El nuevo marco de privacidad de datos UE-EE.UU. elimina la burocracia en materia de privacidad
Tabla de contenido:
Los expertos han acogido con satisfacción el acuerdo de nuevas normas centradas en la privacidad sobre cómo se pueden transferir datos personales entre empresas de EE. UU. y la UE.
El Marco de Privacidad de Datos UE-EE. UU. se desarrolló para reemplazar el Escudo de Privacidad, que fue invalidado mediante una decisión del Tribunal de Justicia de la Unión Europea en 2020.
El tribunal actuó por preocupaciones sobre la falta de salvaguardias adecuadas tanto en el Escudo de Privacidad (como en un acuerdo de puerto seguro anterior), lo que significaba que los datos personales que salieran de las fronteras de la UE podrían quedar sujetos a una amplia vigilancia del gobierno de Estados Unidos.
Autorizado para transmitir
El Marco de Privacidad de Datos UE-EE.UU., propuesto por el gobierno de EE.UU. el año pasado, fue respaldado por la Comisión Europea en julio de 2023 después de decidir que EE.UU. “garantiza un nivel adecuado de protección, comparable al de la Unión Europea, para los datos personales”. transferidos de la UE a empresas estadounidenses bajo el nuevo marco”.
Esta “decisión de adecuación” significa que los datos personales pueden “fluir de forma segura desde la UE a las empresas estadounidenses que participan en el marco” sin la necesidad de salvaguardias adicionales de protección de datos requeridas en virtud de las medidas provisionales previas al acuerdo.
Compromisos
El sitio web del programa DPF proporciona información sobre cómo las empresas pueden actualizar sus políticas y procedimientos de privacidad e implementar salvaguardas antes de autocertificarse como conformes y unirse al programa DPF. Las organizaciones europeas pueden utilizar el mismo sitio web para comprobar los compromisos del programa DPF de un socio.
El marco otorga a las personas de la UE cuyos datos se transfieren a empresas participantes en los EE. UU. varios derechos nuevos, como el derecho a acceder, corregir y eliminar sus datos personales.
El acuerdo sobre el flujo de datos transatlántico promete eliminar los obstáculos burocráticos y las incertidumbres existentes.
Reducir las incertidumbres
Becky White, abogada de privacidad y protección de datos del bufete de abogados británico Harper James, dijo que el marco prometía simplificar los negocios entre empresas europeas y estadounidenses, al tiempo que advirtió que aún deben superarse algunos obstáculos potenciales para su implementación.
“Aunque el puente de datos propuesto es una buena noticia para las organizaciones tanto en los EE. UU. como en el Reino Unido, particularmente a la luz de las incertidumbres actuales con respecto a las transferencias internacionales de datos, y debería significar que el proceso de contratación con proveedores o clientes en los EE. UU. se vuelve mucho más sencillo y Aunque consume menos tiempo para las empresas del Reino Unido, el Reino Unido tiene que superar algunos obstáculos críticos antes de su implementación. Algunos aspectos del trabajo de alineación de políticas y legislación en ambos lados del Atlántico siguen incompletos, advirtió White.
“En primer lugar, dependerá de la designación estadounidense del Reino Unido como estado calificado según la Orden Ejecutiva 14086 del presidente Biden (que estableció salvaguardias de protección de datos para las agencias de inteligencia de señales de EE. UU.)”, explicó White.
“Además, el Proyecto de Ley de Protección de Datos e Información Digital (DPDI 2) propuesto por el gobierno del Reino Unido está bastante cerca de ser promulgado, y aunque el gobierno continúa afirmando que los cambios planeados al régimen de protección de datos del Reino Unido no pondrán en peligro la adecuación de la UE, no hay confirmación de eso lo ha hecho la UE”.
Desarrollar la resiliencia en materia de ciberseguridad
La puesta en común de inteligencia y el intercambio de datos es vital para construir defensas sólidas de ciberseguridad.
Jon France, CISO de la asociación de certificación y desarrollo profesional de la industria de la ciberseguridad (ISC)², dijo a ISMS.online que eliminar los obstáculos al intercambio de datos transatlánticos mejorará la cooperación en ciberseguridad.
"La decisión sobre la adecuación del Marco de Privacidad de Datos UE-EE.UU. introduce mejoras significativas para las empresas de ambos lados del Atlántico", según Francia. "Es alentador que estemos alcanzando un estado en el que el flujo de datos transfronterizo está garantizado y las empresas que participan en el marco tendrán la libertad de transferir datos de forma segura".
Francia continuó: “En el mundo de la seguridad, el acceso a los datos es clave para la detección y remediación de ataques. La capacidad de mover esos datos entre partes transatlánticas, tanto en el sector público como en el privado, mejorará las defensas en ambos continentes”.
