La CNPD de Luxemburgo adopta el esquema de certificación RGPD-CARPA

Luxemburgo se convierte en el primer país en introducir un esquema de certificación bajo el RGPD al adoptar el esquema de certificación RGPD-CARPA.

 

La Comisión Nacional de Protección de Datos de Luxemburgo (CNPD) adoptó el pasado mes el mecanismo de certificación RGPD-CARPA (“Certified Assurance-Report based Processing Activities”, por sus siglas en inglés). El RGPD-CARPA es así el primer mecanismo de certificación adoptado bajo el RGPD a nivel tanto nacional como internacional. Las empresas y otras organizaciones de Luxemburgo tienen ahora la oportunidad de demostrar que sus actividades de tratamiento de datos cumplen con el RGPD. Esta certificación garantiza un alto grado de cumplimiento con la normativa por parte de aquellos responsables y encargados cuyas actividades de tratamiento de datos estén cubiertas por la misma. Debe tenerse en cuenta que este mecanismo no certifica a la organización en sí misma sino a actividades de tratamiento específicas. 

 

La certificación de protección de datos fue desarrollada con la colaboración de auditores profesionales y revisada por el CEPD. 

 

La CNPD, como responsable de este esquema de certificación, acreditará aquellas entidades que cumplan con los requisitos. Desde que el RGPD comenzó a aplicarse en 2018, la CNPD ha mantenido numerosas conversaciones con auditores profesionales para desarrollar el sistema de acreditación, el cual se basa en la ISAE 3000 (auditoría), la ISCQ1 (control de calidad de las organizaciones auditoras) y la ISO 17065 (licencia de entidades certificadoras). El criterio de acreditación destaca el trabajo realizado por la entidad de certificación y los auditores profesionales. Después de que la CNPD publicase la primera versión de su esquema de certificación, otras autoridades de control europeas examinaron el criterio bajo el mecanismo de coherencia y el CEPD emitió una opinión formal al respecto. En general, la CNPD ha sido un impulsor de los avances del CEPD en el campo de la certificación, ha actuado como ponente de las orientaciones publicadas en torno a ella y ha ayudado al CEPD con las opiniones formales en esta nueva materia. 

 

La implementación del mecanismo de certificación RGPD-CARPA incentivará la confianza en los tratamientos de datos que estén cubiertos por el mismo. 

 

La implementación del esquema de certificación puede ayudar a promover la transparencia y el cumplimiento con el RGPD, así como contribuir a que los sujetos sienta seguridad respecto del grado de protección ofrecido por los productos, servicios, procesos y sistemas empleados por las organizaciones para tratar sus datos personales. Una característica única del esquema de certificación de la CNPD es que se basa en un informe ISAE 3000 tipo 2, con el auditor como responsable de la implementación del mecanismo de control, lo cual ofrece garantía de un alto nivel de confianza, que es clave para generar confianza de los actores principales y los sujetos en las actividades de tratamiento cubiertas por el esquema de certificación. 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

La CNIL advierte de que las funciones personalizadas de Google Analytics no hacen legal la transferencia de datos

La CNIL ha anunciado que las transferencias de datos con Google Analytics no son legales ni aunque se utilicen las funciones personalizadas. 

 

La CNIL ha anunciado recientemente que incluso con el uso de las funciones personalizadas de Google Analytics, las transferencias de datos a través de esta tecnología no son legales en ausencia de un acuerdo de transferencia de datos entre Europa y Estados Unidos. Este anuncio se ha incluido en la página de respuestas y preguntas de la CNIL, como una clarificación después de que numerosas empresas mostrasen su esperanza de que las funciones de personalización pudiesen emplearse de tal modo que hiciesen legales las transferencias de datos entre Europa y Estados Unidos a través de Google Analytics. Sin embargo, según la CNIL, la utilización de esta herramienta sigue sin cumplir con el RGPD aunque ahora haya algunas opciones preventivas disponibles. 

 

A pesar de que se están realizando grandes esfuerzos para reemplazar el ya anulado Privacy Shield, las autoridades indican que aún queda un largo camino por recorrer. 

