Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS

Marco de privacidad de datos de la Unión Europea y EE

Inicio Glosario Marco de privacidad de datos de la Unión Europea y EE.

La Comisión Europea anunció esta semana su adopción del Marco de privacidad de datos de la UE y EE. UU. (EU-U.S. DPF). El EU-U.S. DPF restaura una base regulatoria crítica para los flujos de datos entre la UE y EE. UU., que quedó vacante cuando el Tribunal de Justicia de la Unión Europea anuló el marco anterior del Escudo de Privacidad UE-EE. UU. como un mecanismo válido de transferencia de datos bajo la ley de la UE. En este artículo, exploramos en qué consiste el EU-U.S. DPF, sus principios, administración, supervisión y aplicación.

Marco de privacidad de datos de la Unión Europea y EE. UU.

¿Qué es el Marco de Privacidad de Datos de la UE y EE. UU. (EU-U.S. DPF)?

El EU-U.S. DPF es un marco mediante el cual las organizaciones de EE. UU. se comprometen a un conjunto de principios de privacidad para proteger los datos personales transferidos desde la Unión Europea a organizaciones de EE. UU.

El marco se proporciona a través de una decisión de adecuación, una de las herramientas proporcionadas bajo el Reglamento General de Protección de Datos (GDPR) de la UE para transferir información personal identificable (PII) desde la UE a otros países que ofrecen un nivel de protección de datos personales comparable al de la Unión Europea.

Para que las organizaciones sean elegibles para la certificación del EU-U.S. DPF, deben aceptar estar sujetas a los poderes de investigación y aplicación de la Comisión Federal de Comercio (FTC) o del Departamento de Transporte de EE. UU. (DoT). Los Principios del Marco de Privacidad de Datos de la UE y EE. UU. se aplican inmediatamente tras la certificación de una organización. Las organizaciones listadas en el EU-U.S. DPF están obligadas a recertificar su adhesión a los principios anualmente.

¿Qué busca proteger el EU-U.S. DPF?

El EU-U.S. DPF ofrece protección a cualquier dato personal transferido desde la UE a organizaciones en EE. UU. que han certificado su adhesión a los principios del marco, emitidos por el Departamento de Comercio. Información personal identificable como nombres, direcciones de correo electrónico, números de teléfono, etc., suelen ser transferidos desde la UE a EE. UU. por organizaciones como Amazon, Meta (Facebook, Instagram, etc.) y Apple, entre otras, que tienen su sede en EE. UU.

Sin embargo, el marco exime los datos que se recopilan para publicación, transmisión u otras formas de comunicación pública de material periodístico e información en material previamente publicado difundido desde archivos de medios.

Controladores de Datos y Procesadores de Datos Bajo el EU-U.S. DPF

El EU-U.S. DPF se aplica a organizaciones en EE. UU. que califican como controladores de datos o procesadores de datos. El marco define un controlador de datos como una persona u organización que, sola o conjuntamente con otros, determina los propósitos y medios del procesamiento de datos personales. Define a los procesadores de datos como agentes que actúan en nombre de un controlador.

El procesamiento de datos bajo el EU-U.S. DPF se define como cualquier operación o conjunto de operaciones que se realizan sobre datos personales, ya sea por medios automatizados o no, como la recopilación, grabación, organización, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación o diseminación, y borrado o destrucción.

El marco establece que los procesadores de EE. UU. están contractualmente obligados a actuar solo bajo instrucciones de un controlador de la UE y a asistirles en responder a individuos que ejercen sus derechos bajo los principios del marco. En el caso de subprocesamiento, un procesador debe concluir un contrato con el subprocesador que garantice el mismo nivel de protección que el proporcionado por los principios del marco y tomar medidas para asegurar su correcta implementación.

Principios del Marco de Privacidad de Datos de la UE y EE. UU.

