Para obtener más información sobre los últimos acontecimientos con el Escudo de Privacidad UE-EE. UU., haga clic aquí.
Descripción general
Zendesk prioriza la confianza del cliente. Sabemos que la seguridad y la integridad de los datos de los clientes son importantes para los valores y las operaciones de nuestros clientes. Por eso apostamos por la privacidad y la seguridad.
Zendesk ofrece soporte a miles de clientes en más de 160 países y territorios. Nuestros clientes nos confían grandes cantidades de información sensible, que proviene de una amplia gama de sectores, incluidos el sanitario, los servicios financieros, el gubernamental y la tecnología.
Zendesk ayuda a los clientes a mantener el control de su privacidad y seguridad de los datos de infinidad de formas:
-
Seguridad de los datos: Ofrecemos a nuestros clientes el cumplimiento de altos estándares de seguridad, como el cifrado de datos en movimiento a través de redes públicas, estándares de auditoría (SOC 2, ISO 27001, ISO 27018), mitigaciones de denegación de servicio distribuida (“DDoS”), y un equipo de soporte que está disponible las 24 horas del día, los 7 días de la semana.
-
Divulgación de los datos del servicio de atención al cliente: Zendesk solo divulga datos de servicio a terceros cuando la divulgación es necesaria para facilitar los servicios o conforme sea necesario para responder a solicitudes legítimas procedentes de autoridades públicas.
-
Confianza: Zendesk ha desarrollado protecciones de seguridad y procesos de control para ayudar a nuestros clientes a garantizar un entorno seguro para su información. Expertos independientes han confirmado el cumplimiento de Zendesk de los altos estándares del sector.
-
Localización de alojamiento de datos: Los clientes que adquieren el Servicio asociado con despliegue de localización de centro de datos (“Complemento de localización de centro de datos”) tienen la capacidad de seleccionar la región (de las opciones regionales de Zendesk disponibles) donde se encuentra el centro de datos que aloja sus Datos de servicio.
-
Gestión de acceso: Zendesk ofrece una serie avanzada de funciones de acceso y cifrado para ayudar a los clientes a proteger de forma efectiva su información. No accedemos ni usamos contenido de clientes para ningún fin que no sea la prestación, el mantenimiento y la mejora de los servicios Zendesk y, en general, conforme lo exija la ley.
¿Qué son los datos de servicio?
Los datos de servicio consisten en cualquier información, incluidos datos personales, que se almacene o se transmita a través de los servicios de Zendesk por parte de nuestros clientes y sus usuarios finales, u otros terceros en nombre los anteriores.
¿Quién posee y controla los satos de servicio?
Desde el punto de vista de la privacidad, el cliente es el responsable del tratamiento de los datos de servicio y Zendesk es el encargado del tratamiento. Esto significa que durante todo el tiempo que un cliente se suscribe a los servicios con Zendesk, el cliente conserva la propiedad y el control de los datos de Servicio en su cuenta.
¿Quiénes son los subencargados del tratamiento de Zendesk?
Zendesk puede usar subencargados, como filiales de Zendesk, así como empresas terceras, para suministrar, proteger o mejorar los Servicios, y dichos subencargados quizá tengan acceso a los datos de servicio. Zendesk mantiene una lista actualizada de los nombres y ubicaciones de todos los subencargados del tratamiento, disponible en nuestra Política de subencargados. La lista incluye la posibilidad de que nuestros clientes se inscriban para recibir notificaciones de cualquier cambio. Zendesk será responsable de los actos y omisiones de los subencargados en la misma medida que Zendesk sería responsable si Zendesk estuviera realizando los servicios de cada subencargado directamente.
¿Cómo utiliza Zendesk los datos de servicio?
Utilizamos datos de servicio para operar y mejorar nuestros servicios, ayudar a los clientes a acceder y usar los servicios, responder a las consultas de clientes y enviar comunicaciones relacionadas con los servicios.
¿Qué pasos toma Zendesk para proteger los datos de servicio?
Zendesk prioriza la seguridad de los datos y combina aspectos de la seguridad a nivel de empresa con exhaustivas auditorías de nuestras aplicaciones, sistemas y redes para asegurarse de que siempre se protegen los datos de clientes y empresas.
Por ejemplo, los servidores Zendesk se alojan en instalaciones conformes con Tier IV o III+, SSAE-16, PCI DSS o ISO 27001. Además, contratamos a expertos en seguridad de terceros para realizar pruebas de penetración detalladas de forma periódica, y nuestro equipo de soporte está disponible las 24 horas del día, los 7 días de la semana para responder a alertas y eventos de seguridad.
¿Cómo notifica Zendesk a los clientes de un incidente de seguridad?
Para obtener más información sobre la gestión de incidentes de seguridad y los procedimientos para servicios empresariales, visite Cómo protegemos sus datos de servicio (Servicios empresariales). Para obtener más información sobre la gestión de incidentes de seguridad y los procedimientos para servicios de innovación, visite Cómo protegemos sus datos de servicio (Servicios de innovación).
¿Dónde se almacenarán los datos de servicio?