 

A principios de este año, la CNIL envió comunicaciones formales a una serie de empresas tras determinar que las transferencias de datos a Estados Unidos a través de Google Analytics son ilegales. Esta decisión se basó en la resolución del TJUE en el caso Schrems II que anuló el Privacy Shield hace dos años. Mientras que se anunció que dicha herramienta se reemplazaría, aún queda mucho camino por recorrer. La Vicepresidenta ejecutiva de la Comisión Europea, Margrethe Vestager, confirmó en el Foro Internacional de Ciberseguridad que tuvo lugar a principios de este mes que las negociaciones “han finalizado”, pero también indicó que “aun queda mucho trabajo por hacer”.  

 

En ausencia del Privacy Shield, la CNIL ha dado respuesta a una serie de preguntas y preocupaciones relacionadas con otras soluciones que se han ofrecido al respecto. 

 

Mientras que se espera el reemplazo del Privacy Shield, la CNIL ha sido muy transparente y ha ofrecido clarificación siempre que ha sido necesario. La autoridad de control ofreció también su opinión sobre la posibilidad de configurar Google Analytics de tal modo que no se transfiriesen datos fuera de la UE, de tal manera que ha expresado al respecto una clara negativa acompañada de una explicación centrada en que “el uso de soluciones propuestas por compañías sujetas a jurisdicciones no europeas puede dar lugar a dificultades en cuanto al acceso a los datos”. Este será el caso incluso en ausencia de una transferencia, pues Google ha confirmado a la CNIL que todos los datos recogidos por Google Analytics son almacenados en Estados Unidos. 

 

Muchas de las soluciones alternativas no se consideran satisfactorias, pues cualquier transferencia de datos personales a Estados Unidos parece suponer un riesgo. 

 

Google ha propuesto la implementación de garantías adicionales como la anonimización y el cifrado de los datos, pero la CNIL no considera satisfactorias ninguna de estas soluciones. La CNIL reconoce la función de anonimización de IP proporcionada por Google, pero indica que no se aplica a todas las transferencias y que Google ha sido incapaz de demostrar que la anonimización tiene lugar antes de que los datos sean transferidos a Estados Unidos. Los identificadores únicos no son tampoco una buena solución porque su uso puede ser identificado a través de la asociación con otros datos. La CNIL establece que las soluciones de cifrado de datos ofrecidas por Google fueron ineficientes, pues Google ofrece y guarda las claves, lo que permite a la compañía acceder a los datos si así lo desea. Como resultado, cualquier compañía u organización que quiera utilizar esta herramienta necesitará obtener consentimiento explícito de los sujetos afectados.  

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

La autoridad de control de Dinamarca aclara el concepto de “exportador de datos”

La autoridad de control de Dinamarca ha aclarado algunas preguntas relacionadas con el concepto “exportador de datos” originadas a raíz de la decisión del TJUE en el caso “Schrems II”. 

 

Desde la publicación de la decisión del TJUE en el caso “Schrems II”, la autoridad de control de Dinamarca ha recibido un gran número de preguntas relacionadas con la transferencia de datos personales a terceros países. Muchas de ellas se centran en el concepto de “exportador de datos” y consideraciones en torno a quien debería asegurar que la transferencia de datos tiene lugar conforme a la normativa aplicable, especialmente en situaciones complejas.  Mientras que el concepto “exportador de datos” no se define en el RGPD, sí que se desarrolla en las cláusulas tipo publicadas por la Comisión Europea, que es una de las herramientas más utilizadas para transferir datos conforme al Capítulo V del RGPD. En consecuencia, la autoridad de control de Dinamarca ha publicado una aclaración del rol y concepto de “exportador de datos”. 

 

Un responsable o encargado del tratamiento en un tercer país a quién se le transfieren datos bajo las cláusulas tipo es considerado un “importador de datos”. 

 

Un responsable de datos europeo puede utilizar cláusulas tipo para transferir datos a un responsable o encargado del tratamiento en un tercer país. El responsable o encargado de tratamiento en el tercer país sería entonces considerado el “importador de datos”. Esta situación ha creado algunas dudas sobre cuál de las partes debe garantizar la legalidad de la transferencia bajo el RGPD, especialmente en aquellos casos en los que uno o más de los sub-encargados de tratamiento se encuentra fuera de la EU/EEA. 

