Gestión del riesgo y privacidad: aproximación práctica al RGPD · Los criterios de las...
Transcript of Gestión del riesgo y privacidad: aproximación práctica al RGPD · Los criterios de las...
Iuristec Privacy Manager 1Gestión del riesgo en el tratamiento de datos
Gestión del riesgo y privacidad: aproximación práctica al RGPD9 de abril de 2019, Colegio Oficial de Arquitectos de Illes Balears
Iuristec Privacy Manager 2Gestión del riesgo en el tratamiento de datos
RGPD. Introducción
“El tratamiento de datos personales debe estar concebido para servir a la humanidad”
Considerando (4) RGPD
Presentación
Iuristec Privacy Manager 3Gestión del riesgo en el tratamiento de datos
RGPD. Gestión del Riesgo y Privacidad
“El tratamiento de datos puede tener consecuencias negativas para las personas”
Presentación
Iuristec Privacy Manager 4Gestión del riesgo en el tratamiento de datos
RGPD. Por qué
1.Adaptación a rápida evolución tecnológica. 2.Reforzar la seguridad jurídica: lograr nivel uniforme y evitar aplicación fragmentada en la UE.
Presentación
Iuristec Privacy Manager 5Gestión del riesgo en el tratamiento de datos
Aproximación práctica al RGPD
Principio de Responsabilidad Proactiva
Gestión basada sobre los riesgos
•Elaboración de un mapa de riesgos y salvaguardas
•Determinación de medidas de cumplimiento adecuadas en cada organización atendiendo a los riesgos concretos
•Ciclo de mejora contínua: fijar mecanismos para detectar variaciones o nuevos riesgos
Presentación
Iuristec Privacy Manager 6Gestión del riesgo en el tratamiento de datos
Las Evaluaciones de Impacto
Siempre que un tratamiento (especialmente si usa nuevas tecnologías) entrañe un alto riesgo para los derechos y
libertades de las personas físicas
Supuestos:1.Evaluación sistemática y exhaustiva de aspectos personales que se base en un tratamiento automatizado (p.e., la elaboración de perfiles)2.Tratamiento a gran escala de categorías especiales de datos o condenas e infracciones penales3.Observación sistemática a gran escala de zonas de acceso público
Presentación
Iuristec Privacy Manager 7Gestión del riesgo en el tratamiento de datos
Privacidad desde el Diseño y por Defecto
Adoptar medidas técnicas y organizativas apropiadas para aplicar los principios de protección de datos
•Principio de Minimización
Presentación
Iuristec Privacy Manager 8Gestión del riesgo en el tratamiento de datos
Derechos del ciudadano
•LOPD: Derechos A.R.C.O.•RGPD: Reformulación y nuevos derechos:1. Acceso2. Rectificación3. Supresión (Derecho al Olvido)4. Limitación del tratamiento5. Portabilidad6. Oposición
Presentación
Iuristec Privacy Manager 9Gestión del riesgo en el tratamiento de datos
Delegado de Protección de Datos (DPD o DPO) Presentación
Iuristec Privacy Manager 10Gestión del riesgo en el tratamiento de datos
Notificación de Brechas de Seguridad Presentación
Iuristec Privacy Manager 11Gestión del riesgo en el tratamiento de datos
Eliminación obligación de notificar ficheros a la AEPDNovedad: Registro Actividades de Tratamiento
Presentación
Iuristec Privacy Manager 12Gestión del riesgo en el tratamiento de datos
Eliminación obligación de notificar ficheros a la AEPDNovedad: Registro Actividades de Tratamiento
Presentación
Iuristec Privacy Manager 13Gestión del riesgo en el tratamiento de datos
Eliminación obligación de notificar ficheros a la AEPDNovedad: Registro Actividades de Tratamiento
Presentación
Iuristec Privacy Manager 14Gestión del riesgo en el tratamiento de datos
Eliminación obligación de notificar ficheros a la AEPDNovedad: Registro Actividades de Tratamiento
Presentación
Iuristec Privacy Manager 15Gestión del riesgo en el tratamiento de datos
Principio de Transparencia
RGPD
●Importancia de la Información prestada: podemos ofrecerla “por capas”●Hay que informar siempre que se recogen datos ●Cómo hacerlo? Hoja de encargo, presupuestos, propuestas…
Iuristec Privacy Manager 16Gestión del riesgo en el tratamiento de datos
Diligencia en la elección de proveedores/colaboradores (E.T.)
