Datos de servicio es toda información, incluidos los datos personales, que almacenan o transmiten los clientes o sus usuarios finales a través de los servicios de Zendesk, o que se almacena y transmite en su nombre.

Desde una perspectiva de privacidad, el cliente es el controlador de los datos de servicio, y Zendesk es un procesador. Esto significa que durante todo el tiempo que un cliente se suscribe a los servicios con Zendesk, el cliente conserva la propiedad y el control de los datos de servicio en su cuenta.

Zendesk puede utilizar subencargados, que pueden ser filiales o terceros, para proporcionar, proteger o mejorar los servicios, y dichos subencargados pueden tener acceso a los datos de servicio.Zendesk mantiene una lista actualizada de los nombres y ubicaciones de todos los subencargados, que se incluye en la Política de subencargados.La lista incluye la posibilidad de que los clientes se registren para recibir notificaciones de cualquier cambio.Zendesk será responsable de los actos y omisiones de los subencargados en la misma medida en que lo sería si realizara directamente los servicios de cada subencargado.

Utilizamos los datos de servicio para operar y mejorar nuestros servicios, ayudar a que los clientes accedan y usen los servicios, responder a las consultas de los clientes y enviar comunicaciones relacionadas con los servicios.

Zendesk prioriza la seguridad de los datos y combina características de seguridad de clase empresarial con auditorías integrales de nuestras aplicaciones, sistemas y redes para garantizar que los datos de clientes y negocios siempre estén protegidos.

Por ejemplo, los servidores de Zendesk están alojados en instalaciones acordes con Nivel IV o III+, SSAE-16, PCI DSS o ISO 27001. Además, contratamos expertos en seguridad de terceros para que realicen pruebas de penetración detalladas periódicamente, y nuestro equipo de soporte está disponible 24/7 para responder a alertas y eventos de seguridad.

Para obtener más información sobre la gestión de incidentes de seguridad y los procedimientos para los servicios empresariales, visite Cómo protegemos sus datos de servicio (servicios empresariales). Para obtener más información sobre la gestión de incidentes de seguridad y los procedimientos para los servicios empresariales, visite Cómo protegemos sus datos de servicio (servicios de innovación).

Zendesk utiliza centros de datos en tres regiones principales: Estados Unidos, Asia-Pacífico y la Unión Europea.Los datos de servicio se pueden almacenar en cualquier región.Los clientes pueden seleccionar la región en la que se encuentran los centros de datos que albergan algunos de sus datos de servicio mediante la compra del Complemento de ubicación del centro de datos.Consulte la Política regional de alojamiento de datos para obtener información adicional.

Zendesk pone a disposición del público una Política de eliminación de datos que describe los procesos de eliminación de datos al finalizar o caducar el acuerdo de un cliente.

Zendesk reconoce que los problemas de privacidad y seguridad de datos son las principales prioridades para los clientes.

• Zendesk no divulga los datos de servicio, excepto cuando es necesario para proporcionar sus servicios a sus clientes y cumplir con la ley, tal como se detalla en nuestra Política de privacidad que se encuentra aquí.

• Zendesk ha logrado una serie de certificaciones y acreditaciones reconocidas internacionalmente que demuestran el cumplimiento de los marcos de garantía de terceros, según lo descrito en nuestro sitio de Seguridad.

• Donde tenemos que actuar públicamente para proteger a los clientes, lo hacemos. Zendesk ha expresado su apoyo a la Ley de la Libertad de los EE. UU. que busca reformar el programa de vigilancia en la Sección 702 de la Ley de Vigilancia de la Inteligencia Extranjera (“FISA”).

