La función del Compliance Officer en la protección de datos personales Citibank España S.A. Teresa Serrano Business Compliance Officer Arturo Cuerda



Documentos relacionados
Certus, cierto Facere, hacer. Certificare

PROCEDIMIENTO DE CONTRATAS

Audit Tax Advisory. Risk Advisory. Connected for Success

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST

Política General de Control y Gestión de Riesgos

CURSO COMPLIANCE OFFICERS

Para cumplimiento con esta misión, los objetivos marcados para esta Función son los siguientes:

Guía para la implementación del principio de responsabilidad demostrada en el tratamiento de datos personales

EXPERTOS EN CUMPLIMIENTO NORMATIVO

Principio Básico de Seguros IAIS No. 10 Control Interno. Experiencia Peruana. Superintendencia de Banca, Seguros y AFP Abril 2010.


PLAN DE ACCIÓN COMERCIAL PRODUCTIVO RECURSO HUMANO AREAS DE APOYO CONTABILIDAD Y ADMINISTRACION DE IMPUESTOS

PROGRAMA FORMACIÓN Y ACREDITACIÓN DE EXPERTO PREVENCIÓN DEL BLANQUEO DE CAPITALES Y CORPORATE CRIME PREVENTION

TÍTULO: PROCEDIMIENTO DE COORDINACIÓN DE ACTIVIDADES EMPRESARIALES PARA LA CONTRATAS

RIESGO DE LAVADO DE ACTIVOS

SUPERVISION BASADA EN RIESGOS

INSTITUTO TECNOLOGICO DE COSTA RICA CUESTIONARIO AUTOEVALUACIÓN DEL SISTEMA DE CONTROL INTERNO Dependencia: Nombre Director o Coordinador:

5.1 REGISTRO DE FICHEROS Análisis de los datos tratados Inscripción de los ficheros... 5

ESTATUTO DE AUDITORIA LOPD PARA EL AYUNTAMIENTO DE ZARZADILLA DE PAR

GUIA PARA LA IMPLEMENTACION Y SEGUIMIENTO DE PLANES DE MEJORAMIENTO

ISO-LOPD - Integración LOPD en Sistemas de Gestión

TALLER DE PROTECCIÓN DE DATOS: Aplicación práctica de la LOPD para PYMES. Palencia, 14 de febrero de 2008

UN SERVICIO INTEGRAL PARA CUMPLIR CON TODAS LAS OBLIGACIONES LEGALES VIGENTES EN RELACION A LA PREVENCION DE BLANQUEO DE CAPITALES.

LEY ORGÁNICA DE PROTECCIÓN DE DATOS 3 MÓDULOS. 33 Horas

Corporate Intelligence Conoce los riesgos, establece las estrategias

Norma Básica de Auditoría Interna

EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA

OHSAS 18001: Sistema de Gestión de la Seguridad y Salud en el trabajo

COMPAÑÍA MUNDIAL DE SEGUROS S.A. INFORME ANUAL DE GOBIERNO CORPORATIVO 2014

COPEG 4. SISTEMA DE GESTIÓN DE CALIDAD

PROGRAMA 493O REGULACIÓN CONTABLE Y DE AUDITORÍAS

Política General de control y Gestión de riesgos 18/02/14

LA FIGURA DEL DELEGADO DE PROTECCIÓN DE DATOS EN LA PROPUESTA DE REGLAMENTO.

ANADE LOPD.

La Empresa. Gestión de Objetivos y Programas de la Seguridad y. Salud en el Trabajo Norma OHSAS 18001:2007

Estrategia Fiscal S.A.S. Asesoría Tributaria, Legal y Financiera

Consejos de Administración de empresas cotizadas 2014

PROCEDIMIENTO AUDITORÍA INTERNA

INFORME SOBRE LA AUTOEVALUACIÓN DE CALIDAD DE LA ACTIVIDAD DE AUDITORÍA INTERNA 2011

Facilitar el cumplimiento de la LOPD

LOPD EN LAS EMPRESAS: Oferta de implantación y mantenimiento

QUÉ ES LA LOPD? QUÉ ES LA LSSI? Legislación aplicable:

La Función de Cumplimiento en las Entidades Financieras

LOPD. GRUPO OA Corporación de servicios. Gestión: Auditoría

CONSULTORÍA / AUDITORÍA PROTECCIÓN DE DATOS (LOPD)

