Tenga en cuenta que esta guía de preguntas frecuentes: (a) se proporciona con fines informativos únicamente y no constituye asesoramiento jurídico; (b) representa las ofertas y prácticas actuales de Zendesk, que están sujetas a cambios; y (c) no crea ningún compromiso ni garantía de parte de Zendesk y sus afiliados o subprocesadores. Las responsabilidades y obligaciones de Zendesk respecto a sus suscriptores están controladas por el Contrato de servicios principales (“MSA”) y el Data Processing Agreement (Acuerdo de procesamiento de datos) (“DPA”) de Zendesk y este documento no forma parte ni modifica ningún acuerdo entre nosotros. Los términos escritos con mayúsculas utilizados en este documento tienen el significado que se les atribuye en el MSA y el DPA.

Comprendemos que las transferencias internacionales pueden ser un área compleja en vista de la sentencia Schrems II y las nuevas cláusulas contractuales estándar (“SCC”) y esperamos que estas preguntas frecuentes ayuden a responder sus preguntas más importantes relacionadas con las recomendaciones del Comité Europeo de Protección de Datos (CEPD), en lo que se refiere al uso que usted hace de los servicios de Zendesk. Tampoco dude en enviarnos cualquier otra pregunta que tenga sobre el tema a euprivacy@zendesk.com.

1. ¿Qué dice el RGPD sobre las transferencias internacionales?

Los datos personales cubiertos por el RGPD se pueden transferir fuera del EEE solo si existe un mecanismo aprobado para garantizar que no se debilite la protección de datos de nivel RGPD.

Esto quiere decir que es importante que las organizaciones primero conozcan y mapeen todas las transferencias de datos personales a países que no pertenecen al EEE (paso uno de las recomendaciones del CEPD).

2. ¿Qué mecanismos utiliza Zendesk para las transferencias internacionales?

Las organizaciones luego deben identificar los mecanismos de transferencia de los que dependen para cada transferencia (paso dos de las recomendaciones del CEPD). Algunos países que no pertenecen al EEE (p. ej., Reino Unido) se benefician con una decisión de la autoridad de protección de datos de la UE. Usamos este mecanismo siempre que sea posible.

Utilizamos las SCC como el mecanismo para las transferencias internacionales de datos personales entre los Suscriptores de Zendesk y los subprocesadores de Zendesk en los países que no pertenecen al EEE/no adecuados. Estas cláusulas proporcionan garantías contractuales de que los datos personales estarán protegidos de acuerdo a las normas del RGPD fuera del EEE.

Utilizamos las Reglas corporativas vinculantes ("BCR"), que incluyen la protección de Schrems II ; consulte aquí y aquí para transferencias internacionales entre distintas entidades de Zendesk. Las BCR son políticas aprobadas por las autoridades de supervisión que rigen los asuntos de protección de datos dentro de un grupo de compañías, incluidas las transferencias internacionales entre dichas entidades.

3. ¿Cómo afecta el caso Schrems II al uso de las SCC y las BCR?

Los exportadores de datos tienen que asegurarse de que los países importadores proporcionen una protección esencialmente equivalente a la de la UE para los datos específicos, sobre todo con respecto a la vigilancia del gobierno (paso tres de las recomendaciones del CEPD). Si no se proporciona un nivel de protección esencialmente equivalente, para poder continuar con la transferencia, el exportador de datos deberá implementar “medidas suplementarias” para aumentar el nivel de protección de los datos a un estándar esencialmente equivalente (paso cuatro de las recomendaciones del CEPD). 

Es importante tener en cuenta que la sentencia Schrems II no requiere la localización de los datos ni soporte únicamente en la UE. Algunas compañías pueden considerar esto una preferencia o una medida técnica suplementaria, pero no es un requisito legal explícito.

4. ¿Cuál es la relación entre las nuevas SCC y Schrems II?

Las nuevas SCC surgieron porque las versiones anteriores ya estaban desactualizadas. Sin embargo, la decisión Schrems II proporcionó un impulso adicional para su desarrollo. Las nuevas SCC codifican el requisito de Schrems II de realizar una Evaluación de Impacto de la Transferencia (“TIA”). También exigen que los importadores de datos tomen pasos de protección de datos específicos si reciben una solicitud de acceso del gobierno. Las nuevas SCC ya forman parte del último DPA de Zendesk. 

