Zscaler y el RGPD

Introducción

El Reglamento General de Protección de Datos (RGPD) (Reglamento (UE) 2016/679), que entró en vigor el 25 de mayo de 2018, es un reglamento por el cual el Parlamento Europeo, el Consejo Europeo y la Comisión Europea pretenden fortalecer y unificar la protección de datos para las personas dentro de la Unión Europea (UE). También aborda la transferencia de datos personales fuera de la UE. Los objetivos principales del RGPD son (i) mejorar la protección de los datos personales de la UE y (ii) simplificar el entorno normativo para las empresas internacionales imponiendo requisitos uniformes de protección de datos a todos los miembros de la UE.

El RGPD sustituye a la Directiva de Protección de Datos (oficialmente la Directiva 95/46/CE) adoptada en 1995. El RGPD supone un cambio significativo en el panorama de la privacidad de datos en la UE y asigna más claramente la responsabilidad entre el responsable del tratamiento de datos (clientes y socios de Zscaler) y el procesador de datos (Zscaler) en lo referente al procesamiento de datos personales. En virtud del RGPD, tanto el responsable del tratamiento de datos como el procesador de datos tienen deberes y obligaciones adicionales para proteger los datos personales y ambos son responsables de cualquier fallo en el cumplimiento de los requisitos del RGPD.

Zscaler está comprometido con el éxito de nuestros clientes, incluido el cumplimiento del RGPD. El RGPD requerirá una asociación más estrecha entre Zscaler y nuestros clientes en el uso de nuestros servicios y productos. Zscaler ha analizado detenidamente los requisitos del RGPD y ha realizado mejoras en nuestros servicios, productos, documentación y contratos para apoyar nuestro propio cumplimiento del RGPD. Además, Zscaler se compromete a ayudar a nuestros clientes en sus esfuerzos de cumplimiento del RGPD.

Para ayudar a nuestros clientes a cumplir con el RGPD, hemos compilado una completa “Tabla comparativa de responsabilidades del procesador de datos frente al responsable del tratamiento de datos que incluye las obligaciones del cliente como responsable del tratamiento de datos frente a las obligaciones de Zscaler como procesador de los datos. Esta tabla es una herramienta útil para que nuestros clientes comprendan mejor qué deben hacer exactamente para cumplir con el RGPD y qué pueden esperar de Zscaler.

Cumplimiento de Zscaler con el RGPD

Como proveedor de seguridad como servicio, la protección de datos es la base de la actividad de Zscaler y algo que Zscaler se toma muy en serio. Zscaler se mantiene comprometido a proteger los datos personales de acuerdo con los más altos estándares de privacidad y seguridad. A continuación se muestra un resumen de alto nivel del cumplimiento de Zscaler con varias de las áreas clave del RGPD.

