1. Introducción
1.1 Esta Política de Solicitud de Datos por el Gobierno establece el procedimiento de Zendesk para 1) la evaluación previa de los requisitos existentes de otros países para divulgar datos personales o medidas que autoricen el acceso por parte de las autoridades públicas; y 2) responder a una solicitud recibida de una autoridad policial o otra autoridad gubernamental (en conjunto, la "Autoridad Solicitante") para divulgar datos personales procesados por Zendesk (en adelante, la "Solicitud de Divulgación de Datos") que esté alineada con nuestras Normas Corporativas Vinculantes: Procedimiento de Solicitud de Datos por el Gobierno (en inglés, Binding Corporate Rules: Government Data Request Procedure). La Política también establece el procedimiento de notificación de Zendesk para los casos en los que tengamos conocimiento de un acceso directo (es decir, acceso a datos personales sin solicitud previa, y/o aprobación/colaboración por parte de Zendesk) por parte de una autoridad policial o otra autoridad gubernamental a datos personales procesados por Zendesk (en adelante, "Acceso Directo"), que está alineado con nuestras Normas Corporativas Vinculantes: Procedimiento de Solicitud de Datos por el Gobierno (en inglés, Binding Corporate Rules: Government Data Request Procedure).
1.2 Cuando Zendesk reciba una Solicitud de Divulgación de Datos, la tramitará de conformidad con esta política. Si la(s) ley(es) de protección de datos aplicable(s) exige(n) un nivel de protección de los datos personales superior al exigido por esta política, Zendesk cumplirá con los requisitos pertinentes de dicha(s) ley(es) de protección de datos aplicable(s).
2. Evaluación previa
2.1 Antes de que Zendesk lleve a cabo transferencias internacionales de datos personales sujetas a los requisitos de la presente Política del Controlador y/o del Procesador (Encargado del Tratamiento), realizará una evaluación de las leyes y prácticas del país de destino en relación con los requisitos de Solicitud de Divulgación de Datos o las medidas que autorizan el Acceso Directo (incluso en tránsito), que podrían impedir a Zendesk cumplir sus obligaciones en virtud de la respectiva Política del Controlador e y/o del Procesador, tales como prácticas que no respeten la esencia de los derechos y libertades fundamentales y excedan lo necesario y proporcionado en una sociedad democrática, así como las limitaciones y salvaguardias aplicables. Dicha evaluación se llevará a cabo a la luz de las circunstancias específicas de la transferencia y de cualquier transferencia ulterior prevista (incluidos los fines, la ubicación y el sector en el que tenga lugar la transferencia y el tratamiento relacionado, los tipos de entidades implicadas en el tratamiento, las categorías/formato de los datos personales transferidos y los canales de transmisión utilizados) y determinará si se requieren salvaguardias contractuales, técnicas u organizativas adicionales (ya sea durante la transmisión de los datos personales o en reposo). La evaluación (y las salvaguardas, según corresponda) serán comunicadas por los miembros del equipo de privacidad a todos los Miembros del Grupo. Zendesk supervisará razonablemente la evolución futura de las leyes del país de destino para, según corresponda, considerar los impactos que dichos cambios puedan tener en la evaluación inicial que llevó a cabo. Los Miembros del Grupo que actúen como importadores de datos en virtud de esta Política de Controlador y/o Procesador comunicarán razonablemente los cambios de los que tengan conocimiento a los Miembros del Grupo/clientes que actúen como exportadores de datos y al Miembro del Grupo del EEE (en inglés, EEA) con responsabilidades en materia de protección de datos.
2.2 Cuando Zendesk determine que deben establecerse salvaguardas adicionales para abordar las conclusiones de la evaluación del párrafo 2.1, Zendesk lo notificará al Miembro del Grupo del EEE pertinente con responsabilidades en materia de protección de datos, y se involucrará a los miembros pertinentes del Consejo de Privacidad o del equipo de privacidad más amplio, a fin de reflejar sus puntos de vista con respecto a dichas salvaguardas.
