Zoom e il Regolamento generale sulla protezione dei dati (General Data Protection Regulation, GDPR) dell'Unione Europea

Ultimo aggiornamento: 8 agosto 2024

La missione di Zoom consiste nel procurare soddisfazione consentendo comunicazioni video senza problemi e siamo consapevoli che tale soddisfazione richiede privacy e sicurezza. Ecco perché ci impegniamo a garantire al massimo livello la protezione e la sicurezza delle comunicazioni dei nostri clienti, ad esempio rispettando gli obblighi per la privacy dei dati dello Spazio economico europeo ("SEE"), e principalmente del Regolamento generale sulla protezione dei dati (General Data Protection Regulation, GDPR).

Zoom plaude al GDPR come base per la protezione dei dati a beneficio di tutti, non solo in Europa. Zoom supporta i nostri clienti implementando misure tecniche e organizzative in modo da allinearsi agli obblighi di conformità del GDPR. Zoom è presente per aiutare i propri clienti nel loro ruolo di titolari del trattamento.

I seguenti punti rispecchiano l'impegno di Zoom riguardo alle pratiche di protezione dei dati. 

Se vuoi saperne di più sulle pratiche di protezione dei dati di Zoom, dai un'occhiata anche alla Valutazione d'impatto sulla protezione dei dati ("DPIA") di Zoom eseguita in collaborazione con la cooperativa di istituti di istruzione e ricerca olandesi SURF in questo blog (e la stessa DPIA dell'azienda per la privacy). 

Impegni contrattuali GDPR per tutti i clienti Zoom
Il GDPR richiede che i titolari del trattamento dei dati (come le organizzazioni e gli sviluppatori che utilizzano i servizi di Zoom) utilizzino solo responsabili del trattamento dei dati (come Zoom) che trattano i dati personali per conto del titolare del trattamento e forniscono garanzie adeguate per soddisfare i requisiti specifici del GDPR. Zoom fornisce questi impegni a tutti i suoi clienti incorporando l'Addendum sul trattamento dei dati di Zoom nelle Condizioni del servizio di Zoom.

Impegni contrattuali di Zoom rilevanti per il GDPR:

  • Zoom si impegna a essere trasparente e a utilizzare i dati personali solo per quanto dichiarato nel nostro accordo per la fornitura dei servizi o come altrimenti richiesto dai nostri clienti.
  • Zoom garantisce misure di sicurezza tecniche e organizzative adeguate per proteggere i dati personali che trattiamo.
  • Zoom assiste i clienti nell'adempiere ai loro obblighi quando i titolari del trattamento esercitano i diritti connessi ai dati personali trattati attraverso i nostri servizi (ad esempio richieste di informazioni, accesso, rettifica e cancellazione).

Tutele per il trasferimento internazionale dei dati

United States of America

Il GDPR contiene norme specifiche per il trasferimento di dati personali in paesi al di fuori dello Spazio economico europeo (SEE). In linea di principio, i dati personali possono essere trasferiti in paesi al di fuori del SEE solo se il paese dispone di un livello di protezione adeguato. 

L'adeguatezza determina se le misure di protezione dei dati di un paese terzo sono considerate adeguate a garantire un livello di protezione equivalente a quello fornito all'interno dell'UE. Una decisione di adeguatezza della Commissione europea consente la libera circolazione dei dati personali dall'UE al paese terzo senza la necessità di ulteriori garanzie. Dal 10 luglio 2023 è in vigore una nuova decisione di adeguatezza della Commissione europea per i partecipanti al quadro UE-USA sulla privacy dei dati (DPF). Zoom si è registrato come partecipante attivo

Il Data Privacy Framework (DPF) è nato come risposta alle crescenti preoccupazioni in materia di protezione dei dati e privacy nell'era digitale. Mira ad armonizzare e migliorare le norme in materia di protezione dei dati, in particolare per quanto riguarda il trasferimento transfrontaliero di dati personali. L'importanza del DPF risiede nel suo ruolo di facilitare il commercio e la comunicazione internazionali, garantendo al contempo la protezione dei diritti alla privacy degli individui. La sua rilevanza si estende a varie parti interessate, tra cui aziende, autorità di regolamentazione e privati, stabilendo linee guida e obblighi chiari per la gestione dei dati. L'applicabilità del DPF è fondamentale nel contesto del trasferimento sicuro dei dati, in quanto fornisce un quadro giuridico che garantisce la conformità delle leggi sulla protezione dei dati, promuovendo in tal modo la fiducia e la responsabilità negli scambi transfrontalieri di dati. 

