Adaptación de las AAPP al RGPD ADAPTACIÓN AL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS

Transcripción

1 ADAPTACIÓN AL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS 1

2 PLAN ESTRATÉGICO Difundir y proteger los derechos de los ciudadanos, promoviendo entre la ciudadanía y las organizaciones el valor de la privacidad. Velar por el cumplimiento de la legislación sobre protección de datos, promoviendo medidas preventivas y ejerciendo la potestad sancionadora. Impulsar una labor proactiva que permita detectar el impacto que los nuevos desarrollos tecnológicos pueden tener en la privacidad de los ciudadanos, promoviendo una concepción de la privacidad como activo de las organizaciones públicas y privadas y como elemento distintivo de la competitividad en el mercado. 2

3 PLAN ESTRATÉGICO

4 DESTINATARIOS 4

5 TAREAS ADAPTACIÓN AL RGPD Hoja de ruta: Designación del DPD Registro Actividades de tratamiento Identificar finalidades y base jurídica Análisis de riesgos Revisar medidas de seguridad a la luz de los resultados del análisis de riesgos Mecanismos y procedimiento de notificación de brechas Valorar tratamientos que requieren EIPD Realizar EIPD Otras actuaciones simultáneas: Adecuar formularios derecho de información Mecanismos y procedimientos ejercicio de derechos Valorar si los encargados ofrecen garantías y adaptación de contratos Elaborar / Adaptar Política de Privacidad Documentar 5

6 REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS PRINCIPIOS RELATIVOS AL TRATAMIENTO Licitud, lealtad y transparencia Limitación de la finalidad: fines determinados, explícitos y legítimos. Minimización de datos: adecuados, pertinentes y limitados a los fines. Exactitud: Actualizados sin dilación Limitación del plazo de conservación Integridad y confidencialidad Responsabilidad proactiva Tratamiento de datos de menores 6

7 RESPONSABILIDAD ACTIVA Y DEMOSTRABLE (Accountability principle) Tipos de medidas: Análisis de riesgo. Registro de actividades de tratamiento. Medidas de protección de datos desde el diseño y por defecto. Medidas de seguridad. Notificación de quiebras de seguridad. Evaluaciones de impacto sobre la protección de datos. Delegado de protección de datos (DPD). La adhesión por parte de responsables y encargados de tratamiento a códigos de conducta. La creación de mecanismos de certificación y de sellos y marcas de protección de datos. 7

8 Necesidad de llevar a cabo un análisis de riesgos en relación con los derechos y libertades de los interesados de todos los tratamientos de datos personales. Garantizar el cumplimiento del RGPD Naturaleza Ámbito Contexto Fines del tratamiento Riesgo para los derechos y libertades de las personas 8

9 ANÁLISIS DE RIESGOS: - el bien que queremos proteger: ACTIVO - aquello de lo que lo protegemos: AMENAZA - lo que pretendemos evitar o reducir: IMPACTO - proceso consciente, metodológico (repetible y revisable) y estructurado en fases - la evolución del riesgo implica la evolución de su análisis 9

10 Herramienta de análisis de riesgos PILAR 10

11 Valoración de los riesgos RGPD- PILAR 11

12 NIVELES DE MADUREZ L0 inexistente: la medida no ha sido tenida en cuenta, ausencia total de proceso, procedimiento o normativa. L1 - inicial / ad hoc: la medida de salvaguarda se contempla dentro de la organización y se ha iniciado la implantación de salvaguardas técnicas u organizativas para atenuar el riesgo pero su implantación se encuentra en fase incipiente. L2 - reproducible, pero intuitivo: las medidas de salvaguarda existen pero no existe un procedimiento formal para su gestión de forma regular. L3 - proceso definido: Existe un proceso de actuación rutinario dentro de la organización soportado por procedimientos. L4 - gestionado y medible: Existen métricas y objetivos evaluables en los procesos de la organización. L5 optimizado y mejora continua: Como resultado de las métricas y la evaluación constante se planifican nuevos objetivos de mejora. 12

13 Ejemplo de informe de análisis de riesgos 1. Resumen ejecutivo 2. Establecimiento del contexto 2.1. Funciones, misión y objetivos estratégicos de la organización 2.2. Estructura organizativa 2.3. Servicios proporcionados 2.4. Objetivos, ámbito y límites del análisis de riesgos 2.5. Análisis de la necesidad de llevar a cabo una EIPD 2.6. Criterios de aceptación de riesgos 2.7. Marco de tecnologías de la información 2.8. Enfoque de la seguridad de la información 3. Identificación y valoración de activos 4. Dependencias de activos 5. Controles y grado de madurez 6. Identificación de las salvaguardas existentes 7. Tratamiento de los riesgos ANEXO I- Revisión de requerimientos del RGPD Capítulo II- Principios Capítulo III - Derechos del interesado Capítulo IV - Responsable del tratamiento y encargado del tratamiento Capítulo V - Transferencias de datos personales a terceros países u organizaciones internacionales ANEXO II. Relación de activos y acciones propuestas 13

