Butlletins de l'Oficina de Seguretat

Servei de Salut de les Illes Balears (Ibsalut)

Butlletí núm. 109: Transferències internacionals amb els Estats Units i el sector de la salut

L’Oficina de Seguretat del Servei de Salut és molt conscient que, en l’era digital actual, les transferències internacionals de dades són una part essencial de moltes operacions comercials i del sector de la salut. Aquest Butlletí Informatiu se centra en la importància de garantir la seguretat de la informació en transferir dades amb els Estats Units en el context del sector de la salut.

 

Les transferències internacionals de dades són comunes en el sector de la salut, ja sigui per compartir informació mèdica, col·laborar en investigacions o millorar l’atenció al pacient. No obstant això, és vital comprendre les implicacions que tenen el marc de privadesa EU-US Data Privacy Framework i el Reglament general de protecció de dades (RGPD) de la Unió Europea en realitzar aquestes transferències.

 

La seguretat de la informació no és estàtica. És crucial establir processos de monitoratge continu per assegurar-se que les dades transferides es mantinguin segures al llarg del temps.

 

Abans d’iniciar qualsevol transferència internacional de dades amb els Estats Units, és fonamental avaluar exhaustivament els riscs, identificar possibles amenaces a la seguretat de la informació i valorar-ne el possible impacte potencial. Aquesta avaluació permetrà adoptar mesures preventives més efectives.

 

Aquest nou marc introdueix millores significatives en comparació del mecanisme que existia anteriorment sota l’escut de privadesa, de manera que es garantirà un flux de les dades segures per als europeus i brindarà seguretat jurídica a les empreses que es trobin en tots dos continents.

 

Compromisos dels Estats Units

 

Amb aquest nou marc, els Estats Units es comprometen detalladament a complir amb un conjunt d’obligacions de privadesa, com l’eliminació de dades personals quan ja no siguin necessàries per al propòsit i es garantirà la continuïtat de la protecció quan les dades personals es comparteixin amb tercers.

 

A més, es preveuen diverses garanties pel que fa a l’accés a les dades transferides sota el marc de les autoritats públiques americanes, de manera que es limita al necessari i proporcionat per protegir la seguretat nacional, i s’han creat fins a set alternatives per reparar i solucionar qualsevol qüestió que estigui relacionada amb les dades personals.

 

La implementació de les transferències Internacionals

 

Anteriorment no hi havia seguretat en la capacitat de les autoritats americanes de controlar els possibles abusos en la gestió de les dades personals, fins i tot per part d’institucions d’intel·ligència. Per això, els principals canvis en aquest nou marc estan encaminats a dotar de seguretat jurídica aquest tipus de transferències internacionals de dades.

 

Així s’estableixen procediments i institucions per al control de l’activitat emparada per la normativa americana amb la intenció d’alinear-se amb els principis del RGPD, com la proporcionalitat, minimització i reforç dels mecanismes de control.

 

S’inclou també en aquest marc un procediment de revisió de la decisió d’adequació, amb l’única finalitat de verificar que tots els elements inclosos hagin estat implementats de  manera correcta i són útils en la pràctica. Aquesta revisió es durà a terme una vegada transcorregut un any des de l’entrada en vigor.

 

 

Més seguretat en les transferències

 

El nou marc de l’EU-US Data Privacy Framework reconeix un nivell adequat de seguretat per a les dades personals que es transfereixin des de l’Espai Econòmic Europeu als Estats Units, només per a les entitats que es trobin adherides a aquest marc, de manera que són les entitats americanes les que s’hi han d’unir.

 

Per poder adherir-se a aquest nou marc jurídic, les entitats han de certificar-se per una de les dues vies, ja sigui amb una autoavaluació o per comprovació externa, tant en el moment d’inscriure’s a l’EU-US Data Privacy Framework com quan hagin de renovar la inscripció de forma anual.

 

On aquesta decisió fa més èmfasi és en la problemàtica que va fer anul·lar les dues adequacions anteriors respecte a les incompatibilitats que hi havia entre el marc de protecció que confereix el RGPD i les facultats de supervisió i accés a dades que s’atorgava, igual que en la normativa d’US, a les autoritats públiques amb finalitats d’investigació de delictes i de seguretat nacional.

 

Aquest acord correspon a una necessitat que en els últims anys s’havia fet real, ja que els intents anteriors mancaven d’una falta de controls en la protecció de dades i drets de les persones i davant qui es podia reclamar. Aquest és el pas important que s’ha fet ara.

 

Aquest nou marc jurídic és molt important, malgrat que no ÉS perfecte, ja que els Estats Units no tenen un privacy act per a tot el seu territori, però d’aquesta manera sí que es genera una certa seguretat jurídica.