Con motivo del Día de la Privacidad de la Información del 28 de enero y para celebrar este derecho fundamental que disfrutamos en nuestro país y en Europa, queremos dar unas pinceladas de los hechos y novedades que han ocurrido últimamente, que nos parecen relevantes e interesantes:

  • ‘Privacy Shield’ declarado inválido

A consecuencia de la sentencia de 16 de julio de 2020 (asunto C-311/18) del Tribunal de Justicia de la UE, se invalidó la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. Por lo que las transferencias internacionales basadas en el “Privacy Shield” dejan de ser válidas, y se trataba de una garantía muy utilizada en las transferencias de datos personales entre EU-EE.UU.

¿Por qué?

El Artículo 44 del RGPD previene que las transferencias de datos personales se pueden realizar siempre que el nivel de protección de las personas físicas garantizado por el RGPD no se menoscabe en el tercer país. En este procedimiento de la Autoridad de Control de Irlanda contra Facebook y Maximillian Schrems, se examina  en esencia el Artículo 46.1 y .2 c) del RGPD, sobre si los datos personales que se transfieren a un país tercero, sobre la base de cláusulas tipo de protección de datos, gozaban de un nivel de protección equivalente al de la UE. El TJUE determina que no, entre otras cosas, por la utilización de los datos personales por los poderes públicos y autoridades estadounidenses a efectos de seguridad nacional, aplicación de la ley y otros fines de interés público que hace que haya organismos que tengan acceso directo a datos personales de la red social.

En la sentencia se indica que “El Tribunal de Justicia ya ha declarado que la comunicación de datos de carácter personal a un tercero, como una autoridad pública, constituye una injerencia en los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta, cualquiera que sea la utilización posterior de la información comunicada”. Sobre todo, porque queda probado que se en los EE.UU. se utilizan programas de vigilancia que no se limitan a un tratamiento de datos limitado a lo estrictamente necesario, sino que va más allá.

  • Herramienta “Comunica-Brecha RGPD”

En el 2020, la AEPD lanzó esta herramienta de Comunica-Brecha RGPD, que ayuda y facilita a los responsables del tratamiento y empresas que tratan datos personales a valorar y gestionar las violaciones de la seguridad de los datos personales o brechas de seguridad.

Se trata de un recurso de fácil uso, que se presenta a modo de formulario web, donde se tienen que seleccionar entre las distintas variables que se ofrecen, que tengan relación con la incidencia. Al finalizar, aparecen unas conclusiones en donde se informa de si procede o no comunicar la brecha a los interesados, y las apreciaciones de si existe un riesgo alto o muy alto con respecto a los derechos y libertades de los afectados.

Las opciones que hay que seleccionar son: el sector de actividad del responsable de tratamiento, tipo de incidente, el origen, naturaleza, número de afectados, entre otras opciones. En definitiva, se trata de una herramienta muy útil que en nuestro caso complementa el método de gestión de brechas que tenemos instaurado.

  • Reglamento de resiliencia digital operativa o DORA

La Comisión Europea publicó el pasado 24 de septiembre 2020 la propuesta de Reglamento de resiliencia digital operativa o DORA (sus siglas en inglés), que establece unos requisitos uniformes relativos a la seguridad de las redes y los sistemas de información que sustentan los procesos empresariales de las entidades financieras, que tendrán que aplicar distintas entidades como las empresas de seguros y de reaseguro, como en nuestro caso.

En esta propuesta se armonizan los marcos internos de gobernanza y control en la gestión de riesgos en el ámbito de las tecnologías de la información y la comunicación (TIC) y la gestión de los incidentes relacionados con las TIC, entre otras cuestiones, con vistas a promover una mejor y más sólido entorno de ciberseguridad en estos sectores que de por sí, invierten recursos y esfuerzos en proteger sus sistemas, activos de la compañía, y los datos de los clientes.

Pablo Montis, Abogado en SOS Seguros y Reaseguros, S.A.U. 

Especialista en Protección de Datos