Cifrado de datos en tránsito por EEUU – Opinión del CEPD

El punto 84 de las recomendaciones del CEPD relativas a las medidas adicionales a aplicar a las transferencias a terceros países, especialmente a EEUU, toca el delicado tema del enrutamiento.

En este punto 84 se describe el escenario cotidiano del responsable del tratamiento que envía datos personales a través de internet, a un país que garantiza una adecuada protección, siguiendo una ruta que pasa por un tercer país como EEUU.

Todos sabemos que la función de los rúters es la de encaminar paquetes IP a través de una red en la que el camino más rápido no es necesariamente el más corto. De manera parecida a las calles y las carreteras, Internet también tiene sus horas punta, en las que es más rápido utilizar rutas alternativas que son más largas que la ruta directa al destino propuesto.

En el artículo titulado “Qué ruta sigue un correo que enviamos de Jaén a Madrid” se explica muy bien cómo se establece una ruta en Internet, y cómo puede darse el caso muy habitual de que el mensaje siga la ruta Jaén-Estados Unidos-Reino Unido-Madrid.

El punto 84 de las recomendaciones del CEPD reconoce la posibilidad de que los datos transmitidos a través de Internet sean encaminados a través de un país que no suministre una protección equivalente. La probabilidad de que este país sea EEUU es muy alta, dado el control que las empresas norteamericanas tienen sobre la infraestructura de transporte de Internet.

El CEPD analiza el cifrado de la capa transporte como una posible solución, pero recomienda que los protocolos de cifrado utilizados sean de última generación y que proporcionen una protección eficaz contra los ataques activos y pasivos que las autoridades públicas del tercer país puedan realizar con los recursos conocidos que tienen a su disposición.

El descifrado de los datos sólo debe ser posible fuera del tercer país en cuestión.

Las partes implicadas en la comunicación deben acordar el uso de una autoridad certificadora de clave pública o de una infraestructura confiables.

Deben utilizarse medidas específicas de protección de última generación contra los ataques activos y pasivos contra el cifrado de la capa de transporte.

En caso de que el cifrado de la capa transporte no proporcione por sí misma la seguridad adecuada debido a las vulnerabilidades de la infraestructura o el software utilizado, los datos personales también deben ser cifrados de extremo a extremo en la capa de aplicación usando métodos de cifrado de última generación.

Debe utilizarse un algoritmo de cifrado y parametrización (longitud de la clave, simetría de la clave y restantes elementos operativos) que sean conformes con el estado del arte y que puedan considerarse robustos contra un análisis criptográfico llevado a cabo por las autoridades públicas del tercer país, teniendo en cuenta los recursos y capacidades técnicas  disponibles para ellas. Por ejemplo, la potencia de proceso para ataques de fuerza bruta.

La potencia de cifrado debe ser adecuada para el período de tiempo específico durante el cual debe preservarse la confidencialidad de los datos personales cifrados.

El algoritmo de cifrado debe aplicarse mediante programas informáticos debidamente mantenidos cuya conformidad con la especificación del algoritmo elegido se ha verificado, por ejemplo, mediante certificación.

El exportador de los datos tiene que verificar que no existan puertas traseras en el hardware y en el software utilizado.

Las claves deben ser gestionadas de manera fiable (generadas, administradas, almacenadas, si procede, vinculadas a la identidad del destinatario previsto, y revocadas), por el exportador o por una entidad en la que éste confía bajo una jurisdicción que ofrece un nivel de protección esencialmente equivalente.

Si se cumplen todos estos requisitos, el CEPD considera que el cifrado de la capa de transporte, si es necesario en combinación con el cifrado del contenido de extremo a extremo, proporciona una medida adicional eficaz.

Otra medida interesante, a pesar de sus limitaciones, es la configuración del enrutamiento por parte del exportador de los datos. Ejemplo en Gmail.