Zendesk utiliza centros de datos en tres regiones principales: Estados Unidos, Asia Pacífico y la Unión Europea. Los datos de servicio pueden almacenarse en cualquier región. Los clientes pueden seleccionar la región en la que se encuentran los centros de datos que alojan determinados datos de servicio mediante la compra del complemento de localización del centro de datos. Consulte la Política regional de alojamiento de datos para obtener más información.
¿Qué sucede con los datos de servicio tras la rescisión o vencimiento del acuerdo de un cliente con Zendesk?
Zendesk mantiene una Política de supresión de datos disponible públicamente que describe los procesos de supresión de Zendesk tras la rescisión o el vencimiento del acuerdo de un cliente con Zendesk.
¿Cómo responde Zendesk a las solicitudes de información?
Zendesk reconoce que los problemas de privacidad y seguridad de los datos son las principales prioridades para los clientes.
-
Zendesk no divulga datos de servicio, excepto cuando sea necesario para prestar sus servicios a sus clientes y cumplir con las leyes correspondientes, conforme se detalla en nuestra Política de privacidad.
-
Zendesk ha logrado un número de certificaciones y acreditaciones de reconocimiento internacional que demuestran su cumplimiento de marcos de garantía externos, como se describe en nuestro sitio de seguridad.
-
Cuando tenemos que actuar públicamente para proteger a los clientes, lo hacemos. Zendesk ha expresado su apoyo a la Ley de la Libertad de los EE. UU. que pretende reformar el programa de vigilancia en virtud del artículo 702 de la Ley de vigilancia de servicios de inteligencia extranjeros [Foreign Intelligence Surveillance Act] (“FISA”).
¿Cómo responde Zendesk a las solicitudes legales de datos de servicio?
En ciertas situaciones, quizás tengamos la obligación de divulgar datos personales en respuesta a peticiones legales por parte de autoridades públicas, como para cumplir requisitos de las fuerzas del orden o por motivos de seguridad nacional. Podemos divulgar datos personales para responder a citaciones judiciales, órdenes judiciales o procesos legales, o para instituir o ejercer nuestros derechos jurídicos o defendernos contra reclamaciones legales. También podemos compartir dicha información con los organismos policiales o las autoridades públicas pertinentes si estimamos que es necesario para investigar, prevenir o adoptar actuaciones con respecto a actividades ilegales, sospechas de fraude, situaciones que impliquen posibles amenazas a la seguridad física de una persona, violaciones de nuestro Acuerdo marco de suscripción o en general conforme a lo exigido por la legislación.
RGPD
Desde nuestro inicio, el enfoque de Zendesk se ha asentado en un sólido compromiso con la privacidad, seguridad, cumplimiento y transparencia. Este enfoque incluye respaldar el cumplimiento de nuestros clientes con los requisitos de protección de datos de la UE, incluidos los establecidos en el Reglamento General de Protección de Datos (“RGPD”), que sustituyó a la Directiva de Protección de Datos de la UE (también conocida como “Directiva 95/46/CE”) y entró en vigor el 25 de mayo de 2018.
Si una empresa recoge, transmite, aloja o analiza datos personales de ciudadanos de la UE, el RGPD exige a la empresa que use encargados del tratamiento externos que garanticen su capacidad para implementar los requisitos técnicos y organizativos del RGPD. Para ganarnos una mayor confianza de nuestros clientes, nuestro ATD ha sido actualizado para ofrecer a nuestros clientes compromisos contractuales relativos a nuestro cumplimiento de la legislación correspondiente de la UE en materia de protección de datos y para implementar disposiciones contractuales adicionales que exija el RGPD. Nuestros compromisos contractuales garantizan que los clientes pueden:
-
Responder a las solicitudes de los interesados para exportar, corregir, modificar o eliminar datos personales.
-
Conocer e informar de las violaciones de la seguridad de los datos personales a las autoridades de control y a los interesados pertinentes de acuerdo con los plazos del RGPD.
-
Demostrar su cumplimiento con el RGPD en lo que respecta a los servicios de Zendesk.
¿Qué es el RGPD?
El Reglamento General de Protección de Datos (“RGPD”) es el reglamento de privacidad europeo que sustituye a la Directiva de Protección de Datos de la UE (“Directiva 95/46/CE”). El RGPD aborda el tratamiento de datos personales y la libre circulación de dichos datos. Su objetivo es reforzar la seguridad y la protección de los datos personales en la UE y armonizar la ley de protección de datos de la UE. En términos generales, establece una serie de principios y requisitos de protección de datos que deben cumplirse cuando se traten datos personales.
El RGPD también estableció el Comité Europeo de Protección de Datos (“CEPD”), que garantiza que la ley de protección de datos se aplique de forma coherente en toda la UE y trabaja para garantizar una cooperación eficaz entre las autoridades de protección de datos.
¿Cómo se aplica el RGPD a los clientes?
Los clientes de Zendesk que recopilan y almacenan datos personales se consideran responsables del tratamiento de datos en virtud del RGPD. Los responsables del tratamiento de datos son los principales responsables de garantizar que su tratamiento de datos personales cumpla con la legislación de protección de datos pertinente de la UE, incluido el RGPD, y determinar de forma exclusiva qué datos personales se envían a Zendesk y que Zendesk los trate de acuerdo con los Servicios.
