Zoom e il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea

Aggiornato: 18 agosto 2023

La missione di Zoom consiste nel procurare soddisfazione consentendo comunicazioni video senza difficoltà e siamo consapevoli che tale soddisfazione richiede privacy e sicurezza. Ecco perché ci impegniamo a garantire al massimo livello la protezione e la sicurezza delle comunicazioni dei nostri clienti, ad esempio rispettando gli obblighi per la privacy dei dati dello Spazio economico europeo ("SEE"), e principalmente del Regolamento in materia di protezione generale dei dati ("GDPR").

Zoom applaude al GDPR, in quanto offre l'opportunità di costruire basi più solide per la protezione dei dati, a vantaggio di tutti. Zoom riconosce che i nostri clienti (titolari del trattamento) devono garantire che Zoom (responsabile del trattamento) implementi misure tecniche e organizzative in modo da rispettare gli obblighi di conformità al GDPR. Zoom è presente per aiutare e supportare i propri clienti nel loro ruolo di titolari del trattamento.

I seguenti punti rispecchiano l'impegno di Zoom riguardo alle pratiche di protezione dei dati.

 

Impegni contrattuali riguardo al GDPR per tutti i clienti di Zoom

Il GDPR richiede che i titolari del trattamento (come le organizzazioni e gli sviluppatori che utilizzano i servizi Zoom) utilizzino solo responsabili del trattamento (ad esempio Zoom) che trattino i dati personali per conto del titolare del trattamento e forniscano garanzie adeguate per soddisfare i requisiti specifici del GDPR. Zoom garantisce questi impegni a tutti i nostri clienti, integrando l'Appendice sul trattamento dei dati da parte di Zoom nelle Condizioni d'uso di Zoom.

Impegni contrattuali di Zoom rilevanti per il GDPR:

  • Zoom si impegna a essere trasparente e a utilizzare i dati personali solo per quanto dichiarato nel nostro accordo per la fornitura dei servizi o come altrimenti richiesto dai nostri clienti.
  • Zoom garantisce misure di sicurezza tecniche e organizzative adeguate per proteggere i dati personali che trattiamo.
  • Zoom assiste i clienti nell'adempiere ai loro obblighi quando i soggetti interessati al trattamento esercitano i diritti connessi ai dati personali trattati attraverso i nostri servizi (ad esempio richieste di informazioni, accesso, rettifica e cancellazione).

 

Supporto al trasferimento internazionale dei dati

Nel luglio 2020, la Corte di giustizia dell'Unione europea ("CJEU") ha emesso una sentenza sul caso C-311/18 (comunemente indicato come "Sentenza Schrems II") riguardante la validità dei trasferimenti dei dati al di fuori del SEE. La Sentenza Schrems II scaturiva da una denuncia presentata da un cittadino austriaco interessato al trattamento, Maximilian Schrems, riguardo al trasferimento dei propri dati personali negli Stati Uniti e alla possibilità di accedere ai suoi dati da parte delle agenzie governative degli Stati Uniti.

Nella Sentenza Schrems II, la CJEU dichiarò che lo schema Privacy Shield fra UE e Stati Uniti non era più previsto come mezzo legittimo per il trasferimento dei dati personali dal SEE agli Stati Uniti.

Ma soprattutto, la CJEU sostenne anche che le Clausole Contrattuali Standard della Commissione Europea ("SCC"), costituiscono la base dei trasferimenti internazionali di Zoom, rimangono un meccanismo legale per trasferire i dati personali dal SEE ai paesi esterni al SEE.

In seguito a questa sentenza, nel giugno 2021 la Commissione europea ha pubblicato delle nuove SCC. Zoom ha incorporato le nuove SCC in contratti in vigore dopo i periodi di transizione specificati dalla Commissione Europea (ad esempio, dal 27 settembre 2021 per i nuovi contratti e dal 27 dicembre 2022 per i contratti esistenti). Per ulteriori informazioni, consultare le Domande frequenti dei clienti sulle nuove SCC.

