Datos de servicio es toda información, incluidos los datos personales, que almacenan o transmiten los clientes o sus usuarios finales a través de los servicios de Zendesk, o que se almacena y transmite en su nombre.

Desde una perspectiva de privacidad, el cliente es el controlador de los datos de servicio, y Zendesk es un procesador. Esto significa que durante todo el tiempo que un cliente se suscribe a los servicios con Zendesk, el cliente conserva la propiedad y el control de los datos de servicio en su cuenta.

Zendesk puede utilizar subencargados, que pueden ser filiales o terceros, para proporcionar, proteger o mejorar los servicios, y dichos subencargados pueden tener acceso a los datos de servicio.Zendesk mantiene una lista actualizada de los nombres y ubicaciones de todos los subencargados, que se incluye en la Política de subencargados.La lista incluye la posibilidad de que los clientes se registren para recibir notificaciones de cualquier cambio.Zendesk será responsable de los actos y omisiones de los subencargados en la misma medida en que lo sería si realizara directamente los servicios de cada subencargado.

Utilizamos los datos de servicio para operar y mejorar nuestros servicios, ayudar a que los clientes accedan y usen los servicios, responder a las consultas de los clientes y enviar comunicaciones relacionadas con los servicios.

Zendesk prioriza la seguridad de los datos y combina características de seguridad de clase empresarial con auditorías integrales de nuestras aplicaciones, sistemas y redes para garantizar que los datos de clientes y negocios siempre estén protegidos.

Por ejemplo, los servidores de Zendesk están alojados en instalaciones acordes con Nivel IV o III+, SSAE-16, PCI DSS o ISO 27001. Además, contratamos expertos en seguridad de terceros para que realicen pruebas de penetración detalladas periódicamente, y nuestro equipo de soporte está disponible 24/7 para responder a alertas y eventos de seguridad.

Para obtener más información sobre la gestión de incidentes de seguridad y los procedimientos para los servicios empresariales, visite Cómo protegemos sus datos de servicio (servicios empresariales). Para obtener más información sobre la gestión de incidentes de seguridad y los procedimientos para los servicios empresariales, visite Cómo protegemos sus datos de servicio (servicios de innovación).

Zendesk utiliza centros de datos en tres regiones principales: Estados Unidos, Asia-Pacífico y la Unión Europea.Los datos de servicio se pueden almacenar en cualquier región.Los clientes pueden seleccionar la región en la que se encuentran los centros de datos que albergan algunos de sus datos de servicio mediante la compra del Complemento de ubicación del centro de datos.Consulte la Política regional de alojamiento de datos para obtener información adicional.

Zendesk maintains a publicly available Data Deletion Policy that describes Zendesk’s data deletion processes upon termination or expiration of a customer’s agreement with Zendesk.

Zendesk reconoce que los problemas de privacidad y seguridad de datos son las principales prioridades para los clientes.

• Zendesk no divulga los datos de servicio, excepto cuando es necesario para proporcionar sus servicios a sus clientes y cumplir con la ley, tal como se detalla en nuestra Política de privacidad que se encuentra aquí.

• Zendesk ha logrado una serie de certificaciones y acreditaciones reconocidas internacionalmente que demuestran el cumplimiento de los marcos de garantía de terceros, según lo descrito en nuestro sitio de Seguridad.

• Donde tenemos que actuar públicamente para proteger a los clientes, lo hacemos. Zendesk ha expresado su apoyo a la Ley de la Libertad de los EE. UU. que busca reformar el programa de vigilancia en la Sección 702 de la Ley de Vigilancia de la Inteligencia Extranjera ("FISA").