En ciertas situaciones, podemos estar obligados a revelar datos personales en respuesta a solicitudes legales de las autoridades públicas, incluso para cumplir con los requisitos de seguridad nacional o de aplicación de la ley.Podemos revelar datos personales para responder a citaciones, órdenes judiciales o procesos legales, o bien, para establecer o ejercer nuestros derechos legales, o para defendernos contra demandas legales.También podemos compartir esta información con los organismos públicos encargados de velar por el cumplimiento de las leyes o con las autoridades públicas pertinentes si creemos que es necesario para investigar, prevenir o tomar medidas relacionadas con actividades ilegales, sospechas de fraude, situaciones que impliquen amenazas potenciales a la seguridad física de cualquier persona, infracciones de nuestro acuerdo de suscripción general, o en otros casos en los que la ley lo exija.

El Reglamento general de protección de datos («RGPD») es la nueva regulación europea de privacidad de datos que reemplaza a la Directiva de protección de datos de la UE («Directiva 95/46/CE»). El RGPD aborda el procesamiento de datos personales y la libre circulación de dichos datos. Tiene como objetivo reforzar la seguridad y la protección de los datos personales en la UE, y armonizar la legislación europea de protección de datos. En general, establece una serie de principios y requisitos de protección de datos que se deben respetar cuando se procesan datos personales.

El RGPD también estableció el Consejo Europeo de Protección de Datos («CEPD»), que garantiza que la ley de protección de datos se aplique de manera coherente en toda la UE y que trabaje para garantizar una cooperación efectiva entre las autoridades de protección de datos.

Los clientes de Zendesk que recopilan y almacenan datos personales se consideran controladores de datos bajo el RGPD.Los responsables de datos son los principales encargados de garantizar que el tratamiento de datos personales cumpla con la legislación de protección de datos pertinente de la UE, incluido el RGPD, y determinan de manera única qué datos personales se envían a Zendesk para su tratamiento de acuerdo con los servicios.

Uno de los aspectos clave del RGPD es que crea coherencia entre los estados miembros de la UE sobre cómo los datos personales se pueden procesar, usar e intercambiar de forma segura. Las organizaciones necesitan demostrar la seguridad de los datos que están procesando y el cumplimiento del RGPD de forma continua, al implementar y revisar regularmente las medidas técnicas y las organizativas sólidas, así como también las políticas de cumplimiento.

Si Zendesk recibe una solicitud de titular de la información de un usuario final del cliente (es decir, un usuario de los servicios a quien un cliente ha proporcionado nuestros Servicios), Zendesk será el encargado y, en la medida en que la legislación aplicable no le prohíba hacerlo, Zendesk informará inmediatamente al usuario final para que se ponga en contacto directamente con el cliente (es decir, el controlador) acerca de cualquier solicitud relacionada con sus datos personales, tales como el acceso o la eliminación.Zendesk no hará nada más con respecto a una solicitud del titular de la información sin el consentimiento previo del cliente.

Zendesk recomienda a los clientes a que revisen sus procesos y políticas de privacidad y de seguridad de datos constantemente para garantizar el cumplimiento con el RGPD.Los controladores de datos son los principales responsables de garantizar que el procesamiento de datos personales cumpla con la legislación de protección de datos de la UE.A continuación se detallan algunos puntos clave a considerar para el cumplimiento del RGPD:

• Aplicación geográfica: El RGPD se puede aplicar a organizaciones establecidas en la UE, así como a ciertas organizaciones establecidas fuera de la UE, pero que procesan los datos personales de los ciudadanos de la UE, según sus actividades.

• Derechos de los usuarios finales: Las organizaciones deben conocer a los usuarios finales cuyos datos personales pueden estar procesando. El RGPD establece derechos mejorados para los usuarios finales, y las organizaciones deberían poder adaptarse a esos derechos.

• Notificaciones de filtración de datos: Las organizaciones que controlan los datos personales deben contar con procesos claros para cumplir con el requisito del RGPD de informar filtraciones de datos de acuerdo con los plazos establecidos en el RGPD. Zendesk notificará a los clientes afectados, sin demoras indebidas, si tenemos conocimiento de una filtración de datos de nuestros servicios.

• Nombramiento del Oficial de protección de datos (“DPO”): Es posible que los clientes necesiten designar un OPD para administrar problemas relacionados con el procesamiento de datos personales.