Los principios del EU-U.S. DPF son esencialmente requisitos y derechos para los sujetos de datos (es decir, ciudadanos y residentes de la UE) cuya información personal es procesada por controladores sujetos a este marco. Los principios incluyen:

El Principio de Limitación de Propósito y Elección Asegura que los Datos se Procesen Legalmente

Una de las disposiciones clave delineadas en el EU-U.S. DPF, este principio estipula que cualquier PII debe ser procesada de manera legal y justa. Dicta que dichos datos deben ser recopilados para un propósito claramente definido y no deben ser utilizados posteriormente de una manera que contradiga esta intención original. Esencialmente, una organización no puede reutilizar datos personales de una manera que se desvíe de su propósito original o posteriormente autorizado, según lo acordado por el individuo cuyos datos están en cuestión.

Además, el principio de elección exige que, si una organización desea utilizar PII para un nuevo propósito, incluso si este propósito sigue alineado con el original, o compartirlo con un tercero, el individuo que puede ser identificado por la PII debe tener la oportunidad de rechazar el uso de la PII para este nuevo propósito. Este rechazo, u opt-out, debe facilitarse a través de un método sencillo y fácilmente accesible.

Las Categorías Especiales de Datos Personales Deben Procesarse con Cuidado Extremo

Este principio esencialmente destaca la necesidad de precauciones especiales cuando se trata de manejar y procesar “información sensible”. Este término, según lo definido por el marco, incluye datos personales que proporcionan detalles sobre el estado de salud de un individuo, origen racial o étnico, opiniones políticas, creencias, membresías en sindicatos, o cualquier otra información que sea categorizada como sensible por un tercero.

El principio manda que las organizaciones certificadas bajo el EU-U.S. DPF traten cualquier dato clasificado como sensible bajo la ley de protección de datos de la Unión Europea con el mismo nivel de sensibilidad. En esencia, las organizaciones deben obtener permiso explícito—un “opt-in”—de los individuos para usar su información sensible para propósitos más allá de aquellos originalmente recopilados o posteriormente autorizados por la persona en cuestión. Las excepciones a esta regla solo se permiten en ciertas circunstancias, como cuando este procesamiento de datos sensibles es crucial para reclamaciones legales, atención médica, diagnóstico, o cuando está en el interés vital de una persona, en línea con las excepciones ya establecidas bajo la ley de protección de datos de la UE.

La Precisión, Minimización y Seguridad de los Datos Mantiene los Datos Confidenciales y Solo por el Tiempo Necesario

Este principio subraya la importancia de la precisión, relevancia y seguridad en la gestión de datos. El principio manda que los datos deben ser no solo actuales y correctos, sino también específicos y proporcionales a su propósito previsto. Además, los datos no deben retenerse más allá del período requerido para su uso previsto. Al igual que con el principio de integridad de datos y limitación de propósito, el principio de precisión, minimización y seguridad de los datos refuerza la necesidad crítica de restringir los datos a lo que es relevante para el propósito de procesamiento, asegurando que los datos sean completos, precisos y confiables.

Con respecto a la retención de datos personales, el marco estipula que la PII puede almacenarse de manera identificable solo mientras sea necesario para el propósito inicialmente establecido o posteriormente autorizado por el individuo involucrado. Las excepciones a esto incluyen propósitos específicos como el archivo de interés público y el análisis estadístico, siempre que se implementen salvaguardas adecuadas.

Este principio también enfatiza la importancia de la seguridad, guiando a las organizaciones a implementar medidas para proteger los datos del acceso no autorizado o la pérdida o daño accidental, considerando los riesgos asociados y la naturaleza del procesamiento de datos. El principio de seguridad refuerza así el mantenimiento de un nivel razonable y apropiado de seguridad de los datos.

