Revise las obligaciones contractuales de VMware relativas a la protección continua de los datos personales que comparte con nuestros servicios.
Conozca cómo VMware aborda las solicitudes de acceso a los datos por parte de administraciones públicas, las citaciones, las resoluciones judiciales y otros requisitos normativos y legales.
Obtenga información sobre los mecanismos en los que confía VMware cuando transfiere datos personales del Espacio Económico Europeo, Suiza y el Reino Unido a terceros países.
Consulte la lista de terceros a los que VMware recurre para ofrecer servicios en nuestro nombre y regístrese para recibir una notificación en caso de cambios en la lista.
Los datos personales que VMware recopila y trata varían según los servicios que adquiera. Lea las fichas sobre la privacidad y la declaración de privacidad de UEM para ver qué información personal trata VMware en relación con los servicios que ofrece.
Las notificaciones de privacidad de VMware detallan la información personal que se recopila, cómo se utiliza, durante cuánto tiempo se almacena y quién puede acceder a ella.
Las políticas de privacidad y los programas de formación de VMware garantizan que los empleados sepan cómo proteger sus datos. También consultamos al delegado de la protección de datos cuando resulta necesario.
VMware cuenta con un completo programa de privacidad, que incluye tareas relacionadas con esta, como revisiones, registros de las actividades de tratamiento de datos y evaluaciones de las repercusiones de la transferencia de datos.
VMware respeta su privacidad y le ofrece capacidad de elección y control de su información personal.
El «Contenido del cliente» (o «Su contenido») es cualquier tipo de contenido que usted, como cliente, o sus usuarios carguen a un servicio de nube para tratarlo, almacenarlo o alojarlo, relacionado con su cuenta. En el contexto de los servicios de soporte, el «Contenido del cliente» es cualquier tipo de contenido que usted ofrezca a VMware dentro del marco de los servicios de soporte. Puede consultar la definición de «Contenido del cliente» en los Términos generales de VMware. Por ejemplo, el Contenido del cliente incluye los datos que usted o sus usuarios almacenen en Workspace ONE. Es importante que tenga en cuenta que la información de su cuenta, incluidos los nombres, los nombres de usuario, los números de teléfono y la información de facturación asociados con su cuenta no se incluyen en la definición de «Contenido del cliente», como tampoco se incluye ninguna otra información que VMware recoja en relación con su uso de nuestros servicios de nube. VMware gestionará esa información de conformidad con la Notificación de privacidad.
Usted siempre será propietario de Su contenido. Usted determina qué soluciones de VMware Cloud Services utiliza para tratar, almacenar y alojar Su contenido, así como qué información carga al servicio de nube como Contenido del cliente. Además, VMware no accederá a Su contenido ni lo utilizará para ningún fin, salvo que sea necesario hacerlo para proporcionarle el servicio de nube y según lo establecido y permitido en los Términos generales de VMware acordados con usted. Por último, VMware no utiliza el Contenido del cliente para fines de marketing o publicidad.
VMware proporciona soluciones empresariales que permiten a sus clientes crear, gestionar, proteger y ejecutar aplicaciones en múltiples sistemas y entornos. Si bien VMware cree que, debido a la naturaleza de los servicios que presta a sus clientes, generalmente no habrá motivo para que la administración pública solicite acceso directo al Contenido del cliente, VMware ha implementado las siguientes medidas para cumplir la sentencia Schrems II y ayudar a los clientes en sus propias iniciativas de conformidad en relación con los datos que trata como responsable del tratamiento:
Refuerzo del compromiso contractual en relación con las solicitudes de acceso a los datos por parte de administraciones públicas
VMware ha actualizado la sección sobre divulgación obligatoria de los Términos generales de VMware para aclarar cómo aborda las solicitudes de acceso a los datos por parte de administraciones públicas:
Cuando notificar al cliente no esté prohibido por ley, VMware:
En caso de que a VMware se le prohíba por ley notificar al cliente, VMware:
Transparencia durante el proceso para gestionar las peticiones de acceso por parte de la administración pública y las autoridades estadounidenses
A fin de ayudar a los clientes a comprender mejor los compromisos y el proceso de VMware para gestionar las peticiones de acceso por parte de la administración pública, incluidos los compromisos establecidos en las «Normas corporativas vinculantes» (BCR) de VMware, hemos elaborado los Principios de VMware para gestionar las solicitudes de la administración pública para acceder al Contenido del cliente.
