Zoom y el Reglamento General de Protección de Datos (RGPD) de la Unión Europea

Actualización: Octubre de 2021

La misión de Zoom es hacer felices a los clientes a través de videocomunicaciones sin problemas, y entendemos que esa felicidad requiere privacidad y seguridad. Por eso nos esforzamos por proteger y asegurar las comunicaciones de nuestros clientes a los niveles más altos, como las obligaciones de privacidad de datos en el Espacio Económico Europeo («EEE»), principalmente el Reglamento General de Protección de Datos (el «RGPD»).

Zoom celebra el RGPD como una oportunidad para construir una base de protección de datos más sólida en beneficio de todos. Zoom reconoce que nuestros clientes (responsables del tratamiento) tienen que asegurarse de que Zoom (el encargado del tratamiento) implemente medidas técnicas y organizativas de una manera que se alinee con las obligaciones de cumplimiento del RGPD. Zoom puede ayudar y apoyar a nuestros clientes en su rol de responsables del tratamiento. 

Los siguientes hechos clave reflejan el compromiso de Zoom con las prácticas de protección de datos. 

 

Compromisos contractuales del RGPD para todos los clientes de Zoom

El RGPD exige que los responsables del tratamiento (tales como las organizaciones y los desarrolladores que utilizan los servicios de Zoom) solo utilicen encargados del tratamiento (tales como Zoom) que traten datos personales en nombre del responsable del tratamiento y proporcionen las garantías adecuadas para cumplir con los requisitos específicos del RGPD. Zoom ofrece estos compromisos a todos sus clientes mediante la incorporación del Anexo de tratamiento de datos de Zoom a los Términos del servicio de Zoom. 

Compromisos contractuales de Zoom relevantes para el RGPD:

  • Zoom se esfuerza por ser transparente y se compromete a utilizar los datos personales únicamente según lo establecido en nuestro acuerdo acerca de la prestación de nuestros servicios o según las instrucciones de nuestros clientes.
  • Zoom mantiene medidas de seguridad técnicas y organizativas adecuadas para proteger los datos personales que tratamos. 
  • Zoom asiste a los clientes en el cumplimiento de sus obligaciones cuando los interesados ejercen los derechos vinculados a los datos personales tratados mediante nuestros servicios (como las solicitudes de información, acceso, rectificación y eliminación).

 

Soporte de transferencia internacional de datos

En julio de 2020, el Tribunal de Justicia de la Unión Europea (el «CJEU») se pronunció sobre el caso C-311/18 (comúnmente conocido como la «decisión Schrems II») relativo a la validez de las transferencias de datos fuera del EEE. La decisión Schrems II tuvo su origen en una reclamación presentada por un interesado austriaco, Maximillian Schrems, en relación con las transferencias de sus datos personales a los Estados Unidos y la posibilidad de que los organismos gubernamentales estadounidenses accedieran a sus datos.

En la decisión Schrems II, el CJEU sostuvo que el marco del Escudo de privacidad UE-EE. UU. ya no ofrecía un medio legal para transferir datos personales desde el EEE a los Estados Unidos.

Pero lo más importante es que el CJEU también sostuvo que las Cláusulas contractuales tipo de la Comisión Europea (o «CEC»), que constituyen la base de las transferencias internacionales de Zoom, siguen siendo un mecanismo legal para transferir datos personales desde el EEE a países fuera del EEE. 

Tras esta decisión, la Comisión Europea publicó nuevas CEC en junio de 2021. Zoom ha incorporado las nuevas CEC en los acuerdos aplicables según los períodos de transición especificados por la Comisión Europea (es decir, antes del 27 de septiembre de 2021 para los nuevos contratos y antes del 27 de diciembre de 2022 para los contratos existentes).  Para obtener más información, consulte las Preguntas frecuentes de nuestros clientes sobre las nuevas CEC. 

 

Nuevo requisito: «Conozca su transferencia»

La decisión Schrems II también introdujo un nuevo requisito. Antes de transferir datos personales a un país fuera del EEE que no se considere que garantiza un nivel de protección adecuado, los exportadores de datos deben evaluar si las CEC garantizan adecuadamente que los datos personales sigan estando protegidos en el país receptor en un grado «esencialmente equivalente» a las normas de protección de datos de la UE.

En otras palabras, antes de confiar en las CEC, el exportador y el importador de datos deben evaluar si las leyes y las prácticas del país receptor de los datos pueden socavar el nivel de protección que se ofrece. Para ayudar a nuestros clientes en esta evaluación, hemos preparado una Evaluación del impacto de la transferencia de datos («DTIA»). Si usted es un cliente actual, solicite una copia a su representante de Zoom. O bien, envíe un correo electrónico a privacy@zoom.us e incluya «Request for DTIA» (Solicitud de una DTIA) en el asunto para recibir una copia. 

