Cómo utilizar este widget jurídico

El proceso seguido en este widget es el siguiente:

FASE 01 - Identificación de los proveedores afectados

En esta fase vamos a aplicar una metodología que nos permitirá identificar a todos los proveedores norteamericanos, europeos y de cualquier otro país que puedan estar afectados por la normativa norteamericana de inteligencia exterior que ha sido el fundamento de la invalidación del Privacy Shield por parte del TJUE.

FASE 02 - Verificación de que el servicio entra en la definición de la norma

La importancia de esta fase radica en determinar el alcance de la normativa norteamericana en la que se basa la sentencia del TJE para invalidar la Decisión relativa al Privacy Shield.

Ya que no todas las actividades empresariales están afectadas por la normativa, no sería correcto restringir las transferencias de datos personales a todas las empresas norteamericanas.

Por ello es importante conocer exactamente el tipo de actividad empresarial que puede estar afectada por la obligación de atender los requerimientos de información que reciba de las autoridades norteamericanas y por el riesgo de que sus comunicaciones sean inspeccionadas.

FASE 03 - Información del proveedor y determinación de la estrategia a aplicar

La verificación del apartado anterior nos ofrece una interpretación unilateral que es imprescindible para iniciar el procedimiento general de adecuación. Pero una vez iniciado el procedimiento deberemos confirmar la situación de cada proveedor concreto.

FASE 04 - Análisis del tipo de relación

Los objetivos de esta fase consisten en identificar el tipo de relación que la empresa tiene con cada proveedor, con el fin de determinar el instrumento jurídico más apropiado para regular la relación.

FASE 05 - Análisis de riesgos de cada proveedor

Los objetivos de esta fase son los siguientes:

  1. Identificar los riesgos que puede generar la transferencia de datos a un proveedor norteamericano con el fin de poder aplicar las medidas técnicas, organizativas y jurídicas más apropiadas para que el tratamiento tenga las máximas garantías de cumplimiento.
  2. Valorar el riesgo de que un proveedor norteamericano sea requerido por una autoridad de inteligencia para que entregue datos.
  3. Suministrar argumentos al proveedor para que pueda acreditar la improcedencia de un requerimiento de información.

FASE 06 - Ficha de cada proveedor analizado

Los objetivos de esta fase son los siguientes:

  1. Identificar los riesgos que puede generar la transferencia de datos a un proveedor norteamericano concreto.
  2. Identificar las medidas técnicas, organizativas y jurídicas que el proveedor esté aplicando.
  3. Valorar si las garantías ofrecidas por el proveedor son adecuadas.
  4. Valorar el riesgo de que sea requerido por una autoridad de inteligencia para que entregue datos.
  5. Introducir estas valoraciones en una ficha por cada proveedor.
  6. Suministrar argumentos individualizados para cada proveedor concreto con el fin de que pueda acreditar la improcedencia de un requerimiento de información.
  7. Identificar las medidas jurídicas más apropiadas para continuar contratando los servicios de este proveedor.
  8. Identificar las medidas técnicas y organizativas más apropiadas para continuar contratando los servicios de este proveedor.

FASE 07 - Medidas jurídicas aplicables

Los objetivos de esta fase son los siguientes:

  1. Analizar la viabilidad de aplicar alguna o algunas de las medidas jurídicas que se proponen.
  2. Analizar la posibilidad de que el proveedor aplique unilateralmente alguna de estas medidas.
  3. Analizar la posibilidad de que el responsable del tratamiento europeo aplique unilateralmente alguna de estas medidas.
  4. Analizar la posibilidad de que el proveedor acepte las medidas propuestas por el responsable del tratamiento europeo.
  5. Crear evidencias de la diligencia del responsable del tratamiento en la gestión de sus transferencias a EEUU.
  6. Crear evidencias de la diligencia del responsable del tratamiento europeo en la gestión de la relación con los proveedores norteamericanos.

FASE 08 - Medidas técnicas y organizativas aplicables

Esta sección cobra la máxima importancia tras la declaración de la invalidez del Privacy Shield, ya que forma parte de la estrategia moderada o continuista que persigue mantener la relación con el proveedor actual, por los motivos expresados al hablar de esta estrategia en la FASE 03.

FASE 09 - Información a los interesados

Los objetivos de esta fase son los siguientes:

  1. Cumplir las obligaciones de información relativas a las transferencias a terceros países tras la declaración de invalidez del Privacy Shield.
  2. Actualizar la información ofrecida a los interesados sobre las garantías adecuadas que se aplican a las transferencias a EEUU en curso.

FASE 10 - Control continuado de los proveedores

Los objetivos de esta fase son los siguientes:

  1. Establecer los controles adecuados para asegurar la selección de los proveedores que ofrezcan las garantías más adecuadas para el cumplimiento del RGPD.
  2. Establecer los controles adecuados para asegurar y verificar el cumplimiento continuado del RGPD por parte de los proveedores.
  3. Establecer los controles adecuados para asegurar y verificar el cumplimiento continuado del RGPD por parte de los eventuales subencargados del tratamiento.

Evidencias

En este apartado el profesional encontrará la lista de evidencias que habitualmente permiten acreditar la existencia y la eficacia de las medidas jurídicas, organizativas y técnicas aplicadas, de acuerdo con el principio de responsabilidad proactiva.

Noticias relacionadas

En este apartado se monitorizarán los siguientes procesos:

  1. Adopción de un eventual acuerdo entre la Unión Europea y EEUU en esta materia.
  2. Elaboración de una nuevas Cláusulas Contractuales Tipo.
  3. Iniciativas de las autoridades de control.
  4. Sanciones de las autoridades de control.
  5. Denuncias presentadas por los activistas.
  6. Otras iniciativas de los activistas.

Discusión

0 comentarios