Anexo de privacidad de las leyes estatales de los EE. UU.

Este Anexo de privacidad de las leyes estatales de los EE. UU. («Anexo») complementa los términos de su Acuerdo maestro de suscripción, Términos del servicio o Términos del servicio del cliente del revendedor (según corresponda, el «Acuerdo»), y establece determinados derechos y obligaciones en materia de privacidad de datos en relación con determinadas leyes estatales de los EE. UU. Los términos en mayúsculas utilizados, pero no definidos de otro modo en el presente documento, tienen el significado que se les atribuye en el Acuerdo.

Sección A: Disposiciones generales. Esta Sección A del Anexo se aplica a la prestación de Zoom y al uso de los Servicios por parte del Cliente en la medida en que el Cliente sea una Empresa o un Responsable del tratamiento y Zoom trate o esté tratando Información personal o Datos personales del Cliente de conformidad con la CCPA u otras leyes estatales de protección de datos aplicables.

1. Definiciones. Tal como se utiliza a lo largo de este Anexo, «Cliente» se refiere a una Empresa o Responsable del tratamiento que se suscribe a los Servicios de Zoom. Los términos en mayúsculas utilizados en esta Sección A, pero no definidos de otro modo, tienen el significado que se les atribuye en las Secciones B(1) y C(1), a continuación.
2. Auditorías y evaluaciones.
   1. Zoom llevará a cabo auditorías de terceros para certificar el cumplimiento de las normas ISO 27001 y SOC 2 Tipo II de la siguiente manera:
      1. Todos los años, Zoom auditará los criterios de seguridad, disponibilidad y privacidad en la auditoría SOC-2.
      2. Las auditorías se realizarán de acuerdo con los estándares y las reglas del organismo regulador o de acreditación para el estándar o marco de control aplicables.
      3. Las auditorías serán realizadas por auditores de seguridad calificados, independientes y externos, a elección y expensas de Zoom.
      4. Cada auditoría dará lugar a la generación de un informe de auditoría dirigido al cliente («Informe de auditoría de Zoom»), que Zoom pondrá anualmente a disposición del Cliente que lo solicite. El Informe de auditoría de Zoom será Información confidencial de Zoom.
3. Restricciones a la recepción de información. Nada de lo dispuesto en este Apéndice obligará a Zoom a revelar lo siguiente: (a) ningún dato o información de ningún otro cliente de Zoom, ni de ningún tercero; (b) ninguna información contable o financiera interna; (c) ningún secreto comercial de Zoom, o (d) ninguna información que, en opinión razonable de Zoom pudiera (i) comprometer la seguridad de las redes, los sistemas o las instalaciones de Zoom; (ii) hacer que Zoom incumpla sus obligaciones de seguridad o privacidad con cualquier tercero; o (iii) cualquier información que se busque por cualquier motivo distinto a las razones expuestas en este Anexo. Zoom puede exigir la aceptación por parte del Cliente de términos y condiciones razonables de Zoom (o de su auditor o evaluador independientes) antes de proporcionar el Informe de auditoría de Zoom al Cliente.
4. Eliminación de datos. Según lo exijan las Leyes estatales de protección de datos aplicables al Cliente y por indicación del Cliente, Zoom (a) eliminará o devolverá todos los Datos personales al Cliente al finalizar la prestación de los Servicios o (b) según lo exija la CCPA, no conservará, utilizará ni divulgará la Información personal tras la finalización o la expiración de la relación entre el Cliente y Zoom. Nada de lo dispuesto en esta Sección A(4) (Eliminación de datos) obligará a Zoom a (i) eliminar o devolver datos que deba conservar de conformidad con las Leyes aplicables o (ii) devolver en lugar de destruir Datos personales en la medida en que la devolución no sea técnicamente factible, o la devolución imponga cargas o costes considerables, o ambos, a Zoom.

Sección B: California.  Esta Sección B del Anexo se aplica a la prestación de Zoom y al uso de los Servicios por parte del Cliente en la medida en que el Cliente sea una Empresa y Zoom esté tratando Información personal en nombre del Cliente de conformidad con la CCPA.