En ciertas situaciones, podemos estar obligados a revelar datos personales en respuesta a solicitudes legales de las autoridades públicas, incluso para cumplir con los requisitos de seguridad nacional o de aplicación de la ley.Podemos revelar datos personales para responder a citaciones, órdenes judiciales o procesos legales, o bien, para establecer o ejercer nuestros derechos legales, o para defendernos contra demandas legales.También podemos compartir esta información con los organismos públicos encargados de velar por el cumplimiento de las leyes o con las autoridades públicas pertinentes si creemos que es necesario para investigar, prevenir o tomar medidas relacionadas con actividades ilegales, sospechas de fraude, situaciones que impliquen amenazas potenciales a la seguridad física de cualquier persona, infracciones de nuestro acuerdo de suscripción general, o en otros casos en los que la ley lo exija.

El Reglamento general de protección de datos («RGPD») es la nueva regulación europea de privacidad de datos que reemplaza a la Directiva de protección de datos de la UE («Directiva 95/46/CE»). El RGPD aborda el procesamiento de datos personales y la libre circulación de dichos datos. Tiene como objetivo reforzar la seguridad y la protección de los datos personales en la UE, y armonizar la legislación europea de protección de datos. En general, establece una serie de principios y requisitos de protección de datos que se deben respetar cuando se procesan datos personales.

El RGPD también estableció el Consejo Europeo de Protección de Datos («CEPD»), que garantiza que la ley de protección de datos se aplique de manera coherente en toda la UE y que trabaje para garantizar una cooperación efectiva entre las autoridades de protección de datos.

Los clientes de Zendesk que recopilan y almacenan datos personales se consideran controladores de datos bajo el RGPD.Los responsables de datos son los principales encargados de garantizar que el tratamiento de datos personales cumpla con la legislación de protección de datos pertinente de la UE, incluido el RGPD, y determinan de manera única qué datos personales se envían a Zendesk para su tratamiento de acuerdo con los servicios.

Uno de los aspectos clave del RGPD es que crea coherencia entre los estados miembros de la UE sobre cómo los datos personales se pueden procesar, usar e intercambiar de forma segura. Las organizaciones necesitan demostrar la seguridad de los datos que están procesando y el cumplimiento del RGPD de forma continua, al implementar y revisar regularmente las medidas técnicas y las organizativas sólidas, así como también las políticas de cumplimiento.

If Zendesk receives a data subject request from a customer’s End-User (i.e., a user of the Services to whom a customer has provided our Services), Zendesk is the Processor, and Zendesk will, to the extent that applicable legislation does not prohibit Zendesk from doing so, promptly inform the End-User to contact our customer (i.e. the Controller) directly about any request relating to his/her Personal Data such as access or deletion. Zendesk will not further respond to a data subject request without customer’s prior consent.

Zendesk recomienda a los clientes a que revisen sus procesos y políticas de privacidad y de seguridad de datos constantemente para garantizar el cumplimiento con el RGPD.Los controladores de datos son los principales responsables de garantizar que el procesamiento de datos personales cumpla con la legislación de protección de datos de la UE.A continuación se detallan algunos puntos clave a considerar para el cumplimiento del RGPD:

• Aplicación geográfica: El RGPD se puede aplicar a organizaciones establecidas en la UE, así como a ciertas organizaciones establecidas fuera de la UE, pero que procesan los datos personales de los ciudadanos de la UE, según sus actividades.

• Derechos de los usuarios finales: Las organizaciones deben conocer a los usuarios finales cuyos datos personales pueden estar procesando. El RGPD establece derechos mejorados para los usuarios finales, y las organizaciones deberían poder adaptarse a esos derechos.

• Notificaciones de filtración de datos: Las organizaciones que controlan los datos personales deben contar con procesos claros para cumplir con el requisito del RGPD de informar filtraciones de datos de acuerdo con los plazos establecidos en el RGPD. Zendesk notificará a los clientes afectados, sin demoras indebidas, si tenemos conocimiento de una filtración de datos de nuestros servicios.

• Nombramiento del Oficial de protección de datos ("DPO"): Es posible que los clientes necesiten designar un OPD para administrar problemas relacionados con el procesamiento de datos personales.

