el tipo de datos personales y las categorías de sujetos de datos y las obligaciones y derechos del controlador ".

Si cree que está sujeto al GDPR, Genesys Cloud está listo para discutir un DPA que cumpla con estos requisitos. Para recibir un Genesys Cloud DPA, comuníquese con dataprivacy@genesys.com.

¿Cómo debo responder a las solicitudes de datos de GDPR?

Genesys Cloud proporciona API de GDPR como la solución de autoservicio preferida por los clientes de Genesys Cloud para responder a las solicitudes de GDPR. La API de GDPR permite responder a las solicitudes de los interesados para acceder, rectificar o eliminar sus datos personales en Genesys Cloud. 

Limitaciones de la API GDPR

La API GDPR está diseñada para clientes que necesitan responder a solicitudes individuales de los interesados. La API GDPR no está diseñada para responder a solicitudes masivas, como la eliminación masiva de datos. La API GDPR está sujeta a los límites de tarifa descritos en la documentación de la API . Estos límites de tarifa pueden restringir los intentos de operaciones masivas para mantener la disponibilidad de la plataforma.

¿Cómo funciona el servicio Genesys Cloud GDPR? 

Lo que necesita saber sobre la API GDPR de Genesys Cloud.

Puntos finales del servicio GDPR

El servicio GDPR expone dos puntos finales: un primer punto final para identificar el asignaturas que coincide con un término de búsqueda dado, y un segundo punto final para iniciar realmente el RGPD peticiones. los asignaturas endpoint acepta un solo término de búsqueda de un nombre, dirección, número de teléfono o dirección de correo electrónico, o identificador de redes sociales, y devuelve una lista de 0 o más asuntos coincidentes que consta de un userId, externalContactId o dialerContactId. los peticiones endpoint acepta un solo término de búsqueda y un tipo de solicitud de Obtener, Exportar, Actualizar o Eliminar para responder a las solicitudes del Artículo 15 (acceso), el Artículo 16 (rectificación) y el Artículo 17 (eliminación). El punto final de solicitudes acepta un único término de búsqueda de un nombre, dirección, número de teléfono, dirección de correo electrónico, identificador de redes sociales, ID de usuario, ID de contacto externo o ID de contacto del marcador para iniciar el tipo de solicitud GDPR especificado. Si el término es un ID, el servicio lo resuelve primero en el recurso correspondiente (usuario, contacto externo, contacto de marcador) e incluye los campos conocidos en la solicitud GDPR.

El punto final de sujetos identifica sujetos y coincidencias de términos de búsqueda

los asignaturas endpoint acepta un solo término de búsqueda de cuatro tipos: nombre, dirección, teléfono o correo electrónico y devuelve una lista de todos los temas que coinciden con el término de búsqueda.  Un asunto puede ser un userId, externalContactId o dialerContactId. La lista devuelta puede contener cero materias, una sola materia o muchas materias. 

Genesys Cloud recomienda usar el punto final de los sujetos para cada posible solicitud de GDPR para identificar a qué individuo (s) afecta un punto final de solicitud posterior.  Al encontrar cualquier tema que coincida con un término de búsqueda, los clientes de Genesys Cloud pueden reducir el riesgo de efectos imprevistos de una solicitud GDPR determinada. El criterio de valoración de los sujetos también se puede utilizar para eliminar la ambigüedad de los resultados cuando un término de búsqueda determinado coincide con varios sujetos. Específicamente, dado que el punto final de los sujetos devuelve todos los sujetos coincidentes para un término de búsqueda determinado, un usuario de API puede descubrir un criterio de búsqueda más preciso para una solicitud de GDPR posterior. 

