Los datos de servicio consisten en cualquier información, incluidos datos personales, que se almacene o se transmita a través de los servicios de Zendesk por parte de nuestros clientes y sus usuarios finales, u otros terceros en nombre los anteriores.

Desde el punto de vista de la privacidad, el cliente es el responsable del tratamiento de los datos de servicio y Zendesk es el encargado del tratamiento. Esto significa que durante todo el tiempo que un cliente se suscribe a los servicios con Zendesk, el cliente conserva la propiedad y el control de los datos de Servicio en su cuenta.

Zendesk puede usar subencargados, como filiales de Zendesk, así como empresas terceras, para suministrar, proteger o mejorar los Servicios, y dichos subencargados quizá tengan acceso a los datos de servicio. Zendesk mantiene una lista actualizada de los nombres y ubicaciones de todos los subencargados del tratamiento, disponible en nuestra Política de subencargados. La lista incluye la posibilidad de que nuestros clientes se inscriban para recibir notificaciones de cualquier cambio. Zendesk será responsable de los actos y omisiones de los subencargados en la misma medida que Zendesk sería responsable si Zendesk estuviera realizando los servicios de cada subencargado directamente.

Utilizamos datos de servicio para operar y mejorar nuestros servicios, ayudar a los clientes a acceder y usar los servicios, responder a las consultas de clientes y enviar comunicaciones relacionadas con los servicios.

Zendesk prioriza la seguridad de los datos y combina aspectos de la seguridad a nivel de empresa con exhaustivas auditorías de nuestras aplicaciones, sistemas y redes para asegurarse de que siempre se protegen los datos de clientes y empresas.

Por ejemplo, los servidores Zendesk se alojan en instalaciones conformes con Tier IV o III+, SSAE-16, PCI DSS o ISO 27001. Además, contratamos a expertos en seguridad de terceros para realizar pruebas de penetración detalladas de forma periódica, y nuestro equipo de soporte está disponible las 24 horas del día, los 7 días de la semana para responder a alertas y eventos de seguridad.

Para obtener más información sobre la gestión de incidentes de seguridad y los procedimientos para servicios empresariales, visite Cómo protegemos sus datos de servicio (Servicios empresariales). Para obtener más información sobre la gestión de incidentes de seguridad y los procedimientos para servicios de innovación, visite Cómo protegemos sus datos de servicio (Servicios de innovación).

Zendesk utiliza centros de datos en tres regiones principales: Estados Unidos, Asia Pacífico y la Unión Europea. Los datos de servicio pueden almacenarse en cualquier región. Los clientes pueden seleccionar la región en la que se encuentran los centros de datos que alojan determinados datos de servicio mediante la compra del complemento de localización del centro de datos. Consulte la Política regional de alojamiento de datos para obtener más información.

Zendesk mantiene una Política de supresión de datos disponible públicamente que describe los procesos de supresión de Zendesk tras la rescisión o el vencimiento del acuerdo de un cliente con Zendesk.

Zendesk reconoce que los problemas de privacidad y seguridad de los datos son las principales prioridades para los clientes.

• Zendesk no divulga datos de servicio, excepto cuando sea necesario para prestar sus servicios a sus clientes y cumplir con las leyes correspondientes, conforme se detalla en nuestra Política de privacidad.

• Zendesk ha logrado un número de certificaciones y acreditaciones de reconocimiento internacional que demuestran su cumplimiento de marcos de garantía externos, como se describe en nuestro sitio de seguridad.

• Cuando tenemos que actuar públicamente para proteger a los clientes, lo hacemos. Zendesk ha expresado su apoyo a la Ley de la Libertad de los EE. UU. que pretende reformar el programa de vigilancia en virtud del artículo 702 de la Ley de vigilancia de servicios de inteligencia extranjeros [Foreign Intelligence Surveillance Act] (“FISA”).

