gestión del riesgo y privacidad: aproximación práctica al rgpd · los criterios de las...

Iuristec Privacy Manager 1Gestión del riesgo en el tratamiento de datos

Gestión del riesgo y privacidad: aproximación práctica al RGPD9 de abril de 2019, Colegio Oficial de Arquitectos de Illes Balears


RGPD. Introducción

“El tratamiento de datos personales debe estar concebido para servir a la humanidad”

Considerando (4) RGPD

Presentación


RGPD. Gestión del Riesgo y Privacidad

“El tratamiento de datos puede tener consecuencias negativas para las personas”

Presentación


RGPD. Por qué

1.Adaptación a rápida evolución tecnológica. 2.Reforzar la seguridad jurídica: lograr nivel uniforme y evitar aplicación fragmentada en la UE.

Presentación


Aproximación práctica al RGPD

Principio de Responsabilidad Proactiva

Gestión basada sobre los riesgos

•Elaboración de un mapa de riesgos y salvaguardas

•Determinación de medidas de cumplimiento adecuadas en cada organización atendiendo a los riesgos concretos

•Ciclo de mejora contínua: fijar mecanismos para detectar variaciones o nuevos riesgos

Presentación


Las Evaluaciones de Impacto

Siempre que un tratamiento (especialmente si usa nuevas tecnologías) entrañe un alto riesgo para los derechos y

libertades de las personas físicas

Supuestos:1.Evaluación sistemática y exhaustiva de aspectos personales que se base en un tratamiento automatizado (p.e., la elaboración de perfiles)2.Tratamiento a gran escala de categorías especiales de datos o condenas e infracciones penales3.Observación sistemática a gran escala de zonas de acceso público

Presentación


Privacidad desde el Diseño y por Defecto

Adoptar medidas técnicas y organizativas apropiadas para aplicar los principios de protección de datos

•Principio de Minimización

Presentación


Derechos del ciudadano

•LOPD: Derechos A.R.C.O.•RGPD: Reformulación y nuevos derechos:1. Acceso2. Rectificación3. Supresión (Derecho al Olvido)4. Limitación del tratamiento5. Portabilidad6. Oposición

Presentación


Delegado de Protección de Datos (DPD o DPO) Presentación


Notificación de Brechas de Seguridad Presentación


Eliminación obligación de notificar ficheros a la AEPDNovedad: Registro Actividades de Tratamiento

Presentación



Presentación


Principio de Transparencia

RGPD

●Importancia de la Información prestada: podemos ofrecerla “por capas”●Hay que informar siempre que se recogen datos ●Cómo hacerlo? Hoja de encargo, presupuestos, propuestas…


Diligencia en la elección de proveedores/colaboradores (E.T.)

RGPD

●Necesidad de actualizar los contratos de tratamiento de datos ya formalizados●Hay que elegir bien, no basta la firma del contrato. Deben aportar garantías de cumplimiento


Consentimiento

RGPD

●Es sólo una de las bases jurídicas que legitima el tratamiento. No la única.●Fin al “quien calla otorga”●Debe ser una acción afirmativa clara.


Transferencias Internacionales

RGPD

●= Fuera del EEE●Si ese tercer país a criterio de la CE garantiza un nivel adecuado: pronunciamiento CE●A falta de pronunciamiento CE – acudir a “garantías adecuadas” RGPD sin que sea necesario el visto bueno de la AEPD (Binding Corporate Rules)


Códigos de Conducta y Certificación

RGPD

* CODIGOS DE CONDUCTA●Para contribuir a la correcta aplicación del RGPD

●Por sectores de actividad – asociaciones empresariales

●Aprobado por la AEPD

●Debe ser supervisado por organismo acreditado

* CERTIFICACIÓN●Para demostrar el cumplimiento del RGPD

●Proceso voluntario y transparente

●No elimina ni limita la responsabilidad

●Expedida por organismo de certificación autorizado


Infracciones y Sanciones

RGPD

●Importe basado en volumen de negocio: hasta 20 millones de euros o el 4% de la facturación anual.●Las denuncias pueden interponerse desde Asociaciones de Consumidores y Usuarios●Desde el 25/5/2018 incremento de un 33% en número de denuncias respecto al año pasado. (fuente: AEPD)●Indemnización de daños y perjuicios adicional


