SurveyMonkey ofrece sus productos en todo el mundo con subprocesadores globales. En nuestro contrato contigo, nos comprometemos a que cada transferencia de datos personales a nosotros cumpla con la ley de protección de datos aplicable. Solo realizamos transferencias subsiguientes de datos personales a subprocesadores que protegen tus datos personales con medidas de seguridad igual de onerosas que las medidas de seguridad que aplicamos a los datos personales bajo nuestro control.

Además, las medidas complementarias que hemos implementado están en concordancia con la sentencia del Tribunal de Justicia de la UE (“TJUE”), del 16 de julio de 2020, en el Caso C-311/18, Comisionado de Protección de Datos vs. Facebook Ireland Limited y Maximilian Schrems (“Schrems II”) y con las pautas sobre medidas complementarias del Comité Europeo de Protección de Datos (“EDPB”). A continuación, se brinda información detallada.

Para obtener más información sobre cómo procesamos los datos personales en general, consulta nuestro Aviso de privacidad.

Parte I: Transferencias a SurveyMonkey

Parte II: Transferencias subsiguientes a subprocesadores

Si eres un Cliente de los EE. UU., tu contrato incluirá un Anexo sobre protección de datos (“DPA”) con la entidad estadounidense de SurveyMonkey: SurveyMonkey Inc. Si eres un Cliente de Enterprise y tienes usuarios en el Espacio Económico Europeo (“EEE”), en el Reino Unido (“RU”) o en Suiza y, por lo tanto, necesitas un mecanismo de transferencia para datos de usuarios a SurveyMonkey, puedes solicitar que agreguemos el mecanismo de transferencia pertinente. Si eres un Cliente de autoservicio, nuestro DPA en línea contiene estos mecanismos de transferencia de forma automática.

Además de las Cláusulas contractuales tipo ("SCC"), SurveyMonkey Inc. también se autocertifica conforme al Marco de privacidad de datos de la UE-EE. UU., la Extensión del Reino Unido del Marco de privacidad de datos de la UE-EE. UU. y los principios del Marco de privacidad de datos de Suiza-EE. UU. Esto significa que las autoridades de protección de datos de Europa, el Reino Unido y Suiza han considerado que nuestro procesamiento es “adecuado” en virtud del Artículo 45 (3) del RGPD (y de la legislación nacional correspondiente).

Si eres un cliente con base en el EEE, el RU o Suiza, tu contrato incluirá un Anexo sobre protección de datos (“DPA”) con la entidad irlandesa de SurveyMonkey: SurveyMonkey Europe UC. Dado que tu transferencia a SurveyMonkey se realiza entre entidades europeas (o entre entidades que hayan reconocido el estado de suficiencia de cada una), no es necesario ningún otro mecanismo de transferencia.

Si eres un Cliente con base fuera de los EE. UU., el EEE, el RU o Suiza, pero tienes usuarios en el EEE, el RU o Suiza y necesitas asegurarte de que exista un mecanismo de transferencia para la transferencia subsiguiente, tu contrato incluirá un DPA con la entidad irlandesa de SurveyMonkey, SurveyMonkey Europe UC. Si eres un Cliente de Enterprise, puedes solicitar que agreguemos el mecanismo de transferencia pertinente. Si eres un Cliente de autoservicio, nuestro DPA en línea contiene estos mecanismos de transferencia de forma automática.

Transfieres datos personales a SurveyMonkey de modo que es posible que procesemos los datos personales para los siguientes fines:

Deberías evaluar si transfieres datos con cualquier otro fin.

Los datos personales del Cliente transferidos a SurveyMonkey pueden contener tantos o tan pocos datos personales como decidas proporcionar en las preguntas de las encuestas, los formularios y los cuestionarios. Dado que se trata de una plataforma, suponemos que recopilas una gran variedad de datos personales, lo que incluye datos de potenciales categorías especiales. 

La información que recopilamos se especifica en la Sección 2 de nuestro Aviso de privacidad.

Como se menciona anteriormente, contratarás con una entidad SurveyMonkey en los EE. UU. o Irlanda, según tu ubicación. De acuerdo con el asesoramiento externo especializado en la protección de datos y el análisis de las leyes por las que SurveyMonkey se rige, consideramos que el riesgo relacionado con el régimen legal en los EE. UU. es bajo, y el riesgo relacionado con el régimen legal en Irlanda no representa un riesgo sustancial para el interesado. Consulta la sección “Medidas complementarias: Organización” para obtener más información sobre la ley estadounidense de forma específica.

