Publicado el 18 de Mayo del 2017
1.128 visualizaciones desde el 18 de Mayo del 2017
744,9 KB
11 paginas
Creado hace 12a (27/01/2012)
Cloud Computing
TRANSFERENCIAS INTERNACIONALES DE DATOS
María José Blanco Antón
Subdirectora General del Registro
General de Protección de Datos
General de Protección de Datos
Agencia Española de Protección de Datos
1
Cloud Computing
UBICUIDAD DE RECURSOS INFORMÁTICOS
- acceso desde cualquier lugar
- acceso desde cualquier lugar
- almacenamiento y tratamiento en cualquier lugar
TRANSFERENCIA INTERNACIONAL DE DATOS
“tratamiento de datos que supone una transmisión de los mismos
“tratamiento de datos que supone una transmisión de los mismos
fuera del
territorio del Espacio Económico Europeo” para “la
realización de un tratamiento de datos por cuenta del
responsable del fichero establecido en territorio español” - art.
responsable del fichero establecido en territorio español” - art.
5.1.s) RLOPD
Agencia Española de Protección de Datos
2
Cloud Computing
TRANSFERENCIAS INTERNACIONALES DE DATOS
Espacio Económico Europeo
Terceros países
Cliente CC
(responsable de fichero)
(responsable de fichero)
Prestador SCC
(encargado de tratamiento)
(encargado de tratamiento)
-encargado principal-
Prestador SCC
Prestador/es sucesivos SCC
(encargado de tratamiento)
(subencargado/s de tratamiento)
-encargado principal-
Agencia Española de Protección de Datos
3
Cloud Computing - TIs
OTRAS TRANSFERENCIAS INTERNACIONALES DE DATOS
en el marco de terceros países
Prestador SCC
(encargado de tratamiento)
(encargado de tratamiento)
-encargado principal-
Otro prestador SCC
(subencargado de tratamiento)
(subencargado de tratamiento)
Segundo prestador SCC
Siguiente prestador SCC
(subencargado de tratamiento)
(subencargado de tratamiento)
Agencia Española de Protección de Datos
4
Cloud Computing
ESCENARIOS DE TRANSFERENCIAS INTERNACIONALES
ESCENARIOS DE TRANSFERENCIAS INTERNACIONALES
• NIVEL ADECUADO DE PROTECCIÓN
• NIVEL ADECUADO DE PROTECCIÓN
- establecido por Decisión de la Comisión Europea
- Suiza, Argentina, Canadá, Guernsey, Isla de Man, Islas Feroe,
- Suiza, Argentina, Canadá, Guernsey, Isla de Man, Islas Feroe,
Jersey, Andorra e Israel
- Entidades de EEUU adheridas a Puerto Seguro/Safe Harbor
• TERCEROS PAÍSES
Agencia Española de Protección de Datos
5
Cloud Computing
TI’s - MODELOS DE GARANTÍAS A APLICAR
NIVEL ADECUADO DE PROTECCIÓN
• Contrato de prestación de servicios (art.12 LOPD, arts. 20-22 RLOPD
• Contrato de prestación de servicios (art.12 LOPD, arts. 20-22 RLOPD
entre el responsable (cliente CC) y el encargado (prestador SCC)
- Garantías de protección de datos
- En caso de subcontratación:
- En caso de subcontratación:
- Encadenamiento de garantías de protección de datos
- Autorización y/o conocimiento de la subcontratación por
parte del Responsable
parte del Responsable
información sobre
los posibles destinatarios de
Obtener
acceso a dicha
acceso a dicha
transferencias ulteriores, o disponer de
transferencias ulteriores, o disponer de
información. El prestador SCC puede mantener actualizada y
disponible la relación de los mismos.
Agencia Española de Protección de Datos
6
Cloud Computing
TI’s - MODELOS DE GARANTÍAS A APLICAR
TERCEROS PAÍSES
• Autorización del Director de la Agencia
- Decisión 2010/87/UE – cláusulas contractuales tipo de responsable
- Decisión 2010/87/UE – cláusulas contractuales tipo de responsable
(cliente CC) a encargado (prestador SCC)
- Reglas corporativas vinculantes – Binding Corporate Rules (BCRs)
- Reglas corporativas vinculantes – Binding Corporate Rules (BCRs)
- Tramitación conforme al procedimiento RLOPD: 3 meses
Agencia Española de Protección de Datos
7
Cloud Computing
TI’s - MODELOS DE GARANTÍAS A APLICAR
TERCEROS PAÍSES
• Solicitud de autorización del Director de la Agencia
- Contrato cláusulas contractuales tipo – Decisión 2010/87/UE
- Contrato cláusulas contractuales tipo – Decisión 2010/87/UE
- Ofrecen garantías en la transferencia de EEE al tercer país
- Cláusula 11, subcontratación del encargado – importador
• Encadenamiento de garantías de protección de datos
• Encadenamiento de garantías de protección de datos
• Autorización y conocimiento de la subcontratación por parte del
Responsable
• Información de los subencargados disponible para la AEPD
• Información de los subencargados disponible para la AEPD
Agencia Española de Protección de Datos
8
Cloud Computing
TI’s - MODELOS DE GARANTÍAS A APLICAR
TERCEROS PAÍSES
• Solicitud de autorización del Director de la Agencia
- Reglas corporativas vinculantes – Binding Corporate Rules (BCRs)
- Reglas corporativas vinculantes – Binding Corporate Rules (BCRs)
- Basadas en WP 153, WP154, WP155, WP108, WP107, WP74
del Grupo de Autoridades Europeas de Protección de Datos art. 29
- Ámbito: transferencias internacionales de datos entre empresas del
- Ámbito: transferencias internacionales de datos entre empresas del
Grupo, y cuyos responsables son las mismas empresas.
Aplicación: sólo nube privada del Grupo
Aplicación: sólo nube privada del Grupo
Agencia Española de Protección de Datos
9
Cloud Computing
TI’s - MODELOS DE GARANTÍAS A APLICAR
TERCEROS PAÍSES
• Solicitud de autorización del Director de la Agencia
• Solicitud de autorización del Director de la Agencia
- Binding Proccessor Rules (BPRs)
- Subgrupo BCRs. Reunión 10-1-2012
- Subgrupo BCRs. Reunión 10-1-2012
- En elaboración Framework BPRs (equivalente WP153 BCR)
Principios de privacidad en las BPRs
Fórmula de autorización de subcontrataciones
Fórmula de autorización de subcontrataciones
Sistema de gestión de reclamaciones de interesados
Acceso a las auditorías de las BPRs por parte del responsable
En estudio
Agencia Española de Protección de Datos
10
Cloud Computing
MUCHAS GRACIAS
Agencia Española de Protección de Datos
11
Comentarios de: Cloud Computing - TRANSFERENCIAS INTERNACIONALES DE DATOS (0)
No hay comentarios