14 Necesidad de establecer un registro de actividades de tratamiento Sustituye a la obligación de notificar los ficheros. AAPP harán público un inventario de sus actividades de tratamiento accesible por medios electrónicos. A disposición de la Autoridad de Control. Podrá organizarse en torno a conjuntos estructurados de datos. Coordinación a través del Delegado de Protección de Datos. Contenido mínimo: Datos del responsable Fines del tratamiento Descripción de las categorías de interesados Categorías de los datos personales Categorías de destinatarios a quienes se comuniquen los datos personales, incluidos destinatarios en terceros países u organizaciones internacionales. Cuando sea posible los plazos de conservación Descripción general de las medidas técnicas y organizativas de seguridad. 14

15 Privacidad por diseño: Medidas para la seudonimización. Minimización de datos. Privacidad por defecto: Recogida de datos: analizar los tipos de datos que se recaban con un criterio de minimización en función de los productos y servicios seleccionados por el usuario; Tratamiento de los datos: analizar los procesos asociados a dichos tratamientos para que se acceda a los mínimos datos personales necesarios para ejecutarlos; Conservación: implementar una política de conservación de datos que permita, con un criterio restrictivo, eliminar aquellos datos que no sean estrictamente necesarios; Accesibilidad: limitar el acceso por parte de terceros a dichos datos personales. 15

16 SEGURIDAD DE LOS DATOS PERSONALES REGULACIÓN NORMATIVA Real Decreto 994/1999, Reglamento de medidas de seguridad de los ficheros que contengan datos de carácter personal (derogado). Ley Orgánica 15/1999, de protección de datos de carácter personal (art. 9) Real Decreto 1720/2007 (Reglamento de desarrollo de la LOPD). Título VIII de las medidas de seguridad en el tratamiento de datos de carácter personal Esquema Nacional de Seguridad (RD 3/2010 y RD 951/2015) Reglamento Europeo de Protección de Datos (Considerandos 49,83,85-88, 91 y 94), (art ) 16

17 17

18 SEGURIDAD DE LOS DATOS PERSONALES Responsables y encargados deben aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta Estado de la técnica y costes de aplicación Naturaleza, alcance, contexto y fines del tratamiento Riesgos para los derechos y libertades de las personas Garanticen: confidencialidad, integridad, disponibilidad, resiliencia Proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas Reglamento no establece listado estructurado de medidas ni prevé desarrollo o especificación La adhesión a un código de conducta o a un mecanismo de certificación podrá servir de elemento para demostrar cumplimiento 18

19 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN ESTRUCTURA ORGANIZATIVA DE SEGURIDAD DE LA INFORMACIÓN LA POLÍTICA DE a) Comité de Seguridad. b) Responsable de Seguridad: c) Responsable de la Información d) Responsable del servicio y responsable del sistema 19

20 Marco general para la documentación de la Seguridad de la información Aprobación de la Política de Segurida de la Información Política de Privacidad Política de seguridad de la información Política de privacidad Procedimientos Documento de seguridad Procedimientos para la generación de claves, Procedimiento en materia de seguridad de la Información para el teletrabajo, Etc. Instrucciones Registros Incidencias, salida de soportes, autorizaciones 20

21 21

22 22

23 23

24 24

25 25

26 26

27 27

28 28

29 29

30 Necesidad de revisar las medidas de seguridad que se aplican a los tratamientos a la luz de los resultados del análisis de riesgo. RGPD deja sin efecto las medidas exigibles del Título VIII del RLOPD. Las medidas a implantar deben derivarse del análisis de riesgos, el contexto en que se desarrollan, el estado de la técnica, los costes,.. Ponderación los riesgos que el tratamiento pueda generar en los derechos de los afectados y, en particular, en su derecho a la protección de datos. Medidas de seguridad en el ámbito del sector público: Esquema Nacional de Seguridad. 30

31 Establecer mecanismos para identificar las violaciones de seguridad. Evaluar el riesgo que puedan suponer para los derecho y libertades de los afectados. Notificar las violaciones de seguridad a la Autoridad de Control: Sin demora y a más tardar en 72 horas desde que se haya tenido constancia. Más tarde, justificación motivada. No obligación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Descripción de la naturaleza de la brecha. Datos de contacto del DPD. Posibles consecuencias de la brecha. Medidas adoptadas o propuestas para poner remedio. Notificar a los interesados si implica un alto riesgo para los derechos y libertades de las personas físicas. Excepciones a este deber de notificación al interesado: Se han adoptado las medidas de protección apropiadas. Suponga un esfuerzo desproporcionado. Comunicación pública o medida semejante. 31

