Zoom y el Reglamento General de Protección de Datos (RGPD) de la Unión Europea

Actualización: 8 de agosto de 2024

La misión de Zoom es generar felicidad a los clientes a través de videocomunicaciones sin problemas, y entendemos que esa felicidad requiere privacidad y seguridad. Por eso nos esforzamos por proteger y asegurar las comunicaciones de nuestros clientes a los niveles más altos, como las obligaciones de privacidad de datos en el Espacio Económico Europeo («EEE»), principalmente el Reglamento General de Protección de Datos (el «RGPD»).

Zoom reconoce el RGPD como una base para la protección de datos en beneficio de todos, no solo en Europa. Zoom apoya a nuestros clientes mediante la implementación de medidas técnicas y organizativas que cumplen con las obligaciones del RGPD. Zoom está a disposición para ayudar a nuestros clientes en su rol de responsables del tratamiento.

Los siguientes hechos clave reflejan el compromiso de Zoom con las prácticas de protección de datos. 

Si desea obtener más información acerca de las prácticas de protección de datos de Zoom, lea también la Evaluación del impacto de la protección de datos (DPIA) de Zoom realizada en colaboración con la cooperativa de instituciones de educación e investigación holandesas SURF en este blog (y la propia DPIA de la empresa de privacidad). 

Compromisos contractuales del RGPD para todos los clientes de Zoom
El RGPD exige que los responsables del tratamiento de datos (como las organizaciones y los desarrolladores que utilizan los servicios de Zoom) utilicen únicamente encargados del tratamiento de datos (como Zoom) que traten datos personales en nombre del responsable del tratamiento y ofrezcan las garantías adecuadas para cumplir los requisitos específicos del RGPD. Zoom establece estos compromisos con todos nuestros clientes mediante la incorporación del Anexo de Tratamiento de datos de Zoom a los Términos del servicio de Zoom.

Compromisos contractuales de Zoom relevantes para el RGPD:

  • Zoom se esfuerza por ser transparente y se compromete a utilizar los datos personales únicamente según lo establecido en nuestro acuerdo sobre la prestación de nuestros servicios o según las instrucciones de nuestros clientes.
  • Zoom mantiene medidas de seguridad técnicas y organizativas adecuadas para proteger los datos personales que tratamos.
  • Zoom asiste a los clientes en el cumplimiento de sus obligaciones cuando los interesados ejercen los derechos vinculados a los datos personales tratados mediante nuestros servicios (como las solicitudes de información, acceso, rectificación y eliminación).

Garantías para la transferencia internacional de datos

Estados Unidos de América

El RGPD contiene reglas específicas para la transferencia de datos personales a países no pertenecientes al Espacio Económico Europeo (EEE). En principio, los datos personales solo pueden transferirse a países ajenos al EEE si el país tiene un nivel de protección adecuado. 

La adecuación determina si las medidas de protección de datos de un país no perteneciente a la UE se consideran adecuadas para asegurar un nivel de protección equivalente al que se brinda en la UE. La decisión sobre la adecuación adoptada por la Comisión Europea permite la libre circulación de datos personales de la UE al tercer país sin necesidad de garantías adicionales. Desde el 10 de julio de 2023, existe una nueva decisión sobre adecuación de la Comisión Europea para los participantes del Marco de Privacidad de Datos (DPF) entre la Unión Europea y los Estados Unidos. Zoom se ha registrado como participante activo

El Marco de Privacidad de Datos (DPF) se creó como respuesta a la creciente inquietud por la protección de datos y la privacidad en la era digital. Su finalidad es unificar y mejorar las normas de protección de datos, especialmente en lo que se refiere a la transferencia transfronteriza de datos personales. La importancia del DPF reside en su función a la hora de facilitar el comercio y la comunicación internacionales, al tiempo que garantiza la protección del derecho a la privacidad de las personas. Su relevancia alcanza a diversas partes interesadas, incluidas empresas, organismos reguladores y particulares, al establecer pautas y obligaciones claras para el tratamiento de datos. La aplicabilidad del DPF es fundamental en el contexto de la transferencia segura de datos, ya que establece un marco legal que garantiza el cumplimiento de las leyes de protección de datos, con lo que favorece la confianza y la responsabilidad en los intercambios transfronterizos de datos. 

