RGPD, DPO, ENS y ANY Como encaja todo

(1)

RGPD, DPO, ENS y

ANY

(2)

(3)

Estamos ubicados en unas instalaciones inmejorables, en el Parc Científic de la Universitat de Valencia

(4)

FORMACIÓN Y CERTIFICACIÓN OFICIAL:

DPO y RGPD, ITIL

_{©, PRINCE2 ©, ISO 27001, SCRUM}

CONSULTORÍA:

(5)

Jorge Sánchez López

Consultor TIC, CIO, Profesor certificado: Scrum Manager®, Lean IT ®, Prince 2®, ITIL ®, Inbound Marketing HubSpot® Ingeniero Informático y CAP por la UPV, Cibercooperante, Coach Agile

Otras certificaciones: Scrum Level, SMstudy® Certified Digital Marketing Associate SMstudy® Certified Marketing Strategy Associate Scrum Fundamentals Certified Six Sigma Yellow Belt , LPI-C2 Unix , (ACSR, CSCE, AQPS, CSCA, ACFE, CSE) Alcatel-Lucent

Experto Docente Formación TIC Certificados Profesionalidad jsanchez@mobiliza.net

30 años de Experiencia

(6)

Jorge Edo Juan

Ingeniero en Telecomunicaciones, MBA y Master en Dirección IT por la Universidad Politécnica de Valencia, Master en Protección de datos Sanitarios por la Universidad de Cádiz

Certificaciones: DPO, CISA, ISO 27001 Lead Auditor y Lead Implementer, Prince2 ©, ITIL © Expert, SCRUM Manager, Lean IT

Más de 20 años de experiencia como Consultor Tecnológico. Experto en Seguridad Informática, Ciberseguridad, Gestión de Proyectos y Protección de Datos

(7)

ÍNDICE

• LOPD Versus RGPD

• Repercusiones

• Análisis de Riesgos

• Análisis de Impacto

• Gestión de Incidentes

• DPO en las AALL y Entidades Públicas

• RGPD en AALL

(8)

(9)

Entrada en vigor

El Reglamento europeo de Protección

de Datos entró en vigor el 25 de mayo

de 2016 y será de obligatorio

cumplimiento el

25 de mayo del 2018.

A partir del 25 de Mayo del 2018 la

LOPD actual deja de tener vigencia

(10)

10 Novedades

1.-

Nuevos derechos de los

ciudadanos: olvido y

portabilidad

(11)

10 Novedades

2.-

Creación de la figura

del Delegado de

Protección de Datos

(DPD o DPO)

(12)

10 Novedades

3.-

Obligaciones de realizar

Análisis de Riesgos y

Evaluaciones de

(13)

10 Novedades

3.-

Obligaciones de realizar

Análisis de Riesgos y

Evaluaciones de

(14)

10 Novedades

4.-

Obligación de registrar

documentalmente las

operaciones de

(15)

10 Novedades

5.-

Nuevas notificaciones a

la AEPD. Incidentes o

brechas de seguridad

(16)

10 Novedades

6.-

Sistemas de iconos

armonizado para todos

los países de la UE

(17)

10 Novedades

7.-

Aumento significativo

de la cuantía de las

sanciones

(18)

10 Novedades

8.-

Ventanilla única para

todos los países de la

Unión Europea

(19)

10 Novedades

9.-

Obligaciones para

nuevas categorías

(20)

10 Novedades

10.-

Aparición de nuevos

(21)

(22)

LOPD

(23)

Inscripción de Ficheros en la AEPD

(24)

Documento de Seguridad

(25)

Registro de Incidencias

(26)

Aplicar medidas según niveles

(27)

(28)

RGPD

(29)

Análisis de Riesgos

(30)

Disponer de un DPD

(31)

Privacidad desde el Diseño

(32)

Evaluación de Impacto (PIA)

(33)

Códigos de Conducta, certificaciones

(34)

(35)

(36)

(37)

Análisis de Riesgos

Art. 32 RGPD:

1.- Teniendo en cuenta:

• El estado de la técnica, los costes de aplicación, y • la naturaleza, el alcance, el contexto y los fines del tratamiento, así como • riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas,

(38)

Análisis de Riesgos

Art. 32 RGPD:

El responsable y el encargado del tratamiento aplicarán:

• Medidas técnicas y organizativas apropiadas para garantizar

(39)

(40)

(41)

Análisis de Impacto. DPIA

Un DPIA es un proceso diseñado para describir el procesamiento, evaluar la necesidad y la proporcionalidad de un procesamiento y ayudar a gestionar los riesgos a los derechos y libertades de las personas físicas resultantes del tratamiento de datos personales (mediante su evaluación y determinación de las medidas para abordarlos).

(42)

Análisis de Impacto. DPIA

Cuando sea probable que un tipo de tratamiento, en particular si

utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.

