Zoom e o Regulamento Geral de Proteção de Dados da União Europeia (GDPR)

Atualizado em: 8 de agosto de 2024

A missão do Zoom é proporcionar felicidade por meio de comunicações de vídeo de maneira simples e compreendemos que essa felicidade exige privacidade e segurança. É por isso que nos esforçamos para proteger e dar segurança às comunicações dos nossos clientes até o mais alto nível, como as obrigações de privacidade de dados no Espaço Econômico Europeu ("EEE"), principalmente em relação ao Regulamento Geral de Proteção de Dados (o "GDPR").

O Zoom enaltece o GDPR como uma base da proteção de dados para benefício de todos e não apenas daqueles que estão na Europa. O Zoom dá suporte aos clientes implementando medidas técnicas e organizacionais de uma maneira que se alinhe com as obrigações de conformidade do GDPR. O Zoom está aqui para ajudar os clientes em sua função como controlador de dados.

Os seguintes fatos refletem o compromisso do Zoom com as práticas de proteção de dados. 

Caso queira saber mais sobre as práticas de proteção de dados do Zoom, consulte também a Avaliação de impacto da proteção de dados (“DPIA”) do Zoom feita em parceria com a cooperativa de instituições holandesas de ensino e pesquisa SURF neste blog (e a DPIA de privacidade da empresa em si). 

Compromissos contratuais do GDPR para todos os clientes do Zoom
O GDPR exige que os controladores de dados (como organizações e desenvolvedores que utilizam os serviços do Zoom) usem apenas processadores de dados (como o Zoom) que processe dados pessoais em nome do controlador de dados e ofereça garantias adequadas para atender requisitos específicos do GDPR. O Zoom dá a todos os clientes esses compromissos ao incorporar o Adendo de processador de dados do Zoom aos Termos do serviço do Zoom.

Os compromissos contratuais do Zoom relevantes para o GDPR:

  • O Zoom se esforça para ser transparente e se compromete a usar dados pessoais apenas conforme declarado no nosso acordo sobre a oferta de nossos serviços ou conforme instruído, de qualquer outra forma, pelos nossos clientes.
  • O Zoom mantém medidas de segurança técnica e organizacional adequadas para proteger os dados pessoais que processamos.
  • O Zoom auxilia os clientes em cumprir com suas obrigações quando os titulares de dados exercitam seus direitos presentes nos dados pessoais que processamos usando os nossos serviços (como solicitações de informações, acesso, retificação e exclusão).

Garantias para transferência internacional de dados

Estados Unidos da América

O GDPR contém regras específicas para a transferência de dados pessoais para países fora do Espaço Econômico Europeu (EEE). Em princípio, os dados pessoais só podem ser transferidos para países fora do EEE se o país tiver um nível adequado de proteção. 

A adequação determina se as medidas de proteção de dados de um país que não pertence à UE são consideradas adequadas para garantir um nível de proteção equivalente ao fornecido na UE. Uma decisão sobre a adequação feita pela Comissão Europeia permite o livre fluxo de dados pessoais da UE para um outro país sem a necessidade de garantias adicionais. Desde 10 de julho de 2023, há uma nova decisão sobre a adequação feita pela Comissão Europeia para os participantes da Estrutura de Privacidade de Dados (DPF) UE-EUA. O Zoom se registrou como um participante ativo

A Estrutura de Privacidade de Dados (DPF) surgiu como uma resposta às crescentes preocupações com a proteção e a privacidade de dados na era digital. Ela procura harmonizar e aprimorar os padrões de proteção de dados, especialmente no que diz respeito à transferência de dados pessoais através das fronteiras. A importância da DPF está em seu papel de facilitar o comércio e as comunicações internacionais e, ao mesmo tempo, garantir a proteção dos direitos de privacidade dos indivíduos. Sua importância se estende a várias partes interessadas, incluindo empresas, reguladores e indivíduos, ao estabelecer diretrizes e obrigações claras para o tratamento de dados. A aplicabilidade da DPF é fundamental no contexto da transferência segura de dados, pois fornece uma estrutura legal que garante a conformidade com as leis de proteção de dados, promovendo assim a confiança e a responsabilidade nas trocas transfronteiriças de dados. 