Teniendo en cuenta estas recomendaciones y el hecho de que un simple correo electrónico enviado de Europa a Europa puede contener datos personales que viajen por rúters y segmentos de la red controlados por terceros países como EEUU, cabe preguntarse si las administraciones públicas europeas, las autoridades de control e incluso los activistas que más han luchado contra las transferencias sin garantías adecuadas a EEUU, están aplicando estas medidas.

IINFORMACIÓN ADICIONAL

Seguridad de la capa de transporte.
Capa de aplicación.
Cifrado de extremo a extremo.
Configuración del enrutamiento en Gmail.
Cifrado del correo electrónico con S/MIMEE en Gmail.

En el widget jurídico y curso Protocolo de transferencias de datos a EEUU tras la invalidez del Privacy Shield de Campus Ribas tratamos con detalle el protocolo completo a aplicar en el caso de las transferencias de datos personales a EEUU.

Este protocolo se describe en la infografía relativa al protocolo de transferencias de datos a EEUU.

Cifrado de datos almacenados en un servidor en EEUU – Opinión del CEPD

En las recomendaciones sobre transferencias a terceros países el CEPD menciona el cifrado de datos como una medida técnica adecuada para complementar las medidas del artículo 46 del RGPD. Esta medida es especialmente útil en el casos de las transferencias a EEUU.

El CEPD distingue entre los datos que se encuentran almacenados en un servidor controlado por una empresa norteamericana y los que se encuentran en tránsito y van a pasar por un tercer país.

Los requisitos para los primeros son los siguientes.

Cifrado de datos almacenados

1. El cifrado de los datos debe realizarse con un sistema de cifrado fuerte antes del envío de los datos.

2. Debe utilizarse un algoritmo de cifrado y parametrización (longitud de la clave, simetría de la clave y restantes elementos operativos) que sean conformes con el estado del arte y que puedan considerarse robustos contra un análisis criptográfico llevado a cabo por las autoridades públicas del país de destino, teniendo en cuenta los recursos y capacidades técnicas  disponibles para ellas. Por ejemplo, la potencia de proceso para ataques de fuerza bruta.

3. La potencia de cifrado debe ser adecuada para el período de tiempo específico durante el cual debe preservarse la confidencialidad de los datos personales cifrados.

4. El algoritmo de cifrado debe aplicarse mediante programas informáticos debidamente mantenidos cuya conformidad con la especificación del algoritmo elegido se ha verificado, por ejemplo, mediante certificación.

5. Las claves deben gestionarse de manera fiable (se generan, administran, almacenan y se revocan).

6. Las claves deben conservarse únicamente bajo el control del exportador de datos.

En el widget jurídico y curso Protocolo de transferencias de datos a EEUU tras la invalidez del Privacy Shield de Campus Ribas tratamos con detalle el protocolo completo a aplicar en el caso de las transferencias de datos personales a EEUU.

Este protocolo se describe en la infografía relativa al protocolo de transferencias de datos a EEUU.

Cuarto paso para transferir datos a terceros países según el CEPD

El Comité Europeo de Protección de Datos menciona las siguientes acciones a realizar en sus recomendaciones sobre la cuarta fase en materia de transferencias a terceros países, especialmente a EEUU.

4.1 Identificar las medidas aplicables a cada caso.

4.2 Verificar la eficacia potencial a cada caso de las medidas identificadas.

4.3 Seleccionar las medidas contractuales, técnicas u organizativas más adecuadas.

4.4 Tener en cuenta que las medidas contractuales y organizativas no impedirán el acceso de las agencias de inteligencia a los datos en la mayoría de los casos.

4.5 Lista de factores a tener en cuenta a la hora de seleccionar las medidas adicionales a aplicar:

  • Formato de los datos a transferir.
  • Categoría de datos.
  • Duración y complejidad del tratamiento.
  • Número de actores implicados en el tratamiento.
  • Transferencias sucesivas al mismo país o a otros terceros países.