• Acuerdo de tratamiento de datos (“DPA”, por sus siglas in inglés): Cuando los datos personales se transfieren fuera del EEE, el cliente puede necesitar un DPA con sus subencargados a fin de garantizar un nivel adecuado de protección de los datos transferidos.

• Evaluaciones de impacto de la protección de datos (“DPIA”): Las DPIA normalmente describen los procesos de datos y las medidas de protección de una organización, especialmente los que pueden ser riesgosos.Para las actividades de procesamiento de datos, los clientes deben realizar y presentar una DPIA ante las autoridades.

Los clientes pueden usar las certificaciones ISO de terceros y los informes de auditoría SOC 2 de Zendesk para ayudar a realizar sus evaluaciones de riesgos y determinar si se han implementado medidas técnicas y organizativas apropiadas. Para obtener información adicional, consulte el sitio web de seguridad de Zendesk.

A continuación se incluyen ejemplos de características específicas de productos de Zendesk que los clientes pueden utilizar para ayudar con el programa de cumplimiento del RGPD. A través de nuestro Servicio asociado utilizado de seguridad avanzada, los clientes pueden optar por obtener características mejoradas que incluyen recuperación de desastres y cifrado mejores, así como la capacidad de configurar la Ley de Transferibilidad y Responsabilidad del Seguro Sanitario (“HIPAA”).

Las características actualmente disponibles para los productos específicos de Zendesk se pueden encontrar en las preguntas/respuestas a continuación.

Estándares de auditoría:

• Certificación ISO 27001:2013

• Certificación ISO 27018:2014

Escaneo:

• Recompensa de fallos

• Escaneo dinámico de aplicaciones en vivo

• Escaneo estático de repositorios de código

Cifrado:

• Cifrado de datos en movimiento en redes públicas

• Cifrado de ciertos datos en reposo con AES256

Sí, puede encontrar información más detallada sobre cómo usar los productos de Zendesk para cumplir con el RGPD a través de nuestro centro de asistencia aquí.

La Comisión Europea ha aprobado un conjunto de disposiciones estándar denominadas cláusulas contractuales estándar (“Cláusulas modelo”) que proporcionan al responsable de datos un mecanismo de cumplimiento para transferir datos personales a un encargado de datos fuera del Espacio Económico Europeo (“EEE”).Las Cláusulas modelo se adjuntan al DPA de Zendesk para ayudar a proporcionar una protección adecuada para la transferencia de datos fuera del EEE o de Suiza.

Zendesk replica periódicamente los datos para fines de archivamiento, copia de seguridad y registros de auditoría. Utilizamos Amazon Web Services (AWS) para almacenar parte de la información que se respalda, como la información de la base de datos y los archivos adjuntos. Consulte nuestra Política regional de alojamiento de datos para obtener más detalles.

Los clientes de Zendesk que adquieren el Complemento de ubicación del centro de datos tienen la capacidad de seleccionar la región (de las opciones regionales disponibles de Zendesk) donde se encuentra el centro de datos que aloja los datos de servicio. Consulte nuestra Política regional de alojamiento de datos para obtener más detalles. De lo contrario, Zendesk puede utilizar cualquiera de los centros de datos globales que utiliza para alojar datos de servicio.

Independientemente del resultado de las negociaciones en curso sobre el Brexit, Zendesk sigue comprometida con el éxito de nuestros clientes y empleados en el Reino Unido y en el resto de Europa.Estamos siguiendo de cerca las negociaciones entre el gobierno del Reino Unido y la Unión Europea con respecto a los detalles de su futura relación.A medida que se aclaren estos detalles, tomaremos las medidas adecuadas para garantizar que nuestros clientes puedan seguir utilizando nuestros servicios de conformidad con las leyes de la UE y del Reino Unido, y Zendesk en general seguirá operando, como de costumbre, con el enfoque habitual en el éxito de nuestros clientes.