Tendencias y experiencias frente a regulaciones para prevenir el cohecho, lavado de activos y financiamiento del terrorismo

SALIDAS ACTIVIDADES PROVEEDOR INSUMOS PRODUCTOS CLIENTE Planear Archivo General de la Nación Presidencia del a República

I. Información General del Procedimiento

CARTA DE SERVICIOS SERVICIO DE PREVENCIÓN DE RIESGOS LABORALES

OPTIMIZACIÓN Y PREVENCIÓN DE LA MOROSIDAD

Tercer Seminario Taller Internacional de La Red Mexicana De Ciudades

INDICE Gestión Integral de Riesgos Gobierno Corporativo Estructura para la Gestión Integral de Riesgos 4.1 Comité de Riesgos

OFICINA DE CONTROL INTERNO MUNICIPIO DE BOLÍVAR CAUCA PLAN ANUAL DE AUDITORIA 2011

VISIÓN GENERAL DEL SISTEMA INTEGRADO DE CALIDAD, MEDIOAMBIENTE Y PREVENCIÓN

PROCEDIMIENTO PARA LA IDENTIFICACIÓN, ACTUALIZACIÓN Y EVALUACIÓN DE CUMPLIMIENTO DE REQUISITOS LEGALES EN SEGURIDAD Y SALUD OCUPACIONAL

GESTIONES INTEGRALES ASES, S.L

Real Decreto, 1720/2007, de 21 de diciembre

ANEXO II. Los datos facilitados no serán incorporados a sistemas o soportes distintos de los del responsable del fichero.

DOSSIER FRANQUICIA MEDINABELLO CONSULTORES. Consultores y Auditores homologados por la ApCpD en Protección de datos

tu socio tecnológico PLAN MODERNIZACIÓN DE LA ADMINISTRACIÓN PÚBLICA

Curso Superior de LOPD Duración: 60 Horas Online, interactivo, 3 meses

NORMAS REGULADORAS. de la. INSTITUCIÓN de MEDIACIÓN de INGENIEROS (In.Me.In.) del CONSEJO GENERAL de la INGENIERÍA TÉCNICA INDUSTRIAL.

Norma ISO 14001: 2004

Guidelines on corporate governance principles for banks

DATA SECURITY SERVICIOS INTEGRALES, S.L.

CÓMO AFECTA LA LOPD A LOS GESTORES ADMINISTRATIVOS NOVEDADES INTRODUCIDAS CON EL RLOPD INFRACCIONES Y SANCIONES

CAPITALES BLANQUEO DE. Soluciones addvante.com/es/legal/soluciones/blanqueodecapitales.pdf. AddVANTE

INFORME ANUAL DE TRANSPARENCIA 2013

SÓLO HAY UNA COSA QUE NOS PREOCUPA MÁS QUE TU TRANQUILIDAD, LA DE TUS CLIENTES


Citibank España, S.A. ha transferido la propiedad de su negocio de banca de consumo a bancopopular-e, S.A., entidad de crédito autorizada por el

Guía y directrices sobre Cloud Computing. Jesús Rubí Navarrete Adjunto al Director

DOSSIER DE SERVICIOS [hello customer!] [Diseño web Programación a medida Posicionamiento SEO Bases de datos 3D LOPD Marketing Móvil]

SERVICIOS 1. AREA DE AUDITORIA Y REVISIÓN

PROPUESTA DE AUDITORÍA SOBRE TRATAMIENTO DE DATOS PERSONALES Y ADECUACIÓN A LA NORMATIVA VIGENTE

y Ord en a Lineamientos Generales para la Expedición de Manuales de Contratación LGEMC-01

XI ENCUENTRO IBEROAMERICANO DE PROTECCION DE DATOS 15, 16 Y 17 OCTUBRE 2013 CARTAGENA DE INDIAS, COLOMBIA

TRABAJANDO JUNTOS POR UN CUMPLIMIENTO SOSTENIBLE. Marzo de 2013 Consultoría en privacidad y protección de datos

PROCEDIMIENTO AUDITORIAS INTERNAS DE CALIDAD. PROCESO EVALUACIÓN Y CONTROL PÁGINA 1 de 9

RP-CSG Fecha de aprobación

PROCEDIMIENTO AUDITORÍA INTERNA

Plan de trabajo del Comité de Ética

MANUAL DE BUENAS PRÁCTICAS PARA ENTIDADES LOCALES DE LA CAPV EN MATERIA DE PROTECCIÓN DE DATOS

L.O.P.D. Ley Orgánica de Protección de Datos

REGLAMENTO COMITÉ DE AUDITORÍA COMPAÑÍA MUNDIAL DE SEGUROS S.A

Guía rápida de la Protección de Datos Personales en España

Código: 6GH-ES-11 Versión: 01 Fecha de Emisión: 04/Sep/2012 PERFIL COORDINADOR DE ENCOMIENDAS Y MENSAJERÍA Página: 1/5.