4.6 Ejemplos de medidas técnicas válidas

  • Cifrado de datos almacenados.
  • Cifrado de datos en tránsito.
  • Seudonimización.
  • Fragmentación – Tratamiento dividido entre varios encargados.
  • Destinatario protegido.

4.7 Ejemplos de medidas técnicas insuficientes

  • Servicios de cloud computing en los que el proveedor necesita tener acceso en claro a los datos para poder prestar el servicio.
  • Servicios de cloud computing o de hosting en los que el proveedor tiene acceso a la clave de cifrado.
  • Acceso de remoto del proveedor a un servidor en el EEE del responsable del tratamiento europeo.

En sucesivos artículos hablaremos de las medidas contractuales y organizativas.

En el widget jurídico y curso Protocolo de transferencias de datos a EEUU tras la invalidez del Privacy Shield de Campus Ribas tratamos con detalle el protocolo completo a aplicar en el caso de las transferencias de datos personales a EEUU.

Este protocolo se describe en la infografía relativa al protocolo de transferencias de datos a EEUU.

Abogado del año en protección de datos

Esta semana hemos recibido en el despacho un mensaje del CEO de Best Lawyers con el reconocimiento “Lawyer of the Year” en materia de protección de datos (Privacy & Data Protection Law) para la zona geográfica en la que desplegamos nuestra actividad profesional. Creo que es la cuarta vez.

Nuestro despacho no cree en estos reconocimientos porque siempre van asociados a la sospecha de que son de pago o derivan de una recogida de votos por parte de agencias de comunicación especializadas. Por eso nunca presentamos nuestra candidatura a premios o reconocimientos, ni realizamos pagos a rankings ni a agencias de comunicación. Tampoco pedimos a nadie que nos vote.

No conozco la metodología, pero si el mensaje indica que la selección la hacen los “peers” entiendo que en este caso concreto no se presentan candidaturas, y las votaciones las realizan los despachos de abogados del país en el que radica el despacho.

Adicionalmente, también se ha reconocido nuestro trabajo en Communications Law, Corporate Governance and Compliance Practice, Information Technology Law, Intellectual Property Law, Media Law and Privacy & Data Protection Law.

Agradezco, en nombre del despacho, la confianza y el soporte de los compañeros que nos han seleccionado un año más. Es obvio que el reconocimiento va dirigido al magnífico equipo que forma el despacho. Mi agradecimiento también para nuestros clientes y para nuestras sacrificadas familias, que nos han acompañado en los buenos y en los malos años y que son la principal motivación de nuestro trabajo. 

Quiero transmitir nuestro compromiso y esfuerzo para seguir mereciendo vuestra confianza.

Muchas gracias.

PD: Creo que no figuramos en el directorio de bestlawyers.com (o al menos, yo no he sabido encontrar la referencia) . Entiendo que al seguir la política de no pagar a rankings, ni siguiera tenemos perfil. Si ello se confirma, se daría la paradoja de que el reconocimiento va dirigido a alguien que no figura en el directorio. Me disculpo si es un error mío y si ello perjudica a alguien.

Tercer paso para transferir datos a terceros países según el CEPD

3.1 Verificar que el instrumento de transferencia del artículo 46 del RGPD escogido consigue un nivel de protección equivalente al del EEE.

3.2 Verificar si existe alguna norma en el tercer país que impida al importador de los datos cumplir las obligaciones establecidas en el instrumento de transferencia del artículo 46 del RGPD escogido.

3.3 Utilizar fuentes de información apropiadas para valorar los obstáculos para el cumplimiento del RGPD establecidos en la normativa del tercer país. Por ejemplo:

  • Jurisprudencia del TJUE.
  • Jurisprudencia del TEDH.
  • Decisiones de adecuación relativas al país de destino.
  • Resoluciones e informes del Consejo de Europa y otras organizaciones intergubernamentales.
  • Resoluciones e informes de organismos y agencias de la ONU en materia de derechos humanos.
  • Jurisprudencia nacional.
  • Resoluciones de las autoridades administrativas nacionales competentes en materia de protección de datos.
  • Informes de instituciones académicas.