Altri paesi terzi

I dati personali possono essere trasferiti dal SEE a paesi terzi al di fuori del SEE utilizzando le clausole contrattuali standard (SCC, note anche come clausole modello dell'UE) adottate dalla Commissione europea. Queste SCC garantiscono contrattualmente un elevato livello di protezione. Zoom ha implementato le nuove SCC nel 2021 nel DPA standard di Zoom. Zoom ha incorporato le nuove SCC negli accordi applicabili a seguito dei periodi di transizione specificati dalla Commissione Europea. Per ulteriori informazioni, consulta le nostre  FAQ per i clienti sulle nuove SCC. 

Valutazione dell'impatto del trasferimento dei dati
Al fine di aiutare i clienti di Zoom a rispettare i requisiti aggiuntivi quando si affidano all'SCC, Zoom offre le seguenti valutazioni dell'impatto del trasferimento dei dati per vari prodotti. Conformemente alle migliori best practice, l'esportatore e l'importatore sono tenuti a valutare se le leggi e le prassi del paese che riceve i dati possano compromettere il livello di protezione altrimenti fornito. 

Valutazione dell'impatto del trasferimento dei dati di Zoom Meetings/Webinar/Team Chat
Valutazione dell'impatto del trasferimento dei dati di Zoom Phone
Valutazione dell'impatto del trasferimento dei dati di Zoom Contact Center
Valutazione dell'impatto del trasferimento dei dati di Zoom Virtual Agent

 

Richieste del titolare del trattamento (DSAR)
Una richiesta di accesso ai dati del titolare del trattamento (DSAR) è un meccanismo fornito dal Regolamento generale sulla protezione dei dati (General Data Protection Regulation, GDPR) che consente alle persone, note come titolari del trattamento, di richiedere l'accesso ai propri dati personali detenuti dalle organizzazioni. Inoltre, i titolari del trattamento possono richiedere la rettifica di dati personali inesatti o incompleti. Ciò garantisce che eventuali errori nei dati vengano corretti tempestivamente. In determinate circostanze, le persone fisiche hanno il diritto di richiedere la cancellazione dei propri dati personali (comunemente indicato come diritto all'oblio). Si tratta di un diritto fondamentale ai sensi del GDPR, che enfatizza la trasparenza e il controllo degli individui sui propri dati personali. Zoom offre ai propri clienti uno strumento self-service per esercitare questi diritti in modo semplice e facile. Per saperne di più su questo strumento, visita il nostro sito web di assistenza

 

Archiviazione dei dati
Zoom offre ai clienti europei con account a pagamento idonei la possibilità di utilizzare i data center nell'Unione Europea (UE). I clienti possono scegliere le regioni del data center, oltre alla regione di origine determinata automaticamente, per l'hosting del traffico di riunioni e webinar in tempo reale. I clienti possono anche scegliere di archiviare le registrazioni localmente sui propri dispositivi o nel proprio data center locale. Puoi trovare maggiori informazioni sulla nostra pagina di assistenza. Per tali clienti, Zoom offre anche la possibilità di elaborare tutti i loro dati di assistenza esclusivamente nell'UE. Se desiderano offrire assistenza al di fuori del normale orario di lavoro nell'UE, possono dare il consenso specifico caso per caso al trasferimento dei dati personali a un helpdesk al di fuori dell'UE. 

 

Misure specifiche e rigorose per garantire la protezione dei dati in Europa
Zoom si impegna a mantenere un elevato livello di sicurezza:

  • Zoom sfrutta una gamma di tecnologie di crittografia per proteggere i dati dei clienti in transito e i dati archiviati.
  • Zoom utilizza misure di sicurezza per supportare in modo continuativo la riservatezza, l'integrità, la disponibilità e la resilienza dei nostri sistemi e servizi di elaborazione.
  • Zoom adotta le misure necessarie per facilitare il tempestivo ripristino della disponibilità e l'accesso ai nostri sistemi e servizi di elaborazione in caso di incidenti tecnici o fisici.
  • Zoom implementa un procedimento per collaudare, verificare e valutare l'efficacia delle misure tecniche e organizzative che supportano le sicurezza del trattamento dei dati.

In particolare, Zoom adotta diverse misure di sicurezza per salvaguardare le comunicazioni dei clienti trasmesse e archiviate sulla sua piattaforma. Tali misure includono quanto segue:

  • Crittografia end-to-end facoltativo per le riunioni: gli utenti possono scegliere di abilitare la crittografia end-to-end per Zoom Meetings. La crittografia end-to-end è progettata per crittografare i dati tra tutti i partecipanti alla riunione, in modo che nessun provider o sistema intermedio possa accedere alle comunicazioni, nemmeno Zoom.
  • Crittografia predefinita: la connessione tra un determinato dispositivo e Zoom è crittografata per impostazione predefinita, utilizzando una combinazione di TLS 1.2+ (Transport Layer Security), Standard di crittografia avanzato crittografia GCM AES a 256 bit e SRTP (Secure Real-time Transport Protocol). I metodi precisi utilizzati dipendono dal fatto che un utente utilizzi il client Zoom, un browser Web, un dispositivo o un servizio di terze parti o il prodotto Zoom Phone. Per ulteriori informazioni, consulta il nostro whitepaper sulla crittografia.
  • Protezioni contro utenti non autorizzati a partecipare a una riunione:  Zoom ha implementato numerose misure di salvaguardia e controllo per vietare la partecipazione alle riunioni da parte di partecipanti non autorizzati:
    • ID riunione univoco di undici cifre
    • Password complesse
    • Sale d'attesa con la possibilità di ammettere automaticamente i partecipanti del proprio dominio o di un altro dominio selezionato
    • Funzionalità di blocco della riunione che può impedire a chiunque di accedere a una riunione
    • Possibilità di rimuovere i partecipanti
    • Profili di autenticazione che consentono solo l'ingresso di utenti registrati, o limitano a specifici domini e-mail
    • Lo strumento di Notifica di riunione a rischio può scansionare i post sui siti pubblici di social media e altre risorse pubbliche online per cercare i link alla riunione Zoom
  • Inviti selettivi alle riunioni: l'organizzatore può invitare in modo selettivo i partecipanti tramite e-mail, messaggistica istantanea o SMS. In questo modo si ottiene un maggiore controllo sulla distribuzione delle informazioni di accesso alla riunione. L'organizzatore può anche creare la riunione per consentire l'accesso solo ai membri di un determinato dominio e-mail.
  • Sicurezza all'interno della riunione: durante la riunione, Zoom fornisce contenuti multimediali in tempo reale in modo sicuro a ciascun partecipante all'interno di una riunione Zoom. Tutti i contenuti condivisi con i partecipanti a una riunione sono solo una rappresentazione dei dati originali. Questo contenuto è codificato e ottimizzato per la condivisione utilizzando un'implementazione protetta.
  • Controlli dell'organizzatore: i controlli dell'organizzatore della riunione possono attivare/disattivare la condivisione dei contenuti, la chat e la ridenominazione di sé stessi da parte dei partecipanti.+
  • Cronaca: è possibile segnalare i partecipanti per comportamenti inappropriati durante le riunioni selezionando i partecipanti che si desidera segnalare, includendo eventuali dettagli scritti e aggiungendo allegati. Questa segnalazione viene inviata automaticamente al team Trust and Safety di Zoom per valutare eventuali usi impropri della piattaforma e bloccare un utente, se necessario.
  • Controlli di sicurezza nel prodotto: controlli di sicurezza con un'icona Sicurezza dedicata nell'interfaccia principale.
  • Sicurezza utente basata sul ruolo: le seguenti funzionalità di sicurezza pre-riunione sono disponibili per l'organizzatore della riunione:
    • Accesso protetto con nome utente e password standard o Single Sign-On SAML
    • Avvio di una riunione protetta con un codice di accesso
    • Pianificazione di una riunione protetta con un codice di accesso
  • Prevenzione delle chiamate automatiche: è stata implementata la funzione di screening delle chiamate per aiutare gli utenti a ridurre le chiamate automatiche indesiderate. I titolari e gli amministratori dell'account possono abilitare la funzione di screening delle chiamate nell'account, nel sito, nel gruppo, nell'utente, nell'area comune, nel centralinista automatico, nella coda delle chiamate e nel gruppo di linea condivisa. Questa funzione è abilitata e sbloccata per impostazione predefinita per l'intero account.

 

Scelte per l'elaborazione e l'archiviazione dei dati
Zoom comprende che i nostri clienti potrebbero voler avere la possibilità di scegliere i data center che elaborano e archiviano determinati dati.

Dati in transito ed elaborazione: Zoom instrada i dati dei clienti di Meetings in transito attraverso la sua rete globale di data center collocati e data center su cloud pubblico (inclusi i data center Amazon Web Services ("AWS"). I servizi Zoom Meetings sono progettati per funzionare in modo che le informazioni che entrano nell'ecosistema Zoom vengano instradate attraverso il data center più vicino all'utente che invia o riceve i dati.

I titolari e gli amministratori degli account a pagamento possono, a livello di account, gruppo o utente, scegliere di attivare o disattivare specifici data center Zoom che verranno utilizzati per l'elaborazione di video, audio e contenuti condivisi di riunioni e webinar in tempo reale dei partecipanti durante l'hosting di riunioni e webinar. I data center nel paese che supporta l'area geografica in cui è stato effettuato il provisioning di un account verranno bloccati come consenso esplicito per l'elaborazione. Le scelte del data center Zoom si applicano solo quando un account ospita una riunione o un webinar. Quando un account che ospita una riunione o un webinar ha disattivato qualsiasi data center, i dati video, audio e dei contenuti condivisi di riunioni e webinar in tempo reale di tutti i partecipanti verranno elaborati solo da un data center Zoom che ha aderito. Tuttavia, Zoom può instradare il traffico tra i data center utilizzando protocolli di instradamento di rete standard del settore durante l'attraversamento delle connessioni di rete private Zoom (ad esempio, edge routing). Ulteriori dettagli sono disponibili in questo articolo della Guida.