En ciertas situaciones, quizás tengamos la obligación de divulgar datos personales en respuesta a peticiones legales por parte de autoridades públicas, como para cumplir requisitos de las fuerzas del orden o por motivos de seguridad nacional. Podemos divulgar datos personales para responder a citaciones judiciales, órdenes judiciales o procesos legales, o para instituir o ejercer nuestros derechos jurídicos o defendernos contra reclamaciones legales. También podemos compartir dicha información con los organismos policiales o las autoridades públicas pertinentes si estimamos que es necesario para investigar, prevenir o adoptar actuaciones con respecto a actividades ilegales, sospechas de fraude, situaciones que impliquen posibles amenazas a la seguridad física de una persona, violaciones de nuestro Acuerdo marco de suscripción o en general conforme a lo exigido por la legislación.

El Reglamento General de Protección de Datos (“RGPD”) es el reglamento de privacidad europeo que sustituye a la Directiva de Protección de Datos de la UE (“Directiva 95/46/CE”). El RGPD aborda el tratamiento de datos personales y la libre circulación de dichos datos. Su objetivo es reforzar la seguridad y la protección de los datos personales en la UE y armonizar la ley de protección de datos de la UE. En términos generales, establece una serie de principios y requisitos de protección de datos que deben cumplirse cuando se traten datos personales.

El RGPD también estableció el Comité Europeo de Protección de Datos (“CEPD”), que garantiza que la ley de protección de datos se aplique de forma coherente en toda la UE y trabaja para garantizar una cooperación eficaz entre las autoridades de protección de datos.

Los clientes de Zendesk que recopilan y almacenan datos personales se consideran responsables del tratamiento de datos en virtud del RGPD. Los responsables del tratamiento de datos son los principales responsables de garantizar que su tratamiento de datos personales cumpla con la legislación de protección de datos pertinente de la UE, incluido el RGPD, y determinar de forma exclusiva qué datos personales se envían a Zendesk y que Zendesk los trate de acuerdo con los Servicios.

Uno de los aspectos clave del RGPD es que crea coherencia en todos los estados miembros de la UE sobre cómo se pueden tratar, usar e intercambiar datos personales de forma segura. Las organizaciones deben demostrar la seguridad de los datos que están procesando y su cumplimiento con el RGPD de forma continua, implementando y revisando periódicamente medidas técnicas y organizativas sólidas, así como políticas de cumplimiento.

Si Zendesk recibe una solicitud como interesado del Usuario Final de un cliente (es decir, un usuario de los Servicios a quien un cliente ha proporcionado nuestros Servicios), Zendesk es el encargado del tratamiento, y Zendesk, en la medida en que la legislación aplicable no prohíba a Zendesk hacerlo, informará rápidamente al Usuario Final para que se ponga en contacto con nuestro cliente (es decir, el responsable del tratamento) directamente sobre cualquier solicitud relacionada con sus Datos Personales, como el acceso o la eliminación. Zendesk no responderá a la solicitud de un interesado sin el consentimiento previo del cliente.

Zendesk anima a los clientes a revisar continuamente sus procesos y políticas de privacidad y seguridad de datos para garantizar el cumplimiento del RGPD. Los responsables del tratamiento asumen la principal responsabilidad por garantizar que su tratamiento de datos personales es conforme a la legislación pertinente de la UE en materia de protección de datos. A continuación, se presentan algunos puntos clave a tener en cuenta para el cumplimiento del RGPD:

• Aplicación geográfica: El RGPD puede aplicarse a organizaciones establecidas en la UE, así como a ciertas organizaciones establecidas fuera de la UE, pero que tratan los datos personales de los ciudadanos de la UE, dependiendo de sus actividades.

• Derechos de los usuarios finales: Las organizaciones deben ser conscientes de los usuarios finales cuyos datos personales pueden ser objeto de tratamiento. El RGPD establece derechos mejorados para los usuarios finales, y las organizaciones deben ser capaces de acomodar esos derechos.

• Notificaciones de violación de la seguridad de los datos: Las organizaciones que son responsables del tratamiento de datos personales deben contar con procesos claros para cumplir con el requisito del RGPD de informar de las violaciones de la seguridad de los datos de acuerdo con los plazos establecidos en dicho Reglamento. Zendesk notificará a los clientes afectados sin demora indebida si tenemos conocimiento de una violación de la seguridad de nuestros servicios.