¿Qué implicaciones tiene el RGPD para las organizaciones que tratan datos personales de ciudadanos de la UE?
Uno de los aspectos clave del RGPD es que crea coherencia en todos los estados miembros de la UE sobre cómo se pueden tratar, usar e intercambiar datos personales de forma segura. Las organizaciones deben demostrar la seguridad de los datos que están procesando y su cumplimiento con el RGPD de forma continua, implementando y revisando periódicamente medidas técnicas y organizativas sólidas, así como políticas de cumplimiento.
En su calidad de encargado del tratamiento de datos, ¿cómo gestiona Zendesk las solicitudes realizadas por los usuarios finales?
Si Zendesk recibe una solicitud como interesado del Usuario Final de un cliente (es decir, un usuario de los Servicios a quien un cliente ha proporcionado nuestros Servicios), Zendesk es el encargado del tratamiento, y Zendesk, en la medida en que la legislación aplicable no prohíba a Zendesk hacerlo, informará rápidamente al Usuario Final para que se ponga en contacto con nuestro cliente (es decir, el responsable del tratamento) directamente sobre cualquier solicitud relacionada con sus Datos Personales, como el acceso o la eliminación. Zendesk no responderá a la solicitud de un interesado sin el consentimiento previo del cliente.
¿Cuáles son algunas sugerencias para los clientes de Zendesk con respecto al RGPD?
Zendesk anima a los clientes a revisar continuamente sus procesos y políticas de privacidad y seguridad de datos para garantizar el cumplimiento del RGPD. Los responsables del tratamiento asumen la principal responsabilidad por garantizar que su tratamiento de datos personales es conforme a la legislación pertinente de la UE en materia de protección de datos. A continuación, se presentan algunos puntos clave a tener en cuenta para el cumplimiento del RGPD:
-
Aplicación geográfica: El RGPD puede aplicarse a organizaciones establecidas en la UE, así como a ciertas organizaciones establecidas fuera de la UE, pero que tratan los datos personales de los ciudadanos de la UE, dependiendo de sus actividades.
-
Derechos de los usuarios finales: Las organizaciones deben ser conscientes de los usuarios finales cuyos datos personales pueden ser objeto de tratamiento. El RGPD establece derechos mejorados para los usuarios finales, y las organizaciones deben ser capaces de acomodar esos derechos.
-
Notificaciones de violación de la seguridad de los datos: Las organizaciones que son responsables del tratamiento de datos personales deben contar con procesos claros para cumplir con el requisito del RGPD de informar de las violaciones de la seguridad de los datos de acuerdo con los plazos establecidos en dicho Reglamento. Zendesk notificará a los clientes afectados sin demora indebida si tenemos conocimiento de una violación de la seguridad de nuestros servicios.
-
Nombramiento del Delegado de protección de datos (“DPO”): Es posible que los clientes tengan que designar DPO para gestionar problemas relacionados con el tratamiento de datos personales.
-
Acuerdo de tratamiento de datos (“ATD”): Cuando los datos personales se transfieren fuera del EEE, un cliente puede necesitar ATD en vigor con sus subencargados para garantizar un nivel adecuado de protección de los datos transferidos.
-
Evaluación de Impacto relativa a la Protección de Datos (“EIPD”): Las EIPD suelen describir los procesos de datos y las medidas de protección de una organización, especialmente aquellas que pueden ser arriesgadas. Para las actividades de tratamiento de datos, los clientes deben llevar a cabo y presentar ante las autoridades una EIPD.
¿Qué servicios y características de Zendesk pueden respaldar el cumplimiento del RGPD por parte de los clientes?
Los clientes pueden utilizar las certificaciones ISO de terceros de Zendesk y los informes de auditoría SOC 2 para ayudar a llevar a cabo sus evaluaciones de riesgos y determinar si existen medidas técnicas y organizativas adecuadas. Para mayor información, puede consultar también el sitio web de seguridad de Zendesk.
A continuación se muestran ejemplos de características específicas de productos Zendesk que los clientes pueden utilizar para ayudar con el programa de cumplimiento del RGPD. A través de nuestro servicio asociado con despliegue de seguridad avanzada, los clientes pueden optar por obtener funciones mejoradas, incluida la recuperación de desastres mejorada y el cifrado, así como la capacidad de configurar para la Ley de Portabilidad y Responsabilidad de Seguros de Salud de EE. UU. (United States Health Insurance Portability and Accountability Act, HIPAA).
Las funciones disponibles actualmente para productos específicos de Zendesk se pueden encontrar en las preguntas/respuestas a continuación.
Estándares de auditoría:
-
Certificación ISO 27001:2013
-
Certificado ISO 27018:2014
Escaneado:
-
Recompensa por errores
-
Escaneado dinámico de aplicaciones en directo
-
Escaneo estático de repositorios de código
Cifrado:
-
Cifrado de datos en movimiento a través de redes públicas
-
Cifrado de determinados datos en reposo con AES256
¿Ofrece Zendesk actualmente alguna función/característica específica del producto en sus productos para ayudarnos con nuestro programa de cumplimiento del RGPD?
Sí, puede encontrar información más detallada sobre cómo utilizar los productos de Zendesk para cumplir con el RGPD a través de nuestro Centro de ayuda aquí.