5. ¿Qué es una evaluación TIA y cómo se realiza?

Una evaluación TIA es un método para evaluar si se proporcionará un nivel de protección esencialmente equivalente en el país importador para los datos específicos que se van a transferir (pasos tres y cuatro de las recomendaciones del CEPD), incluido si las leyes de vigilancia del gobierno local cumplen las Garantías Esenciales de la UE para medidas de vigilancia, cualquier evidencia práctica pertinente de vigilancia del gobierno (p. ej., solicitudes de acceso del gobierno recibidas anteriormente por el importador) y, de ser necesario, medidas suplementarias que puedan ayudar a lograr un nivel de equivalencia esencial. 

Hemos creado una guía para ayudarle a completar las evaluaciones TIA para su uso de los servicios de Zendesk. Esta guía incluye detalles sobre las leyes de vigilancia del gobierno en cada país en los que Zendesk o sus subprocesadores pueden importar los datos de los Suscriptores. Si desea una copia de esta guía puede contactar al ejecutivo de su cuenta de Zendesk.

6. ¿Cuál es la estrategia de Zendesk en relación a las solicitudes de acceso del gobierno y ha recibido este tipo de solicitudes en el pasado?

De acuerdo a lo anterior, una evaluación TIA debe considerar el proceso del importador de datos para responder a las solicitudes de acceso del gobierno, si ha recibido dichas solicitudes en el pasado y si en realidad se le permite proporcionar información acerca de este tipo de solicitudes.

Zendesk sigue nuestra Política de Solicitud de Datos del Gobierno y los pasos en el art. 15 de las nuevas SCC cuando recibimos una solicitud de acceso del gobierno. Esto incluye solicitarle a la autoridad que contacte al controlador de los datos en primera instancia y, si eso no es posible, realizar un análisis jurídico exhaustivo de la validez de la solicitud. Zendesk, como muchas compañías de tecnología, recibe de vez en cuando solicitudes de las agencias del orden público en Estados Unidos y en otros lugares, que buscan datos almacenados por Zendesk en nombre de un Suscriptor. Hay más información sobre dichas solicitudes recibidas por Zendesk en nuestro informe de transparencia.

7. ¿Cuál es la estrategia de Zendesk respecto a FISA 702 a la luz de Schrems II?

FISA 702 autoriza ciertos tipos de recopilación de inteligencia extranjera con fines de seguridad nacional. Un tribunal federal independiente llamado Tribunal de Vigilancia de Inteligencia Extranjera (Foreign Intelligence Surveillance Court) supervisa la recopilación de información para garantizar que se lleve a cabo según la ley FISA y la Constitución de Estados Unidos, en concreto la Cuarta Enmienda que protege contra registros e incautaciones arbitrarias.

Zendesk es una empresa de Estados Unidos constituida y registrada en el Estado de Delaware y sujeta a la leyes de Estados Unidos. Zendesk es un servicio de informática remoto (“RCS”) como se define en la Ley de Privacidad de las Comunicaciones Electrónicas (Electronic Communications Privacy Act, “ECPA”), Sección 2711 del Título 18 del U.S.C. cuando proporciona Servicios a los Suscriptores. ECPA no permite que las autoridades del orden público accedan a los datos almacenados con un proveedor de RCS salvo que primero obtenga una orden judicial, una citación o un mandato del juez. Los proveedores de servicios de informática remotos también pueden estar sujetos a la Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera (Foreign Intelligence Surveillance Act, “FISA 702”) si almacenan comunicaciones electrónicas.

Como parte de su evaluación TIA usted puede, dependiendo de las circunstancias, primero concluir que no hay motivos para suponer que FISA 702 se aplicará en la práctica a los datos para los que usted usa a Zendesk como procesador, en particular debido al tipo de datos que Zendesk procesa de parte suya. En este sentido, a raíz de Schrems II el gobierno de Estados Unidos ha dado garantías de que: “la mayoría de las compañías de Estados Unidos no tratan con datos de interés para las agencias de inteligencia de Estados Unidos, y no existen motivos para suponer que lo hacen. No realizan transferencias de datos que presentan el tipo de riesgos a la privacidad que parecen ser de interés para el Tribunal de Justicia Europeo en Schrems II”.