Para los datos almacenados por algunas funciones y servicios de Genesys Cloud, debe usar la API de GDPR con un asunto.  Estos servicios que requieren que un sujeto se incluya en la solicitud de API de GDPR son:

El punto final de solicitudes acepta un solo término de búsqueda y tipos de solicitud específicos

El punto final requests acepta un único término de búsqueda de cualquier tipo (nombre, dirección, teléfono, correo electrónico, ID de usuario, ID de contacto externo, ID de contacto de marcador) y un único tipo de solicitud de Obtener, Exportar, Actualizar o Eliminar y devuelve una solicitud GDPR que ha sido creada e iniciada. Exportar corresponde a una solicitud de Artículo 15 (acceso), Actualizar corresponde a una solicitud de Artículo 16 (rectificación) y Eliminar corresponde a una solicitud de Artículo 17 (borrado). Cuando el tipo de solicitud es "Eliminar", algunos servicios pueden anonimizar los datos personales en lugar de eliminarlos. El procesamiento real de esa solicitud ocurre de forma asincrónica.  Si el término dado es un ID de usuario o un ID de contacto externo, el servicio GDPR resuelve primero ese ID en el usuario, contacto externo o contacto de marcador correspondiente, respectivamente, e incluye todos los campos conocidos del usuario, contacto externo o contacto de marcador en la solicitud, además del ID proporcionado.

Los clientes utilizan el punto final de solicitudes para crear una solicitud GDPR real. Deben usar primero el punto final de los sujetos, para asegurarse de que el término de búsqueda que usan solo afecte al sujeto de datos previsto. En el caso de que se conozcan varios criterios, deben enviar varias solicitudes, una por período. Se recomienda encarecidamente que los clientes envíen solicitudes para cada identificador conocido de un individuo.  Por ejemplo, cuando una persona, o el interesado, envía una solicitud al cliente, el cliente debe recopilar el nombre, el número de teléfono y la dirección de correo electrónico de la persona y enviar las solicitudes de GDPR a Genesys Cloud para cada uno.

Límites de tasas de API de Genesys Cloud GDPR

Si bien el GDPR se aplica a los interesados en la Unión Europea, la API de Genesys Cloud GDPR está disponible para los clientes en todas las regiones de Genesys Cloud. Sin embargo, la API de GDPR tiene una limitación de velocidad estricta para mantener el rendimiento de la solución.

¿Y si utilizo la vista de cliente único?  

Si su organización utiliza la vista de cliente único, se pueden fusionar dos o más contactos externos cuando representan a la misma persona. Esto tiene dos implicaciones para la API del GDPR. 

En primer lugar, el punto final sujetos podría hacer aflorar múltiples ID de contactos externos que corresponden a la misma persona (en otras palabras, pertenecen al mismo conjunto de fusión). Al examinar la respuesta del punto final subjects , la persona que llama debe utilizar la API de contactos externos para determinar cuáles de los ID de contactos externos pertenecen al mismo conjunto de fusión. Para ello, busque cada contacto y determine cuáles comparten el mismo canonicalContact. 

En segundo lugar, al realizar una solicitud al punto final requests , realice una única solicitud por conjunto de fusión para el identificador de contacto canónico en ese conjunto de fusión. La API GDPR duplicará de forma transparente la solicitud para cada ID de contacto externo en el conjunto de fusión de ese contacto y devolverá las solicitudes relacionadas en el campo "relatedRequests" del cuerpo de la respuesta. 

Las solicitudes relacionadas son independientes, solicitudes completas. Cada solicitud relacionada tendrá éxito o fracasará independientemente de las demás, y el resultado de cada solicitud relacionada debe ser inspeccionado individualmente. Si una de las solicitudes relacionadas falla, espera a que todas las solicitudes relacionadas terminen antes de reintentar la solicitud. De este modo, el conjunto de peticiones en vuelo es fácil de entender. Si se reintenta antes de que terminen todas las solicitudes relacionadas, la comprobación de duplicidades debería evitar que el sistema genere solicitudes duplicadas, si las solicitudes de otros contactos del conjunto de fusiones aún están en vuelo. 

Para obtener más información sobre el modelo de datos de contactos, los contactos canónicos y los conjuntos de fusión, consulte Fusión de contactos en el Centro de desarrollo.

¿La búsqueda se propaga a partir de los datos de un contacto externo?

