Zoom y el Reglamento General de Protección de Datos (RGPD) de la Unión Europea

Actualización: 18 de agosto de 2023

La misión de Zoom es hacer felices a los clientes a través de videocomunicaciones sin problemas, y entendemos que esa felicidad requiere privacidad y seguridad. Por eso nos esforzamos por proteger y asegurar las comunicaciones de nuestros clientes a los niveles más altos, como las obligaciones de privacidad de datos en el Espacio Económico Europeo («EEE»), principalmente el Reglamento General de Protección de Datos (el «RGPD»).

Zoom celebra el RGPD como una oportunidad para construir una base de protección de datos más sólida en beneficio de todos. Zoom reconoce que nuestros clientes (responsables del tratamiento) tienen que asegurarse de que Zoom (el encargado del tratamiento) implemente medidas técnicas y organizativas de una manera que se alinee con las obligaciones de cumplimiento del RGPD. Zoom puede ayudar y apoyar a nuestros clientes en su rol de responsables del tratamiento.

Los siguientes hechos clave reflejan el compromiso de Zoom con las prácticas de protección de datos.

 

Compromisos contractuales del RGPD para todos los clientes de Zoom

El RGPD exige que los responsables del tratamiento (tales como las organizaciones y los desarrolladores que utilizan los servicios de Zoom) solo utilicen encargados del tratamiento (tales como Zoom) que traten datos personales en nombre del responsable del tratamiento y proporcionen las garantías adecuadas para cumplir con los requisitos específicos del RGPD. Zoom ofrece estos compromisos a todos sus clientes mediante la incorporación del Anexo de tratamiento de datos de Zoom a los Términos del servicio de Zoom.

Compromisos contractuales de Zoom relevantes para el RGPD:

  • Zoom se esfuerza por ser transparente y se compromete a utilizar los datos personales únicamente según lo establecido en nuestro acuerdo acerca de la prestación de nuestros servicios o según las instrucciones de nuestros clientes.
  • Zoom mantiene medidas de seguridad técnicas y organizativas adecuadas para proteger los datos personales que tratamos.
  • Zoom asiste a los clientes en el cumplimiento de sus obligaciones cuando los interesados ejercen los derechos vinculados a los datos personales tratados mediante nuestros servicios (como las solicitudes de información, acceso, rectificación y eliminación).

 

Soporte de transferencia internacional de datos

En julio de 2020, el Tribunal de Justicia de la Unión Europea (el «CJEU») se pronunció sobre el caso C-311/18 (comúnmente conocido como la «decisión Schrems II») relativo a la validez de las transferencias de datos fuera del EEE. La decisión Schrems II tuvo su origen en una reclamación presentada por un interesado austriaco, Maximillian Schrems, en relación con las transferencias de sus datos personales a los Estados Unidos y la posibilidad de que los organismos gubernamentales estadounidenses accedieran a sus datos.

En la decisión Schrems II, el CJEU sostuvo que el marco del Escudo de privacidad UE-EE. UU. ya no ofrecía un medio legal para transferir datos personales desde el EEE a los Estados Unidos.

Pero lo más importante es que el CJEU también sostuvo que las Cláusulas Contractuales Tipo de la Comisión Europea (o «CEC»), que constituyen la base de las transferencias internacionales de Zoom, siguen siendo un mecanismo legal para transferir datos personales desde el EEE a países fuera del EEE.

Tras esta decisión, la Comisión Europea publicó nuevas CEC en junio de 2021. Zoom ha incorporado las nuevas CEC en los acuerdos aplicables según los períodos de transición especificados por la Comisión Europea (es decir, antes del 27 de septiembre de 2021 para los nuevos contratos y antes del 27 de diciembre de 2022 para los contratos existentes). Para obtener más información, consulte las Preguntas frecuentes de nuestros clientes sobre las nuevas CEC.

 

Nuevo requisito: «Conozca su transferencia»

La decisión Schrems II también introdujo un nuevo requisito. Antes de transferir datos personales a un país fuera del EEE que no se considere que garantiza un nivel de protección adecuado, los exportadores de datos deben evaluar si las CEC garantizan adecuadamente que los datos personales sigan estando protegidos en el país receptor en un grado «esencialmente equivalente» a las normas de protección de datos de la UE.

En otras palabras, antes de confiar en las CEC, el exportador y el importador de datos deben evaluar si las leyes y las prácticas del país receptor de los datos pueden socavar el nivel de protección que se ofrece. Para ayudar a nuestros clientes en esta evaluación, hemos preparado Evaluaciones del impacto de la transferencia de datos para los siguientes productos:

Evaluación de impacto de la transferencia de datos de Zoom Meetings/Webinars/Team Chat
Evaluación de impacto de la transferencia de datos de Zoom Phone
Evaluación de impacto de la transferencia de datos de Zoom Contact Center
Evaluación de impacto de la transferencia de datos de Zoom Virtual Agent

Fuertes medidas específicas para garantizar la protección de datos en Europa

Zoom se compromete a mantener un alto nivel de seguridad:

  • Zoom utiliza una serie de tecnologías de cifrado para proteger los datos en tránsito y en reposo.
  • Zoom aplica medidas de seguridad para respaldar la confidencialidad, la integridad, la disponibilidad y resiliencia continuas de nuestros sistemas y servicios de tratamiento.
  • Zoom adopta medidas para facilitar el restablecimiento de la disponibilidad y el acceso a nuestros sistemas y servicios de tratamiento con celeridad en caso de que se produzca un incidente físico o técnico.
  • Zoom implementa un proceso para probar, valorar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas a fin de respaldar la seguridad de los datos que tratamos.