1. Definiciones. Tal como se utiliza en esta Sección B del Anexo: (a) «CCPA» se refiere a la Ley de privacidad del consumidor de California de 2018, modificada por la Ley de derechos de privacidad del consumidor de California de 2020, y todas las regulaciones promulgadas en virtud de esta; (b) «Empresa», «Fin empresarial», «Fin comercial», «Consumidor», «Tratamiento» «Vender», «Proveedor de servicios» y «Compartir» tienen los respectivos significados que se les atribuye en la CCPA, e (c) «Información personal» significa «información personal» según se define en la CCPA, pero solo en la medida en que Zoom recopile, obtenga, reciba, utilice, revele o trate de cualquier otro modo la información personal, o acceda a ella, como resultado de la prestación de Servicios por parte de Zoom al Cliente en su calidad de Empresa en virtud del Acuerdo.
2. Reconocimientos y obligaciones. Zoom (a) reconoce que el Cliente divulga la Información personal únicamente para los fines limitados y especificados de la prestación de los Servicios descritos en un Formulario de pedido y para los fines descritos en el Acuerdo; (b) cumplirá las obligaciones aplicables a los Proveedores de servicios en virtud de la CCPA y proporcionará el mismo nivel de protección de la privacidad a la Información personal que exige la CCPA, incluida la misma protección de la privacidad que deben proporcionar las Empresas; (c) acepta que el Cliente puede tomar medidas razonables y apropiadas de acuerdo con la Sección A(2) del presente documento para ayudar a garantizar que el uso de la Información personal por parte de Zoom sea coherente con las obligaciones del Cliente en virtud de la CCPA; (d) notificará al Cliente sin demora cualquier decisión tomada por Zoom respecto de que ya no puede cumplir sus obligaciones en virtud de la CCPA, y (e) acepta que el Cliente podrá, previa notificación, tomar las medidas razonables y adecuadas para detener y remediar el uso no autorizado de Información personal, de conformidad con las regulaciones aplicables, mediante la solicitud de documentación razonable a Zoom que verifique que Zoom ya no conserva ni utiliza Información personal que esté sujeta a una solicitud de eliminación válida.
3. Restricciones. Zoom no podrá (a) vender ni compartir Información personal; (b) conservar, usar ni divulgar ningún tipo de Información personal para cualquier fin que no sea para los fines descritos en la sección B(2)(a), arriba, o según lo permitido por la CCPA, lo que incluye conservar, usar o divulgar Información personal para un Fin comercial que no sean esos fines o el servicio de una Empresa diferente; (c) conservar, usar o divulgar Información personal fuera de la relación comercial directa entre Zoom y el Cliente, excepto en la medida en que lo permita la CCPA, o (d) combinar la Información personal recibida en virtud del Acuerdo con Información personal recibida de otra parte, o las propias interacciones de Zoom con el Consumidor al que pertenece la Información personal, excepto en la medida en que un Proveedor de servicios esté autorizado a hacerlo en virtud de la CCPA. Por el presente documento, Zoom certifica que comprende sus obligaciones en virtud de este Anexo y que cumplirá con ellas.
4. Auditorías, revisiones y evaluaciones. El Cliente, sujeto a requisitos razonables y a acuerdos por escrito según lo exija Zoom y de conformidad con la CCPA, y a exclusivo coste y gasto del Cliente, podrá auditar, revisar o evaluar a Zoom no más de una vez cada 12 meses, de conformidad con la Sección A(2) (Auditorías y evaluaciones), antes mencionada.
5. Solicitudes de los clientes. El Cliente notificará sin demora a Zoom y le proporcionará toda la información necesaria tras recibir y verificar una solicitud de un Consumidor, y Zoom tomará las medidas sin demora y proporcionará la información que el Cliente pueda solicitar razonablemente en relación con la Información Personal de un Consumidor con el fin de ayudar al Cliente a cumplir con las solicitudes de las personas para ejercer sus derechos en virtud de la CCPA, lo que incluye, entre otras, solicitudes para corregir, eliminar o recibir información sobre la Información personal que les pertenece, para acceder a ella, o para excluirse de la venta o el intercambio de esta. Si Zoom recibe alguna solicitud directamente del Consumidor de un Cliente, Zoom puede (i) indicar al consumidor que se ponga en contacto directamente con el Cliente en relación con dicha solicitud o (ii) ponerse en contacto con el Cliente para responder directamente al Consumidor.