No. Los clientes pueden utilizar un externalContactId como asunto. Un contacto con un externalContactID coincidente puede incluir uno o más tipos adicionales de Datos Personales, como un número de teléfono de trabajo, un número de teléfono móvil o información sobre canales de redes sociales. Al responder a una solicitud de API GDPR con un asunto externalContactID, Genesys Cloud no busca automáticamente en la plataforma los Datos Personales asociados a ese contacto que se encuentran en esos campos. En este escenario, Genesys Cloud recomienda que los clientes revisen un contacto coincidente y cualquier Dato Personal incluido con el contacto y envíen cualquier solicitud de API GDPR adicional con esos sujetos. Como se mencionó anteriormente, Genesys Cloud recomienda utilizar el punto final de sujetos para cada posible solicitud GDPR para identificar a qué individuo(s) afecta un punto final de solicitud posterior. Al encontrar cualquier sujeto que coincida con un término de búsqueda, los clientes de Genesys Cloud pueden reducir el riesgo de efectos imprevistos de una determinada solicitud de GDPR.

¿La API de GDPR también busca archivos adjuntos?

Las interacciones de ACD, como las interacciones de correo electrónico y las interacciones de mensajes (plataformas de mensajes de terceros, como Facebook Messenger, WhatsApp y Twitter Direct Message, mensajería web Genesys Cloud y mensajería abierta) pueden recibir datos personales en forma de archivos adjuntos. Genesys Cloud no busca datos personales en el contenido de dichos archivos adjuntos. En cambio, una solicitud GDPR funcionará con una ID externa, y si esa ID específica se usa en la solicitud, busque la conversación y cualquier archivo adjunto asociado. Más tarde, los archivos adjuntos asociados se incluyen y / o eliminan en una respuesta de la API de GDPR a una solicitud posterior del sujeto de datos.

Por ejemplo, cuando un sujeto de datos carga una imagen a través de Facebook Messenger, Genesys Cloud usa la ID externa para encontrar la conversación y cualquier archivo adjunto asociado y lo carga. Más tarde, si el sujeto de datos realiza una solicitud de borrado del Artículo 17 para eliminar su información, la API de Genesys Cloud eliminará todos los archivos cargados por ese sujeto de datos independientemente del contenido.  En el ejemplo, Genesys Cloud respondería a la solicitud de la API de GDPR y eliminaría la imagen cargada por el sujeto de datos a través de Facebook Messenger, independientemente del contenido real de la imagen. 

Todas las interacciones de ACD que contienen datos personales en forma de archivos adjuntos deben asociarse con un perfil de contacto guardado en Contactos externos. No existe un método para buscar datos personales almacenados en interacciones ACD independientemente de los contactos externos. Si los datos personales se almacenan en una interacción ACD a través de una variable personalizada, no se pueden encontrar a través de la API de GDPR a menos que la interacción esté asociada con un perfil de contacto.

¿Puede proporcionar un ejemplo de una respuesta de solicitud de sujeto de datos GDPR?

Este ejemplo ilustra una respuesta efectiva a una solicitud de sujeto de datos GDPR utilizando el API GDPR de Genesys Cloud

Solicitud

Recibe una solicitud válida de un sujeto de datos para eliminar sus datos. El interesado proporcionó su nombre y dirección de correo electrónico.  

Respuesta

  1. Realice dos llamadas a la API de asunto por separado con los dos identificadores separados (nombre y dirección de correo electrónico) que proporcionó el interesado.
  2. Revise los resultados de las solicitudes de puntos finales de los sujetos para eliminar la ambigüedad de los resultados y encontrar sujetos coincidentes. Solo aquellos sujetos que pueden correlacionarse con los identificadores proporcionados por el sujeto de los datos se consideran sujetos coincidentes.
  3. Realice llamadas de API de solicitud individuales para cada sujeto coincidente identificado en el paso 2. Si sus dos llamadas de punto final de sujeto devolvieron varios objetos, asegúrese de realizar varias llamadas de API de solicitud, una para cada sujeto coincidente. De lo contrario, su respuesta estará incompleta.
  4. Compruebe si la API GDPR ha generado alguna solicitud relacionada, tal y como se describe en "¿Qué ocurre si utilizo la vista de cliente único?"