En concreto, las medidas de seguridad que Zoom utiliza para habilitar la seguridad de las comunicaciones enviadas y almacenadas en la plataforma de Zoom incluyen lo siguiente:

  • Cifrado de extremo a extremo opcional para las reuniones: los usuarios pueden optar por habilitar el cifrado de extremo a extremo para Zoom Meetings. Esto proporciona un alto nivel de seguridad, ya que ningún tercero —incluido Zoom— tiene acceso a las claves privadas de la reunión.
  • Cifrado predeterminado: la conexión entre un determinado dispositivo y Zoom está cifrada de forma predeterminada mediante una combinación de TLS 1.2+ (Seguridad de la capa de transporte), cifrado AES-GCM de 256 bits del Estándar de cifrado avanzado y SRTP (Protocolo seguro de transporte en tiempo real). Los métodos exactos utilizados dependen de si el usuario utiliza Zoom Client, un navegador web, un dispositivo o servicio de terceros, o el producto Zoom Phone. Para obtener más información, consulte nuestro documento técnico sobre cifrado.
  • Protecciones contra participantes no autorizados en las reuniones: Zoom ha implementado numerosas protecciones y controles para prohibir que participantes no autorizados se unan a las reuniones:
    • identificadores de reunión únicos de once dígitos;
    • contraseñas complejas;
    • salas de espera con la capacidad de admitir automáticamente a los participantes de su nombre de dominio o de otro dominio seleccionado;
    • función Bloquear reunión, que puede impedir que cualquier persona se una a la reunión;
    • posibilidad de eliminar participantes;
    • perfiles de autenticación que permiten entradas únicamente de usuarios registrados, o que restringen a dominios de correo electrónico específicos.
    • La herramienta Notificador de reuniones en riesgo puede escanear publicaciones en sitios públicos de redes sociales y otros recursos públicos en línea en busca de enlaces de Zoom Meetings.
  • Invitaciones selectivas a reuniones: el anfitrión puede invitar selectivamente a los participantes por correo electrónico, chat o SMS. Esto proporciona un mayor control sobre la distribución de la información de acceso a la reunión. El anfitrión también puede crear la reunión para permitir que solo se unan los miembros de un determinado dominio de correo electrónico.
  • Seguridad durante la reunión: durante la reunión, Zoom proporciona contenido multimedia en tiempo real y de forma segura a cada uno de los participantes dentro de una reunión de Zoom. Todo el contenido compartido con los participantes en una reunión es solo una representación de los datos originales. Este contenido se codifica y se optimiza para compartirlo mediante una implementación segura.
  • Controles de anfitrión: los controles del anfitrión de la reunión pueden habilitar/deshabilitar a los participantes para compartir contenido, chatear y cambiar de nombre.
  • Denunciar: la función de denunciar a un usuario permite que el anfitrión de la reunión señale un comportamiento problemático.
  • Controles de seguridad dentro del producto: controles de seguridad con un icono de seguridad exclusivo en la interfaz principal.
  • Seguridad del usuario basada en roles: el anfitrión de la reunión dispone de las siguientes capacidades de seguridad, que pueden configurarse antes de la reunión:
    • Inicio de sesión seguro mediante un nombre de usuario y una contraseña estándar, o inicio de sesión único SAML
    • Inicio de una reunión segura con una clave de acceso
    • Programación de una reunión segura con clave de acceso
  • Prevención de llamadas automáticas: los usuarios pueden evitar las llamadas automáticas con la limitación de volumen y reCAPTCHA (que requiere la intervención humana) habilitadas en todas las plataformas.

 

Opciones de tratamiento y almacenamiento de datos

Zoom entiende que es posible que nuestros clientes deseen contar con opciones acerca de los centros de datos que tratan y almacenan determinados datos.

Datos en tránsito y tratamiento: Zoom enruta los datos de los clientes en tránsito por su red global de centros de datos ubicados conjuntamente y centros de datos en nubes públicas (incluidos los centros de datos de Amazon Web Services [«AWS»]). Los servicios de Zoom están diseñados para funcionar de modo que la información que ingresa al ecosistema de Zoom sea enrutada por el centro de datos más cercano al usuario que envía o recibe los datos.

