Nuestra Respuesta a Schrems II

Actualizado: 8 agosto 2023


CBRE se compromete a defender los derechos de protección de datos y privacidad de nuestros clientes, empleados y partes interesadas en todo el mundo, dondequiera que hagamos negocios. CBRE ha respondido de forma proactiva a los recientes cambios relativos a las transferencias transfronterizas de datos, incluidas las de Eurupe y China.

Europa

Desde la decisión "Schrems II" del Tribunal de Justicia de la Unión Europea en 2020, hemos tomado, y seguimos tomando, medidas concertadas para abordar los requisitos de transferencia de datos en virtud de las cambiantes leyes de privacidad europeas, que incluyen:

  • Realización de una serie de Evaluaciones de Impacto de Transferencia para transferir datos a ubicaciones de CBRE, incluidas CBRE, Inc. y sus filiales estadounidenses ("CBRE US"). La Evaluación del Impacto de la Transferencia para CBRE US concluyó que (i) tales transferencias pueden continuar legalmente, ya que no están sujetas a divulgación a las Autoridades de Inteligencia de los Estados Unidos bajo la Sección 702 (50 U.S.C. §1881a) de la Ley de Vigilancia de Inteligencia Extranjera de los Estados Unidos ("FISA 702") o la Orden Ejecutiva 12333.
  • La Orden Ejecutiva 14086, como ha valorado la Comisión Europea en su decisión de adecuación para el Marco de Protección de Datos UE-EEUU, ha incrementado significativamente la protección de datos y las garantías de privacidad para las personas no estadounidenses mediante el establecimiento de normas claras y precisas, así como principios de necesidad y proporcionalidad para las actividades de inteligencia de EE.UU., y un nuevo mecanismo de recurso de dos niveles, que será de aplicación aunque CBRE US no esté (todavía) certificada bajo el nuevo Marco de Privacidad de Datos UE-EE. UU.
  • Aplicar un marco para emprender y llevar a cabo Evaluaciones de Impacto de las Transferencias de datos fuera de la UE o del EEE.
  • Seguir confiando en las Cláusulas tipo de protección de datos de la UE (actualizadas) para transferencias de datos personales de la UE/EEE a países no pertenecientes a la UE/EEE y, cuando así lo indique la Evaluación de Impacto de las Transferencias pertinente, aplicar medidas complementarias recomendadas por el Supervisor Europeo de Protección de Datos (SEPD) y otras autoridades de supervisión de la UE.
  • Implementar garantías adecuadas con respecto a otros países europeos que imponen requisitos de transferencia, como la adopción del Adendum del Reino Unido y reflejar los cambios requeridos por la legislación de suiza.
  • Complementar la Política Global de Privacidad de Datos de CBRE para incluir un "Estándar de Divulgación de Órdenes de Jurisdicción Inadecuadas" según el cual CBRE, entre otras medidas, tomará todas las acciones legales razonables para impugnar y suspender las órdenes de divulgación de terceros países inadecuados y para producir solo los datos mínimos necesarios para el cumplimiento legal.
  • Aumento de la localización de datos en la UE/EEE.

China

Para garantizar el cumplimiento de las leyes de ciberseguridad y protección de la información personal, incluida la transferencia legal de datos chinos fuera de China, CBRE obtuvo todas las certificaciones relevantes del Esquema de Protección Multinivel y ha implementado las Medidas para el Contrato Estándar para la Transferencia Saliente de Información Personal mediante la adopción del Contrato Estándar emitido por la Administración del Ciberespacio de China (CAC) y la realización de una evaluación del impacto en la privacidad para transferencias transfronterizas de datos.

Criptografía

CBRE emplea una fuerte tecnología criptográfica que está alineada con los últimos estándares de seguridad de mejores prácticas de acuerdo con los organismos de estándares reconocidos internacionalmente, evitando algoritmos de cifrado que se sabe que tienen debilidades o exploits. Contamos con una Política Global de Seguridad de la Información respaldada por un Estándar de Clasificación de Datos y Estándares de Criptografía que cubren clasificaciones de datos, algoritmos criptográficos y uso de cifrado.

  • En tránsito: CBRE implementa medidas de protección contra ataques activos y pasivos en los sistemas de envío y recepción que proporcionan cifrado de transporte, como firewalls adecuados, cifrado TLS mutuos, autenticación API y cifrado para proteger las puertas de enlace y las canalizaciones a través de las cuales viajan los datos, así como pruebas de vulnerabilidades de software y posibles puertas traseras. Utilizamos algoritmos de cifrado efectivos y parametrización sobre redes no confiables con el protocolo Transport Layer Security (TLS) 1.2 o superior, SSH 2 (Secure Shell), IPsec (IP Security).
  • En reposo: CBRE también cifra los datos en reposo apropiados con la clasificación de los datos mediante el empleo de algoritmos de cifrado y parametrización efectivos, incluidos los Algoritmos de Clave Simétrica - Estándar de cifrado avanzado (AES) y el estándar de cifrado de datos triple o algoritmos de clave asimétrica - Rivest, Shamir & Adelman (RSA) y el algoritmo de firma digital de curva elíptica (ECDSA). CBRE no permite la escritura de datos en medios extraíbles en general. Cuando se requiere un dispositivo de este tipo, se genera una excepción temporal y se administra durante toda su duración. Los usuarios que tienen una necesidad legítima de utilizar el almacenamiento USB reciben una unidad USB cifrada para este propósito.

Funciones hash: Las funciones hash que se emplean incluyen SHA‐2 y SHA‐3, pero no funciones obsoletas como MD5 y SHA-1. Para obtener más información sobre el enfoque de CBRE para la transferencia transfronteriza de datos, póngase en contacto con la Oficina Global de Privacidad de Datos de CBRE.


Elizabeth Atlee
Directora de Ética y Cumplimiento

Shannon Clark
Directora Global y Secretaria del Consejo Adjunta – Protección de Datos y Privacidad