Que significa Schrems 2 para la computacion en la nube

Big Data

El alcance de GDPR no se detiene en las fronteras de Europa. El uso de plataformas en la nube no europeas y software como servicio desde Europa se ha vuelto mucho más complicado.

La protección de datos y la ciberseguridad son temas diferentes pero relacionados. La ciberseguridad es el conjunto de tecnologías, controles y comportamientos que se combinan para formar la respuesta de una organización al riesgo de ciberamenazas. La ciberseguridad significa mantener alejados a los malos y mantener los datos adentro.

La protección de datos es el conjunto de controles y gobernanza, principalmente políticas y procedimientos, diseñados para salvaguardar los datos personales y garantizar que se utilicen dentro de la letra de la ley.

Algunos de los requisitos de protección se satisfacen con sus medidas de ciberseguridad, y ese es el punto donde la protección de datos y la ciberseguridad se cruzan. La protección también significa asegurarse de que su personal no filtre datos a través de errores simples como enviar una hoja de cálculo al destinatario equivocado. Y ahí es donde entran en juego sus políticas y procedimientos de gobernanza de datos.

La forma en que se estructuran esos documentos y las medidas que deben hacer cumplir se rige por las leyes y reglamentaciones que debe cumplir. Eso lo establece la legislación local, que a su vez es función de la geografía y la política.

Las empresas que emplean la computación en la nube pueden estar ubicadas a miles de kilómetros de su línea de aplicaciones comerciales, datos y servidores. Una empresa con sede en Europa, por ejemplo, podría hacer uso de un servicio ubicado físicamente en un centro de datos en los Estados Unidos.

Transferir datos personales a países no europeos es complicado. Y se volvió más complicado.

Lo que concierne al GDPR es el procesamiento, almacenamiento y transmisión de datos personales o información de identificación personal (PII). Procesar significa realizar cualquier acción sobre o con datos personales. Ejecutar una consulta SQL complicada para extraer registros que coincidan con un determinado grupo demográfico o enviar un solo correo electrónico a un solo destinatario son ejemplos de procesamiento.

Existe un requisito legal para las organizaciones que procesan, almacenan o transmiten datos personales para aplicar una gobernanza y salvaguardias satisfactorias sobre los datos. El propósito de ese requisito es proteger y defender los derechos y libertades de los interesados, las personas a las que pertenecen los datos.

Eso es un resumen muy rápido: el GDPR tiene 88 páginas de burocracia concisa. Hay mucho, mucho, y el diablo está en los detalles.

Información personal

Los datos personales son cualquier información relacionada con un individuo, ya sea que se relacione con su vida privada, profesional o pública. Eso es un alcance masivo. Puede ser cualquier cosa, desde un nombre, una dirección particular, una foto, una dirección de correo electrónico, datos bancarios, publicaciones en sitios web de redes sociales, información médica, la dirección IP de una computadora, etc.

Y no necesita tener suficiente información para identificar a una persona para que se clasifique como datos personales. Es como una sierra de calar digital. Si tiene una sola pieza del rompecabezas que podría usarse con las otras piezas, incluso si tienen que obtenerse en otro lugar, para identificar a una persona, su única pieza de información se clasifica como datos personales y debe tratarse de acuerdo con el GDPR .

De hecho, es global

El mayor mito con GDPR es que solo se aplica a los estados miembros de la Unión Europea y es algo con lo que solo las organizaciones europeas tienen que lidiar.

La realidad es que, si emplea a europeos, tiene algún local en Europa, comercia con empresas o ciudadanos europeos, el GDPR se aplica a usted . El RGPD es un reglamento que protege a los ciudadanos europeos y sus datos personales y se aplica a cualquier organización que procese cualquier dato personal que pertenezca a europeos. Así fue como Google fue multado con más de 50 millones de dólares .

Hay algunas excepciones. Las empresas no europeas de menos de 250 empleados aún deben proteger los datos y usarlos de acuerdo con el GDPR, pero se ahorran un poco del papeleo y el mantenimiento de registros.

Y la palabra pertenencia es interesante en este contexto.

Estamos acostumbrados a pensar en la línea de mi base de datos, mi hoja de cálculo, mi lista de correo, etc. Y eso es correcto, son tuyos. Pero si mis datos están en alguno de sus sistemas digitales, legalmente son mis datos y tiene una copia de ellos. No son tus datos. Es mio. Y tengo derechos de sujeto de datos que dictan lo que puede y no puede hacer con esos datos.

Atrás quedaron los días en los que podía recopilar datos sin preocuparse, hacer lo que quisiera con ellos y compartirlos con quien lo considerara conveniente. Ahora, necesita una base legal incluso para recopilar los datos en primer lugar, así como una base legal para procesarlos.

