Acerca de xribas

– Socio fundador de Ribas y Asociados. – Abogado dedicado al Derecho de las Tecnologías de la Información desde 1987 – Experto en Compliance. – Director del Curso de Compliance Officer de Thomson Reuters Aranzadi. – Director del Curso de DPO – RGPD de Thomson Reuters Aranzadi. – Director del Practicum de Compliance de Thomson Reuters Aranzadi. – Profesor de Compliance Tecnológico de ESADE. – Designado por Expansión como uno de los 25 abogados referentes de España (2013) – Designado por Best Lawyers como el mejor abogado de los años 2013 y 2015 en materia de protección de datos – Designado por Best Lawyers como el mejor abogado del año 2014 en materia de IT Law – Premio 2012 al mejor abogado en Derecho Digital (ICAB – Digital Law World Congress) – Seleccionado por Chambers y Best Lawyers como uno de los mejores abogados en: – Privacy & Data Protection – Information Technology – Intellectual Property – Media – Communications – Director del Máster en Derecho de las TIC, Redes Sociales y Propiedad Intelectual (IT+IP) de ESADE – Socio de PwC (1998-2012) – Responsable de la red internacional de Derecho de las TIC de PwC (2000 – 2004) – Auditor informático CISA (ISACA) – Certified in Risk and Information Systems Control CRISC (ISACA) – Vicepresidente 1º de ENATIC (2012 – 2015) – Autor del libro Aspectos juridicos del comercio electronico en internet – (Editorial Aranzadi 1999). – Asesor Jurídico de BSA (Business Software Alliance) (1988 – 2011) – Miembro de la Comisión de Regulación de la AECE (Asociación Española de Comercio Electrónico) – Miembro de la Junta Directiva de la AUI (1996 – 2003) – Presidente de ARBITEC Asociación Española de Arbitraje Tecnológico (1989 – 2015) – Miembro del Legal Working Group de UNECE – CEFACT en materia de comercio electrónico (ONU) – Autor del Manual Práctico de Contratación Informática CONTRACT-SOFT (1987-2003) 11ª Edición. – Participante en el proyecto LATHE GAMBIT del Mando Aliado de la OTAN, relativo al análisis del entorno legal y la seguridad de Internet en materia de ciberdelitos. – Autor de los paneles de control LOPD – RMS – LSSI – Contratos tecnológicos y Activos inmateriales – Miembro de ISACA – Information Services Audit and Control Association – Colegiado 12.968 del Colegio de Abogados de Barcelona

Cuarto paso para transferir datos a terceros países según el CEPD

El Comité Europeo de Protección de Datos menciona las siguientes acciones a realizar en sus recomendaciones sobre la cuarta fase en materia de transferencias a terceros países, especialmente a EEUU.

4.1 Identificar las medidas aplicables a cada caso.

4.2 Verificar la eficacia potencial a cada caso de las medidas identificadas.

4.3 Seleccionar las medidas contractuales, técnicas u organizativas más adecuadas.

4.4 Tener en cuenta que las medidas contractuales y organizativas no impedirán el acceso de las agencias de inteligencia a los datos en la mayoría de los casos.

4.5 Lista de factores a tener en cuenta a la hora de seleccionar las medidas adicionales a aplicar:

  • Formato de los datos a transferir.
  • Categoría de datos.
  • Duración y complejidad del tratamiento.
  • Número de actores implicados en el tratamiento.
  • Transferencias sucesivas al mismo país o a otros terceros países.

4.6 Ejemplos de medidas técnicas válidas

  • Cifrado de datos almacenados.
  • Cifrado de datos en tránsito.
  • Seudonimización.
  • Fragmentación – Tratamiento dividido entre varios encargados.
  • Destinatario protegido.

4.7 Ejemplos de medidas técnicas insuficientes

  • Servicios de cloud computing en los que el proveedor necesita tener acceso en claro a los datos para poder prestar el servicio.
  • Servicios de cloud computing o de hosting en los que el proveedor tiene acceso a la clave de cifrado.
  • Acceso de remoto del proveedor a un servidor en el EEE del responsable del tratamiento europeo.

En sucesivos artículos hablaremos de las medidas contractuales y organizativas.

En el widget jurídico y curso Protocolo de transferencias de datos a EEUU tras la invalidez del Privacy Shield de Campus Ribas tratamos con detalle el protocolo completo a aplicar en el caso de las transferencias de datos personales a EEUU.

Este protocolo se describe en la infografía relativa al protocolo de transferencias de datos a EEUU.

Abogado del año en protección de datos

Esta semana hemos recibido en el despacho un mensaje del CEO de Best Lawyers con el reconocimiento “Lawyer of the Year” en materia de protección de datos (Privacy & Data Protection Law) para la zona geográfica en la que desplegamos nuestra actividad profesional. Creo que es la cuarta vez.