Zendesk ofrece a los clientes un acuerdo de tratamiento de datos sólido que rige la relación entre el cliente (que actúa como un responsable de datos) y Zendesk (que actúa como un encargado de datos).El DPA facilita que los clientes de Zendesk cumplan con sus obligaciones según la ley de protección de datos de la UE, contiene compromisos firmes de privacidad, y se ha actualizado para confirmar el cumplimiento con el RGPD.El DPA también contiene marcos de transferencia de datos para garantizar que nuestros clientes puedan transferir legalmente datos personales a Zendesk fuera de la Unión Europea al confiar en uno de estos tres mecanismos: nuestras normas corporativas vinculantes, nuestra certificación del escudo de privacidad o las cláusulas contractuales estándar.

Sí, el DPA de Zendesk incluye disposiciones para ayudar a los clientes a cumplir con el RGPD.

Zendesk recomienda que consulte con su asesor legal para evaluar el posible impacto que la decisión de no firmar el DPA puede tener en su situación particular.

No. El DPA de Zendesk es específico para los servicios de Zendesk, las prácticas de privacidad y las declaraciones hechas a los reguladores.

Si tienes más preguntas, ponte en contacto con el responsable de tu cuenta de Zendesk o abre un caso para el equipo de atención al cliente de Zendesk.

No directamente, pero Zendesk ofrece un anexo adicional a su acuerdo de suscripción general para ayudar con los esfuerzos de cumplimiento con el CCPA de las “Empresas”, tal como se define dicho término en el CCPA. Para obtener más información, revise el apartado CCPA de esta página web.

Si desea revisar o ejecutar el anexo al acuerdo de suscripción general del CCPA de Zendesk, haga clic aquí.

Para obtener información sobre nuestras prácticas de privacidad y las funciones que ofrecemos para ayudar a que los clientes cumplan con el CCPA, visite nuestro sitio web de privacidad y protección de datos, Política de eliminación de datosy Guías de productos.

El CCPA otorga a los consumidores de California nuevos derechos con respecto a la recopilación de su información personal y exige que las empresas cumplan con ciertas obligaciones relacionadas con esos derechos, entre otras:

1. La obligación de las empresas de notificar al consumidor acerca de sus prácticas de recopilación de datos, incluidas las categorías de información personal que ha recopilado, la fuente de la información, el uso de la información por parte de la empresa y a quién reveló la información que ha recopilado sobre el consumidor;
2. El derecho del consumidor a recibir una copia, en un formato fácilmente utilizable, de la información personal específica recopilada durante los doce (12) meses antes de su solicitud;
3. El derecho del consumidor a que se elimine dicha información personal (con excepciones);
4. El derecho del consumidor a conocer las prácticas de venta de datos de la empresa y a solicitar que su información personal no se venda a terceros;
5. La prohibición de discriminación a las empresas a la hora de ejercer un derecho del consumidor; y
6. La obligación de las empresas de notificar los derechos a los consumidores.

Zendesk ha estado siguiendo el CCPA y preparándose para su cumplimiento desde que se aprobó por primera vez en 2018. Más recientemente, la Oficina del Procurador General de California ha indicado que puede enmendar en mayor grado los reglamentos propuestos para el CCPA.A la luz de tales posibles enmiendas, Zendesk está siguiendo activamente la ley y continuaremos actualizando a nuestros clientes acerca de las características y funciones que pueden usar para ayudarles en sus esfuerzos de cumplimiento.Los clientes también pueden ver nuestras Guías de productos para obtener información más detallada sobre cómo usar los productos de Zendesk para cumplir con las leyes de privacidad de datos, así como nuestra Política de eliminación de datos para obtener información sobre la eliminación de datos de servicio.

