Datos de servicio es toda información, incluidos los datos personales, que se almacena o se transmite a través de los servicios de Zendesk, por o en nombre de nuestros clientes y sus usuarios finales.

Desde una perspectiva de privacidad, el cliente es el controlador de los datos de servicio, y Zendesk es un procesador. Esto significa que durante todo el tiempo que un cliente se suscribe a los servicios con Zendesk, el cliente conserva la propiedad y el control de los datos de servicio en su cuenta.

Zendesk may use sub-processors, including affiliates of Zendesk as well as third party companies, to provide, secure or improve the Services, and such sub-processors may have access to Service Data. Zendesk maintains an up-to-date list of the names and locations of all sub-processors is available at our Sub-Processor Policy. The list includes the ability for our customers to sign up for notifications of changes. Zendesk shall be responsible for the acts and omissions of sub-processors to the same extent that Zendesk would be responsible if Zendesk was performing the services of each sub-processor directly.

We use Service Data to operate and improve our services, help customers access and use the services, respond to customer inquiries, and send communications related to the services.

Zendesk prioriza la seguridad de los datos y combina características de seguridad de clase empresarial con auditorías integrales de nuestras aplicaciones, sistemas y redes para garantizar que los datos de clientes y negocios siempre estén protegidos.

Por ejemplo, los servidores de Zendesk están alojados en instalaciones acordes con Nivel IV o III+, SSAE-16, PCI DSS o ISO 27001. Además, contratamos expertos en seguridad de terceros para que realicen pruebas de penetración detalladas periódicamente, y nuestro equipo de soporte está disponible 24/7 para responder a alertas y eventos de seguridad.

For more information about security incident management and procedures for Enterprise Services, please visit How We Protect Your Service Data (Enterprise Services). For more information about security incident management and procedures for Innovation Services, please visit How We Protect Your Service Data (Innovation Services).

Zendesk tiene centros de datos en tres regiones principales: Estados Unidos, Asia-Pacífico y la Unión Europea. Los datos de servicio se pueden almacenar en cualquier región. Los clientes pueden seleccionar la región en la que se encuentran los centros de datos que albergan algunos de sus datos de servicio mediante la compra del Complemento de ubicación del centro de datos. Consulte la Política regional de alojamiento de datos para obtener información adicional.

Zendesk maintains a publicly available Data Deletion Policy that describes Zendesk’s data deletion processes upon termination or expiration of a Subscriber’s agreement with Zendesk.

Zendesk reconoce que los problemas de privacidad y seguridad de datos son las principales prioridades para los clientes.

• Zendesk no divulga los datos de servicio, excepto cuando es necesario para proporcionar sus servicios a sus clientes y cumplir con la ley, tal como se detalla en nuestra Política de privacidad que se encuentra aquí.

• Zendesk ha logrado una serie de certificaciones y acreditaciones reconocidas internacionalmente que demuestran el cumplimiento de los marcos de garantía de terceros, según lo descrito en nuestro sitio de Seguridad.

• Donde tenemos que actuar públicamente para proteger a los clientes, lo hacemos. Zendesk ha expresado su apoyo a la Ley de la Libertad de los EE. UU. que busca reformar el programa de vigilancia en la Sección 702 de la Ley de Vigilancia de la Inteligencia Extranjera ("FISA").

In certain situations, we may be required to disclose personal data in response to lawful requests by public authorities, including to meet national security or law enforcement requirements. We may disclose personal data to respond to subpoenas, court orders, or legal process, or to establish or exercise our legal rights or defend against legal claims. We may also share such information with relevant law enforcement agencies or public authorities if we believe the same to be necessary in order to investigate, prevent, or take action regarding illegal activities, suspected fraud, situations involving potential threats to the physical safety of any person, violations of our Master Subscription Agreement, or as otherwise required by law.

El Reglamento general de protección de datos («RGPD») es la nueva regulación europea de privacidad de datos que reemplaza a la Directiva de protección de datos de la UE («Directiva 95/46/CE»). El RGPD aborda el procesamiento de datos personales y la libre circulación de dichos datos. Tiene como objetivo reforzar la seguridad y la protección de los datos personales en la UE, y armonizar la legislación europea de protección de datos. En general, establece una serie de principios y requisitos de protección de datos que se deben respetar cuando se procesan datos personales.

El RGPD también estableció el Consejo Europeo de Protección de Datos («CEPD»), que garantiza que la ley de protección de datos se aplique de manera coherente en toda la UE y que trabaje para garantizar una cooperación efectiva entre las autoridades de protección de datos.

Zendesk customers that collect and store personal data are considered data controllers under the GDPR. Data controllers bear the primary responsibility for ensuring that their processing of personal data is compliant with relevant EU data protection law, including the GDPR and uniquely determine what personal data is submitted to, and processed by, Zendesk in accordance with the Services.