Nuestro despacho no cree en estos reconocimientos porque siempre van asociados a la sospecha de que son de pago o derivan de una recogida de votos por parte de agencias de comunicación especializadas. Por eso nunca presentamos nuestra candidatura a premios o reconocimientos, ni realizamos pagos a rankings ni a agencias de comunicación. Tampoco pedimos a nadie que nos vote.

No conozco la metodología, pero si el mensaje indica que la selección la hacen los “peers” entiendo que en este caso concreto no se presentan candidaturas, y las votaciones las realizan los despachos de abogados del país en el que radica el despacho.

Adicionalmente, también se ha reconocido nuestro trabajo en Communications Law, Corporate Governance and Compliance Practice, Information Technology Law, Intellectual Property Law, Media Law and Privacy & Data Protection Law.

Agradezco, en nombre del despacho, la confianza y el soporte de los compañeros que nos han seleccionado un año más. Es obvio que el reconocimiento va dirigido al magnífico equipo que forma el despacho. Mi agradecimiento también para nuestros clientes y para nuestras sacrificadas familias, que nos han acompañado en los buenos y en los malos años y que son la principal motivación de nuestro trabajo. 

Quiero transmitir nuestro compromiso y esfuerzo para seguir mereciendo vuestra confianza.

Muchas gracias.

PD: Creo que no figuramos en el directorio de bestlawyers.com (o al menos, yo no he sabido encontrar la referencia) . Entiendo que al seguir la política de no pagar a rankings, ni siguiera tenemos perfil. Si ello se confirma, se daría la paradoja de que el reconocimiento va dirigido a alguien que no figura en el directorio. Me disculpo si es un error mío y si ello perjudica a alguien.

Tercer paso para transferir datos a terceros países según el CEPD

3.1 Verificar que el instrumento de transferencia del artículo 46 del RGPD escogido consigue un nivel de protección equivalente al del EEE.

3.2 Verificar si existe alguna norma en el tercer país que impida al importador de los datos cumplir las obligaciones establecidas en el instrumento de transferencia del artículo 46 del RGPD escogido.

3.3 Utilizar fuentes de información apropiadas para valorar los obstáculos para el cumplimiento del RGPD establecidos en la normativa del tercer país. Por ejemplo:

  • Jurisprudencia del TJUE.
  • Jurisprudencia del TEDH.
  • Decisiones de adecuación relativas al país de destino.
  • Resoluciones e informes del Consejo de Europa y otras organizaciones intergubernamentales.
  • Resoluciones e informes de organismos y agencias de la ONU en materia de derechos humanos.
  • Jurisprudencia nacional.
  • Resoluciones de las autoridades administrativas nacionales competentes en materia de protección de datos.
  • Informes de instituciones académicas.

3.4 Extender el alcance de la evaluación a todos los actores implicados en la transferencia de datos, incluyendo:

  • Responsables del tratamiento.
  • Encargados del tratamiento.
  • Subencargados del tratamiento.

3.5 Analizar las características de la transferencia con mayor impacto jurídico. En particular:

  • La finalidad de la transferencia.
  • El tipo de entidades involucradas en el tratamiento.
  • El sector.
  • Las categorías de datos personales transferidos.
  • La ubicación de los datos y el tipo de acceso a ellos.
  • El formato de los datos a transferir: texto plano, datos seudonimizados o cifrados.
  • Las transferencias sucesivas a otros países.

3.6 Verificar si la normativa del país de destino genera algún obstáculo para el ejercicio de los derechos por parte de los interesados.

3.7 Prestar especial atención a las normas del país de destino que establecen la obligación de revelar datos personales a las autoridades públicas o que otorgan a esas autoridades públicas facultades de acceso a los datos personales (por ejemplo, en materia de derecho penal, supervisión regulatoria y seguridad nacional.

3.8 Las normas de la UE, como los artículos 47 y 52 de la Carta de los Derechos Fundamentales de la UE, deben utilizarse como referencia para evaluar si ese acceso de las autoridades públicas se limita a lo que es necesario y proporcionado en una sociedad democrática y si se ofrece a los interesados una reparación efectiva.

3.9 La existencia de una ley general de protección de datos o de una autoridad independiente de protección de datos, así como la adhesión a los instrumentos internacionales que prevean salvaguardias de protección de datos, pueden contribuir a garantizar la proporcionalidad de la injerencia del gobierno.