3.4 Extender el alcance de la evaluación a todos los actores implicados en la transferencia de datos, incluyendo:

  • Responsables del tratamiento.
  • Encargados del tratamiento.
  • Subencargados del tratamiento.

3.5 Analizar las características de la transferencia con mayor impacto jurídico. En particular:

  • La finalidad de la transferencia.
  • El tipo de entidades involucradas en el tratamiento.
  • El sector.
  • Las categorías de datos personales transferidos.
  • La ubicación de los datos y el tipo de acceso a ellos.
  • El formato de los datos a transferir: texto plano, datos seudonimizados o cifrados.
  • Las transferencias sucesivas a otros países.

3.6 Verificar si la normativa del país de destino genera algún obstáculo para el ejercicio de los derechos por parte de los interesados.

3.7 Prestar especial atención a las normas del país de destino que establecen la obligación de revelar datos personales a las autoridades públicas o que otorgan a esas autoridades públicas facultades de acceso a los datos personales (por ejemplo, en materia de derecho penal, supervisión regulatoria y seguridad nacional.

3.8 Las normas de la UE, como los artículos 47 y 52 de la Carta de los Derechos Fundamentales de la UE, deben utilizarse como referencia para evaluar si ese acceso de las autoridades públicas se limita a lo que es necesario y proporcionado en una sociedad democrática y si se ofrece a los interesados una reparación efectiva.

3.9 La existencia de una ley general de protección de datos o de una autoridad independiente de protección de datos, así como la adhesión a los instrumentos internacionales que prevean salvaguardias de protección de datos, pueden contribuir a garantizar la proporcionalidad de la injerencia del gobierno.

3.10 Las recomendaciones del CEPD sobre Garantías Esenciales Europeas (EEG) proporcionan elementos que deben evaluarse para determinar si el marco jurídico que rige el acceso a los datos personales por parte de las autoridades públicas de un tercer país, puede considerarse una injerencia justificable y, por lo tanto, no afecta a los compromisos asumidos por el importador de los datos en el instrumento de transferencia del artículo 46 del RGPD.

3.11 Documentar todo el proceso y obtener evidencias que demuestren las acciones realizadas por el responsable del tratamiento que exporta los datos.

MEDIDAS ESPECÍFICAS PARA ESTADOS UNIDOS

El TJUE sostiene que la Sección 702 de la FISA de los Estados Unidos no respeta las garantías mínimas resultantes del principio de proporcionalidad en virtud de la legislación de la Unión Europea y no puede considerarse limitado a lo estrictamente necesario. 

Esto significa que el nivel de protección de los programas autorizados por la Sección 702 de la FISA no es esencialmente equivalente a las garantías exigidas por la legislación de la UE. 

En consecuencia, si el importador de datos o cualquier otro receptor al que el importador de datos pueda revelar los datos está comprendido en el ámbito de aplicación de la Sección 702 de la FISA, la transferencia de datos sólo se podrá basar en la Cláusulas Contractuales Tipo o en otros instrumentos de transferencia del artículo 46 del RGPD si las medidas técnicas complementarias adicionales hacen imposible o ineficaz el acceso a los datos transferidos.

En el widget jurídico y curso Protocolo de transferencias de datos a EEUU tras la invalidez del Privacy Shield de Campus Ribas tratamos con detalle el protocolo completo a aplicar en el caso de las transferencias de datos personales a EEUU.

Este protocolo se describe en la infografía relativa al protocolo de transferencias de datos a EEUU.

Segundo paso para transferir datos a terceros países según el CEPD

2.1 Decisiones de adecuación (Artículo 45 RGPD)

Podrá realizarse una transferencia de datos personales a un tercer país cuando la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, garantizan un nivel de protección adecuado. Dicha transferencia no requerirá ninguna autorización específica.

