RGPD, DPO, ENS y
ANY
Estamos ubicados en unas instalaciones inmejorables, en el Parc Científic de la Universitat de Valencia
FORMACIÓN Y CERTIFICACIÓN OFICIAL:
DPO y RGPD, ITIL
©, PRINCE2 ©, ISO 27001, SCRUM
CONSULTORÍA:
Jorge Sánchez López
Consultor TIC, CIO, Profesor certificado: Scrum Manager®, Lean IT ®, Prince 2®, ITIL ®, Inbound Marketing HubSpot® Ingeniero Informático y CAP por la UPV, Cibercooperante, Coach Agile
Otras certificaciones: Scrum Level, SMstudy® Certified Digital Marketing Associate SMstudy® Certified Marketing Strategy Associate Scrum Fundamentals Certified Six Sigma Yellow Belt , LPI-C2 Unix , (ACSR, CSCE, AQPS, CSCA, ACFE, CSE) Alcatel-Lucent
Experto Docente Formación TIC Certificados Profesionalidad jsanchez@mobiliza.net
30 años de Experiencia
Jorge Edo Juan
Ingeniero en Telecomunicaciones, MBA y Master en Dirección IT por la Universidad Politécnica de Valencia, Master en Protección de datos Sanitarios por la Universidad de Cádiz
Certificaciones: DPO, CISA, ISO 27001 Lead Auditor y Lead Implementer, Prince2 ©, ITIL © Expert, SCRUM Manager, Lean IT
Más de 20 años de experiencia como Consultor Tecnológico. Experto en Seguridad Informática, Ciberseguridad, Gestión de Proyectos y Protección de Datos
ÍNDICE
•
LOPD Versus RGPD
•
Repercusiones
•
Análisis de Riesgos
•
Análisis de Impacto
•
Gestión de Incidentes
•
DPO en las AALL y Entidades Públicas
•
RGPD en AALL
Entrada en vigor
El Reglamento europeo de Protección
de Datos entró en vigor el 25 de mayo
de 2016 y será de obligatorio
cumplimiento el
25 de mayo del 2018.
A partir del 25 de Mayo del 2018 la
LOPD actual deja de tener vigencia
10 Novedades
1.-
Nuevos derechos de los
ciudadanos: olvido y
portabilidad
10 Novedades
2.-
Creación de la figura
del Delegado de
Protección de Datos
(DPD o DPO)
10 Novedades
3.-
Obligaciones de realizar
Análisis de Riesgos y
Evaluaciones de
10 Novedades
3.-
Obligaciones de realizar
Análisis de Riesgos y
Evaluaciones de
10 Novedades
4.-
Obligación de registrar
documentalmente las
operaciones de
10 Novedades
5.-
Nuevas notificaciones a
la AEPD. Incidentes o
brechas de seguridad
10 Novedades
6.-
Sistemas de iconos
armonizado para todos
los países de la UE
10 Novedades
7.-
Aumento significativo
de la cuantía de las
sanciones
10 Novedades
8.-
Ventanilla única para
todos los países de la
Unión Europea
10 Novedades
9.-
Obligaciones para
nuevas categorías
10 Novedades
10.-
Aparición de nuevos
LOPD
Inscripción de Ficheros en la AEPD
Documento de Seguridad
Registro de Incidencias
Aplicar medidas según niveles
RGPD
Análisis de Riesgos
Disponer de un DPD
Privacidad desde el Diseño
Evaluación de Impacto (PIA)
Códigos de Conducta, certificaciones
Análisis de Riesgos
Art. 32 RGPD:
1.- Teniendo en cuenta:
• El estado de la técnica, los costes de aplicación, y • la naturaleza, el alcance, el contexto y los fines del tratamiento, así como • riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas,
Análisis de Riesgos
Art. 32 RGPD:
El responsable y el encargado del tratamiento aplicarán:
• Medidas técnicas y organizativas apropiadas para garantizar
Análisis de Impacto. DPIA
Un DPIA es un proceso diseñado para describir el procesamiento, evaluar la necesidad y la proporcionalidad de un procesamiento y ayudar a gestionar los riesgos a los derechos y libertades de las personas físicas resultantes del tratamiento de datos personales (mediante su evaluación y determinación de las medidas para abordarlos).
Análisis de Impacto. DPIA
Cuando sea probable que un tipo de tratamiento, en particular si
utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.