RGPD
●Necesidad de actualizar los contratos de tratamiento de datos ya formalizados●Hay que elegir bien, no basta la firma del contrato. Deben aportar garantías de cumplimiento
Iuristec Privacy Manager 17Gestión del riesgo en el tratamiento de datos
Consentimiento
RGPD
●Es sólo una de las bases jurídicas que legitima el tratamiento. No la única.●Fin al “quien calla otorga”●Debe ser una acción afirmativa clara.
Iuristec Privacy Manager 18Gestión del riesgo en el tratamiento de datos
Transferencias Internacionales
RGPD
●= Fuera del EEE●Si ese tercer país a criterio de la CE garantiza un nivel adecuado: pronunciamiento CE●A falta de pronunciamiento CE – acudir a “garantías adecuadas” RGPD sin que sea necesario el visto bueno de la AEPD (Binding Corporate Rules)
Iuristec Privacy Manager 19Gestión del riesgo en el tratamiento de datos
Códigos de Conducta y Certificación
RGPD
* CODIGOS DE CONDUCTA●Para contribuir a la correcta aplicación del RGPD
●Por sectores de actividad – asociaciones empresariales
●Aprobado por la AEPD
●Debe ser supervisado por organismo acreditado
* CERTIFICACIÓN●Para demostrar el cumplimiento del RGPD
●Proceso voluntario y transparente
●No elimina ni limita la responsabilidad
●Expedida por organismo de certificación autorizado
Iuristec Privacy Manager 20Gestión del riesgo en el tratamiento de datos
Infracciones y Sanciones
RGPD
●Importe basado en volumen de negocio: hasta 20 millones de euros o el 4% de la facturación anual.●Las denuncias pueden interponerse desde Asociaciones de Consumidores y Usuarios●Desde el 25/5/2018 incremento de un 33% en número de denuncias respecto al año pasado. (fuente: AEPD)●Indemnización de daños y perjuicios adicional
Iuristec Privacy Manager 21Gestión del riesgo en el tratamiento de datos
Punto de partida: Riesgo y Privacidad.Exposición a 3 amenazas
RGPD
●¿Qué daño causaría que el dato lo conociera quien no debe? - Acceso ilegítimo
●¿Qué perjuicio causaría si estuviera dañado o corrupto? - Modificación no autorizada
●¿Qué perjuicio causaría no tener un dato o no poder utilizarlo? - Eliminación
Iuristec Privacy Manager 22Gestión del riesgo en el tratamiento de datos
Evaluación del riesgoRGPD
●Contemplar todos los posibles escenarios en los que el riesgo seharía efectivo y tener en cuenta estos factores:
○ PROBABILIDAD de que se materialice la amenaza○ IMPACTO: ¿Qué consecuencias tendrá si se materializa?
■ Afectación crítica: cuando el impacto puede afectar a Derechos y Libertades
●Determinación del nivel de riesgo: DESPRECIABLE; BAJO; MEDIO; ALTO; CRÍTICO.
Iuristec Privacy Manager 23Gestión del riesgo en el tratamiento de datos
Qué hacer con el riesgoRGPD
●MITIGAR, tratarlo con tendencia al riesgo residual
●TRASPASAR
● ASUMIR
Iuristec Privacy Manager 24Gestión del riesgo en el tratamiento de datos
Dos enfoques para la mitigación del riesgoRGPD
Para el RESPONSABLE DEL TRATAMIENTO
Dirigida a la SEGURIDAD DE LA INFORMACIÓN, esto es, a decidir las MEDIDAS DE SEGURIDAD TÉCNICAS Y ORGANIZATIVAS para proteger
los datos.
Para el CIUDADANO
Dirigida a los riesgos que afecten a sus DERECHOS Y LIBERTADES.