Uno de los aspectos clave del RGPD es que crea coherencia entre los estados miembros de la UE sobre cómo los datos personales se pueden procesar, usar e intercambiar de forma segura. Las organizaciones necesitan demostrar la seguridad de los datos que están procesando y el cumplimiento del RGPD de forma continua, al implementar y revisar regularmente las medidas técnicas y las organizativas sólidas, así como también las políticas de cumplimiento.

If Zendesk receives a data subject request from a Subscriber’s End-User (i.e., a user of the Services to whom a Subscriber has provided our Services), Zendesk is the Processor, and Zendesk will, to the extent that applicable legislation does not prohibit Zendesk from doing so, promptly inform the End-User to contact our Subscriber (i.e. the Controller) directly about any request relating to his/her Personal Data such as access or deletion. Zendesk will not further respond to a data subject request without Subscriber’s prior consent.

Zendesk encourages customers to continually review their privacy and data security processes and policies to ensure compliance with the GDPR. Data controllers bear the primary responsibility for ensuring that their processing of personal data is compliant with EU data protection law. Below are some key points to consider for GDPR compliance:

• Aplicación geográfica: El RGPD se puede aplicar a organizaciones establecidas en la UE, así como a ciertas organizaciones establecidas fuera de la UE, pero que procesan los datos personales de los ciudadanos de la UE, según sus actividades.

• Derechos de los usuarios finales: Las organizaciones deben conocer a los usuarios finales cuyos datos personales pueden estar procesando. El RGPD establece derechos mejorados para los usuarios finales, y las organizaciones deberían poder adaptarse a esos derechos.

• Notificaciones de filtración de datos: Las organizaciones que controlan los datos personales deben contar con procesos claros para cumplir con el requisito del RGPD de informar filtraciones de datos de acuerdo con los plazos establecidos en el RGPD. Zendesk notificará a los clientes afectados, sin demoras indebidas, si tenemos conocimiento de una filtración de datos de nuestros servicios.

• Nombramiento del Oficial de protección de datos ("DPO"): Es posible que los clientes necesiten designar un OPD para administrar problemas relacionados con el procesamiento de datos personales.

• Data Processing Agreement (“DPA”): Where personal data is transferred outside the EEA, a customer may need DPAs in place with its sub-processors to ensure an adequate level of protection for the transferred data.

• Evaluación de impacto de la protección de datos ("DPIA"): Las DPIA suelen describir los procesos de datos de las organizaciones y las medidas de protección, en particular aquellas que pueden ser riesgosas. Para las actividades de procesamiento de datos, los clientes deben realizar y presentar una DPIA ante las autoridades.

Los clientes pueden usar las certificaciones ISO de terceros y los informes de auditoría SOC 2 de Zendesk para ayudar a realizar sus evaluaciones de riesgos y determinar si se han implementado medidas técnicas y organizativas apropiadas. Para obtener información adicional, consulte el sitio web de seguridad de Zendesk.

A continuación se incluyen ejemplos de características específicas de productos de Zendesk que los clientes pueden utilizar para ayudar con el programa de cumplimiento del RGPD. A través de nuestro Servicio asociado utilizado de seguridad avanzada, los clientes pueden optar por obtener características mejoradas que incluyen recuperación de desastres y cifrado mejores, así como la capacidad de configurar la Ley de Transferibilidad y Responsabilidad del Seguro Sanitario ("HIPAA").

Las características actualmente disponibles para los productos específicos de Zendesk se pueden encontrar en las preguntas/respuestas a continuación.

Estándares de auditoría:

• Certificación ISO 27001:2013

• Certificación ISO 27018:2014

Escaneo:

• Recompensa de fallos

• Escaneo dinámico de aplicaciones en vivo

• Escaneo estático de repositorios de código

Cifrado:

• Cifrado de datos en movimiento en redes públicas

• Cifrado de ciertos datos en reposo con AES256

Yes, more detailed information on how to use Zendesk products to stay compliant with GDPR can be found via our Help Center here.

La Comisión Europea ha aprobado un conjunto de disposiciones estándar denominadas Cláusulas contractuales estándar ("Cláusulas modelo") que proporcionan a un controlador de datos un mecanismo de cumplimiento para transferir datos personales a un procesador de datos fuera del Espacio Económico Europeo ("EEE"). Las Cláusulas modelo se adjuntan al DPA de Zendesk para ayudar a proporcionar una protección adecuada para la transferencia de datos fuera del EEE o de Suiza.

