RGPD, DPO, ENS y

ANY

Como encaja todo

Quienes somos

Estamos ubicados en unas

instalaciones inmejorables, en el

Parc Científic de la Universitat de

Valencia

www.mobilizaacademy.com

FORMACIÓN Y CERTIFICACIÓN OFICIAL:

DPO y RGPD, ITIL ©, PRINCE2 ©, ISO 27001, SCRUM

CONSULTORÍA:

RGPD, ISO 27001, ENS, TRANSFORMACIÓN DIGITAL

Jorge Sánchez López

Consultor TIC, CIO, Profesor certificado: Scrum Manager®, Lean

IT ®, Prince 2®, ITIL ®, Inbound Marketing HubSpot® Ingeniero

Informático y CAP por la UPV, Cibercooperante, Coach Agile

Otras certificaciones: Scrum Level, SMstudy® Certified Digital

Marketing Associate SMstudy® Certified Marketing Strategy

Associate Scrum Fundamentals Certified Six Sigma Yellow Belt ,

LPI-C2 Unix , (ACSR, CSCE, AQPS, CSCA, ACFE, CSE) Alcatel-

Lucent

Experto Docente Formación TIC Certificados Profesionalidad

jsanchez@mobiliza.net

30 años de

Experiencia

Jorge Edo Juan

Ingeniero en Telecomunicaciones, MBA y Master en

Dirección IT por la Universidad Politécnica de Valencia,

Master en Protección de datos Sanitarios por la

Universidad de Cádiz

Certificaciones: DPO, CISA, ISO 27001 Lead Auditor y

Lead Implementer, Prince2 ©, ITIL © Expert, SCRUM

Manager, Lean IT

Más de 20 años de experiencia como Consultor Tecnológico. Experto en

Seguridad Informática, Ciberseguridad, Gestión de Proyectos y Protección de

Datos

ÍNDICE

• LOPD Versus RGPD

• Repercusiones

• Análisis de Riesgos

• Análisis de Impacto

• Gestión de Incidentes

• DPO en las AALL y Entidades Públicas

• RGPD en AALL

• ENS

1 LOPD Versus GDPR

Entrada en vigor

El Reglamento europeo de Protección de Datos entró en vigor el 25 de mayo de 2016 y será de obligatorio cumplimiento el 25 de mayo del 2018.

A partir del 25 de Mayo del 2018 la LOPD actual deja de tener vigencia

10 Novedades

1.- Nuevos derechos de los ciudadanos: olvido y portabilidad

10 Novedades

2.- Creación de la figura del Delegado de Protección de Datos (DPD o DPO)

10 Novedades

3.- Obligaciones de realizar Análisis de Riesgos y Evaluaciones de Impacto

10 Novedades

3.- Obligaciones de realizar Análisis de Riesgos y Evaluaciones de Impacto

10 Novedades

4.- Obligación de registrar documentalmente las operaciones de tratamiento

10 Novedades

5.- Nuevas notificaciones a la AEPD. Incidentes o brechas de seguridad

10 Novedades

6.- Sistemas de iconos armonizado para todos los países de la UE

10 Novedades

7.- Aumento significativo de la cuantía de las sanciones

10 Novedades

8.- Ventanilla única para todos los países de la Unión Europea

10 Novedades

9.- Obligaciones para nuevas categorías especiales de datos

10 Novedades

10.- Aparición de nuevos principios

LOPD

LOPD

REACTIVA

Inscripción de Ficheros en la AEPD

LOPD OBLIGACIONES

Documento de Seguridad

LOPD OBLIGACIONES

Registro de Incidencias

LOPD OBLIGACIONES

Aplicar medidas según niveles

LOPD OBLIGACIONES

RGPD

RGPD

PROACTIVA

Análisis de Riesgos

RGPD OBLIGACIONES

Disponer de un DPD

RGPD OBLIGACIONES

Privacidad desde el Diseño

RGPD OBLIGACIONES

Evaluación de Impacto (PIA)

RGPD OBLIGACIONES

Códigos de Conducta, certificaciones

RGPD OBLIGACIONES

2 Repercusiones

Sanciones

3 Análisis de Riesgos

Análisis de Riesgos

Art. 32 RGPD:

1.- Teniendo en cuenta:

• El estado de la técnica, los costes de aplicación, y • la naturaleza, el alcance, el contexto y los fines del tratamiento, así como • riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas,

Análisis de Riesgos

Art. 32 RGPD:

El responsable y el encargado del tratamiento aplicarán:

• Medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo

Análisis de Riesgos. ISO 31000

4 Análisis de Impacto

Análisis de Impacto. DPIA

Un DPIA es un proceso diseñado para describir el procesamiento, evaluar la necesidad y la proporcionalidad de un procesamiento y ayudar a gestionar los riesgos a los derechos y libertades de las personas físicas resultantes del tratamiento de datos personales (mediante su evaluación y determinación de las medidas para abordarlos).

Análisis de Impacto. DPIA

Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.

