El 6 de agosto de 2023, Stack Diary publicó un artículo en el que destacaba que Zoom incluía cláusulas en su condiciones de servicio (ToS ) con implicaciones de gran alcance para la recopilación y el uso de datos personales.
En concreto, partes de las condiciones de servicio de Zoomimplicaban que utilizaban información personal para entrenar modelos de aprendizaje automático e inteligencia artificial (IA).
No sólo parecía infringir varias leyes de la Unión Europea, sino que se extendió rápidamente, provocando una protesta pública masiva.
Zoom respondió con una entrada en su blog y modificó dos veces sus condiciones de servicio, pero seguimos teniendo algunas preguntas.
Profundicemos en la polémica deZoom condiciones de servicio .
¿Por qué fue controvertido el sitio Zoom condiciones de servicio ?
Cuando abres una cuenta en Zoom , según el texto introductorio de su acuerdocondiciones de servicio , aceptas y quedas legalmente vinculado por todos sus términos y condiciones.
Lo dicen en negrita:
"Su aceptación de este Acuerdo crea un contrato legalmente vinculante entre usted y Zoom."
Pero el 6 de agosto, Stack Diary expuso partes de las condiciones de Zoom, dando a entender que utilizaban datos personales de forma que posiblemente infringían leyes como el Reglamento General de Protección de Datos (rgpd).
A continuación se muestra una captura de pantalla de las condiciones de uso de Zoom tal y como aparecieron el 6 de agosto, recuperadas de archive.org.
Los colores resaltados que he añadido representan diferentes requisitos legales relativos a rgpd a los que haré referencia a lo largo de este artículo:
- Azul: Zoom's definition of Customer Content Data and Service Generates Data
- Verde: Zoom's lawful basis used to justify the processing of Customer Content Data and Service Generated Data
- Yellow: Zoompara el tratamiento tanto de los Datos de Contenido del Cliente como de los Datos Generados por el Servicio.
La sección resaltada en amarillo de la parte 10.4 de este condiciones de servicio afirma que pueden utilizar información de los usuarios para entrenar su IA y otros módulos de aprendizaje automático, como Zoom IQ.
Dos párrafos más arriba, en la sección verde de 10.2, Zoom alegó el consentimiento como base jurídica para recopilar los tipos de datos específicos.
Sólo había un problema: Zoom nunca obtuvo el consentimiento expreso de los usuarios, lo que supone una infracción directa del artículo 4 de la Directiva rgpd.
En la siguiente sección analizaremos con más detalle cómo se infringió la legislación de la UE sobre protección de datos.
ZoomPosible infracción de la rgpd
La versión inicial de Zoomdefinía dos tipos de datos:
- Contenido del cliente (definido en la sección 10.1)
- Datos generados por el servicio (definidos en la sección 10.2)
Consulte las definiciones exactas en las secciones resaltadas en azul en la captura de pantalla que compartí anteriormente.
Pero esencialmente, el Contenido del Cliente representaba los datos de los clientes y usuarios finales generados utilizando la plataforma de Zoomque legalmente se califican como información personal.
Incluía información como datos, contenidos, archivos, documentos y otros materiales que los usuarios pudieran cargar o proporcionar al utilizar los servicios de Zoom.
Por el contrario, el ToS definía los Datos Generados por el Servicio como:
... cualquier dato telemétrico, datos de uso del producto, datos de diagnóstico y contenidos o datos similares que Zoom recopile o genere en relación con el uso que usted o sus Usuarios Finales hagan de los Servicios o el Software".
También llamados metadatos, este tipo de información puede incluir datos personales definidos en el artículo 4 de la rgpd, tal y como sostienen casos judiciales recientes, como el de Digital Rights Ireland.
Tras estas definiciones, había una lista de fines para los que Zoom puede utilizar esos datos, entre los que se incluían el "desarrollo de productos y servicios", el "marketing" y, sobre todo, el "aprendizaje automático y la inteligencia artificial".
