LA GESTIÓN DE RIESGOS

LA GESTIÓN DE RIESGOS

EXECyL - Fundación para la Excelencia Empresarial

de Castilla y León

EL RIESGO

Riesgo (ISO 31000: 2018)

Efecto de la incertidumbre

en los objetivos

Abraracurcix, el jefe de la tribu, es

valiente y supersticioso, es respetado

por sus hombre y temido por sus

enemigos, solo le teme a una cosa que

el cielo se desplome sobre sus cabeza,

pero como el dice,

SISTEMA DE GESTIÓN DE RIESGOS

PENALES

CONTROL Y GESTIÓN DEL RIESGO PENAL

Cont

rol

y

G

es

ti

ón

de

l Ri

es

go

P

en

al

Res

pu

es

ta

B

e

n

e

fic

io

s

Tres referencias principales:

1. Código Penal, Reforma Julio 2015:

“La persona jurídica quedará exenta de responsabilidad si […] el órgano de

administración ha adoptado y ejecutado con eficacia, […] modelos de

organización y gestión que incluyen las medidas de vigilancia y control

idóneas para prevenir delitos…” (Art. 31 bis)

2. Recomendaciones de la Fiscalía General del Estado para la

interpretación y desarrollo del Art. 31 bis (Circular 1/2016):

Conveniencia de externalizar diferentes tareas en los modelos de prevención de delitos porque:

•

Asegura una “mirada no viciada”.

•

Con independencia de que el órgano de supervisión y control sea interno, se considera buena práctica la

existencia de asesores externos dando soporte al modelo.

RESPUESTA

Identificación

Cuantificación

Informe

Análisis Riesgos Penales

Mapa de Riesgos Penales

Canal de Denuncias y otros Proc. de Apoyo

Comunicación y Formación

Sistema de Gestión de

Riesgos Penales – SGRP

Gap análisis Vs requisitos ISO 19600

Recomendaciones / Mejoras

Informe

Auditoría / preparación

para la certificación

Análisis y tratamiento de riesgos automatizado

Indicadores y métricas para el mantenimiento diario

Auditorías periódicas

Software GlobalSUITE®

Compliance Penal

Transferencia: posibilidad de obtener cobertura plena en la Póliza de Consejeros y Directivos.

Para más información: Unidad D&O de WTW.

Cont

rol

y

G

es

ti

ón

de

l Ri

es

go

P

en

al

Res

pu

es

ta

B

e

n

e

fic

io

s

BENEFICIOS

Cont

rol

y

G

es

ti

ón

de

l Ri

es

go

P

en

al

Res

pu

es

ta

B

en

ef

ic

ios

• Previene la ocurrencia de delitos.

• Mejora la imagen y reputación.

• Posible exención de sanciones penales.

• Software que facilita su implantación y monitorización, ayudando al

Compliance Officer en su labor.

• Facilita la cobertura plena en las Pólizas de Consejeros y Directivos.

• En definitiva:

Control sobre

los posibles

riesgos penales

de la

organización

Impacto sobre

las personas

jurídicas y la

organización.

SOLUCIÓN PRÁCTICA PARA LA IMPLANTACIÓN DEL SISTEMA DE

GESTION DE RIESGOS PENALES ( SGRP)

•

Cumplimiento de los requisitos necesarios para poder implantar un SGRP.

•

Herramienta de ayuda para el Compliance Officer.

•

Análisis y tratamiento de riesgos de manera automatizada.

•

Módulo de indicadores y métricas para el mantenimiento diario.

•

Posibilidad de hacer auditorías periódicas.

•

Gestor documental, catálogo de servicios, gestión de proyecto, alertas,

etc.

Cont

rol

y

G

es

ti

ón

de

l Ri

es

go

P

en

al

Res

pu

es

ta

B

e

n

e

fic

io

s

REGLAMENTO GENERAL

PROTECCIÓN DE DATOS

(RGPD)

¿DÓNDE SE APLICARÍA?

En todos los países de la Unión

Europea, ampliándose a empresas

no establecidas en la misma, que

realicen tratamientos derivados de

una oferta de bienes o servicios

destinados a ciudadanos de la Unión

Europea.

¿CUAL HA SIDO LOS PASOS HASTA HOY?

25 Mayo

2018

APLICACIÓN

1999

LOPD

2016

RGPD

2017

Transición

Hasta ahora: L.O.

15/1999 + R.D.

1720/2007

Publicación nuevo

Reglamento Europeo

de Protección de

Datos (UE) 2016/679

Periodo de 2 años

para adaptarse al

nuevo reglamento

europeo

Entrada en vigor del

RGPD

¿POR QUÉ ES NECESARIO EL RGPD?

Año

2016

Año

2017

123.064

(nº incidentes)

114.445

(nº incidentes)

+7%

*

¿

TENÍA QUE HABERME ADAPTARME AL NUEVO

REGLAMENTO

?