Outros países

Os dados pessoais podem ser transferidos do EEE para outros países fora do EEE usando Cláusulas Contratuais Padrão (SCC, também conhecidas como cláusulas modelo da UE) adotadas pela Comissão Europeia. Essas SCC garantem contratualmente um alto nível de proteção. O Zoom implementou as novas SCCs em 2021 no DPA padrão do Zoom. O Zoom incorporou as novas SCCs aos acordos aplicáveis após os períodos de transição especificados pela Comissão Europeia. Consulte nossas Perguntas frequentes dos clientes sobre as novas SCCs para mais informações.

Avaliação do impacto da transferência de dados
Para ajudar os clientes do Zoom a cumprir requisitos adicionais ao confiar na SCC, o Zoom oferece, abaixo, as avaliações de impacto da transferência de dados para vários produtos. De acordo com as melhores práticas comuns, espera-se que o exportador e o importador de dados avaliem se as leis e práticas no país que recebe os dados podem prejudicar o nível de proteção que de outra forma seria fornecido. 

Avaliação do impacto da transferência de dados do Zoom Meetings/Webinar/Zoom Chat
Avaliação do impacto da transferência de dados do Zoom Phone
Avaliação do impacto da transferência de dados do Zoom Contact Center
Avaliação do impacto da transferência de dados do Agente virtual Zoom

 

Solicitações de titulares dos dados (DSAR)
Uma Solicitação de Acesso do Titular dos Dados (DSAR) é um mecanismo fornecido pelo Regulamento Geral sobre a Proteção de Dados (GDPR) que permite aos indivíduos, conhecidos como titulares dos dados, solicitar acesso aos seus dados pessoais mantidos pelas organizações. Além disso, os titulares dos dados podem solicitar a correção de dados pessoais imprecisos ou incompletos. Isso garante que quaisquer erros nos dados sejam corrigidos imediatamente. Sob certas circunstâncias, os indivíduos têm o direito de solicitar a exclusão dos seus dados pessoais (comumente chamado de direito de ser esquecido). Esse é um direito fundamental do GDPR, enfatizando a transparência e o controle dos indivíduos sobre seus dados pessoais. O Zoom oferece a seus clientes uma ferramenta de autoatendimento para exercer esses direitos de forma simples e fácil. Você pode saber mais sobre essa ferramenta em nosso site de suporte

 

Armazenamento de dados
O Zoom oferece aos clientes europeus com contas pagas elegíveis a opção de usar datacenters na União Europeia (UE). Os clientes podem escolher regiões do datacenter, além da região de origem determinada automaticamente, para hospedar o tráfego de reuniões e webinars em tempo real. Os clientes também podem optar por armazenar gravações localmente em seus próprios dispositivos ou em seu datacenter local. Você pode encontrar mais informações em nossa página de suporte. Para esses clientes, o Zoom também oferece a possibilidade de ter todos os seus dados de suporte processados exclusivamente na UE. Se quiserem oferecer suporte fora do horário comercial normal da UE, eles podem dar um consentimento específico, caso a caso, para a transferência de dados pessoais para um serviço de assistência fora da UE. 

 

Medidas sólidas específicas para garantir a proteção de dados europeia
O Zoom está compromissado em manter um alto nível de segurança:

  • O Zoom utiliza uma variedade de tecnologias de criptografia para proteger dados dos clientes em trânsito e armazenados.
  • O Zoom utiliza medidas de segurança para suportar a contínua confidencialidade, integridade, disponibilidade e resiliência dos nossos sistemas de processamento e serviços.
  • O Zoom toma medidas para facilitar a restauração da disponibilidade e acesso imediato aos nossos sistemas de processamento e serviços no caso de um incidente físico ou técnico.
  • O Zoom implementa um processo para testar, avaliar e estimar regularmente a eficácia das medida técnicas e organizacionais para apoiar a proteção dos dados que processamos.

O Zoom emprega, especificamente, várias medidas de segurança para proteger as comunicações dos clientes transmitidas pela sua plataforma e nela armazenadas. Essas medidas incluem:

