IMPLANTACIÓ DEL MODEL DE PROTECCIÓ DE DADES DE CARÀCTER PERSONAL I DE POLÍTICA DE PRIVACITAT A LA DIPUTACIÓ DE BARCELONA
Carme Sánchez i OrsResponsable Corporativa de Protecció de dadesBarcelona, 28 de setembre de 2010
Estructura organitzativa complexa:
14 Àrees
32 Direccions/Gerències de serveis
68 Serveis/Oficines
6 Ens de gestió amb personalitat pròpia (funcions)
> 20 Òrgans de gestió participats
4.300 treballadors
Àrea Presidència – Direcció de Secretaria - Arxiu
Àrea Hisenda i Recursos Interns – Direcció de Serveis Tecnològics i Sistemes Corporatius
Responsable Corporativa LOPD
Responsable de Seguretat dels Sistemes Corporatius
Les figures corporatives de protecció de dades
Resp. seguretat
• Automatitzat• No Automatitzat
Resp. gestió
• Caps de Servei/Oficina• Gerents/Directors serveis
Resp. drets ARCO
• Registre gral.• Secretaria• Resp. Gestió
Usuaris de les dades
• Personal autoritzat
Propietaris de les dades
• Ciutadans • Treballadors
Comitè directiu protecció dades
Projecte corporatiu de P
rotecció de dades
Àmbit municipal
• Responsables assistència municipal
3rs
• Encarregats del tractament• Altres administr.
Referents
• Per cada serveigestor
President
Responsable corporativa
• Coordinador de l’Àrea d’Hisenda i Recursos Interns. Actua de President.
• D.S. de Tecnologíes i Sistemes Corporatius.
• Subd. de Planificació i Serveis Informàtics. Responsable de seguretat dels sistemes corp.
• Subd. Desenvolupament de Sistemes d’Informació.
• Subd. de Logística.
• D.S. Recursos Humans.
• D.S. de Secretaria.
• Secretari delegat.
• Responsable corporativa en Protecció de dades. Actua de Secretària.
Delegació del President
Comitè directiu Protecció dades
• Fixar les directrius operatives LOPD.
• Establir els criteris d’actuació i assessorament dels diferents àmbits de suport.
• Avaluar els informes de seguretat, així com els informes d’auditoria.
• Impulsar i avaluar els processos d’adequació dels fitxers i tractaments, i proposar a l’òrgan competent l’adopció de mesures tècniques, organitzatives i de gestió.
• Elevar als òrgans de govern les propostes relatives als actes administratius vinculats.
Delegació del President
Comitè directiu Protecció dades
Responsable corporativa
• Supervisa i controla, a nivell operatiu, les activitats vinculades a la protecció de dades i sistemes d’informació corporatius generades per l’execució dels diferents programes d’actuació, d’acord amb les disposicions normatives i els procediments establerts pel Comitè Directiu.
• Dirigeix les auditories.
• Responsable d’Atenció a l’Afectat.
• Interlocutora amb les autoritats de control.
Responsabledrets ARCO
• Personal autoritzat
Gestionar el procediment corporatiu que garanteix els drets als afectats.
Secretaria
Valora la resposta
Registre general
Rep la peticiói la transmet
Responsable de Gestió
Busca la informació
Responsable corporativa
En fa el seguiment
Definició en procés. Inclusió entre les competències de la RCPD
• Equivalent a la vigent figura del Responsable de Tractament, segons el Reglament 1720/2007
• Recau en el/la gerent de l’organisme autònom, director de serveis, gerent de serveis, coordinadors, comissionats o assimilats; promotor del Fitxer/Tractament.
• Per aquells casos en que es tractin dades fora dels sistemes corporatius o en tercers països també serà el responsable de seguretat.
Responsable de Gestió
Automatitzats gestionats per la DSTSC- El Responsable de seguretat corporatiu.
Atomatitzats no gestionats per la DSTSC- El Responsable de gestió.
NO automatitzats- El Responsable de gestió.
Fitxers Mixtes (paper i automatitzat)-El RSC i/o el RG
En estudi la creació del Comitè de seguretat que inclogui l’ENS i Privacitat.
Resp. seguretat
• Automatitzat• No Automatitzat
Referents
• Per cada serveigestor
• Tot el model gira en torn seu.
• Cooperen amb la RC en l’adequació
del seu àmbit.
• Són l’enllaç entre el servei i la RC.
• Coneixedors del seu entorn de gestió.
• Coneguts pels seus companys.
• Reben formació específica.
• Disposen d’eines per facilitar-los la
gestió.
El Pla d’adequació
Proposta actuació
1r Difusió
Difusió planificada sobre el projecte
• Interna: Directius, comandaments i treballadors• APDcat
Referents • Identificació (1 o més)• Per àrees o serveis • Aprenentatge
Proposta actuació
Auditoria /Informe de Situació
Revisió i elaboració document de seguretat
Actualització de l’inventari de fitxers
Validació i redacció de clàusules, llegendes i
contractes
Implementació deficiències detectades
• Totes les Àrees• Organismes depenents• Presentació informe al Comitè directiu de seguretat
• Fitxers corporatius per finalitats comunes• Fitxers unitats gestores per finalitats específiques
2n Diagnosi i adequació
Proposta actuació
Controls periòdics
Informació per al personal
Assessorament i consultes
• Formació bàsica i específica• Presencial i no presencial• Ha d’Incloure:
Manual de funcions i obligacions +Contingut document de seguretat+ Resultat de l’informe de situació
• Referents• Auditories bianuals• Control implementació canvis• Seguiment eina corporativa
• Referents• Resta personal
3r Suport continuat
Principals dificultats
• Organització corporativa complexa, i jerarquitzada, que fa que no sempre que s’hauria d’acudir a la RCPD es faci.
• Manca de difusió generalitzada del projecte entre el personal de la corporació.
• Recursos, humans i econòmics, clarament insuficients que fan que la implantació sigui més lenta del desitjat.
• Ubicació a l’organigrama: Independència? .
• Deficient definició de les funcions de la RCPD.
• Canvis en l’alta direcció que poden ocasionar una pèrdua d’impuls.
• Manca d’una norma, estatal o autonòmica, que reguli la necessitat de la figura i les seves competències mínimes.
• Resistències per part d’alguns col·lectius que se senten “controlats”.
Elements clau
• El President ha encarregat l’actuació.
• Les figures especialitzades: Responsable corporativa i Referent en protecció de dades de cada àmbit asseguren una atenció constant.
• Independència i dedicació exclusiva de la RCPD.
• Es millora el “govern” de la protecció de dades.
• Homogenització corporativa. Procediments i protocols comuns.
• Millora la transversalitat amb el treball conjunt dels referents dels diferents àmbits.
• Millora la transparència. Projecte transversal: Grup de treball d’accés a la informació.
• Relació directa amb l’ENS.