La promesa de una mayor seguridad que ofrece el marco sólo se cumplirá si las organizaciones ponen orden en sus propias casas, advirtió Francia.
“La defensa de la privacidad depende y requiere una ciberseguridad efectiva; Los dos van de la mano”, según Francia. "Las organizaciones tienen la responsabilidad de mantener un nivel adecuado de protección de datos personales, incluidas obligaciones estrictas de compartirlos con terceros, y deben cumplir con principios de privacidad, como limitaciones en la retención de datos".
Francia concluyó: “En esencia, las empresas deberían adoptar prácticas sólidas de ciberseguridad para salvaguardar los datos y generar confianza digital”.
Armonización de políticas
Sam Peters, ISMS.online's CPO acogió con satisfacción el acuerdo como una ayuda útil para navegar por las complejidades de las normas de protección de datos.
"El reciente acuerdo de adecuación de datos entre la UE y los EE. UU. marca un hito importante en el panorama internacional de la privacidad de los datos", explicó Peters. "Describe un marco crítico que no sólo apunta a salvaguardar los datos personales transferidos a través del Atlántico sino también a mejorar el cumplimiento, la transparencia y la responsabilidad de las empresas estadounidenses".
Peters continuó: “El acuerdo no es sólo otro obstáculo burocrático sino una herramienta vital para navegar las complejidades de la protección de datos en nuestro mundo digital cada vez más interconectado. Este acuerdo presenta un marco sólido para armonizar las políticas de transferencia de datos a través del Atlántico, imponiendo estrictas obligaciones de privacidad a las empresas estadounidenses participantes”.
Principios
El acuerdo ofrece un marco para aplicar las mejores prácticas de protección de la privacidad.
"En el centro de este acuerdo se encuentra el Marco de Privacidad de Datos UE-EE.UU.", según Peters. “Este esquema permite a las empresas estadounidenses validar su compromiso con un conjunto integral de obligaciones de privacidad. Defiende la limitación de propósitos, la minimización de datos y la retención de datos y describe obligaciones específicas relacionadas con la seguridad de los datos y su intercambio con terceros”.
Peters añadió: “Estas medidas ejemplifican la intención del acuerdo de fortalecer la protección de datos. Estos compromisos no son meros principios sobre el papel; Influyen directamente en las estrategias operativas de las empresas”.
El Departamento de Comercio de EE. UU. se encargará de la administración del marco, supervisando el proceso de solicitud de certificación y monitoreando el cumplimiento continuo de las empresas participantes. La Comisión Federal de Comercio de EE.UU. exige el cumplimiento, lo que indica un "fuerte compromiso con los objetivos de protección de datos del acuerdo", según Peters de ISMS.online.
Puente de datos
Las normas de manejo de datos del Reino Unido deben alinearse con las regulaciones de la UE para evitar alterar un delicado equilibrio.
Harper James' White advirtió: "Si la promulgación del DPDI 2 anula la decisión del Reino Unido sobre la adecuación de la UE, esto puede, a su vez, afectar la implementación del puente de datos entre el Reino Unido y los EE. UU., que se considera en general como una extensión del puente de datos entre la UE y los EE. UU.". marco de privacidad que se está evaluando actualmente y una alineación de la posición en el Reino Unido GDPR con el RGPD de la UE para transferencias de datos desde el Reino Unido a organizaciones estadounidenses que certifican el esquema.
Planifique
La decisión de adecuación entró en vigor desde su adopción el 10 de julio. No existe un cronograma explícito para el cumplimiento. Sin embargo, la Comisión Europea tiene previsto revisar periódicamente la eficacia del marco legal estadounidense, inicialmente un año después de su introducción.
Peters, de ISMS.online, advirtió: "Es esencial tener en cuenta que las decisiones de adecuación pueden adaptarse o retirarse si los acontecimientos afectan el nivel de protección del tercer país".
Peters aconsejó que las empresas no deberían perder tiempo en revisar sus políticas y procedimientos para cumplir con las disposiciones del marco.
"Para estar preparadas para este panorama transformador de la privacidad de los datos, las empresas deben comenzar por revisar minuciosamente sus prácticas actuales de manejo de datos", explicó Peters de ISMS.online. "Asegurar la alineación con los principios del marco será crucial para validar el cumplimiento y evitar posibles sanciones regulatorias".
Peters concluyó: “Sin lugar a dudas, el acuerdo de adecuación de datos entre la UE y EE. UU. añade una nueva dimensión al ámbito global de la privacidad de datos. En el corto plazo, las empresas podrían ver esto como una carga regulatoria adicional. Sin embargo, la privacidad y la seguridad de los datos son cada vez más importantes para los consumidores y las empresas. En este sentido, el acuerdo cataliza un cambio positivo, imponiendo un estándar global para la protección de datos”.