Los clientes de Zendesk que recopilan y almacenan información personal en los servicios de Zendesk pueden considerarse “Empresas” en virtud del CCPA.Las empresas son las principales responsables de garantizar que el tratamiento de datos personales cumpla con la legislación de protección de datos pertinente, incluido el CCPA.Zendesk actúa como un “Proveedor de servicios”, tal como se define dicho término en la versión actual del CCPA, con respecto al tratamiento de información personal a través de nuestros servicios.Por lo tanto, Zendesk recopila, accede, mantiene, utiliza, procesa y transfiere la información personal de nuestros clientes y los usuarios finales de nuestros clientes tratados a través de los servicios con el único fin de cumplir nuestras obligaciones en virtud de nuestro(s) contrato(s) existente(s) con los clientes, y para ningún propósito comercial que no sea el cumplimiento de dichas obligaciones y la mejora de los servicios que brindamos.

No “vendemos” la información personal de nuestros clientes tal como se define actualmente en el CCPA, lo que significa que tampoco alquilamos, revelamos, divulgamos, transferimos, ponemos a disposición o comunicamos esa información personal a terceros por dinero u otra consideración de valor.Podemos compartir información agregada o anónima con terceros acerca del uso de los servicios (que no se considera información personal según el CCPA) para ayudarnos a desarrollar y mejorar los servicios y proporcionar a los clientes contenido más pertinente y ofertas de servicios como se detalla en nuestros acuerdos con los clientes.

Se aconseja a los suscriptores que consulten a su propio asesor legal para evaluar cómo el CCPA se aplica específicamente a ellos y determinar cómo lograr su propio cumplimiento con el CCPA.

Si desea revisar o ejecutar el anexo al acuerdo de suscripción general del LGPD de Zendesk, haga clic aquí.

Además, el Contrato marco de suscripción de Zendesk (CMS), otra documentación de privacidad y producto, así como nuestras prácticas internas están diseñadas para un uso en todo el mundo y las actualizamos conforme a lo necesario para seguir prestando nuestros Servicios a los clientes en América Latina y en el Caribe de acuerdo con los requisitos legales. Le instamos a que dirija su atención a la sección titulada “Brasil” en las Condiciones específicas por región de Zendesk, que forman parte del CMS de Zendesk y pueden consultarse en: https://www.zendesk.com/company/agreements-and-terms/region-specific-terms/.

Para obtener información sobre nuestras prácticas de privacidad y las funciones que ofrecemos para ayudar a que los clientes cumplan con el CCPA, visite nuestro sitio web de privacidad y protección de datos, Política de eliminación de datosy Guías de productos.

El LGPD es el reglamento principal de Brasil que aborda la protección de datos personales y busca proteger “los derechos fundamentales de libertad y privacidad y el desarrollo libre de la personalidad de la persona natural.” De tal forma, los controladores y los procesadores (según lo define el LGPD) deben cumplir ciertos principios al procesar datos personales, entre ellos, el propósito, la necesidad, la transparencia y la seguridad.

Zendesk ha estado siguiendo el LGPD y preparándose para su cumplimiento desde que se aprobó por primera vez en 2018.Además, la Autoridad Nacional para la Protección de Datos (ANPD) puede brindar orientación adicional para el LGPD.A la luz de tal orientación, Zendesk está siguiendo activamente la ley, y continuaremos actualizando a nuestros clientes acerca de las características y funciones que pueden usar para ayudarles en sus esfuerzos de cumplimiento.Los clientes también pueden ver nuestras Guías de productos para obtener información más detallada sobre cómo usar los servicios de Zendesk para cumplir con las leyes de privacidad de datos, así como nuestra Política de eliminación de datos para obtener información sobre la eliminación de datos de servicio.

Los clientes de Zendesk que recopilan y almacenan datos personales en los servicios de Zendesk pueden considerarse “controladores” en virtud del LGPD.Los controladores son los principales responsables de garantizar que el tratamiento de datos personales cumpla con la legislación de protección de datos pertinente, incluido el LGPD.Zendesk actúa como un “procesador”, tal como se define dicho término en la versión actual del LGPD, con respecto al tratamiento de datos personales a través de nuestros servicios.Por lo tanto, Zendesk procesa los datos personales de nuestros clientes y de los usuarios finales de nuestros clientes a pedido de los clientes.