¿Qué son las “Cláusulas tipo”?
La Comisión Europea ha aprobado un conjunto de disposiciones estándar denominadas Cláusulas contractuales tipo (“Cláusulas tipo”) que proporcionan a un responsable del tratamiento de datos un mecanismo de cumplimiento para transferir datos personales a un encargado del tratamiento de datos fuera del Espacio Económico Europeo (“EEE”). Las Cláusulas tipo se adjuntan al ATD de Zendesk para ayudar a proporcionar una protección adecuada para la transferencia de datos fuera del EEE o Suiza.
¿Replica Zendesk los datos de servicio que almacena?
Zendesk replica periódicamente los datos a efectos de archivo, copia de seguridad y registros de auditoría. Usamos Amazon Web Services (AWS) para almacenar parte de la información que se copia por seguridad, como información de bases de datos y archivos adjuntos. Puede consultar nuestra Política regional de alojamiento de datos para mayor detalle.
¿Los datos de servicio alojados en la región de la UE alguna vez salen de esa región?
Los clientes de Zendesk que adquieren el complemento de ubicación del centro de datos tienen la capacidad de seleccionar la región (de las opciones regionales de Zendesk disponibles) donde se encuentra el centro de datos que aloja sus datos de servicio. Puede consultar nuestra Política regional de alojamiento de datos para mayor detalle. De lo contrario, Zendesk puede utilizar cualquiera de los centros de datos globales que utiliza para alojar los datos de servicio.
¿Qué medidas ha adoptado Zendesk para prepararse para el Brexit (la salida del Reino Unido de la Unión Europea)?
Independientemente del resultado de las negociaciones del Brexit en curso, Zendesk sigue comprometida con el éxito de nuestros clientes y empleados en el Reino Unido y el resto de Europa. Estamos siguiendo de cerca las negociaciones entre el gobierno del Reino Unido y la Unión Europea en relación con los detalles de su futura relación. A medida que los detalles sean claros, adoptaremos las medidas adecuadas para garantizar que nuestros clientes puedan seguir utilizando nuestros servicios de conformidad con las leyes de la UE y del Reino Unido, y para Zendesk en general, el negocio continuará como de costumbre y seguirá centrado en el éxito de nuestros clientes.
Acuerdo de tratamiento o procesamiento de datos
Zendesk ofrece a los clientes activos de sus servicios pagados y de prueba la posibilidad de celebrar un Acuerdo de Tratamiento de Datos (“ATD”) para reflejar el acuerdo de las partes con respecto al tratamiento de datos personales. Si desea acceder al ATD de Zendesk para su revisión o firma, haga clic aquí. Los clientes que firmaron versiones anteriores de nuestro ATD pueden firmar nuestro ATD actual en cualquier momento.
¿Qué es un Acuerdo de Tratamiento de Datos (ATD)?
Zendesk ofrece a los clientes un sólido Acuerdo de Tratamiento de Datos que rige la relación entre el cliente (actuando como controlador de datos) y Zendesk (actuando como procesador de datos). El ATD facilita el cumplimiento de las obligaciones de los clientes de Zendesk en virtud de la ley de protección de datos de la UE y contiene sólidos compromisos de privacidad, y se ha actualizado para confirmar nuestro cumplimiento con el RGPD. El ATD también contiene marcos de transferencia de datos para garantizar que nuestros clientes puedan transferir legalmente datos personales a Zendesk fuera de la Unión Europea basándose en uno de tres mecanismos: nuestras Normas corporativas vinculantes, nuestra certificación del Escudo de privacidad o las Cláusulas contractuales tipo.
¿El ATD tiene en cuenta el RGPD?
Sí, el ATD de Zendesk incluye disposiciones para ayudar a los clientes con su cumplimiento del RGPD.
¿Qué sucede si un cliente no firma el ATD?
Zendesk recomienda que consulte con su asesor jurídico para evaluar el posible impacto que su decisión de no firmar el ATD puede tener en su situación particular.
¿Puede un cliente utilizar su propio ATD?
No. el ATD de Zendesk es específica de los Servicios de Zendesk, las prácticas de privacidad y las declaraciones realizadas a los reguladores.
¿Qué sucede si tengo más preguntas sobre el ATD?
Si tiene más preguntas, póngase en contacto con su ejecutivo de cuentas de Zendesk o, si lo prefiere, abra un caso con el servicio de atención al cliente de Zendesk.
¿Tiene en cuenta el ATD la Ley de Privacidad del Consumidor de California (CCPA)?
No directamente, en su lugar Zendesk ofrece un anexo independiente a su acuerdo marco de suscripción para respaldar los esfuerzos de cumplimiento por parte de las “Empresas” con la CCPA, tal y como se define en la CCPA. Para obtener más información, consulte la sección CCPA de esta página web.
CCPA
La Ley de privacidad del consumidor de California(California Consumer Privacy Act, “CCPA”), Código Civil de California artículos 1798.100 y ss., (CCPA) es una ley estadounidense promulgada en el Estado de California con fecha de entrada en vigor el 1 de enero de 2020. En general, aborda los derechos de privacidad que asisten a ciertos consumidores de California y exige a ciertas empresas que cumplan con diversos requisitos en materia de protección de datos.