• Nombramiento del Delegado de protección de datos (“DPO”): Es posible que los clientes tengan que designar DPO para gestionar problemas relacionados con el tratamiento de datos personales.

• Acuerdo de tratamiento de datos (“ATD”): Cuando los datos personales se transfieren fuera del EEE, un cliente puede necesitar ATD en vigor con sus subencargados para garantizar un nivel adecuado de protección de los datos transferidos.

• Evaluación de Impacto relativa a la Protección de Datos (“EIPD”): Las EIPD suelen describir los procesos de datos y las medidas de protección de una organización, especialmente aquellas que pueden ser arriesgadas. Para las actividades de tratamiento de datos, los clientes deben llevar a cabo y presentar ante las autoridades una EIPD.

Los clientes pueden utilizar las certificaciones ISO de terceros de Zendesk y los informes de auditoría SOC 2 para ayudar a llevar a cabo sus evaluaciones de riesgos y determinar si existen medidas técnicas y organizativas adecuadas. Para mayor información, puede consultar también el sitio web de seguridad de Zendesk.

A continuación se muestran ejemplos de características específicas de productos Zendesk que los clientes pueden utilizar para ayudar con el programa de cumplimiento del RGPD. A través de nuestro servicio asociado con despliegue de seguridad avanzada, los clientes pueden optar por obtener funciones mejoradas, incluida la recuperación de desastres mejorada y el cifrado, así como la capacidad de configurar para la Ley de Portabilidad y Responsabilidad de Seguros de Salud de EE. UU. (United States Health Insurance Portability and Accountability Act, HIPAA).

Las funciones disponibles actualmente para productos específicos de Zendesk se pueden encontrar en las preguntas/respuestas a continuación.

Estándares de auditoría:

• Certificación ISO 27001:2013

• Certificado ISO 27018:2014

Escaneado:

• Recompensa por errores

• Escaneado dinámico de aplicaciones en directo

• Escaneo estático de repositorios de código

Cifrado:

• Cifrado de datos en movimiento a través de redes públicas

• Cifrado de determinados datos en reposo con AES256

Sí, puede encontrar información más detallada sobre cómo utilizar los productos de Zendesk para cumplir con el RGPD a través de nuestro Centro de ayuda aquí.

La Comisión Europea ha aprobado un conjunto de disposiciones estándar denominadas Cláusulas contractuales tipo (“Cláusulas tipo”) que proporcionan a un responsable del tratamiento de datos un mecanismo de cumplimiento para transferir datos personales a un encargado del tratamiento de datos fuera del Espacio Económico Europeo (“EEE”). Las Cláusulas tipo se adjuntan al ATD de Zendesk para ayudar a proporcionar una protección adecuada para la transferencia de datos fuera del EEE o Suiza.

Zendesk replica periódicamente los datos a efectos de archivo, copia de seguridad y registros de auditoría. Usamos Amazon Web Services (AWS) para almacenar parte de la información que se copia por seguridad, como información de bases de datos y archivos adjuntos. Puede consultar nuestra Política regional de alojamiento de datos para mayor detalle.

Los clientes de Zendesk que adquieren el complemento de ubicación del centro de datos tienen la capacidad de seleccionar la región (de las opciones regionales de Zendesk disponibles) donde se encuentra el centro de datos que aloja sus datos de servicio. Puede consultar nuestra Política regional de alojamiento de datos para mayor detalle. De lo contrario, Zendesk puede utilizar cualquiera de los centros de datos globales que utiliza para alojar los datos de servicio.

Independientemente del resultado de las negociaciones del Brexit en curso, Zendesk sigue comprometida con el éxito de nuestros clientes y empleados en el Reino Unido y el resto de Europa. Estamos siguiendo de cerca las negociaciones entre el gobierno del Reino Unido y la Unión Europea en relación con los detalles de su futura relación. A medida que los detalles sean claros, adoptaremos las medidas adecuadas para garantizar que nuestros clientes puedan seguir utilizando nuestros servicios de conformidad con las leyes de la UE y del Reino Unido, y para Zendesk en general, el negocio continuará como de costumbre y seguirá centrado en el éxito de nuestros clientes.