Sección C: Virginia, Colorado, Utah y otros estados. Esta Sección C del Anexo se aplica a la prestación de Zoom y al uso de los Servicios por parte del Cliente en la medida en que el Cliente sea un Responsable del tratamiento de Datos personales y Zoom trate los Datos personales del Cliente en virtud de las Leyes estatales de protección de datos aplicables.

1. Definiciones. Tal como se utiliza en esta Sección C del Anexo: (a) «Leyes estatales de protección de datos aplicables» significa (i) la Ley de privacidad de Colorado de 2021, la Ley de protección de datos del consumidor de Virginia de 2021 o la Ley de privacidad del consumidor de Utah de 2022, en su versión modificada, o (ii) cualquier otra ley estatal de los EE. UU. promulgada con el fin de proteger los Datos personales, por la cual el Cliente sea un Responsable del tratamiento y Zoom sea un Encargado del tratamiento y los términos y condiciones de este Anexo cumplan los requisitos de dichas Leyes estatales; (b) «Responsable del tratamiento», «Datos personales», «Tratar» y «Encargado del tratamiento» tendrán los respectivos significados que se les atribuyen en las Leyes estatales de protección de datos aplicables, e (c) «Instrucciones» tiene el significado que se indica a continuación.
2. Tratamiento de datos personales: funciones, alcance y responsabilidad.
   1. Las partes reconocen y acuerdan lo siguiente: el Cliente es el Responsable del tratamiento de los Datos personales del Cliente. Zoom es el Encargado del tratamiento de los Datos personales del cliente.
   2. Solo en la medida necesaria y proporcionada, el Cliente, como Responsable del tratamiento, da instrucciones a Zoom para que realice las siguientes actividades como Encargado del tratamiento en nombre del Cliente (colectivamente, las «Instrucciones»):
      1. Proporcionar y actualizar los Servicios según la licencia, configuración y uso del Cliente y sus usuarios, incluso mediante el uso por parte del Cliente de la configuración de Zoom, los controles del administrador u otras funcionalidades del Servicio.
      2. Proteger y supervisar en tiempo real los Servicios.
      3. Resolver los problemas, fallas y errores.
      4. Proporcionar el soporte solicitado por el Cliente, incluida la aplicación de los conocimientos adquiridos a partir de las solicitudes de soporte de clientes individuales para beneficiar a todos los clientes de Zoom, pero solo en la medida en que dichos conocimientos sean anónimos.
      5. Tratar los Datos personales del Cliente según lo establecido en el Acuerdo (incluidos el presente Anexo y el Apéndice A de este), así como en cualquier otra instrucción documentada proporcionada por el Cliente y que Zoom reconozca que constituye una instrucción.
   3. En la medida en que Zoom actúe como Encargado del tratamiento de los Datos personales del Cliente, Zoom tratará los Datos personales del Cliente únicamente de conformidad con las Instrucciones del Cliente. El Cliente deberá garantizar que sus Instrucciones a Zoom cumplan con todas las Leyes, normas y reglamentos aplicables a los Datos personales del Cliente, y que el Tratamiento de los Datos personales del Cliente según las Instrucciones del Cliente no hará que Zoom incumpla las Leyes estatales de protección de datos aplicables. El Cliente es el único responsable de la exactitud, la calidad y la legalidad de (i) los Datos personales del Cliente proporcionados a Zoom por el Cliente o en nombre de él; (ii) la forma en que el Cliente adquirió dichos Datos personales del Cliente; y (iii) las Instrucciones que proporciona a Zoom en relación con el Tratamiento de dichos Datos personales del Cliente. El Cliente no proporcionará ni pondrá a disposición de Zoom ningún Dato personal del Cliente que infrinja el Acuerdo o este Anexo.
   4. El Cliente autoriza a Zoom a realizar escaneos e informes de Datos personales en circunstancias limitadas (por ejemplo, para detectar y notificar Material de explotación sexual infantil; para cumplir otras Leyes aplicables; para garantizar el cumplimiento de las Directrices de uso aceptable de Zoom).
3. Personas autorizadas. Zoom deberá garantizar que todas las personas autorizadas a tratar los Datos personales del Cliente tengan conocimiento de la naturaleza confidencial de los Datos personales del Cliente y estén sujetas a un deber de confidencialidad con respecto a los datos.