Punto de partida: Riesgo y Privacidad.Exposición a 3 amenazas

RGPD

●¿Qué daño causaría que el dato lo conociera quien no debe? - Acceso ilegítimo

●¿Qué perjuicio causaría si estuviera dañado o corrupto? - Modificación no autorizada

●¿Qué perjuicio causaría no tener un dato o no poder utilizarlo? - Eliminación


Evaluación del riesgoRGPD

●Contemplar todos los posibles escenarios en los que el riesgo seharía efectivo y tener en cuenta estos factores:

○ PROBABILIDAD de que se materialice la amenaza○ IMPACTO: ¿Qué consecuencias tendrá si se materializa?

■ Afectación crítica: cuando el impacto puede afectar a Derechos y Libertades

●Determinación del nivel de riesgo: DESPRECIABLE; BAJO; MEDIO; ALTO; CRÍTICO.


Qué hacer con el riesgoRGPD

●MITIGAR, tratarlo con tendencia al riesgo residual

●TRASPASAR

● ASUMIR


Dos enfoques para la mitigación del riesgoRGPD

Para el RESPONSABLE DEL TRATAMIENTO

Dirigida a la SEGURIDAD DE LA INFORMACIÓN, esto es, a decidir las MEDIDAS DE SEGURIDAD TÉCNICAS Y ORGANIZATIVAS para proteger

los datos.

Para el CIUDADANO

Dirigida a los riesgos que afecten a sus DERECHOS Y LIBERTADES.


Elementos básicos del modelo de gestión

Soporte documental

•Mapa de riesgos y controles•Registro de actividades•Medidas de cumplimiento responsabilidad activa: políticas, normas, procedimientos y registros •Implantación de un repositorio de evidencias

Soporte organizativo

•Estructura de control - DPD•Asignación de funciones de control

Seguridad

•Implantación de medidas de seguridad•Procedimiento de gestión y notificación de brechas de seguridad

Auditorías y controles

•Programa de auditorías y controles•Control de encargados del tratamiento•En su caso, control de filiales y participadas•Control de corresponsales/co-encargados

Atención a los derechos

•Mecanismos para atender los derechos

Formación y sensibilización

•Plan corporativo de formación y sensibilización en materia de cumplimiento normativo y privacidad

La definición e implantación del modelo de gestión de la privacidad debe realizarse de forma progresiva y adaptada a la realidad concreta de la organización.

1

2

3

4

5

6

Iuristec PrivacyManager 26Gestión del riesgo en el tratamiento de datos

COMPLIANCE MANAGER

PANEL DE CONTROL=

Mapa Elementos de Cumplimiento + Mapa de Riesgos y Salvaguardas

SOPORTE ORGANIZATIVO

Procedimientos

Registros

Esquema de CumplimientoModelo de gestión de cumplimiento

Políticas y Normas

Documentos

1

2

3

4

5

6

Procesos de la actividad Análisis de Riesgos

Mapa de Riesgos y Salvaguardas

AUDITORÍAS

Formación y divulgación


Mapa de Riesgos y SalvaguardasEl RGPD, como norma de referencia, define el catálogo de riesgos a considerar. El análisis de riesgos evalúa este catálogo para cada uno de los procesos de la actividad afectados, obteniendo como resultado un mapa de riesgos, que nos indica el nivel de cumplimiento.En función del riesgo detectado, se establecen los procedimientos de control necesarios para mejorar el nivel de cumplimiento y consecuentemente, mitigar el riesgo.

Descripción de los elementos que conforman nuestro modelo de gestión de cumplimiento basado en la gestión de riesgos:

1