Segundo, el informe de transparencia de Zendesk muestra que es poco probable que ocurran solicitudes de este tipo. Esto también puede llevarlo a concluir que no hay motivo para suponer que FISA 702 se aplicará en la práctica a los datos para los que usted utiliza a Zendesk como procesador.

Tercero, como controlador, usted tiene el derecho de revisar los registros relacionados con sus datos para ver si ha habido algún acceso no autorizado (teniendo en cuenta que el personal de Zendesk solo puede acceder a sus datos con su consentimiento en circunstancias normales). Es concebible, por lo tanto, que esta medida suplementaria lo convenza de que todo posible asunto de equivalencia esencial ha sido remediado.

8. ¿Cuál es la estrategia de Zendesk respecto a EO 12333 a la luz de Schrems II?

El Decreto Ejecutivo (EO) 12333 en realidad no autoriza al Gobierno de Estados Unidos a exigir que las compañías proporcionen asistencia para recopilar información de inteligencia extranjera, y Zendesk no lo hará de manera voluntaria. Zendesk no ha recibido ningún pedido de datos en grandes cantidades. Cualquier riesgo asociado con EO 12333 debería remediarse si un importador de datos utiliza una encriptación lo suficientemente robusta en tránsito. Esto se debe a que EO 12333 parece involucrar la intercepción de datos antes de que lleguen a los servidores de la compañía en Estados Unidos. Si la encriptación es suficientemente robusta los datos interceptados seguirán siendo ilegibles. 

Zendesk proporciona una encriptación adecuada en este aspecto ya que todas las comunicaciones con la interfaz de usuario y las API de Zendesk están encriptadas con el estándar del sector HTTPS/TLS (TLS 1.2 o superior) en su transmisión por la redes públicas. Los Datos del Servicio se encriptan en reposo en AWS usando la encriptación de claves AES-256. Además, Zendesk no ha creado ninguna puerta trasera que permita a las autoridades del gobierno eludir las medidas de seguridad para obtener acceso a los Datos del Servicio. Todo esto debería, por lo tanto, significar que Zendesk ha implementado medidas suplementarias que abordan de manera adecuada cualquier riesgo de equivalencia esencial creado por EO 12333.

9. ¿Cómo puede asegurarse de que sus datos estarán suficientemente protegidos bajo las leyes de vigilancia de los otros países donde Zendesk los procesa?

Como se indica más arriba, Zendesk ha proporcionado resúmenes de las leyes locales pertinentes en nuestra guía de TIA. Es posible que usted evalúe las leyes de algunos de esos países y decida que proporcionan un nivel de protección para sus datos esencialmente equivalente al de la UE. En ese caso, no es necesario hacer nada más para dichos países.

Si su evaluación indica que las leyes de algunos de esos países no proporcionan una protección esencialmente equivalente para sus datos, dependiendo de las circunstancias (p. ej., el tipo de datos), puede que de todos modos decida que no hay motivo para suponer que efectivamente las leyes se aplicarán a sus datos. También puede considerar que las medidas suplementarias implementadas por Zendesk (p. ej., nuestra política de acceso del gobierno y nuestras medidas de seguridad mejoradas) significan que los problemas de equivalencia esencial han sido abordados de manera adecuada.

10. ¿Qué otras medidas está tomando Zendesk en respuesta a Schrems II?

Comprendemos que algunos de nuestros Suscriptores están interesados en soluciones que proporcionen un mayor nivel de cumplimiento en un entorno de privacidad que está en constante evolución. Con esto en mente, tenemos el compromiso de crear una solución de encriptación avanzada y ofertas de localización de datos más exhaustivas.

Además de centrar nuestros esfuerzos en la encriptación avanzada, estamos invirtiendo en crear más funciones de privacidad y cumplimiento para permitir la implementación de una política de retención de datos, una mayor visibilidad del acceso de los agentes, permisos detallados y herramientas adicionales para ayudar con la minimización de datos dentro de su instancia de Zendesk.

Estamos trabajando arduamente en estos proyectos y pronto ofreceremos actualizaciones. Sin embargo, si desea hablar sobre cualquier cosa relacionada con estos proyectos, nuestro cumplimiento de Schrems II, o cualquier asunto relacionado con la protección de datos, no dude en contactar al ejecutivo de su cuenta de Zendesk o a euprivacy@zendesk.com.