Cruzando fronteras

El RGPD dice que solo puede transmitir datos personales a otros países si son:

  • En la unión europea
  • En el Espacio Económico Europeo

Disponer de su propia legislación sobre protección de datos que la Comisión Europea , teniendo en cuenta las conclusiones del Consejo Europeo de Protección de Datos , ha considerado adecuada. Estos fallos se denominan decisiones de adecuación .

Si no está en la Unión Europea, ni en el Espacio Económico Europeo, está clasificado como un tercer país .

Hasta ahora Andorra, Argentina, Canadá, las Islas Feroe, Guernsey, Israel, la Isla de Man, Japón, Jersey, Nueva Zelanda, Suiza y Uruguay son terceros países con decisiones de adecuación.

Los datos personales se pueden transmitir a cualquiera de estos terceros países donde se procesarán, almacenarán y transmitirán con el mismo grado de protección y gobernanza que si se estuvieran manejando en una región sujeta al RGPD.

Faltan dos nombres en esa lista. Destacan por su ausencia los Estados Unidos y el Reino Unido.

Reino Unido y Brexit

El Reino Unido está en proceso de salir de la Unión Europea. Si el Reino Unido abandona la Unión Europea sin un acuerdo comercial que le permita seguir siendo un miembro funcional del Espacio Económico Europeo, se convertirá en un tercer país y requerirá una decisión adecuada sobre un marco y una legislación de protección de datos adecuados.

El Reino Unido tiene una legislación preparada para esto. El Capítulo Dos de la Ley de Protección de Datos del Reino Unido de 2018 contiene (más o menos) la totalidad del RGPD. Entonces, la legislación está lista, ya está consagrada en la ley británica y seguramente debe ser adecuada porque es el GDPR.

El problema es que el proceso de decisión de adecuación es muy lento.

EEUU y el Escudo de privacidad

Estados Unidos tiene una decisión de adecuación parcial. Los marcos del Escudo de privacidad UE-EE. UU. Y Suiza-EE. UU. Fueron diseñados por el Departamento de Comercio de EE. UU. , La Comisión Europea y la Administración suiza para proporcionar un mecanismo aceptable para la transferencia de datos personales entre la Unión Europea, Suiza y los Estados Unidos.

A Estados Unidos se le otorgó una decisión de adecuación parcial porque Privacy Shield no es una legislación nacional y no es obligatorio. Las organizaciones deciden si necesitan participar o no. Es opt-in.

En realidad, es más exacto decir que Estados Unidos tenía una decisión de adecuación parcial.

Schrems 2

El marco del Escudo de privacidad funcionó bien. Permitió que los proveedores estadounidenses de plataformas en la nube y las empresas de software como servicio comerciaran en Europa y prestaran servicios a los clientes europeos aunque sus centros de datos pudieran estar ubicados en los Estados Unidos.

Funcionó bien, es decir, hasta que Maximillian Schrems , un activista austriaco de protección de datos, llevó un caso al Tribunal de Justicia de la Unión Europea (TJUE). Ganó el caso y el TJUE emitió un fallo el 16 de julio de 2020. A esto le siguió una declaración de posición del Comisionado Federal de Protección de Datos e Información de Suiza .

El caso se reducía a si el marco del Escudo de la privacidad era lo suficientemente sólido como para justificar incluso una decisión de adecuación parcial. Al ganar el caso, el Escudo de privacidad quedó invalidado.

Parte del caso dependía de las iniciativas de vigilancia y recopilación masiva de datos de los Estados Unidos, como PRISM y UPSTREAM , y la capacidad de la Agencia de Seguridad Nacional y otras agencias similares para solicitar datos personales de los clientes de empresas estadounidenses.

¿Ahora que?

Grandes organizaciones como Google y Microsoft tienen centros de datos estratégicamente posicionados en diferentes regiones como Europa, África, Medio Oriente y Asia. Esto se hace específicamente para dar servicio a esas regiones desde dentro de esas regiones. Pero tener centros de datos en Europa no soluciona el problema. La NSA aún puede obligarlos a entregar los datos, independientemente de la ubicación del centro de datos. El simple hecho de tener un centro de datos en Europa no resuelve nada.

En resumen, Estados Unidos es un tercer país sin una decisión de adecuación y parece muy probable que el Reino Unido se encuentre en breve exactamente en la misma posición.

No habrá un medio sencillo para la transferencia de datos personales entre empresas europeas y empresas británicas o estadounidenses. Incluso dentro de una corporación internacional o un grupo de empresas, mover datos de una oficina en Europa a una sucursal en Londres o Nueva York será complicado.

Pero tiene que haber alguna forma de que una empresa europea pueda enviar datos a un tercer país sin una decisión de adecuación. La Junta Europea de Protección de Datos seguramente no podía esperar que GDPR cayera como una guillotina para romper los lazos comerciales existentes con, por ejemplo, Oriente Medio.

