O presente Guia de perguntas frequentes: (a) é fornecido apenas para fins informativos, não podendo ser usado como aconselhamento legal; (b) representa as atuais ofertas e práticas da Zendesk, que estão sujeitas a mudanças; e (c) não implica compromisso nem garantias da Zendesk, de suas afiliadas ou de seus subprocessadores. As responsabilidades e os compromissos da Zendesk com seus Assinantes são controlados pelo Contrato Principal de Serviços da Zendesk (“MSA”) e pelo Acordo de Processamento de Dados (“DPA”), dos quais o presente documento não faz parte, nem modifica os acordos firmados entre as partes. Os termos em letra maiúscula utilizados, mas sem definição neste documento, serão definidos no MSA e no DPA.

Sabemos que transferências internacionais são uma área complexa em vista do caso Schrems II e das novas cláusulas contratuais padrão (“SCCs”), por isso, esperamos que este documento de perguntas frequentes ajude a responder dúvidas importantes sobre as recomendações do Comitê Europeu para a Proteção de Dados (EDPB) em relação ao seu uso dos serviços da Zendesk. Em caso de mais dúvidas sobre o tópico, envie um e-mail para euprivacy@zendesk.com.

1. O que diz o RGPD sobre transferências internacionais?

Os dados pessoais cobertos pelo RGPD podem ser transferidos para fora do Espaço Econômico Europeu (EEE) apenas se um mecanismo aprovado tiver sido adotado para garantir o cumprimento do nível de proteção de dados do RGPD.

Isso significa que as organizações devem, primeiro, conhecer e mapear todas as transferências de dados pessoais para países fora do EEE (primeira etapa das recomendações do EDPB).

2. Quais mecanismos de transferência internacional a Zendesk usa?

As organizações devem, portanto, identificar o mecanismo de transferência do qual dependem para cada transferência (segunda etapa das recomendações do EDPB). Alguns países fora do EEE (como o Reino Unido) se beneficiam de uma decisão de autoridade para proteção de dados da União Europeia. Usamos esse mecanismo sempre que possível.

Usamos as SCCs como um mecanismo de transferência internacional de dados pessoais entre Assinantes da Zendesk e subprocessadores da Zendesk em países fora do EEE/não adequados. Elas fornecem garantias contratuais de que os dados pessoais serão protegidos no padrão RGPD fora do EEE.

Usamos Regras corporativas de vinculação (“BCRs”), que incluem as proteções baseadas no caso Schrems II - consulte aqui e aqui - para transferências internacionais entre diferentes entidades da Zendesk. As BCRs são políticas aprovadas de autoridade de supervisão que governam assuntos de proteção de dados em um grupo de empresas, incluindo transferências internacionais entre entidades.

3. Como o caso Schrems II afeta o uso de SCCs e BCRs?

Os exportadores de dados precisam garantir que os países importadores forneçam proteção essencialmente equivalente à proteção da União Europeia para dados específicos, especialmente em relação à vigilância governamental (terceira etapa das recomendações do EDPB). Se um nível essencialmente equivalente de proteção não for fornecido, o exportador de dados deve implementar “medidas suplementares” para elevar o nível de proteção de dados a um padrão essencialmente equivalente (quarta etapa das recomendações do EDPB). 

É importante observar que o julgamento do caso Schrems II não requer localização de dados ou suporte apenas dentro da União Europeia. Algumas empresas podem interpretar isso como uma preferência ou medida técnica suplementar, mas não é um requisito legal explícito.

4. Qual é o relacionamento entre as novas SCCs e o Schrems II?

As novas SCCs foram implementadas, pois as versões anteriores se tornaram obsoletas. No entanto, a decisão do Schrems II impulsionou ainda mais o seu desenvolvimento. As novas SCCs codificam o requisito de Schrems II para empreender um Relatório de impacto da transferência (“TIA”). Elas também exigem que os importadores de dados sigam etapas específicas de proteção de dados se receberem uma solicitação de acesso governamental. As novas SCCs já foram incorporadas ao último DPA da Zendesk. 