Además, hemos preparado la Declaración de VMware con respecto a la aplicación de la sección 702 de la Ley de Vigilancia de Inteligencia Exterior y la Orden Ejecutiva 12333 dado el caso Schrems II. Con esta declaración pretendemos abordar las preocupaciones que suscita el hecho de que las agencias de inteligencia estadounidenses tengan acceso a los datos que transitan de la Unión Europea a los Estados Unidos, así como ayudar a los clientes a comprender la posible aplicación de dos disposiciones estadounidenses: la Orden Ejecutiva 12333 y la sección 702 de la Ley de Vigilancia de Inteligencia Extranjera. VMware cree firmemente que es poco probable que se vea sujeto a la sección 702 o la Orden Ejecutiva 12333 en relación con la prestación de servicios, dada la naturaleza de estos servicios.
Actualización de los contratos con los subencargados del tratamiento de los datos para garantizar la base legal de las transferencias de datos personales
Desde que se invalidara el Escudo de la Privacidad Unión Europea-Estados Unidos, VMware ha implementado cláusulas contractuales tipo con todos sus subencargados del tratamiento de los datos que anteriormente se apoyaban en el Escudo como mecanismo de transferencia de datos. En calidad de encargado del tratamiento de los datos, VMware se apoya en las Normas corporativas vinculantes para transferir datos personales fuera de la UE en relación con la prestación de los servicios de VMware aplicables, tal como se establece en el Anexo sobre tratamiento de datos de VMware.
Medidas técnicas y organizativas
VMware confirma su compromiso de implementar y mantener las medidas técnicas y organizativas adecuadas, tal como se establece en el Anexo sobre tratamiento de datos de VMware. En VMware Trust Center se describen las certificaciones y auditorías externas que VMware mantiene en relación con sus servicios. Dada la naturaleza de los servicios de VMware, los clientes también controlan la manera en la que configuran los servicios. Además, pueden implementar los controles administrativos y técnicos necesarios para proteger los datos que se tratan en relación con su uso de los servicios correspondientes. En muchos casos, VMware proporciona soluciones tanto locales como alojadas para que los clientes elijan a la hora de gestionar sus sistemas e infraestructura.
Evaluaciones de las repercusiones de la transferencia
VMware ha implementado un proceso para evaluar las repercusiones de la transferencia, tal como se detalla en las preguntas frecuentes de este tipo de evaluaciones. Además, VMware ha actualizado las «Normas corporativas vinculantes para encargados del tratamiento de datos» (BCR-P), aprobadas por las autoridades supervisoras, para incluir el compromiso de llevar a cabo evaluaciones de las repercusiones de la transferencia. Consulte el procedimiento de evaluación de la repercusión de las transferencias de VMware establecido en sus BCR-P.
Transparencia con respecto a los tipos de datos tratados por el servicio de VMware: fichas
El Comité Europeo de Protección de Datos (CEPD), en sus preguntas frecuentes sobre Schrems II, señaló que es necesario tener en cuenta los tipos de datos transferidos como un factor para determinar si existe un nivel adecuado de protección en torno a la transferencia de datos personales fuera de la UE, y que los responsables del tratamiento de datos deberían realizar un análisis según cada caso para determinar los riesgos que plantea dicha transferencia. Para ayudar a los clientes a comprender los tipos de datos que se tratan en relación con su uso de los servicios de VMware, VMware proporciona descripciones de cada servicio y pone a disposición fichas para ciertos servicios en la sección sobre privacidad de VMware Trust Center. En el caso de los servicios de Workspace ONE, VMware también pone a disposición la Declaración sobre Workspace ONE.