Incluso cuando no exista un riesgo sustancial o el riesgo sea bajo, SurveyMonkey ha implementado medidas complementarias para una mayor seguridad de los datos personales. Las medidas complementarias se dividen en tres categorías: medidas de seguridad (i) contractuales; (ii) organizativas y (iii) técnicas. 

Como se describe anteriormente, SurveyMonkey aceptará firmar cláusulas contractuales estándar con los clientes. El juicio de Schrems II indica que las partes pueden usar las SCC y (cuando sea apropiado) medidas de seguridad adicionales para la transferencia de datos personales desde el Reino Unido, Suiza y el Espacio Económico Europeo (“Datos europeos”) a los Estados Unidos. Si has firmado un acuerdo con SurveyMonkey o estás obteniendo servicios de SurveyMonkey que requerirán que SurveyMonkey procese datos personales de interesados europeos, SurveyMonkey (como sea apropiado según la entidad SurveyMonkey con la que estés contratando): 

Para obtener más información sobre nuestro acuerdo, que cumple las Cláusulas contractuales estándar, consulta los Términos de uso (para los clientes de autoservicio), el Contrato maestro de servicios (para los clientes de SurveyMonkey Enterprise o GetFeedback Digital), o cualquier otro acuerdo que puedas haber negociado con SurveyMonkey.

Las preocupaciones del TJUE sobre las transferencias de datos a los Estados Unidos se basaron en la recopilación de datos del gobierno de los EE. UU. según la Orden Ejecutiva 12333 (“OE 12333”) y la Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera (“FISA § 702”), especialmente la vigilancia “a gran escala” según FISA § 702.  Los riesgos planteados por estas disposiciones legales estadounidenses no se aplican al procesamiento de datos de SurveyMonkey o pueden reducirse de modo suficiente por las medidas de seguridad que ofrece SurveyMonkey.

Además, el 10 de julio de 2023, la Comisión Europea adoptó su decisión de adecuación del Marco de privacidad de datos de UE-EE. UU. La decisión de adecuación concluye que Estados Unidos garantiza un nivel adecuado de protección, en comparación con el de la UE, para los datos personales transferidos desde la UE a las empresas de EE. UU. que participan en el Marco de privacidad de datos de UE-EE. UU.

La decisión de adecuación sigue a la firma por parte de EE. UU. de una Orden Ejecutiva sobre 'Mejora de las medidas de seguridad para las actividades de inteligencia de señales de los Estados Unidos', que introdujo nuevas medidas de seguridad vinculantes para abordar los puntos planteados por el Tribunal de Justicia de la Unión Europea en la sentencia del juicio Schrems II de julio de 2020. En particular, las nuevas obligaciones estaban dirigidas a garantizar que las agencias de inteligencia de EE. UU. puedan acceder a los datos solo en la medida necesaria y proporcionada, y a establecer un mecanismo resarcitorio independiente e imparcial para atender y resolver las quejas de los europeos relativas a la recopilación de sus datos a los efectos de seguridad nacional (visita: https://ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752).

SurveyMonkey no es elegible para recibir pedidos de vigilancia “a gran escala” o en masa según FISA § 702. SurveyMonkey Inc. actúa, en parte, como un servicio de comunicaciones electrónicas (“SCE”) y, además, como un servicio informático remoto (“SIR”) (según lo definido en las Secciones 2510 y 2711 del Título 18 USC., respectivamente) en cuanto a determinadas características de los servicios o los productos que brindamos a los clientes.  SurveyMonkey Inc. por lo tanto, se encuentra dentro del amplio grupo de empresas con las que el gobierno de los Estados Unidos podría cumplir con una directiva específica según FISA § 702.  No obstante, dado que el gobierno de los EE. UU. ha aplicado FISA § 702, SurveyMonkey no es elegible para recibir un tipo de orden que fue una gran preocupación para el TJUE en la sentencia del juicio Schrems II —es decir, una orden FISA § 702 para una vigilancia “a gran escala”.  Dado que el gobierno de los EE. UU. ha aplicado FISA § 702, usa órdenes a gran escala solo para enfocarse en el tráfico a través de proveedores centrales de Internet que proveen tráfico de Internet a terceros (es decir, operadores de telecomunicaciones).  Por ejemplo, consulta el informe de la Junta de Supervisión de la Privacidad y las Libertades Civiles, Informe sobre el Programa de Vigilancia según la Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera(2 de julio de 2014), páginas 35-40, disponible en https://fas.org/irp/offdocs/pclob-702.pdf.  SurveyMonkey no proporciona esos servicios centrales de Internet, dado que solo realizamos el tráfico que involucra a nuestros propios clientes.  Por lo tanto, no somos elegibles para recibir el tipo de orden principalmente abordada, y considerada problemática, en la sentencia del juicio Schrems II .