• Acuerdo de tratamiento de datos ("DPA", por sus siglas in inglés): Cuando los datos personales se transfieren fuera del EEE, el cliente puede necesitar un DPA con sus subencargados a fin de garantizar un nivel adecuado de protección de los datos transferidos.

• Data Protection Impact Assessment (“DPIA”): DPIAs usually describe an organization’s data processes and protective measures, particularly those that may be risky. For data processing activities, customers need to conduct and file with authorities a DPIA.

Los clientes pueden usar las certificaciones ISO de terceros y los informes de auditoría SOC 2 de Zendesk para ayudar a realizar sus evaluaciones de riesgos y determinar si se han implementado medidas técnicas y organizativas apropiadas. Para obtener información adicional, consulte el sitio web de seguridad de Zendesk.

A continuación se incluyen ejemplos de características específicas de productos de Zendesk que los clientes pueden utilizar para ayudar con el programa de cumplimiento del RGPD. A través de nuestro Servicio asociado utilizado de seguridad avanzada, los clientes pueden optar por obtener características mejoradas que incluyen recuperación de desastres y cifrado mejores, así como la capacidad de configurar la Ley de Transferibilidad y Responsabilidad del Seguro Sanitario ("HIPAA").

Las características actualmente disponibles para los productos específicos de Zendesk se pueden encontrar en las preguntas/respuestas a continuación.

Estándares de auditoría:

• Certificación ISO 27001:2013

• Certificación ISO 27018:2014

Escaneo:

• Recompensa de fallos

• Escaneo dinámico de aplicaciones en vivo

• Escaneo estático de repositorios de código

Cifrado:

• Cifrado de datos en movimiento en redes públicas

• Cifrado de ciertos datos en reposo con AES256

Sí, puede encontrar información más detallada sobre cómo usar los productos de Zendesk para cumplir con el RGPD a través de nuestro centro de asistencia aquí.

La Comisión Europea ha aprobado un conjunto de disposiciones estándar denominadas cláusulas contractuales estándar ("Cláusulas modelo") que proporcionan al responsable de datos un mecanismo de cumplimiento para transferir datos personales a un encargado de datos fuera del Espacio Económico Europeo ("EEE").Las Cláusulas modelo se adjuntan al DPA de Zendesk para ayudar a proporcionar una protección adecuada para la transferencia de datos fuera del EEE o de Suiza.

Zendesk replica periódicamente los datos para fines de archivamiento, copia de seguridad y registros de auditoría. Utilizamos Amazon Web Services (AWS) para almacenar parte de la información que se respalda, como la información de la base de datos y los archivos adjuntos. Consulte nuestra Política regional de alojamiento de datos para obtener más detalles.

Los clientes de Zendesk que adquieren el Complemento de ubicación del centro de datos tienen la capacidad de seleccionar la región (de las opciones regionales disponibles de Zendesk) donde se encuentra el centro de datos que aloja los datos de servicio. Consulte nuestra Política regional de alojamiento de datos para obtener más detalles. De lo contrario, Zendesk puede utilizar cualquiera de los centros de datos globales que utiliza para alojar datos de servicio.

Irrespective of the outcome of the ongoing Brexit negotiations, Zendesk remains committed to the success of our customers and employees in the UK and the rest of Europe. We are closely monitoring the negotiations between the UK government and the European Union regarding the details of their future relationship. As the details become clear, we will take appropriate measures to ensure that our customers can continue to use our services in compliance with both EU and UK laws, and for Zendesk overall, business will continue as usual and will remain focused on our customers’ success.