2.2 Garantías adecuadas (Artículo 46 RGPD)

En el artículo 46 del RGPD se enumeran una serie de instrumentos de transferencia que contienen garantías adecuadas que los exportadores pueden utilizar para transferir datos personales a terceros países en ausencia de decisiones de adecuación:

  • Cláusulas contractuales tipo.
  • Normas corporativas vinculantes.
  • Códigos de conducta.
  • Mecanismos de certificación.
  • Cláusulas contractuales ad hoc.

La situación en el tercer país al que se realiza la transferencia de datos puede requerir que se complementen estos instrumentos de transferencia y las garantías que contienen con medidas complementarias para garantizar un nivel de protección esencialmente equivalente. Este es el caso de EEUU de acuerdo con la sentencia Schrems II.

2.3 Excepciones para situaciones específicas (Artículo 49 RGPD)

Antes de acogerse a una excepción del artículo 49 del PBIR, debe comprobarse si la transferencia cumple las estrictas condiciones que esta disposición establece para cada una de ellas.

  • Consentimiento explícito del interesado.
  • La transferencia es necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado.
  • La transferencia es necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica.
  • La transferencia es necesaria por razones importantes de interés público.
  • La transferencia es necesaria para la formulación, el ejercicio o la defensa de reclamaciones.
  • La transferencia es necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento.
  • La transferencia se realiza desde un registro público.

En el widget jurídico y curso Protocolo de transferencias de datos a EEUU tras la invalidez del Privacy Shield de Campus Ribas tratamos con detalle el protocolo completo a aplicar en el caso de las transferencias de datos personales a EEUU.

Este protocolo se describe en la infografía relativa al protocolo de transferencias de datos a EEUU.

Primer paso para transferir datos a terceros países según el CEPD

El Comité Europeo de Protección de Datos (CEPD) ha abierto el plazo de consulta pública de sus Recomendaciones 01/2020 sobre medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento del nivel de protección de datos personales de la UE después de la sentencia Schrems II que invalida el Privacy Shield.

El CEPD propone una hoja de ruta basada en un esquema de 6 pasos destinado a aplicar el principio de responsabilidad proactiva a las transferencias de datos a terceros países.

Los seis pasos se han repartido en varios artículos con el fin de desglosar los puntos que componen cada paso de forma exhaustiva y añadir, en su caso nuestras recomendaciones:

PASO 1 – Conoce tus transferencias

1.1 Identificar todas las transferencias a terceros países.

1.2 Identificar las transferencias sucesivas de los encargados a los subencargados del tratamiento.

1.3 Verificar si los subencargados se encuentran en el mismo país del encargado o en otro.

1.4 Incluir en el RAT las transferencias identificadas.

1.5 Realizar un mapa de ubicaciones en las que los datos pueden estar almacenados o ser objeto de tratamiento.

1.6 En el caso que haya muchas transferencias la recomendación de Ribas es crear un registro o mapa de transferencias con una hoja Excel o con una aplicación como Compliance 3.0.

1.7 Tratar como transferencia a un tercer país el acceso remoto del proveedor extranjero a los datos ubicados en el Espacio Económico Europeo.

1.8 Actualizar el registro de encargados y subencargados del tratamiento con la información obtenida en relación con las transferencias identificadas.

1.9 Verificar que se está informando a los interesados sobre todas las transferencias identificadas.

1.10 Verificar que se aplica el principio de minimización de datos y que los datos transferidos son adecuados, pertinentes y limitados a lo necesario en relación con los fines del tratamiento.

En el widget jurídico y curso Protocolo de transferencias de datos a EEUU tras la invalidez del Privacy Shield de Campus Ribas tratamos con detalle el protocolo completo a aplicar en el caso de las transferencias de datos personales a EEUU.

Este protocolo se describe en la infografía relativa al protocolo de transferencias de datos a EEUU.