GDPR para el Sector Público

Empezamos en unos minutos…

AGENDA GDPR – Sector público 10.00h-10.20h

GPDR 360º Maria Eugenia Sánchez Millán CISA Lead Auditor & GDPR Compliance consultors en Necsia

10.20-10.35h

10.35h-11.00h

Aproximación legal a la GDPR

Laura Mas GDPR Legal Compliance Consultor

Microsoft Secure (GDPR Approach) Samuel Marín, Solution Sales Specialist at MIcrosoft

Introducción GDPR 360º Maria Eugenia Sánchez Millán | [email protected] CISA Lead Auditor & GDPR Compliance consultors en Necsia

¿Cómo afrontar la GDPR? ASESORAR •

DESCUBRIR

Necsia Academy

• • •

GDPR 360º

REPORTAR • •

GESTIONAR • •

Microsoft Secure SOC

PROTEGER •

Seguridad Técnica

Gap Análisis GDPR Inventory Microsoft Secure

Proyectos de Adecuación Microsoft Secure

Antecedentes: Adaptarse al desarrollo tecnológico El nuevo Reglamento viene motivado por la necesidad de renovar una ley obsoleta fruto de una joven UE. El desarrollo tecnológico y evolución de Internet han ocasionado que nos encontremos ante cierta desprotección sobre:

DATOS PERSONALES DE NAVEGACIÓN

DESARROLLO CLOUD

REDES SOCIALES

Normativas aún vigentes: DISPOSITIVOS MÓVILES Y GEOLOCALIZACIÓN

BIG DATA

EVOLUCIÓN DEL E-COMMERCE

‒ Directiva 95/46/CE de octubre de 1995 ‒ En España: Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.

LOPD Vs GDPR

Categorías modificadas Los datos especialmente protegidos por la ley son:

Los datos personales son aquellos que contienen información que permite identificar a una persona inequívocamente.

Afecta a todas las empresas del mundo que procesen datos de residentes de la UE.

Tratamientos En la nueva normativa sólo se habla del concepto tratamiento

(incluido en el fichero como un tratamiento más). Además, se cuenta con una mayor flexibilidad dado que hay que tener los tratamientos a disposición de la Autoridad de Control en lugar de notificar a la Agencia Española.

LOPD Vs GDPR: Sanciones por incumplimiento

Simulación por incumplimiento Simulación empresas IBEX 35

*Valores expresados en millones de euros

¿Y el riesgo reputacional?

VS

Entrada en vigor El Reglamento será aplicable a partir del 25 de mayo de 2018. El Reglamento fue publicado en el Diario Oficial de la Unión Europea el 4 de mayo, y tras los 20 días de su publicación, entró en vigor el día 25 de mayo de 2016.

Obligaciones Los Responsables deben aplicar medidas técnicas, legales y organizativas apropiadas a fin de garantizar el tratamiento conforme el GDPR.

CÓDIGO DE CONDUCTA Y CERTIFICACIONES •

La adhesión al código de conducta

•

Mecanismo de certificación, sellos y marcas de protección de datos

PROTECCIÓN DE DATOS DESDE EL DISEÑO Y POR DEFECTO •

Esta medida debe aplicarse antes, durante y hasta el fin del tratamiento

ELECCIÓN DEL ENCARGADO •

Este debe ofrecer garantías suficientes para aplicar las mismas medidas técnicas, legales y organizativas del Responsable

REGISTRO DE ACTIVIDADES DE TRATAMIENTO A disposición de la Autoridad de Control. Aplica a entidades a partir de 250 empleados o cuando: - Tratamiento sea continuado - Entraña riesgo a las libertades

- Categorías especiales - Condena e infracciones penales

EVALUACIÓN DEL NIVEL DE SEGURIDAD

NOTIFICACIÓN A LA AUTORIDAD DE CONTROL

Derechos de los interesados

RENOVACIÓN DEL CONSENTIMIENTO EXPLÍCITO RECLAMACIÓN A LA AUTORIDAD DE CONTROL

Plazo para atender los derechos: ‒

Un mes a partir de la recepción de la solicitud.

‒

Prorrogable otros dos meses en caso necesario según la complejidad y el número de solicitudes.

‒

En caso de no atender la solicitud, el interesado podrá presentar una reclamación a la autoridad de control y ejercitar acciones judiciales.

Figuras claves en GDPR

ENCARGADO DEL TRATAMIENTO

RESPONSABLE DEL TRATAMIENTO •

Establece los plazos de supresión y revisión de los datos.

•

Debe demostrar que el interesado ha dado su consentimiento para la operación del tratamiento.

•

Aplica medidas técnicas, legales y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme.

•

Asiste al Responsable de Tratamiento

•

Informa de cualquier cambio o sustitución de los responsables (terceros).