Archiviazione dei dati: i clienti possono scegliere la posizione di archiviazione dei dati per determinati Contenuti del cliente. I Contenuti del cliente sono informazioni fornite da un cliente attraverso l'uso del servizio Zoom, inclusi tutti i dati che un cliente sceglie di registrare o condividere durante una riunione o un webinar, tra cui, ad esempio, registrazioni cloud, trascrizioni di riunioni, trascrizioni di chat (in riunione e persistenti) e file scambiati durante una riunione o nel canale di chat persistente.

Per impostazione predefinita, i Contenuti dei clienti vengono archiviati negli Stati Uniti. I clienti con account a pagamento possono scegliere la posizione di archiviazione di alcuni dei loro Contenuti del cliente per il proprio account. Solo i titolari di account, gli amministratori dell'account o coloro che dispongono del privilegio del profilo dell'account cliente potranno modificare questa impostazione. Ulteriori dettagli sono disponibili in questo articolo della Guida. Si prega di notare che i Contenuti del Cliente, i Dati dell'Account e i Dati di Diagnostica sono ancora archiviati negli Stati Uniti.

 

Protocolli rigorosi per rispondere alle richieste di informazioni della Pubblica amministrazione
Zoom si impegna a proteggere la privacy dei propri clienti e utenti e fornisce i dati degli utenti ai governi solo in risposta a richieste valide e legittime, in conformità con la nostra Guida alle richieste della Pubblica amministrazione e alle politiche legali pertinenti.

In tutte le aree geografiche:

  • Le richieste dei governi devono essere emesse secondo le leggi e le normative vigenti, e attraverso i canali ufficiali, compresa la richiesta di un documento ufficiale firmato o di un'e-mail di richiesta inviata dall'indirizzo e-mail ufficiale di un ente della Pubblica amministrazione.
  • Ogni richiesta deve essere esplicita, non eccessivamente ampia e legata a una valida base giuridica. Le richieste che non rispondono a questi requisiti verranno rifiutate o contestate.
  • Eseguiremo esami aggiuntivi su alcune richieste della Pubblica amministrazione di informazioni sugli utenti, sulla base dei nostri principi e interessi per la promozione di collaborazioni corrette a livello mondiale.

Se una richiesta è troppo vaga, Zoom contesterà la validità della richiesta per ridurre al minimo la gamma delle informazioni fornite.

Di regola, Zoom segnala agli utenti le richieste di informazioni da parte delle organizzazioni governative, compresa una copia della richiesta ricevuta, a meno che non ci venga legalmente vietata la notifica all'utente. Le richieste di eccezioni per la notifica all'utente deve includere una descrizione delle circostanze esigenti o di un potenziale effetto negativo della notifica.

 

Maggiore trasparenza

  • Rapporto sulla trasparenza: Zoom ha pubblicato il suo primo rapporto sul numero di richieste ricevute dalle autorità statunitensi e internazionali nel dicembre 2020 (Report sulla trasparenza delle richieste della Pubblica amministrazione). Il nostro obiettivo è che ogni rapporto sulla trasparenza migliori il precedente. Il nostro Report sulla trasparenza più recente è disponibile qui. Ulteriori rapporti sulla trasparenza saranno resi disponibili nello Zoom Trust Center.
  • Notifiche all'interno del prodotto: Zoom si aggiorna continuamente per integrare le notifiche sulla privacy specifiche delle funzionalità nell'esperienza Zoom per aiutare gli utenti a capire, nel contesto, chi potrebbe essere in grado di vedere e condividere i contenuti e le informazioni che condividono su Zoom. Ad esempio, se un utente vuole sapere chi può vedere i messaggi che invia nella funzione di chat di Zoom, può andare su "Chi può vedere i tuoi messaggi?" per vedere chi può accedere ai messaggi che invia a tutti, nonché ai messaggi privati che invia.

 

Zoom progetta i suoi servizi tenendo i requisiti del GDPR in prima linea
Zoom si impegna a fare ogni sforzo per creare funzionalità di prodotto in linea con i requisiti del GDPR e promuovere la protezione dei dati personali trattati attraverso i nostri servizi. Per ulteriori informazioni sulle nostre pratiche in materia di dati, consulta la nostra Informativa sulla privacyoppure invia un'e-mail a privacy@zoom.us in caso di domande specifiche sul GDPR.