¿ES SÓLO PARA GRANDES EMPRESAS O PARA TODAS?

GRANDES

EMPRESAS

Producción

(sin datos personales)

PYMES

Servicio personal

¿EN QUE ME VA A AFECTAR?

MEDIDAS DE TRATAMIENTOS

REGISTRO DE TRATAMIENTO

NOTIFICACIÓN EN 72h A LA AEPD

DATA PROTECTION OFFICER (DPO)

RESPONSABILIDAD

ACTIVA

• Mediante una herramienta informática,

por ejemplo.

• Evaluaciones

de

impacto

sobre la protección de datos

• Promoción de códigos de

conducta y esquemas de

certificación

• Protección de datos desde el

diseño y por defecto

• Notificación de las brechas de

seguridad

• Máximo de 72 horas para la

comunicación

• La Asociación Española de Protección

de Datos (AEPD) debe ser informada

con la mayor celeridad

• Nombramiento por la Dirección

• Comunicación AEPD

• Evaluación del cumplimiento de

las aptitudes necesarias.

La evaluación de impacto (EIPD o PIA) se

hará solo a los tratamientos que hayan

sido con riesgo alto en la evaluación de

riesgos anterior.

La EIPD/PIA no deja ser otro análisis de

riesgos, pero con mayo profundidad y

muchos más técnico.

¿CÓMO PUEDO ESTAR INCUMPLIENDO CON EL RGPD?

TIPO DE AMENAZA

AMENAZA

PREGUNTAS

IDENTIFICATIVAS

ACCESO ILEGÍTIMO

DE DATOS

•

Pérdidas de dispositivos móviles

•

Fuga de información

•

Acceso intencionado por

personal no autorizado

•

Ataques intencionados

•

Uso ilegitimo de datos

personales

• ¿Los móviles y dispositivos de

almacenamiento están cifrados?

• ¿Existen métodos para extraer dato

durante la operación de tratamiento?

• ¿La operación de tratamiento es

susceptible al hacking? ¿es susceptible

de ataques de phising?

MODIFICACIÓN NO

AUTORIZADA

•

Ataque para la suplantación de

identidad

•

Errores en los procesos de

recopilación y captura de

información

•

Modificación no autorizada de

datos de manera intencionada

• ¿Existen credenciales o mecanismos de

control?¿Se revisan periódicamente?

• ¿Existen controles sobre la integridad de

la información durante el proceso de

captura de datos? ¿se identifica

adecuadamente al interesado que

proporciona los datos?

ELIMINACIÓN DE LOS

DATOS

• Corte de suministro eléctrico o

fallos en servicios de

comunicaciones

• Error humano o ataque

intencionado provoca borrado o

perdida de datos

• Desastres naturales

• ¿Un fallo de suministro eléctrico puede

implicar la perdida de datos?¿un fallo en

los servicios de comunicaciones puede

ocasionar una perdida de datos?

• ¿Los datos pueden ser eliminados

únicamente por el personal

autorizado?¿Existen copias de

seguridad?

UN EJEMPLO PRÁCTICO: ¿CÓMO HABRÍA QUE ACTUAR EN UN HOSPITAL?

Hardware /

Edificios

Base de

datos /

Zonas

Aplicaciones

/Papel

Tratamientos

Historia

Clínica

Programa de

Gestión

Aplicación

Base de datos

Servidor

CPD

Archivo en

papel

Zona archivo

de planta

Archivo

general del

Hospital

¿CUÁL ES LA SOLUCIÓN?

Lo primero de todo es cumplir el RGPD, que a su vez nos obliga a:

1.

Hacer análisis de riesgos e implantar controles de seguridad.

2.

Concienciar a las personas en el buen uso de los datos.

3.

No ceder datos sin consentimiento expreso.

4.

Gestionar y comunicar los incidentes de seguridad.

5.

Hacer revisiones periódicas del estado de la seguridad.

No hay una solución única

, ni una serie de normas mínimas con las

¿CÓMO PODEMOS AYUDARTE DESDE GERENCIA DE RIESGOS?

Mejora

Revisiones

periódicas

Informe

Requisitos Legales &

Técnicos

Entrevistas

Interlocutores

expertos

Cuestionario

Especializado

Revisión / Adaptación Nuevo Reglamento RGPD

Software GlobalSUITE®-Data Protection (RGPD)

23

Willis Towers Watson | Willis Iberia

C / Martínez Villergas 52. 4ª planta.

Madrid, 28027 | Spain

Gracias por su atención

Fernando Redondo

Director Gerencia de Riesgos

fernando.redondo@willistowerswatson.com

T +34 91 423 34 39

M +34 699 967 045

Oliver Becerro

Director Oficina Valladolid

oliver.becerro@willistowerswatson.com

D +34 983 372 251

M +34 609 611 019

Antonio Quevedo

CEO Audisec

aquevedo@audisec.es

M +34 616 456 212