VMware emplea y utiliza a terceros para que lleven a cabo servicios en su nombre en relación con la prestación de servicios en general o de servicios de soporte y suscripción de VMware. En relación con el empleo de terceros que tratan datos personales como subencargados (según las condiciones definidas en el Anexo sobre tratamiento de datos), VMware ha implementado los siguientes procesos y procedimientos:
VMware cuenta con un proceso interno para efectuar seguimientos, análisis y evaluaciones de nuevas leyes, normativas, reglamentos vinculantes y jurisprudencia que puedan aplicarse a VMware, ya sea en la prestación de servicios o en las operaciones del negocio. El equipo de privacidad cuenta con el respaldo de asesoría externa, herramientas de investigación de la privacidad externas y notificaciones de noticias gestionadas por un bufete de abogados a fin de conocer cuando se implementarán nuevas leyes y regulaciones.
Una vez se determina que una ley de privacidad concreta afecta a VMware (como ha ocurrido con legislación en China, Japón, California, Colorado, Virginia y Utah, por ejemplo), VMware compila los requisitos legales y pone en marcha un plan de proyecto para garantizar la conformidad. Como parte del proceso de implementación, el equipo de privacidad de VMware colabora con las partes interesadas internas relevantes, e identifica los procesos y los controles que deben actualizarse para cumplir los nuevos requisitos legales. El equipo de privacidad de VMware confía en el ecosistema de asesoría sobre la privacidad (dividido según ámbito, como marketing, recursos humanos o ventas) interno de la empresa, que colabora en la implementación de leyes nuevas o modificadas de forma oportuna y eficiente.
El equipo de privacidad de VMware también utiliza la formación estándar sobre privacidad y el resto de formaciones que ofrece la empresa para garantizar que todos los empleados y trabajadores externos se instruyan en lo relativo a nuevos requisitos legales que puedan afectar su función empresarial. Por ejemplo, como parte de la conformidad normativa de VMware con las «Normas corporativas vinculantes para encargados del tratamiento de datos», VMware impartió las formaciones necesarias a través de su formación anual obligatoria de seguridad y concienciación, y actualizó el código de conducta empresarial para incluir los requisitos nuevos.
La seguridad de los servicios de nube es de máxima importancia para VMware. Para obtener más información sobre cómo VMware protege los servicios de nube, consulte la página de seguridad de Trust Center. VMware mantiene un programa de gestión de la seguridad de la información que sigue el estándar ISO 27001 y se revisa como mínimo una vez al año para garantizar la disponibilidad de los controles, las prácticas y los procedimientos apropiados.
Al usar VMware Cloud Services, usted es responsable de configurar e implementar los controles técnicos, organizativos y administrativos necesarios que le permitan cumplir las leyes aplicables a su uso del servicio de nube, que pueden depender de los tipos de datos que decida tratar mediante el servicio. Sus responsabilidades en cuanto a la seguridad de Su contenido se establecen en el acuerdo correspondiente e incluyen: (a) controlar el acceso que proporciona a sus usuarios; (b) configurar adecuadamente el servicio de nube; (c) garantizar la seguridad del Contenido del cliente mientras esté en tránsito a y desde el servicio de nube; (d) usar la tecnología de cifrado que estime necesaria para proteger el Contenido del cliente, y (e) realizar copias de seguridad del Contenido del cliente.
Los compromisos contractuales de VMware protegen la seguridad, la confidencialidad y la integridad de sus datos personales.
Esta parte integral del «Anexo sobre tratamiento de datos» de VMware se corresponde con las cláusulas contractuales tipo de la UE revisadas a consecuencia de la decisión sobre Schrems II.
VMware se compromete a proteger la información médica confidencial en aquellos servicios en los que el cliente represente una entidad cubierta según HIPAA.
Describe la forma en que VMware aborda el tratamiento de los datos personales que recibe de los clientes, en calidad de encargado y responsable del tratamiento de datos, según la definición del Reglamento General de Protección de Datos (RGPD).
Acceda a información detallada sobre cómo VMware garantiza el cumplimiento de los requisitos de las leyes de privacidad estatales de EE. UU., concretamente de California, Virginia, Connecticut, Colorado y Utah.
