Zoom e il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea
Aggiornamento: 30 dicembre 2022
La missione di Zoom consiste nel procurare soddisfazione consentendo comunicazioni video senza difficoltà e siamo consapevoli che tale soddisfazione richiede privacy e sicurezza. Ecco perché ci impegniamo a garantire al massimo livello la protezione e la sicurezza delle comunicazioni dei nostri clienti, ad esempio rispettando gli obblighi per la privacy dei dati dello Spazio economico europeo (“SEE”), e principalmente del Regolamento in materia di protezione generale dei dati (“GDPR”).
Zoom applaude al GDPR, in quanto offre l’opportunità di costruire basi più solide per la protezione dei dati, a vantaggio di tutti. Zoom riconosce che i nostri clienti (titolari del trattamento) devono garantire che Zoom (responsabile del trattamento) implementi misure tecniche e organizzative in modo da rispettare gli obblighi di conformità al GDPR. Zoom è presente per aiutare e supportare i propri clienti nel loro ruolo di titolari del trattamento.
I seguenti punti rispecchiano l’impegno di Zoom riguardo alle pratiche di protezione dei dati.
Impegni contrattuali riguardo al GDPR per tutti i clienti di Zoom
Il GDPR richiede che i titolari del trattamento (come le organizzazioni e gli sviluppatori che utilizzano i servizi Zoom) utilizzino solo responsabili del trattamento (ad esempio Zoom) che trattino i dati personali per conto del titolare del trattamento e forniscano garanzie adeguate per soddisfare i requisiti specifici del GDPR. Zoom garantisce questi impegni a tutti i nostri clienti, integrando l’Appendice sul trattamento dei dati da parte di Zoom nei termini di servizio di Zoom.
Impegni contrattuali di Zoom rilevanti per il GDPR::
- Zoom si impegna a essere trasparente e a utilizzare i dati personali solo per quanto dichiarato nel nostro accordo per la fornitura dei servizi o come altrimenti richiesto dai nostri clienti.
- Zoom garantisce misure di sicurezza tecniche e organizzative adeguate per proteggere i dati personali che trattiamo.
- Zoom assiste i clienti nell’adempiere ai loro obblighi quando i soggetti interessati al trattamento esercitano i diritti connessi ai dati personali trattati attraverso i nostri servizi (ad esempio richieste di informazioni, accesso, rettifica e cancellazione).
Supporto al trasferimento internazionale dei dati
Nel luglio 2020, la Corte di giustizia dell’Unione europea (“CJEU”) ha emesso una sentenza sul caso C-311/18 (comunemente indicato come “Sentenza Schrems II“) riguardante la validità dei trasferimenti dei dati al di fuori del SEE. La Sentenza Schrems II scaturiva da una denuncia presentata da un cittadino austriaco interessato al trattamento, Maximilian Schrems, riguardo al trasferimento dei propri dati personali negli Stati Uniti e alla possibilità di accedere ai suoi dati da parte delle agenzie governative degli Stati Uniti.
Nella Sentenza Schrems II, la CJEU dichiarò che lo schema Privacy Shield fra UE e Stati Uniti non era più previsto come mezzo legittimo per il trasferimento dei dati personali dal SEE agli Stati Uniti.
Ma soprattutto, la CJEU sostenne anche che le Clausole Contrattuali Standard della Commissione Europea (“SCC”), che costituiscono la base dei trasferimenti internazionali di Zoom, rimangono un meccanismo legale per trasferire i dati personali dal SEE ai paesi esterni al SEE.
In seguito a questa sentenza, nel giugno 2021 la Commissione europea ha pubblicato delle nuove SCC. Zoom ha incorporato le nuove SCC in contratti in vigore dopo i periodi di transizione specificati dalla Commissione Europea (ad esempio, dal 27 settembre 2021 per i nuovi contratti e dal 27 dicembre 2022 per i contratti esistenti). Per ulteriori informazioni, consultare le Domande frequenti dei clienti sulle nuove SCC.
Il nuovo requisito di “Conoscenza del trasferimento”.
La sentenza Schrems II ha introdotto anche un nuovo requisito. Prima di trasferire i dati personali a un paese esterno al SEE, che si ritiene come garantisca un livello di protezione adeguato, chi esporta i dati deve valutare se le SCC garantiscano adeguatamente che i dati personali rimangano protetti nel paese di destinazione, a un livello “sostanzialmente equivalente” alle norme sulla protezione dei dati della UE.
