Privacy shield, la nueva realidad en la industria 4.0 - LibreCon 2016
1. Privacy Shield: la nueva
realidad en la Industria 4.0!
André Castelo
CEO en APDTIC
@/candlaw
2. Privacy Shield: la
nueva realidad en la
Industria 4.0!
@apd/c
Representación de la Transferencia Internacional de Datos
3. Privacy Shield: la
nueva realidad en la
Industria 4.0!
@apd/c
Representación de la relación comercial EEUU - UE
Fuente: elEconomista.es
4. Privacy Shield: la
nueva realidad en la
Industria 4.0!
@apd/c
Contexto Histórico
SAFE HARBOR
- 1998 entra en vigor la Direc/va de Protección de Datos de la UE
- En año 2000 se firma un acuerdo especial con EEUU para el intercambio
de datos, con el fin de facilitar la relación comercial
- Cualquier Compañía de los EEUU podía solicitar formar parte
- Requisitos muy fáciles de cumplir y por debajo de los exigidos en la UE
5. Privacy Shield: la
nueva realidad en la
Industria 4.0!
@apd/c
Contexto Histórico
¿Qué pasa 15 años después?
6. Privacy Shield: la
nueva realidad en la
Industria 4.0!
@apd/c
Contexto Histórico
¿Por qué se pone en duda?
- SNOWDEN
- Max Schrems denuncia a Facebook
en Irlanda
- STJUE del 6 de Octubre declara inválido
el acuerdo Safe Harbor
7. Privacy Shield: la
nueva realidad en la
Industria 4.0!
@apd/c
Contexto Histórico NUEVO PANORAMA
Se establece un nuevo mecanismo para
realizar transferencias de datos
personales a los EEUU de forma segura.
9. Privacy Shield: la
nueva realidad en la
Industria 4.0!
@apd/c
¿Cómo funciona el Escudo de la Privacidad?
Existen diferentes herramientas para transferir datos personales de la
UE a los EEUU:
• Cláusulas contractuales
• Normas corpora/vas vinculantes
• Escudo de la Privacidad (garan/za nivel de protección adecuado)
10. Privacy Shield: la
nueva realidad en la
Industria 4.0!
@apd/c
¿Cómo funciona el Escudo de la Privacidad?
¿Cómo sabemos si una empresa u/liza el Escudo de la
Privacidad?
• Primero, la empresa de los EEUU deberá afiliarse a este
Sistema en el Departamento de Comercio de los EEUU
• haps://www.privacyshield.gov
11. Privacy Shield: la
nueva realidad en la
Industria 4.0!
@apd/c
¿Cómo funciona el Escudo de la Privacidad?
Ejemplo de conocidas empresas adscritas al Privacy Shield
13. Privacy Shield: la
nueva realidad en la
Industria 4.0!
@apd/c
Entonces, ¿Qué supone este acuerdo
para las empresas europeas?
• Las empresas deben garan/zar la privacidad de sus clientes y usuarios
• ¿Qué pasa si mi empresa u/liza un proveedor de servicios (hos=ng, ges=ón documental,
marke=ng, ERP, análisis Big Data, inteligencia ar=ficial, etc) que está en EEUU?
o 2 opciones:
A. Que el proveedor se haya adherido a la lista Privacy Shield
B. Que el proveedor NO se haya adherido a la lista Privacy Shield
*Es responsabilidad de la empresa Europea comprobar la lista Privacy Shield,
puesto que la empresa de EEUU no está obligada a adherirse al acuerdo.
14. Privacy Shield: la
nueva realidad en la
Industria 4.0!
@apd/c
¿Qué supone este acuerdo
para las empresas europeas?
A. Que el proveedor se haya adherido a la lista Privacy Shield
• Acciones que deberá realizar la Empresa Europea:
o Verificar que el proveedor ha sido cer/ficado y se encuentra bajo las
obligaciones del acuerdo Privacy Shield
o No/ficar a la Agencia Española de Protección de Datos (AEPD)
que se realizará una transferencia internacional de datos*
15. Privacy Shield: la
nueva realidad en la
Industria 4.0!
@apd/c
¿Qué supone este acuerdo
para las empresas europeas?
B. ¿Qué sucede si el proveedor no se encuentra adherido al
acuerdo Privacy Shield?
• Contrato en el que se establezcan las garanhas de cumplimiento
exigidas por la norma/va europea en protección de datos
• Será necesario obtener una Autorización de la Directora de
la AEPD
• Excepciones art. 34 LOPD:
o Consen/miento expreso e inequívoco del afectado
16. Privacy Shield: la
nueva realidad en la
Industria 4.0!
@apd/c
¿Qué supone este acuerdo
para nuestros clientes?
• Informar al cliente/usuario se vuelve una tarea imprescindible:
o Debemos informarles sobre la intención de transferir sus datos personales
a un 3º país
o Para que fines se realizará dicha transferencia
o En caso de ser datos sensibles à Consen/miento
• En su caso, el cliente podrá acudir a las vías establecidas en el acuerdo Privacy Shield
para interponer una reclamación
18. Privacy Shield: la
nueva realidad en la
Industria 4.0!
@apd/c
Exigencias para las empresas de EEUU
1. Principio de no/ficación, información y opción
2. Limitaciones en el uso de sus datos para diversos fines
3. Minimización de los datos y obligación de guardar los datos únicamente
durante el /empo necesario
4. Obligación de asegurar los datos (medidas razonables y adecuadas)
5. Obligación de proteger los datos si se transfieren a otra empresa
6. Garan/zar el derecho de acceso y rec/ficación de sus datos
7. Proporcionar las vías para presentar una reclamación
Los deben cumplir las empresas
que quieran adherirse al acuerdo
Principios de Privacidad
19. Privacy Shield: la
nueva realidad en la
Industria 4.0!