El Principio de Transparencia Subraya la Necesidad de Notificación Previa a los Sujetos de Datos

El principio de transparencia requiere que los sujetos de datos sean informados de las características principales del procesamiento de sus datos personales. Este principio requiere que las organizaciones informen a los sujetos de datos sobre:

  • La participación de la organización en el DPF
  • El tipo de datos recopilados
  • El propósito del procesamiento
  • El tipo o identidad de terceros a los que se pueden divulgar datos personales y los propósitos para hacerlo
  • Sus derechos individuales
  • Cómo contactar a la organización
  • Vías de reparación disponibles

Este principio subraya la necesidad de notificación previa a los sujetos de datos, que debe darse cuando se les solicita por primera vez sus datos personales o tan pronto como sea factible. También estipula que los sujetos de datos sean notificados antes de que sus datos se utilicen para cualquier propósito significativamente diferente (pero compatible) del que fueron recopilados originalmente, o antes de que se compartan con un tercero.

Además, se requiere que las organizaciones divulguen públicamente sus políticas de privacidad que demuestren su adhesión a estas. También deben incluir enlaces al sitio web del Departamento de Comercio para obtener información adicional sobre la certificación, los derechos de los sujetos de datos, los mecanismos de recurso disponibles, la Lista del Marco de Privacidad de Datos de organizaciones participantes y el sitio web de un proveedor adecuado de resolución alternativa de disputas.

El Principio de Derechos Individuales Otorga Poder a los Sujetos de Datos Sobre Sus Datos Personales

Los derechos individuales, o específicamente los derechos de los sujetos de datos, pueden ser afirmados contra aquellos que controlan o procesan datos. Este principio incluye los derechos de acceso a los datos personales, de oponerse al procesamiento de estos datos y de que cualquier dato incorrecto sea rectificado o borrado.

“Acceso a los datos” significa que los individuos pueden solicitar información a cualquier organización sobre si está procesando sus datos personales sin necesidad de proporcionar una razón. También tienen derecho a ser informados sobre los tipos de datos personales que se están procesando, el propósito del procesamiento y las entidades a las que se divulga la PII. Cualquier solicitud de acceso debe ser respondida de manera oportuna.

Los individuos tienen derecho a que sus datos sean corregidos o eliminados si son inexactos o han sido procesados en violación de los principios acordados. También pueden oponerse al uso de sus datos para propósitos que sean sustancialmente diferentes del propósito original, y a la compartición de sus datos con terceros. También tienen derecho a optar por no permitir que sus datos personales sean utilizados para marketing directo en cualquier momento.

Restricciones en las Transferencias Posteriores

El nivel de protección otorgado a los datos personales transferidos desde la Unión Europea a organizaciones en los Estados Unidos no debe ser socavado por la transferencia posterior de dichos datos a un destinatario en los Estados Unidos u otro país. Este principio establece que cualquier transferencia posterior solo puede llevarse a cabo:

  • Para propósitos limitados y especificados
  • Sobre la base de un contrato entre la organización del EU-U.S. DPF y el tercero (o arreglo comparable dentro de un grupo corporativo)
  • Solo si ese contrato requiere que el tercero proporcione el mismo nivel de protección que el garantizado por los principios

El Principio de Responsabilidad Asegura que las Organizaciones Demuestren Cumplimiento

El principio de responsabilidad sostiene que las organizaciones que procesan datos están obligadas a implementar medidas técnicas y organizativas adecuadas para asegurar el pleno cumplimiento de las obligaciones de protección de datos. Esto incluye el cumplimiento demostrable particularmente ante las autoridades regulatorias pertinentes. Convertirse en certificado bajo el EU-U.S. DPF es una elección voluntaria, pero una vez comprometido, la rigurosa adhesión de la organización a los principios del marco se vuelve obligatoria y legalmente vinculante. Además, estas organizaciones deben establecer mecanismos robustos para asegurar su cumplimiento con estos principios.

También se espera que verifiquen si sus políticas de privacidad se alinean con los principios y confirmen su ejecución. Esto se puede lograr a través de sistemas de autoevaluación que incluyan procedimientos internos que requieran capacitación de los empleados sobre la ejecución de las políticas de privacidad de la organización. Las revisiones regulares y objetivas del cumplimiento también son parte de este proceso. Alternativamente, las revisiones de cumplimiento externas también pueden llevarse a cabo utilizando metodologías como auditorías, verificaciones aleatorias o empleando herramientas tecnológicas.

