Zoom e o Regulamento Geral de Proteção de Dados da União Europeia (GDPR)

Atualizado: 1º de junho de 2022

A missão do Zoom é oferecer felicidade por meio de comunicações por vídeo de maneira simples e compreendemos que essa felicidade exige privacidade e segurança. É por isso que nos esforçamos para proteger e dar segurança às comunicações dos nossos clientes até o mais alto nível, como as obrigações de privacidade de dados no Espaço Econômico Europeu ("EEE"), principalmente o Regulamento Geral de Proteção de Dados (o "GDPR").

O Zoom enaltece o GDPR como uma oportunidade para desenvolver as bases de uma proteção de dados mais sólida para benefício de todos. O Zoom reconhece que nossos clientes (controladores de dados) precisam se assegurar de que o Zoom (o processador de dados) implemente medidas técnicas e organizacionais de uma maneira que se alinhe às obrigações de conformidade do GDPR. O Zoom está aqui para ajudar e apoiar nossos clientes em sua função como controlador de dados.

Os seguintes fatos importantes refletem o compromisso do Zoom com as práticas de proteção de dados. 

 

Compromissos contratuais do GDPR para todos os clientes Zoom

O GDPR exige que os controladores de dados (como organizações e desenvolvedores que utilizam os serviços do Zoom) usem apenas processadores de dados (como o Zoom) que processe dados pessoais em nome do controlador de dados e ofereça garantias adequadas para atender requisitos específicos do GDPR. O Zoom oferece esses compromisso para todos os clientes ao incorporar o Adendo de Processamento de Dados do Zoom aos Termos de Serviço do Zoom.

Compromissos contratuais do Zoom relevantes para o GDPR:

  • O Zoom se esforça para ser transparente e se compromete a usar dados pessoais apenas conforme declarado no nosso acordo sobre a oferta de nossos serviços ou conforme instruído, de qualquer outra forma, pelos nossos clientes.
  • O Zoom mantém medidas de segurança técnicas e organizacionais apropriadas para proteger os dados pessoais que processamos.
  • O Zoom auxilia os clientes a cumprir com suas obrigações quando os titulares de dados exercitam seus direitos presentes nos dados pessoais que processamos usando os nossos serviços (como solicitações de informações, acesso, retificação e exclusão).

 

Suporte para transferência internacional de dados

Em julho de 2020, o Tribunal de Justiça da União Europeia (o "TJUE") decidiu no caso C-311/18 (comumente referido como a "decisãoSchrems II") sobre a validade das transferências de dados fora do EEE. A decisão Schrems II se originou de uma reclamação feita por um titular de dados austríaco, Maximilliam Schrems, sobre a transferência dos seus dados pessoais para os Estados Unidos e o possível acesso aos seus dados pelas agências governamentais americanas.

Na decisão Schrems II, o TJUE considerou que a estrutura da Proteção de Privacidade UE-EUA não fornece mais um meio legal para transferir dados pessoais do EEE para os Estados Unidos.

Mas importante, o TJUE também considerou que as Cláusulas Contratuais Padrão da Comissão Europeia (ou "SCCs") – que formam a base das transferências internacionais do Zoom – continuam sendo um mecanismo legal para transferir dados pessoais do EEE para países não pertencentes ao EEE.

Na sequência desta decisão, a Comissão Europeia publicou as novas SCCs em junho de 2021. O Zoom incorporou as novas SCCs nos acordos aplicáveis em seguida aos períodos de transição especificados pela Comissão Europeia (por exemplo, a partir de 27 de setembro de 2021 para novos contratos e a partir de 27 de dezembro de 2022 para contratos existentes).Consulte nossas Perguntas frequentes do cliente sobre as novas SCCs para obter mais informações. 

 

Nova exigência: "Conheça a sua transferência"

A decisão Schrems II também apresentou uma nova exigência. Antes de transferir dados pessoais para um país fora do EEE que não seja considerado como garantindo um nível adequado de proteção, os exportadores de dados devem avaliar se os SCCs garantem adequadamente que os dados pessoais permaneçam protegidos no país destinatário em um grau “essencialmente equivalente” à proteção de dados da UE as regras.

Em outras palavras, antes de se basear nas SCCs, os exportadores e importadores de dados têm agora que avaliar se as leis e práticas no país que receberá os dados podem comprometer o nível de proteção oferecido de outra forma. Para dar suporte aos nossos clientes com essa avaliação, preparamos uma Avaliação de Impacto de Transferência de Dados (“DTIA”).

