Privacidad VMware se compromete a proteger la privacidad de los datos

El «Contenido del cliente» (o «Su contenido») es cualquier tipo de contenido que usted, como cliente, o sus usuarios carguen a un servicio de nube para tratarlo, almacenarlo o alojarlo, relacionado con su cuenta. En el contexto de los servicios de soporte, el «Contenido del cliente» es cualquier tipo de contenido que usted ofrezca a VMware dentro del marco de los servicios de soporte. Puede consultar la definición de «Contenido del cliente» en los Términos generales de VMware. Por ejemplo, el Contenido del cliente incluye los datos que usted o sus usuarios almacenen en Workspace ONE. Es importante que tenga en cuenta que la información de su cuenta, incluidos los nombres, los nombres de usuario, los números de teléfono y la información de facturación asociados con su cuenta no se incluyen en la definición de «Contenido del cliente», como tampoco se incluye ninguna otra información que VMware recoja en relación con su uso de nuestros servicios de nube. VMware gestionará esa información de conformidad con la Notificación de privacidad.

Usted siempre será propietario de Su contenido. Usted determina qué soluciones de VMware Cloud Services utiliza para tratar, almacenar y alojar Su contenido, así como qué información carga al servicio de nube como Contenido del cliente. Además, VMware no accederá a Su contenido ni lo utilizará para ningún fin, salvo que sea necesario hacerlo para proporcionarle el servicio de nube y según lo establecido y permitido en los Términos generales de VMware acordados con usted. Por último, VMware no utiliza el Contenido del cliente para fines de marketing o publicidad.

VMware proporciona soluciones empresariales que permiten a sus clientes crear, gestionar, proteger y ejecutar aplicaciones en múltiples sistemas y entornos. Si bien VMware cree que, debido a la naturaleza de los servicios que presta a sus clientes, generalmente no habrá motivo para que la administración pública solicite acceso directo al Contenido del cliente, VMware ha implementado las siguientes medidas para cumplir la sentencia Schrems II y ayudar a los clientes en sus propias iniciativas de conformidad en relación con los datos que trata como responsable del tratamiento:

Refuerzo del compromiso contractual en relación con las solicitudes de acceso a los datos por parte de administraciones públicas
VMware ha actualizado la sección sobre divulgación obligatoria de los Términos generales de VMware para aclarar cómo aborda las solicitudes de acceso a los datos por parte de administraciones públicas:

Cuando notificar al cliente no esté prohibido por ley, VMware:

• Notificará al cliente: se notificará a los clientes de cualquier solicitud que hayamos recibido de divulgar contenido del cliente.

• Indicará al organismo de la administración pública que se dirija al cliente: se informará a la autoridad pública pertinente de que VMware es un proveedor de servicios que actúa en nombre del cliente y que todas las peticiones de acceso al contenido del cliente deben dirigirse por escrito a la persona de contacto que el cliente haya establecido con nosotros o al departamento jurídico del cliente.

• Limitará el acceso: solo se proporciona acceso al contenido del cliente con su autorización. Si el cliente lo solicita, a sus expensas, tomaremos medidas razonables para impugnar cualquier solicitud.

En caso de que a VMware se le prohíba por ley notificar al cliente, VMware:

• Evaluará la validez legal: VMware evaluará la solicitud de divulgación para determinar si es legalmente válida y vinculante.

• Impugnará las peticiones ilegales: VMware impugnará la resolución si tiene un motivo razonable para creer que esta no cumple la ley aplicable.

• Limitará el alcance de la divulgación: VMware limitará el alcance de cualquier divulgación para que solo incluya la información que se le exige revelar, y la divulgará de acuerdo con la ley aplicable.

Transparencia durante el proceso para gestionar las peticiones de acceso por parte de la administración pública y las autoridades estadounidenses

A fin de ayudar a los clientes a comprender mejor los compromisos y el proceso de VMware para gestionar las peticiones de acceso por parte de la administración pública, incluidos los compromisos establecidos en las «Normas corporativas vinculantes» (BCR) de VMware, hemos elaborado los Principios de VMware para gestionar las solicitudes de la administración pública para acceder al Contenido del cliente.

