Este borrador va a ser revisado en las próximas semanas de manera conjunta por la Comisión Europea y el Departamento de Comercio de los Estados Unidos, para ajustar algunos detalles de su contenido, pero con él, ya podemos hacernos una idea de los requerimientos de seguridad que exige a las entidades de Estados Unidos que traten datos personales de ciudadanos europeos.
En esta entrada, analizaremos los aspectos más destacables de dicho borrador, haciendo énfasis en aquellos puntos que puedan resultar de especial interés.
Así pues, vemos algunos de los puntos más destacados de este nuevo marco:
- Las entidades estadounidenses que realicen tratamientos de información de carácter personal de ciudadanos europeos, deberán cumplir con los siguientes principios:
- Principio de Notificación: Las entidades estarán obligadas a informar a los ciudadanos sobre los aspectos clave en el procesamiento de sus datos de carácter personal (tipos de datos recopilados, propósito del procesamiento de los datos, derechos de acceso a la información y condiciones de transmisión/cesión de dichos datos a un tercero).
- Principio de Elección: Las entidades deberán obtener el consentimiento formal por parte de los ciudadanos antes de ceder sus datos personales sensibles a entidades terceras.
- Principio de Seguridad: Las entidades deberán evaluar los riesgos de seguridad en el tratamiento de la información de carácter personal, y deberán implementar medidas de seguridad que mitiguen al máximo dichos riesgos. En el caso de que la entidad subcontrate a un tercero de un servicio determinado, se le deberá exigir un nivel de seguridad equivalente al requerido por la entidad, para la protección de la información de carácter personal tratada.
- Principio de Integridad y Limitación de Propósito: Las entidades deberán garantizar la integridad de los datos personales obtenidos, y el procesado de dicha información solo deberá ser llevado a cabo en los casos en que esto sea imprescindible.
- Principio de Acceso: Las entidades deberán informar a los ciudadanos sobre el contenido de sus datos personales, y deberá facilitarles el accso a dichos datos en un plazo de tiempo razonable. Las peticiones de acceso a su información personal podrán ser realizadas por los ciudadanos en cualquier momento y sin justificación previa.
- Principio de Responsabilidad para Transmisiones Lícitas: Las transmisiones de información personal a controladores o procesadores (organismos oficiales) de manera lícita solo deberá ser realizada bajo justificación expresa. Además, en caso de realizarse, dichas transmisiones deberán ser notificadas a los ciudadanos originales, bajo el Principio de Notificación, comentado anteriormente.
- Principio de Responsabilidad, Aplicación y Cumplimiento: Las entidades deberán adecuarse a las premisas del marco Privacy Shield, y deberán reportar su cumplimiento de manera anual a través de un informe de certificación realizado por una entidad tercera o bien a través de un informe de auto-certificación. Los reportes de certificación deberán ser reportados al Departamento de Comercio de los Estados Unidos, que mantendrá un listado público de todas las entidades adheridas a este programa. En el caso que las empresas afectadas no demuestren el cumplimiento de dichos requerimientos, estarán sujetas a sanciones económicas.
- Se establece un período máximo de 45 días para que las entidades den respuesta a aquellas reclamaciones realizadas por los ciudadanos en base a un mal manejo de sus datos personales por parte de las mismas. Además, en estos casos, los ciudadanos también podrán realizar una reclamación a las autoridades locales de protección de datos (en el caso de España la AEPD), para que dichas reclamaciones se canalicen a través de dichos organismos. En estos casos, el periodo definido para dar respuesta a este tipo de reclamaciones será de 90 días.
- Se crea la figura del Defensor del Pueblo en el Gobierno de los Estados Unidos, que trabajará de manera conjunta a otros departamentos oficiales, para velar por los derechos de los ciudadanos Europeos en el tratamiento de sus datos personales por parte de entidades de los EEUU.
- Los Estados Unidos se guardan el derecho de realizar monitorizaciones y análisis de datos personales en ocasiones especiales, con el objetivo de detectar y frenar amenazas terroristas, armas de destrucción masiva o amenazas a las fuerzas armadas.
- De manera anual, se realizará una revisión conjunta del marco Privacy Shield por parte de la Comisión Europea y el Departamento de Comercio de los Estados Unidos, para garantizar el buen funcionamiento del mismo, y actualizarlo, en caso de que ésto se considere necesario.
http://europa.eu/rapid/press-release_IP-16-433_en.htm
Autor: Guillem Fàbregas - PCI QSA, PCIP, CISSP, CISA, CISM, CRISC, ISO 27001 L.A.
Departamento de Consultoría.