El equipo de privacidad global de VMware ha sido preseleccionado como equipo de privacidad del año para el premio PICCASO, que otorga su reconocimiento a los equipos que ayudan a alcanzar un mejor nivel de privacidad.
Stuart Lee, vicepresidente y director de privacidad de VMware, comparte su opinión sobre la función «exclusiva» de un director de productos y la puesta en marcha de un programa de privacidad global.
Descubra cómo VMware integra la privacidad de forma inherente en los procesos y la tecnología, lo que permite a cada individuo y cliente elegir y controlar sus datos.
Desarrollar una serie de principios de privacidad y adoptar un enfoque inherente respecto a esta es fundamental para limitar los riesgos y abordar de forma proactiva los problemas relacionados.
La incorporación de una privacidad inherente garantiza la conformidad sin sacrificar la innovación, la adaptabilidad, la experiencia de usuario o el rendimiento.
Como encargado del tratamiento de datos, VMware se basa en las «Normas corporativas vinculantes» (BCR-P) para transferir datos personales del Espacio Económico Europeo (EEE), Suiza y el Reino Unido a terceros países. Las BCR son un mecanismo de transferencia de datos según el Reglamento General de Protección de Datos (RGPD), la Ley Federal Suiza de Protección de Datos (DSG) y la Ley de Protección de Datos del Reino Unido. Las BCR-P de VMware son legalmente vinculantes para las empresas del grupo VMware mediante un acuerdo intragrupo (IGA) y se aplican a todas las transferencias de datos personales entre miembros en las que las BCR-P se mencionen en el contrato con el cliente.
Las BCR-P de VMware para el EEE fueron aprobadas por las autoridades de protección de datos de la UE, con la autoridad de protección de datos irlandesa en calidad de líder, el 23 de mayo de 2018. Estas BCR-P se actualizaron en mayo de 2021 para implementar controles pos-RGPD, y volvieron a actualizarse en octubre de 2022 para implementar los requisitos tras la sentencia Schrems II. VMware proporciona actualizaciones anuales a la autoridad de protección de datos irlandesa, proceso que incluye modificar las BCR-P según las necesidades. Las actualizaciones anuales se llevan a cabo cada mayo.
Para las transferencias de datos personales fuera de Suiza, VMware se rige similarmente por las BCR-P del EEE.
PREGUNTAS FRECUENTES SOBRE LAS BCR PARA LOS ENCARGADOS DEL TRATAMIENTO DE DATOS
La solicitud de VMware con relación a las «Normas corporativas vinculantes para encargados del tratamiento de datos» (BCR-P del Reino Unido) está actualmente pendiente. El «Anexo sobre tratamiento de datos» de VMware se actualizará una vez entren en vigor las BCR-P del Reino Unido. Entretanto, VMware se compromete de forma vinculante en el «Anexo sobre tratamiento de datos» a ampliar las protecciones especificadas en las BCR-P del EEE a las transferencias de datos personales desde el Reino Unido a terceros países en los que VMware actúe como encargado del tratamiento de datos.
PREGUNTAS FRECUENTES SOBRE LA TRANSFERENCIA DE DATOS INTERNACIONAL
VMware establece acuerdos sobre el tratamiento de los datos con todos los subencargados del tratamiento de los datos. Los acuerdos les exigen mantener la privacidad, la seguridad y la confidencialidad de los datos personales según unas condiciones muy similares a los compromisos contractuales del Anexo sobre tratamiento de datos. A fin de garantizar que la seguridad, protección y legalidad de las transferencias de datos del EEE, Suiza y el Reino Unido, y para proteger que los datos se sigan transfiriendo subsiguientemente, VMware confía en las cláusulas contractuales tipo (CCT) del EEE, el acuerdo internacional para la transferencia de datos del Reino Unido o el anexo del Reino Unido a las CCT del EEE, siempre y cuando otro mecanismo de transferencia de datos legítimo no sea ya aplicable.
VMware documenta todos los subencargados del tratamiento de los datos que se utilizan en cada servicio de VMware.
Si se suscribe para recibir este tipo de notificaciones, recibirá un aviso cada vez que un subencargado del tratamiento de los datos participe en sus servicios.
