Zoom e o Regulamento Geral de Proteção de Dados da União Europeia (GDPR)

Última atualização: 18 de agosto de 2023

A missão do Zoom é oferecer felicidade por meio de comunicações por vídeo de maneira simples e compreendemos que essa felicidade exige privacidade e segurança. É por isso que nos esforçamos para proteger e dar segurança às comunicações dos nossos clientes até o mais alto nível, como as obrigações de privacidade de dados no Espaço Econômico Europeu ("EEE"), principalmente o Regulamento Geral de Proteção de Dados (o "GDPR").

O Zoom enaltece o GDPR como uma oportunidade para desenvolver as bases de uma proteção de dados mais sólida para benefício de todos. O Zoom reconhece que nossos clientes (controladores de dados) precisam se assegurar de que o Zoom (o processador de dados) implemente medidas técnicas e organizacionais de uma maneira que se alinhe às obrigações de conformidade do GDPR. O Zoom está aqui para ajudar e apoiar nossos clientes em sua função como controlador de dados.

Os seguintes fatos refletem o compromisso do Zoom com as práticas de proteção de dados.

 

Compromissos contratuais do GDPR para todos os clientes Zoom

O GDPR exige que os controladores de dados (como organizações e desenvolvedores que utilizam os serviços do Zoom) usem apenas processadores de dados (como o Zoom) que processe dados pessoais em nome do controlador de dados e ofereça garantias adequadas para atender requisitos específicos do GDPR. O Zoom oferece esses compromisso para todos os clientes ao incorporar o Adendo de Processamento de Dados do Zoom aos Termos de Serviço do Zoom.

Os compromissos contratuais do Zoom relevantes para o GDPR:

  • O Zoom se esforça para ser transparente e se compromete a usar dados pessoais apenas conforme declarado no nosso acordo sobre a oferta de nossos serviços ou conforme instruído, de qualquer outra forma, pelos nossos clientes.
  • O Zoom mantém medidas de segurança técnica e organizacional adequadas para proteger os dados pessoais que processamos.
  • O Zoom auxilia os clientes a cumprir com suas obrigações quando os titulares de dados exercitam seus direitos presentes nos dados pessoais que processamos usando os nossos serviços (como solicitações de informações, acesso, retificação e exclusão).

 

Suporte para transferência internacional de dados

Em julho de 2020, o Tribunal de Justiça da União Europeia (o "TJUE") decidiu no caso C-311/18 (comumente referido como a "decisãoSchrems II") sobre a validade das transferências de dados fora do EEE. A decisão Schrems II se originou de uma reclamação feita por um titular de dados austríaco, Maximilliam Schrems, sobre a transferência dos seus dados pessoais para os Estados Unidos e o possível acesso aos seus dados pelas agências governamentais americanas.

Na decisão Schrems II, o TJUE considerou que a estrutura da Proteção de Privacidade UE-EUA não fornece mais um meio legal para transferir dados pessoais do EEE para os Estados Unidos.

Mas mais importante ainda, o CJEU também decidiu que as Cláusulas Contratuais Padrão (ou "SCCs") da Comissão Europeia, que constituem a base das transferências internacionais do Zoom, continuam sendo um mecanismo legal para a transferência dados do EEE para países que não fazem parte do EEE.

Após essa decisão, a Comissão Europeia publicou novas SCCs em junho de 2021. O Zoom incorporou as novas SCCs nos acordos aplicáveis em seguida aos períodos de transição especificados pela Comissão Europeia (por exemplo, a partir de 27 de setembro de 2021 para novos contratos e a partir de 27 de dezembro de 2022 para contratos existentes). Consulte nossas Perguntas Frequentes do Cliente sobre as novas SCCs para mais informações.

 

Nova exigência: "Conheça a sua transferência"

A decisão Schrems II também apresentou uma nova exigência. Antes de transferir dados pessoais para um país fora do EEE que não seja considerado como garantindo um nível adequado de proteção, os exportadores de dados devem avaliar se os SCCs garantem adequadamente que os dados pessoais permaneçam protegidos no país destinatário em um grau “essencialmente equivalente” à proteção de dados da UE as regras.