De hecho, existen disposiciones para esa misma contingencia. Son:

Excepciones

Códigos de conducta y mecanismos de certificación

Normas corporativas vinculantes

Cláusulas contractuales estándar

Eso es algo. Pero aun así, no será sencillo.

Las excepciones son desviaciones específicas de un país de la carta del GDPR que han sido aprobadas por la Comisión Europea y la Autoridad de Supervisión del país en Europa. Cada empresa debe presentar su propio caso.

Las excepciones permiten un cierto grado de flexibilidad en determinadas condiciones y son una desviación tolerada y justificada de los requisitos habituales. Desafortunadamente, deben aplicarse de manera restrictiva y no pueden convertirse en la norma. Son, por definición, la excepción a la regla. Además, se relacionan con "actividades de procesamiento que son ocasionales y no repetitivas".

Por lo tanto, las excepciones no son prácticas para las transferencias comerciales regulares de datos personales.

Códigos de conducta y mecanismos de certificación

La Junta Europea de Protección de Datos dice que los Códigos de Conducta y los Mecanismos de Certificación pueden ofrecer garantías adecuadas para las transferencias de datos personales a terceros países si existen compromisos vinculantes y exigibles para la empresa en el tercer país.

Las asociaciones y los organismos profesionales pueden preparar códigos para su aprobación y registro. El artículo 42 del RGPD establece que "los mecanismos, sellos o marcas de certificación de protección de datos ... pueden establecerse con el fin de demostrar la existencia de las garantías adecuadas proporcionadas por los controladores o procesadores que no están sujetos a este Reglamento".

Se tendría que dedicar una enorme cantidad de trabajo a un plan de este tipo.

Las asociaciones comerciales o los organismos profesionales del tercer país deberían desarrollar un código de conducta y un mecanismo de certificación adecuados.

El código debería ser evaluado y aprobado por la Junta Europea de Protección de Datos.

Las empresas representadas por la asociación u organismo comercial en el tercer país deberían adoptar el código y poder demostrar su cumplimiento.

Las empresas participantes deberán ser examinadas y, si aprueban, certificadas. Eso requiere el establecimiento de un organismo de certificación.

Luego, las empresas participantes deberían ser monitoreadas para garantizar el cumplimiento continuo del código.

No hay códigos de conducta aprobados en los Estados Unidos ni en el Reino Unido, aunque la Oficina de Comisionados de Información del Reino Unido dice que tienen procesos para aceptar solicitudes. No espere un cambio rápido.

Normas corporativas vinculantes

Las Normas Corporativas Vinculantes son normas internas que definen la política internacional en grupos multinacionales de empresas y organizaciones internacionales con respecto a las transferencias transfronterizas, pero dentro de la misma organización, de datos personales.

Las reglas corporativas vinculantes son detalladas y completas, y muy similares a los contratos. Existe un conjunto estándar de información y temas cuya inclusión es obligatoria. Las normas corporativas vinculantes deben ser sometidas a revisión y autorización por parte de la Autoridad de Supervisión del país europeo.

Las reglas corporativas vinculantes son complejas y su creación requiere mucho tiempo, pero para una organización internacional grande o multinacional, simplificarán enormemente las transferencias de datos una vez que se implementen.

Cláusulas contractuales estándar

Tanto la empresa europea como la empresa del tercer país deben estar de acuerdo en utilizar un contrato de cláusulas contractuales estándar aprobado por la Comisión Europea. Estos contratos proporcionan garantías de protección de datos adicionales que se requieren en el caso de una transferencia de datos personales a cualquier tercer país.

Las cláusulas contractuales estándar deben estar firmadas por ambas partes. Si no están firmados, no se considera que estén en su lugar.

Las cláusulas contractuales estándar pueden incluirse en un contrato más amplio y pueden agregarse cláusulas adicionales, siempre que no contradigan, directa o indirectamente, las cláusulas contractuales estándar. No puede agregar cláusulas al contrato para intentar anular cualquier requisito de las cláusulas contractuales estándar que no le gusten.

Puede modificar las cláusulas contractuales estándar para tener en cuenta una situación específica o particular. Una vez que se han modificado, por supuesto, ya no son cláusulas contractuales estándar. Se convierten en cláusulas contractuales ad hoc y antes de que puedan ser utilizadas deben ser autorizadas por la Autoridad Supervisora ​​de Protección de Datos de la empresa europea.

Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias

Compartir en Facebook Compartir en twitter

Fecha actualización el 2021-11-04. Fecha publicación el 2020-11-04. Categoría: Big Data Autor: Oscar olg Mapa del sitio Fuente: cloudsavvyit Version movil