 

Il nuovo requisito di "Conoscenza del trasferimento".

La sentenza Schrems II ha introdotto anche un nuovo requisito. Prima di trasferire i dati personali a un paese esterno al SEE, che si ritiene come garantisca un livello di protezione adeguato, chi esporta i dati deve valutare se le SCC garantiscano adeguatamente che i dati personali rimangano protetti nel paese di destinazione, a un livello "sostanzialmente equivalente" alle norme sulla protezione dei dati della UE.

In altre parole, prima di fare affidamento alle SCC, si prevede che i soggetti che esportano e importano valutino se le legislazioni e le prassi del paese che riceve i dati possano pregiudicare il livello di protezione altrimenti fornito. Per supportare i nostri clienti in questa valutazione, abbiamo preparato una Valutazione dell'impatto del trasferimento dei dati per i seguenti prodotti:
Valutazione dell'impatto del trasferimento dati di Zoom Meetings/Webinars/Team Chat
Valutazione dell'impatto del trasferimento dati di Zoom Phone
Valutazione dell'impatto del trasferimento dati di Zoom Contact Center
Valutazione dell'impatto del trasferimento dati di Zoom Virtual Agent

Misure specifiche forti per assicurare la protezione dei dati di livello europeo

Zoom è impegnata a mantenere un livello di sicurezza elevato:

  • Zoom si avvale di una serie di tecnologie di crittografia per proteggere i dati in transito e in giacenza.
  • Zoom utilizza misure di sicurezza per supportare in modo continuativo la riservatezza, l'integrità, la disponibilità e la resilienza dei nostri sistemi e servizi di elaborazione.
  • Zoom adotta le misure necessarie per facilitare il tempestivo ripristino della disponibilità e l'accesso ai nostri sistemi e servizi di elaborazione in caso di incidenti tecnici o fisici.
  • Zoom implementa un procedimento per collaudare, verificare e valutare l'efficacia delle misure tecniche e organizzative che supportano le sicurezza del trattamento dei dati.

In particolare, le misure di sicurezza utilizzate da Zoom per garantire la sicurezza delle comunicazioni inviate e memorizzate attraverso la piattaforma Zoom includono le seguenti:

  • Crittografia end-to-end opzionale per le riunioni: gli utenti possono scegliere di abilitare la crittografia end-to-end per Zoom Meetings. Questo fornisce un livello elevato di sicurezza in quanto nessuna terza parte, tra cui Zoom, può accedere alle chiavi private delle sale riunioni.
  • Crittografia predefinita: il collegamento tra un determinato dispositivo e Zoom è crittografato per impostazione predefinita, utilizzando una combinazione miscela di TLS 1.2+ (Transport Layer Security), crittografia Advanced Encryption Standard AES GCM a 256 bit e SRTP (Secure Real-time Transport Protocol). I metodi effettivamente utilizzati dipendono dal fatto che l'utente utilizzi il client Zoom, un browser web, oppure una periferica o un servizio di terze parti, oppure il prodotto Zoom Phone. Per ulteriori informazioni, consultare il nostro white paper sulla crittografia.
  • Protezioni contro utenti non autorizzati a partecipare a una riunione: Zoom ha implementato numerose misure di salvaguardia e controllo per vietare la partecipazione alle riunioni da parte di partecipanti non autorizzati:
    • ID di riunione univoco di undici cifre
    • Password complesse
    • Sale d'attesa con la possibilità di ammettere automaticamente i partecipanti del proprio dominio o di un altro dominio selezionato
    • Funzionalità di blocco della riunione che può impedire a chiunque di accedere a una riunione
    • Possibilità di rimuovere i partecipanti
    • Profili di autenticazione che consentono solo l'ingresso di utenti registrati, o limitano a specifici domini e-mail
    • Lo strumento di Notifica di riunione a rischio può scansionare i post sui siti pubblici di social media e altre risorse pubbliche online per cercare i link alla riunione Zoom.
  • Inviti selettivi alle riunioni: l'organizzatore può invitare selettivamente i partecipanti tramite e-mail, IM o SMS. Ciò garantisce un maggiore controllo sulla distribuzione delle informazioni di accesso alla riunione. L'organizzatore può anche scegliere che solo i membri di un determinato dominio e-mail possano partecipare alla riunione.
  • Sicurezza nella riunione: Durante la riunione,, Zoom offre contenuti multimediali sicuri in tempo reale a ogni partecipante a una riunione Zoom. Ogni contenuto condiviso con i partecipanti è solo una rappresentazione dei dati originali. Questo contenuto è codificato e ottimizzato per la condivisione tramite un'implementazione protetta.
  • Controlli dell'organizzatore: i controlli dell'organizzatore della riunione possono attivare/disattivare la condivisione dei contenuti, la chat e la ridenominazione di sé stessi da parte dei partecipanti.
  • Segnalazioni: la segnalazione di una funzionalità dell'utente consente all'organizzatore della riunione di individuare un comportamento problematico.
  • Controlli di sicurezza nel prodotto: controlli di sicurezza con un'icona Sicurezza dedicata nell'interfaccia principale.
  • Sicurezza utente basata sul ruolo: le seguenti funzionalità di sicurezza pre-riunione sono disponibili per l'organizzatore della riunione:
    • Accesso protetto con nome utente e password standard o Single Sign-On SAML
    • Avvio di una riunione protetta con un codice di accesso
    • Pianificazione di una riunione protetta con un codice di accesso
  • Prevenzione di chiamate robotizzate: gli utenti possono prevenire le chiamate robotizzate con limitazione della frequenza e reCAPTCHA (richiede l'intervento umano) abilitati per tutte le piattaforme.

 

Scelte per il trattamento e la conservazione dei dati

Zoom comprende che i clienti possono voler scegliere i data center che trattano e conservano alcuni dati.

Dati in transito e trattamento. Zoom instrada i dati dei clienti in transito attraverso la sua rete globale di data center ubicati e di centri dati cloud pubblici (compresi i data center di Amazon Web Services ("AWS")). I Servizi Zoom sono pensatii per operare in modo che le informazioni che entrano nell'ecosistema Zoom vengano instradate attraverso il data center più vicino all'utente che invia o riceve i dati.

I titolari e gli amministratori degli account a pagamento possono, a livello di account, gruppo o utente, scegliere di accedere o meno a specifici data center di Zoom. Questi data center saranno utilizzati per il trattamento di video, audio e contenuti condivisi in tempo reale dei partecipanti a riunioni e webinar durante l'organizzazione di riunioni e webinar. I data center del Paese che supporta la regione in cui è stato fornito un account saranno bloccati come opt-in per il trattamento. Le scelte del data center di Zoom si applicano solo quando un account organizza una riunione o un webinar. Quando un account che organizza un meeting o un webinar ha optato per l'esclusione di uno o più data center, i dati video, audio e i contenuti condivisi in tempo reale di tutti i partecipanti al meeting e al webinar saranno trattati solo da un data center Zoom che ha optato per l'esclusione. Tuttavia, Zoom può instradare il traffico tra i data center utilizzando i protocolli di routing di rete standard del settore mentre attraversa le connessioni di rete private di Zoom (ovvero, edge-routing). È possibile trovare dettagli aggiuntivi in questo articolo di assistenza.

Archiviazione dei dati: i clienti possono scegliere la sede di archiviazione dei dati per alcuni contenuti dei clienti. I Contenuti del cliente sono informazioni fornite da un cliente attraverso l'uso del servizio Zoom, compresi tutti i dati che un cliente sceglie di registrare o condividere durante una riunione o un webinar. Tra questi, ad esempio, le registrazioni nel cloud, le trascrizioni delle riunioni, le trascrizioni delle chat (durante le riunioni e persistenti) e i file scambiati durante una riunione o nel canale di chat persistente.

