Requisitos internacionales de datos y consentimiento de cookies: preguntas frecuentes e información importante
UUID-892e4c4f-cd40-c63f-cb8d-46895df6d19d
Article Content
A continuación, se presentan preguntas algunas frecuentes sobre el módulo Consentimiento de cookies de OneTrust y el manejo de datos personales. Además, encontrarás orientación sobre los requisitos de datos internacionales para Rusia, China y otros países de interés en Europa, Asia y África.
Preguntas frecuentes
1.
¿OneTrust almacena la información recopilada?
La preferencia de cookies se almacena en una cookie que se guarda en el dispositivo del visitante del sitio web.
2.
¿Envía la información recopilada a sus bases de datos? Y si es así, ¿dónde se encuentran estas bases de datos?
La preferencia de cookies se almacena en una cookie que se guarda en el navegador del visitante del sitio web. El almacenamiento en la base de datos se puede activar mediante la habilitación de funciones opcionales, como el análisis, o mediante una integración con la funcionalidad de consentimiento.
3.
¿OneTrust cuenta con una herramienta de consentimiento de cookies compatible para ofrecer en Rusia?
OneTrust incluye a Rusia dentro de la
orientación que proporcionamos a las empresas sobre los requisitos de cookies. El cumplimiento depende de varios factores y de la interpretación del cliente de cómo se ajustan los requisitos a nuestra infraestructura de cookies. Además, los clientes que entienden el requisito de localización de datos para aplicar a las cookies a menudo toman medidas adicionales para cumplir con
este requisito. Por ejemplo, los clientes pueden utilizar un proxy para el tráfico de los datos enviados a OneTrust.
4.
¿OneTrust almacena las direcciones IP utilizadas durante la búsqueda de geolocalización o la captura de acuse de consentimiento dentro del CPM?
No. El script de OneTrust realiza una llamada al servicio de geolocalización. La solicitud de red, al igual que ocurre con cualquier otra solicitud, contiene la dirección IP que luego se utiliza para buscar la información de ubicación basada en el nivel de detalle configurado dentro de la aplicación (por ejemplo, País, Estado). La respuesta contiene los códigos ISO de 2 bytes, pero no se escribe ninguna información de dirección IP en el almacenamiento.
Información importante
Rusia
Roskomniadzor ha confirmado que las transferencias transfronterizas de datos personales seguirán estando permitidas después del 1 de septiembre de 2015, siempre y cuando se cumplan los requisitos pertinentes para transferencias internacionales cubiertos en la sección 4 anterior y que la base de datos principal que contiene los datos personales se encuentre en Rusia. Por lo tanto, a partir del 1 de septiembre de 2015, antes de transferir los datos personales de ciudadanos rusos fuera de Rusia, se debe garantizar que las bases de datos principales que contienen dichos datos personales se encuentren en Rusia (por ejemplo, en un centro de datos ruso o en cualquier otro ordenador o servidor). Además, siempre se debe comprobar que las actualizaciones del contenido de los datos personales se realicen siempre primero en la base de datos rusa y que solo después de eso se transfieran los datos personales de los ciudadanos rusos a la base de datos extranjera. En otras palabras, la base de datos extranjera puede ser básicamente una réplica de la base de datos rusa, pero no puede estar más actualizada o completa en cuanto a la cantidad de entradas de datos que la base de datos rusa.
La implementación de OneTrust en sitios web rusos debe incluir lo siguiente:
Todos los datos de clientes rusos (ciudadanos) se almacenarán por separado de los de otros clientes y solo en bases de datos ubicadas en la Federación Rusa. Esto solo se habilita si un cliente opta por crear la infraestructura de soporte para ello.
Debe ser posible acceder a la información de identificación personal del cliente ruso y su solicitud debe procesarla únicamente el DPD MTEast. Esta es la intención de la arquitectura, pero las solicitudes de soporte podrían llevar a una solicitud para que OneTrust obtenga acceso al inquilino, por lo que esto debe tenerse en cuenta en caso de que surja.
China
Consulta el enlace al final del artículo. Como regla general, en la actualidad no existe ninguna obligación global de localización de datos en China. Esto significa que, en general, no hay obligación de almacenar datos dentro de China, incluida la información personal. En el caso de la información personal, el único requisito según la ley de ciberseguridad de China (CSL, en inglés) sería el de informar al interesado de dicha transferencia de información personal.
La Ley de protección de información personal de Sudáfrica (POPIA, en inglés) establece que una parte responsable no puede transferir información personal sobre un interesado a terceros en una jurisdicción extranjera, a menos que:
el destinatario esté sujeto a una ley o contrato que:
sostenga principios de tratamiento razonable de la información que son similares en lo sustancial a los principios contenidos en la POPIA; e
incluya disposiciones sustancialmente similares a las contenidas en la POPIA en relación con la transferencia adicional de información personal del destinatario a terceros;
el interesado dé su consentimiento para la transferencia;
la transferencia sea necesaria para la ejecución de un contrato entre el interesado y la parte responsable, o para la implementación de medidas precontractuales adoptadas en respuesta a la solicitud del interesado;
la transferencia sea necesaria para la conclusión o realización de un contrato que se resuelve a favor del interesado entre la parte responsable y un tercero; o bien
la transferencia sea para beneficio del interesado y:
no sea razonablemente factible obtener el consentimiento del interesado para esa transferencia; y
es probable que el interesado otorgue el consentimiento en caso de que ello fuera razonablemente factible.
Hasta ahora, los requisitos de localización de datos según la ley turca han sido específicos para cada sector. Los sectores actuales que pueden tener restricciones adicionales incluyen la banca, empresas de tecnología e-sim, finanzas, atención sanitaria y energía.