In altre parole, prima di fare affidamento alle SCC, si prevede che i soggetti che esportano e importano valutino se le legislazioni e le prassi del paese che riceve i dati possano pregiudicare il livello di protezione altrimenti fornito. Per supportare i nostri clienti in questa valutazione, abbiamo preparato una Valutazione dell’impatto del trasferimento dei dati per i seguenti prodotti:
Valutazione dell’impatto del trasferimento dei dati per Zoom Meetings/Zoom Webinars/Zoom Team Chat
Valutazione dell’impatto del trasferimento dei dati per Zoom Phone
Valutazione dell’impatto del trasferimento dei dati per Zoom Contact Center
Per ulteriori informazioni sulle azioni intraprese da Zoom e sulle ulteriori misure di sicurezza durante il trasferimento dei dati personali dal SEE o del Regno Unito a Zoom negli Stati Uniti, consultare “Domande frequenti: Trasferimento internazionale dei dati.“
Misure specifiche forti per assicurare la protezione dei dati di livello europeo
Zoom è impegnata a mantenere un livello di sicurezza elevato:
- Zoom si avvale di una serie di tecnologie di crittografia per proteggere i dati in transito e in giacenza.
- Zoom utilizza misure di sicurezza per supportare in modo continuativo la riservatezza, l’integrità, la disponibilità e la resilienza dei nostri sistemi e servizi di elaborazione.
- Zoom adotta le misure necessarie per facilitare il tempestivo ripristino della disponibilità e l’accesso ai nostri sistemi e servizi di elaborazione in caso di incidenti tecnici o fisici.
- Zoom implementa un procedimento per collaudare, verificare e valutare l’efficacia delle misure tecniche e organizzative che supportano le sicurezza del trattamento dei dati.
In particolare, le misure di sicurezza utilizzate da Zoom per garantire la sicurezza delle comunicazioni inviate e memorizzate attraverso la piattaforma Zoom includono le seguenti:
- Crittografia end-to-end opzionale per le riunioni: gli utenti possono scegliere di abilitare la crittografia end-to-end per Zoom Meetings. La crittografia fornisce un livello elevato di sicurezza in quanto nessuna terza parte, tra cui Zoom, può accedere alle chiavi private delle sale riunioni.
- Crittografia predefinita: il collegamento tra un determinato dispositivo e Zoom è crittografato per impostazione predefinita, utilizzando una combinazione miscela di TLS 1.2+ (Transport Layer Security), crittografia Advanced Encryption Standard AES GCM a 256 bit e SRTP (Secure Real-time Transport Protocol). I metodi effettivamente utilizzati dipendono dal fatto che l’utente utilizzi il client Zoom, un browser web, oppure una periferica o un servizio di terze parti, oppure il prodotto Zoom Phone. Per ulteriori informazioni, consultare il nostro white paper sulla crittografia.
- Protezioni contro utenti non autorizzati a partecipare a una riunione: Zoom ha implementato numerose misure di salvaguardia e controllo per vietare la partecipazione alle riunioni da parte di partecipanti non autorizzati:
-
- ID di riunione univoco di undici cifre
- Password complesse
- Sale d’attesa con la possibilità di ammettere automaticamente i partecipanti del proprio dominio o di un altro dominio selezionato
- Funzionalità di blocco della riunione che può impedire a chiunque di accedere a una riunione
- Possibilità di rimuovere i partecipanti
- Profili di autenticazione che consentono solo l’ingresso di utenti registrati, o limitano a specifici domini e-mail
- Lo strumento di Notifica di riunione a rischio può scansionare i post sui siti pubblici di social media e altre risorse pubbliche online per cercare i link alla riunione Zoom.
- Inviti selettivi alle riunioni: l’organizzatore può invitare selettivamente i partecipanti tramite e-mail, IM o SMS. Ciò garantisce un maggiore controllo sulla distribuzione delle informazioni di accesso alla riunione. L’organizzatore può anche scegliere che solo i membri di un determinato dominio e-mail possano partecipare alla riunione.
- Sicurezza nella riunione: Durante la riunione,, Zoom offre contenuti multimediali sicuri in tempo reale a ogni partecipante a una riunione Zoom. Ogni contenuto condiviso con i partecipanti è solo una rappresentazione dei dati originali. Questo contenuto è codificato e ottimizzato per la condivisione tramite un’implementazione protetta.
- Controlli dell’organizzatore: i controlli dell’organizzatore della riunione possono attivare/disattivare la condivisione dei contenuti, la chat e la ridenominazione di sé stessi da parte dei partecipanti.
- Segnalazioni: la segnalazione di una funzionalità dell’utente consente all’organizzatore della riunione di individuare un comportamento problematico.
- Controlli di sicurezza nel prodotto: controlli di sicurezza con un’icona Sicurezza dedicata nell’interfaccia principale.
- Sicurezza utente basata sul ruolo: le seguenti funzionalità di sicurezza pre-riunione sono disponibili per l’organizzatore della riunione:
-
- Accesso protetto con nome utente e password standard o Single Sign-On SAML
- Avvio di una riunione protetta con un codice di accesso
- Pianificazione di una riunione protetta con un codice di accesso
- Prevenzione di chiamate robotizzate: gli utenti possono prevenire le chiamate robotizzate con limitazione della frequenza e reCAPTCHA (richiede l’intervento umano) abilitati per tutte le piattaforme.
Scelta dei dati in transito e in giacenza
Zoom comprende che i clienti possono voler scegliere i data center che elaborano i dati in transito e in giacenza.