Otros países terceros

Los datos personales pueden transferirse del EEE a países terceros no pertenecientes a ese espacio utilizando las Cláusulas Contractuales Tipo (CCT, también conocidas como cláusulas modelo de la UE) que ha adoptado la Comisión Europea. Estas CCT garantizan un alto nivel de protección mediante contratos. En 2021, Zoom incorporó las nuevas CCT a su DPA estándar. Zoom ha incorporado las nuevas CCT en los acuerdos aplicables siguiendo los períodos de transición especificados por la Comisión Europea. Para conocer más detalles, consulte las preguntas frecuentes de nuestros clientes sobre las nuevas CCT. 

Evaluación del impacto de la transferencia de datos
Con el fin de ayudar a los clientes de Zoom a satisfacer requisitos adicionales cuando utilicen las CCT, Zoom ofrece las siguientes Evaluaciones del impacto de la transferencia de datos para diversos productos. De acuerdo con las prácticas recomendadas habituales, se espera que el exportador y el importador de datos evalúen si las leyes y prácticas del país receptor de los datos pueden afectar el nivel de protección que se ofrece. 

Evaluación del impacto de la transferencia de datos de Zoom Meetings/seminarios web/chat en equipo
Evaluación del impacto de la transferencia de datos de Zoom Phone
Evaluación del impacto de la transferencia de datos del Zoom Contact Center
Evaluación del impacto de la transferencia de datos del Zoom Virtual Agent

 

Solicitudes de acceso de los interesados (DSAR, por sus siglas en inglés)
Una Solicitud de acceso de los interesados (DSAR) es un mecanismo contemplado en el Reglamento General de Protección de Datos (RGPD) que permite a las personas, conocidas como interesados, solicitar acceso a sus datos personales en poder de las organizaciones. Además, los interesados pueden solicitar la corrección de datos personales imprecisos o incompletos. Esto garantiza que los errores en los datos se corrijan con rapidez. En ciertas circunstancias, las personas tienen derecho a solicitar la eliminación de sus datos personales (comúnmente llamado derecho al olvido). Este es un derecho fundamental en virtud del RGPD, que hace énfasis en la transparencia y el control de las personas sobre sus datos personales. Zoom ofrece a sus clientes una herramienta de autoservicio para ejercer estos derechos de manera simple y fácil. Puede obtener más información sobre esta herramienta en nuestro sitio web de soporte

 

Almacenamiento de datos
Zoom ofrece a los clientes europeos que tengan cuentas de pago elegibles la opción de utilizar centros de datos en la Unión Europea (UE). Los clientes pueden elegir regiones de centros de datos, además de la región de origen que se determina automáticamente, para alojar el tráfico de sus reuniones y seminarios web en tiempo real. Los clientes además pueden optar por almacenar las grabaciones de forma local en sus propios dispositivos o en su centro de datos local. Puede encontrar más información en nuestra página de soporte. Para estos clientes, Zoom también ofrece la posibilidad de que todos sus Datos de soporte se traten exclusivamente en la UE. En caso de que deseen obtener soporte fuera del horario laboral habitual en la UE, pueden dar su consentimiento específico en función de cada caso para la transferencia de datos personales a un servicio de asistencia fuera de la UE. 

 

Medidas específicas sólidas para garantizar la protección de datos europea
Zoom asume el compromiso de mantener un alto nivel de seguridad:

  • Zoom utiliza una serie de tecnologías de cifrado para proteger los datos en tránsito y los datos almacenados de los clientes.
  • Zoom utiliza medidas de seguridad para respaldar la confidencialidad, la integridad, la disponibilidad y la resiliencia continuas de nuestros sistemas y servicios de tratamiento.
  • Zoom adopta medidas para facilitar el restablecimiento de la disponibilidad y el acceso a nuestros sistemas y servicios de tratamiento con celeridad en caso de que se produzca un incidente físico o técnico.
  • Zoom implementa un proceso para probar, valorar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para respaldar la seguridad de los datos que tratamos.

Específicamente, Zoom implementa diversas medidas de seguridad para proteger las comunicaciones de los clientes que se transmiten a través de su plataforma y se almacenan en ella. Estas medidas incluyen las siguientes:

  • Cifrado de extremo a extremo opcional para reuniones: los usuarios pueden optar por habilitar el cifrado de extremo a extremo para Zoom Meetings. El cifrado de extremo a extremo está diseñado para cifrar los datos entre todos los participantes de la reunión, de modo que ningún proveedor o sistema intermedio pueda acceder a las comunicaciones, ni siquiera Zoom.
  • Cifrado predeterminado: la conexión entre un dispositivo determinado y Zoom está cifrada de forma predeterminada, utilizando una combinación de TLS 1.2+ (Seguridad de la capa de transporte), cifrado AES GCM de 256 bit del Estándar de cifrado avanzado, y SRTP (Protocolo seguro de transporte en tiempo real). Los métodos precisos que se utilizan dependen de si el usuario utiliza el cliente de Zoom, un navegador web, un dispositivo o servicio de terceros o el producto Zoom Phone. Para obtener más información, consulte nuestro documento técnico sobre cifrado.
  • Protecciones contra participantes no autorizados en las reuniones: Zoom ha implementado numerosas protecciones y controles para prohibir que participantes no autorizados se unan a las reuniones:
    • ID de reunión únicos de once dígitos
    • Contraseñas complejas
    • Salas de espera con la capacidad de admitir automáticamente a los participantes de su nombre de dominio o de otro dominio seleccionado
    • Función Bloquear reunión, que permite impedir que cualquier persona se una a la reunión
    • Posibilidad de eliminar participantes
    • Perfiles de autenticación que solo permiten el ingreso a usuarios registrados, o que permiten la restricción a dominios de correo electrónico específicos
    • La herramienta Notificador de reuniones en riesgo puede escanear publicaciones en sitios públicos de redes sociales y otros recursos públicos en línea en busca de enlaces de Zoom Meetings
  • Invitaciones selectivas a reuniones: el anfitrión puede invitar selectivamente a los participantes por correo electrónico, chat o SMS. Esto ofrece un mayor control sobre la distribución de la información de acceso a la reunión. El anfitrión también puede crear la reunión para permitir que solo se unan los miembros de un determinado dominio de correo electrónico.
  • Seguridad dentro de la reunión: durante la reunión, Zoom entrega contenido multimedia enriquecido en tiempo real y de forma segura a cada participante dentro de una reunión de Zoom. Todo el contenido compartido con los participantes en una reunión es solo una representación de los datos originales. Este contenido se codifica y se optimiza para compartirlo mediante una implementación segura.
  • Controles de anfitrión: los controles del anfitrión de la reunión pueden habilitar o deshabilitar a los participantes para compartir contenido, chatear y cambiarse de nombre.
  • Denuncias: puede denunciar a los participantes por comportamiento inadecuado durante las reuniones; para ello, seleccione los participantes a los que desea denunciar, incluya los detalles por escrito y añada archivos adjuntos. Esta denuncia se envía automáticamente al equipo de Confianza y Seguridad de Zoom para evaluar el uso indebido de la plataforma y bloquear a un usuario si fuera necesario.
  • Controles de seguridad dentro del producto: controles de seguridad con un ícono de seguridad exclusivo en la interfaz principal.
  • Seguridad del usuario basada en roles: el anfitrión de la reunión dispone de las siguientes capacidades de seguridad, que pueden configurarse antes de la reunión:
    • Inicio de sesión seguro mediante un nombre de usuario y una contraseña estándar, o inicio de sesión único SAML
    • Inicio de una reunión segura con un código de acceso
    • Programación de una reunión asegurada con un código de acceso
  • Prevención de llamadas automáticas: se ha implementado la característica de filtración de llamadas para ayudar a los usuarios a reducir las llamadas automáticas no deseadas. Los propietarios y los administradores de cuentas pueden habilitar la característica de Filtración de llamadas en la cuenta, el sitio, el grupo, el usuario, el área común, el contestador automático, la cola de llamadas y el grupo de líneas compartidas. Esta característica está habilitada y desbloqueada de forma predeterminada para toda la cuenta.

 

Opciones de tratamiento y almacenamiento de datos
Zoom entiende que es posible que nuestros clientes deseen contar con opciones acerca de los centros de datos que tratan y almacenan determinados datos.

Datos en tránsito y tratamiento: Zoom enruta los datos de los clientes de Meetings en tránsito por su red global de centros de datos ubicados conjuntamente y centros de datos en nubes públicas (incluidos los centros de datos de Amazon Web Services [«AWS»]). Los servicios de Zoom Meetings están diseñados para funcionar de modo que la información que ingresa al ecosistema de Zoom sea enrutada por el centro de datos más cercano al usuario que envía o recibe los datos.

Los propietarios y los administradores de las cuentas de pago pueden, a nivel de cuenta, grupo o usuario, optar por aceptar o rechazar determinados centros de datos de Zoom que se utilizarán para procesar el vídeo, el audio y el contenido compartido en tiempo real de las reuniones y los seminarios web de los participantes durante la realización de reuniones y seminarios web. Los centros de datos del país que dan soporte a la región en la que se aprovisionó una cuenta se bloquearán como opción para el tratamiento. Las opciones de centro de datos de Zoom solo se aplican cuando una cuenta organiza una reunión o un seminario web. Cuando una cuenta que organice una reunión o un seminario web haya optado por no utilizar ningún centro de datos, todos los datos de vídeo, audio y contenido compartido de la reunión y el seminario web en tiempo real de los participantes serán tratados únicamente por un centro de datos de Zoom habilitado. No obstante, Zoom puede enrutar el tráfico entre centros de datos utilizando protocolos de enrutamiento de red estándar del sector mientras atraviesa las conexiones de red privadas de Zoom (es decir, enrutamiento lindero). Encontrará más información en este Artículo de ayuda.