Sin embargo, según el artículo 4 de la rgpd, se entiende por consentimiento legal:
toda manifestación de voluntad , libre, específica, informada e inequívoca, mediante la que el interesado consienta, por declaración o medianteuna clara acción afirmativa, el tratamiento de datos personales que le conciernan".
ZoomEl 6 de agosto, la Comisión Europea publicó un ToS que no se ajustaba en modo alguno a esta definición jurídica:
- La sección 10.2 de sus ToS incluía una lista de finalidades a las que, según afirmaba, el usuario daba su consentimiento, en cuyo caso éste no podía considerarse "específico".
- Zoom nunca pidió al usuario que diera "afirmativamente" su consentimiento mediante una acción (en el mundo de la privacidad de datos, esto se denomina consentimiento de inclusión voluntaria).
- Por último, se puede argumentar que, en este caso, el consentimiento no puede darse libremente, ya que cualquier usuario que se niegue sólo tiene una alternativa: no utilizar los servicios de Zoom(TechCrunch).
ZoomEl cumplimiento no tan necesario de un contrato
Técnicamente, la ejecución de un contrato es una base jurídica específica para el tratamiento de datos, tal y como se define en rgpd.
rgpd permite al responsable del tratamiento tratar los datos personales "necesarios para la ejecución de un contrato".
¿Podría aplicarse a Zoom?
Por utilizar un segundo punto destacado por el artículo de Stack Diary, la sección 10.4 de Zoomgarantizaba una "licencia perpetua, mundial, no exclusiva, libre de regalías, sublicenciable y transferible ..." sobre cualquier uso de los datos de Contenido del cliente.
Zoom lo justifica como "necesario para prestar los servicios", incluido el apoyo y la mejora de sus servicios, marketing, análisis, garantía de calidad, aprendizaje automático e inteligencia artificial.
En otras palabras, están procesando Contenido del cliente para ejecutar un contrato.
Pero en este caso, es muy probable que los fines enumerados por Zoom no se consideren necesarios: el marketing, la analítica, el aprendizaje automático y la inteligencia artificial no son esenciales para los servicios de comunicación de Zoom.
ZoomPosible infracción de la Directiva sobre privacidad en las comunicaciones electrónicas
Al infringir la definición de consentimiento del artículo 4 de rgpd, Zoom también infringiría otra ley de la UE llamada Directiva sobre privacidad electrónica.
Concretamente, el artículo 5 de la Directiva sobre la privacidad y las comunicaciones electrónicas prohíbe:
"escucha, intervención, almacenamiento u otros tipos de interceptación o vigilancia de las comunicaciones y de los datos de tráfico correspondientes por parte de personas distintas de los usuarios, sin el consentimiento de los usuarios afectados..."
La Directiva sobre la privacidad y las comunicaciones electrónicas utiliza la misma definición jurídica de consentimiento que rgpd, y como ya he explicado, Zoom no cumplía adecuadamente las directrices relativas al consentimiento expreso.
¿Cómo respondió Zoom ?
Tras el efecto bola de nieve de la mala prensa, Zoom actualizó rápidamente su página condiciones de servicio en 24 horas y publicó una entrada en su blog respondiendo a la polémica.
Sin embargo, los cambios seguían siendo insuficientes, lo que llevó a una tercera actualización que nos dejó con varias preguntas y preocupaciones.
En la siguiente sección, hablaré de las dos versiones de su TdS y explicaré por qué sigue siendo inquietante.
Un primer intento fallido de cumplimiento de la normativa
Tras las reacciones adversas de los consumidores y la prensa, Zoom actualizó rápidamente sus condiciones de servicio el 7 de agosto de 2023.
Al final de la sección 10.4, añadieron una breve declaración que especificaba lo siguiente:
"No obstante lo anterior, Zoom no utilizará audio, vídeo o Contenido del cliente de chat para entrenar nuestros modelos de inteligencia artificial sin su consentimiento."
Para la posteridad, véase a continuación una captura de pantalla de esta versión efímera del TdC de Zoom , recuperada una vez más de archive.org.