3.10 Las recomendaciones del CEPD sobre Garantías Esenciales Europeas (EEG) proporcionan elementos que deben evaluarse para determinar si el marco jurídico que rige el acceso a los datos personales por parte de las autoridades públicas de un tercer país, puede considerarse una injerencia justificable y, por lo tanto, no afecta a los compromisos asumidos por el importador de los datos en el instrumento de transferencia del artículo 46 del RGPD.

3.11 Documentar todo el proceso y obtener evidencias que demuestren las acciones realizadas por el responsable del tratamiento que exporta los datos.

MEDIDAS ESPECÍFICAS PARA ESTADOS UNIDOS

El TJUE sostiene que la Sección 702 de la FISA de los Estados Unidos no respeta las garantías mínimas resultantes del principio de proporcionalidad en virtud de la legislación de la Unión Europea y no puede considerarse limitado a lo estrictamente necesario. 

Esto significa que el nivel de protección de los programas autorizados por la Sección 702 de la FISA no es esencialmente equivalente a las garantías exigidas por la legislación de la UE. 

En consecuencia, si el importador de datos o cualquier otro receptor al que el importador de datos pueda revelar los datos está comprendido en el ámbito de aplicación de la Sección 702 de la FISA, la transferencia de datos sólo se podrá basar en la Cláusulas Contractuales Tipo o en otros instrumentos de transferencia del artículo 46 del RGPD si las medidas técnicas complementarias adicionales hacen imposible o ineficaz el acceso a los datos transferidos.

En el widget jurídico y curso Protocolo de transferencias de datos a EEUU tras la invalidez del Privacy Shield de Campus Ribas tratamos con detalle el protocolo completo a aplicar en el caso de las transferencias de datos personales a EEUU.

Este protocolo se describe en la infografía relativa al protocolo de transferencias de datos a EEUU.

Segundo paso para transferir datos a terceros países según el CEPD

2.1 Decisiones de adecuación (Artículo 45 RGPD)

Podrá realizarse una transferencia de datos personales a un tercer país cuando la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, garantizan un nivel de protección adecuado. Dicha transferencia no requerirá ninguna autorización específica.

2.2 Garantías adecuadas (Artículo 46 RGPD)

En el artículo 46 del RGPD se enumeran una serie de instrumentos de transferencia que contienen garantías adecuadas que los exportadores pueden utilizar para transferir datos personales a terceros países en ausencia de decisiones de adecuación:

  • Cláusulas contractuales tipo.
  • Normas corporativas vinculantes.
  • Códigos de conducta.
  • Mecanismos de certificación.
  • Cláusulas contractuales ad hoc.

La situación en el tercer país al que se realiza la transferencia de datos puede requerir que se complementen estos instrumentos de transferencia y las garantías que contienen con medidas complementarias para garantizar un nivel de protección esencialmente equivalente. Este es el caso de EEUU de acuerdo con la sentencia Schrems II.

2.3 Excepciones para situaciones específicas (Artículo 49 RGPD)

Antes de acogerse a una excepción del artículo 49 del PBIR, debe comprobarse si la transferencia cumple las estrictas condiciones que esta disposición establece para cada una de ellas.

  • Consentimiento explícito del interesado.
  • La transferencia es necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado.
  • La transferencia es necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica.
  • La transferencia es necesaria por razones importantes de interés público.
  • La transferencia es necesaria para la formulación, el ejercicio o la defensa de reclamaciones.
  • La transferencia es necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento.
  • La transferencia se realiza desde un registro público.

En el widget jurídico y curso Protocolo de transferencias de datos a EEUU tras la invalidez del Privacy Shield de Campus Ribas tratamos con detalle el protocolo completo a aplicar en el caso de las transferencias de datos personales a EEUU.

Este protocolo se describe en la infografía relativa al protocolo de transferencias de datos a EEUU.

Primer paso para transferir datos a terceros países según el CEPD

El Comité Europeo de Protección de Datos (CEPD) ha abierto el plazo de consulta pública de sus Recomendaciones 01/2020 sobre medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento del nivel de protección de datos personales de la UE después de la sentencia Schrems II que invalida el Privacy Shield.

El CEPD propone una hoja de ruta basada en un esquema de 6 pasos destinado a aplicar el principio de responsabilidad proactiva a las transferencias de datos a terceros países.

Los seis pasos se han repartido en varios artículos con el fin de desglosar los puntos que componen cada paso de forma exhaustiva y añadir, en su caso nuestras recomendaciones:

PASO 1 – Conoce tus transferencias

1.1 Identificar todas las transferencias a terceros países.

1.2 Identificar las transferencias sucesivas de los encargados a los subencargados del tratamiento.

1.3 Verificar si los subencargados se encuentran en el mismo país del encargado o en otro.

1.4 Incluir en el RAT las transferencias identificadas.

1.5 Realizar un mapa de ubicaciones en las que los datos pueden estar almacenados o ser objeto de tratamiento.

1.6 En el caso que haya muchas transferencias la recomendación de Ribas es crear un registro o mapa de transferencias con una hoja Excel o con una aplicación como Compliance 3.0.