5. O que é o TIA e como ele deve ser cumprido?

O TIA é um método de avaliação de fornecimento, no país importador, de um nível essencialmente equivalente de proteção para a transferência de dados específicos (terceira e quarta etapas das recomendações do EDPB), incluindo o cumprimento por leis de vigilância governamental locais das Garantias essenciais da UE para medidas de vigilância, quaisquer evidências práticas relevantes de vigilância governamental (por exemplo, solicitações de acesso do governo recebidas anteriormente pelo importador) e, se necessário, medidas suplementares que podem ajudar a atingir um nível de equivalência essencial. 

Criamos um guia para ajudar você a completar seus TIAs para o uso dos serviços da Zendesk. Esse guia inclui detalhes sobre as leis de vigilância governamental em cada país onde a Zendesk ou seus subprocessadores podem importar dados do Assinante. Você pode solicitar uma cópia do guia ao Executivo da sua Conta Zendesk.

6. Qual é a abordagem da Zendesk para solicitações de acesso do governo recebidas anteriormente?

Alinhado com o explicitado anteriormente, um TIA deve levar em consideração o processo do importador ao responder a solicitações de acesso do governo, tenha ele recebido outras solicitações desse tipo e se pode realmente fornecer informações sobre essas solicitações.

A Zendesk segue nossa Política de solicitação de dados pelo governo e as etapas no Artigo 15 das novas SCCs ao receber qualquer solicitação de acesso do governo. Isso inclui um pedido para que as autoridades entrem em contato com a controladora dos dados em primeira instância e, caso isso não seja possível, realizem uma avaliação jurídica cuidadosa da validade da solicitação. Como muitas outras empresas de tecnologia, a Zendesk esporadicamente recebe solicitações de autoridades policiais dos Estados Unidos, e outros locais, por dados armazenados pela Zendesk em nome do Assinante. Mais informações sobre as solicitações recebidas pela Zendesk podem ser encontradas em nosso relatório de transparência.

7. Qual é a abordagem da Zendesk quanto à FISA 702 após o Schrems II?

A FISA 702 autoriza a coleta de alguns tipos de inteligência estrangeira para fins de segurança nacional. Um tribunal federal especial, o Tribunal de Vigilância de Inteligência Estrangeira, monitora a coleta de inteligência para assegurar a adequação da condução com o estatuto da FISA e com a constituição dos EUA, especificamente a proteção da Quarta Emenda contra buscas e apreensões sem motivo razoável.

A Zendesk é uma corporação dos Estados Unidos, fundada e registrada no estado de Delaware, sujeita às leis dos Estados Unidos. O Zendesk é um serviço de computação remota (“RCS”) conforme definido na Lei de Privacidade de Comunicação Eletrônica (“ECPA”), Seção 2711 do Título 18 do U.S.C. ao fornecer Serviços para os Assinantes. A ECPA não permite que autoridades policiais acessem dados armazenados em um provedor de RCS a menos que obtenham um mandado, uma intimação ou uma ordem judicial. Os provedores de serviços de computação remota também podem estar sujeitos à Seção 702 da Lei de Vigilância de Inteligência Estrangeira (“FISA 702”) se armazenarem comunicações eletrônicas. 

Como parte de seu TIA, dependendo das circunstâncias, você pode presumir que não há motivos para acreditar que a FISA 702 seja aplicada na prática aos dados para os quais você usa a Zendesk como processadora, especialmente devido ao tipo de dados que a Zendesk processa em seu nome. Nesse sentido, após o Schrems II, o governo dos EUA assegurou que “a maioria das empresas dos EUA não lida com dados de interesse para as agências americanas de inteligência e que não há motivos para acreditar no contrário. Elas não estão envolvidas em transferências de dados que apresentam o tipo de risco à privacidade que preocupou o ECJ no Schrems II”.