2.3 Zendesk documentará dicha evaluación como se indica en el párrafo 2.1 y las medidas adicionales de conformidad con el párrafo 2.2 y las pondrá a disposición de la autoridad supervisora competente si es solicitado.
2.4 Cuando Zendesk determine que se necesitan medidas complementarias eficaces para cumplir con sus obligaciones en virtud de la respectiva Política del Controlador o del Procesador, pero no pueda identificar ninguna, o si así se lo indica la autoridad de supervisión competente, el equipo de privacidad se compromete a suspender las transferencias pertinentes (incluidas las transferencias para las que la misma evaluación llevarían a la misma conclusión) e informar de ello a todos los Miembros del Grupo implicados. Tras dicha suspensión, las entidades que exporten datos personales en virtud de la presente Política de Controlador y/o Procesador podrán poner fin a dicha transferencia de datos personales y los datos personales que no hayan sido objeto de las protecciones suficientes exigidas en virtud de la Política de Controlador y/o Procesador podrán ser devueltos a la entidad exportadora y/o destruidos.
3. Principio general sobre las Solicitudes de Divulgación de Datos
3.1 Como principio general, Zendesk no revela datos personales en respuesta a una Solicitud de Divulgación de Datos a menos que:
- tiene la obligación legal de revelar dicha información; o
- teniendo en cuenta la naturaleza, el contexto, los fines, el alcance y la urgencia de la Solicitud de Divulgación de Datos y los derechos de privacidad y libertades de las personas afectadas, existe un riesgo inminente de daño grave que justifica el cumplimiento de las Solicitudes de Divulgación de Datos en cualquier caso.
3.2 Por ese motivo, a menos que la ley se lo prohíba o exista un riesgo inminente de daño grave, Zendesk notificará y consultará a las autoridades competentes en materia de protección de datos (y cuando procese los datos personales en nombre de un cliente, al cliente) para abordar la Solicitud de Divulgación de Datos.
4. Tramitación de una Solicitud de Divulgación de Datos
4.1 Si un Miembro del Grupo Zendesk recibe una Solicitud de Divulgación de Datos, el destinatario de la solicitud debe pasarla al Equipo Legal inmediatamente después de recibirla, indicando la fecha en que se recibió junto con cualquier otra información que pueda ayudar al Equipo Legal a responder a la solicitud. Del mismo modo, si un Miembro del Grupo Zendesk tiene conocimiento de un Acceso Directo, deberá comunicarlo al Equipo Jurídico inmediatamente, indicando la fecha en que se produjo junto con cualquier otra información que pueda ayudar al Equipo Jurídico a responder de acuerdo con esta Política.
4.2 No es necesario que la solicitud de la autoridad requirente se realice por escrito, en virtud de una orden judicial, o mencione la legislación sobre protección de datos para que se considere una Solicitud de Divulgación de Datos. Cualquier Solicitud de Divulgación de Datos, sea cual sea su forma, deberá notificarse al Equipo Jurídico para su revisión.
4.3 El Equipo Legal de Zendesk revisará cuidadosamente todas y cada una de las Solicitudes de Divulgación de Datos y Acceso Directo caso por caso. El Equipo Legal se pondrá en contacto con el Equipo de Privacidad y con abogados externos, según corresponda, para determinar la naturaleza, el contexto, los propósitos, el alcance y la urgencia de la Solicitud de Divulgación de Datos/Acceso Directo, y su validez en virtud de las leyes aplicables y los principios de cortesía internacional, para identificar si es necesario tomar medidas para impugnar la Solicitud de Divulgación de Datos/Acceso Directo, incluso mediante un recurso ante la autoridad requirente, y/o solicitando medidas cautelares con vistas a suspender los efectos de la solicitud hasta que la autoridad judicial competente se haya pronunciado sobre su procedencia o exigiendo de otro modo la divulgación con arreglo a la legislación procesal aplicable, según proceda, y/o notificar al cliente y/o a las autoridades competentes en materia de protección de datos de conformidad con el apartado 4.
