RGPD, DPO, ENS y ANY Como encaja todo

Transcripción

1 RGPD, DPO, ENS y ANY Como encaja todo

2 Quienes somos

3 Estamos ubicados en unas instalaciones inmejorables, en el Parc Científic de la Universitat de Valencia

4 FORMACIÓN Y CERTIFICACIÓN OFICIAL: DPO y RGPD, ITIL, PRINCE2, ISO 27001, SCRUM CONSULTORÍA: RGPD, ISO 27001, ENS, TRANSFORMACIÓN DIGITAL

5 30 años de Experiencia Jorge Sánchez López Consultor TIC, CIO, Profesor certificado: Scrum Manager, Lean IT, Prince 2, ITIL, Inbound Marketing HubSpot Ingeniero Informático y CAP por la UPV, Cibercooperante, Coach Agile Otras certificaciones: Scrum Level, SMstudy Certified Digital Marketing Associate SMstudy Certified Marketing Strategy Associate Scrum Fundamentals Certified Six Sigma Yellow Belt, LPI-C2 Unix, (ACSR, CSCE, AQPS, CSCA, ACFE, CSE) Alcatel- Lucent Experto Docente Formación TIC Certificados Profesionalidad jsanchez@mobiliza.net

6 Jorge Edo Juan Ingeniero en Telecomunicaciones, MBA y Master en Dirección IT por la Universidad Politécnica de Valencia, Master en Protección de datos Sanitarios por la Universidad de Cádiz Certificaciones: DPO, CISA, ISO Lead Auditor y Lead Implementer, Prince2, ITIL Expert, SCRUM Manager, Lean IT Más de 20 años de experiencia como Consultor Tecnológico. Experto en Seguridad Informática, Ciberseguridad, Gestión de Proyectos y Protección de Datos

7 ÍNDICE LOPD Versus RGPD Repercusiones Análisis de Riesgos Análisis de Impacto Gestión de Incidentes DPO en las AALL y Entidades Públicas RGPD en AALL ENS

8 1 LOPD Versus GDPR

9 Entrada en vigor El Reglamento europeo de Protección de Datos entró en vigor el 25 de mayo de 2016 y será de obligatorio cumplimiento el 25 de mayo del A partir del 25 de Mayo del 2018 la LOPD actual deja de tener vigencia

10 10 Novedades 1.- Nuevos derechos de los ciudadanos: olvido y portabilidad

11 10 Novedades 2.- Creación de la figura del Delegado de Protección de Datos (DPD o DPO)

12 10 Novedades 3.- Obligaciones de realizar Análisis de Riesgos y Evaluaciones de Impacto

13 10 Novedades 3.- Obligaciones de realizar Análisis de Riesgos y Evaluaciones de Impacto

14 10 Novedades 4.- Obligación de registrar documentalmente las operaciones de tratamiento

15 10 Novedades 5.- Nuevas notificaciones a la AEPD. Incidentes o brechas de seguridad

16 10 Novedades 6.- Sistemas de iconos armonizado para todos los países de la UE

17 10 Novedades 7.- Aumento significativo de la cuantía de las sanciones

18 10 Novedades 8.- Ventanilla única para todos los países de la Unión Europea

19 10 Novedades 9.- Obligaciones para nuevas categorías especiales de datos

20 10 Novedades 10.- Aparición de nuevos principios

21 LOPD

22 LOPD REACTIVA

23 LOPD OBLIGACIONES Inscripción de Ficheros en la AEPD

24 LOPD OBLIGACIONES Documento de Seguridad

25 LOPD OBLIGACIONES Registro de Incidencias

26 LOPD OBLIGACIONES Aplicar medidas según niveles

27 RGPD

28 RGPD PROACTIVA

29 RGPD OBLIGACIONES Análisis de Riesgos

30 RGPD OBLIGACIONES Disponer de un DPD

31 RGPD OBLIGACIONES Privacidad desde el Diseño

32 RGPD OBLIGACIONES Evaluación de Impacto (PIA)

33 RGPD OBLIGACIONES Códigos de Conducta, certificaciones

34 2 Repercusiones

35 Sanciones

36 3 Análisis de Riesgos

37 Análisis de Riesgos Art. 32 RGPD: 1.- Teniendo en cuenta: El estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas,

38 Análisis de Riesgos Art. 32 RGPD: El responsable y el encargado del tratamiento aplicarán: Medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo

39 Análisis de Riesgos. ISO 31000

40 4 Análisis de Impacto

41 Análisis de Impacto. DPIA Un DPIA es un proceso diseñado para describir el procesamiento, evaluar la necesidad y la proporcionalidad de un procesamiento y ayudar a gestionar los riesgos a los derechos y libertades de las personas físicas resultantes del tratamiento de datos personales (mediante su evaluación y determinación de las medidas para abordarlos).