¿Cómo garantiza Zscaler contractualmente su cumplimiento del RGPD?
  • Acuerdo de procesamiento de datos (DPA) actualizado: Zscaler ha actualizado su DPA para que se alinee con los requisitos del RGPD. Este DPA actualizado contiene disposiciones contractuales revisadas o adicionales para ayudar a nuestros clientes a cumplir con el RGPD. Puede descargar el DPA prefirmado en el siguiente enlace y seguir las instrucciones de la página 1 para ejecutarlo. Además, a continuación encontrará una útil carta de cobertura de DPA que hemos reunido para ayudar en su revisión de nuestro DPA.
  • Cuando actúe como procesador de datos, Zscaler exclusivamente tratará los datos personales en nombre del responsable del tratamiento de datos y previa autorización por escrito de este (es decir, a través de un contrato o de un pedido, e incluyendo en el DPA detalles de dichas instrucciones).
  • Además, hemos firmado acuerdos por escrito de conformidad con los requisitos del Artículo 28(4) del RGPD con todos los subprocesadores y seguimos siendo responsables de los actos y omisiones de dichos subprocesadores. Nuestros esfuerzos de diligencia debida también implican garantizar que todos nuestros subprocesadores mantengan su cumplimiento de las leyes de protección de datos.
Acuerdo de procesamiento de datos (DPA) prefirmado por Zscaler y carta de presentación del DPA
¿Qué procesos pone en marcha Zscaler para proteger los datos personales?
  • Zscaler garantiza la confidencialidad y la disponibilidad de los datos personales que procesa y que se toman las medidas técnicas y organizativas adecuadas para proteger dichos datos personales. 
  • Zscaler espera que sus clientes y socios, como los responsables del tratamiento de datos, notifiquen a sus empleados y usuarios (es decir, los interesados) acerca del procesamiento realizado por Zscaler y obtengan su consentimiento para que Zscaler lo haga.
  • Zscaler solo procesa o almacena una cantidad limitada de datos personales (por ejemplo, direcciones IP, URL, ID de usuario, grupos de usuarios y departamentos del directorio corporativo). Consulte la sección siguiente para conocer algunas medidas de seguridad que aplicamos para proteger esos datos. 
  • Teniendo en cuenta el objetivo de minimización de datos, Zscaler no procesa ni almacena ningún dato personal que no sea necesario para prestar los servicios contratados en nombre del responsable del tratamiento de datos. Además, los datos personales no se divulgarán, se comunicarán ni se utilizarán para fines distintos a los servicios contratados en nombre del responsable del tratamiento de datos, salvo que lo exija la ley.
  • Durante el proceso de implementación, los clientes pueden elegir que sus registros de clientes se almacenen únicamente en la UE (Alemania y Países Bajos) y en Suiza. Zscaler conserva los registros de los clientes en su infraestructura en la nube durante periodos renovables de seis meses o menos, dependiendo del producto, después de lo cual los registros de los clientes se eliminan de forma segura. Además, por un cargo adicional, los clientes pueden almacenar sus registros de clientes en servidores administrados por Zscaler en las propias instalaciones del cliente (Nanolog Streaming Service), durante el tiempo que decidan. Al finalizar o expirar el contrato, los registros de clientes se eliminan de conformidad con el ciclo de retención de seis meses (o antes), o según lo solicitado anteriormente por escrito por el responsable del tratamiento de datos.
  • Todas las transferencias de datos personales fuera del Espacio Económico Europeo (EEE) se realizarán exclusivamente con el fin de proporcionar los servicios contratados al responsable del tratamiento de datos y estarán sujetas a cláusulas contractuales estándar de la UE, a menos que los datos se transfieran a un país que la Comisión Europea reconozca proporciona un nivel adecuado de protección de datos (actualmente estos son: Andorra, Argentina, Canadá (solo organizaciones comerciales), Islas Feroe, Guernsey, Israel, Isla de Man, Japón, Jersey, Nueva Zelanda, Suiza y Uruguay. Si desea una actualización, consulte  https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en ). 
  • Zscaler obtendrá el consentimiento del responsable del tratamiento de datos antes de contratar a cualquier subprocesador, lo que puede implicar el consentimiento contractual o el consentimiento general. Zscaler será responsable del rendimiento de dichos subprocesadores. Zscaler mantendrá una lista de subprocesadores actualizada en https://www.zscaler.com/legal/subprocessors .
  • Zscaler pondrá a disposición del responsable del tratamiento de datos toda la información razonablemente necesaria para que el responsable del tratamiento de datos demuestre su cumplimiento con el RGPD.
  • Zscaler será responsable de garantizar su propio cumplimiento conforme al RGPD.
  • Zscaler ayudará al responsable del tratamiento de datos a cumplir con las obligaciones de cumplimiento del responsable del tratamiento de datos bajo el RGPD, teniendo en cuenta la naturaleza del procesamiento y la información disponible para Zscaler.
  • Con aviso previo por escrito, y sujeto a ciertos requisitos y controles de Zscaler, Zscaler permitirá a sus clientes y socios realizar auditorías anuales e inspecciones automatizadas de su nube.