 

El RGPD establece que las dos partes (tanto exportador como importador) son responsables de determinar la base legal para la transferencia. 

 

Conforme al artículo 44 del RGPD, “Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional.”. La autoridad de control de Dinamarca interpreta este Artículo del RGPD como una obligación aplicable tanto al responsable como al encargado de los datos. Las dos partes deben por tanto asegurar que existe una base legítima que sea efectiva para la transferencia de datos a la luz de las circunstancias de la misma. 

Bajo el RGPD, se espera que tanto el responsable como el encargado tomen las medidas necesarias para garantizar la seguridad de los datos. 

 

El artículo 32 del RGPD establece que el responsable y el encargado de los datos deben establecer un nivel de seguridad adecuado. La autoridad de control de Dinamarca considera que tanto el responsable como cualquier posible encargado de tratamiento son sujetos independientes en relación a esta obligación, lo que significa que se espera que tanto el responsable de los datos como el encargado deben implementar las medidas técnicas y organizativas que sean apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Cuando el encargado aporta toda o la mayor parte de la infraestructura técnica, la tarea del responsable es asegurar -y ser capaz de demostrarlo ante la autoridad de control de Dinamarca- que el encargado ha establecido un nivel de seguridad satisfactorio sobre los datos que se tratan. 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

Reino Unido introduce una nueva estrategia de datos

Reino Unido introduce una nueva estrategia de datos enfocada a la innovación y a la mejora de la eficiencia en el sector de la salud. 

 

Reino Unido ha anunciado recientemente su nueva estrategia para datos de salud, que se centra en siete principios enfocados a aprovechar el poder y la innovación exhibidos durante la pandemia, y utilizarlo para mejorar el futuro del sector de la salud. Estos principios se implementarán para impulsar la transformación en el sector de la salud y crear un sistema seguro tanto para pacientes como para profesionales, que priorice la privacidad. Estos principios que se establecen en la estrategia de datos incluyen una mejora en la confianza sobre el uso de datos por parte del sector de la salud, lo cual permitirá proporcionar a los profesionales la información que necesitan para ofrecer el mejor cuidado, mejorar los datos para la seguridad social de adultos, apoyar a las personas que toman las decisiones de manera local con los datos, empoderar a los investigadores con los datos que precisan para desarrollar tratamientos y diagnósticos y trabajar con socios que lleven a cabo innovaciones para mejorar el sector de la salud mediate el desarrollo de la adecuada infraestructura técnica.  

 

Se diseñarán entornos seguros de datos por defecto para el sector de la salud y se utilizarán datos anonimizados en el campo de la investigación. 

 

A fin de otorgar a los pacientes la confianza necesaria sobre la seguridad de sus datos, el NHS creará entornos seguros de datos por defecto, y las organizaciones de seguridad social de adultos ofrecerán acceso a datos anonimizados para investigación. Como resultados, los datos vinculados a un individuo nunca abandonarán el servidor y los datos anonimizados sólo se utilizarán con fines de investigación. Se espera que esto permita el desarrollo de tratamientos de vanguardia y diagnósticos más rápidos a través de ensayos clínicos, así como una investigación más diversa e inclusiva para afrontar las desigualdades de salud. Se consultará al público sobre el nuevo “pacto de datos”, que establecerá cómo el sistema de salud utilizará datos de pacientes y qué se debería esperar al respecto. 

 

Esta nueva estrategia de datos pretende digitalizar y mejorar numerosos procesos y ofrecer facilidades tanto a pacientes como a profesionales de la salud. 

 

La nueva estrategia de datos introducida en Reino Unido también incluirá algunos compromisos clave con los pacientes, dándoles un mayor acceso y control sobre sus datos, lo cual incorporará una simplificación del proceso de oposición para la cesión de datos y el mejorado acceso a los registros a través de la app de NHS. La estrategia también espera que el 75% de la población adulta esté registrada con la App de NHS para marzo de 2024, convirtiéndolo en una “one stop shop” para las necesidades de salud. La nueva estrategia de datos tiene también como objetivo que al menos el 80% de los proveedores de atención social tengan un registro de atención digitalizado para marzo de 2024.

 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.