Se aconseja a los clientes que consulten a su propio asesor legal para evaluar cómo el LGPD se aplica específicamente a ellos y determinar cómo lograr su propio cumplimiento con el LGPD.

Las Normas Corporativas Vinculantes (“BCR”) son políticas de protección de datos de la empresa, aprobadas por las autoridades europeas de protección de datos para facilitar las transferencias intragrupales de datos personales desde el Espacio Económico Europeo (“EEE”) a países fuera del EEE. Las BCR se basan en estrictos principios de privacidad establecidos por las autoridades de protección de datos de la Unión Europea y requieren una consulta intensiva con esas autoridades. Los clientes pueden encontrar la lista completa de entidades aprobadas en la Lista aprobada de normas corporativas vinculantes, aquí.

Sí, Zendesk ha completado el proceso de aprobación de la UE con el Comisionado de Protección de Datos de Irlanda (“DPC”, por sus siglas en inglés) (revisado por la Oficina del Comisionado de Información del Reino Unido y la Autoridad de Protección de Datos de Holanda) para sus Normas Corporativas Vinculantes (“BCR”, por sus siglas en inglés) como encargado y responsable de datos.Esta importante aprobación normativa valida la implementación de los estándares más altos posibles de Zendesk para la protección de datos personales a nivel mundial; esto cubre tanto los datos personales de sus clientes como los de sus empleados.

Zendesk es una de las pocas empresas de software en el mundo que ha recibido aprobación para sus BCR; y solo la segunda empresa en recibir la aprobación del DPC de Irlanda.

Para acceder a las NCV de Zendesk, siga los enlaces pertinentes a continuación:

– Normas Corporativas Vinculantes de Zendesk como procesador (que se aplican cuando Zendesk procesa datos personales en nombre de sus clientes); y

– Normas Corporativas Vinculantes internacionales de Zendesk como controlador (que se aplican cuando Zendesk procesa datos personales para los cuales es un controlador de datos).

Zendesk ha actualizado sus normas corporativas vinculantes para alinearlas con el RGPD y mejorar aún más las sólidas protecciones de privacidad que ofrecemos a los clientes.Zendesk ha notificado a la Autoridad de Protección de Datos de Irlanda estas actualizaciones como parte de nuestra actualización anual.

El Departamento de Comercio de los EE. UU., la Comisión Europea y el gobierno suizo crearon marcos de protección de privacidad entre la UE y los EE. UU. y entre Suiza y los EE. UU. (Escudo de Privacidad), con el fin de proporcionar a las empresas un mecanismo para transferir datos personales de la Unión Europea a los Estados Unidos de una manera que proporcione un nivel adecuado de protección acorde a la legislación europea de protección de datos.

Zendesk ha obtenido certificación por su cumplimiento con los marcos del Escudo de privacidad entre la UE y los EE. UU. y entre Suiza y los EE. UU. del Departamento de Comercio de los EE. UU., y se agregó a la lista de participantes autocertificados del Escudo de privacidad del Departamento de Comercio. Nuestras certificaciones confirman que cumplimos con los principios del Escudo de privacidad para la transferencia de los datos personales europeos y suizos a los Estados Unidos.

En julio, 16, 2020, el Tribunal de Justicia de la Unión Europea (TJUE) emitió un fallo que provocó la invalidación del programa del Escudo de Privacidad entre la Unión Europea y los Estados Unidos. Los clientes de Zendesk pueden seguir utilizando los servicios de Zendesk y transferir datos de conformidad con la legislación europea, como el RGPD, ya que tenemos las Normas Corporativas Vinculantes y las Cláusulas Modelo (incorporadas dentro de nuestro Acuerdo de Procesamiento de Datos) en vigor.

Entendemos que puede tener preguntas sobre la invalidación del Escudo de privacidad y la postura de Zendesk relacionada con este escudo, por lo que hemos publicado esta entrada en nuestro blog para ayudarlo con sus dudas.

Si desea acceder al DPA de Zendesk para revisarlo o firmarlo, puede hacerlo a través de su panel de administración del cliente o haciendo clic aquí.