Para obtener más información acerca de los pasos que sigue Zoom y las garantías adicionales que se aplican cuando se transfieren datos personales desde el EEE o el Reino Unido a Zoom en los EE. UU., consulte nuestras «Preguntas frecuentes: transferencia internacional de datos».

 

Fuertes medidas específicas para garantizar la protección de datos en Europa 

Zoom se compromete a mantener un alto nivel de seguridad:

  • Zoom utiliza una serie de tecnologías de cifrado para proteger los datos en tránsito y en reposo.
  • Zoom aplica medidas de seguridad para respaldar la confidencialidad, la integridad, la disponibilidad y resiliencia continuas de nuestros sistemas y servicios de tratamiento.
  • Zoom adopta medidas para facilitar el restablecimiento de la disponibilidad y el acceso a nuestros sistemas y servicios de tratamiento con celeridad en caso de que se produzca un incidente físico o técnico.
  • Zoom implementa un proceso para probar, valorar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas a fin de respaldar la seguridad de los datos que tratamos.

En concreto, las medidas de seguridad que Zoom utiliza para habilitar la seguridad de las comunicaciones enviadas y almacenadas en la plataforma de Zoom incluyen lo siguiente:

  • Cifrado de extremo a extremo opcional para las reuniones: los usuarios pueden optar por habilitar el cifrado de extremo a extremo para Zoom Meetings. Esto proporciona un alto nivel de seguridad, ya que ningún tercero —incluido Zoom— tiene acceso a las claves privadas de la reunión. 
  • Cifrado predeterminado: la conexión entre un determinado dispositivo y Zoom está cifrada de forma predeterminada mediante una combinación de TLS 1.2+ (Seguridad de la capa de transporte), cifrado AES-GCM de 256 bits del Estándar de cifrado avanzado y SRTP (Protocolo seguro de transporte en tiempo real). Los métodos exactos utilizados dependen de si el usuario utiliza Zoom Client, un navegador web, un dispositivo o servicio de terceros, o el producto Zoom Phone. Para obtener más información, consulte nuestro documento técnico sobre cifrado.
  • Protecciones contra participantes no autorizados en las reuniones: Zoom ha implementado numerosas protecciones y controles para prohibir que participantes no autorizados se unan a las reuniones:
    • identificadores de reunión únicos de once dígitos;
    • contraseñas complejas;
    • salas de espera con la capacidad de admitir automáticamente a los participantes de su nombre de dominio o de otro dominio seleccionado;
    • función Bloquear reunión, que puede impedir que cualquier persona se una a la reunión;
    • posibilidad de eliminar participantes;
    • perfiles de autenticación que permiten entradas únicamente de usuarios registrados, o que restringen a dominios de correo electrónico específicos.
    • La herramienta Notificador de reuniones en riesgo puede escanear publicaciones en sitios públicos de redes sociales y otros recursos públicos en línea en busca de enlaces de Zoom Meetings. 
  • Invitaciones selectivas a reuniones: el anfitrión puede invitar selectivamente a los participantes por correo electrónico, chat o SMS. Esto proporciona un mayor control sobre la distribución de la información de acceso a la reunión. El anfitrión también puede crear la reunión para permitir que solo se unan los miembros de un determinado dominio de correo electrónico.
  • Seguridad durante la reunión: durante la reunión, Zoom proporciona contenido multimedia en tiempo real y de forma segura a cada uno de los participantes dentro de una reunión de Zoom. Todo el contenido compartido con los participantes en una reunión es solo una representación de los datos originales. Este contenido se codifica y se optimiza para compartirlo mediante una implementación segura.
  • Controles de anfitrión: los controles del anfitrión de la reunión pueden habilitar/deshabilitar a los participantes para compartir contenido, chatear y cambiar de nombre.
  • Denunciar: la función de denunciar a un usuario permite que el anfitrión de la reunión señale un comportamiento problemático.
  • Controles de seguridad dentro del producto: controles de seguridad con un icono de seguridad exclusivo en la interfaz principal.
  • Seguridad del usuario basada en roles: el anfitrión de la reunión dispone de las siguientes capacidades de seguridad, que pueden configurarse antes de la reunión:
    • Inicio de sesión seguro mediante un nombre de usuario y una contraseña estándar, o inicio de sesión único SAML
    • Inicio de una reunión segura con una clave de acceso
    • Programación de una reunión segura con clave de acceso
  • Prevención de llamadas automáticas: los usuarios pueden evitar las llamadas automáticas con la limitación de volumen y reCAPTCHA (que requiere la intervención humana) habilitadas en todas las plataformas.

 

Opciones para los datos en tránsito y en reposo

Zoom entiende que es posible que nuestros clientes deseen contar con opciones acerca de los centros de datos que tratan sus datos en tránsito y en reposo. 

