GDPR para el Sector Público
Empezamos en unos minutos…
AGENDA GDPR – Sector público 10.00h-10.20h
GPDR 360º Maria Eugenia Sánchez Millán CISA Lead Auditor & GDPR Compliance consultors en Necsia
10.20-10.35h
10.35h-11.00h
Aproximación legal a la GDPR
Laura Mas GDPR Legal Compliance Consultor
Microsoft Secure (GDPR Approach) Samuel Marín, Solution Sales Specialist at MIcrosoft
Introducción GDPR 360º Maria Eugenia Sánchez Millán |
[email protected] CISA Lead Auditor & GDPR Compliance consultors en Necsia
¿Cómo afrontar la GDPR? ASESORAR •
DESCUBRIR
Necsia Academy
• • •
GDPR 360º
REPORTAR • •
GESTIONAR • •
Microsoft Secure SOC
PROTEGER •
Seguridad Técnica
Gap Análisis GDPR Inventory Microsoft Secure
Proyectos de Adecuación Microsoft Secure
Antecedentes: Adaptarse al desarrollo tecnológico El nuevo Reglamento viene motivado por la necesidad de renovar una ley obsoleta fruto de una joven UE. El desarrollo tecnológico y evolución de Internet han ocasionado que nos encontremos ante cierta desprotección sobre:
DATOS PERSONALES DE NAVEGACIÓN
DESARROLLO CLOUD
REDES SOCIALES
Normativas aún vigentes: DISPOSITIVOS MÓVILES Y GEOLOCALIZACIÓN
BIG DATA
EVOLUCIÓN DEL E-COMMERCE
‒ Directiva 95/46/CE de octubre de 1995 ‒ En España: Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.
LOPD Vs GDPR
Categorías modificadas Los datos especialmente protegidos por la ley son:
Los datos personales son aquellos que contienen información que permite identificar a una persona inequívocamente.
Afecta a todas las empresas del mundo que procesen datos de residentes de la UE.
Tratamientos En la nueva normativa sólo se habla del concepto tratamiento
(incluido en el fichero como un tratamiento más). Además, se cuenta con una mayor flexibilidad dado que hay que tener los tratamientos a disposición de la Autoridad de Control en lugar de notificar a la Agencia Española.
LOPD Vs GDPR: Sanciones por incumplimiento
Simulación por incumplimiento Simulación empresas IBEX 35
*Valores expresados en millones de euros
¿Y el riesgo reputacional?
VS
Entrada en vigor El Reglamento será aplicable a partir del 25 de mayo de 2018. El Reglamento fue publicado en el Diario Oficial de la Unión Europea el 4 de mayo, y tras los 20 días de su publicación, entró en vigor el día 25 de mayo de 2016.
Obligaciones Los Responsables deben aplicar medidas técnicas, legales y organizativas apropiadas a fin de garantizar el tratamiento conforme el GDPR.
CÓDIGO DE CONDUCTA Y CERTIFICACIONES •
La adhesión al código de conducta
•
Mecanismo de certificación, sellos y marcas de protección de datos
PROTECCIÓN DE DATOS DESDE EL DISEÑO Y POR DEFECTO •
Esta medida debe aplicarse antes, durante y hasta el fin del tratamiento
ELECCIÓN DEL ENCARGADO •
Este debe ofrecer garantías suficientes para aplicar las mismas medidas técnicas, legales y organizativas del Responsable
REGISTRO DE ACTIVIDADES DE TRATAMIENTO A disposición de la Autoridad de Control. Aplica a entidades a partir de 250 empleados o cuando: - Tratamiento sea continuado - Entraña riesgo a las libertades
- Categorías especiales - Condena e infracciones penales
EVALUACIÓN DEL NIVEL DE SEGURIDAD
NOTIFICACIÓN A LA AUTORIDAD DE CONTROL
Derechos de los interesados
RENOVACIÓN DEL CONSENTIMIENTO EXPLÍCITO RECLAMACIÓN A LA AUTORIDAD DE CONTROL
Plazo para atender los derechos: ‒
Un mes a partir de la recepción de la solicitud.
‒
Prorrogable otros dos meses en caso necesario según la complejidad y el número de solicitudes.
‒
En caso de no atender la solicitud, el interesado podrá presentar una reclamación a la autoridad de control y ejercitar acciones judiciales.
Figuras claves en GDPR
ENCARGADO DEL TRATAMIENTO
RESPONSABLE DEL TRATAMIENTO •
Establece los plazos de supresión y revisión de los datos.
•
Debe demostrar que el interesado ha dado su consentimiento para la operación del tratamiento.
•
Aplica medidas técnicas, legales y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme.
•
Asiste al Responsable de Tratamiento
•
Informa de cualquier cambio o sustitución de los responsables (terceros).