¿El Acuerdo marco de suscripción de Zendesk aborda específicamente la CCPA?
Si desea consultar y/o formalizar la Adenda sobre la CCPA al Acuerdo marco de suscripción de Zendesk, puede hacer clic aquí.
Para obtener información sobre nuestras prácticas de privacidad y la funcionalidad que proporcionamos para apoyar el cumplimiento de nuestros clientes, visite nuestro sitio web de privacidad y protección de datos, la Política de supresión de datos y las Guías de Productos.
¿Qué es la CCPA?
La CCPA concede a los consumidores de California nuevos derechos con respecto a la recopilación de su información personal y exige a las empresas que cumplan con ciertas obligaciones relacionadas con dichos derechos, entre ellas:
- Obligación de las empresas de notificar al consumidor sus prácticas de recogida de datos, incluyendo las categorías de información personal que ha recogido, la fuente de la información, el uso que la empresa hace de la información y a quién ha revelado la información que ha recogido sobre el consumidor;
- El derecho del consumidor a recibir una copia, en un formato fácilmente utilizable, de la información personal específica recogida sobre él durante los doce (12) meses anteriores a su solicitud;
- El derecho del consumidor a que se elimine dicha información personal (con excepciones);
- El derecho del consumidor a conocer las prácticas de venta de datos de la empresa y a solicitar que su información personal no se venda a terceros;
- La prohibición de que las empresas sean discriminadas por ejercer un derecho del consumidor; y
- Obligación de las empresas de notificar al consumidor sus derechos.
¿Cómo se ha estado preparando Zendesk para la CCPA y cómo apoyan los productos de Zendesk el cumplimiento de la CCPA?
Zendesk ha estado siguiendo la CCPA y preparándose para su cumplimiento desde que la CCPA se aprobó por primera vez en 2018. Más recientemente, la Oficina del Fiscal General de California ha indicado que puede modificar aún más las regulaciones propuestas para la CCPA. A la luz de tales modificaciones potenciales, Zendesk está siguiendo activamente la ley y continuaremos manteniendo a nuestros clientes actualizados sobre las características y la funcionalidad que pueden utilizar para apoyar sus esfuerzos de cumplimiento. Los clientes también pueden ver nuestras Guías de Productos para obtener información más detallada sobre cómo utilizar los productos de Zendesk para cumplir con las leyes de privacidad de datos, así como nuestra Política de supresión de datos para obtener detalles sobre la eliminación de datos de servicio.
¿Cómo se aplica la CCPA a los clientes de Zendesk?
Los clientes de Zendesk que recogen y almacenan información personal en servicios Zendesk pueden ser considerados “Empresas” a tenor de la CCPA. Las Empresas asumen la principal responsabilidad por garantizar que su tratamiento de datos personales es conforme a la legislación pertinente en materia de protección de datos, incluida la CCPA. Zendesk actúa como “Proveedor de servicio”, del modo en que se define dicho término en la versión actual de la CCPA, con respecto al tratamiento de información personal a través de nuestros servicios. Así pues, Zendesk recopila, accede, conserva, usa, trata y transfiere la información personal de nuestros clientes y de los usuarios finales de nuestros clientes tratada a través de los Servicios únicamente con el fin de ejecutar nuestras obligaciones en virtud de nuestros contratos existentes con los clientes, y con ningún otro fin comercial al margen de la ejecución de dichas obligaciones y de la mejora de los Servicios que suministramos.
¿Vende Zendesk información personal?
No “vendemos” la información personal de nuestro cliente tal como se define actualmente en la CCPA, lo que significa que tampoco alquilamos, divulgamos, divulgamos, transferimos, ponemos a disposición ni comunicamos de otro modo esa información personal a un tercero para una contraprestación monetaria o de valor. Puede que compartamos información agregada y/o anonimizada con respecto al uso de los Servicios, la cual no se considera información personal al amparo de la CCPA, ayudándonos terceros a desarrollar y mejorar los Servicios y a ofrecer a nuestros clientes un contenido y ofertas de servicios más pertinentes, como se detalla en nuestros contratos de suscriptor.
¿Cómo pueden los clientes de Zendesk garantizar el cumplimiento de la CCPA?
Se aconseja a los clientes que consulten a su propio asesor legal para evaluar cómo se aplica la CCPA específicamente a ellos y determinar cómo lograr su propio cumplimiento de la CCPA.
LGPD
La Ley General de Protección de Datos brasileña o Lei Geral de Proteção de Dados Pessoais (“LGPD”) entró en vigor el 16 de agosto de 2020. Es la ley principal en Brasil que aborda la protección de datos personales.
¿El Acuerdo marco de suscripción de Zendesk aborda específicamente la LGPD?
Si desea consultar y/o formalizar la Adenda sobre la LGPD al Acuerdo de suscripción general de Zendesk, puede hacer clic aquí.
Además, el Contrato marco de suscripción de Zendesk (CMS), otra documentación de privacidad y producto, así como nuestras prácticas internas están diseñadas para un uso en todo el mundo y las actualizamos conforme a lo necesario para seguir prestando nuestros Servicios a los clientes en América Latina y en el Caribe de acuerdo con los requisitos legales. Le instamos a que dirija su atención a la sección titulada “Brasil” en las Condiciones específicas por región de Zendesk, que forman parte del CMS de Zendesk y pueden consultarse en: https://www.zendesk.com/company/agreements-and-terms/region-specific-terms/.