  • Criptografia de ponta a ponta opcional para reuniões: os usuários podem optar por ativar a criptografia de ponta a ponta para o Zoom Meetings. A criptografia de ponta a ponta foi projetada para criptografar dados entre todos os participantes da reunião, para que nenhum provedor ou sistema intermediário possa acessar as comunicações, nem mesmo o Zoom.
  • Criptografia padrão: a conexão entre um determinado dispositivo e o Zoom é criptografada por padrão, usando uma mistura de TLS 1.2+ (Transport Layer Security), criptografia do Padrão avançado de criptografia (AES) GCM de 256 bits e SRTP (Secure Real-time Transport Protocol). Os métodos precisos usados dependem se um usuário usa o cliente Zoom, um navegador da web, um dispositivo ou serviço de terceiros ou o produto Zoom Phone. Para mais informações, consulte nosso documento técnico sobre criptografia.
  • Proteções contra participantes não autorizados da reunião: o Zoom implementou várias proteções e controles para proibir participantes não autorizados de participar de reuniões:
    • IDs de reunião únicos com onze dígitos
    • Senhas complexas
    • Salas de espera com o recurso de admitir automaticamente os participantes que possuem o nome do seu domínio ou outro domínio selecionado
    • Recurso de bloqueio de reunião que pode impedir que qualquer pessoa entre na reunião
    • Recurso de excluir participantes
    • Perfis de autenticação que permitem apenas a entrada de usuários registrados ou restringem a domínios de e-mail específicos
    • Ferramenta de notificação de Reunião em Risco pode verificar postagens públicas em sites de mídia social e outros recursos públicos on-line em busca de links para reuniões Zoom.
  • Convites seletivos para reuniões: o anfitrião pode convidar participantes seletivamente por e-mail, mensagem instantânea ou SMS. Isso oferece maior controle sobre a distribuição das informações de acesso à reunião. O organizador também pode criar a reunião para permitir que apenas membros de um determinado domínio de e-mail participem.
  • Segurança na reunião: durante a reunião, o Zoom fornece conteúdo de mídia avançada em tempo real com segurança para cada participante em uma reunião Zoom. Todo o conteúdo compartilhado com os participantes de uma reunião é apenas uma representação dos dados originais. Esse conteúdo é codificado e otimizado para compartilhamento usando uma implementação segura.
  • Controles do anfitrião: os organizadores da reunião podem habilitar/desabilitar a permissão dos participantes em relação ao compartilhamento, chat e renomeá-los.
  • Denúncia: você pode denunciar os participantes por comportamento inadequado durante as reuniões selecionando quais participantes você gostaria de denunciar, incluir detalhes por escrito e adicionar anexos. Esse relatório é enviado automaticamente à equipe de Confiança e segurança do Zoom para avaliar qualquer uso inadequado da plataforma e bloquear um usuário, caso necessário .
  • Controles de segurança no produto: controles de segurança com um ícone de segurança dedicado na interface principal.
  • Segurança do usuário baseada na função: os seguintes recursos de segurança antes da reunião estão disponíveis para o organizador da reunião:
    • Login protegido usando o nome de usuário e senha padrões ou logon único SAML
    • Inicie uma reunião protegida por um código
    • Agende uma reunião protegida com um código
  • Prevenção de chamadas feitas por robôs: o recurso de triagem de chamadas para ajudar os usuários a reduzir chamadas feitas por robôs indesejadas foi implementado. Os proprietários da conta e administradores podem ativar o recurso de triagem de chamadas na conta, no site, no grupo, no usuário, na área comum, no recepcionista automático, na fila de chamadas e no grupo de linha compartilhada. Por padrão, esse recurso está ativado e desbloqueado para toda a conta.

 

Escolhas para processamento e armazenamento de dados
O Zoom compreende que nossos clientes podem desejar ter opções sobre os datacenters que processam e armazenam certos dados.

Dados em trânsito e processamento: o Zoom encaminha os dados de reuniões do cliente em trânsito através de sua rede global de datacenters colocados e datacenters públicos na nuvem (incluindo os datacenters da Amazon Web Services ("AWS")). Os serviços do Zoom Meetings foram criados para funcionar de modo que as informações que entram no ecossistema Zoom sejam direcionadas pelo datacenter mais próximo do usuário enviando ou recebendo os dados.

Proprietários da conta e administradores de contas pagas podem, no nível da conta, do grupo ou do usuário, optar por usar ou não datacenters específicos do Zoom para o processamento de vídeos, áudio e conteúdo compartilhado de reuniões e webinars em tempo real dos participantes durante a realização de reuniões e webinars. Os datacenters no país que oferecem suporte à região em que uma conta foi provisionada serão a opção padrão de processamento. As opções de datacenter do Zoom só se aplicam quando uma conta está organizando uma reunião ou webinar. Quando uma conta que hospeda uma reunião ou webinar opta por não participar de qualquer datacenter, os dados de vídeo, áudio e conteúdo compartilhado de reuniões e webinars em tempo real de todos os participantes só serão processados por um datacenter Zoom que optou por participar. No entanto, o Zoom pode rotear o tráfego entre datacenters usando protocolos de roteamento de rede padrão do setor enquanto atravessa as conexões de rede privada do Zoom (ou seja, roteamento de borda). Mais detalhes podem ser encontrados neste artigo de ajuda.