1.7 Tratar como transferencia a un tercer país el acceso remoto del proveedor extranjero a los datos ubicados en el Espacio Económico Europeo.

1.8 Actualizar el registro de encargados y subencargados del tratamiento con la información obtenida en relación con las transferencias identificadas.

1.9 Verificar que se está informando a los interesados sobre todas las transferencias identificadas.

1.10 Verificar que se aplica el principio de minimización de datos y que los datos transferidos son adecuados, pertinentes y limitados a lo necesario en relación con los fines del tratamiento.

En el widget jurídico y curso Protocolo de transferencias de datos a EEUU tras la invalidez del Privacy Shield de Campus Ribas tratamos con detalle el protocolo completo a aplicar en el caso de las transferencias de datos personales a EEUU.

Este protocolo se describe en la infografía relativa al protocolo de transferencias de datos a EEUU.

Divulgación de información privilegiada en redes sociales

En abril de 2013 la SEC norteamericana publicó un informe y una nota de prensa con las conclusiones de la investigación realizada en relación con la publicación de hechos relevantes para la cotización en las redes sociales.

La cronología completa es la siguiente:

Agosto de 2008 – La SEC publica una guía clarificando que los sitios web pueden ser una vía efectiva para la publicación de información dirigida a los inversores siempre que éstos hayan sido informados de esta posibilidad y no se produzca una desventaja para los que no conozcan la existencia de este canal de información.

Julio de 2012 – Reed Hastings publica un post en Facebook en el que felicita a su equipo de licencias de contenido por haber conseguido, gracias al inicio de las series House of Cards y Arrested Development, que Netflix haya superado en junio los 1000 millones de horas de visualización en un mes. Este post provocó ese día un incremento del 13% en la cotización de Netflix.

Diciembre de 2012 – Reed Hastings publica un nuevo post en el que informa de la investigación iniciada por la SEC en relación a su artículo de julio y manifiesta que la información llegó a sus 200.000 seguidores, entre los que había periodistas y bloggers, y fue compartida varias veces, por lo que puede decirse que el post no fue dirigido a unos destinatarios concretos sino al público en general.

Abril de 2013 – La SEC publica un informe y una nota de prensa en la que da a conocer las conclusiones de la investigación del post de Reed Hastings de julio de 2012. La SEC considera aplicable a la información publicada en las redes sociales el mismo criterio que el aplicado hasta ese momento a los sitios web de acuerdo con la guía de 2008. Según este criterio, las empresas cotizadas y los iniciados pueden publicar información relevante para la cotización en las redes sociales siempre que, previamente, hayan realizado los pasos suficientes para alertar a los inversores y al mercado sobre los canales que utilizarán para la divulgación de información relevante y no pública.

En España, la CNMV publicó, el pasado 8 de octubre, un comunicado con los criterios y requisitos a tener en cuenta en caso de difusión de información privilegiada a través de las redes sociales.

La CNMV concluye que resulta posible usar las redes sociales para comunicar informaciones privilegiadas (de modo simultáneo, como canal adicional o complementario a la CNMV, en el caso de emisores que tengan valores cotizados en mercados regulados españoles), pero solo si se respetan los siguientes requisitos: 

  1. Que la información difundida sea completa, objetiva y clara, sin que sea preciso recurrir a fuentes adicionales al mensaje original para su completa comprensión. 
  2. Que el mensaje contenga claramente la indicación “Información privilegiada” y quede separado de cualquier comunicación promocional o de marketing. 
  3. Que se identifique claramente al emisor (razón social completa) sobre el que versa la información y al comunicante. 
  4. Que se produzca mediante una red social de amplísima distribución y desde cuentas con seguimiento muy numeroso. 
  5. Que se comunique de modo formal y de forma precisa y no se añada o matice ninguna información en respuestas o conversaciones que sea esencial para la comprensión de la información. 

Si tenemos en cuenta el criterio de la SEC, y el hecho de que muchos inversores no utilizan las redes sociales, cobra especial importancia el requisito previo no incluido en la lista consistente en que la información no se publique en las redes sociales antes que en la CNMV. Es decir, que las redes sociales se utilicen como canal adicional o complementario a la CNMV, pero siempre de modo simultáneo, como indica el comunicado.

También sería recomendable que las empresa cotizadas indicasen en su portal de información al inversor que pueden utilizar simultáneamente la CNMV y las redes sociales como canales para la divulgación de información privilegiada.