Los propietarios y los administradores de las cuentas de pago pueden, a nivel de cuenta, grupo o usuario, optar por aceptar o rechazar determinados centros de datos de Zoom que se utilizarán para procesar el vídeo, el audio y el contenido compartido en tiempo real de las reuniones y los seminarios web de los participantes durante la realización de reuniones y seminarios web. Los centros de datos del país que dan soporte a la región en la que se aprovisionó una cuenta se bloquearán como opción para el tratamiento. Las opciones de centro de datos de Zoom solo se aplican cuando una cuenta organiza una reunión o un seminario web. Cuando una cuenta que organice una reunión o un seminario web haya optado por no utilizar ningún centro de datos, todos los datos de vídeo, audio y contenido compartido de la reunión y el seminario web en tiempo real de los participantes serán tratados únicamente por un centro de datos de Zoom habilitado. No obstante, Zoom puede enrutar el tráfico entre centros de datos utilizando protocolos de enrutamiento de red estándar del sector mientras atraviesa las conexiones de red privadas de Zoom (es decir, enrutamiento de borde). Encontrará más información en este Artículo de ayuda.

Almacenamiento de datos: los clientes pueden elegir la ubicación de almacenamiento de datos para algunos de sus Contenidos del cliente. El Contenido del cliente es la información que proporciona un cliente a través del uso del servicio Zoom, incluidos todos los datos que un cliente decida grabar o compartir durante una reunión o un seminario web, como por ejemplo grabaciones en la nube, transcripciones de reuniones, transcripciones de chat (en la reunión y persistentes) y archivos que se intercambien durante una reunión o en el canal de chat persistente.

El Contenido del cliente se almacena en EE. UU. de forma predeterminada. Los clientes con cuentas de pago pueden elegir la ubicación de almacenamiento de algunos de sus Contenidos de cliente para su cuenta. Solo los titulares de cuentas, los administradores de cuentas o aquellos que tengan el privilegio de perfil de cuenta de cliente podrán cambiar esta configuración. Encontrará más información en este Artículo de ayuda. Tenga en cuenta que el Contenido del cliente, los Datos de la cuenta y los Datos de diagnóstico se siguen almacenando en EE. UU.

Protocolos estrictos para responder a las solicitudes de información por parte del gobierno

Zoom se compromete a proteger la privacidad de nuestros clientes y usuarios y solo facilita datos de los usuarios a los gobiernos en respuesta a solicitudes válidas y lícitas, de acuerdo con nuestra Guía sobre solicitudes de los gobiernos y las políticas legales pertinentes.

En todas las áreas geográficas:

  • Las solicitudes de los gobiernos se deben emitir de conformidad con leyes y los reglamentos aplicables y a través de canales oficiales, incluso mediante el requerimiento de un documento oficial firmado o de una solicitud por correo electrónico enviada desde la dirección de correo electrónico oficial de una entidad gubernamental.
  • Cada solicitud debe ser explícita, no excesivamente amplia, y debe tener un fundamento jurídico válido. Rechazaremos o impugnaremos las solicitudes que no cumplan estos requisitos.
  • Aplicaremos un escrutinio adicional a determinadas solicitudes de información de los usuarios por parte de los gobiernos, conforme a nuestros principios e interés en favorecer una colaboración exitosa en todo el mundo.

Si una solicitud es demasiado imprecisa, Zoom impugnará la validez de la solicitud para minimizar el espectro de información presentada.

Zoom suele notificar a los usuarios las solicitudes de información por parte de los gobiernos, lo que incluye una copia de la solicitud recibida, a menos que se nos prohíba legalmente notificar al usuario. Las solicitudes de excepciones a la notificación al usuario deben incluir una descripción de las circunstancias apremiantes o del posible resultado adverso de la notificación.

 

Mayor transparencia

  • Informes de transparencia: en diciembre de 2020, Zoom publicó su primer informe sobre la cantidad de solicitudes recibidas de autoridades estadounidenses e internacionales (Informe de transparencia de solicitudes de los gobiernos). Nuestro objetivo es que cada informe de transparencia mejore el anterior. Nuestro informe de transparencia más reciente está disponible aquí. Los Informes de transparencia adicionales estarán disponibles en el Zoom Trust Center.
  • Notificaciones dentro del producto: Zoom se actualiza continuamente para integrar en la experiencia de Zoom las notificaciones de privacidad específicas de las funciones, con el objetivo de ayudar a los usuarios a entender, en contexto, quiénes pueden ver y compartir el contenido y la información que comparten en Zoom. Por ejemplo, si un usuario quiere saber quién puede ver los mensajes que envía en la función de chat de Zoom, puede ir a «¿Quién puede ver sus mensajes?» para ver quién puede acceder a los mensajes que envía a todos, así como a los mensajes privados que envía.

 

Zoom diseña sus servicios según los requisitos del RGPD

Zoom se compromete a hacer todo lo posible para crear características del producto que se ajusten a los requisitos del RGPD y favorezcan la protección de los datos personales tratados a través de nuestros servicios. Para obtener más información acerca de nuestras prácticas en materia de datos, consulte nuestra Declaración de privacidad. O bien, puede enviar un correo electrónico a privacy@zoom.us si tiene alguna pregunta específica sobre el RGPD.