  • Zscaler notificará al responsable del tratamiento de datos sin demora indebida tras tener conocimiento de una violación de datos personales y ayudará al responsable del tratamiento de datos a informar a las autoridades de supervisión y a los sujetos de datos de la UE afectados sobre cualquier violación de datos personales.
¿Qué medidas de seguridad aplica Zscaler para proteger los datos personales?
  • Zscaler protege los datos personales mediante medidas de seguridad contra riesgos como pérdida o acceso, destrucción, uso, modificación o divulgación no autorizados. Zscaler cifra todas las comunicaciones de tráfico en su nube, además de anonimizar, seudonimizar u ocultar los datos cuando sea técnicamente posible. Estas son algunas de las maneras en las que ayudamos a nuestros clientes minimizando el alcance del procesamiento de datos que Zscaler llevará a cabo y garantizando que los datos que procesamos estén protegidos con tecnología de última generación:
    • Para la mayoría de los servicios y productos de Zscaler, Zscaler nunca almacena ni escribe en un disco el contenido de las transacciones HTTP, HTTPS y no HTTP; toda la inspección se realiza en la memoria.
    • Para los clientes que piden el producto de sandbox en la nube de Zscaler, Zscaler registra el contenido malicioso en un disco de almacenamiento; sin embargo, los clientes pueden decidir qué archivos enviar al sandbox de Zscaler (dependiendo del tipo de archivo, categoría de URL, usuario/grupo, etc.).
    • Para el software Zscaler Client Connector, los clientes pueden habilitar o deshabilitar globalmente la captura de paquetes a través de políticas con Zscaler y eliminar los registros de captura de paquetes del ordenador portátil, ordenador de sobremesa o dispositivo móvil personal correspondiente.
    • Habilitar la inspección SSL no cambia la cantidad limitada de datos que Zscaler procesa o almacena. Por el contrario, proporciona una capa adicional de protección de seguridad frente a aquellas amenazas que se ocultan detrás del tráfico cifrado y proporciona una protección adicional para los empleados de nuestros clientes y otros usuarios.
    • Los clientes tienen la opción de ocultar sus identificaciones de usuario para que los equipos de Operaciones y Soporte de Zscaler o sus propios administradores no las vean.
    • Los registros de transacciones de clientes (registros de clientes) se indexan, se comprimen y se convierten en tokens en el punto de generación, lo que garantiza que un único registro de clientes no tenga sentido sin una cadena completa de registros de clientes históricos y sin el acceso a los índices almacenados en la Autoridad Central (CA) de Zscaler. Por lo tanto, incluso teniendo acceso a los datos almacenados, no se pueden extraer los datos personales sin que la interfaz de usuario de Zscaler reúna la información de los registros de los clientes y la información de la CA.
    • Los registros de clientes nunca se almacenan en texto claro.
  • Dado que Zscaler opera una nube multiusuario, ha obtenido la certificación del marco de seguridad de la información ISO 27001 para mantener controles y procedimientos de seguridad consistentes y sólidos para todos los clientes en su nube. Además, Zscaler se adhiere a los controles de sistemas y organizaciones (SOC) 2, los estándares de Tipo II, así como a varias otras certificaciones, como FedRAMP ISO 27018 o FIPS 140-2 (consulte https://www.zscaler.com/privacy-compliance/compliance para más detalles).
  • Además de adherirse a los principios de la norma ISO 27001, los centros de datos globales de primer nivel que utiliza Zscaler se toman la seguridad tan en serio como Zscaler, a través de, entre otras protecciones, sofisticados sistemas de control de entrada, alimentación doble con generadores de respaldo y video vigilancia.
  • Zscaler aplica sólidas medidas de seguridad en su nube, como antivirus, cortafuegos, escaneo programado de vulnerabilidades, pruebas de penetración y revisiones por pares de códigos de seguridad.
  • La infraestructura en la nube de Zscaler está reforzada frente a los ataques DDoS y se supervisa 24x7x365.
  • Zscaler solo permite el acceso a los datos personales de los miembros de su personal que son administradores autorizados con los privilegios adecuados.
  • Todo el personal de Zscaler autorizado a procesar datos personales se ha comprometido a sí mismo (a través de contratos de empleo y confidencialidad) a respetar la confidencialidad y seguridad de los datos personales.
  • A través de la red global de centros de datos y las capacidades de conmutación por error de Zscaler, Zscaler puede garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de sus sistemas y servicios de procesamiento, además de restaurar la disponibilidad en tiempo real y el acceso a los datos personales de manera oportuna en caso de un incidente físico o técnico.
  • Zscaler dispone de un proceso interno para probar, analizar y evaluar regularmente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento de los datos personales.
  • Los datos personales que Zscaler procesa en nombre del responsable del tratamiento de datos serán exactos, completos y se mantendrán actualizados en la medida en que sea técnicamente posible.
PREGUNTAS FRECUENTES SOBRE EL RGPD

