El marco de seguridad
Privacy Shield es administrado por la International Trade Administration (ITA), que forma parte del Departamento de Comercio de los Estados Unidos.
Para comprender los pasos a seguir y los requerimientos solicitados en el caso de querer adherirse al cumplimiento del mismo, es importante conocer el rol de dicho actor en la gestión y mantenimiento de dicho marco de seguridad. Para ello, a continuación veremos las principales acciones llevadas a cabo por ITA en la gestión del marco Privacy Shield:
- Mantenimiento de los listados de cumplimiento de Privacy Shield: En primer lugar, hay que destacar que ITA mantiene los listados de entidades que se han adherido a los requisitos de seguridad de Privacy Shield, y que se han autoevaluado al respeto.
Además, en el caso de que una entidad salga del programa Privacy Shield, ITA pone en conocimiento público a través de la web del programa el motivo por el cual ha abandonado el marco.
- Verificación de los requerimientos de auto-certificación de las entidades: Antes de dar por finalizada la auto-certificación inicial (o las posteriores certificaciones anuales) llevada a cabo por las entidades adheridas a Privacy Shield, ITA comprueba que la organización solicitante ha:
- Proporcionado toda la información solicitada en el formulario de auto-certificación.
- Añadido en su política de seguridad corporativa la adherencia a los principios indicados en Privacy Shield.
- Ha indicado que va a recibir información relacionada con labores de RRHH des de Europa, ésta ha declarado su intención a colaborar con las entidades regulatorias europeas, en la resolución de quejas relacionadas con su trato de los datos personales de los ciudadanos europeos.
- Realización de revisiones periódicas de cumplimiento: De manera periódica, ITA realiza revisiones de cumplimiento de Privacy Shield, enviando a las entidades participantes en el programa cuestionarios que deben ser rellenados y devueltos al departamento, para la revisión e identificación de posibles aspectos que puedan requerir revisiones adicionales.
Concretamente, se realizarán revisiones de cumplimiento adicionales del marco normativo cuando:
- ITA haya recibido quejas relativas al cumplimiento de Privacy Shield por parte de ciudadanos europeos o las autoridades regulatorias europeas pertinentes.
- La entidad no responda satisfactoriamente a las solicitudes realizadas por el departamento ITA.
- Existan evidencias de que la entidad no está siguiendo los requerimientos indicados en el marco Privacy Shield.
- Gestión de quejas recibidas por parte de la Unión Europea: En caso de recibir alguna queja por parte de las autoridades europeas, en el trato de datos personales de ciudadanos de la Unión por parte de alguna empresa adherida al marco Privacy Shield, ITA hará las gestiones necesarias para proveer las explicaciones pertinentes a dichas autoridades. Además, ITA se compromete a informar estas autoridades sobre los avances de la resolución de los casos en un plazo máximo de 90 días des de la recepción de la queja pertinente.
Autor: Guillem Fàbregas Margenats
CISSP, CISSP Instructor, CISA, CISM, CRISC, PCI QSA, PCIP, ISO 27001 L.A.
Dpto. Consultoría Barcelona