(43)

(44)

(45)

Gestión de Incidentes

Art. 32 RGPD:

En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

(46)

Gestión de Incidentes

Si la notificación a la autoridad de control no

tiene lugar en el plazo de 72 horas, deberá ir

acompañada de indicación de los motivos de la

dilación.

(47)

Gestión de Incidentes

Comunicación al interesado

1. Cuando sea probable que la violación de la

seguridad de los datos personales entrañe un alto

riesgo para los derechos y libertades de las personas

físicas,

el responsable del tratamiento la comunicará al

interesado sin dilación indebida

(48)

(49)

(50)

Gestión de Incidentes. Ejemplo

Criptolocker

ha encriptado datos de ciudadanos que

una entidad pública tenía almacenados y nos vemos

obligados a restaurar desde backup. La última copia no

ha sido correcta y recuperamos datos de la copia

realizada con 48 horas de antelación a la fecha actual.

(51)

(52)

DPD. Obligatorio

1.- Tratamiento por

autoridad u

organismo público

, excepto los

tribunales que actúen en ejercicio

de su función judicial”.

(53)

DPD. Obligatorio

¿ DPD. EXPERTO EN

(54)

DPD. Competencias

Experiencia en leyes nacionales e internacionales en PD Comprensión de las actividades de tratamiento Conocimiento de TI y seguridad Conocimiento del sector empresarial Promover la cultura de PD Trabajo en equipo Liderazgo

(55)

DPD. Obligatorio

¿ DPD INTERNO O

EXTERNO?

(56)

DPD. Funciones

Informar y evaluar al encargado de tratamiento y a los empleados que se ocupen de las obligaciones que les incumben en relación a la

protección de datos

Supervisar el cumplimiento con la regulación aplicable en relación a la protección de datos

Supervisar las políticas de tratamiento del responsable y el encargado de tratamiento

Asesorar durante la evaluación del impacto en protección de datos

(57)

DPD. Esquema Certificación

Esquema AEPD y ENAC certificación

de DPDs

¿Requisitos para ser DPD?

Experiencia Demostrable

(58)

(59)

RECURSOS DISPONIBLES

Recursos AEPD RGPD Administraciones Públicas

• Guía práctica de Análisis de riesgos

• Guía práctica de Evaluaciones de impacto

(60)

RECURSOS DISPONIBLES

Administraciones Públicas

• Adaptación al RGPD - Administraciones Públicas

(infografía)

• El nuevo RGPD y su impacto sobre la actividad de las

Administraciones Locales

• El impacto del Reglamento General de Protección de

Datos sobre la actividad de las Administraciones Públicas

• El delegado de protección de datos en las

Administraciones Públicas

(61)

(62)

(63)

RGPD ADMIN. PÚBLICAS

(64)

RGPD ADMIN. PÚBLICAS

(65)

(66)

Certificaciones

Artículo 42.

Los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán, en particular a nivel de la Unión, la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de tratamiento de los responsables y los encargados.

(67)

Certificaciones. ENS

El RGPD recomienda el uso de

esquemas de

certificación

como la

ISO 27001

y el

ENS

(Esquema

Nacional de Seguridad) como una forma de

proporcionar la garantía necesaria

de que la

organización es efectivamente capaz de gestionar sus

riesgos de seguridad de la información.

(68)

Certificaciones. ENS

El

CCN-CERT

y la

AEPD

establecen un mecanismo

de colaboración para ofrecer a las Administraciones

Públicas una referencia de cumplimiento normativo en

materia de protección de datos y seguridad.

(69)

Certificaciones. ENS

El Esquema Nacional de Seguridad y el RGPD establecen la obligación de que la Administraciones Públicas realicen

análisis de riesgos para determinar el posible impacto de los tratamientos de datos sobre los derechos y libertades de las personas y las medidas de seguridad aplicables.

En este sentido, la AEPD ha publicado un documento en el que pone de manifiesto que esas medidas de seguridad

−en el caso de las AAPP− estarán marcadas por los criterios establecidos en el Esquema Nacional de Seguridad.

(70)

(71)

Certificaciones. ENS

La adecuación al ENS y al ANY es obligatoria desde el

30 de Enero del 2014, y desde el

4 de Noviembre del

2017

es obligatoria para la entidad pública el

certificarse con una certificadora dada de alta en

ENAC para el ENS en caso de que maneje datos de

nivel medio y alto.

(72)

(73)

(74)

(75)

(76)

(77)

Jorge Sánchez

Agile Coach

jsanchez@mobiliza.net @JorgeSanlo www.linkedin.com/in/jorgesanchezlopez www.mobilizaacademy.com Datos de Contacto

(78)

Jorge Edo

j.edo@mobiliza.net

https://www.linkedin.com/in/dpojorgeedo/

www.mobilizaacademy.com