32 Procesos más importantes para la gestión de brechas de seguridad 32

33 Valorar si se requiere una Evaluación de Impacto. Alto riesgo para los derechos y libertades de los interesados: Evaluación sistemática y exhaustiva de personas físicas, elaboración de perfiles Tratamiento a gran escala de las categorías especiales de datos Observación sistemática a gran escala de una zona de acceso público. Listas publicadas por la Autoridad de control de operaciones de tratamiento que requieran Evaluaciones de Impacto y también que no requieran. Disponer de una metodología para llevarla a cabo. Contenido mínimo: Descripción sistemática de las operaciones de tratamiento previstas y los fines y, cuando proceda, el interés legítimo perseguido por el responsable. Evaluación de la necesidad y proporcionalidad de las operaciones de tratamiento Evaluación de los riesgos para los derechos y libertades de los interesados Medidas previstas para afrontar los riesgos 33

34 34

35 35

36 PROCESO PARA REALIZAR UNA EIPD Contexto del tratamiento: Describir el ciclo de vida de los datos (asociados al tratamiento y a las entidades participantes). Analizar la necesidad y proporcionalidad del tratamiento Gestión de riesgos: Identificar amenazas y riesgos Evaluar los riesgos Tratar los riesgos Conclusión: Plan de acción Informe de conclusiones 36

37 LOPD ENS RGPD Documento de seguridad Ficheros Política de seguridad de la información Segregación de roles Política de privacidad Registro de actividades Política de privacidad y seguridad de la información Responsable de seguridad Medidas de seguridad Auditoría Servicio, Sistema, Seguridad de la información Análisis de riesgos Salvaguardas Auditoria DPD Análisis de riesgos Medidas de seguridad Formación y obligaciones del personal EIPD Procedimientos Cláusulas Formación y obligaciones del personal Formación y obligaciones del personal Notificación de brechas Contratos Auditoria 37

38 SISTEMA DE GESTIÓN Decisión estratégica para la organización. Depende de los procesos, de sus requisitos de seguridad y privacidad, tamaño y estructura. De acuerdo con las necesidades iniciales Adaptación a los cambios organizativos. Definición del alcance por medio de la política de privacidad y seguridad de la información: Establecimiento de los objetivos de la Dirección y principios de actuación en línea con los principios de negocio y la estrategia de la organización. 38

39 39

40 PROCESO DE UN SISTEMA DE GESTIÓN Definir política Designar DPD Realizar AR Registro de actividades Mejora continua Adoptar acciones correctivas las Auditoría/revisión Implantar plan de gestión del riesgo, implantar las medidas de seguridad Ciclo PDCA (Plan Do Check Act) o ciclo de Deming 40

41 Política de protección de datos y seguridad de la información 1. OBJETO Y ÁMBITO DE APLICACIÓN 2. MISIÓN DEL ORGANISMO 3. MARCO NORMATIVO 4. ESTRUCTURA ORGANIZATIVA DE LA POLÍTICA DE PRIVACIDAD Y SEGURIDAD DE LA INFORMACIÓN 5. EL DELEGADO DE PROTECCIÓN DE DATOS 6. EL COMITÉ DE SEGURIDAD DE LA INFORMACIÓN 7. RESPONSABLE DE SEGURIDAD DE LA INFORMACIÓN 8. RESPONSABLE DE LA INFORMACIÓN 9. RESPONSABLE DEL SERVICIO Y RESPONSABLE DEL SISTEMA 10. RESOLUCIÓN DE CONFLICTOS 11. ASIGNACIÓN DE TAREAS PARA LA PRIVACIDAD Y SEGURIDAD DE LA INFORMACIÓN 12. GESTIÓN DE RIESGOS 13. DESARROLLO NORMATIVO 14. CONCIENCIACIÓN Y FORMACIÓN 15. REVISIÓN DE LA POLÍTICA DE PRIVACIDAD Y SEGURIDAD DE LA INFORMACIÓN 16. OBLIGACIONES DEL PERSONAL 41

42 CÓDIGOS DE CONDUCTA Contribuyen a la correcta aplicación del RGPD, teniendo en cuenta las características específicas de los distintos sectores de tratamiento y las necesidades específicas de PYMES y micropymes. Especifican la aplicación del RGPD Aportan garantías adecuadas para las transferencias internacionales de datos Tienen carácter voluntario, pero son vinculantes para quienes se adhieran, que se comprometen a aplicar sus disposiciones Los Estados, APD, CEPD y la Comisión obligados a impulsar su elaboración Antecedentes útiles: la regulación establecida en el RLOPD 42