•

Trata los datos en base a las instrucciones del Responsable

•

Pone a disposición del Responsable el Cumplimiento de las obligaciones establecidas.

DATA PROTECTION OFFICER (DPO) Junto con CIO y CISO, el DPO es la figura que vela por el cumplimiento correcto de las leyes de la misma forma que tiene la misión principal de adaptar la nueva normativa con la máxima precisión dentro de la compañía. Entre sus principales responsabilidades se encuentran:

¿Cómo empezar con GDPR?

¿Cómo Necsia te puede ayudar? Análisis GAP & GDPR Inventory •

El servicio de Análisis GAP consiste en la realización de una análisis tipo GAP (análisis comparativo entre una situación actual y una objetivo) en relación a GDPR. Como resultado del análisis GAP se dispondrá de: • una “foto” de la organización con respecto a los objetivos y requerimientos de GDPR. • un plan de acción que permitirá cumplir los objetivos y requisitos de GDPR

Inventario de Activos – Clasificación de la Información

Proyectos de Adecuación •

Los proyectos de adecuación a adecuación a GDPR consistirán en proyectos de consultoría en el caso de tratarse de requisitos de carácter organizativo o de proyectos relacionados en la tecnología al tratarse de requisitos de carácter técnico. Estos últimos consistirán en la implantación de soluciones tecnológicas que permitan la automatización y simplificación de las actividades requeridas por los requisitos de GDPR, que de otra forma requerirían de un esfuerzo humano significativo.

Roadmap de Análisis FASE 0: Formación y Concienciación

FASE 1: Análisis GAP

¿Cómo Necsia te puede ayudar?

Oficina de adecuación • •

•

La oficina de adecuación proporciona a las empresas todos los recursos necesarios para implementar los objetivos y requisitos establecidos en la norma GDPR. Los requisitos son de carácter legal, técnico y organizativo. Dentro de este servicio se distinguen dos modalidades: • Empresa con presencia en un solo país (España) y cuyos departamentos/áreas están gestionados de forma centralizada. • Grupo de empresas con presencias en varios países y los departamentos/áreas están gestionados de forma independiente, p.e. por ubicación física, por empresa. La modalidad “Grupo de empresas con presencias en varios países y los departamentos/áreas están gestionados de forma independiente” se diferencia en el modelo que siguen algunas organizaciones consistente en la existencia de una sede central encargada de dar las directrices y recursos necesarios al resto de sedes para la implantación de leyes, regulaciones o sistemas de gestión. Este modelo se caracteriza por la necesidad de una mayor gestión y organización. Asimismo, la documentación tiene como requisitos ser auto-explicativa y disponer de instrucciones para su cumplimentación y/o uso.

c

¿Cómo Necsia te puede ayudar?

Necsia Academy •

•

•

Curso básico GDPR (presencial o e-learning): es un curso básico de formación y concienciación en GDPR. El contenido consiste en una descripción del reglamento, explicación de los conceptos clave y ejemplos de situaciones en los que se debe aplicar GDPR. Al final del curso se deberá llevar a cabo un examen de evaluación de los contenidos del curso. Finalmente se dispondrá de un certificado de aprovechamiento del mismo. La plataforma de e-learning permitirá asegurar la asistencia al curso mediante el registro de los asistentes y los certificados de aprovechamiento correspondientes. Cursos específicos GDPR: personal con responsabilidades en la contratación de servicios en los que se trate información personal, área de marketing, área de personas y áreas de ventas. Estos cursos consistirán en cursos adicionales al básico (de menor duración) en los que se tratará de forma específica los conocimientos necesarios del área/rol en cuestión. App de FyC de GDPR: la App de formación y concienciación en Seguridad de la Información que dispone Necsia con contenidos de GDPR.

Aproximación legal a GDPR Laura Mas| http://ribas.legal Abogada Corporate Compliance

PUNTOS CLAVE Prioridades a tener en cuenta 1

CONSENTIMIENTO

2

MEDIDAS DE SEGURIDAD

3

EIPD - PIA

4

DPD - DPO

5

VIOLACIONES DE DATOS

6

OTRAS MATERIAS 30 años ribas 1987 - 2017

CONSENTIMIENTO Antes y después del 25/05/2018

30 años ribas 1987 - 2017

Evolución del consentimiento El consentimiento antes y después del 25/05/2018

30 años ribas 1987 - 2017

Evolución del consentimiento El consentimiento antes y después del 25/05/2018

30 años ribas 1987 - 2017

MEDIDAS DE SEGURIDAD SECTOR PÚBLICO

30 años ribas 1987 - 2017

Medidas de seguridad Las medidas de seguridad antes y después del 25/05/2018

30 años ribas 1987 - 2017

EIPD - PIA Evaluación de impacto

30 años ribas 1987 - 2017

EIPD - PIA Evaluación de impacto

30 años ribas 1987 - 2017

30 años ribas 1987 - 2017

30 años ribas 1987 - 2017

Tratamiento en la nueva LOPD Las evaluaciones de impacto en el anteproyecto de LOPD

Infracción grave (10M) Artículo 73.r El tratamiento de datos de carácter personal sin haber llevado a cabo la evaluación del impacto de las operaciones de tratamiento en la protección de datos personales en los supuestos en que la misma sea exigible.