Para obter mais informações sobre as etapas que o Zoom executa e as proteções adicionais em vigor quando dados pessoais são transferidos do EEE ou do Reino Unido para o Zoom nos EUA, consulte nossas "Perguntas frequentes: Transferência internacional de dados."

Medidas específicas fortes para garantir a proteção de dados europeia

O Zoom está compromissado em manter um alto nível de segurança:

  • O Zoom utiliza uma variedade de tecnologias de criptografia para proteger dados em trânsito e em repouso.
  • O Zoom utiliza medidas de segurança para suportar a contínua confidencialidade, integridade, disponibilidade e resiliência dos nossos sistemas de processamento e serviços.
  • O Zoom toma medidas para facilitar a restauração da disponibilidade e acesso imediato aos nossos sistemas de processamento e serviços no caso de um incidente físico ou técnico.
  • O Zoom implementa um processo para testar, avaliar e estimar regularmente a eficácia das medidas técnicas e organizacionais para apoiar a proteção dos dados que processamos.

Especificamente, as medidas de segurança que o Zoom usa para habilitar a segurança das comunicações enviadas pela plataforma do Zoom e armazenadas por ela, incluem o seguinte:

  • Criptografia ponta a ponta opcional para reuniões: os usuários podem escolher habilitar a criptografia ponta a ponta para as Zoom Meetings. Isso fornece um alto nível de segurança, pois nenhum terceiro – incluindo o Zoom – tem acesso às chaves privadas da reunião.
  • Criptografia padrão: A conexão entre um determinado dispositivo e o Zoom é criptografada por padrão, usando uma mistura de TLS 1.2+ (Transport Layer Security), criptografia AES GCM de 256 bits do Advanced Encryption Standard e SRTP (Secure Real-time Transport Protocol). Os métodos precisos usados dependem se um usuário usa o cliente Zoom, um navegador da web, um dispositivo ou serviço de terceiros ou o produto Zoom Phone. Para obter mais informações, consulte nosso whitepaper de criptografia.
  • Proteções contra participantes não autorizados da reunião: o Zoom implementou várias proteções e controles para proibir participantes não autorizados de participar de reuniões:
    • IDs de reunião únicos com onze dígitos
    • Senhas complexas
    • Salas de espera com o recurso de admitir automaticamente os participantes que possuem o nome do seu domínio ou outro domínio selecionado
    • Recurso de bloqueio de reunião que pode impedir que qualquer pessoa entre na reunião
    • Recurso de excluir participantes
    • Perfis de autenticação que permitem apenas a entrada de usuários registrados ou restringem a domínios de e-mail específicos
    • A ferramenta At-Risk Meeting Notifier pode verificar postagens em sites públicos de rede social e outros recursos online públicos para links do Zoom Meeting
  • Convites seletivos de reunião: o anfitrião pode convidar participantes de forma seletiva por e-mail, chat ou SMS. Isso oferece um maior controle em relação a distribuição das informações de acesso à reunião. O anfitrião também pode criar a reunião para permitir que apenas membros de um certo domínio de e-mail possam acessar a reunião.
  • Segurança interna da reunião: durante a reunião, o Zoom oferece em tempo real, conteúdo rich media de forma segura para cada participante de uma reunião Zoom. Todo o conteúdo compartilhado com os participantes em uma reunião é apenas uma representação dos dados originais. Este conteúdo é codificado e otimizado para compartilhamento usando uma implementação protegida.
  • Controles do anfitrião: os organizadores da reunião podem habilitar/desabilitar o compartilhamento, chat e alteração do próprio nome pelos participantes.
  • Relatórios: Relatar um recurso de usuário permite que o organizador da reunião sinalize um comportamento problemático.
  • Controles de segurança no produto: controles de segurança com um ícone de segurança dedicado na interface principal.
  • Segurança do usuário baseada em função: Os seguintes recursos de segurança pré-reunião estão disponíveis para o organizador da reunião:
    • Login protegido usando o nome de usuário e senha padrões ou logon único SAML
    • Inicie uma reunião protegida por um código
    • Agende uma reunião protegida por um código
  • Prevenção de robocall: os usuários podem evitar robocalling com limitação de taxa e reCAPTCHA (requer intervenção humana) ativado em todas as plataformas.

 

Opções para dados em trânsito e dados em repouso

O Zoom compreende que nossos clientes podem desejar ter opções sobre os datacenters que processam seus dados em trânsito e em repouso.