Contenuti del cliente sono conservati per impostazione predefinita negli Stati Uniti. I clienti degli account a pagamento possono scegliere la sede di archiviazione dei dati per alcuni contenuti dei clienti del loro account. Solo i titolari degli account, gli amministratori o coloro che hanno il privilegio del profilo dell'account cliente potranno modificare questa impostazione. È possibile trovare dettagli aggiuntivi in questo articolo di assistenza. I contenuti dei clienti, i dati degli account e i dati diagnostici sono ancora conservati negli Stati Uniti

Protocolli rigorosi per rispondere alle richieste di informazioni delle organizzazioni governative

Zoom si impegna a tutelare la privacy dei nostri clienti e utenti, e fornisce i dati degli utenti ai governi solo in risposta a richieste valide e legittime in conformità con la nostra Guida alle richieste della pubblica amministrazione e alle politiche giuridiche in vigore.

In tutte le aree geografiche:

  • Le richieste della Pubblica Amministrazione devono essere emesse secondo le leggi e le normative vigenti, e attraverso i canali ufficiali, compresa la richiesta di un documento ufficiale firmato o di un'e-mail di richiesta inviata dall'indirizzo e-mail ufficiale di un ente governativo.
  • Ogni richiesta deve essere esplicita, non eccessivamente ampia e legata a una valida base giuridica. Le richieste che non rispondono a questi requisiti verranno rifiutate o contestate.
  • Eseguiremo esami aggiuntivi su alcune richieste governative di informazioni sugli utenti, sulla base dei nostri principi e interessi per la promozione di collaborazioni corrette a livello mondiale.

Se una richiesta è troppo vaga, Zoom contesterà la validità della richiesta per ridurre al minimo la gamma delle informazioni fornite.

Di regola, Zoom segnala agli utenti le richieste di informazioni da parte delle organizzazioni governative, compresa una copia della richiesta ricevuta, a meno che non ci venga legalmente vietata la notifica all'utente. Le richieste di eccezioni per la notifica all'utente deve includere una descrizione delle circostanze esigenti o di un potenziale effetto negativo della notifica.

 

Maggiore trasparenza

  • Report sulla trasparenza: nel dicembre 2020, Zoom ha pubblicato il suo primo report sul numero di richieste ricevute dalle autorità statunitensi e internazionali (Report sulla trasparenza delle richieste della pubblica amministrazione). Vogliamo fare in modo le nostre relazioni sulla trasparenza continuino a migliorare. Il nostro Report sulla trasparenza più recente è disponibile qui. Ulteriori relazioni sulla trasparenza saranno rese disponibile nello Zoom Trust Center.
  • Notifiche nel prodotto: Zoom continua gli aggiornamenti per integrare notifiche sulla privacy specifiche per le funzionalità nell'esperienza di Zoom, in modo da aiutare gli utenti a capire, nel contesto, chi può vedere e condividere i contenuti e le informazioni che condividono in Zoom. Ad esempio, se un utente vuole per sapere chi può vedere i messaggi che invia attraverso la funzione chat di Zoom, può andare su "Chi può vedere i tuoi messaggi?" per vedere chi è in grado di accedere ai messaggi inviati a tutti e ai messaggi privati.

 

Zoom progetta i propri servizi tenendo presenti i requisiti del GDPR

Lo zoom è impegnata a compiere ogni sforzo per integrare i requisiti del GDPR nel creare le funzionalità dei prodotti, promuovendo la protezione dei dati personali trattati attraverso i propri servizi. Per ulteriori informazioni sulle nostre procedure di raccolta dei dati, consultare la nostra Informativa sulla privacy, oppure inviare un'e-mail a privacy@zoom.us per qualsiasi domanda specifica relativa al GDPR.