Aunque esto pretendía aclarar la situación, en realidad planteó nuevos problemas.
En primer lugar, esta declaración sólo se aplica al Contenido del cliente.
En consecuencia, la recopilación de Datos Generados por el Servicio basada en la definición ilegal de consentimiento de Zoomseguiría incumpliendo las leyes de privacidad de la UE.
En segundo lugar, esta afirmación implica que el procesamiento por parte de Zoomdel Contenido del cliente no se basaría en la base legal de rgpd de la "Ejecución del contrato" (lo cual era imposible en un principio).
En su lugar, se basan explícitamente en el consentimiento, que ya hemos establecido que no es válido.
Zoom condiciones de servicio y la cuestión de los metadatos
A la tercera va la vencida, ¿verdad? Bueno, quizá no tanto en el caso de las condiciones de uso de Zoom .
El 11 de agosto de 2023, Zoom actualizó sus términos de nuevo, finalmente retrocediendo en Inteligencia Artificial.
A continuación puede ver una captura de pantalla de la versión actual de la Sección 10.
Veamos rápidamente qué ha cambiado.
En primer lugar, la sección es mucho más corta. Ya no se menciona el uso de sus datos para ayudar al aprendizaje automático y la inteligencia artificial, salvo el texto en negrita de la sección 10.2 que dice:
'Zoom no utiliza ninguno de sus archivos de audio, vídeo, chat, pantalla compartida, archivos adjuntos u otras comunicaciones como Contenido del cliente (como resultados de encuestas, pizarras y reacciones) para entrenar modelos de inteligencia artificial de Zoom o de terceros.'
Acostúmbrate a esta frase, ya que ahora aparece dos veces en su Política de Privacidad, que también regula cómo acceden, procesan y utilizan la información personal de sus usuarios.
Además, Zoom eliminó la mayor parte del lenguaje sobre el consentimiento y le atribuyó la responsabilidad de informar a sus "Usuarios finales" sobre cualquier ley aplicable que le exija obtener el consentimiento para el uso por parte de terceros.
Aunque esto podría considerarse una resolución satisfactoria para los usuarios de Zoom que no desean que sus datos se utilicen para modelar IA, la cuestión de los Datos Generados por Servicios, o metadatos, sigue pendiente.
Los metadatos pueden ser datos personales en la medida en que puedan vincularse a una persona, y las condiciones actuales otorgan a Zoom un control total sobre ellos.
Dado que los metadatos pueden ser datos personales, estos términos siguen incumpliendo las leyes de privacidad de la UE, como rgpd y la Directiva sobre privacidad en las comunicaciones electrónicas.
Como ya se ha señalado, las entidades incluidas en rgpd sólo deben procesar estos metadatos tras obtener el consentimiento activo y expreso, y no el consentimiento implícito que Zoom describe en su política actualizada.
La siguiente sección es la opinión de mi colega y experta en privacidad de datos de fellow , Masha Komnenic, que tiene más que decir sobre la versión actual de Zoom's condiciones de servicio.
Examinar el uso de datos de Zoompara las funciones IQ plantea problemas de privacidad
La sección 10.1 de Zoom's condiciones de servicio define "Contenido del cliente" como el conjunto de datos y materiales generados o proporcionados por los usuarios en relación con sus servicios.
Sin embargo, un análisis más detallado de sus prácticas de uso de datos para ofrecer funciones de Zoom IQ plantea varios problemas de privacidad que merecen atención.
Discutamos más a fondo estas cuestiones.
Posible violación de la intimidad mediante metadatos y datos personales
Aunque Zoom especifica que no utiliza contenido real de audio, vídeo, chat u otro tipo de comunicación para entrenar sus modelos de IA, el énfasis de la empresa en el "Contenido del cliente" crea una laguna que podría dar lugar a problemas de privacidad.
Zoom afirma que sus datos no son datos personales, lo que puede no ser válido.