Hemos reunido las siguientes preguntas frecuentes para responder a las cuestiones más comunes que recibimos de los clientes y socios en relación con nuestra plataforma. 

 (1) ¿Qué datos personales almacena y/o procesa Zscaler?

Zscaler almacena una cantidad limitada de datos personales (por ejemplo, direcciones IP, URL, ID de usuario, grupos de usuarios y departamentos del directorio corporativo) y no procesa ni almacena ninguna categoría especial o confidencial de datos personales (por ejemplo, tarjeta de crédito o información sanitaria protegida). Además, los clientes tienen la opción de ocultar sus ID de usuario para que sus propios administradores no los vean nunca. 

El personal de soporte de Zscaler no accederá a ningún dato personal del cliente a menos que dicho cliente lo haya autorizado explícitamente a hacerlo. 

Para la mayoría de los servicios y productos de Zscaler, Zscaler nunca almacena ni escribe en un disco el contenido de las transacciones HTTP, HTTPS y no HTTP; toda la inspección se realiza en la memoria. 

Para los clientes que piden el producto de sandbox en la nube de Zscaler, Zscaler registra el contenido malicioso en un disco de almacenamiento; sin embargo, los clientes pueden decidir qué archivos enviar al sandbox de Zscaler (dependiendo del tipo de archivo, categoría de URL, usuario/grupo, etc.).

Para Zscaler Client Connector, los clientes pueden habilitar o deshabilitar globalmente la captura de paquetes a través de políticas con Zscaler y eliminar los registros de captura de paquetes del ordenador portátil, ordenador de sobremesa o dispositivo móvil personal correspondiente.

Los registros de transacciones de clientes (registros de clientes) nunca se almacenan en texto claro y se indexan, se comprimen y se convierten en tokens en el punto de generación, lo que garantiza que un único registro de clientes no tenga sentido sin una cadena completa de registros de clientes históricos y sin el acceso a los índices almacenados en la Autoridad Central (CA) de Zscaler. Por lo tanto, incluso teniendo acceso a los datos almacenados, no se pueden extraer los datos personales sin que la interfaz de usuario de Zscaler reúna la información de los registros de los clientes y la información de la CA. 

(2) ¿Cómo protege Zscaler los datos personales que procesa y/o almacena?

Zscaler implementa las medidas de seguridad físicas, técnicas y organizativas para garantizar un nivel de seguridad adecuado al riesgo de acuerdo con las normas del Artículo 32 del RGPD. Zscaler cuenta con la certificación ISO 27001 y los estándares de controles de sistemas y organizaciones (SOC) 2, Tipo II, y un tercero lo audita anualmente para garantizar el cumplimiento continuo de estas certificaciones. Zscaler prueba, analiza y evalúa periódicamente la eficacia de sus medidas de seguridad. Previa solicitud por escrito, y sujeto a las protecciones de confidencialidad adecuadas, Zscaler puede proporcionar al cliente una copia de su certificado ISO 27001 más reciente o un informe SOC 2, Tipo II. Para más información, consulte https://www.zscaler.com/privacy-company/compliance

(3) ¿Puede Zscaler prestar sus servicios exclusivamente desde la Unión Europea (UE)?

No. Dado que Zscaler es una empresa con sede en EE. UU. que proporciona una plataforma global en la nube, Zscaler procesa datos personales en todo el mundo a través de su red de 150+ centros de datos para proporcionar nuestros servicios. 

Zscaler procesará datos personales en el centro de datos más cercano a donde se encuentran los usuarios de nuestro cliente (es decir, centros de datos de la UE para usuarios de la UE, centros de datos de EE. UU. para usuarios de EE. UU.). En el caso de que un usuario de la UE viaje a los EE. UU., Zscaler procesaría sus datos personales desde el centro de datos más cercano que estaría en los EE. UU.

