PDF de programación - Cloud Computing - TRANSFERENCIAS INTERNACIONALES DE DATOS

Cloud Computing

TRANSFERENCIAS INTERNACIONALES DE DATOS

María José Blanco Antón
Subdirectora General del Registro
General de Protección de Datos
General de Protección de Datos

Agencia Española de Protección de Datos

1

Cloud Computing

UBICUIDAD DE RECURSOS INFORMÁTICOS

- acceso desde cualquier lugar
- acceso desde cualquier lugar
- almacenamiento y tratamiento en cualquier lugar

TRANSFERENCIA INTERNACIONAL DE DATOS

“tratamiento de datos que supone una transmisión de los mismos
“tratamiento de datos que supone una transmisión de los mismos
fuera del
territorio del Espacio Económico Europeo” para “la
realización de un tratamiento de datos por cuenta del
responsable del fichero establecido en territorio español” - art.
responsable del fichero establecido en territorio español” - art.
5.1.s) RLOPD

Agencia Española de Protección de Datos

2

Cloud Computing

TRANSFERENCIAS INTERNACIONALES DE DATOS

Espacio Económico Europeo

Terceros países

Cliente CC

(responsable de fichero)
(responsable de fichero)

Prestador SCC

(encargado de tratamiento)
(encargado de tratamiento)

-encargado principal-

Prestador SCC

Prestador/es sucesivos SCC

(encargado de tratamiento)

(subencargado/s de tratamiento)

-encargado principal-

Agencia Española de Protección de Datos

3

Cloud Computing - TIs

OTRAS TRANSFERENCIAS INTERNACIONALES DE DATOS

en el marco de terceros países

Prestador SCC

(encargado de tratamiento)
(encargado de tratamiento)

-encargado principal-

Otro prestador SCC

(subencargado de tratamiento)
(subencargado de tratamiento)

Segundo prestador SCC

Siguiente prestador SCC

(subencargado de tratamiento)

(subencargado de tratamiento)

Agencia Española de Protección de Datos

4

Cloud Computing

ESCENARIOS DE TRANSFERENCIAS INTERNACIONALES
ESCENARIOS DE TRANSFERENCIAS INTERNACIONALES

• NIVEL ADECUADO DE PROTECCIÓN
• NIVEL ADECUADO DE PROTECCIÓN

- establecido por Decisión de la Comisión Europea
- Suiza, Argentina, Canadá, Guernsey, Isla de Man, Islas Feroe,
- Suiza, Argentina, Canadá, Guernsey, Isla de Man, Islas Feroe,
Jersey, Andorra e Israel
- Entidades de EEUU adheridas a Puerto Seguro/Safe Harbor

• TERCEROS PAÍSES

Agencia Española de Protección de Datos

5

Cloud Computing

TI’s - MODELOS DE GARANTÍAS A APLICAR

NIVEL ADECUADO DE PROTECCIÓN

• Contrato de prestación de servicios (art.12 LOPD, arts. 20-22 RLOPD
• Contrato de prestación de servicios (art.12 LOPD, arts. 20-22 RLOPD

entre el responsable (cliente CC) y el encargado (prestador SCC)

- Garantías de protección de datos
- En caso de subcontratación:
- En caso de subcontratación:

- Encadenamiento de garantías de protección de datos
- Autorización y/o conocimiento de la subcontratación por
parte del Responsable
parte del Responsable

información sobre

los posibles destinatarios de
Obtener
acceso a dicha
acceso a dicha
transferencias ulteriores, o disponer de
transferencias ulteriores, o disponer de
información. El prestador SCC puede mantener actualizada y
disponible la relación de los mismos.

Agencia Española de Protección de Datos

6

Cloud Computing

TI’s - MODELOS DE GARANTÍAS A APLICAR

TERCEROS PAÍSES

• Autorización del Director de la Agencia

- Decisión 2010/87/UE – cláusulas contractuales tipo de responsable
- Decisión 2010/87/UE – cláusulas contractuales tipo de responsable
(cliente CC) a encargado (prestador SCC)

- Reglas corporativas vinculantes – Binding Corporate Rules (BCRs)
- Reglas corporativas vinculantes – Binding Corporate Rules (BCRs)

- Tramitación conforme al procedimiento RLOPD: 3 meses

Agencia Española de Protección de Datos

7

Cloud Computing

TI’s - MODELOS DE GARANTÍAS A APLICAR

TERCEROS PAÍSES

• Solicitud de autorización del Director de la Agencia

- Contrato cláusulas contractuales tipo – Decisión 2010/87/UE
- Contrato cláusulas contractuales tipo – Decisión 2010/87/UE
- Ofrecen garantías en la transferencia de EEE al tercer país
- Cláusula 11, subcontratación del encargado – importador

• Encadenamiento de garantías de protección de datos
• Encadenamiento de garantías de protección de datos
• Autorización y conocimiento de la subcontratación por parte del
Responsable
• Información de los subencargados disponible para la AEPD
• Información de los subencargados disponible para la AEPD

Agencia Española de Protección de Datos

8

Cloud Computing

TI’s - MODELOS DE GARANTÍAS A APLICAR

TERCEROS PAÍSES

• Solicitud de autorización del Director de la Agencia

- Reglas corporativas vinculantes – Binding Corporate Rules (BCRs)
- Reglas corporativas vinculantes – Binding Corporate Rules (BCRs)
- Basadas en WP 153, WP154, WP155, WP108, WP107, WP74
del Grupo de Autoridades Europeas de Protección de Datos art. 29
- Ámbito: transferencias internacionales de datos entre empresas del
- Ámbito: transferencias internacionales de datos entre empresas del
Grupo, y cuyos responsables son las mismas empresas.

Aplicación: sólo nube privada del Grupo
Aplicación: sólo nube privada del Grupo

Agencia Española de Protección de Datos

9

Cloud Computing

TI’s - MODELOS DE GARANTÍAS A APLICAR

TERCEROS PAÍSES

• Solicitud de autorización del Director de la Agencia
• Solicitud de autorización del Director de la Agencia

- Binding Proccessor Rules (BPRs)
- Subgrupo BCRs. Reunión 10-1-2012
- Subgrupo BCRs. Reunión 10-1-2012
- En elaboración Framework BPRs (equivalente WP153 BCR)

Principios de privacidad en las BPRs
Fórmula de autorización de subcontrataciones
Fórmula de autorización de subcontrataciones
Sistema de gestión de reclamaciones de interesados
Acceso a las auditorías de las BPRs por parte del responsable

En estudio

Agencia Española de Protección de Datos

10

Cloud Computing

MUCHAS GRACIAS

Agencia Española de Protección de Datos

11