¿Qué pasa si no puedo usar la API GDPR de Genesys Cloud?

Genesys Cloud recomienda utilizar la API de GDPR como una opción de autoservicio para responder a las solicitudes de GDPR. Si experimenta un error al utilizar la API de GDPR, envíe un caso a través de Portal MySupport. Si no puede usar la API de GDPR y necesita responder a una solicitud de GDPR, nuestro equipo de Servicios Profesionales puede ayudarlo. Comuníquese con su Gerente de Éxito del Cliente para crear una declaración de trabajo para este esfuerzo.

¿Cuánto tiempo le llevará a Genesys Cloud responder a una solicitud de sujeto de datos de GDPR?

El tiempo de respuesta típico para que Genesys Cloud recupere todos los datos personales en respuesta a una solicitud de acceso o portabilidad es de 1 a 2 días. Con respecto a una solicitud de eliminación o "olvidarme" según el GDPR, Genesys Cloud no necesitará más de 14 días para eliminar los datos personales o hacerlos anónimos cuando se solicite.

¿Qué pasa si un empleado envía una solicitud de eliminación del Artículo 17? 

El uso de los productos de Genesys requiere el procesamiento de los datos personales de los empleados (nombre del usuario, número de teléfono del trabajo y correo electrónico del trabajo) para el correcto funcionamiento de la solución Genesys. Sin almacenar estos datos personales asociados a un empleado, Genesys Cloud podría dejar de realizar su función. Por lo tanto, para los empleados actuales, el procesamiento de sus datos personales es necesario para los fines de los intereses legítimos perseguidos por el cliente. Además, es posible que se requiera que el cliente mantenga registros de interacción de los empleados para cumplir con otros requisitos reglamentarios. Con base en la legalidad de este procesamiento y el diseño de los productos de Genesys, Genesys no recomienda borrar los datos personales asociados con un usuario en curso.

¿Pueden los clientes especificar si los datos personales se eliminan o se anonimizan?

No. Algunos servicios de Genesys Cloud eliminan los datos personales a pedido. Otros servicios hacen que los datos personales sean anónimos a pedido.

¿Tengo alguna responsabilidad por usar Genesys Cloud de manera compatible con GDPR?

Si. Puede configurar incorrectamente ciertos servicios que almacenan datos personales. Esto evita que Genesys Cloud busque, acceda o elimine esos datos.

  • Plataforma en la nube de Genesys  No almacene datos personales en claves de atributos personalizados. La funcionalidad de la API de GDPR no buscará, actualizará ni eliminará este campo.
  • Arquitecto: No almacene datos personales en nombres de flujo, descripciones de flujo, nombres de estado, nombres de tareas, nombres de acciones o texto de solicitud a valores de voz.
  • Directorio: No almacene datos personales en estado personal.
  • Interacciones de mensajería web: Todas las interacciones de mensajería web que contengan datos personales deben estar asociadas con un perfil de contacto guardado en Contactos externos. No existe ningún método para buscar datos personales almacenados en interacciones de mensajería web independientemente de los contactos externos. Si los datos personales se almacenan en una interacción de mensajería web a través de una variable personalizada, no se pueden encontrar a través de la API de GDPR a menos que la interacción de mensajería web esté asociada con un perfil de contacto.
  • Interacciones de chat web: Todas las interacciones de chat web que contengan datos personales deben estar asociadas con un perfil de contacto guardado en Contactos externos. No existe ningún método para buscar datos personales almacenados en interacciones de chat web independientemente de los contactos externos. Si los datos personales se almacenan en un chat web a través de una variable personalizada, no se pueden encontrar a través de la API de GDPR a menos que la interacción del chat web esté asociada con un perfil de contacto.

Roles de GDPR en Genesys

Empleados de Genesys con roles relacionados con GDPR:

  • Director de privacidad - William Dummett
  • Responsable europeo de privacidad de datos: Shahzad Muhammad Naveed Ahmad 
  • Genesys Cloud Sr. Director de Seguridad y Cumplimiento - Eric Cohen CISSP, CIPM, CIPP / E