Zendesk replica periódicamente los datos para fines de archivamiento, copia de seguridad y registros de auditoría. Utilizamos Amazon Web Services (AWS) para almacenar parte de la información que se respalda, como la información de la base de datos y los archivos adjuntos. Consulte nuestra Política regional de alojamiento de datos para obtener más detalles.

Los clientes de Zendesk que adquieren el Complemento de ubicación del centro de datos tienen la capacidad de seleccionar la región (de las opciones regionales disponibles de Zendesk) donde se encuentra el centro de datos que aloja los datos de servicio. Consulte nuestra Política regional de alojamiento de datos para obtener más detalles. De lo contrario, Zendesk puede utilizar cualquiera de los centros de datos globales que utiliza para alojar datos de servicio.

Irrespective of the outcome of the ongoing Brexit negotiations, Zendesk remains committed to the success of our Subscribers and employees in the UK and the rest of Europe. We are closely monitoring the negotiations between the UK government and the European Union regarding the details of their future relationship. As the details become clear, we will take appropriate measures to ensure that our Subscribers can continue to use our services in compliance with both EU and UK laws, and for Zendesk overall, business will continue as usual and will remain focused on our Subscribers’ success.

Zendesk offers customers a robust Data Processing Agreement governing the relationship between the customer (acting as a data controller) and Zendesk (acting as a data processor). The DPA facilitates Zendesk’s customers’ compliance with their obligations under EU data protection law and contains strong privacy commitments, and has been updated to confirm our compliance with the GDPR. The DPA also contains data transfer frameworks to ensure that our customers can lawfully transfer personal data to Zendesk outside of the European Union by relying on one of three mechanisms: our Binding Corporate Rules, our Privacy Shield certification, or Standard Contractual Clauses.

Yes, Zendesk’s DPA includes provisions to assist Subscribers with their GDPR compliance.

Zendesk recommends that you consult with your legal counsel to assess the potential impact that your decision not to sign the DPA may have on your particular situation.

No. The Zendesk DPA is specific to Zendesk’s Services, privacy practices and representations made to regulators.

If you have additional questions, please contact your Zendesk Account Executive or alternatively, open a case with the Zendesk customer advocacy team by contacting support@zendesk.com.

Not directly, instead Zendesk offers a separate addendum to its Master Subscription Agreement to support a “Businesses” compliance efforts with CCPA, as such term is defined in the CCPA. For more information, please review the CCPA section of this webpage.

If you would like to review and/or execute Zendesk’s CCPA Addendum to the Master Subscription Agreement, please click here.

For information on our privacy practices and the functionality we provide to support our Subscribers’ compliance, please visit our Privacy and Data Protection Website, Data Deletion Policy, and Product Guides.

The CCPA grants California consumers new rights with respect to the collection of their personal information and requires companies to comply with certain obligations related to those rights, including:

1. An obligation on businesses to notify a consumer of its data collection practices, including the categories of personal information it has collected, the source of the information, the business’s use of the information, and to whom the business disclosed the information it has collected about the consumer;
2. The consumer’s right to receive a copy, in a readily usable format, of the specific personal information collected about them during the twelve (12) months prior to their request;
3. The consumer’s right to have such personal information deleted (with exceptions);
4. The consumer’s right to know the business’ data sale practices and to request that their personal information not be sold to third parties;
5. A prohibition on businesses on discrimination for exercising a consumer right; and
6. An obligation on businesses to notify a consumer of their rights.

Zendesk has been following the CCPA and preparing for compliance since the CCPA was first passed in 2018. Most recently, the California Office of the Attorney General has indicated that it may further amend regulations proposed for the CCPA. In light of such potential amendments, Zendesk is actively tracking the law and we will continue to keep our customers updated on features and functionality they can use to support their compliance efforts. Customers can also view our Product Guides for more detailed information on how to use Zendesk’s products to comply with data privacy laws, as well as our Data Deletion Policy for details on Service Data deletion.

Zendesk customers that collect and store personal information in Zendesk Services may be considered “Businesses” under the CCPA. Businesses bear the primary responsibility for ensuring that their processing of personal data is compliant with relevant data protection law, including the CCPA. Zendesk acts as a “Service Provider,” as such term is defined in the current version of the CCPA, with respect to the processing of personal information through our Services. Therefore, Zendesk collects, accesses, maintains, uses, processes and transfers the personal information of our customers and our customer’s end-users processed through the Services solely for the purpose of performing our obligations under our existing contract(s) with our subscribers; and, for no commercial purpose other than the performance of such obligations and improvement of the Services we provide.

We do not “sell” our customer’s personal information as currently defined under the CCPA, meaning that we also do not rent, disclose, release, transfer, make available or otherwise communicate that personal information to a third party for monetary or other valuable consideration. We may share aggregated and/or anonymized information regarding use of the Service(s)—which is not considered personal information under the CCPA—with third parties to help us develop and improve the Services and provide our customers with more relevant content and service offerings as detailed in our customer agreements.