43 CÓDIGOS DE CONDUCTA CONTENIDO: Habrá de especificar la aplicación del RGPD, entre otra: - El tratamiento leal y transparente - Los intereses legítimos de los responsables - La recogida de datos personales - La seudonimización de datos - La información a facilitar al público y a los usuarios - Los derechos de los interesados - La información a niños y cómo obtener el consentimiento o tutela de los padres o tutores - La responsabilidad del responsable, PbD y por defecto, y medidas de seguridad - Las notificaciones de brechas de seguridad - Las transferencias internacionales. - Los procedimientos extrajudiciales de resolución de conflictos, sin perjuicio actuaciones APD y Tribunales - Los mecanismos de control del cumplimiento del Código, sin perjuicio competencias APD 43

44 RÉGIMEN DE AUTORIZACIONES PARA LAS TID DIRECTIVA/LOPD RGPD Sin autorización, pero con obligación de notificación a la AEPD A países con nivel adecuado de protección Amparadas en una previa resolución de autorización de encargado a subencargado o de consideración de garantías adecuadas Excepciones Autorización previa de la AEPD Cláusulas contractuales tipo Contratos ad hoc BCR Sin necesidad de autorización específica A países, territorios, sectores u organismos internacionales declarados de nivel adecuado de protección BCR Cláusulas tipo adoptadas por la Comisión Cláusulas tipo adoptadas por una APD Instrumento jurídicamente vinculante entre autoridades públicas Mecanismos de certificación Códigos de conducta Excepciones (notificación APD cuando es en intereses legítimos imperiosos del responsable) Necesidad de autorización por las APD Contratos ad hoc Acuerdos administrativos entre autoridades públicas AUTORIZACIONES OTORGADAS Y TRANSFERENCIAS A PAÍSES DE NIVEL ADECUADO REALIZADAS VIGENTES HASTA SU MODIFICACIÓN, SUSTITUCIÓN O DEROGACIÓN 44

45 MECANISMOS DE CERTIFICACIÓN Aumentar la transparencia y cumplimiento del RGPD, debe fomentarse el establecimiento de mecanismos de certificación, de sellos y marcas de protección de datos que permitan a los interesados evaluar con mayor rapidez el nivel de protección de datos de los productos y servicios. Podrán ser utilizados como elementos para demostrar el cumplimiento de las obligaciones para responsables y encargados del tratamiento. Elementos de responsabilidad proactiva. Carácter voluntario. Disponibles a través de un proceso transparente. Expedidos por la autoridad de control competente o por los organismos de certificación. Sello Europeo de Protección de Datos. Acreditación a través de las autoridades de control o por el organismo nacional de acreditación. 45

46 CERTIFICACIÓN DE PERSONAS Esquema de certificación de DPD promovido por la AEPD. Colaboración con la Entidad Nacional de Acreditación (ENAC). UNE-EN ISO/IEC 17024:2012 Requisitos generales para los organismos que realizan certificación de personas. Prerrequisitos y temario del examen. Procedimiento para que las Entidades de Certificación puedan expedir, suspender o retirar certificados. AEPD como organismo propietario del esquema. ENAC, entidad encargada de que las entidades de certificación cumplan los requisitos necesarios para acreditarse como tales. Entidades de Certificación : emisión del certificado tras la comprobación de las competencias de los candidatos. 46

47 CERTIFICACIÓN DELEGADO DE PROTECCIÓN DE DATOS OBJETIVOS: Ofrecer fiabilidad y seguridad a los profesionales y empresas y entidades. Certificaciones otorgadas por entidades certificadoras debidamente acreditadas por ENAC. Punto de referencia Carácter voluntario 47

48 TAREAS ADAPTACIÓN AL RGPD Hoja de ruta: Designación del DPD Registro Actividades de tratamiento Identificar finalidades y base jurídica Análisis de riesgos Revisar medidas de seguridad a la luz de los resultados del análisis de riesgos Mecanismos y procedimiento de notificación de brechas Valorar tratamientos que requieren EIP Realizar EIP Otras actuaciones simultáneas: Adecuar formularios derecho de información Mecanismos y procedimientos ejercicio de derechos Valorar si los encargados ofrecen garantías y adaptación de contratos Elaborar / Adaptar Política de Privacidad Documentar 48

49 TAREAS ADAPTACIÓN AL RGPD Hoja de ruta: Designación del DPD Registro Actividades de tratamiento Identificar finalidades y base jurídica Análisis de riesgos Revisar medidas de seguridad a la luz de los resultados del análisis de riesgos Mecanismos y procedimiento de notificación de brechas Valorar tratamientos que requieren EIP Realizar EIP Otras actuaciones simultáneas: Adecuar formularios derecho de información Mecanismos y procedimientos ejercicio de derechos Valorar si los encargados ofrecen garantías y adaptación de contratos Elaborar / Adaptar Política de Privacidad Documentar 49

50 50