4. Subcontratistas y subencargados del tratamiento. En la medida en que Zoom sea un Encargado del tratamiento, el Cliente autoriza de forma general a Zoom a contratar subcontratistas y subencargados del tratamiento de conformidad con esta Sección C(4).
   1. El Cliente aprueba el uso por parte de Zoom de los proveedores que se encuentran en https://explore.zoom.us/es/subprocessors/ para tratar los Datos personales del Cliente.
   2. Zoom podrá eliminar, reemplazar o designar proveedores adicionales. Siempre y cuando el Cliente se suscriba a las actualizaciones en https://explore.zoom.us/es/subprocessors/, Zoom notificará al Cliente cualquier cambio en estos contratos de proveedor. Cuando así lo exijan las Leyes estatales de protección de datos aplicables, Zoom también deberá ofrecer al Cliente la oportunidad de oponerse a la contratación, de conformidad con las secciones C(4)(d) y C(4)(e) del presente documento.
   3. En caso de emergencia relativa a la disponibilidad o seguridad de los Servicios, Zoom no estará obligado a notificar previamente al Cliente la eliminación, el reemplazo o la designación de subcontratistas, pero deberá notificarlo en los siete (7) días hábiles posteriores al cambio de un subcontratista.
   4. En cualquiera de los casos, el Cliente podrá oponerse por escrito a dicha contratación de un subcontratista en el plazo de quince (15) días hábiles a partir de la fecha en que Zoom reciba el aviso mencionado anteriormente.
   5. Si el Cliente se opone a la contratación de un nuevo subcontratista, Zoom tendrá derecho a resolver la objeción mediante una de las siguientes opciones (a elección exclusiva de Zoom):
      1. Zoom puede cancelar sus planes de utilizar al subcontratista en relación con los Datos personales del Cliente.
      2. Zoom podrá tomar las medidas correctivas solicitadas por el Cliente en su objeción (que eliminen la objeción del Cliente) y proceder a utilizar al subcontratista en relación con los Datos personales del Cliente.
      3. Zoom puede dejar de prestar o el Cliente puede acordar no utilizar (de forma temporal o permanente) el aspecto concreto del Servicio que implicaría el uso de dicho subcontratista en relación con los Datos personales del Cliente. Zoom deberá proporcionar al Cliente una descripción por escrito de las alternativas comercialmente razonables, si las hubiera, a dicha contratación, incluida, entre otras, la modificación de los Servicios. Si Zoom, a su entera discreción, no puede proporcionar dichas alternativas, o si el Cliente no está de acuerdo con dichas alternativas en caso de que se proporcionen, Zoom y el Cliente podrán rescindir el Acuerdo, incluido el presente Anexo, con un aviso por escrito con sesenta (60) días de anticipación. La rescisión no eximirá al Cliente de ninguna tarifa o cargo adeudado a Zoom por los Servicios prestados hasta la fecha de entrada en vigor de la rescisión en virtud del Acuerdo.
      4. Si el Cliente no se opone a la contratación de un nuevo subcontratista en el plazo de 15 días hábiles a partir de la emisión del aviso por parte de Zoom, dicho nuevo subcontratista se considerará aceptado.
   6. Zoom contratará a cualquier subcontratista que trate los Datos personales del Cliente únicamente en virtud de un contrato escrito y exigirá al subcontratista que cumpla todas las obligaciones de Zoom subcontratadas con respecto a dichos Datos personales. Zoom seguirá siendo responsable ante el Cliente en caso de que dicho subcontratista incumpla sus obligaciones relativas a la protección de datos para el cumplimiento de las obligaciones de dicho subcontratista en la misma medida en que Zoom sería responsable por sí mismo en virtud del presente Anexo si hubiera llevado a cabo dichos actos u omisiones.
5. Seguridad de la información. Teniendo en cuenta el contexto del Tratamiento, Zoom deberá mantener las medidas técnicas y organizativas adecuadas con respecto a los Datos personales del Cliente para garantizar un nivel de seguridad adecuado al riesgo de conformidad con el presente Anexo y según se establezca expresamente en el Acuerdo.
6. Información de cumplimiento. A petición razonable del Cliente, Zoom pondrá a disposición del Cliente la información razonable, de acuerdo con las Leyes aplicables, que esté en posesión de Zoom y sea necesaria para demostrar el cumplimiento por parte de Zoom de sus obligaciones en virtud de este Anexo.