Además, hemos preparado la Declaración de VMware con respecto a la aplicación de la sección 702 de la Ley de Vigilancia de Inteligencia Exterior y la Orden Ejecutiva 12333 dado el caso Schrems II. Con esta declaración pretendemos abordar las preocupaciones que suscita el hecho de que las agencias de inteligencia estadounidenses tengan acceso a los datos que transitan de la Unión Europea a los Estados Unidos, así como ayudar a los clientes a comprender la posible aplicación de dos disposiciones estadounidenses: la Orden Ejecutiva 12333 y la sección 702 de la Ley de Vigilancia de Inteligencia Extranjera. VMware cree firmemente que es poco probable que se vea sujeto a la sección 702 o la Orden Ejecutiva 12333 en relación con la prestación de servicios, dada la naturaleza de estos servicios.

Actualización de los contratos con los subencargados del tratamiento de los datos para garantizar la base legal de las transferencias de datos personales

Desde que se invalidara el Escudo de la Privacidad Unión Europea-Estados Unidos, VMware ha implementado cláusulas contractuales tipo con todos sus subencargados del tratamiento de los datos que anteriormente se apoyaban en el Escudo como mecanismo de transferencia de datos. En calidad de encargado del tratamiento de los datos, VMware se apoya en las Normas corporativas vinculantes para transferir datos personales fuera de la UE en relación con la prestación de los servicios de VMware aplicables, tal como se establece en el Anexo sobre tratamiento de datos de VMware.

Medidas técnicas y organizativas

VMware confirma su compromiso de implementar y mantener las medidas técnicas y organizativas adecuadas, tal como se establece en el Anexo sobre tratamiento de datos de VMware. En VMware Trust Center se describen las certificaciones y auditorías externas que VMware mantiene en relación con sus servicios. Dada la naturaleza de los servicios de VMware, los clientes también controlan la manera en la que configuran los servicios. Además, pueden implementar los controles administrativos y técnicos necesarios para proteger los datos que se tratan en relación con su uso de los servicios correspondientes. En muchos casos, VMware proporciona soluciones tanto locales como alojadas para que los clientes elijan a la hora de gestionar sus sistemas e infraestructura.

Evaluaciones de las repercusiones de la transferencia
VMware ha implementado un proceso para evaluar las repercusiones de la transferencia, tal como se detalla en las preguntas frecuentes de este tipo de evaluaciones. Además, VMware ha actualizado las «Normas corporativas vinculantes para encargados del tratamiento de datos» (BCR-P), aprobadas por las autoridades supervisoras, para incluir el compromiso de llevar a cabo evaluaciones de las repercusiones de la transferencia. Consulte el procedimiento de evaluación de la repercusión de las transferencias de VMware establecido en sus BCR-P.

Transparencia con respecto a los tipos de datos tratados por el servicio de VMware: fichas
El Comité Europeo de Protección de Datos (CEPD), en sus preguntas frecuentes sobre Schrems II, señaló que es necesario tener en cuenta los tipos de datos transferidos como un factor para determinar si existe un nivel adecuado de protección en torno a la transferencia de datos personales fuera de la UE, y que los responsables del tratamiento de datos deberían realizar un análisis según cada caso para determinar los riesgos que plantea dicha transferencia. Para ayudar a los clientes a comprender los tipos de datos que se tratan en relación con su uso de los servicios de VMware, VMware proporciona descripciones de cada servicio y pone a disposición fichas para ciertos servicios en la sección sobre privacidad de VMware Trust Center. En el caso de los servicios de Workspace ONE, VMware también pone a disposición la Declaración sobre Workspace ONE.

VMware emplea y utiliza a terceros para que lleven a cabo servicios en su nombre en relación con la prestación de servicios en general o de servicios de soporte y suscripción de VMware. En relación con el empleo de terceros que tratan datos personales como subencargados (según las condiciones definidas en el Anexo sobre tratamiento de datos), VMware ha implementado los siguientes procesos y procedimientos:

1. Compromiso contractual y transferencias internacionales de datos: VMware celebra acuerdos de tratamiento de datos con todos sus subencargados, los cuales les obligan a mantener la privacidad, seguridad y confidencialidad adecuadas de los datos personales bajo unas condiciones sustancialmente similares a los compromisos contractuales que VMware establece con sus propios clientes en el «Anexo sobre tratamiento de datos». VMware se basa en las cláusulas contractuales tipo de la UE, a menos que exista otro mecanismo legítimo de transferencia de datos y el subencargado establezca los compromisos contractuales adecuados.
   