Iuristec Privacy Manager 25Gestión del riesgo en el tratamiento de datos
Elementos básicos del modelo de gestión
Soporte documental
•Mapa de riesgos y controles•Registro de actividades•Medidas de cumplimiento responsabilidad activa: políticas, normas, procedimientos y registros •Implantación de un repositorio de evidencias
Soporte organizativo
•Estructura de control - DPD•Asignación de funciones de control
Seguridad
•Implantación de medidas de seguridad•Procedimiento de gestión y notificación de brechas de seguridad
Auditorías y controles
•Programa de auditorías y controles•Control de encargados del tratamiento•En su caso, control de filiales y participadas•Control de corresponsales/co-encargados
Atención a los derechos
•Mecanismos para atender los derechos
Formación y sensibilización
•Plan corporativo de formación y sensibilización en materia de cumplimiento normativo y privacidad
La definición e implantación del modelo de gestión de la privacidad debe realizarse de forma progresiva y adaptada a la realidad concreta de la organización.
1
2
3
4
5
6
Iuristec PrivacyManager 26Gestión del riesgo en el tratamiento de datos
COMPLIANCE MANAGER
PANEL DE CONTROL=
Mapa Elementos de Cumplimiento + Mapa de Riesgos y Salvaguardas
SOPORTE ORGANIZATIVO
Procedimientos
Registros
Esquema de CumplimientoModelo de gestión de cumplimiento
Políticas y Normas
Documentos
1
2
3
4
5
6
Procesos de la actividad Análisis de Riesgos
Mapa de Riesgos y Salvaguardas
AUDITORÍAS
Formación y divulgación
Iuristec PrivacyManager 27Gestión del riesgo en el tratamiento de datos
Mapa de Riesgos y SalvaguardasEl RGPD, como norma de referencia, define el catálogo de riesgos a considerar. El análisis de riesgos evalúa este catálogo para cada uno de los procesos de la actividad afectados, obteniendo como resultado un mapa de riesgos, que nos indica el nivel de cumplimiento.En función del riesgo detectado, se establecen los procedimientos de control necesarios para mejorar el nivel de cumplimiento y consecuentemente, mitigar el riesgo.
Descripción de los elementos que conforman nuestro modelo de gestión de cumplimiento basado en la gestión de riesgos:
1
Esquema de CumplimientoModelo de gestión de cumplimiento
Iuristec PrivacyManager 28Gestión del riesgo en el tratamiento de datos
COMPLIANCE MANAGER
PANEL DE CONTROL=
Mapa Elementos de Cumplimiento + Mapa de Riesgos y Salvaguardas
SOPORTE ORGANIZATIVO
Procedimientos
Registros
Esquema de CumplimientoModelo de gestión de cumplimiento
Políticas y Normas
Documentos
1
2
3
4
5
6
Procesos de la actividad Análisis de Riesgos
Mapa de Riesgos y Salvaguardas
AUDITORÍAS
Formación y divulgación
Iuristec PrivacyManager 29Gestión del riesgo en el tratamiento de datos
.
Elementos de CumplimientoLos controles requeridos se llevan a la práctica a través de la implantación de Políticas, Normas y Procedimientos. Se documenta su definición y se registran los resultados de su aplicación. Los Documentos y los Registros generados constituyen el repositorio de evidencias que permite justificar que se cumple con la norma.
Descripción de los elementos que conforman nuestro modelo de gestión de cumplimiento basado en la gestión de riesgos:
2
Esquema de CumplimientoModelo de gestión de cumplimiento
Iuristec PrivacyManager 30Gestión del riesgo en el tratamiento de datos
COMPLIANCE MANAGER
PANEL DE CONTROL=
Mapa Elementos de Cumplimiento + Mapa de Riesgos y Salvaguardas
SOPORTE ORGANIZATIVO
Procedimientos
Registros
Esquema de CumplimientoModelo de gestión de cumplimiento
Políticas y Normas
Documentos
1
2
3
4
5
6
Procesos de la actividad Análisis de Riesgos
Mapa de Riesgos y Salvaguardas
AUDITORÍAS
Formación y divulgación
Iuristec PrivacyManager 31Gestión del riesgo en el tratamiento de datos
Formación y DivulgaciónEl equipo humano debe conocer las Políticas, Normas y Procedimientos que le afectan y la entidad debe poder justificarque las ha comunicado debidamente. Se define un plan de formación y se establecen los medios de prueba de asistencia y aprovechamiento.