Para obtener información sobre nuestras prácticas de privacidad y la funcionalidad que proporcionamos para apoyar el cumplimiento de nuestros clientes, visite nuestro sitio web de privacidad y protección de datos, la Política de supresión de datos y las Guías de Productos.
¿Qué es la LGPD?
La LGPD es la ley principal de Brasil que aborda la protección de los datos personales, con el objetivo de proteger "los derechos fundamentales de libertad y privacidad y el desarrollo libre de la personalidad de la persona física". Como tal, los responsables y encargados del tratamiento (según se definen en la LGPD) deben cumplir ciertos principios al tratar datos personales, incluidos, entre otros, el propósito, la necesidad, la transparencia y la seguridad.
¿Cómo se ha preparado Zendesk para la LGPD y cómo apoyan los servicios de Zendesk el cumplimiento de la LGPD?
Zendesk ha estado siguiendo la LGPD y preparándose para su cumplimiento desde que la LGPD se aprobó por primera vez en 2018. Además, la Autoridad Nacional para la Protección de Datos (ANPD) puede emitir directrices adicionales para la LGPD. A la luz de esta orientación, Zendesk seguirá haciendo un seguimiento activo de la ley y continuaremos manteniendo al corriente a nuestros clientes sobre características y funcionalidades que pueden usar para facilitar sus esfuerzos de cumplimiento. Los clientes también pueden ver nuestras Guías de Productos para obtener información más detallada sobre cómo utilizar los servicios de Zendesk para cumplir con las leyes de privacidad de datos, así como nuestra Política de supresión de datos para obtener detalles sobre la eliminación de datos de servicio.
¿Cómo se aplica la LGPD a los clientes de Zendesk?
Los clientes de Zendesk que recogen y almacenan datos personales en servicios Zendesk pueden ser considerados “responsables del tratamiento” a tenor de la LGPD. Los responsables del tratamiento asumen la principal responsabilidad por garantizar que su tratamiento de datos personales es conforme a la legislación pertinente en materia de protección de datos, incluida la LGPD. Zendesk actúa como “encargado del tratamiento”, del modo en que se define dicho término en la versión actual de la LGPD, con respecto al tratamiento de datos personales a través de nuestros servicios. Por lo tanto, Zendesk trata los datos personales de nuestros clientes y de los usuarios finales de nuestros clientes siguiendo las instrucciones de nuestros clientes.
¿Cómo pueden los clientes de Zendesk garantizar el cumplimiento de la LGPD?
Se aconseja a los clientes que consulten a su propio asesor legal para evaluar cómo se aplica la LGPD específicamente a ellos y determinar cómo lograr su propio cumplimiento de la LGPD.
Preparación de los productos de protección de datos y privacidad de Zendesk
Haga clic en los productos de Zendesk a continuación para ver las características y funcionalidades disponibles en cada uno de los productos de Zendesk que pueden respaldar el cumplimiento de las obligaciones de privacidad y protección de datos.
Los marcos de privacidad de diferentes regiones pueden diferir en la terminología que utilizan para describir las funciones y obligaciones de las partes respectivas. Por coherencia, Zendesk utiliza los siguientes términos en estas guías para aplicarlos globalmente. Para evitar dudas, estas definiciones no sustituyen a ninguna definición de los acuerdos que los clientes o personas puedan tener con Zendesk.
- El responsable del tratamiento de los datos es la parte que determina los fines y medios del tratamiento de los datos personales.
- El encargado del tratamiento de datos es la parte que trata los datos personales en nombre del responsable del tratamiento de datos.
- El interesado es la persona física identificada o identificable cuyos datos personales están en cuestión; y
- Los datos personales son cualquier información relacionada con el interesado.
Para obtener más información sobre cómo los productos de Zendesk se alinean con los derechos de privacidad globales, haga clic en los iconos siguientes
Haga clic en los productos de Zendesk a continuación para ver las características y funcionalidades disponibles en cada uno de los productos de Zendesk que pueden cumplir con el RGPD. Si es cliente de Zendesk Suite, los productos a los que se hace referencia en la tabla siguiente corresponden a la siguiente funcionalidad que puede estar disponible en su Plan de servicio (según se define en los términos específicos del servicio que se encuentran aquí: https://support.zendesk.com/hc/en-us/articles/360047508453-Supplemental-terms-Zendesk-s-service-specific-terms).
Producto | Funcionalidad de Zendesk Suite |
---|---|
Soporte | Funcionalidad del sistema de tickets |
Guía | Funcionalidad del Centro de ayuda |
Chat | Funcionalidad del Chat en directo |
Talk | Funcionalidad de voz |
Explore | Funcionalidad de análisis |
Normas corporativas vinculantes (Binding Corporate Rules, BCR)
¿Qué son las normas corporativas vinculantes?