Administración, Supervisión y Aplicación del EU-U.S. DPF

El EU-U.S. DPF será administrado y monitoreado por el Departamento de Comercio de EE. UU. (DoC). El marco describe varios mecanismos de aplicación que se utilizarán para asegurar el cumplimiento de las directrices. Cualquier incumplimiento de estos principios será abordado de inmediato.

¿Cómo se Certificarán y Recertificarán las Organizaciones?

Para que las organizaciones se certifiquen o recertifiquen anualmente, deben comprometerse públicamente a cumplir con los principios del marco EU-U.S. DPF. Esto incluye hacer que las políticas de privacidad sean libremente accesibles y asegurar que se implementen adecuadamente. Como parte del proceso de certificación o recertificación, las organizaciones deben proporcionar al DoC:

  • El nombre de la organización relevante
  • Una descripción de los propósitos para los cuales la organización procesará datos personales
  • Los datos personales que estarán cubiertos por la certificación
  • El método de verificación elegido
  • El mecanismo de recurso independiente relevante
  • El organismo estatutario que tiene jurisdicción para hacer cumplir el cumplimiento de los principios

¿Cómo se Monitoreará el Cumplimiento con el EU-U.S. DPF?

El cumplimiento con los principios del EU-U.S. DPF será monitoreado continuamente por el DoC. Esto implicará varias medidas, incluyendo la realización de “verificaciones aleatorias” en organizaciones seleccionadas y verificaciones ad hoc específicas cuando surjan posibles problemas de cumplimiento. El DoC evaluará si:

  • Los puntos de contacto para manejar quejas y solicitudes de sujetos de datos están disponibles y son receptivos
  • La política de privacidad de la organización está fácilmente disponible, tanto en su sitio web como a través de un hipervínculo en el sitio web del DoC
  • La política de privacidad de la organización continúa cumpliendo con los requisitos de certificación
  • El mecanismo de resolución de disputas independiente elegido por la organización está disponible para manejar quejas

Identificación y Abordaje de Reclamos Falsos de Participación

Los reclamos falsos de participación en el EU-U.S. DPF o el uso indebido de la marca de certificación serán monitoreados por el DoC. Esto se hará tanto de manera independiente como basado en quejas, como las de las Autoridades de Protección de Datos (DPAs). El DoC verificará continuamente si las organizaciones que se han retirado del EU-U.S. DPF no completaron la certificación inicial o la recertificación anual, son eliminadas como participantes y han eliminado todas las referencias al EU-U.S. DPF de sus políticas de privacidad publicadas. El DoC también realizará búsquedas en internet para verificar cualquier referencia ilegal al EU-U.S. DPF en las políticas de privacidad de las organizaciones.

¿Cómo se Aplicará el EU-U.S. DPF?

Un organismo de supervisión separado supervisará principalmente la aplicación del Marco de Privacidad de Datos de la UE y EE. UU. Esta autoridad independiente será asignada la responsabilidad de monitorear vigilante el cumplimiento de las regulaciones de protección de datos, así como imponer sanciones en caso de incumplimiento. Para que este proceso sea efectivo, las organizaciones dentro del EU-U.S. DPF deben ser responsables ante los organismos regulatorios competentes de EE. UU., principalmente la Comisión Federal de Comercio y el Departamento de Transporte. Estas autoridades de EE. UU. poseen los poderes de investigación y aplicación cruciales necesarios para garantizar el pleno cumplimiento de los principios del marco.