SurveyMonkey no ha recibido ninguna directiva según FISA § 702, y no es probable que recibamos alguna. A partir de la fecha de esta declaración, SurveyMonkey no ha recibido ninguna directiva según FISA § 702 y no tiene ningún motivo para creer que la recibiría.  Los datos personales que SurveyMonkey procesa para nuestros clientes –datos de información – es muy poco probable que sean relevantes para las actividades de inteligencia extranjera regidas por FISA § 702.  Además, en el caso de que algún dato personal fuera relevante para una investigación, es más probable que el gobierno busque ese dato a través de otras formas de proceso legal (como una orden de registro aprobada por una corte) que cumpla con los elevados estándares para el acceso del gobierno a los datos descritos en la sentencia del juicio Schrems II.  Esto se debe a que sería más rápido y más fácil que el gobierno busque un pedido o una orden de registro en algún otro instrumento que no sea FISA § 702 que implementar los mecanismos requeridos para que el gobierno aplique en SurveyMonkey las directivas según FISA § 702.

SurveyMonkey no colabora, y no se le puede ordenar que colabore, con las autoridades de los EE. UU. para que recopilen información según la Orden Ejecutiva 12333. SurveyMonkey no colabora ni colaborará con las autoridades de los EE. UU. para realizar vigilancia según la OE 12333.  La OE 12333 no otorga al gobierno de los EE. UU. la capacidad para obligar a las empresas a proporcionar ayuda con estas actividades, y SurveyMonkey no lo hará voluntariamente.  Por lo tanto, SurveyMonkey no realiza ninguna acción, ni se le puede ordenar que la realice, para facilitar el tipo de vigilancia masiva según la OE 12333 que la sentencia del juicio Schrems II consideró problemática.

SurveyMonkey proporciona una variedad de medidas técnicas que resuelven las deficiencias principales mencionadas en la sentencia del juicio Schrems II que se mencionan anteriormente (vigilancia masiva según FISA § 702 e interceptaciones masivas según OE 12333).  

SurveyMonkey cifra todos los datos almacenados en nuestros centros de datos mediante cifrado basado en AES 256. Además, SurveyMonkey cifra todos los datos en movimiento utilizando (i) RSA con certificados basados en claves de 2048 bits generados a través de una autoridad certificadora pública, para comunicaciones con entidades fuera de los centros de datos de SurveyMonkey, y (ii) certificados RSA 256 generados a través de una autoridad certificadora interna, para todos los datos dentro del centro de datos.  El objetivo de estos esfuerzos de cifrado es prevenir la adquisición no autorizada de datos de manera inteligible y evitar las escuchas telefónicas/la manipulación no autorizadas cuando los datos están en tránsito entre dos puntos de conexión. 

Algunos clientes de SurveyMonkey (por ejemplo, clientes de GetFeedback Digital) solo almacenan sus datos en la Unión Europea. En esas instancias, los datos no se almacenan en los EE. UU. y solamente se produce un acceso mínimo a esos datos en los Estados Unidos con fines limitados (por ejemplo, ayudar al cliente con un pedido, hacer el seguimiento de asistencia a las escolta y acceder a recursos limitados de ingeniería para solucionar problemas/errores técnicos o implementar sistemas).

SurveyMonkey también mantiene estrictos procedimientos administrativos, técnicos y físicos para proteger la información almacenada en sus servidores. El acceso a la información personal se limita, mediante credenciales de inicio de sesión, a aquellos empleados que lo requieren para realizar su trabajo. SurveyMonkey implementa técnicas para minimizar los datos a fin de limitar la cantidad de datos personales que se transfiere desde la UE a jurisdicciones de terceros para incluir, cuando sea apropiado, el anonimato o la desidentificación de los datos. Además, SurveyMonkey usa controles de acceso, como la autenticación de factores múltiples, registro único, acceso según se necesite, sólidos controles de contraseñas y acceso restringido a las cuentas administrativas.  