Las Normas corporativas vinculantes (Binding Corporate Rules, “BCR”) son políticas de protección de datos a nivel de empresa aprobadas por las autoridades de protección de datos europeas para facilitar las transferencias intragrupo de datos personales desde el Espacio Económico Europe (“EEE”) hasta países ajenos al mismo. Las BCR se basan en estrictos principios de privacidad establecidos por las autoridades de protección de datos de la UE y requieren una consulta intensiva con dichas autoridades. Los clientes pueden consultar las entidades que cuentan con aprobación en la Lista de aprobación de Normas corporativas vinculantes aquí.
¿Cuenta Zendesk con BCR aprobadas?
Sí, Zendesk ha completado el proceso de aprobación de la UE con el Comisionado de Protección de Datos irlandés ("DPC") (revisado por la Oficina del Comisionado de Información del Reino Unido y la Autoridad de Protección de Datos holandesa) para sus Normas Corporativas Vinculantes ("BCR") globales como procesador y controlador de datos. Esta importante aprobación reglamentaria validó la implementación de Zendesk de los niveles más altos posibles para proteger los datos personales globalmente, cubriendo tanto los datos personales de sus clientes como de sus empleados.
Zendesk es una de las pocas empresas de software en el mundo en haber recibido la aprobación para sus BCR; y la segunda empresa en la historia en recibir aprobación de la DPC irlandesa.
Para acceder a las BCR de Zendesk, siga los enlaces pertinentes a continuación:
– Normas corporativas vinculantes del encargado del tratamiento de Zendesk (que se aplican cuando Zendesk procesa datos personales en nombre de sus clientes); y
– Reglas corporativas vinculantes globales para el responsable del tratamiento de Zendesk (que se aplican cuando Zendesk trata datos personales para los que es responsable del tratamiento de datos).
¿Actualiza Zendesk sus BCR?
Zendesk ha actualizado sus Normas corporativas vinculantes para alinearlas con el RGPD y mejorar aún más las sólidas protecciones de privacidad que ofrecemos a nuestros clientes. Zendesk notificó estas actualizaciones a la autoridad irlandesa de protección de datos como parte de nuestra actualización anual.
Escudo de privacidad
¿Qué es el Escudo de privacidad?
El Departamento de Comercio de EE. UU., junto con la Comisión Europea y el Gobierno suizo, crearon los Marcos de Escudo de Privacidad UE-EE .UU. y Suiza-EE. UU. (“Escudo de privacidad”) para ofrecer a las empresas un mecanismo mediante el cual transferir datos personales de la Unión Europea a los Estados Unidos con un nivel adecuado de protección a efectos de la legislación europea de protección de datos.
¿Cuenta Zendesk con la certificación del Escudo de privacidad?
Zendesk cuenta con el certificado de cumplimiento del Marco del Escudo de privacidad UE-EE. UU. y Suiza-EE. UU. del Departamento de Comercio de EE. UU. y ha sido añadida a la lista del Departamento de Comercio de participantes autocertificados del Escudo de privacidad. Nuestras certificaciones confirman que cumplimos con los principios del Escudo de privacidad para la transferencia de datos personales europeos y suizos a los Estados Unidos.
¿Cómo afecta la invalidación del Escudo de privacidad a las transferencias de datos de servicio de Zendesk desde el EEE a EE. UU.?
El 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea (“TJUE”) emitió un fallo en el que invalidaba el programa de Escudo de privacidad UE-EE. UU.. Los clientes de Zendesk pueden seguir utilizando los servicios de Zendesk y transfiriendo datos de conformidad con la legislación europea, como el RGPD, ya que tenemos en vigor tanto Normas corporativas vinculantes como Cláusulas tipo (incorporadas en nuestro Acuerdo de Tratamiento de Datos).
Entendemos que quizá tenga preguntas en torno a la invalidación del Escudo de privacidad y la posición de Zendesk en relación con el mismo, así que hemos publicado este artículo de blog para orientarle en sus consultas.
Si desea acceder al ATD de Zendesk para su revisión o firma, puede acceder a ella en su Consola de administración de clientes o hacer clic aquí.
Informe de transparencia de Zendesk
Actualizado a fecha de: 9 de febrero de 2022.
SOBRE NUESTRO INFORME DE TRANSPARENCIA
Zendesk, al igual que muchas empresas de tecnología, recibe ocasionalmente solicitudes de las fuerzas de seguridad de Estados Unidos y de otros países, en las que se pide información sobre los clientes. Dichas solicitudes pueden adoptar la forma de una citación, orden judicial, orden de registro o carta de proceso de seguridad nacional. Zendesk debe cumplir con las solicitudes válidas de información personal por parte del gobierno.
Al mismo tiempo, Zendesk se preocupa profundamente por mantener la confianza de nuestros clientes. Una forma de hacerlo es informar a los clientes de Zendesk y al público sobre las solicitudes gubernamentales a las que responde. Para ello, hemos preparado este informe de transparencia.
Este informe de transparencia proporciona información relativa a las solicitudes de información de clientes por parte de las fuerzas de seguridad que hemos recibido durante el segundo semestre de 2021 (desde el 1 de julio de 2021 hasta el 31 de diciembre de 2021). Aproximadamente cada seis meses, Zendesk ofrecerá informes actualizados correspondientes al periodo de los seis meses anteriores.