Acceso y Uso de Datos Personales Transferidos Desde la Unión Europea por Autoridades Públicas en los Estados Unidos

Bajo el Marco de Privacidad de Datos de la UE y EE. UU., el manejo de datos personales transferidos desde la Unión Europea por autoridades públicas en EE. UU. juega un papel crucial en las disposiciones del marco. El marco tiene disposiciones que establecen que las organizaciones certificadas de EE. UU. pueden procesar dichos datos, que pueden ser posteriormente accedidos para la aplicación de la ley penal por fiscales e investigadores federales de EE. UU. tratándolo de la misma manera que la información obtenida de cualquier organización con sede en EE. UU., independientemente de la nacionalidad o lugar de residencia de un sujeto de datos.

Además, los datos transferidos desde la UE a organizaciones bajo el EU-U.S. DPF pueden ser recopilados por agencias de EE. UU. por razones relacionadas con la seguridad nacional, que opera bajo disposiciones legales distintas, con ciertas condiciones y salvaguardas en su lugar. Una vez que los datos personales han sido recibidos por organizaciones ubicadas en EE. UU., las agencias de inteligencia pueden acceder a los datos por razones de seguridad, siempre que esté sancionado por la ley, específicamente bajo leyes como la Ley de Vigilancia de Inteligencia Extranjera (FISA) u otras disposiciones que permitan el acceso a través de Cartas de Seguridad Nacional (NSL). Además, las agencias de inteligencia de EE. UU. se reservan el derecho de recopilar datos personales fuera de su jurisdicción, incluidos los datos en tránsito entre la UE y EE. UU. Esta recopilación se basa principalmente en la Orden Ejecutiva 12333 (EO 12333).

Kiteworks Simplifica el Cumplimiento con el Marco de Privacidad de Datos de la UE y EE. UU.

Las regulaciones de privacidad de datos requieren un control estricto sobre el movimiento y procesamiento de datos personales. Las organizaciones deben, en respuesta, demostrar una estricta adhesión o arriesgarse a no cumplir, lo que puede incluir sanciones financieras, litigios, pérdida de clientes y erosión de la marca. La Red de Contenido Privado (PCN) de Kiteworks aborda estos desafíos de privacidad de datos y, a su vez, mitiga los riesgos de incumplimiento. Kiteworks proporciona a las organizaciones las herramientas para unificar, proteger, controlar y rastrear la PII y otros contenidos sensibles que comparten con terceros de confianza. Con Kiteworks, las organizaciones pueden ver dónde se almacena la PII, quién tiene acceso a ella y qué están haciendo con ella. Esto permite a las organizaciones informar, recuperar, devolver o eliminar la PII, asegurando la adhesión al Marco de Privacidad de Datos de la UE y EE. UU..

Kiteworks proporciona implementaciones en las instalaciones y en la nube privada que cumplen con los requisitos de soberanía de datos. Cifrado de extremo a extremo para cada canal de comunicación (incluyendo correo electrónico, formularios web, uso compartido de archivos, interfaces de programación de aplicaciones [APIs], y transferencia de archivos administrada [MFT]) asegura que los datos sensibles permanezcan seguros durante la transmisión y en reposo. Controles de acceso granulares permiten a las organizaciones gestionar con precisión quién puede acceder a datos específicos. Los registros de auditoría detallados y las capacidades de monitoreo en tiempo real permiten a las organizaciones demostrar el cumplimiento con el Marco de Privacidad de Datos de la UE y EE. UU. y numerosas otras regulaciones de privacidad de datos y estándares, incluyendo el Reglamento General de Protección de Datos (GDPR), el Programa de Evaluadores Registrados de Seguridad de la Información (IRAP), la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA), la Ley de Privacidad del Consumidor de California (CCPA), Cyber Essentials Plus, los Estándares de la Organización Internacional de Normalización 27000 (ISO 27001), y muchos más.

Para obtener más información sobre cómo la Red de Contenido Privado de Kiteworks puede ayudar a tu organización a cumplir con el Marco de Privacidad de Datos de la UE y EE. UU., programa una programa una demostración personalizada hoy mismo.

Volver al Glosario de Riesgo y Cumplimiento

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante
Compartir
Twittear
Compartir
Explore Kiteworks