Incluso si nuestro cliente solo tiene usuarios en la UE, Zscaler proporciona servicios de apoyo global no solo desde la UE, sino también desde los EE. UU., India y Costa Rica (exclusivamente para algunas empresas con sede en EE. UU.) con el fin de garantizar la cobertura 24x7x365. Esta es una práctica común entre la mayoría de los proveedores de nube.

Sin perjuicio de lo anterior, y a diferencia de la mayoría de los demás proveedores de servicios en la nube, Zscaler ofrece a nuestros clientes la opción de almacenar sus registros de clientes en la UE y Suiza únicamente, independientemente de dónde ocurra el procesamiento de datos global. Nuestros clientes pueden configurar esto con Zscaler durante el proceso de implementación. 

(4) ¿Zscaler accede o transfiere datos personales fuera de la UE?

Sí.  Zscaler procesa datos personales en todo el mundo a través de su red de 150+ centros de datos para prestar nuestros servicios.

El RGPD exige que las transferencias de datos personales fuera de la UE estén cubiertas por un marco jurídico aprobado, como las cláusulas contractuales tipo de la UE. Zscaler se adhiere a las cláusulas contractuales tipo de la UE para las transferencias de datos personales fuera del EEE, Suiza o el Reino Unido. 

Esto se trata con más detalle en nuestro acuerdo de procesamiento de datos (DPA) que está disponible en www.zscaler.com/gdpr para que los clientes lo descarguen y firmen.

(5) ¿Cómo se ve afectado Zscaler por la sentencia CJEU C-311/18 ("Schrems II") que invalida el marco del Escudo de privacidad UE-EE. UU.?

Ante la sentencia Schrems II, Zscaler confirma que sigue proporcionando sus productos y servicios en pleno cumplimiento de la legislación aplicable en materia de protección de datos. 

Nada ha cambiado en relación con la forma en que Zscaler transfiere los datos personales fuera de la UE para proporcionar nuestros productos y servicios. La decisión del juez europeo no afecta a la forma en que Zscaler proporciona sus productos y servicios, a nuestros flujos de datos ni al modo en que almacenamos los registros de clientes. Históricamente, Zscaler ha estado proporcionando a sus clientes medidas de protección tanto en virtud de las cláusulas contractuales tipo de la UE como de los marcos del Escudo de privacidad para las transferencias internacionales de datos. Las cláusulas contractuales tipo de la UE siguen siendo válidas y el juez ha confirmado expresamente que este mecanismo puede seguir siendo utilizado por la empresa. 

Además, Zscaler mantiene su certificación de los marcos del Escudo de privacidad UE-EE. UU. y Suiza-EE. UU. Si bien Zscaler no se basa en el marco del Escudo de privacidad UE-EE. UU. como base legal para las transferencias de datos personales a la luz de la sentencia del Tribunal de Justicia de la UE en el Caso C-311/18, sí estamos comprometidos a mantener los principios de protección de datos del marco del Escudo de Privacidad UE-EE. UU.

(6) ¿Qué garantías adicionales ofrece Zscaler para respaldar su uso de las cláusulas contractuales tipo de la UE al transferir datos personales a los Estados Unidos?

Entendemos que el mensaje que ha enviado el juez europeo en el caso Schrems II es que, dependiendo de una evaluación caso por caso, teniendo en cuenta las circunstancias que rodean la transferencia de datos específica, puede ser necesario aplicar algunas medidas complementarias para garantizar que la legislación del país al que se transfieren los datos no afecte al nivel adecuado de protección garantizado por las cláusulas contractuales tipo de la UE.

Dado que Zscaler venía proporcionando a sus clientes medidas de protección garantizadas por las cláusulas contractuales tipo de la UE antes de la resolución de Schrems II, ya hemos realizado dicho análisis y estamos seguros de que nuestros procesos y medidas de seguridad siguen garantizando un cumplimiento adecuado. Por supuesto, seguimos supervisando las directrices futuras y los cambios normativos aplicables a los datos personales y estamos esperando más decisiones de la Comisión Europea, la Junta Europea de Protección de Datos y de las Autoridades Supervisoras individuales. 