PLAN ESTRATEGICO PLAN DE ACCION 2014

PROPUESTA DE CERTIFICACION

1.-OBJETO DEL PLIEGO.

LINEAMIENTOS PARA AUDITORÍAS INTERNAS Y LAS AUDITORÍAS INTERNAS DE CALIDAD

MANUAL ESPECÍFICO DE FUNCIONES Y DE COMPETENCIAS LABORALES I. IDENTIFICACIÓN

LA PREVENCION DE RIESGOS LABORALES: UNA OBLIGACION NECESARIA. La salud de los tuyos es la salud de tu empresa

Protocolos de los Indicadores G3: Responsabilidad sobre productos (PR) GRI. Version 3.0

LIBRO I.- NORMAS GENERALES PARA LA APLICACIÓN DE LA LEY GENERAL DE INSTITUCIONES DEL SISTEMA FINANCIERO

ORIENTACIONES. para. PRESTADORES de SERVICIOS. Cloud. Computing

POLITICA DE SISTEMA DE CONTROL INTERNO

Transcripción:

La función del Compliance Officer en la protección de datos personales Citibank España S.A. Teresa Serrano Business Compliance Officer Arturo Cuerda Data Privacy Officer

Introducción La función de Compliance en la gestión global de riesgos El concepto de Cumplimiento Qué NO es Compliance: Servicio de Inteligencia de la entidad;freno al negocio; Cortapisa a las relaciones interdepantamentales Qué ES Compliance: Cumplimiento con el entorno normativo externo e interno (Legislación sectorial, políticas corporativas, Reglamento Interno de Conducta, Código deontológico) Qué riesgos gestiona la función de Compliance: regulatorio, reputacional, de franquicia. 2 29 mayo 2008 ISMS FORUM, MAYO 2008

Introducción (Continuación) -Aspectos derivados del incumplimiento con el el entorno normativo sanciones legales pérdidas económicas daño reputacional o de imagen -La prevención como solución -La colaboración entre áreas complementarias: Compliance, Auditoría, Gestión de riesgos 3 29 mayo 2008 ISMS FORUM, MAYO 2008

Principios Los principios que deben regir un programa de gestión de riesgos de Compliance y de prevención son: La Independencia de la función respecto del negocio Involucración de la Alta Dirección Estructura organizativa bien definida y medios adecuados Políticas y procedimientos escritos Formación mínima que garantice un adecuado nivel de conocimiento de la organización y de las normas aplicables Programas de Verificación y Vigilancia (Monitoring &Testing) Acceso a la información y a todas las funciones y procesos Interacción con Auditoría, Control Interno y Gestión de riesgos 4 29 mayo 2008 ISMS FORUM, MAYO 2008

El programa de prevención (I) Nuestra experiencia Desarrollo y definición de un programa efectivo que implica: 1. Identificación de la norma aplicable. Especial referencia a entidades con actividad multijurisdiccional 2. Definición de políticas internas (políticas de privacidad) que desarrollen la norma. El problema de la coexistencia de diferentes políticas y el potencial conflicto normativo 3. Identificación de productos, servicios y procesos afectados. El mapa de riesgos o risk assessment (ej.flujos de datos personales) 4. Identificación de los requerimientos legales y corporativos exigibles en cada proceso 5. Elaboración de una matriz normativa 5 29 mayo 2008 ISMS FORUM, MAYO 2008

El programa de prevención (II) 6. Transmisión de los requerimientos legales y/o corporativos a los procesos concretos 7. Elaboración de manuales de procedimientos que contemplen los requerimientos plasmados en la Matriz de Riesgo Normativo 8. Elaboración y aprobación de un Plan anual de Cumplimiento que garantice un adecuado nivel de control y supervisión sobre la actividad de la entidad, asegurando la identificación temprana de debilidades y su posterior elevación a la Alta Dirección. 6 29 mayo 2008 ISMS FORUM, MAYO 2008