Los datos en tránsito, o datos en movimiento, son datos que se trasladan activamente de una ubicación a otra, por ejemplo, a través de Internet o de una red privada. En el caso de los datos en tránsito, los titulares de las cuentas y los administradores de las cuentas de pago pueden optar por excluir ciertas regiones de centros de datos para alojar los datos de reuniones y seminarios web en tiempo real en tránsito (consulte este artículo de ayuda). Zoom ofrece transparencia en el enrutamiento de datos a través del panel de control de la cuenta. 

Los datos en reposo son datos que no se trasladan activamente de un dispositivo a otro o de una red a otra, como los datos almacenados en un centro de datos en la nube. Los clientes pueden elegir la ubicación de almacenamiento de datos para algunos de sus contenidos del cliente en reposo. 

«Contenido del cliente» son todos los datos, incluidos los archivos de texto, sonido, vídeo o imagen, que un cliente introduce en el servicio de Zoom para su tratamiento y carga en los servidores de la nube de Zoom a fin de realizar el almacenamiento o un tratamiento adicional. Por ejemplo, el Contenido del cliente puede incluir grabaciones de vídeo, grabaciones en la nube, transcripciones, chat durante la reunión, chat continuo y archivos intercambiados durante la reunión.

Si un cliente sube el Contenido del cliente al servicio en la nube de Zoom, este se aloja en la red global de Amazon Web Services («AWS»). La ubicación de alojamiento del centro de datos aplicable a cada cliente de Zoom puede variar si la organización utiliza nuestra función de almacenamiento de contenidos de comunicación. Esta función de ubicación de almacenamiento permite que los equipos globales elijan la región donde se almacenan determinados tipos de datos en reposo. Tenga en cuenta que ciertas categorías de datos se siguen tratando en los EE. UU. 

 

Protocolos estrictos para responder a las solicitudes de información por parte del gobierno 

Zoom se compromete a proteger la privacidad de nuestros clientes y usuarios y solo facilita datos de los usuarios a los gobiernos en respuesta a solicitudes válidas y lícitas, de acuerdo con nuestra Guía sobre solicitudes de los gobiernos y las políticas legales pertinentes. 

En todas las áreas geográficas:

  • Las solicitudes de los gobiernos se deben emitir de conformidad con leyes y los reglamentos aplicables y a través de canales oficiales, incluso mediante el requerimiento de un documento oficial firmado o de una solicitud por correo electrónico enviada desde la dirección de correo electrónico oficial de una entidad gubernamental.
  • Cada solicitud debe ser explícita, no excesivamente amplia, y debe tener un fundamento jurídico válido. Rechazaremos o impugnaremos las solicitudes que no cumplan estos requisitos.
  • Aplicaremos un escrutinio adicional a determinadas solicitudes de información de los usuarios por parte de los gobiernos, conforme a nuestros principios e interés en favorecer una colaboración exitosa en todo el mundo.

Si una solicitud es demasiado imprecisa, Zoom impugnará la validez de la solicitud para minimizar el espectro de información presentada.

Zoom suele notificar a los usuarios las solicitudes de información por parte de los gobiernos, lo que incluye una copia de la solicitud recibida, a menos que se nos prohíba legalmente notificar al usuario. Las solicitudes de excepciones a la notificación al usuario deben incluir una descripción de las circunstancias apremiantes o del posible resultado adverso de la notificación.

 

Mayor transparencia 

  • Informes de transparencia: en diciembre de 2020, Zoom publicó su primer informe sobre la cantidad de solicitudes recibidas de autoridades estadounidenses e internacionales (Informe de transparencia de solicitudes de los gobiernos). Nuestro objetivo es que cada informe de transparencia mejore el anterior. Nuestro informe de transparencia más reciente está disponible aquí. Los Informes de transparencia adicionales estarán disponibles en el Zoom Trust Center. 
  • Notificaciones dentro del producto: Zoom se actualiza continuamente para integrar en la experiencia de Zoom las notificaciones de privacidad específicas de las funciones, con el objetivo de ayudar a los usuarios a entender, en contexto, quiénes pueden ver y compartir el contenido y la información que comparten en Zoom. Por ejemplo, si un usuario quiere saber quién puede ver los mensajes que envía en la función de chat de Zoom, puede ir a «¿Quién puede ver sus mensajes?» para ver quién puede acceder a los mensajes que envía a todos, así como a los mensajes privados que envía.

 

Zoom diseña sus servicios según los requisitos del RGPD 

Zoom se compromete a hacer todo lo posible para crear características del producto que se ajusten a los requisitos del RGPD y favorezcan la protección de los datos personales tratados a través de nuestros servicios. Para obtener más información acerca de nuestras prácticas en materia de datos, consulte nuestra Declaración de privacidad. O bien, puede enviar un correo electrónico a privacy@zoom.us si tiene alguna pregunta específica sobre el RGPD.