Zendesk ofrece a los clientes un acuerdo de tratamiento de datos sólido que rige la relación entre el cliente (que actúa como un responsable de datos) y Zendesk (que actúa como un encargado de datos).El DPA facilita que los clientes de Zendesk cumplan con sus obligaciones según la ley de protección de datos de la UE, contiene compromisos firmes de privacidad, y se ha actualizado para confirmar el cumplimiento con el RGPD.El DPA también contiene marcos de transferencia de datos para garantizar que nuestros clientes puedan transferir legalmente datos personales a Zendesk fuera de la Unión Europea al confiar en uno de estos tres mecanismos: nuestras normas corporativas vinculantes, nuestra certificación del escudo de privacidad o las cláusulas contractuales estándar.

Yes, Zendesk’s DPA includes provisions to assist customers with their GDPR compliance.

Zendesk recomienda que consulte con su asesor legal para evaluar el posible impacto que la decisión de no firmar el DPA puede tener en su situación particular.

No. El DPA de Zendesk es específico para los servicios de Zendesk, las prácticas de privacidad y las declaraciones hechas a los reguladores.

Si tiene más preguntas, póngase en contacto con su ejecutivo de cuenta de Zendesk o bien, abra un caso con el equipo de asistencia al cliente de Zendesk escribiendo a support@zendesk.com.

No directamente, pero Zendesk ofrece un anexo adicional a su acuerdo de suscripción general para ayudar con los esfuerzos de cumplimiento con el CCPA de las "Empresas", tal como se define dicho término en el CCPA. Para obtener más información, revise el apartado CCPA de esta página web.

Si desea revisar o ejecutar el anexo al acuerdo de suscripción general del CCPA de Zendesk, haga clic aquí.

For information on our privacy practices and the functionality we provide to support our customers’ compliance, please visit our Privacy and Data Protection Website, Data Deletion Policy, and Product Guides.

El CCPA otorga a los consumidores de California nuevos derechos con respecto a la recopilación de su información personal y exige que las empresas cumplan con ciertas obligaciones relacionadas con esos derechos, entre otras:

1. La obligación de las empresas de notificar al consumidor acerca de sus prácticas de recopilación de datos, incluidas las categorías de información personal que ha recopilado, la fuente de la información, el uso de la información por parte de la empresa y a quién reveló la información que ha recopilado sobre el consumidor;
2. El derecho del consumidor a recibir una copia, en un formato fácilmente utilizable, de la información personal específica recopilada durante los doce (12) meses antes de su solicitud;
3. El derecho del consumidor a que se elimine dicha información personal (con excepciones);
4. El derecho del consumidor a conocer las prácticas de venta de datos de la empresa y a solicitar que su información personal no se venda a terceros;
5. La prohibición de discriminación a las empresas a la hora de ejercer un derecho del consumidor; y
6. La obligación de las empresas de notificar los derechos a los consumidores.

Zendesk ha estado siguiendo el CCPA y preparándose para su cumplimiento desde que se aprobó por primera vez en 2018. Más recientemente, la Oficina del Procurador General de California ha indicado que puede enmendar en mayor grado los reglamentos propuestos para el CCPA.A la luz de tales posibles enmiendas, Zendesk está siguiendo activamente la ley y continuaremos actualizando a nuestros clientes acerca de las características y funciones que pueden usar para ayudarles en sus esfuerzos de cumplimiento.Los clientes también pueden ver nuestras Guías de productos para obtener información más detallada sobre cómo usar los productos de Zendesk para cumplir con las leyes de privacidad de datos, así como nuestra Política de eliminación de datos para obtener información sobre la eliminación de datos de servicio.

Zendesk customers that collect and store personal information in Zendesk Services may be considered “Businesses” under the CCPA. Businesses bear the primary responsibility for ensuring that their processing of personal data is compliant with relevant data protection law, including the CCPA. Zendesk acts as a “Service Provider,” as such term is defined in the current version of the CCPA, with respect to the processing of personal information through our Services. Therefore, Zendesk collects, accesses, maintains, uses, processes and transfers the personal information of our customers and our customer’s end-users processed through the Services solely for the purpose of performing our obligations under our existing contract(s) with our customers; and, for no commercial purpose other than the performance of such obligations and improvement of the Services we provide.