Descripción de los elementos que conforman nuestro modelo de gestión de cumplimiento basado en la gestión de riesgos:
3
Esquema de CumplimientoModelo de gestión de cumplimiento
Iuristec PrivacyManager 32Gestión del riesgo en el tratamiento de datos
COMPLIANCE MANAGER
PANEL DE CONTROL=
Mapa Elementos de Cumplimiento + Mapa de Riesgos y Salvaguardas
SOPORTE ORGANIZATIVO
Procedimientos
Registros
Esquema de CumplimientoModelo de gestión de cumplimiento
Políticas y Normas
Documentos
1
2
3
4
5
6
Procesos de la actividad Análisis de Riesgos
Mapa de Riesgos y Salvaguardas
AUDITORÍAS
Formación y divulgación
Iuristec PrivacyManager 33Gestión del riesgo en el tratamiento de datos
AuditoríasLos criterios de las autoridades de control, cambios en las actividades y procesos de la entidad o cambios en la normativa pueden hacer variar los niveles de riesgo soportados por la organización. Se establece una política de supervisión periódica que incluye revisiones internas, auditorías de controles, y auditorías de cumplimiento. El resultado de estas revisiones permite actualizar el análisis de riesgos y valorar la mejora del nivel de cumplimiento.
Descripción de los elementos que conforman nuestro modelo de gestión de cumplimiento basado en la gestión de riesgos:
4
Esquema de CumplimientoModelo de gestión de cumplimiento
Iuristec PrivacyManager 34Gestión del riesgo en el tratamiento de datos
COMPLIANCE MANAGER
PANEL DE CONTROL=
Mapa Elementos de Cumplimiento + Mapa de Riesgos y Salvaguardas
SOPORTE ORGANIZATIVO
Procedimientos
Registros
Esquema de CumplimientoModelo de gestión de cumplimiento
Políticas y Normas
Documentos
1
2
3
4
5
6
Procesos de la actividad Análisis de Riesgos
Mapa de Riesgos y Salvaguardas
AUDITORÍAS
Formación y divulgación
Iuristec PrivacyManager 35Gestión del riesgo en el tratamiento de datos
Soporte OrganizativoSe definen y asignan las responsabilidades para cada uno de las funciones y de los procedimientos del modelo de cumplimiento:•Figuras exigidas en la norma: el Delegado de Protección de Datos•Asignación de tareas•Gestión de autorizaciones•Grupos de trabajo
Descripción de los elementos que conforman nuestro modelo de gestión de cumplimiento basado en la gestión de riesgos:
5
Esquema de CumplimientoModelo de gestión de cumplimiento
Iuristec PrivacyManager 36Gestión del riesgo en el tratamiento de datos
COMPLIANCE MANAGER
PANEL DE CONTROL=
Mapa Elementos de Cumplimiento + Mapa de Riesgos y Salvaguardas
SOPORTE ORGANIZATIVO
Procedimientos
Registros
Esquema de CumplimientoModelo de gestión de cumplimiento
Políticas y Normas
Documentos
1
2
3
4
5
6
Procesos de la actividad Análisis de Riesgos
Mapa de Riesgos y Salvaguardas
AUDITORÍAS
Formación y divulgación
Iuristec PrivacyManager 37Gestión del riesgo en el tratamiento de datos
Panel de ControlEl estado del sistema y, en consecuencia el nivel de cumplimiento, se monitoriza y gestiona desde un panel de control. Este panel de control se compone, por un lado, del Mapa de Riesgos y Salvaguardas actualizado que muestra el nivel de riesgo de la organización en todo momento, y por otro del mapa de elementos de cumplimiento que permite conocer el estado de cada procedimiento definido y localizar las pruebas de cumplimiento en el momento que se requieran.
.
Descripción de los elementos que conforman nuestro modelo de gestión de cumplimiento basado en la gestión de riesgos:
6
Esquema de CumplimientoModelo de gestión de cumplimiento
Iuristec Privacy Manager 38Gestión del riesgo en el tratamiento de datos
Aspectos clave para la implantación
Implicación de la organización
•Canales de Comunicación•Establecer prioridades y objetivos•Concienciación•Formación
Definir del contexto
•Contemplar normativas aplicables•Conocer riesgos aceptables•Establecer una estructura de control - DPD
Identificar los riesgos
•Mapa de riesgos •Cuantificar posibles daños
Analizar y evaluar el riesgo
•Usar escalas cuantitativas y cualitativas•Fijar valores objetivos a cada riesgo
Gestionar el riesgo
•Establecer salvaguardas a cada riesgo
Seguimiento del riesgo
•Auditorías•Informes•Toda decisión que implique modificación del riesgo y sus salvaguardas
1
2
3
4
5
6