Zendesk ofrece a los clientes un sólido Acuerdo de Tratamiento de Datos que rige la relación entre el cliente (actuando como controlador de datos) y Zendesk (actuando como procesador de datos). El ATD facilita el cumplimiento de las obligaciones de los clientes de Zendesk en virtud de la ley de protección de datos de la UE y contiene sólidos compromisos de privacidad, y se ha actualizado para confirmar nuestro cumplimiento con el RGPD. El ATD también contiene marcos de transferencia de datos para garantizar que nuestros clientes puedan transferir legalmente datos personales a Zendesk fuera de la Unión Europea basándose en uno de tres mecanismos: nuestras Normas corporativas vinculantes, nuestra certificación del Escudo de privacidad o las Cláusulas contractuales tipo.

Sí, el ATD de Zendesk incluye disposiciones para ayudar a los clientes con su cumplimiento del RGPD.

Zendesk recomienda que consulte con su asesor jurídico para evaluar el posible impacto que su decisión de no firmar el ATD puede tener en su situación particular.

No. el ATD de Zendesk es específica de los Servicios de Zendesk, las prácticas de privacidad y las declaraciones realizadas a los reguladores.

Si tiene más preguntas, póngase en contacto con su ejecutivo de cuentas de Zendesk o, si lo prefiere, abra un caso con el servicio de atención al cliente de Zendesk.

No directamente, en su lugar Zendesk ofrece un anexo independiente a su acuerdo marco de suscripción para respaldar los esfuerzos de cumplimiento por parte de las “Empresas” con la CCPA, tal y como se define en la CCPA. Para obtener más información, consulte la sección CCPA de esta página web.

Si desea consultar y/o formalizar la Adenda sobre la CCPA al Acuerdo marco de suscripción de Zendesk, puede hacer clic aquí.

Para obtener información sobre nuestras prácticas de privacidad y la funcionalidad que proporcionamos para apoyar el cumplimiento de nuestros clientes, visite nuestro sitio web de privacidad y protección de datos, la Política de supresión de datos y las Guías de Productos.

La CCPA concede a los consumidores de California nuevos derechos con respecto a la recopilación de su información personal y exige a las empresas que cumplan con ciertas obligaciones relacionadas con dichos derechos, entre ellas:

1. Obligación de las empresas de notificar al consumidor sus prácticas de recogida de datos, incluyendo las categorías de información personal que ha recogido, la fuente de la información, el uso que la empresa hace de la información y a quién ha revelado la información que ha recogido sobre el consumidor;
2. El derecho del consumidor a recibir una copia, en un formato fácilmente utilizable, de la información personal específica recogida sobre él durante los doce (12) meses anteriores a su solicitud;
3. El derecho del consumidor a que se elimine dicha información personal (con excepciones);
4. El derecho del consumidor a conocer las prácticas de venta de datos de la empresa y a solicitar que su información personal no se venda a terceros;
5. La prohibición de que las empresas sean discriminadas por ejercer un derecho del consumidor; y
6. Obligación de las empresas de notificar al consumidor sus derechos.

Zendesk ha estado siguiendo la CCPA y preparándose para su cumplimiento desde que la CCPA se aprobó por primera vez en 2018. Más recientemente, la Oficina del Fiscal General de California ha indicado que puede modificar aún más las regulaciones propuestas para la CCPA. A la luz de tales modificaciones potenciales, Zendesk está siguiendo activamente la ley y continuaremos manteniendo a nuestros clientes actualizados sobre las características y la funcionalidad que pueden utilizar para apoyar sus esfuerzos de cumplimiento. Los clientes también pueden ver nuestras Guías de Productos para obtener información más detallada sobre cómo utilizar los productos de Zendesk para cumplir con las leyes de privacidad de datos, así como nuestra Política de supresión de datos para obtener detalles sobre la eliminación de datos de servicio.