Además, como SCE/SIR, SurveyMonkey está sujeto a la Ley de Privacidad de las Comunicaciones Electrónicas, 18 USC. § 2701, y siguientes  (“ECPA”), de los EE. UU., que brinda protección a los clientes de SurveyMonkey.  Por ejemplo, la ECPA prohíbe que las entidades gubernamentales busquen información sobre los clientes de servicios como SurveyMonkey, a menos que esas entidades gubernamentales primero obtengan un proceso legítimo, incluso una orden judicial o una orden de registro, para la información que no sea la básica del subscriptor.  Del mismo modo, tanto FISA como ECPA proporcionan resarcimientos a los clientes de SurveyMonkey contra el gobierno de los EE. UU. (lo que incluye compensaciones pecuniarias o medidas disciplinarias contra las autoridades gubernamentales pertinentes) si obtiene, de forma inapropiada, información sobre ellos (consulta 18 USC. § 2712).

Los asesores legales externos de SurveyMonkey tienen experiencia en responder a solicitudes gubernamentales de los EE. UU. para datos de usuarios, incluidas las solicitudes de seguridad nacionales de los EE. UU. según FISA § 702.  La política de SurveyMonkey es remitir esas solicitudes a una instancia superior en el equipo de cumplimiento interno de SurveyMonkey y, según sea necesario, a esos asesores externos para su revisión.  Cuando corresponda, SurveyMonkey se propone utilizar los mecanismos legales disponibles para objetar las demandas de acceso de datos usando FISA § 702 (incluso las disposiciones o pedidos de no divulgación inherentes a este documento) en el improbable caso de que SurveyMonkey reciba una demanda.  La demanda será revisada por una corte de los EE. UU. (el tribunal FISA). 

SurveyMonkey también reconoce que una orden para proporcionar acceso a datos según FISA § 702 requeriría que SurveyMonkey notificara a nuestros clientes que ya no podríamos cumplir con las Cláusulas contractuales estándar, lo que les permitiría finalizar el acuerdo con nosotros y suspender el flujo de datos hacia nosotros.  Nunca hemos tenido necesidad de emitir un aviso de ese tipo.

Tomando en cuenta el análisis anterior, consideramos que el riesgo de daño a los datos no es sustancial.

La tabla a continuación resume nuestra conclusión de la evaluación de impacto de transferencias.

Riesgo "no sustancial" significa que los datos personales se transfieren entre entidades que se encuentran dentro del Espacio Económico Europeo (EEE).

Riesgo "bajo" significa que el país importador/de destino está fuera del EEE, pero la transferencia se realiza con un mecanismo aprobado por la RGPD y se han implementado medidas suplementarias. Se mitigaron los riesgos residuales identificados en un TIA.

Riesgo "medio" significa que el país importador/de destino está fuera del EEE, pero la transferencia se realiza con un mecanismo aprobado por la RGPD y se han implementado medidas suplementarias. Quedan algunos riesgos residuales identificados en un TIA.

Riesgo "alto" significa que el país importador/de destino está fuera del EEE, pero la transferencia se realiza con un mecanismo aprobado por la RGPD y se han implementado medidas suplementarias. Quedan importantes riesgos residuales identificados en un TIA.

Los subprocesadores son proveedores de SurveyMonkey que procesan tus datos personales para ayudar a que SurveyMonkey te brinde servicio. Todos los subprocesadores de SurveyMonkey tienen la obligación contractual de proteger los datos personales con medidas de seguridad que no sean menos onerosas que las estándar que aplicamos a los datos personales bajo nuestro control.

Cuando SurveyMonkey transfiere datos personales a subprocesadores, realizamos una Evaluación de impacto de transferencias (“TIA”) similar a los pasos detallados anteriormente. De este modo, garantizamos que tus datos personales estén protegidos a cada paso, como lo exige la ley de protección de datos y nuestro contrato contigo. A continuación, te ofrecemos un resumen de los puntos destacados de la TIA para cada subprocesador.

Ten en cuenta que no todos los subprocesadores se utilizan en la prestación de todos nuestros servicios. La lista de nuestros subprocesadores está segmentada en servicios específicos de SurveyMonkey. 

Si deseas recibir notificaciones por correo electrónico de las actualizaciones de nuestra Lista de subprocesadores, suscríbete aquí.

Descarga un archivo PDF con la Lista actual de nuestros subprocesadores aquí.