Estas son algunas de las formas en las que garantizamos la protección de los datos, tal y como exigen las cláusulas contractuales tipo de la UE:

  • los datos personales se procesan únicamente en representación de nuestros clientes y de acuerdo con sus instrucciones;
  • implementamos las medidas de seguridad técnicas y organizativas especificadas en el DPA antes de procesar los datos personales. Por ejemplo, aplicamos la tokenización (conversión en tokens) como uno de los métodos para proteger los registros del cliente (consulte la Pregunta 1 para obtener más información);
  • notificaríamos a nuestros clientes de cualquier solicitud legalmente vinculante de divulgación de los datos personales por parte de una autoridad policial, a menos que se prohíba lo contrario; 
  • proporcionamos almacenamiento de registros solo en la UE (Alemania, Países Bajos) y Suiza a nuestros clientes cuando implementamos nuestros productos por primera vez;
  • nos aseguramos de que nuestros clientes den su consentimiento para que utilicemos subprocesadores de datos y de que dichos subprocesadores proporcionen una protección equivalente a los datos que tratan en nuestro nombre;
  • con aviso previo por escrito, y sujeto a ciertos requisitos y controles de Zscaler, permitimos a nuestros clientes y socios realizar auditorías anuales e inspecciones automatizadas de nuestra nube;
  • nos comprometemos a garantizar nuestro cumplimiento continuo de las cláusulas contractuales tipo de la UE e implementaremos cualquier medida adicional exigida legalmente en un plazo razonable.

(7) ¿Cómo se enmarca la habilitación de la inspección SSL en los requisitos de seguridad y el cumplimiento de las leyes de privacidad?

Habilitar la inspección SSL no cambia la cantidad limitada de datos que Zscaler procesa o almacena. En lugar de ello, ayuda a nuestros clientes a cumplir con sus obligaciones en virtud del Artículo 32 del RGPD proporcionando el nivel adecuado de seguridad para el procesamiento de datos personales. Aunque existen implicaciones comerciales, de privacidad y seguridad en el uso de la inspección SSL que nuestros clientes deben tener en cuenta, es necesario encontrar el equilibrio entre ellas y la obligación de garantizar que los derechos de cada empleado del cliente estén protegidos frente a amenazas y ataques. En este sentido, más que una amenaza para la privacidad, la inspección SSL se debe contemplar como una herramienta que apoya al cumplimiento de la privacidad de una organización.

Zscaler ofrece amplias capacidades de inspección SSL/TLS para proteger el tráfico de datos de los clientes de las amenazas que se ocultan en el tráfico cifrado. Una vez completada la inspección de datos, el flujo de datos continúa sin obstáculos, sin que se conserve ningún registro de los datos de origen más allá del registro de la propia transacción. 

(8) ¿Utiliza Zscaler subprocesadores para prestar sus servicios?

Sí. Como es el caso de todos los proveedores de la nube, Zscaler utiliza un número limitado de subprocesadores para proporcionar sus servicios. Tal y como lo requiere el RGPD,Zscaler obtendrá el consentimiento del cliente antes de contratar a cualquier subprocesador, que puede implicar el consentimiento contractual o el consentimiento general. Además, Zscaler proporcionará a los clientes aviso previo por escrito de cualquier cambio en su lista de subprocesadores. Zscaler será responsable del rendimiento de sus subprocesadores. Zscaler mantiene una lista actualizada de sus subprocesadores en https://www.zscaler.com/legal/subprocessors .

(9) ¿Puede Zscaler ayudar con una solicitud de derecho al olvido?

Sí. Zscaler dispone de un proceso interno para responder a las solicitudes de derecho al olvido. Sin embargo, es importante recordar que como responsable del tratamiento de datos, nuestro cliente es responsable de revisar y validar la solicitud y enviar un ticket de soporte a Zscaler. Una solicitud de derecho al olvido solo debe realizarse si un interesado (generalmente un empleado o usuario del cliente) hace tal solicitud a nuestro cliente. Si Zscaler recibe una solicitud de derecho al olvido directamente de un empleado o usuario del cliente, redirigiremos a dicha persona a nuestro cliente para validar y responder