@apd/c
Derechos para los ciudadanos europeos
• Las empresas estadunidenses deberán aplicar los principios de privacidad
para garan/zar los derechos de los interesados en la u/lización de sus datos
personales
• Abarca todos los datos personales que se traten dentro de la UE y acaben en EEUU
20. Privacy Shield: la
nueva realidad en la
Industria 4.0!
@apd/c
1. Derecho a ser informado
- Tipos de datos, para qué se procesan
- Intención de cederlos a terceros y por qué
- Derecho a elegir que otra empresa use sus datos
- Cómo ponerse en contacto con la empresa
- Cuál es el órgano de resolución de controversias
- Cuál es el órgano público en los EEUU responsable
de inves/gar y hacer cumplir las obligaciones
• Enlace a la polí/ca de privacidad
• Enlace a la lista Privacy Shield Dº de Comercio EEUU
21. Privacy Shield: la
nueva realidad en la
Industria 4.0!
@apd/c
2. Limitaciones en el uso de sus datos
para diversos fines
- No se permite usar los datos para un fin
que sea incompa/ble con el original
- Se permite un nuevo fin que guarde relación
- Si se tratan de datos sensible à Consen/miento
• La empresa a la que se cedan los datos deberá proporcionar las mismas garan]as
que las contenidas en el Escudo de Privacidad.
• Si incumple à Responsabilidad podrá ser de la empresa cedente
22. Privacy Shield: la
nueva realidad en la
Industria 4.0!
@apd/c
3. Minimización de los datos y obligación
de guardar los datos
• Únicamente aquellos que
resulten necesarios para el
tratamiento
• Los datos usados deben ser:
o Exactos
o Fiables
o Completos
o Estar actualizados
• Los datos se guardarán únicamente durante el /empo necesario
23. Privacy Shield: la
nueva realidad en la
Industria 4.0!
@apd/c
4. Obligación de asegurar los datos
- Los datos se deben guardar
en un entorno seguro
- Protección frente a:
o Pérdida
o U/lización ilegal
o Acceso no autorizado
o Revelación
o Alteración
o Destrucción
24. Privacy Shield: la
nueva realidad en la
Industria 4.0!
@apd/c
5. Obligación de proteger los datos si se
transfieren a otra empresa
Mismo nivel de protección
Suscripción de Contrato
entre ambas partes
Empresa sujeta al Privacy Shield ßà Tercero receptor de datos
Tercero obligado a no/ficar
situación de riesgo
Podrá ser responsable
la empresa Privacy Shield
25. Privacy Shield: la
nueva realidad en la
Industria 4.0!
@apd/c
6. Derecho de acceso y rec/ficación de sus
datos
• El usuario tendrá derecho a acceder a sus datos personales:
o Comunicación de sus datos
o Fines para los que se tratan
o Des/natarios a quienes se divulgan
• El interesado podrá solicitar a la empresa:
o Rec/fique
o Modifique
o Suprima
*si los datos no son exactos, están obsoletos..
26. Privacy Shield: la
nueva realidad en la
Industria 4.0!
@apd/c
7. Derecho a presentar una reclamación y
a obtener reparación
Reparar y obtener reparación, sin coste alguno
(Solo persona Osica)
1. Ante la empresa de EEUU sujeta al Privacy Shield
2. Organismo de resolución alterna/va de li/gios
ej: Online Dispute Resolu=on
3. Autoridad de protección de datos nacional (APD)
4. Departamento de Comercio de los EEUU y la
Comisión Federal de Comercio de los EEUU
5. Panel del Escudo de Privacidad (arbitraje vinculante)
*Se deben agotar las vías anteriores
27. Privacy Shield: la
nueva realidad en la
Industria 4.0!
@apd/c
8. Reparación en caso de acceso por parte de
autoridades públicas estadounidenses
• Únicamente si es necesario para perseguir un obje/vo de interés general:
o Seguridad Nacional
o Cumplimiento de la Ley
• Mecanismo “Ombudsperson” (semejante al “Defensor del Pueblo” en EEUU)
o Cubre todas las reclamaciones rela/vas a datos personales con relación
a transferencias desde la UE a los EEUU (no es priva/vo del Privacy Shield)
29. Privacy Shield: la
nueva realidad en la
Industria 4.0!
@apd/c
¿Nueva Realidad?
• Privacy Shield (12 de julio 2016)
• Reglamento Europeo de Protección de Datos
(entró en vigor el 25 de mayo 2016)
• La figura del Delegado de Protección de Datos (DPO) jugará un papel muy importante*
o Velará por un tratamiento de los datos de manera adecuada
o Se encargará de informar, asesorar y supervisar
o Actuará como punto de contacto con la Autoridad de Control
*Obligatorio para AAPP y empresas que traten datos de forma masiva
*Recomendable para todas las empresas (externo)
30. Privacy Shield: la
nueva realidad en la
Industria 4.0!
@apd/c
Links de interés
- Decisión Privacy Shield (texto completo)
- Guía para ciudadanos europeos de la Comisión Europea
- Dictamen del Grupo de Trabajo del arhculo 29 sobre la decisión de
adecuación de Privacy Shield
- Reglamento Europeo de Protección de Datos Personales (GDPR)
- Listado de empresas adheridas al acuerdo Privacy Shield
- Información de la Comisión Europea sobre el acuerdo Privacy Shield