La Oficina de Seguridad del Servicio de Salud es muy consciente que, en la era digital actual, las transferencias internacionales de datos son una parte esencial de muchas operaciones comerciales y del sector de la salud. Este Boletín Informativo se centra en la importancia de garantizar la seguridad de la información al transferir datos con los Estados Unidos en el contexto del sector de la salud.
Las transferencias internacionales de datos son comunes en el sector de la salud, ya sea para compartir información médica, colaborar en investigaciones o mejorar la atención al paciente. Sin embargo, es vital comprender las implicaciones que tienen el marco de privacidad EU-US Data Privacy Framework y el Reglamento general de protección de datos (RGPD) de la Unión Europea al realizar estas transferencias.
La seguridad de la información no es estática. Es crucial establecer procesos de monitoreo continuo para asegurarse de que los datos transferidos se mantengan seguros a lo largo del tiempo.
Antes de iniciar cualquier transferencia internacional de datos con los Estados Unidos, es fundamental evaluar exhaustivamente los riesgos, identificar posibles amenazas a la seguridad de la información y valorar su posible impacto potencial. Esta evaluación permitirá tomar medidas preventivas más efectivas.
Este nuevo marco introduce mejoras significativas en comparación con el mecanismo que existía anteriormente bajo el escudo de privacidad, de modo que se garantizará un flujo de los datos seguros para los europeos y brindará seguridad jurídica a las empresas que se encuentren en ambos continentes.
Compromisos de los Estados Unidos
Con este nuevo marco, los Estados Unidos se comprometen detalladamente a cumplir con un conjunto de obligaciones de privacidad, como la eliminación de datos personales cuando ya no sean necesarios para el propósito y se garantizará la continuidad de la protección cuando los datos personales se compartan con terceros.
Además, se prevén diversas garantías con respecto al acceso a los datos transferidos bajo el marco de las autoridades públicas americanas, de modo que se limita a lo necesario y proporcionado para proteger la seguridad nacional, y se han creado hasta siete alternativas para reparar y solucionar cualquier cuestión que esté relacionada con los datos personales.
La implementación de las transferencias Internacionales
Anteriormente no había seguridad en la capacidad de las autoridades americanas de controlar los posibles abusos en la gestión de los datos personales, incluso por parte de instituciones de inteligencia. Por ello, los principales cambios en este nuevo marco están encaminados a dotar de seguridad jurídica este tipo de transferencias internacionales de datos.
Así se establecen procedimientos e instituciones para el control de la actividad amparada por la normativa americana con la intención de alinearse con los principios del RGPD, como la proporcionalidad, minimización y refuerzo de los mecanismos de control.
Se incluye también en este marco un procedimiento de revisión de la decisión de adecuación, con el único fin de verificar que todos los elementos incluidos hayan sido implementados de manera correcta y son útiles en la práctica. Esta revisión se llevará a cabo una vez transcurrido un año desde la entrada en vigor.
Mayor seguridad en las transferencias
El nuevo marco del EU-US Data Privacy Framework reconoce un nivel adecuado de seguridad para los datos personales que se transfieran desde el Espacio Económico Europeo a los Estados Unidos, solo para las entidades que se encuentren adheridas a este marco, de modo que son las entidades americanas las que se tienen que unir.
Para poder adherirse a este nuevo marco jurídico, las entidades deben certificarse por una de las dos vías, ya sea con una autoevaluación o por comprobación externa, tanto en el momento de inscripción al EU-US Data Privacy Framework como cuando deban renovar la inscripción de forma anual.
Donde esta decisión hace mayor hincapié es en la problemática que hizo anular las dos adecuaciones anteriores respecto a las incompatibilidades que existían entre el marco de protección que confiere el RGPD y las facultades de supervisión y acceso a datos que se otorgaba, igual que en la normativa de US, a las autoridades públicas con fines de investigación de delitos y de seguridad nacional.
Este acuerdo corresponde a una necesidad que en los últimos años se había hecho real, ya que los intentos anteriores carecían de una falta de controles en la protección de datos y derechos de las personas y ante quien se podía reclamar. Este es el paso importante que se ha dado ahora.
Este nuevo marco jurídico es muy importante, aunque no es perfecto, ya que los Estados Unidos no tienen un privacy act para todo su territorio, pero de esta forma sí que se genera una cierta seguridad jurídica.