Invalidación del Escudo de Privacidad y prácticas de Zendesk

Por Rachel Tobin, AGC EMEA (asesora de Privacidad Global)

Publicado el 17 de Julio de 2020
Última actualización el 29 de Octubre de 2020

El 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea (“TJUE”) dictó sentencia en el caso C-311/18, también conocido como Schrems II. La sentencia del TJUE ha confirmado la validez de las Cláusulas Contractuales Estándar de Controlador a Procesador de la Comisión Europea ("CEC") e invalida el marco del Escudo de Privacidad UE-EE. UU. como mecanismo para transferir datos personales de la UE a los EE. UU.La sentencia requiere que las organizaciones involucradas en las transferencias de datos personales a un tercer país lleven a cabo una evaluación antes de realizar una transferencia bajo las CEC para asegurarse de que los interesados ​​reciban un nivel de protección “equivalente en lo esencial” al garantizado dentro de la Unión Europea (UE) por el RGPD.Si este nivel de protección no se puede lograr confiando únicamente en las SCC, entonces la organización exportadora debe implementar "medidas complementarias" para proteger los datos personales exportados a un estándar "equivalente en lo esencial".

1. ¿Cómo afecta la sentencia la utilización de los servicios por parte del cliente de Zendesk?

Zendesk ofrece opciones a nuestros clientes, en lo que respecta a la privacidad. Zendesk ha obtenido la autorización reguladora de sus reglas corporativas vinculantes (o BCR, por sus siglas en inglés) de controlador y procesador para los datos de sus clientes, que ofrecen a nuestros clientes un mecanismo sólido para transferir datos personales desde la UE a miembros de la familia de empresas Zendesk cuando utilizan nuestros servicios. Encontrará más información en nuestro comunicado de prensa disponible aquí y nuestro sitio web de privacidad y protección de datos aquí. El Acuerdo de Procesamiento de Datos de Zendesk (DPA) incluye tanto las SCC como las BCR de Zendesk.
Considerando la sentencia del TJUE y la orientación emergente y anticipada del Comité Europeo de Protección de Datos y la Comisión Europea, hemos revisado nuestros acuerdos de transferencia de datos con nuestros subprocesadores y confirmamos que existen mecanismos de transferencia válidos.Encontrará una lista actualizada de nuestros subprocesadores disponible aquí.

Si actualmente tiene un DPA con Zendesk, puede continuar utilizando el servicio de Zendesk de conformidad con la legislación europea. La resolución del tribunal sobre Schrems II no cambia su capacidad para transferir datos entre la UE y los Estados Unidos en el marco del servicio. Tenga en cuenta también que ni la sentencia del TJUE ni el RGPD le requieren que aloje datos personales en la UE.

Si es un cliente actual y necesita un DPA, puede acceder al formulario cuando sea necesario en la consola de administración de su cliente o hacer clic aquí para ser dirigido a nuestro DPA.

2. Acceso del Gobierno a datos personales de las cuentas de los clientes

En su sentencia, el TJUE ha determinado que las organizaciones basadas en las SCC y BCR deben garantizar que los interesados ​​cuyos datos personales se transfieran a un tercer país, de conformidad con las cláusulas contractuales estándar, deben recibir un nivel de protección equivalente en lo esencial al garantizado por el RGPD en la UE. El tribunal especificó que las organizaciones deben evaluar si pueden o no transferir datos personales sobre la base de los SCC y BCR, teniendo en cuenta las circunstancias de las transferencias y cualquier medida complementaria que una organización pueda implementar.

Zendesk tiene una política y procesos internos bien definidos para las solicitudes de información gubernamentales sobre nuestros clientes, que se alinean con las Reglas 12A y 12B de nuestra Política BCR de ProcesadorZendesk notificará al cliente afectado acerca de la solicitud, a menos que lo prohíba la ley o si existe una indicación clara y obvia de conducta ilegal o riesgo de dañosAdemás, confirmamos que no hemos incorporado puertas traseras u otros métodos en nuestros servicios para permitir que las autoridades gubernamentales eludan nuestras medidas de seguridad y tengan acceso a los datos personales en las cuentas de los clientes.

3. Medidas complementarias - Encriptación de los datos del cliente

Zendesk aplica prácticas sólidas en seguridad de datos para proteger los datos de sus clientes, como se detalla en nuestro sitio web de Seguridad Zendesk, incluida la encriptación:

  • (i) Encriptación en tránsito. Los datos de servicio, que pueden incluir datos personales, se encriptan en tránsito a través de redes públicas cuando se comunican con las interfaces de usuario (UI) y la interfaz de programación de aplicaciones (API) de Zendesk a través del HTTPS/TLS estándar de la industria (TLS 1.2 o superior). Las excepciones a la encriptación en tránsito (como cuando se utiliza un servicio de terceros que no admite el encriptado) se detallan en nuestro sitio web de Seguridad aquí;
  • (ii) Encriptación en reposo. Los datos de servicio, que pueden incluir datos personales, se encriptan en reposo mediante el subprocesador de Zendesk y el proveedor de servicios administrados/alojamiento, Amazon Web Services Inc., a través de AES-256.
  • (iii) Zendesk también permite certificados generados por el cliente para datos en tránsito mediante el uso de la función de asignación de servidor en su cuenta; encontrará más información disponible aquí.

Desde nuestros inicios, el enfoque de Zendesk se ha basado en un fuerte compromiso con la privacidad, la seguridad, el cumplimiento y la transparencia. La privacidad es un viaje continuo y en Zendesk seguimos comprometidos con la protección y seguridad de los datos de nuestros clientes. Si tiene alguna otra pregunta, contacte con su administrador de cuentas.