No "vendemos" la información personal de nuestros clientes tal como se define actualmente en el CCPA, lo que significa que tampoco alquilamos, revelamos, divulgamos, transferimos, ponemos a disposición o comunicamos esa información personal a terceros por dinero u otra consideración de valor.Podemos compartir información agregada o anónima con terceros acerca del uso de los servicios (que no se considera información personal según el CCPA) para ayudarnos a desarrollar y mejorar los servicios y proporcionar a los clientes contenido más pertinente y ofertas de servicios como se detalla en nuestros acuerdos con los clientes.

Se aconseja a los suscriptores que consulten a su propio asesor legal para evaluar cómo el CCPA se aplica específicamente a ellos y determinar cómo lograr su propio cumplimiento con el CCPA.

If you would like to review and/or execute Zendesk’s LGPD Addendum to the Master Subscription Agreement, please click here.

In addition, Zendesk’s Master Subscription Agreement (MSA), other privacy and product documentation, as well as our internal practices are designed for global use and we update them as necessary to continue to deliver our Services to customers in Latin America and the Caribbean in accordance with legal requirements. We direct your attention to Exhibit A of our MSA (“Supplemental Terms: Region-Specific Terms”), the section entitled, “Brazil.” Zendesk’s MSA can be found at: https://www.zendesk.com/company/customers-partners/master-subscription-agreement/.

For information on our privacy practices and the functionality we provide to support our customers’ compliance, please visit our Privacy and Data Protection Website, Data Deletion Policy, and Product Guides.

The LGPD is the primary law in Brazil addressing the protection of personal data, aiming to protect “the fundamental rights of freedom and privacy and the free development of the personality of the natural person.” As such, controllers and processors (as defined under the LGPD) are required to adhere to certain principles when processing personal data, including but not limited to purpose, necessity, transparency, and security.

Zendesk has been following the LGPD and preparing for compliance since the LGPD was first passed in 2018. Additionally, the National Authority for Protection Data (ANPD) may issue additional guidance for the LGPD. In light of such guidance, Zendesk is actively tracking the law and we will continue to keep our customers updated on features and functionality they can use to support their compliance efforts. Customers can also view our Product Guides for more detailed information on how to use Zendesk’s Services to comply with data privacy laws, as well as our Data Deletion Policy for details on Service Data deletion.

Zendesk customers that collect and store personal data in Zendesk Services may be considered “controllers” under the LGPD. Controllers bear the primary responsibility for ensuring that their processing of personal data is compliant with relevant data protection law, including the LGPD. Zendesk acts as a “processor,” as such term is defined in the current version of the LGPD, with respect to the processing of personal data through our Services. Therefore, Zendesk processes the personal data of our customers and our customer’s end-users at the instruction of our customers.

Customers are advised to consult their own legal counsel to evaluate how the LGPD specifically applies to them and determine how best to achieve their own compliance with LGPD.

Las Normas Corporativas Vinculantes ("BCR") son políticas de protección de datos de la empresa, aprobadas por las autoridades europeas de protección de datos para facilitar las transferencias intragrupales de datos personales desde el Espacio Económico Europeo ("EEE") a países fuera del EEE. Las BCR se basan en estrictos principios de privacidad establecidos por las autoridades de protección de datos de la Unión Europea y requieren una consulta intensiva con esas autoridades. Los clientes pueden encontrar la lista completa de entidades aprobadas en la Lista aprobada de normas corporativas vinculantes, aquí.

Sí, Zendesk ha completado el proceso de aprobación de la UE con el Comisionado de Protección de Datos de Irlanda ("DPC", por sus siglas en inglés) (revisado por la Oficina del Comisionado de Información del Reino Unido y la Autoridad de Protección de Datos de Holanda) para sus Normas Corporativas Vinculantes ("BCR", por sus siglas en inglés) como encargado y responsable de datos.Esta importante aprobación normativa valida la implementación de los estándares más altos posibles de Zendesk para la protección de datos personales a nivel mundial; esto cubre tanto los datos personales de sus clientes como los de sus empleados.