Los clientes de Zendesk que recogen y almacenan información personal en servicios Zendesk pueden ser considerados “Empresas” a tenor de la CCPA. Las Empresas asumen la principal responsabilidad por garantizar que su tratamiento de datos personales es conforme a la legislación pertinente en materia de protección de datos, incluida la CCPA. Zendesk actúa como “Proveedor de servicio”, del modo en que se define dicho término en la versión actual de la CCPA, con respecto al tratamiento de información personal a través de nuestros servicios. Así pues, Zendesk recopila, accede, conserva, usa, trata y transfiere la información personal de nuestros clientes y de los usuarios finales de nuestros clientes tratada a través de los Servicios únicamente con el fin de ejecutar nuestras obligaciones en virtud de nuestros contratos existentes con los clientes, y con ningún otro fin comercial al margen de la ejecución de dichas obligaciones y de la mejora de los Servicios que suministramos.

No “vendemos” la información personal de nuestro cliente tal como se define actualmente en la CCPA, lo que significa que tampoco alquilamos, divulgamos, divulgamos, transferimos, ponemos a disposición ni comunicamos de otro modo esa información personal a un tercero para una contraprestación monetaria o de valor. Puede que compartamos información agregada y/o anonimizada con respecto al uso de los Servicios, la cual no se considera información personal al amparo de la CCPA, ayudándonos terceros a desarrollar y mejorar los Servicios y a ofrecer a nuestros clientes un contenido y ofertas de servicios más pertinentes, como se detalla en nuestros contratos de suscriptor.

Se aconseja a los clientes que consulten a su propio asesor legal para evaluar cómo se aplica la CCPA específicamente a ellos y determinar cómo lograr su propio cumplimiento de la CCPA.

Si desea consultar y/o formalizar la Adenda sobre la LGPD al Acuerdo de suscripción general de Zendesk, puede hacer clic aquí.

Además, el Contrato marco de suscripción de Zendesk (CMS), otra documentación de privacidad y producto, así como nuestras prácticas internas están diseñadas para un uso en todo el mundo y las actualizamos conforme a lo necesario para seguir prestando nuestros Servicios a los clientes en América Latina y en el Caribe de acuerdo con los requisitos legales. Le instamos a que dirija su atención a la sección titulada “Brasil” en las Condiciones específicas por región de Zendesk, que forman parte del CMS de Zendesk y pueden consultarse en: https://www.zendesk.com/company/agreements-and-terms/region-specific-terms/.

Para obtener información sobre nuestras prácticas de privacidad y la funcionalidad que proporcionamos para apoyar el cumplimiento de nuestros clientes, visite nuestro sitio web de privacidad y protección de datos, la Política de supresión de datos y las Guías de Productos.

La LGPD es la ley principal de Brasil que aborda la protección de los datos personales, con el objetivo de proteger "los derechos fundamentales de libertad y privacidad y el desarrollo libre de la personalidad de la persona física". Como tal, los responsables y encargados del tratamiento (según se definen en la LGPD) deben cumplir ciertos principios al tratar datos personales, incluidos, entre otros, el propósito, la necesidad, la transparencia y la seguridad.

Zendesk ha estado siguiendo la LGPD y preparándose para su cumplimiento desde que la LGPD se aprobó por primera vez en 2018. Además, la Autoridad Nacional para la Protección de Datos (ANPD) puede emitir directrices adicionales para la LGPD. A la luz de esta orientación, Zendesk seguirá haciendo un seguimiento activo de la ley y continuaremos manteniendo al corriente a nuestros clientes sobre características y funcionalidades que pueden usar para facilitar sus esfuerzos de cumplimiento. Los clientes también pueden ver nuestras Guías de Productos para obtener información más detallada sobre cómo utilizar los servicios de Zendesk para cumplir con las leyes de privacidad de datos, así como nuestra Política de supresión de datos para obtener detalles sobre la eliminación de datos de servicio.

Los clientes de Zendesk que recogen y almacenan datos personales en servicios Zendesk pueden ser considerados “responsables del tratamiento” a tenor de la LGPD. Los responsables del tratamiento asumen la principal responsabilidad por garantizar que su tratamiento de datos personales es conforme a la legislación pertinente en materia de protección de datos, incluida la LGPD. Zendesk actúa como “encargado del tratamiento”, del modo en que se define dicho término en la versión actual de la LGPD, con respecto al tratamiento de datos personales a través de nuestros servicios. Por lo tanto, Zendesk trata los datos personales de nuestros clientes y de los usuarios finales de nuestros clientes siguiendo las instrucciones de nuestros clientes.