Subscribers are advised to consult their own legal counsel to evaluate how the CCPA specifically applies to them and determine how to achieve their own compliance with CCPA.

Las Normas Corporativas Vinculantes ("BCR") son políticas de protección de datos de la empresa, aprobadas por las autoridades europeas de protección de datos para facilitar las transferencias intragrupales de datos personales desde el Espacio Económico Europeo ("EEE") a países fuera del EEE. Las BCR se basan en estrictos principios de privacidad establecidos por las autoridades de protección de datos de la Unión Europea y requieren una consulta intensiva con esas autoridades. Los clientes pueden encontrar la lista completa de entidades aprobadas en la Lista aprobada de normas corporativas vinculantes, aquí.

Sí, Zendesk ha completado el proceso de aprobación de la UE con el Comisionado de Protección de Datos de Irlanda ("DPC") (revisado por la Oficina del Comisionado de Información del Reino Unido y la Autoridad de Protección de Datos de Holanda) para sus Normas Corporativas Vinculantes (BCR) como procesador de datos y controlador. Esta importante aprobación normativa valida la implementación de los estándares más altos posibles de Zendesk para la protección de datos personales a nivel mundial; esto cubre tanto los datos personales de sus clientes como los de sus empleados.

Zendesk es una de las pocas empresas de software en el mundo que ha recibido aprobación para sus BCR; y solo la segunda empresa en recibir la aprobación del DPC de Irlanda.

Para acceder a las NCV de Zendesk, siga los enlaces pertinentes a continuación:

– Normas Corporativas Vinculantes de Zendesk como procesador (que se aplican cuando Zendesk procesa datos personales en nombre de sus clientes); y

– Normas Corporativas Vinculantes internacionales de Zendesk como controlador (que se aplican cuando Zendesk procesa datos personales para los cuales es un controlador de datos).

Zendesk has updated its Binding Corporate Rules to align them with the GDPR and to further enhance the robust privacy protections offered by Zendesk to its Subscribers. Zendesk notified the Irish data protection authority of these updates as part of our annual update.

El Departamento de Comercio de los EE. UU., la Comisión Europea y el gobierno suizo crearon marcos de protección de privacidad entre la UE y los EE. UU., y entre Suiza y los EE. UU., para proporcionar a las empresas un mecanismo para transferir datos personales de la Unión Europea a los Estados Unidos de una manera que proporcione un nivel adecuado de protección acorde a la legislación europea de protección de datos.

Zendesk ha obtenido certificación por su cumplimiento con los marcos del Escudo de privacidad entre la UE y los EE. UU. y entre Suiza y los EE. UU. del Departamento de Comercio de los EE. UU., y se agregó a la lista de participantes autocertificados del Escudo de privacidad del Departamento de Comercio. Nuestras certificaciones confirman que cumplimos con los principios del Escudo de privacidad para la transferencia de los datos personales europeos y suizos a los Estados Unidos.

Esta es una gran noticia para nuestros clientes, ya que les proporciona un mecanismo de transferencia de datos aun mejor que los antiguos marcos de seguridad de los Estados Unidos y la UE, y los Estados Unidos y Suiza. Zendesk actuó rápidamente para adoptar los principios del Escudo de privacidad como parte de nuestro compromiso continuo con la privacidad y la protección de los datos de nuestros clientes.

• Informe SOC 2 tipo II

• Informe de SOC3

• ISO27001:2013 Certificación

• ISO27018:2014 Certificación

• Lista aprobada de Normas Corporativas Vinculantes

• Lista aprobada del Escudo de privacidad

• Sello de privacidad de TrustArc

• Cómo Zendesk protege los datos personales

• Zendesk Adheres To Highest Standards Of Data Protection With European BCR Approval

• Zendesk Privacy Policy

• Política de Eliminación de Datos de Zendesk

• Página de Seguridad de Zendesk

• Mejores Prácticas de Seguridad de Zendesk

• Informe de SOC2

• Informe de SOC3

• ISO27001:2013 Certificación

• ISO27018:2014 Certificación

• Master Subscription Agreement de Zendesk

• Sitio web del Escudo de privacidad del Departamento de Comercio de los EE. UU: https://www.privacyshield.gov/welcome.

• Directiva 95/46/EC: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=LEGISSUM:l14012.

• Reglamento general de protección de datos (RGPD): http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679.

• La Asociación Internacional de Profesionales de la Privacidad: https://iapp.org.

• "Preparación para el RGPD" de la Oficina del Comisionado de Información del Reino Unido: https://ico.org.uk/media/1624219/preparing-for-the-gdpr-12-steps.pdf.