Em outras palavras, antes de se basear nas SCCs, os exportadores e importadores de dados têm agora que avaliar se as leis e práticas no país que receberá os dados podem comprometer o nível de proteção oferecido de outra forma. Para oferecermos suporte para nossos clientes com esta avaliação, preparamos Avaliações de Impacto de Transferência de Dados para os produtos a seguir:

Avaliação de Impacto de Transferência de Dados do Zoom Meetings/Webinars/Team Chat
Avaliação de Impacto de Transferência de Dados do Zoom Phone
Avaliação de Impacto de Transferência de Dados do Zoom Contact Center
Avaliação de Impacto de Transferência de Dados do Zoom Virtual Agent

 

Medidas sólidas específicas para garantir a proteção de dados europeia

O Zoom está compromissado em manter um alto nível de segurança:

  • O Zoom utiliza uma variedade de tecnologias de criptografia para proteger dados em trânsito e em repouso.
  • O Zoom utiliza medidas de segurança para suportar a contínua confidencialidade, integridade, disponibilidade e resiliência dos nossos sistemas de processamento e serviços.
  • O Zoom toma medidas para facilitar a restauração da disponibilidade e acesso imediato aos nossos sistemas de processamento e serviços no caso de um incidente físico ou técnico.
  • O Zoom implementa um processo para testar, avaliar e estimar regularmente a eficácia das medidas técnicas e organizacionais para apoiar a proteção dos dados que processamos.

Especificamente, as medidas de segurança que o Zoom usa para habilitar a segurança das comunicações enviadas pela plataforma do Zoom e armazenadas por ela, incluem o seguinte:

  • Criptografia ponta a ponta opcional para reuniões: os usuários podem escolher habilitar a criptografia ponta a ponta para as Zoom Meetings. Isso oferece um alto nível de proteção, já que nenhum terceiro, incluindo o Zoom, tem acesso às chaves de privacidade da reunião.
  • Criptografia padrão: A conexão entre um determinado dispositivo e o Zoom é criptografada por padrão, usando uma mistura de TLS 1.2+ (Transport Layer Security), criptografia AES GCM de 256 bits do Advanced Encryption Standard e SRTP (Secure Real-time Transport Protocol). Os métodos precisos usados dependem se um usuário usa o cliente Zoom, um navegador da web, um dispositivo ou serviço de terceiros ou o produto Zoom Phone. Para obter mais informações, consulte nosso whitepaper de criptografia.
  • Proteções contra participantes não autorizados da reunião: o Zoom implementou várias proteções e controles para proibir participantes não autorizados de participar de reuniões:
    • IDs de reunião únicos com onze dígitos
    • Senhas complexas
    • Salas de espera com o recurso de admitir automaticamente os participantes que possuem o nome do seu domínio ou outro domínio selecionado
    • Recurso de bloqueio de reunião que pode impedir que qualquer pessoa entre na reunião
    • Recurso de excluir participantes
    • Perfis de autenticação que permitem apenas a entrada de usuários registrados ou restringem a domínios de e-mail específicos
    • Ferramenta de notificação de Reunião em Risco pode verificar postagens públicas em sites de mídia social e outros recursos públicos on-line em busca de links para reuniões Zoom.
  • Convites seletivos de reunião: o anfitrião pode convidar participantes de forma seletiva por e-mail, chat ou SMS. Isso oferece um maior controle em relação a distribuição das informações de acesso à reunião. O anfitrião também pode criar a reunião para permitir que apenas membros de um certo domínio de e-mail possam acessar a reunião.
  • Segurança interna da reunião: durante a reunião, o Zoom oferece em tempo real, conteúdo rich media de forma segura para cada participante de uma reunião Zoom. Todo o conteúdo compartilhado com os participantes em uma reunião é apenas uma representação dos dados originais. Este conteúdo é codificado e otimizado para compartilhamento usando uma implementação protegida.
  • Controles do anfitrião: os organizadores da reunião podem habilitar/desabilitar o compartilhamento, chat e alteração do próprio nome pelos participantes.
  • Relatórios: Relatar um recurso de usuário permite que o organizador da reunião sinalize um comportamento problemático.
  • Controles de segurança no produto: controles de segurança com um ícone de segurança dedicado na interface principal.
  • Segurança do usuário baseada em função: Os seguintes recursos de segurança pré-reunião estão disponíveis para o organizador da reunião:
    • Login protegido usando o nome de usuário e senha padrões ou logon único SAML
    • Inicie uma reunião protegida por um código
    • Agende uma reunião protegida por um código
  • Prevenção de robocall: os usuários podem evitar robocalling com limitação de taxa e reCAPTCHA (requer intervenção humana) ativado em todas as plataformas.

 

Escolhas para processamento e armazenamento de dados

O Zoom compreende que nossos clientes podem desejar ter opções sobre os datacenters que processam e armazenam certos dados.

Dados em trânsito e processamento: o Zoom encaminha os dados do cliente em trânsito através de sua rede global de datacenters colocados e datacenters públicos na nuvem (incluindo os datacenters da Amazon Web Services ("AWS")). Os serviços Zoom foram criados para funcionar de modo que as informações que entram no ecossistema Zoom são direcionadas através do datacenter mais próximo do usuário enviando ou recebendo os dados.