30 años ribas 1987 - 2017

DPO Delegado de protección de datos

30 años ribas 1987 - 2017

DPO - DPD Sector público

30 años ribas 1987 - 2017

DPO - DPD Cualificación

Cualificación del DPD 1. Conocimientos especializados del Derecho 2. Práctica en materia de protección de datos 3. Capacidad para desempeñar las funciones asignadas en el RGPD 4. Certificación voluntaria

30 años ribas 1987 - 2017

DPO - DPD Cualificación

Certificación de la AEPD 1. Emitida por entidades de certificación como AENOR. 2. Previa superación de un examen 3. Cinco años de experiencia o 180 horas de formación (Escala de niveles de experiencia inferiores)

30 años ribas 1987 - 2017

DPO - DPD Responsabilidad

Responsabilidad del DPD 1. Obligación de denuncia interna al órgano de administración (Proyecto) 2. Posición similar a la del Compliance Officer 3. No podrá ser removido ni sancionado salvo que incurra en dolo o negligencia grave (RGPD y Proyecto)

30 años ribas 1987 - 2017

VIOLACIONES DE DATOS Protocolo de actuación

30 años ribas 1987 - 2017

CONFIRMACIÓN DE LA VIOLACIÓN Diferencia entre incidente y violación de la seguridad

Security breach

=

Data breach

30 años ribas 1987 - 2017

CONFIRMACIÓN DE LA VIOLACIÓN Diferencia entre incidente y violación de la seguridad

Incidente de seguridad

=

Violación de la seguridad de los datos personales

30 años ribas 1987 - 2017

TIPOS DE VIOLACIONES DE SEGURIDAD Comprobación del tipo de violación de seguridad que se ha producido VALORACIÓN DEL TIPO DE VIOLACIÓN DE LA SEGURIDAD VIOLACIÓN DE LA CONFIDENCIALIDAD

Comunicación o acceso no autorizados a los datos

VIOLACIÓN DE LA DISPONIBILIDAD

Pérdida de acceso o destrucción de los datos

VIOLACIÓN DE LA INTEGRIDAD

Alteración no autorizada de los datos

30 años ribas 1987 - 2017

Incidentes de seguridad Protocolo de actuación

30 años ribas 1987 - 2017

NOTIFICACIÓN Cuándo hay que notificar la brecha de seguridad

30 años ribas 1987 - 2017

OTRAS MATERIAS Previstas para la nueva LOPD

30 años ribas 1987 - 2017

Video vigilancia Regulación en el Proyecto de LOPD

Videovigilancia 1. Finalidad de preservar la seguridad de personas, bienes e instalaciones. 2. Imágenes de la vía pública: sólo en la medida en que resulte imprescindible. 3. Extensión superior en el caso de bienes o instalaciones estratégicas e infraestructuras de transporte. 4. Supresión de los datos en el plazo de un mes. 5. Salvo para acreditar la comisión de actos contra la integridad de personas, bienes o instalaciones.

6. No será de aplicación la obligación de bloqueo. 7. Deber de información mediante dispositivo informativo + hojas a disposición de los afectados. 8. Tratamiento para funciones de control de trabajadores según artículo 20.3 ET, previa información.

30 años ribas 1987 - 2017

Sanciones En el sector público

Resolución sancionadora:

Actuaciones disciplinarias

1.

Apercibimiento

2.

Medidas Correctoras

Procedimiento y sanciones se regirán por las establecidas en la legislación que sea aplicable.

3.

Notificación al responsable y al superior jerárquico y en su caso interesado.

30 años ribas 1987 - 2017

Prioridad 3: Accountability Responsabilidad proactiva y evidencias de cumplimiento

49

©️ Ribas y Asociados 2010 - 2017

30 años ribas 1987 - 2017

http://www.agpd.es/portalwebAGPD/te mas/reglamento/common/pdf/Impacto _RGPD_en_AALL.pdf

50

©️ Ribas y Asociados 2010 - 2017

30 años ribas 1987 - 2017

Microsoft Secure (GDPR approach) Samuel Marín| Solution Sales Specialist

30 años ribas 1987 - 2017