•
Trata los datos en base a las instrucciones del Responsable
•
Pone a disposición del Responsable el Cumplimiento de las obligaciones establecidas.
DATA PROTECTION OFFICER (DPO) Junto con CIO y CISO, el DPO es la figura que vela por el cumplimiento correcto de las leyes de la misma forma que tiene la misión principal de adaptar la nueva normativa con la máxima precisión dentro de la compañía. Entre sus principales responsabilidades se encuentran:
¿Cómo empezar con GDPR?
¿Cómo Necsia te puede ayudar? Análisis GAP & GDPR Inventory •
El servicio de Análisis GAP consiste en la realización de una análisis tipo GAP (análisis comparativo entre una situación actual y una objetivo) en relación a GDPR. Como resultado del análisis GAP se dispondrá de: • una “foto” de la organización con respecto a los objetivos y requerimientos de GDPR. • un plan de acción que permitirá cumplir los objetivos y requisitos de GDPR
Inventario de Activos – Clasificación de la Información
Proyectos de Adecuación •
Los proyectos de adecuación a adecuación a GDPR consistirán en proyectos de consultoría en el caso de tratarse de requisitos de carácter organizativo o de proyectos relacionados en la tecnología al tratarse de requisitos de carácter técnico. Estos últimos consistirán en la implantación de soluciones tecnológicas que permitan la automatización y simplificación de las actividades requeridas por los requisitos de GDPR, que de otra forma requerirían de un esfuerzo humano significativo.
Roadmap de Análisis FASE 0: Formación y Concienciación
FASE 1: Análisis GAP
¿Cómo Necsia te puede ayudar?
Oficina de adecuación • •
•
La oficina de adecuación proporciona a las empresas todos los recursos necesarios para implementar los objetivos y requisitos establecidos en la norma GDPR. Los requisitos son de carácter legal, técnico y organizativo. Dentro de este servicio se distinguen dos modalidades: • Empresa con presencia en un solo país (España) y cuyos departamentos/áreas están gestionados de forma centralizada. • Grupo de empresas con presencias en varios países y los departamentos/áreas están gestionados de forma independiente, p.e. por ubicación física, por empresa. La modalidad “Grupo de empresas con presencias en varios países y los departamentos/áreas están gestionados de forma independiente” se diferencia en el modelo que siguen algunas organizaciones consistente en la existencia de una sede central encargada de dar las directrices y recursos necesarios al resto de sedes para la implantación de leyes, regulaciones o sistemas de gestión. Este modelo se caracteriza por la necesidad de una mayor gestión y organización. Asimismo, la documentación tiene como requisitos ser auto-explicativa y disponer de instrucciones para su cumplimentación y/o uso.
c
¿Cómo Necsia te puede ayudar?
Necsia Academy •
•
•
Curso básico GDPR (presencial o e-learning): es un curso básico de formación y concienciación en GDPR. El contenido consiste en una descripción del reglamento, explicación de los conceptos clave y ejemplos de situaciones en los que se debe aplicar GDPR. Al final del curso se deberá llevar a cabo un examen de evaluación de los contenidos del curso. Finalmente se dispondrá de un certificado de aprovechamiento del mismo. La plataforma de e-learning permitirá asegurar la asistencia al curso mediante el registro de los asistentes y los certificados de aprovechamiento correspondientes. Cursos específicos GDPR: personal con responsabilidades en la contratación de servicios en los que se trate información personal, área de marketing, área de personas y áreas de ventas. Estos cursos consistirán en cursos adicionales al básico (de menor duración) en los que se tratará de forma específica los conocimientos necesarios del área/rol en cuestión. App de FyC de GDPR: la App de formación y concienciación en Seguridad de la Información que dispone Necsia con contenidos de GDPR.
Aproximación legal a GDPR Laura Mas| http://ribas.legal Abogada Corporate Compliance
PUNTOS CLAVE Prioridades a tener en cuenta 1
CONSENTIMIENTO
2
MEDIDAS DE SEGURIDAD
3
EIPD - PIA
4
DPD - DPO
5
VIOLACIONES DE DATOS
6
OTRAS MATERIAS 30 años ribas 1987 - 2017
CONSENTIMIENTO Antes y después del 25/05/2018
30 años ribas 1987 - 2017
Evolución del consentimiento El consentimiento antes y después del 25/05/2018
30 años ribas 1987 - 2017
Evolución del consentimiento El consentimiento antes y después del 25/05/2018
30 años ribas 1987 - 2017
MEDIDAS DE SEGURIDAD SECTOR PÚBLICO
30 años ribas 1987 - 2017
Medidas de seguridad Las medidas de seguridad antes y después del 25/05/2018
30 años ribas 1987 - 2017
EIPD - PIA Evaluación de impacto
30 años ribas 1987 - 2017
EIPD - PIA Evaluación de impacto
30 años ribas 1987 - 2017
30 años ribas 1987 - 2017
30 años ribas 1987 - 2017
Tratamiento en la nueva LOPD Las evaluaciones de impacto en el anteproyecto de LOPD
Infracción grave (10M) Artículo 73.r El tratamiento de datos de carácter personal sin haber llevado a cabo la evaluación del impacto de las operaciones de tratamiento en la protección de datos personales en los supuestos en que la misma sea exigible.
30 años ribas 1987 - 2017
DPO Delegado de protección de datos
30 años ribas 1987 - 2017
DPO - DPD Sector público
30 años ribas 1987 - 2017
DPO - DPD Cualificación
Cualificación del DPD 1. Conocimientos especializados del Derecho 2. Práctica en materia de protección de datos 3. Capacidad para desempeñar las funciones asignadas en el RGPD 4. Certificación voluntaria
30 años ribas 1987 - 2017
DPO - DPD Cualificación
Certificación de la AEPD 1. Emitida por entidades de certificación como AENOR. 2. Previa superación de un examen 3. Cinco años de experiencia o 180 horas de formación (Escala de niveles de experiencia inferiores)
30 años ribas 1987 - 2017
DPO - DPD Responsabilidad
Responsabilidad del DPD 1. Obligación de denuncia interna al órgano de administración (Proyecto) 2. Posición similar a la del Compliance Officer 3. No podrá ser removido ni sancionado salvo que incurra en dolo o negligencia grave (RGPD y Proyecto)
30 años ribas 1987 - 2017
VIOLACIONES DE DATOS Protocolo de actuación
30 años ribas 1987 - 2017
CONFIRMACIÓN DE LA VIOLACIÓN Diferencia entre incidente y violación de la seguridad
Security breach
=
Data breach
30 años ribas 1987 - 2017
CONFIRMACIÓN DE LA VIOLACIÓN Diferencia entre incidente y violación de la seguridad
Incidente de seguridad
=
Violación de la seguridad de los datos personales
30 años ribas 1987 - 2017
TIPOS DE VIOLACIONES DE SEGURIDAD Comprobación del tipo de violación de seguridad que se ha producido VALORACIÓN DEL TIPO DE VIOLACIÓN DE LA SEGURIDAD VIOLACIÓN DE LA CONFIDENCIALIDAD
Comunicación o acceso no autorizados a los datos
VIOLACIÓN DE LA DISPONIBILIDAD
Pérdida de acceso o destrucción de los datos
VIOLACIÓN DE LA INTEGRIDAD
Alteración no autorizada de los datos
30 años ribas 1987 - 2017
Incidentes de seguridad Protocolo de actuación
30 años ribas 1987 - 2017
NOTIFICACIÓN Cuándo hay que notificar la brecha de seguridad
30 años ribas 1987 - 2017
OTRAS MATERIAS Previstas para la nueva LOPD
30 años ribas 1987 - 2017
Video vigilancia Regulación en el Proyecto de LOPD
Videovigilancia 1. Finalidad de preservar la seguridad de personas, bienes e instalaciones. 2. Imágenes de la vía pública: sólo en la medida en que resulte imprescindible. 3. Extensión superior en el caso de bienes o instalaciones estratégicas e infraestructuras de transporte. 4. Supresión de los datos en el plazo de un mes. 5. Salvo para acreditar la comisión de actos contra la integridad de personas, bienes o instalaciones.
6. No será de aplicación la obligación de bloqueo. 7. Deber de información mediante dispositivo informativo + hojas a disposición de los afectados. 8. Tratamiento para funciones de control de trabajadores según artículo 20.3 ET, previa información.
30 años ribas 1987 - 2017
Sanciones En el sector público
Resolución sancionadora:
Actuaciones disciplinarias
1.
Apercibimiento
2.
Medidas Correctoras
Procedimiento y sanciones se regirán por las establecidas en la legislación que sea aplicable.
3.
Notificación al responsable y al superior jerárquico y en su caso interesado.
30 años ribas 1987 - 2017
Prioridad 3: Accountability Responsabilidad proactiva y evidencias de cumplimiento
49
©️ Ribas y Asociados 2010 - 2017
30 años ribas 1987 - 2017
http://www.agpd.es/portalwebAGPD/te mas/reglamento/common/pdf/Impacto _RGPD_en_AALL.pdf
50
©️ Ribas y Asociados 2010 - 2017
30 años ribas 1987 - 2017
Microsoft Secure (GDPR approach) Samuel Marín| Solution Sales Specialist
30 años ribas 1987 - 2017