Cifrado de datos almacenados en un servidor en EEUU – Opinión del CEPD

En las recomendaciones sobre transferencias a terceros países el CEPD menciona el cifrado de datos como una medida técnica adecuada para complementar las medidas del artículo 46 del RGPD. Esta medida es especialmente útil en el casos de las transferencias a EEUU.

El CEPD distingue entre los datos que se encuentran almacenados en un servidor controlado por una empresa norteamericana y los que se encuentran en tránsito y van a pasar por un tercer país.

Los requisitos para los primeros son los siguientes.

Cifrado de datos almacenados

1. El cifrado de los datos debe realizarse con un sistema de cifrado fuerte antes del envío de los datos.

2. Debe utilizarse un algoritmo de cifrado y parametrización (longitud de la clave, simetría de la clave y restantes elementos operativos) que sean conformes con el estado del arte y que puedan considerarse robustos contra un análisis criptográfico llevado a cabo por las autoridades públicas del país de destino, teniendo en cuenta los recursos y capacidades técnicas  disponibles para ellas. Por ejemplo, la potencia de proceso para ataques de fuerza bruta.

3. La potencia de cifrado debe ser adecuada para el período de tiempo específico durante el cual debe preservarse la confidencialidad de los datos personales cifrados.

4. El algoritmo de cifrado debe aplicarse mediante programas informáticos debidamente mantenidos cuya conformidad con la especificación del algoritmo elegido se ha verificado, por ejemplo, mediante certificación.

5. Las claves deben gestionarse de manera fiable (se generan, administran, almacenan y se revocan).

6. Las claves deben conservarse únicamente bajo el control del exportador de datos.

En el widget jurídico y curso Protocolo de transferencias de datos a EEUU tras la invalidez del Privacy Shield de Campus Ribas tratamos con detalle el protocolo completo a aplicar en el caso de las transferencias de datos personales a EEUU.

Este protocolo se describe en la infografía relativa al protocolo de transferencias de datos a EEUU.

Cuarto paso para transferir datos a terceros países según el CEPD

El Comité Europeo de Protección de Datos menciona las siguientes acciones a realizar en sus recomendaciones sobre la cuarta fase en materia de transferencias a terceros países, especialmente a EEUU.

4.1 Identificar las medidas aplicables a cada caso.

4.2 Verificar la eficacia potencial a cada caso de las medidas identificadas.

4.3 Seleccionar las medidas contractuales, técnicas u organizativas más adecuadas.

4.4 Tener en cuenta que las medidas contractuales y organizativas no impedirán el acceso de las agencias de inteligencia a los datos en la mayoría de los casos.

4.5 Lista de factores a tener en cuenta a la hora de seleccionar las medidas adicionales a aplicar:

  • Formato de los datos a transferir.
  • Categoría de datos.
  • Duración y complejidad del tratamiento.
  • Número de actores implicados en el tratamiento.
  • Transferencias sucesivas al mismo país o a otros terceros países.

4.6 Ejemplos de medidas técnicas válidas

  • Cifrado de datos almacenados.
  • Cifrado de datos en tránsito.
  • Seudonimización.
  • Fragmentación – Tratamiento dividido entre varios encargados.
  • Destinatario protegido.

4.7 Ejemplos de medidas técnicas insuficientes

  • Servicios de cloud computing en los que el proveedor necesita tener acceso en claro a los datos para poder prestar el servicio.
  • Servicios de cloud computing o de hosting en los que el proveedor tiene acceso a la clave de cifrado.
  • Acceso de remoto del proveedor a un servidor en el EEE del responsable del tratamiento europeo.

En sucesivos artículos hablaremos de las medidas contractuales y organizativas.

En el widget jurídico y curso Protocolo de transferencias de datos a EEUU tras la invalidez del Privacy Shield de Campus Ribas tratamos con detalle el protocolo completo a aplicar en el caso de las transferencias de datos personales a EEUU.

Este protocolo se describe en la infografía relativa al protocolo de transferencias de datos a EEUU.

Abogado del año en protección de datos

Esta semana hemos recibido en el despacho un mensaje del CEO de Best Lawyers con el reconocimiento “Lawyer of the Year” en materia de protección de datos (Privacy & Data Protection Law) para la zona geográfica en la que desplegamos nuestra actividad profesional. Creo que es la cuarta vez.

Nuestro despacho no cree en estos reconocimientos porque siempre van asociados a la sospecha de que son de pago o derivan de una recogida de votos por parte de agencias de comunicación especializadas. Por eso nunca presentamos nuestra candidatura a premios o reconocimientos, ni realizamos pagos a rankings ni a agencias de comunicación. Tampoco pedimos a nadie que nos vote.

No conozco la metodología, pero si el mensaje indica que la selección la hacen los “peers” entiendo que en este caso concreto no se presentan candidaturas, y las votaciones las realizan los despachos de abogados del país en el que radica el despacho.

Adicionalmente, también se ha reconocido nuestro trabajo en Communications Law, Corporate Governance and Compliance Practice, Information Technology Law, Intellectual Property Law, Media Law and Privacy & Data Protection Law.

Agradezco, en nombre del despacho, la confianza y el soporte de los compañeros que nos han seleccionado un año más. Es obvio que el reconocimiento va dirigido al magnífico equipo que forma el despacho. Mi agradecimiento también para nuestros clientes y para nuestras sacrificadas familias, que nos han acompañado en los buenos y en los malos años y que son la principal motivación de nuestro trabajo. 

Quiero transmitir nuestro compromiso y esfuerzo para seguir mereciendo vuestra confianza.

Muchas gracias.

PD: Creo que no figuramos en el directorio de bestlawyers.com (o al menos, yo no he sabido encontrar la referencia) . Entiendo que al seguir la política de no pagar a rankings, ni siguiera tenemos perfil. Si ello se confirma, se daría la paradoja de que el reconocimiento va dirigido a alguien que no figura en el directorio. Me disculpo si es un error mío y si ello perjudica a alguien.