La gestión del riesgo de protección de datos en la entidad Actividades dirigidas a velar por el cumplimiento de las leyes locales, europeas y políticas corporativas que se refieren a protección de datos y privacidad, dentro de la entidad financiera. Asegurar que todos los riesgos legales y de Compliance relacionados con protección de datos personales, derivados de la actividad de negocio, están adecuadamente identificados, evaluados y controlados. La gestión del riesgo de Privacidad y Protección de Datos en la actividad de negocio, es realizada principalmente por el Data Privacy Officer en coordinación con Asesoría Jurídica y del responsable de la Seguridad de la Información. 7 29 mayo 2008 ISMS FORUM, MAYO 2008

Herramientas de gestión del riesgo de protección de datos y seguridad de la información (I) El Compliance Officer de Protección de Datos trata diferente información, para la adecuada gestión del riesgo reputacional y de imposición de sanciones de la AEPD: Matriz normativa : Identificación de normas de protección de datos aplicables. Proyectos de implementación de normas y políticas. Procesos de autoevaluación (RCSA): Permiten llevar a cabo revisiones periódicas de controles sobre procesos críticos y corregir posibles debilidades. Monitoring &Testing: Llevados a cabo por la propia Unidad de Compliance. El Plan Anual debe contemplar aplicando criterios de riesgo (Risk Based Approach) revisiones end-to-end de procesos de alto riesgo. Informes de auditores internos, en los que la Unidad de Compliance debe participar (directa o indirectamente). Necesidad de que Compliance apruebe los programas de auditoría. 8 29 mayo 2008 ISMS FORUM, MAYO 2008

Herramientas de gestión del riesgo de protección de datos y seguridad de la información (II) Informes de auditoría externa de medidas de seguridad. Coordinación de Compliance. Escalación de incidencias. Análisis de Reclamaciones de clientes: Detección de debilidades de procesos. Tramitación de expedientes disciplinarios de la AEPD: Coordinación conjunta de Compliance y Asesoría Jurídica Demandas judiciales: Responsabilidad de Asesoría Jurídica. Compliance debe recibir periódicamente información sobre litigios relacionados con protección de datos. Incidentes de seguridad: Procedimiento de escalación de incidentes. Comités de segumiento con participación de todas las áreas involucradas en un incidente de seguridad. Foros especializados en seguridad de la Información y protección de datos, Noticias en buscadores, medios de comunicación, etc. 9 29 mayo 2008 ISMS FORUM, MAYO 2008

Areas de especial riesgo en una entidad financiera (I) Encargados del tratamiento: Deber de velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en la normativa de protección de datos. Deber de diligencia previa a la contratación. Claúsula contractual de protección de datos ( art.12 LOPD): Asegurar la devolución o destrucción de los datos una vez cumplida la prestación contractual. Transferencias internacionales de datos: Especial complejidad en entidades multinacionales. Altas, bajas y actualizaciones de ficheros declarados a la AEPD. Formación en protección de datos y seguridad de la información. 10 29 mayo 2008 ISMS FORUM, MAYO 2008

Areas de especial riesgo en una entidad financiera (II) Cancelación de Datos Concepto Acceso a datos cancelados de acuerdo con la normativa de protección de datos Listas Robinson Sensibilidad del cliente que ejercita el opt-out Servicio de Atención al Cliente Ejercicio de derechos ARCO de la LOPD. Puerta de entrada de clientes descontentos. Ficheros de Solvencia Patrimonial Fuente de las principales sanciones. Principio de calidad de datos. Requisitos de inclusión en los ficheros de solvencia patrimonial. 11 29 mayo 2008 ISMS FORUM, MAYO 2008

Conclusiones Riesgo gestionado de forma independiente por la Unidad de Compliance Estrecha colaboración con otras Areas (IS, AJ, Auditoria, etc ) Fuente de riesgo legal y regulatorio así como de daños a la reputación de la entidad Creciente exigibilidad de Reguladores y del propio mercado Necesidad de contar con procesos permenentes de verificación y vigilancia que aseguren un adecuado cumplimiento, así como una rápida detección de debilidades y su elevación a la Alta Dirección 12 29 mayo 2008 ISMS FORUM, MAYO 2008

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback