Aspectos organizativos y técnicos del RGPD Joseba Enjuto Director de Consultoría jenjuto@nextel.es 18/10/2017
ÍNDICE Introducción Aspectos organizativos Aspectos técnico-operativos Riesgos y oportunidades Conclusiones
ÍNDICE Introducción Aspectos organizativos Aspectos técnico-operativos Riesgos y oportunidades Conclusiones
Introducción Enfoque orientado al Riesgo Responsabilidad Proactiva LOPD RGPD Principios reforzados Principios reforzados
Introducción Enfoque orientado a riesgo Medidas de seguridad proporcionales al riesgo Riesgo Afectar a derechos y libertades
Introducción Responsabilidad proactiva Garantizar el cumplimiento del RGPD Aplicando las medidas y prácticas que sean necesarias
Introducción Medidas necesarias de distinto tipo Organizativas Operativas Tecnológicas Jurídicas Política de Seguridad Organización de la seguridad y de diferente carácter Preventivas Reactivas Gestión de activos Control de acceso Cumplimiento Seguridad relativa a los RR.HH. Continuidad Gestión de incidentes Relación con proveedores Seguridad física Criptografía Seguridad de las operaciones Seguridad de las comunicaciones Adquisición y mantenimiento
ÍNDICE Introducción Aspectos organizativos Aspectos técnico-operativos Riesgos y oportunidades Conclusiones
Aspectos organizativos Roles y responsabilidades Funciones y responsabilidades generales Delegado de Protección de Datos
Aspectos organizativos Capacitación y concienciación Formación general: RGPD Formación específica: Tratamiento de datos personales en cada puesto de trabajo RGPD
ÍNDICE Introducción Aspectos organizativos Aspectos técnico-operativos Riesgos y oportunidades Conclusiones
Aspectos técnico-operativos Medidas operativas Evaluación de Impacto en la Privacidad Impacto = Efecto de una vulneración de la privacidad sobre los derechos y libertades de los afectados Depende de: Características de los datos (tipos, cantidad, etc.). Características de los tratamientos (agresividad, autonomía, etc.). Implementación de los tratamientos Efectos de cada tipo de vulneración: (D) Destrucción o pérdida (I) Alteración accidental o ilícita (C) Comunicación o acceso no autorizados
Aspectos técnico-operativos Medidas operativas Análisis de riesgos Riesgo = Probabilidad * Impacto Amenazas sobre los tratamientos
Aspectos técnico-operativos Medidas operativas Objetivo: Determinar las medidas de seguridad/privacidad apropiadas Fuente: AEPD
Aspectos técnico-operativos Medidas operativas Respuesta ante incidentes En menos de 72h
Aspectos técnico-operativos Medidas operativas Auditoría
Aspectos técnico-operativos Medidas tecnológicas Privacidad desde el diseño y por defecto
Aspectos técnico-operativos Medidas tecnológicas Preservar la: Disponibilidad Replicación Alta disponibilidad Sincronización
Aspectos técnico-operativos Medidas tecnológicas Preservar la: Integridad Gestores de contenido (datos) Gestores documentales Gestión de cambios Hash Firma electrónica
Aspectos técnico-operativos Medidas tecnológicas Preservar la: Confidencialidad Seudonimización Cifrado Gestión de identidades Control de acceso
Aspectos técnico-operativos Medidas tecnológicas Preservar la: Resiliencia Backup Monitorización Gestión de crisis Planes de contingencia Planes de continuidad
ÍNDICE Introducción Aspectos organizativos Aspectos técnico-operativos Riesgos y oportunidades Conclusiones
Riesgos y oportunidades Riesgos Indemnización por daños y perjuicios Multas administrativas
Riesgos y oportunidades Oportunidades Certificaciones: Posicionamiento competitivo (RSC) RGPD
ÍNDICE Introducción Aspectos organizativos Aspectos técnico-operativos Riesgos y oportunidades Conclusiones
Conclusiones Aprovecha el RGPD RGPD
Conclusiones Aprovecha sinergias: ISO 27001 70% RGPD Datos Personales Sistema de Gestión de la Seguridad Privacidad de la Información
Muchas Gracias! Joseba Enjuto Director de Consultoría jenjuto@nextel.es