¿Se enfrenta a clientes que le dicen que sus datos deben almacenarse en una ubicación en distinct?
Tranquilícese: como procesador de datos, a menudo nos encontramos con una discusión sobre dónde residen los datos, y a menudo nos enfrentamos a personas seguras de que sus datos deben almacenarse en un país determinado. Pero la verdad es que la mayoría de las personas no tienen la respuesta correcta a este requisito legal.
Para comprender las obligaciones y requisitos relacionados con el almacenamiento de datos, primero debe comprender la diferencia de conceptos entre «residencia de datos» y «localización de datos».
¿Qué son la residencia de datos y la localización de datos?
Residencia de datos es cuando una organización especifica que sus datos deben almacenarse en una ubicación geográfica de su elección, generalmente por razones regulatorias, fiscales o de política. Por el contrario, localización de datos es cuando una ley requiere que los datos creados dentro de un determinado territorio permanezcan dentro de ese territorio.
Las personas que argumentan que los datos deben almacenarse en una ubicación determinada generalmente persiguen al menos uno de los siguientes tres objetivos:
- Para permitir a las autoridades de protección de datos ejercer un mayor regulate sobre la retención de datos y, por lo tanto, tener un mayor command sobre el cumplimiento
- En la UE, se considera como un medio para alentar a los controladores de datos a almacenar y procesar datos dentro de la UE o en aquellos países que se considera que tienen el mismo nivel de protección de datos que en la UE, en lugar de mover datos a los territorios que se consideran menos que los regímenes de protección de datos «adecuados». La UE ha emitido solo 13 decisiones de adecuación: para Andorra, Argentina, Canadá (organizaciones comerciales), Islas Feroe, Guernsey, Israel, Isla de Man, Japón, Jersey, Nueva Zelanda, Suiza, EE. UU. (Solo Privateness Shield) y Uruguay.
- Finalmente, algunos lo ven como una herramienta para fortalecer la posición de mercado de los proveedores de centros de datos locales al obligar a los datos a almacenarse en el país.
Sin embargo, es importante tener en cuenta que el acceso a los datos personales se considera una «transferencia» según la ley de protección de datos, por lo que incluso si los datos se almacenan en Alemania (por ejemplo), si una empresa tiene ingenieros en India, acceda a los datos para servicio o soporte al cliente propósitos, ahora se ha «mudado» de Alemania. Por lo tanto, no puede reclamar «residencia» en Alemania si hay una función de soporte fuera del país. Además, las funciones de procesamiento de pagos a veces también ocurren en otros países, así que asegúrese de considerarlas también. Este es un punto importante que a menudo se pasa por alto o se malinterpreta.
Habiendo entendido el concepto de residencia de datos y localización de datos, la siguiente pregunta es, ¿existen requisitos de residencia o localización de datos bajo GDPR?
En resumen: No. GDPR no introduce y no incluye ninguna obligación de residencia o localización de datos. Tampoco existían obligaciones de residencia o localización de datos bajo el antecesor del GDPR, la Directiva de Protección de Datos (95/46 / CE). De hecho, tanto la Directiva como el GDPR establecen métodos para transferir datos fuera de la UE.
Dicho esto, es importante tener en cuenta que la ley neighborhood puede imponer ciertos requisitos sobre la ubicación del almacenamiento de datos (por ejemplo, la ley de localización de datos de Rusia, la ley de localización alemana para datos de salud y telecomunicaciones, etcetera.).
Entonces, si no hay un requisito de residencia o localización de datos bajo GDPR, ¿podemos transferir los datos a otras ubicaciones?
El RGPD repite sustancialmente los requisitos de la Directiva de protección de datos, que establece que debe tener transferencia lawful significa si mueve datos fuera de la UE a un jurisdicción con inapropiada salvaguardas (ver mapa aquí) Los medios de transferencia legal son:
- Adecuación: una decisión de la Comisión de la UE de que un país tiene un nivel de protección adecuado
- Reglas corporativas vinculantes: las reglas internas vinculantes de una empresa deben ser aprobadas por las autoridades de protección de datos
- Cláusulas contractuales estándar / Cláusulas modelo: contratos negociados individualmente entre el controlador y el procesador
- Escudo de privacidad: solo para empresas estadounidenses Este es un programa de autocertificación de reemplazo para Secure Harbor.
He oído que el Escudo de privacidad y las Cláusulas contractuales estándar están bajo un escrutinio serio. ¿Qué es todo esto?
Tras la decisión del Tribunal de Justicia de las Comunidades Europeas de que el acuerdo Safe Harbor UE-EE. UU. No proporciona protección adecuada para los datos personales de los interesados, la UE y los EE. UU. Firmaron un nuevo acuerdo para permitir la transferencia de datos (el Escudo de privacidad). Sin embargo, varias organizaciones no gubernamentales y defensores de la privacidad han iniciado acciones legales para buscar decisiones de que el Escudo de privacidad y las Cláusulas contractuales estándar de la UE no brinden suficiente protección de los datos personales de los interesados.
Queda por ver cómo decidirá el Tribunal de Justicia de las Comunidades Europeas en estos casos. Se espera que tomen decisiones sobre estos asuntos para fines de 2019.
He oído que las Cláusulas contractuales estándar / Cláusulas modelo podrían actualizarse. ¿Qué es todo eso?
Para proteger los datos que se transfieren fuera de la Unión Europea, la Unión emitió tres plantillas de Cláusula Contractual Estándar (para transferencias de controlador a controlador y para transferencias de controlador a procesador). No se han actualizado desde que se introdujeron por primera vez en 2001, 2004 y 2010, respectivamente. Sin embargo, el comisionado de consumidores de la Unión Europea, bajo el cual recae la privacidad, ha indicado que la UE está trabajando en una versión actualizada de las Cláusulas contractuales estándar. Queda por ver cómo se modernizarán las Cláusulas y si las deficiencias, preocupaciones y quejas de las Cláusulas contractuales estándar existentes se abordarán a satisfacción de todas las partes.
Sin embargo, una cosa es segura: el espacio de protección de datos solo obtendrá más atención de aquí en adelante, y aquellos de nosotros que trabajamos en este espacio tendremos que acostumbrarnos más a complejidades como las que rodean a Info Residency.
Este web site es solo para fines informativos y no constituye asesoramiento authorized, compromiso contractual o asesoramiento sobre cómo cumplir con los requisitos de cualquier ley aplicable o lograr la privacidad y seguridad operativa. Se proporciona «TAL CUAL» sin garantía o garantía en cuanto a la exactitud o aplicabilidad de la información a cualquier situación o circunstancia específica. Si necesita asesoramiento authorized sobre los requisitos de las leyes de privacidad aplicables, o cualquier otra ley, o asesoramiento sobre la medida en que las tecnologías de McAfee pueden ayudarlo a cumplir con las leyes de privacidad o cualquier otra ley, se le recomienda consultar a un abogado debidamente calificado profesional. Si necesita asesoramiento sobre la naturaleza de las medidas técnicas y organizativas que se requieren para brindar privacidad y seguridad operativas en su organización, debe consultar a un profesional de la privacidad debidamente calificado. No se acepta ninguna responsabilidad ante ninguna de las partes por los daños o pérdidas sufridos en dependencia del contenido de esta publicación.