5. Notificación de una Solicitud de Divulgación de Datos/Acceso Directo
5.1 Aviso al cliente
5.1.1 Si una solicitud se refiere a datos personales de los cuales un cliente es el controlador, Zendesk normalmente le pedirá a la Autoridad Solicitante que haga la Solicitud de Divulgación de Datos directamente al cliente pertinente. Si la Autoridad Solicitante está de acuerdo, Zendesk apoyará al cliente de acuerdo con los términos de su contrato para responder a la Solicitud de Divulgación de Datos.
5.1.2 Si esto no es posible (por ejemplo, porque la Autoridad Solicitante se niega a hacer la Solicitud de Divulgación de Datos directamente al cliente o no conoce la identidad del cliente), Zendesk notificará y proporcionará al cliente los detalles de la Solicitud de Divulgación de Datos antes de divulgar cualquier dato personal, a menos que esté legalmente prohibido hacerlo, o cuando exista un riesgo inminente de daño grave que prohíba la notificación previa.
5.1.3 Si Zendesk tiene conocimiento de un Acceso Directo relativo a datos personales de los que un cliente es el controlador, Zendesk notificará y proporcionará al cliente los detalles de dicho Acceso Directo, a menos que esté legalmente prohibido hacerlo o cuando exista un riesgo inminente de daño grave que prohíba dicha notificación.
5.2 Notificación a las autoridades competentes en materia de protección de datos
5.2.1 Si la Autoridad Solicitante se encuentra en un país que no proporciona un nivel adecuado de protección de los datos personales en relación con dicha solicitud, de conformidad con las leyes de protección de datos aplicables, entonces Zendesk también pondrá la solicitud en espera para notificar y consultar con las autoridades competentes de protección de datos, a menos que esté legalmente prohibido o cuando exista un riesgo inminente de daño grave que prohíba la notificación previa.
5.2.2 Si la autoridad policial o otra autoridad gubernamental que llevó a cabo un Acceso Directo se encuentra en un país que no proporciona un nivel adecuado de protección de los datos personales en relación con dicha solicitud, de conformidad con las leyes de protección de datos aplicables, entonces Zendesk también notificará y consultará a las autoridades de protección de datos competentes, a menos que esté legalmente prohibido o cuando exista un riesgo inminente de daño grave que prohíba la notificación previa.
5.2.3 Cuando a Zendesk se le prohíba notificar a las autoridades competentes de protección de datos y/o de suspender la solicitud, Zendesk hará todo lo posible (teniendo en cuenta la naturaleza, el contexto, los fines, el alcance y la urgencia de la solicitud) para informar a la Autoridad Solicitante/autoridad que llevó a cabo el Acceso Directo sobre sus obligaciones en virtud de la ley de protección de datos aplicable y para obtener el derecho a renunciar a esta prohibición. Tales esfuerzos pueden incluir solicitar a la Autoridad Solicitante/autoridad que llevó a cabo el Acceso Directo que ponga la solicitud en espera, para que Zendesk pueda consultar con las autoridades competentes de protección de datos, o permitir la divulgación a personal específico del cliente de Zendesk, y también puede, en circunstancias apropiadas, incluir la búsqueda de una orden judicial a tal efecto. Zendesk mantendrá, y previa solicitud razonable proporcionará a sus clientes y a las autoridades competentes de protección de datos, un registro escrito de los esfuerzos que realice, en línea con sus prácticas establecidas de mantenimiento de registros comerciales, a menos que esté legalmente prohibido hacerlo.
6. Informes de transparencia
6.1 Zendesk se compromete a preparar un informe semestral (un "Informe de Transparencia"), que refleje el número y el tipo de Solicitudes de Divulgación de Datos que ha recibido durante los seis meses anteriores, que puede ser limitado por una ley aplicable o una orden judicial. Zendesk publicará el Informe de Transparencia en su sitio web y lo pondrá a disposición de las autoridades competentes en materia de protección de datos que lo soliciten.
7. Transferencias masivas
7.1 En ningún caso un Miembro del Grupo transferirá datos personales a una Autoridad Solicitante de forma masiva, desproporcionada e indiscriminada que vaya más allá de lo necesario en una sociedad democrática.