Para obtener más información sobre el enfoque de Zendesk para responder a las solicitudes de información de las fuerzas del orden y otras agencias gubernamentales, consulte nuestra Política de solicitud de datos del gobierno aquí.
INFORME
Solicitudes de las fuerzas del orden público y entidades gubernamentales de los Estados Unidos
Tipo de solicitud | Número de solicitudes | Datos de contenido divulgados | Datos no contenidos divulgados |
---|---|---|---|
Citación judicial | 4 | 0 | 0 |
Orden judicial | 0 | N/D | N/D |
Orden de registro | 0 | N/D | N/D |
Solicitudes de emergencia | 1 | 0 | 0 |
Proceso de seguridad nacional
De acuerdo con la ley de los Estados Unidos, 50 U.S.C. art. 1874, Zendesk tiene prohibido proporcionar ciertos detalles sobre las solicitudes emitidas en virtud de la FISA o del 18 U.S.C. art. 2709 (cartas de seguridad nacional o NSL). Zendesk solo puede informar del número total de procesos que recibe en bandas especificadas legalmente, sujeto a una demora de seis meses. La siguiente tabla proporciona información sobre el proceso de seguridad nacional recibido por Zendesk en bandas según lo permitido por la ley sujeta a una demora de seis meses en la notificación.
Periodo de notificación | Proceso de seguridad nacional | Número de cuentas de clientes afectadas |
---|---|---|
2021 – Primera mitad | 0 | 0 |
Solicitudes procedentes de fuera de los EE. UU. Fuerzas de seguridad y entidades gubernamentales
Aunque Zendesk está situada en Estados Unidos, mantenemos una presencia de empresa en varios países. Cuando recibimos solicitudes de gobiernos ajenos al de EE. UU., trabajamos con abogados estadounidenses y de otros países para determinar la validez de la solicitud y nuestra capacidad de responder con arreglo a las leyes correspondientes, tanto de EE. UU. como otras.
Tipo de solicitud | Número de solicitudes | Número de revelaciones de datos |
---|---|---|
Solicitudes informales | 1 | 0 |
Solicitudes gubernamentales no estadounidenses de conformidad con un MLAT | 0 | N/D |
Definiciones
- Datos de contenido: Incluyen el contenido de comunicaciones de usuarios finales con una cuenta, como los contenidos de tickets de Soporte de Zendesk y Zendesk Chat. Los datos de contenido suelen considerarse datos de servicio conforme se definen en el Acuerdo de suscripción general a Zendesk.
- Datos distintos a los de contenido: Todos los datos que no sean datos de contenido. Pueden incluir Información de cuenta conforme se define en la Política de privacidad de Zendesk (como el nombre y la información de contacto del titular de la cuenta, información de facturación de la cuenta, duración del servicio, tipos de servicios utilizados e información de inicio de sesión en la cuenta). Este tipo de información también se denomina “Información básica del suscriptor” y debe producirse en respuesta a una citación gubernamental válida. Además, en respuesta a una orden judicial, Zendesk también puede tener que producir metadatos no contenidos relacionados con las comunicaciones de los Usuarios finales con una Cuenta.
- Citación judicial: Una demanda legal obligatoria para la presentación de documentos.
- Orden judicial: Una orden emitida por un juez tras conclusión que revele motivos razonables para estimar que la información deseada es relevante y sustancial para una investigación penal en curso.
- Orden de registro: Una orden emitida por un tribunal a petición formal de las fuerzas de seguridad y tras una conclusión de causa probable. Es necesaria una orden de registro para obtener datos de contenido.
- MLAT: Tratado de asistencia legal mutua (Mutual Legal Assistance Treaty, MLAT): Zendesk requiere que las entidades gubernamentales no estadounidenses utilicen el proceso legal internacional apropiado para obtener los datos procesados por Zendesk en nombre de un cliente.
- Cartas de seguridad nacional: Una carta de seguridad nacional emitida con arreglo al título 18 del Código de EE. UU. (United States Code, U.S.C.), en su apartado 2709.
- Órdenes FISA: Una orden o solicitud emitida al amparo de la Ley de vigilancia de servicios de inteligencia extranjeros [Foreign Intelligence Surveillance Act] (50 U.S.C. art. 1801, y ss.) respecto a información de usuario emitida en EE. UU.
HISTORIAL DE VERSIONES
Recursos adicionales
Informes/certificados de Zendesk:
-
Informe SOC 2 Tipo II
-
Informa SOC 3
-
Certificado ISO 27001:2013
-
Certificado ISO 27018:2014
Recursos de Zendesk:
Recursos de terceros:
-
Sitio web del Escudo de Privacidad del Departamento de Comercio estadounidense: https://www.privacyshield.gov/welcome.
-
Directiva 95/46/CE: http://eur-lex.europa.eu/legal-content/ES/TXT/?uri=LEGISSUM:l14012.
-
Reglamento General de Protección de Datos (RGPD): http://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A32016R0679.
-
Asociación Internacional de Profesionales de la Privacidad: https://iapp.org.
-
United Kingdom Information Commissioner’s Office’s “Preparing for the GDPR”: https://ico.org.uk/media/1624219/preparing-for-the-gdpr-12-steps.pdf.
Última actualización el 1 de junio de 2021.