Almacenamiento de datos: los clientes pueden elegir la ubicación del almacenamiento de datos para algunos de sus Contenidos del cliente. El Contenido del cliente es la información que proporciona un cliente a través del uso del servicio de Zoom, incluidos todos los datos que un cliente decida grabar o compartir durante una reunión o un seminario web, como las grabaciones en la nube, transcripciones de reuniones, transcripciones de chat (en la reunión y continuos) y archivos que se intercambien durante una reunión o en el canal de chat continuo.

El Contenido del cliente se almacena en EE. UU. de forma predeterminada. Los clientes con cuentas de pago pueden elegir la ubicación de almacenamiento de algunos de sus Contenidos de cliente para su cuenta. Solo los titulares de cuentas, los administradores de cuentas o aquellos que tengan el privilegio de perfil de cuenta de cliente podrán cambiar esta configuración. Encontrará más información en este Artículo de ayuda. Tenga en cuenta que el Contenido del cliente, los Datos de la cuenta y los Datos de diagnóstico se siguen almacenando en EE. UU.

 

Protocolos estrictos para responder a las solicitudes de información por parte del gobierno
Zoom se compromete a proteger la privacidad de nuestros clientes y usuarios y solo facilita datos de los usuarios a los gobiernos en respuesta a solicitudes válidas y lícitas, de acuerdo con nuestra Guía de solicitudes de los gobiernos y las políticas legales pertinentes.

En todas las áreas geográficas:

  • Las solicitudes de los gobiernos se deben emitir de conformidad con las leyes y los reglamentos aplicables y a través de canales oficiales, incluido el requerimiento de un documento oficial firmado o de una solicitud por correo electrónico enviada desde la dirección de correo electrónico oficial de una entidad gubernamental.
  • Cada solicitud debe ser explícita, no demasiado amplia, y tener una base legal válida. Rechazaremos o impugnaremos las solicitudes que no cumplan estos requisitos.
  • Implementaremos un escrutinio adicional en el caso de determinadas solicitudes de información de los usuarios por parte de los gobiernos basándonos en nuestros principios e interés en favorecer una colaboración exitosa en todo el mundo.

Si una solicitud es demasiado imprecisa, Zoom impugnará la validez de la solicitud para minimizar el espectro de información presentada.

Zoom suele notificar a los usuarios sobre las solicitudes de información por parte de los gobiernos, lo que incluye una copia de la solicitud recibida, a menos que se nos prohíba legalmente notificar al usuario. Las solicitudes de excepciones a la notificación al usuario deben incluir una descripción de las circunstancias apremiantes o del posible resultado adverso de la notificación.

 

Mayor transparencia

  • Informes de transparencia: Zoom publicó su primer informe sobre el número de solicitudes recibidas de autoridades estadounidenses e internacionales en diciembre de 2020 (Informe de transparencia de solicitudes de gobiernos). Nuestro objetivo es que cada informe de transparencia mejore el anterior. Nuestro informe de transparencia más reciente está disponible aquí. Los Informes de transparencia adicionales estarán disponibles en el Centro de confianza de Zoom.
  • Notificaciones en el producto: Zoom se actualiza continuamente para integrar notificaciones de privacidad específicas de cada característica en la experiencia de Zoom, para ayudar a los usuarios a comprender, en contexto, quién puede ver y compartir el contenido y la información que comparten en Zoom. Por ejemplo, si un usuario quiere saber quién puede ver los mensajes que envía en la característica de chat de Zoom, puede ir a «¿Quién puede ver sus mensajes?» para ver quién puede acceder a los mensajes que envía a todos, así como a los mensajes privados que envía.

 

Zoom diseña sus servicios según los requisitos del RGPD
Zoom se compromete a hacer todo lo posible para crear características del producto que se ajusten a los requisitos del RGPD y favorezcan la protección de los datos personales tratados a través de nuestros servicios. Para obtener más información acerca de nuestras prácticas en materia de datos, consulte nuestra Declaración de privacidad o envíe un correo electrónico a privacy@zoom.us si tiene alguna pregunta específica sobre el RGPD.