Zendesk es una de las pocas empresas de software en el mundo que ha recibido aprobación para sus BCR; y solo la segunda empresa en recibir la aprobación del DPC de Irlanda.

Para acceder a las NCV de Zendesk, siga los enlaces pertinentes a continuación:

– Normas Corporativas Vinculantes de Zendesk como procesador (que se aplican cuando Zendesk procesa datos personales en nombre de sus clientes); y

– Normas Corporativas Vinculantes internacionales de Zendesk como controlador (que se aplican cuando Zendesk procesa datos personales para los cuales es un controlador de datos).

Zendesk has updated its Binding Corporate Rules to align them with the GDPR and to further enhance the robust privacy protections we offer to our customers. Zendesk notified the Irish data protection authority of these updates as part of our annual update.

El Departamento de Comercio de los EE. UU., la Comisión Europea y el gobierno suizo crearon marcos de protección de privacidad entre la UE y los EE. UU. y entre Suiza y los EE. UU. (Escudo de Privacidad), con el fin de proporcionar a las empresas un mecanismo para transferir datos personales de la Unión Europea a los Estados Unidos de una manera que proporcione un nivel adecuado de protección acorde a la legislación europea de protección de datos.

Zendesk ha obtenido certificación por su cumplimiento con los marcos del Escudo de privacidad entre la UE y los EE. UU. y entre Suiza y los EE. UU. del Departamento de Comercio de los EE. UU., y se agregó a la lista de participantes autocertificados del Escudo de privacidad del Departamento de Comercio. Nuestras certificaciones confirman que cumplimos con los principios del Escudo de privacidad para la transferencia de los datos personales europeos y suizos a los Estados Unidos.

On July 16, 2020, the Court of Justice of the European Union (CJEU) issued a ruling invalidating the EU-U.S. Privacy Shield program. Zendesk customers can continue to use Zendesk services and transfer data in compliance with European law such as the GDPR, as we have both Binding Corporate Rules and Model Clauses (incorporated into our Data Processing Agreement) in place.

We understand that you may have questions around the invalidation of the Privacy Shield and Zendesk’s position in relation to the same, so we have published this blog post to assist you with your queries.

If you would like to access the Zendesk DPA for review or signature, you can access it in your Customer Admin Console or click here.

• Informe SOC 2 tipo II

• Informe de SOC3

• ISO27001:2013 Certificación

• ISO27018:2014 Certificación

• Lista aprobada de Normas Corporativas Vinculantes

• Lista aprobada del Escudo de privacidad

• Sello de privacidad de TrustArc

• Cómo Zendesk protege los datos personales

• Zendesk se adhiere a los más altos estándares de protección de datos con la aprobación de las BCR europeas.

• Política de privacidad de Zendesk

• Política de Eliminación de Datos de Zendesk

• Página de Seguridad de Zendesk

• Mejores Prácticas de Seguridad de Zendesk

• Informe de SOC2

• Informe de SOC3

• ISO27001:2013 Certificación

• ISO27018:2014 Certificación

• Master Subscription Agreement de Zendesk

• Sitio web del Escudo de privacidad del Departamento de Comercio de los EE. UU: https://www.privacyshield.gov/welcome.

• Directiva 95/46/EC: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=LEGISSUM:l14012.

• Reglamento general de protección de datos (RGPD): http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679.

• La Asociación Internacional de Profesionales de la Privacidad: https://iapp.org.

• "Preparación para el RGPD" de la Oficina del Comisionado de Información del Reino Unido: https://ico.org.uk/media/1624219/preparing-for-the-gdpr-12-steps.pdf.