Existen requisitos en vigor para el procesamiento de datos sobre la salud. Por lo tanto, como regla general, los datos de salud se pueden transferir al extranjero solo si el interesado ha dado su consentimiento. Para transferir datos relacionados con problemas de salud o vida sexual a un país extranjero sin el consentimiento del interesado, el responsable del tratamiento de datos debe estar bajo obligación de confidencialidad y transferir los datos con el único propósito de proteger la salud pública y para fines de medicina preventiva, diagnóstico médico, tratamiento y atención médica, o bien para planificar, administrar o financiar servicios de salud.
Las reglas de Tecnología de la Información de 2011 de la India rigen los datos personales y la información o los datos personales sensibles. Existen requisitos para mantener "prácticas y procedimientos de seguridad razonables" en relación con "información o datos personales sensibles" (SPDI, en inglés).
Las normas de SPDI establecen que cuando cualquier SPDI se transfiere a un tercero (dentro o fuera de la India):
se ha obtenido el consentimiento específico del interesado para dicha transferencia; y
el cedente debe garantizar que el cesionario cumpla con el mismo nivel de protección de datos al que está obligado el cedente, tal como lo exigen las leyes de protección de datos de la India.
Actualmente, Corea del Sur no tiene requisitos generalizados de localización de datos o residencia de datos. Dicho esto, algunos datos de salud se tratan de manera diferente.
Un servidor en la nube que almacene el historial clínico electrónico de pacientes generado por un hospital ("Registros médicos electrónicos generados por un hospital") debe estar ubicado en Corea del Sur. Específicamente, la Norma sobre instalaciones y equipos para la administración y el almacenamiento de registros médicos electrónicos generados por hospitales (solo disponible en coreano, aquí) estipula que el Ministerio de Salud y Bienestar (MOHW, en inglés) emitirá una notificación oficial cada tres años que establece los requisitos relativos a los servidores (incluidos los servidores de copia de seguridad) en los que se almacenan los historiales clínicos electrónicos generados en el hospital, como que actualmente deben estar ubicados físicamente en Corea del Sur y no se permite acceder a tales registros desde una ubicación en el extranjero.
La transferencia de datos personales fuera de Corea del Sur está sujeta a requisitos de aviso y consentimiento. Como se mencionó anteriormente en la sección 4.1, antes de dicha transferencia de datos, es preciso informar a los interesados y obtener su consentimiento con respecto a:
los elementos de los datos personales que se van a transferir;
el país al que se transferirán los datos;
la fecha, la hora y los métodos de transferencia;
el nombre del destinatario;
los propósitos de la transferencia; y
cuánto tiempo se conservarán y utilizarán los datos.
Este consentimiento es independiente del necesario para la recopilación y el procesamiento de los datos personales requerido por ley para otros fines. Sin perjuicio de la restricción anterior, cuando los datos personales se consideren necesarios para la "prestación de servicios o para una mayor comodidad del usuario", el responsable del tratamiento de los datos podrá transferir datos personales fuera de Corea del Sur sin el consentimiento del usuario/interesado, siempre que se haya informado al interesado sobre los puntos anteriores según lo estipulado en el artículo 25 de la Ley de promoción del uso de redes de información y comunicaciones y protección de la información de 2001 (ICNA, en inglés) de Corea del Sur.
Arquitectura de flujo de consentimiento de cookies de OneTrust
Analiza el dominio y envía la cookie del sitio web y las URL del sitio a la aplicación principal.
Transfiere los datos de configuración de aviso de cookies deseados del usuario administrador de OneTrust y los guarda en la base de datos.
Configuración del sitio web (texto, elección de diseño, imagen corporativa) compartida con el servicio de publicación para generar HTML.
HTML, CSS y JavaScript para sitios web transferidos a almacenamiento Blob estático para host.
El visitante del sitio web va al sitio web del cliente (HTTPS).
El aviso de consentimiento de cookies de OneTrust se carga desde CDN global (HTML, JS, CSS).
La búsqueda de geolocalización del visitante del sitio web se realiza mediante el envío de la dirección IP del visitante a un servicio de búsqueda. La dirección IP es procesada por Cloudflare para determinar la ubicación y no se almacena.
Después de que el visitante del sitio web proporciona preferencias de consentimiento en el sitio web, las preferencias de consentimiento se envían a OneTrust para su almacenamiento y la llevanza de registros.
(A) - Servicio de análisis de sitios web (supervisa el sitio web en busca de necesidades de consentimiento).
(B) - El repositorio de datos de OneTrust MSSQL. Cifrado mediante claves de cifrado Azure administradas por TDE.
(C) - Consola de administración de OneTrust: La aplicación web donde se configuran el aviso y las reglas de cookies.
(D) - Servicio de publicación de OneTrust: genera el HTML, CSS y JS para poner en el sitio web del cliente.
(E) - Azure Storage Blob: almacenamiento estático para los archivos del sitio web que se cargarán en el sitio web.
(F) - Red de entrega de contenido: distribuye secuencias de comandos recuperadas desde Azure Storage Blob.
(G) - Servicio de geolocalización: determina la ubicación de los visitantes del sitio web y aplica el aviso de consentimiento y la lógica correctos para su sesión de navegación.
(H) - WAF/Servicio de recepción: (servicio opcional). Recibe registros de consentimiento de los visitantes del sitio web.
* Los datos se conservan indefinidamente si la cuenta OneTrust está activa. Tras la terminación de la cuenta OneTrust, los datos se eliminarán después de 45 días.
** Todos los datos en reposo A-E se cifran en reposo mediante los servicios de cifrado administrados de 256 bits de Azure AES. La gobernanza y el control de acceso se implementan de acuerdo con el documento técnico del Programa de privacidad y seguridad de OneTrust y se indican en las auditorías ISO 27701 y SOC2 Tipo 2.