En los Términos generales de VMware (en la sección de divulgaciones obligatorias) y las Normas corporativas vinculantes para encargados del tratamiento de datos (BCR-P), VMware especifica cómo se compromete a gestionar las solicitudes de acceso a los datos por parte de administraciones públicas, las citaciones, las resoluciones judiciales, las acciones de organismos de la administración pública u otros requisitos legales o normativos de divulgar contenido del cliente.
VMware no tiene conocimiento de ninguna ley aplicable que pueda afectar su capacidad de cumplir sus compromisos relacionados con las peticiones de acceso de la administración pública y las divulgaciones obligatorias según lo establecido en los «Términos generales de VMware».
En ningún caso VMware divulgará datos personales de forma masiva, desproporcionada e indiscriminada que exceda lo necesario en una sociedad democrática.
Este informe, que se publica anualmente, muestra la cantidad de solicitudes de la administración pública y las fuerzas de seguridad que recibe VMware en todo el mundo. Lea el informe del año pasado.
VMware ha publicado una declaración sobre la sección 702 de la Ley de Vigilancia de Inteligencia Extranjera (FISA) y la Orden Ejecutiva 12333.
VMware se guía por una serie de principios fundamentales al responder a las solicitudes de acceso en relación con su contenido.
Descubra cómo trata y protege VMware los datos personales en relación con VMware Application Catalog.
Descubra cómo trata y protege VMware los datos personales en relación con VMware Aria Hub Subscription (antes vRealize Cloud Subscription Manager).
Conozca los tipos de datos personales recogidos por esta solución de seguridad nativa de nube, y cómo los trata y protege VMware.
Descubra cómo trata y protege VMware los datos personales en relación con Carbon Black Hosted EDR.
Sepa quién es responsable de los datos personales en los centros de datos definidos por software (SDDC) de VMware Cloud on AWS y cómo protege VMware los datos de su dominio.
Descubra cómo trata y protege VMware los datos personales en relación con VMware Cloud Director service.
Descubra cómo VMware trata y protege sus datos personales en relación con la solución de servicios VMware Cloud Disaster Recovery.
Descubra cómo trata y protege VMware los datos personales en relación con VMware Cloud Flex Storage.
Conozca los tipos de datos personales recogidos por esta puerta de enlace web segura, y cómo los trata y protege VMware.
Descubra cómo trata y protege VMware los datos personales en la plataforma de confianza para optimizar entornos multinube.
Descubra cómo trata y protege VMware los datos personales en relación con VMware Edge Network Intelligence.
Descubra cómo trata y protege VMware los datos personales en relación con VMware Horizon Service.
Descubra cómo trata y protege VMware los datos personales en relación con VMware NSX.
Descubra cómo trata y protege VMware los datos personales en relación con el servicio NSX Advanced Load Balancer.
Conozca los tipos de datos personales que recoge esta solución de superposición de red y la función que desempeña VMware en su protección.
Descubra cómo trata y protege VMware los datos personales en la solución alojada Secure Access.
Descubra cómo trata y protege VMware los datos personales en relación con la solución VMware Tanzu Mission Control.
Descubra cómo trata y protege VMware los datos personales en relación con VMware Tanzu Service Mesh.
Descubra cómo trata y protege VMware los datos personales en relación con VMware vRealize Network Insight Cloud.
Descubra cómo trata y protege VMware los datos personales en relación con VMware vRealize Network Insight Universal.
Descubra cómo trata y protege VMware los datos personales en relación con VMware vRealize Operations Cloud.
Conozca los tipos de datos personales recogidos por esta plataforma de área de trabajo digital, y cómo los trata y protege VMware.
VMware Workspace ONE Unified Endpoint Management es una solución individual que ofrece un enfoque escalable de la automatización de procesos, la gestión de dispositivos de usuario final y aplicaciones, y seguridad de nivel empresarial. A fin de ayudar a los clientes a cumplir con sus obligaciones legales en torno a la transparencia, VMware pone a su disposición la declaración sobre Workspace ONE. Los clientes, en calidad de responsables del tratamiento de datos, pueden proporcionar una declaración sobre la privacidad a sus usuarios basándose en esta declaración y la configuración, el uso y la implementación de Workspace ONE del cliente. Para obtener más información, acceda a la página de producto de Workspace ONE Unified Endpoint Management (UEM).