Análisis de Impacto. DPIA

5 Gestión de Incidentes

Gestión de Incidentes

Art. 32 RGPD:

En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

Gestión de Incidentes

Si la notificación a la autoridad de control no

tiene lugar en el plazo de 72 horas, deberá ir

acompañada de indicación de los motivos de la

dilación.

Gestión de Incidentes

Comunicación al interesado

1. Cuando sea probable que la violación de la

seguridad de los datos personales entrañe un alto

riesgo para los derechos y libertades de las personas

físicas, el responsable del tratamiento la comunicará al

interesado sin dilación indebida

Gestión de Incidentes

Gestión de Incidentes

Gestión de Incidentes. Ejemplo

Criptolocker ha encriptado datos de ciudadanos que

una entidad pública tenía almacenados y nos vemos

obligados a restaurar desde backup. La última copia no

ha sido correcta y recuperamos datos de la copia

realizada con 48 horas de antelación a la fecha actual.

Consecuencia: Pérdida de datos de ciudadanos

6 DPO

DPD. Obligatorio

1.- Tratamiento por autoridad u

organismo público, excepto los

tribunales que actúen en ejercicio

de su función judicial”.

DPD. Obligatorio

¿ DPD. EXPERTO EN

DERECHO O TÉCNICO?

DPD. Competencias

Experiencia en leyes nacionales e internacionales

en PD

Comprensión de las actividades de tratamiento

Conocimiento de TI y seguridad

Conocimiento del sector

empresarial

Promover la cultura de PD

Trabajo en equipo

Liderazgo

DPD. Obligatorio

¿ DPD INTERNO O

EXTERNO?

DPD. Funciones

Informar y evaluar al encargado de tratamiento y a los empleados que se ocupen de las obligaciones que les incumben en relación a la protección de datos

Supervisar el cumplimiento con la regulación aplicable en relación a la protección de datos

Supervisar las políticas de tratamiento del responsable y el encargado de tratamiento

Asesorar durante la evaluación del impacto en protección de datos

Cooperar con las autoridades de control

DPD. Esquema Certificación

Esquema AEPD y ENAC certificación de DPDs

¿Requisitos para ser DPD?

Experiencia Demostrable

Formación inicial y Continua

7 RGPD y AALL

RECURSOS DISPONIBLES

Recursos AEPD RGPD Administraciones Públicas

• Guía práctica de Análisis de riesgos

• Guía práctica de Evaluaciones de impacto

Jornada RGPD y Administración Local

RECURSOS DISPONIBLES

Administraciones Públicas

• Adaptación al RGPD - Administraciones Públicas

(infografía)

• El nuevo RGPD y su impacto sobre la actividad de las

Administraciones Locales

• El impacto del Reglamento General de Protección de

Datos sobre la actividad de las Administraciones Públicas

• El delegado de protección de datos en las

Administraciones Públicas

RGPD ADMIN. PÚBLICAS

RGPD ADMIN. PÚBLICAS

RGPD ADMIN. PÚBLICAS

ADEMÁS

RGPD ADMIN. PÚBLICAS

ADEMÁS

8 ENS

Certificaciones

Artículo 42.

Los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán, en particular a nivel de la Unión, la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de tratamiento de los responsables y los encargados.

Certificaciones. ENS

El RGPD recomienda el uso de esquemas de certificación como la ISO 27001 y el ENS (Esquema Nacional de Seguridad) como una forma de proporcionar la garantía necesaria de que la organización es efectivamente capaz de gestionar sus riesgos de seguridad de la información.

Certificaciones. ENS

El CCN-CERT y la AEPD establecen un mecanismo de colaboración para ofrecer a las Administraciones Públicas una referencia de cumplimiento normativo en materia de protección de datos y seguridad.

Certificaciones. ENS

El Esquema Nacional de Seguridad y el RGPD establecen la obligación de que la Administraciones Públicas realicen análisis de riesgos para determinar el posible impacto de los tratamientos de datos sobre los derechos y libertades de las personas y las medidas de seguridad aplicables.

En este sentido, la AEPD ha publicado un documento en el que pone de manifiesto que esas medidas de seguridad −en el caso de las AAPP− estarán marcadas por los criterios establecidos en el Esquema Nacional de Seguridad.

Certificaciones. ENS

Certificaciones. ENS

La adecuación al ENS y al ANY es obligatoria desde el 30 de Enero del 2014, y desde el 4 de Noviembre del 2017 es obligatoria para la entidad pública el certificarse con una certificadora dada de alta en ENAC para el ENS en caso de que maneje datos de nivel medio y alto.

Muchas Gracias

No se vayan todavía aún hay más

Nueva LOPD

ePrivacy

Preguntas

Jorge Sánchez

Agile Coach

jsanchez@mobiliza.net

@JorgeSanlo

www.linkedin.com/in/jorgesanchezlopez

www.mobilizaacademy.com

Datos de Contacto

Jorge Edo

j.edo@mobiliza.net

https://www.linkedin.com/in/dpojorgeedo/

www.mobilizaacademy.com

Datos de Contacto