   
2. Proceso de revisión de la privacidad y privacidad inherente: VMware ha establecido un proceso centralizado integral de gestión de proveedores externos para incorporar nuevos proveedores. En él se incluye la puesta en marcha de revisiones externas de seguridad y privacidad, su realización y su seguimiento mediante herramientas centralizadas para ayudar con las iniciativas de conformidad. El equipo de privacidad de VMware lleva a cabo detalladas revisiones de la privacidad de los servicios prestados por los subencargados del tratamiento de los datos para, entre otras cosas, determinar las categorías de datos personales que se tratan y los propósitos del tratamiento. Las revisiones incluyen la implementación de controles de privacidad para mitigar los riesgos asociados con el acceso y tratamiento de los datos personales por parte de los subencargados y garantizar el cumplimiento normativo.
   
   
3. Proceso de revisión de la seguridad: VMware mantiene una política y un proceso para llevar a cabo revisiones de seguridad de los subencargados del tratamiento de los datos. El equipo de seguridad de VMware lleva a cabo una revisión de seguridad inicial de cualquier subencargado del tratamiento de los datos que se incorpore, y lo supervisa de forma continuada según el nivel de riesgo de seguridad que se identifique.
   
   
4. Lista de subencargados del tratamiento de los datos y notificación de nuevas incorporaciones: VMware mantiene una lista de los subencargados del tratamiento de los datos que se ocupan de los servicios individuales y con relación a los servicios de soporte y suscripción. En caso de incorporar a un nuevo subencargado del tratamiento de los datos, VMware notifica los clientes que se haya suscrito para recibir notificaciones acerca del servicio relevante.

VMware cuenta con un proceso interno para efectuar seguimientos, análisis y evaluaciones de nuevas leyes, normativas, reglamentos vinculantes y jurisprudencia que puedan aplicarse a VMware, ya sea en la prestación de servicios o en las operaciones del negocio. El equipo de privacidad cuenta con el respaldo de asesoría externa, herramientas de investigación de la privacidad externas y notificaciones de noticias gestionadas por un bufete de abogados a fin de conocer cuando se implementarán nuevas leyes y regulaciones.

Una vez se determina que una ley de privacidad concreta afecta a VMware (como ha ocurrido con legislación en China, Japón, California, Colorado, Virginia y Utah, por ejemplo), VMware compila los requisitos legales y pone en marcha un plan de proyecto para garantizar la conformidad. Como parte del proceso de implementación, el equipo de privacidad de VMware colabora con las partes interesadas internas relevantes, e identifica los procesos y los controles que deben actualizarse para cumplir los nuevos requisitos legales. El equipo de privacidad de VMware confía en el ecosistema de asesoría sobre la privacidad (dividido según ámbito, como marketing, recursos humanos o ventas) interno de la empresa, que colabora en la implementación de leyes nuevas o modificadas de forma oportuna y eficiente.

El equipo de privacidad de VMware también utiliza la formación estándar sobre privacidad y el resto de formaciones que ofrece la empresa para garantizar que todos los empleados y trabajadores externos se instruyan en lo relativo a nuevos requisitos legales que puedan afectar su función empresarial. Por ejemplo, como parte de la conformidad normativa de VMware con las «Normas corporativas vinculantes para encargados del tratamiento de datos», VMware impartió las formaciones necesarias a través de su formación anual obligatoria de seguridad y concienciación, y actualizó el código de conducta empresarial para incluir los requisitos nuevos.

La seguridad de los servicios de nube es de máxima importancia para VMware. Para obtener más información sobre cómo VMware protege los servicios de nube, consulte la página de seguridad de Trust Center. VMware mantiene un programa de gestión de la seguridad de la información que sigue el estándar ISO 27001 y se revisa como mínimo una vez al año para garantizar la disponibilidad de los controles, las prácticas y los procedimientos apropiados.

Al usar VMware Cloud Services, usted es responsable de configurar e implementar los controles técnicos, organizativos y administrativos necesarios que le permitan cumplir las leyes aplicables a su uso del servicio de nube, que pueden depender de los tipos de datos que decida tratar mediante el servicio. Sus responsabilidades en cuanto a la seguridad de Su contenido se establecen en el acuerdo correspondiente e incluyen: (a) controlar el acceso que proporciona a sus usuarios; (b) configurar adecuadamente el servicio de nube; (c) garantizar la seguridad del Contenido del cliente mientras esté en tránsito a y desde el servicio de nube; (d) usar la tecnología de cifrado que estime necesaria para proteger el Contenido del cliente, y (e) realizar copias de seguridad del Contenido del cliente.