Os proprietários e administradores em contas pagas podem, no nível de conta, grupo ou usuário, optar por usar ou não datacenters específicos da Zoom que serão usados para processar o vídeo, áudio e conteúdo compartilhado em tempo real em reuniões e webinars enquanto organizam reuniões e webinars. Os datacenters no país da região onde uma conta foi provisionada serão bloqueados como opção de processamento. As escolhas de datacenter Zoom se aplicam somente quando uma conta estiver organizando uma reunião ou webinar. Quando uma conta organizando uma reunião ou webinar optar por não usar nenhum datacenter, todos os dados de vídeo, áudio e conteúdo compartilhado dos participantes de reuniões e webinars em tempo real serão processados apenas por um datacenter Zoom escolhido. Contudo, a Zoom pode encaminhar através do tráfego entre os datacenters usando protocolos de roteamento de rede padrão do setor enquanto se deslocam nas conexões de rede privadas da Zoom (exemplo, roteamento de borda). Detalhes adicionais podem ser encontrados neste artigo de ajuda.

Armazenamento de dados: clientes podem escolher o local de armazenamento de dados para alguns de seus Conteúdos do Cliente. Os Conteúdos do Cliente são informações fornecidas por um cliente através do uso do serviço Zoom, incluindo todos os dados que um cliente escolhe gravar ou compartilhar em uma reunião ou webinar, incluindo, por exemplo, gravações na nuvem, transcrições de reunião, transcrições de chat (na reunião e persistente) e arquivos que são trocados durante uma reunião ou no canal de chat persistente.

O Conteúdo do Cliente é armazenado nos EUA por padrão. Os clientes em contas pagas podem escolher o local de armazenamento de alguns de seus Conteúdos do Cliente em sua conta. Apenas portadores de conta, administradores da conta ou aqueles com privilégio de perfil de conta de cliente poderão alterar essa configuração. Detalhes adicionais podem ser encontrados neste artigo de ajuda. Observe que o Conteúdo do Cliente, Dados de Conta e Dados de Diagnóstico ainda são armazenados nos EUA.

 

Protocolos rigorosos para responder às solicitações governamentais por informações

O Zoom está comprometido em proteger a privacidade de nossos clientes e usuários e só produz dados de usuários para governos em resposta a solicitações válidas e legais, de acordo com nosso Guia de Solicitações Governamentais e políticas legais relevantes.

Em todas as áreas geográficas:

  • As solicitações governamentais devem ser emitidas de acordo com a legislação e regulamentos em vigor, por meio de canais oficiais, incluindo a exigência de um documento oficial assinado ou uma solicitação por e-mail enviada por meio de um endereço de e-mail oficial da entidade governamental.
  • Cada solicitação deve ser explícita, restrita a um tópico relevante e ter uma base legal válida. Rejeitaremos ou contestaremos solicitações que não atendam a esses requisitos.
  • Faremos uma avaliação adicional de determinadas solicitações governamentais de informações do usuário com base em nossos princípios e em nosso interesse de promover uma colaboração bem-sucedida em todo o mundo.

Se uma solicitação for muito vaga, o Zoom contestará a validade da solicitação para minimizar o espectro das informações enviadas.

Normalmente, o Zoom notifica os usuários em relação às solicitações por informação feitas pelo governo, incluindo uma cópia da solicitação recebida, exceto se formos legalmente proibidos de notificar o usuário. Solicitações para exceções em relação a notificação do usuário deve incluir uma descrição das circunstâncias prementes ou os resultados adversos possíveis caso a notificação ao usuário seja feita.

 

Maior transparência

  • Relatórios de transparência: O Zoom publicou seu primeiro relatório sobre o número de solicitações recebidas de autoridades americanas e internacionais em dezembro de 2020 (Relatório de transparência de Solicitações do Governo). Nosso objetivo é aprimorar cada relatório de transparência em relação ao anterior. Nosso mais recente Relatório de transparência está disponível aqui. Outros Relatórios de Transparência serão disponibilizados no Zoom Trust Center.
  • Notificações no produto: o Zoom está continuamente se atualizando para integrar recursos específicos de notificações de privacidade na experiência do Zoom para ajudar os usuários a compreender, dentro do contexto, quem pode ver e compartilhar o conteúdo e as informações que eles compartilham no Zoom. Por exemplo, se um usuário deseja saber quem pode ver as mensagens que ele envia no recurso de chat do Zoom, basta acessar "Quem pode ver as suas mensagens?" para checar quem pode acessar as mensagens que ele envia para outras pessoas, assim como, as mensagens privadas que ele envia.

 

O Zoom projeta seus serviços tendo as exigências do GDPR como diretriz

O Zoom está comprometido em fazer todos os esforços para desenvolver recursos para o produto que se alinhem com as exigências do GDPR e incentiva a proteção dos dados pessoais processados pelos nossos serviços. Para obter mais informações sobre nossas práticas de dados, consulte nossa Declaração de privacidade ou envie um e-mail para privacy@zoom.us se tiver alguma dúvida específica do GDPR.