Gestión de Incidentes
Art. 32 RGPD:
En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
Gestión de Incidentes
Si la notificación a la autoridad de control no
tiene lugar en el plazo de 72 horas, deberá ir
acompañada de indicación de los motivos de la
dilación.
Gestión de Incidentes
Comunicación al interesado
1. Cuando sea probable que la violación de la
seguridad de los datos personales entrañe un alto
riesgo para los derechos y libertades de las personas
físicas,
el responsable del tratamiento la comunicará al
interesado sin dilación indebida
Gestión de Incidentes. Ejemplo
Criptolocker
ha encriptado datos de ciudadanos que
una entidad pública tenía almacenados y nos vemos
obligados a restaurar desde backup. La última copia no
ha sido correcta y recuperamos datos de la copia
realizada con 48 horas de antelación a la fecha actual.
DPD. Obligatorio
1.- Tratamiento por
autoridad u
organismo público
, excepto los
tribunales que actúen en ejercicio
de su función judicial”.
DPD. Obligatorio
¿ DPD. EXPERTO EN
DPD. Competencias
Experiencia en leyes nacionales e internacionales en PD Comprensión de las actividades de tratamiento Conocimiento de TI y seguridad Conocimiento del sector empresarial Promover la cultura de PD Trabajo en equipo LiderazgoDPD. Obligatorio
¿ DPD INTERNO O
EXTERNO?
DPD. Funciones
Informar y evaluar al encargado de tratamiento y a los empleados que se ocupen de las obligaciones que les incumben en relación a la
protección de datos
Supervisar el cumplimiento con la regulación aplicable en relación a la protección de datos
Supervisar las políticas de tratamiento del responsable y el encargado de tratamiento
Asesorar durante la evaluación del impacto en protección de datos
DPD. Esquema Certificación
Esquema AEPD y ENAC certificación
de DPDs
¿Requisitos para ser DPD?
Experiencia Demostrable
RECURSOS DISPONIBLES
Recursos AEPD RGPD Administraciones Públicas
• Guía práctica de Análisis de riesgos
• Guía práctica de Evaluaciones de impacto
RECURSOS DISPONIBLES
Administraciones Públicas
• Adaptación al RGPD - Administraciones Públicas
(infografía)
• El nuevo RGPD y su impacto sobre la actividad de las
Administraciones Locales
• El impacto del Reglamento General de Protección de
Datos sobre la actividad de las Administraciones Públicas
• El delegado de protección de datos en las
Administraciones Públicas
RGPD ADMIN. PÚBLICAS
RGPD ADMIN. PÚBLICAS
Certificaciones
Artículo 42.
Los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán, en particular a nivel de la Unión, la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de tratamiento de los responsables y los encargados.
Certificaciones. ENS
El RGPD recomienda el uso de
esquemas de
certificación
como la
ISO 27001
y el
ENS
(Esquema
Nacional de Seguridad) como una forma de
proporcionar la garantía necesaria
de que la
organización es efectivamente capaz de gestionar sus
riesgos de seguridad de la información.
Certificaciones. ENS
El
CCN-CERT
y la
AEPD
establecen un mecanismo
de colaboración para ofrecer a las Administraciones
Públicas una referencia de cumplimiento normativo en
materia de protección de datos y seguridad.
Certificaciones. ENS
El Esquema Nacional de Seguridad y el RGPD establecen la obligación de que la Administraciones Públicas realicen
análisis de riesgos para determinar el posible impacto de los tratamientos de datos sobre los derechos y libertades de las personas y las medidas de seguridad aplicables.
En este sentido, la AEPD ha publicado un documento en el que pone de manifiesto que esas medidas de seguridad
−en el caso de las AAPP− estarán marcadas por los criterios establecidos en el Esquema Nacional de Seguridad.
Certificaciones. ENS
La adecuación al ENS y al ANY es obligatoria desde el
30 de Enero del 2014, y desde el
4 de Noviembre del
2017
es obligatoria para la entidad pública el
certificarse con una certificadora dada de alta en
ENAC para el ENS en caso de que maneje datos de
nivel medio y alto.
Jorge Sánchez
Agile Coach
jsanchez@mobiliza.net @JorgeSanlo www.linkedin.com/in/jorgesanchezlopez www.mobilizaacademy.com Datos de ContactoJorge Edo
j.edo@mobiliza.net
https://www.linkedin.com/in/dpojorgeedo/
www.mobilizaacademy.com