42 Análisis de Impacto. DPIA Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.

43 Análisis de Impacto. DPIA

44 5 Gestión de Incidentes

45 Gestión de Incidentes Art. 32 RGPD: En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

46 Gestión de Incidentes Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.

47 Gestión de Incidentes Comunicación al interesado 1. Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida

48 Gestión de Incidentes

49 Gestión de Incidentes

50 Gestión de Incidentes. Ejemplo Criptolocker ha encriptado datos de ciudadanos que una entidad pública tenía almacenados y nos vemos obligados a restaurar desde backup. La última copia no ha sido correcta y recuperamos datos de la copia realizada con 48 horas de antelación a la fecha actual. Consecuencia: Pérdida de datos de ciudadanos

51 6 DPO

52 DPD. Obligatorio 1.- Tratamiento por autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.

53 DPD. Obligatorio DPD. EXPERTO EN DERECHO O TÉCNICO?

54 DPD. Competencias Experiencia en leyes nacionales e internacionales en PD Comprensión de las actividades de tratamiento Conocimiento de TI y seguridad Conocimiento del sector empresarial Promover la cultura de PD Trabajo en equipo Liderazgo

55 DPD. Obligatorio DPD INTERNO O EXTERNO?

56 DPD. Funciones Informar y evaluar al encargado de tratamiento y a los empleados que se ocupen de las obligaciones que les incumben en relación a la protección de datos Supervisar el cumplimiento con la regulación aplicable en relación a la protección de datos Supervisar las políticas de tratamiento del responsable y el encargado de tratamiento Asesorar durante la evaluación del impacto en protección de datos Cooperar con las autoridades de control

57 DPD. Esquema Certificación Esquema AEPD y ENAC certificación de DPDs Requisitos para ser DPD? Experiencia Demostrable Formación inicial y Continua

58 7 RGPD y AALL

59 RECURSOS DISPONIBLES Recursos AEPD RGPD Administraciones Públicas Guía práctica de Análisis de riesgos Guía práctica de Evaluaciones de impacto Jornada RGPD y Administración Local

60 RECURSOS DISPONIBLES Administraciones Públicas Adaptación al RGPD - Administraciones Públicas (infografía) El nuevo RGPD y su impacto sobre la actividad de las Administraciones Locales El impacto del Reglamento General de Protección de Datos sobre la actividad de las Administraciones Públicas El delegado de protección de datos en las Administraciones Públicas

61 RGPD ADMIN. PÚBLICAS

62 RGPD ADMIN. PÚBLICAS

63 RGPD ADMIN. PÚBLICAS ADEMÁS

64 RGPD ADMIN. PÚBLICAS ADEMÁS

65 8 ENS

66 Certificaciones Artículo 42. Los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán, en particular a nivel de la Unión, la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de tratamiento de los responsables y los encargados.

67 Certificaciones. ENS El RGPD recomienda el uso de esquemas de certificación como la ISO y el ENS (Esquema Nacional de Seguridad) como una forma de proporcionar la garantía necesaria de que la organización es efectivamente capaz de gestionar sus riesgos de seguridad de la información.

68 Certificaciones. ENS El CCN-CERT y la AEPD establecen un mecanismo de colaboración para ofrecer a las Administraciones Públicas una referencia de cumplimiento normativo en materia de protección de datos y seguridad.

69 Certificaciones. ENS El Esquema Nacional de Seguridad y el RGPD establecen la obligación de que la Administraciones Públicas realicen análisis de riesgos para determinar el posible impacto de los tratamientos de datos sobre los derechos y libertades de las personas y las medidas de seguridad aplicables. En este sentido, la AEPD ha publicado un documento en el que pone de manifiesto que esas medidas de seguridad en el caso de las AAPP estarán marcadas por los criterios establecidos en el Esquema Nacional de Seguridad.

70 Certificaciones. ENS

71 Certificaciones. ENS La adecuación al ENS y al ANY es obligatoria desde el 30 de Enero del 2014, y desde el 4 de Noviembre del 2017 es obligatoria para la entidad pública el certificarse con una certificadora dada de alta en ENAC para el ENS en caso de que maneje datos de nivel medio y alto.

72 Muchas Gracias

73 No se vayan todavía aún hay más

74 Nueva LOPD

75 eprivacy

76 Preguntas

77 Datos de Contacto Jorge Sánchez Agile

78 Datos de Contacto Jorge Edo