Incluso los metadatos asociados a los contenidos de los clientes pueden contener información sensible y personal, y es preocupante que Zoom no aborde explícitamente este potencial de violación de la privacidad.
Además, la necesidad de recopilar estos datos para entrenar modelos de IA, especialmente cuando los datos disponibles públicamente pueden servir para este fin, plantea preguntas válidas sobre sus prácticas de recopilación de datos.
Modelos de IA de terceros y conservación de datos
Las funciones de Zoom IQ también utilizan modelos de IA de terceros, lo que añade más complejidad a la plataforma.
Según las condiciones, terceros pueden retener temporalmente los datos de los clientes por "motivos de confianza y seguridad" o "cumplimiento de la ley".
Pero esto podría suscitar posibles problemas de vigilancia, sobre todo en lo que respecta a la recopilación de información sobre conversaciones.
La cláusula actual sugiere que terceros pueden compartir datos con el gobierno de EE.UU. si es necesario, creando una posible vía para la intrusión en la privacidad sin limitaciones claras ni medidas de reparación.
La importancia de ser usuarios de Internet vigilantes
En conclusión, aunque Zoom afirma que no utiliza directamente el contenido de las comunicaciones de los usuarios para entrenar sus modelos de IA, las ambigüedades de sus términos plantean importantes problemas de privacidad.
La amplia categorización de los "Contenidos del Cliente" y la posibilidad de que los metadatos contengan datos personales subrayan la necesidad de medidas de protección de datos más estrictas y, posiblemente, de redefinir el alcance de los Contenidos del Cliente.
Además, la implicación de modelos de IA de terceros y la retención temporal de datos por parte de estas entidades para diversos fines plantea cuestiones válidas sobre la seguridad y la privacidad de las interacciones de los usuarios en la plataforma.
Como usuarios, debemos estar atentos a cómo se procesa nuestra información personal y presionar para que haya más claridad y responsabilidad en esas prácticas de tratamiento de datos.
Lo que podemos aprender de la polémica de Zoom ToS
Zoom enseñó a los empresarios algo fundamental, y es una melodía que llevamos años cantando aquí en Termly : a los consumidores les importa lo que haces con sus datos personales .
No puede engañar a sus usuarios ni añadir párrafos furtivos a sus políticas legales con la esperanza de que le permitan recopilar y procesar datos personales de una forma que eluda las leyes de protección de datos.
Tus clientes prestan atención; si te cruzas con ellos como Zoom, las consecuencias son nefastas.
¿Cómo puede demostrar que es una empresa respetuosa con la privacidad? He aquí algunos consejos:
- Publique una política de privacidad que sea precisa, fácil de entender y que cumpla con las leyes de privacidad de datos aplicables.
- Asegúrese de que los datos de su condiciones de servicio también se ajustan a la legislación vigente.
- Sea honesto sobre qué cookies de Internet utiliza y para qué sirven, y ofrezca a sus usuarios opciones sobre ellas.
- Facilite a sus consumidores la presentación de solicitudes para actuar sobre sus derechos de privacidad de datos. Una forma de hacerlo es utilizar el formulario DSAR.
- Obtenga el consentimiento afirmativo de los usuarios (y no incluya un lenguaje de consentimiento implícito).
- Permita que sus usuarios cambien fácilmente de opinión y retiren (o acepten de nuevo) el consentimiento en cualquier momento.
- Disponga de sistemas de seguridad para proteger la integridad y confidencialidad de los datos personales que recopile, procese y utilice.
Resumen
Vivimos en una época en la que un escándalo en condiciones de servicio puede derribar de la noche a la mañana la reputación de una plataforma de videoconferencias gigantesca como Zoom , un servicio al que antes recurría prácticamente todo el mundo en Internet, personal y profesionalmente.
Una cosa es cierta: la gente lee su política jurídica.
La forma de presentar esa información y de recopilar, procesar y utilizar los datos personales es importante.
Todos usamos el mismo Internet, así que ¿por qué no hacerlo bien? Como siempre, Termly está aquí para ayudar.