I dati in transito, o dati in movimento, sono dati che passano attivamente da un luogo a un altro, ad esempio in internet o attraverso una rete privata. Per i dati in transito, i titolari e gli amministratori degli account a pagamento possono escludere i data center di alcune dall’ospitare i dati in transito delle riunioni in tempo reale e dei webinar (vedere questo articolo della Guida). Zoom è trasparente riguardo all’instradamento dei dati attraverso la dashboard dell’account di amministrazione.
I dati in giacenza sono dati che non passano attivamente da un dispositivo a un altro o da una rete a un’altra, ad esempio i dati archiviati in un data center nel cloud. I clienti possono scegliere la sede di memorizzazione dei dati per alcuni contenuti dei clienti in giacenza.
“Contenuti del cliente” sono tutti i dati, compresi testi, audio, video o file di immagini, che un cliente immette nel servizio Zoom per l’elaborazione, e carica sul cloud server di Zoom per l’archiviazione o per ulteriori elaborazioni. Ad esempio, i Contenuti del cliente possono includere registrazioni video, registrazioni cloud, trascrizioni, chat nella riunione, chat persistenti e file scambiati nella riunione.
Se un cliente carica Contenuti del cliente nel servizio cloud di Zoom, questi sono conservati nella rete globale di Amazon Web Services (“AWS”). L’ubicazione di hosting del data center applicabile a ciascun cliente di Zoom può variare se l’organizzazione utilizza la nostra funzione di archiviazione dei contenuti delle comunicazioni. La funzione dell’ubicazione di storage consente ai team globali di scegliere la regione in cui sono memorizzati alcuni tipi di dati in giacenza. Tener presente che alcune categorie di dati sono ancora elaborate negli USA.
Protocolli rigorosi per rispondere alle richieste di informazioni delle organizzazioni governative
Zoom si impegna a tutelare la privacy dei nostri clienti e utenti, e fornisce i dati degli utenti ai governi solo in risposta a richieste valide e legittime in conformità con la nostra Guida alle richieste della pubblica amministrazione e alle politiche giuridiche in vigore.
In tutte le aree geografiche:
- Le richieste della Pubblica Amministrazione devono essere emesse secondo le leggi e le normative vigenti, e attraverso i canali ufficiali, compresa la richiesta di un documento ufficiale firmato o di un’e-mail di richiesta inviata dall’indirizzo e-mail ufficiale di un ente governativo.
- Ogni richiesta deve essere esplicita, non eccessivamente ampia e legata a una valida base giuridica. Le richieste che non rispondono a questi requisiti verranno rifiutate o contestate.
- Eseguiremo esami aggiuntivi su alcune richieste governative di informazioni sugli utenti, sulla base dei nostri principi e interessi per la promozione di collaborazioni corrette a livello mondiale.
Se una richiesta è troppo vaga, Zoom contesterà la validità della richiesta per ridurre al minimo la gamma delle informazioni fornite.
Di regola, Zoom segnala agli utenti le richieste di informazioni da parte delle organizzazioni governative, compresa una copia della richiesta ricevuta, a meno che non ci venga legalmente vietata la notifica all’utente. Le richieste di eccezioni per la notifica all’utente deve includere una descrizione delle circostanze esigenti o di un potenziale effetto negativo della notifica.
Maggiore trasparenza
- Report sulla trasparenza: nel dicembre 2020, Zoom ha pubblicato il suo primo report sul numero di richieste ricevute dalle autorità statunitensi e internazionali (Report sulla trasparenza delle richieste della pubblica amministrazione). Vogliamo fare in modo le nostre relazioni sulla trasparenza continuino a migliorare. Il nostro Report sulla trasparenza più recente è disponibile qui. Ulteriori relazioni sulla trasparenza saranno rese disponibile sullo Zoom Trust Center.
- Notifiche nel prodotto: Zoom continua gli aggiornamenti per integrare notifiche sulla privacy specifiche per le funzionalità nell’esperienza di Zoom, in modo da aiutare gli utenti a capire, nel contesto, chi può vedere e condividere i contenuti e le informazioni che condividono in Zoom. Ad esempio, se un utente vuole per sapere chi può vedere i messaggi che invia attraverso la funzione chat di Zoom, può andare su “Chi può vedere i tuoi messaggi?” per vedere chi è in grado di accedere ai messaggi inviati a tutti e ai messaggi privati.
Zoom progetta i propri servizi tenendo presenti i requisiti del GDPR
Lo zoom è impegnata a compiere ogni sforzo per integrare i requisiti del GDPR nel creare le funzionalità dei prodotti, promuovendo la protezione dei dati personali trattati attraverso i propri servizi. Per ulteriori informazioni sulle nostre procedure di raccolta dei dati, consultare la nostra Informativa sulla privacy, oppure inviare un’e-mail a privacy@zoom.us per qualsiasi domanda specifica relativa al GDPR.