Dados em trânsito, ou dados em movimento, são dados que se movem ativamente de um local para outro, como pela Internet ou por meio de uma rede privada. Para dados em trânsito, os titulares da conta e os administradores de uma conta paga podem impedir que datacenters de certas regiões hospedem dados em trânsito de uma reunião e webinar em tempo real (consulte esse artigo de ajuda). O Zoom oferece transparência no encaminhamento de dados através do painel de administração da conta.

Dados em repouso são dados que não estão se movendo ativamente de dispositivo para dispositivo ou rede para rede, como dados armazenados em um datacenter em nuvem. Os clientes podem escolher o local para armazenamento de dados para alguns dos conteúdos dos seus clientes que estão em repouso.

“Conteúdo do Cliente” são todos os dados, incluindo arquivos de texto, som, vídeo ou imagem, que um cliente coloca no serviço Zoom para processamento e uploads para os servidores em nuvem do Zoom para armazenamento ou processamento adicional. Por exemplo, conteúdo do cliente pode incluir gravações de vídeo, gravações na nuvem, transcrições, chat nas reuniões, chat persistente, e arquivos trocados na reunião.

Se um cliente carrega conteúdo do cliente para o serviço de nuvem do Zoom, ele é hospedado pela rede global da Amazon Web Services ("AWS"). O local de hospedagem do datacenter aplicável a cada cliente Zoom pode variar se a organização usar nosso recurso de armazenamento de conteúdo de comunicação. O recurso de localização de armazenamento permite às equipes globais escolher a região na qual certos tipos de dados em repouso são armazenados. Observe que certas categorias de dados ainda são processadas nos EUA

Protocolos rigorosos para responder a solicitações governamentais de informações

O Zoom está comprometido em proteger a privacidade de nossos clientes e usuários e só produz dados de usuários para governos em resposta a solicitações válidas e legais, de acordo com nosso Guia de Solicitações Governamentais e políticas legais relevantes.

Em todas as áreas geográficas:

  • As solicitações governamentais devem ser emitidas de acordo com a legislação e regulamentos em vigor, por meio de canais oficiais, incluindo a exigência de um documento oficial assinado ou uma solicitação por e-mail enviada por meio de um endereço de e-mail oficial da entidade governamental.
  • Cada solicitação deve ser explícita, restrita a um tópico relevante e ter uma base legal válida. Rejeitaremos ou contestaremos solicitações que não atendam a esses requisitos.
  • Faremos uma avaliação adicional de determinadas solicitações governamentais de informações do usuário com base em nossos princípios e em nosso interesse de promover uma colaboração bem-sucedida em todo o mundo.

Se uma solicitação for muito vaga, o Zoom contestará a validade da solicitação para minimizar o espectro das informações enviadas.

Normalmente, o Zoom notifica os usuários em relação às solicitações por informação feitas pelo governo, incluindo uma cópia da solicitação recebida, exceto se formos legalmente proibidos de notificar o usuário. Solicitações para exceções em relação a notificação do usuário deve incluir uma descrição das circunstâncias prementes ou os resultados adversos possíveis caso a notificação ao usuário seja feita.

 

Maior transparência

  • Relatórios de transparência: O Zoom publicou seu primeiro relatório sobre o número de solicitações recebidas de autoridades americanas e internacionais em dezembro de 2020 (Relatório de transparência de Solicitações do Governo). Nosso objetivo é aprimorar cada relatório de transparência em relação ao anterior. Nosso mais recente Relatório de transparência está disponível aqui. Relatórios de transparência adicionais serão disponibilizados no Zoom Trust Center.
  • Notificações no produto: o Zoom está continuamente se atualizando para integrar recursos específicos de notificações de privacidade na experiência do Zoom para ajudar os usuários a compreender, dentro do contexto, quem pode ver e compartilhar o conteúdo e as informações que eles compartilham no Zoom. Por exemplo, se um usuário deseja saber quem pode ver as mensagens que ele envia no recurso de chat do Zoom, basta acessar "Quem pode ver as suas mensagens?" para checar quem pode acessar as mensagens que ele envia para outras pessoas, assim como, as mensagens privadas que ele envia.

 

O Zoom projeta seus serviços tendo as exigências do GDPR como diretriz

O Zoom está comprometido em fazer todos os esforços para desenvolver recursos para o produto que se alinhem com as exigências do GDPR e incentiva a proteção dos dados pessoais processados pelos nossos serviços. Para obter mais informações sobre nossas práticas de dados, consulte nossa Declaração de privacidade ou envie um e-mail para privacy@zoom.us se tiver alguma dúvida específica do GDPR.