Explica los datos personales que VMware recopila para gestionar la empresa y las relaciones con los clientes, los visitantes y los asistentes a eventos.
Se aplica a los datos personales que VMware recoge y utiliza según el uso que usted haga de los productos y servicios de VMware.
Explica los derechos de privacidad de los residentes de California y cómo ejercerlos.
Explica las obligaciones de divulgación de VMware y ofrece detalles sobre los datos personales, según la Ley de Protección de Datos Personales (PIPL) de la República Popular China.
Describe cómo utiliza VMware las cookies y similares tecnologías de seguimiento cuando usted usa los sitios web y propiedades en línea de VMware e interactúa con estos.
Atañe a los datos personales que VMware recopila sobre los candidatos en relación con sus acciones en procesos de selección y contratación laboral.
Explica los tipos de información que la solución Workspace ONE UEM recopila de los usuarios del cliente y de sus dispositivos.
VMware ha implementado un marco de privacidad inherente en el ciclo de vida de sus productos locales y servicios alojados.
El marco de privacidad inherente incluye:
VMware ha establecido un proceso centralizado integral de gestión de proveedores externos para incorporar a los proveedores nuevos.
El equipo de privacidad de VMware lleva a cabo revisiones de privacidad de los servicios que ofrecen los proveedores, incluyendo:
VMware lleva a cabo evaluaciones de las repercusiones de la transferencia de datos (TIA) en lo relativo a los datos personales transferidos desde el EEE, Suiza o el Reino Unido a terceros países a los que no se les ha otorgado el estado de adecuación.
El proceso interno para efectuar TIA sigue las orientaciones del Comité Europeo de Protección de Datos (CEPD) y la herramienta y evaluación de riesgos de transferencias internacionales de la Oficina del Comisario de Información del Reino Unido.
Esto incluye:
Si desea obtener más información sobre la forma en que VMware aborda las solicitudes de acceso de la administración pública y la probabilidad de que ocurran, consulte las preguntas frecuentes sobre las TIA.
Los registros de las actividades de tratamiento de datos (RoPA) especifican qué datos personales VMware conserva como organización, y donde los almacena. Los RoPA, creados mediante la auditoría de información y la asignación de datos, conforman un registro completo de las actividades de tratamiento de datos personales de VMware e incluyen información sobre:
Los RoPA de VMware se revisan y actualizan periódicamente. VMware proporcionará acceso a las autoridades de la protección de datos dentro de lo requerido para cumplir con sus obligaciones legales.
VMware ha implementado completas políticas y prácticas para garantizar que los datos personales estén adecuadamente protegidos y para ayudar a identificar, evitar y solucionar vulnerabilidades en la seguridad de productos y servicios. Estas políticas y prácticas se revisan y actualizan continuamente.
Los empleados de VMware completan formaciones obligatorias sobre la privacidad periódicamente, tanto generales como específicas para su puesto. También es obligatorio que todos los empleados firmen acuerdos de confidencialidad.
El equipo de privacidad de VMware colabora con el delegado de la protección de datos según sea necesario en lo relativo a problemas relacionados con la protección de los datos personales, las obligaciones y la conformidad normativas, las evaluaciones de las repercusiones de la protección de los datos y como punto de contacto para las autoridades supervisoras.
Actualice sus preferencias para las comunicaciones de publicidad y sobre promociones, incluyendo invitaciones a eventos, boletines y programas de formación.
Póngase en contacto con VMware para obtener respuestas sobre sus datos personales o ejercer sus derechos según las leyes de privacidad.
La «Notificación de cookies» de VMware describe el uso que hacemos de las cookies y otras tecnologías similares. Gestione sus preferencias haciendo clic en el botón de configuración de cookies, en la esquina inferior derecha de cualquier sitio web de VMware.