Em segundo lugar, o relatório de transparência da Zendesk mostra que é rara a possibilidade de ocorrência de solicitações dessa natureza. Isso também pode levar você à conclusão de que não há motivos para acreditar que a FISA 702 seja aplicada na prática aos dados para os quais você usa a Zendesk como processadora.

Em terceiro lugar, como controlador, você tem o direito de consultar registros relacionados aos seus dados para verificar a ocorrência de acessos não autorizados (lembrando que, em circunstâncias normais, a equipe da Zendesk pode acessar seus dados apenas mediante sua aprovação). Portanto, essa medida suplementar pode garantir a resolução de qualquer problema de equivalência essencial para você.

8. Qual é a abordagem da Zendesk quanto à EO 12333 após o Schrems II?

A Ordem executiva (EO) 12333 não autoriza o governo dos EUA a obrigar que empresas ajudem na coleta de informações de inteligência estrangeira, e a Zendesk não colaborará voluntariamente. A Zendesk não recebeu ordens sobre dados em lote. Qualquer risco de EO 12333 será remediado se o importador dos dados usar uma criptografia em trânsito suficientemente forte. Isso acontece porque, aparentemente, a EO 12333 envolve a interceptação de dados antes da chegada deles nos servidores das empresas nos EUA. Se a criptografia for suficientemente forte, os dados interceptados não poderão ser lidos. 

A Zendesk fornece criptografia adequada para todas as comunicações com a interface do usuário e as APIs da Zendesk são criptografadas usando HTTPS/TLS (TLS 1.2 ou superior), padrão do setor em redes públicas. Os Dados de serviço são criptografados em repouso usando a criptografia com chave AES de 256 bits da AWS. Além disso, a Zendesk não criou backdoors para permitir que autoridades governamentais contornem suas medidas de segurança para obter acesso aos Dados de serviço. Portanto, isso deve significar que a Zendesk implementou medidas suplementares que lidam adequadamente com os riscos de equivalência essencial criados pela EO 12333.

9. Como você pode assegurar que seus dados estejam adequadamente protegidos sob as leis de vigilância em outros países onde a Zendesk os processa?

Conforme citado anteriormente, a Zendesk forneceu um resumo das leis locais relevantes em nosso guia de TIA. Após sua avaliação, você pode determinar que as leis de alguns desses países fornecem um nível de proteção de seus dados essencialmente equivalente às leis da União Europeia. Nesse caso, nenhuma outra ação é necessária para esses países.

Se você determinar que as leis desses países não oferecem proteção essencialmente equivalente aos seus dados, então, dependendo das circunstâncias (por exemplo, o tipo de dados), você pode decidir que ainda assim não há motivo para acreditar que as leis sejam realmente aplicadas aos seus dados. Você também pode considerar que as medidas suplementares instauradas pela Zendesk, como nossa política de acesso do governo e medidas de segurança aprimoradas, resolvem adequadamente problemas de equivalência essencial.

10. Quais outras etapas a Zendesk está adotando em resposta ao Schrems II?

Apreciamos o interesse de alguns de nossos Assinantes em soluções que aumentam ainda mais a conformidade no cenário de privacidade em constante mudança. Com isso em mente, temos o compromisso de desenvolver uma solução de Criptografia avançada, além de ofertas mais avançadas de localização de dados.

Além de nos concentramos na Criptografia avançada, estamos investindo na criação de mais recursos de privacidade e conformidade para permitir a implementação de políticas de retenção de dados, aumentar a visibilidade do acesso de agentes, permissão granular e mais ferramentas para ajudar com a minimização de dados em sua instância do Zendesk.

Estamos trabalhando ao máximo nesses projetos e forneceremos atualizações assim que possível. No entanto, se você desejar discutir algo em relação a eles, à nossa conformidade com Schrems II ou a assuntos gerais sobre proteção de dados, entre em contato com o Executivo da sua Conta Zendesk ou com euprivacy@zendesk.com.