Armazenamento de dados: clientes podem escolher o local de armazenamento de dados para certos Conteúdos do Cliente. Os Conteúdos do Cliente são informações fornecidas por um cliente através do uso dos serviços Zoom, incluindo todos os dados que um cliente escolhe gravar ou compartilhar em uma reunião ou webinar, incluindo, por exemplo, gravações na nuvem, transcrições de reunião, transcrições de chat (na reunião e persistente) e arquivos que são trocados durante uma reunião ou no canal de chat persistente.

Por padrão, o Conteúdo do Cliente é armazenado nos EUA. Clientes com contas pagas podem escolher o local de armazenamento de parte do Conteúdo do Cliente para sua conta. Somente titulares de contas, administradores de contas ou aqueles com privilégios relativos ao perfil da conta do cliente poderão alterar essa configuração. Outros detalhes podem ser encontrados neste artigo de ajuda. Observe que o conteúdo do cliente, os dados da conta e os dados de diagnóstico ainda estão armazenados nos EUA.

 

Protocolos rigorosos para responder à solicitação de informações feita pelo governo
O Zoom está comprometido em proteger a privacidade de nossos clientes e usuários e só produz dados de usuários para governos em resposta a solicitações válidas e legais, de acordo com nosso Guia de Solicitações Governamentais e políticas legais relevantes.

Em todas as áreas geográficas:

  • As solicitações governamentais devem ser emitidas de acordo com a legislação e regulamentos em vigor, por meio de canais oficiais, incluindo a exigência de um documento oficial assinado ou uma solicitação por e-mail enviada por meio de um endereço de e-mail oficial da entidade governamental.
  • Cada solicitação deve ser explicita, restrita a um tópico relevante e ter uma base legal válida.  Rejeitaremos ou contestaremos solicitações que não atendam a esses requisitos.
  • Faremos uma avaliação adicional de determinadas solicitações governamentais de informações do usuário com base nos nossos princípios e no nosso interesse em promover uma colaboração bem-sucedida em todo o mundo.

Se uma solicitação for muito vaga, o Zoom contestará a validade da solicitação para minimizar o espectro das informações enviadas.

Normalmente, o Zoom notifica os usuários em relação às solicitações por informação feitas pelo governo, incluindo uma cópia da solicitação recebida, exceto se formos legalmente proibidos de notificar o usuário. Solicitações para exceções em relação a notificação do usuário deve incluir uma descrição das circunstâncias prementes ou os resultados adversos possíveis caso a notificação ao usuário seja feita.

 

Maior transparência

  • Relatórios de transparência: o Zoom publicou seu primeiro relatório sobre o número de solicitações recebidas de autoridades dos EUA e internacionais em dezembro de 2020 (Relatório de transparência de solicitações governamentais). Queremos que cada relatório de transparência seja melhor que o anterior. Nosso Relatório de Transparência mais recente está disponível aqui. Outros Relatórios de transparência serão disponibilizados na Central de confiança do Zoom.
  • Notificações no produto: estamos continuamente nos atualizando para integrar recursos específicos de notificações de privacidade na experiência do Zoom para ajudar os usuários a compreender, dentro do contexto, quem pode ver e compartilhar o conteúdo e as informações que eles compartilham no Zoom. Por exemplo, se um usuário deseja saber quem pode ver as mensagens que ele envia no recurso de chat do Zoom, ele pode acessar "Quem pode ver as suas mensagens?" para checar quem pode acessar as mensagens que ele envia para outras pessoas, assim como, as mensagens privadas que ele envia.

 

O Zoom cria seus serviços tendo os requisitos do GDPR como base.
O Zoom está comprometido em realizar todos os esforços para criar recursos de produtos que se alinhem aos requisitos do GDPR e promovam a proteção dos dados pessoais processados por meio de nossos serviços. Para mais informações sobre nossas práticas de dados, consulte nossa Declaração de Privacidade ou envie um e-mail para privacy@zoom.us se tiver alguma dúvida específica sobre o GDPR.