Se aconseja a los clientes que consulten a su propio asesor legal para evaluar cómo se aplica la LGPD específicamente a ellos y determinar cómo lograr su propio cumplimiento de la LGPD.

Las Normas corporativas vinculantes (Binding Corporate Rules, “BCR”) son políticas de protección de datos a nivel de empresa aprobadas por las autoridades de protección de datos europeas para facilitar las transferencias intragrupo de datos personales desde el Espacio Económico Europe (“EEE”) hasta países ajenos al mismo. Las BCR se basan en estrictos principios de privacidad establecidos por las autoridades de protección de datos de la UE y requieren una consulta intensiva con dichas autoridades. Los clientes pueden consultar las entidades que cuentan con aprobación en la Lista de aprobación de Normas corporativas vinculantes aquí.

Sí, Zendesk ha completado el proceso de aprobación de la UE con el Comisionado de Protección de Datos irlandés ("DPC") (revisado por la Oficina del Comisionado de Información del Reino Unido y la Autoridad de Protección de Datos holandesa) para sus Normas Corporativas Vinculantes ("BCR") globales como procesador y controlador de datos. Esta importante aprobación reglamentaria validó la implementación de Zendesk de los niveles más altos posibles para proteger los datos personales globalmente, cubriendo tanto los datos personales de sus clientes como de sus empleados.

Zendesk es una de las pocas empresas de software en el mundo en haber recibido la aprobación para sus BCR; y la segunda empresa en la historia en recibir aprobación de la DPC irlandesa.

Para acceder a las BCR de Zendesk, siga los enlaces pertinentes a continuación:

– Normas corporativas vinculantes del encargado del tratamiento de Zendesk (que se aplican cuando Zendesk procesa datos personales en nombre de sus clientes); y

– Reglas corporativas vinculantes globales para el responsable del tratamiento de Zendesk (que se aplican cuando Zendesk trata datos personales para los que es responsable del tratamiento de datos).

Zendesk ha actualizado sus Normas corporativas vinculantes para alinearlas con el RGPD y mejorar aún más las sólidas protecciones de privacidad que ofrecemos a nuestros clientes. Zendesk notificó estas actualizaciones a la autoridad irlandesa de protección de datos como parte de nuestra actualización anual.

El Departamento de Comercio de EE. UU., junto con la Comisión Europea y el Gobierno suizo, crearon los Marcos de Escudo de Privacidad UE-EE .UU. y Suiza-EE. UU. (“Escudo de privacidad”) para ofrecer a las empresas un mecanismo mediante el cual transferir datos personales de la Unión Europea a los Estados Unidos con un nivel adecuado de protección a efectos de la legislación europea de protección de datos.

Zendesk cuenta con el certificado de cumplimiento del Marco del Escudo de privacidad UE-EE. UU. y Suiza-EE. UU. del Departamento de Comercio de EE. UU. y ha sido añadida a la lista del Departamento de Comercio de participantes autocertificados del Escudo de privacidad. Nuestras certificaciones confirman que cumplimos con los principios del Escudo de privacidad para la transferencia de datos personales europeos y suizos a los Estados Unidos.

El 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea (“TJUE”) emitió un fallo en el que invalidaba el programa de Escudo de privacidad UE-EE. UU.. Los clientes de Zendesk pueden seguir utilizando los servicios de Zendesk y transfiriendo datos de conformidad con la legislación europea, como el RGPD, ya que tenemos en vigor tanto Normas corporativas vinculantes como Cláusulas tipo (incorporadas en nuestro Acuerdo de Tratamiento de Datos).

Entendemos que quizá tenga preguntas en torno a la invalidación del Escudo de privacidad y la posición de Zendesk en relación con el mismo, así que hemos publicado este artículo de blog para orientarle en sus consultas.

Si desea acceder al ATD de Zendesk para su revisión o firma, puede acceder a ella en su Consola de administración de clientes o hacer clic aquí.