rgpd, dpo, ens y any como encaja todo · dirección it por la universidad politécnica de valencia,...
TRANSCRIPT
Estamos ubicados en unas
instalaciones inmejorables, en el
Parc Científic de la Universitat de
Valencia
www.mobilizaacademy.com
FORMACIÓN Y CERTIFICACIÓN OFICIAL:
DPO y RGPD, ITIL ©, PRINCE2 ©, ISO 27001, SCRUM
CONSULTORÍA:
RGPD, ISO 27001, ENS, TRANSFORMACIÓN DIGITAL
Jorge Sánchez López
Consultor TIC, CIO, Profesor certificado: Scrum Manager®, Lean
IT ®, Prince 2®, ITIL ®, Inbound Marketing HubSpot® Ingeniero
Informático y CAP por la UPV, Cibercooperante, Coach Agile
Otras certificaciones: Scrum Level, SMstudy® Certified Digital
Marketing Associate SMstudy® Certified Marketing Strategy
Associate Scrum Fundamentals Certified Six Sigma Yellow Belt ,
LPI-C2 Unix , (ACSR, CSCE, AQPS, CSCA, ACFE, CSE) Alcatel-
Lucent
Experto Docente Formación TIC Certificados Profesionalidad
30 años de
Experiencia
Jorge Edo Juan
Ingeniero en Telecomunicaciones, MBA y Master en
Dirección IT por la Universidad Politécnica de Valencia,
Master en Protección de datos Sanitarios por la
Universidad de Cádiz
Certificaciones: DPO, CISA, ISO 27001 Lead Auditor y
Lead Implementer, Prince2 ©, ITIL © Expert, SCRUM
Manager, Lean IT
Más de 20 años de experiencia como Consultor Tecnológico. Experto en
Seguridad Informática, Ciberseguridad, Gestión de Proyectos y Protección de
Datos
ÍNDICE
• LOPD Versus RGPD
• Repercusiones
• Análisis de Riesgos
• Análisis de Impacto
• Gestión de Incidentes
• DPO en las AALL y Entidades Públicas
• RGPD en AALL
• ENS
Entrada en vigor
El Reglamento europeo de Protección de Datos entró en vigor el 25 de mayo de 2016 y será de obligatorio cumplimiento el 25 de mayo del 2018.
A partir del 25 de Mayo del 2018 la LOPD actual deja de tener vigencia
Análisis de Riesgos
Art. 32 RGPD:
1.- Teniendo en cuenta:
• El estado de la técnica, los costes de aplicación, y • la naturaleza, el alcance, el contexto y los fines del tratamiento, así como • riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas,
Análisis de Riesgos
Art. 32 RGPD:
El responsable y el encargado del tratamiento aplicarán:
• Medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo
Análisis de Impacto. DPIA
Un DPIA es un proceso diseñado para describir el procesamiento, evaluar la necesidad y la proporcionalidad de un procesamiento y ayudar a gestionar los riesgos a los derechos y libertades de las personas físicas resultantes del tratamiento de datos personales (mediante su evaluación y determinación de las medidas para abordarlos).
Análisis de Impacto. DPIA
Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.
Gestión de Incidentes
Art. 32 RGPD:
En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
Gestión de Incidentes
Si la notificación a la autoridad de control no
tiene lugar en el plazo de 72 horas, deberá ir
acompañada de indicación de los motivos de la
dilación.
Gestión de Incidentes
Comunicación al interesado
1. Cuando sea probable que la violación de la
seguridad de los datos personales entrañe un alto
riesgo para los derechos y libertades de las personas
físicas, el responsable del tratamiento la comunicará al
interesado sin dilación indebida
Gestión de Incidentes. Ejemplo
Criptolocker ha encriptado datos de ciudadanos que
una entidad pública tenía almacenados y nos vemos
obligados a restaurar desde backup. La última copia no
ha sido correcta y recuperamos datos de la copia
realizada con 48 horas de antelación a la fecha actual.
Consecuencia: Pérdida de datos de ciudadanos
DPD. Obligatorio
1.- Tratamiento por autoridad u
organismo público, excepto los
tribunales que actúen en ejercicio
de su función judicial”.
DPD. Competencias
Experiencia en leyes nacionales e internacionales
en PD
Comprensión de las actividades de tratamiento
Conocimiento de TI y seguridad
Conocimiento del sector
empresarial
Promover la cultura de PD
Trabajo en equipo
Liderazgo
DPD. Funciones
Informar y evaluar al encargado de tratamiento y a los empleados que se ocupen de las obligaciones que les incumben en relación a la protección de datos
Supervisar el cumplimiento con la regulación aplicable en relación a la protección de datos
Supervisar las políticas de tratamiento del responsable y el encargado de tratamiento
Asesorar durante la evaluación del impacto en protección de datos
Cooperar con las autoridades de control
DPD. Esquema Certificación
Esquema AEPD y ENAC certificación de DPDs
¿Requisitos para ser DPD?
Experiencia Demostrable
Formación inicial y Continua
RECURSOS DISPONIBLES
Recursos AEPD RGPD Administraciones Públicas
• Guía práctica de Análisis de riesgos
• Guía práctica de Evaluaciones de impacto
Jornada RGPD y Administración Local
RECURSOS DISPONIBLES
Administraciones Públicas
• Adaptación al RGPD - Administraciones Públicas
(infografía)
• El nuevo RGPD y su impacto sobre la actividad de las
Administraciones Locales
• El impacto del Reglamento General de Protección de
Datos sobre la actividad de las Administraciones Públicas
• El delegado de protección de datos en las
Administraciones Públicas
Certificaciones
Artículo 42.
Los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán, en particular a nivel de la Unión, la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de tratamiento de los responsables y los encargados.
Certificaciones. ENS
El RGPD recomienda el uso de esquemas de certificación como la ISO 27001 y el ENS (Esquema Nacional de Seguridad) como una forma de proporcionar la garantía necesaria de que la organización es efectivamente capaz de gestionar sus riesgos de seguridad de la información.
Certificaciones. ENS
El CCN-CERT y la AEPD establecen un mecanismo de colaboración para ofrecer a las Administraciones Públicas una referencia de cumplimiento normativo en materia de protección de datos y seguridad.
Certificaciones. ENS
El Esquema Nacional de Seguridad y el RGPD establecen la obligación de que la Administraciones Públicas realicen análisis de riesgos para determinar el posible impacto de los tratamientos de datos sobre los derechos y libertades de las personas y las medidas de seguridad aplicables.
En este sentido, la AEPD ha publicado un documento en el que pone de manifiesto que esas medidas de seguridad −en el caso de las AAPP− estarán marcadas por los criterios establecidos en el Esquema Nacional de Seguridad.
Certificaciones. ENS
La adecuación al ENS y al ANY es obligatoria desde el 30 de Enero del 2014, y desde el 4 de Noviembre del 2017 es obligatoria para la entidad pública el certificarse con una certificadora dada de alta en ENAC para el ENS en caso de que maneje datos de nivel medio y alto.
Jorge Sánchez
Agile Coach
@JorgeSanlo
www.linkedin.com/in/jorgesanchezlopez
www.mobilizaacademy.com
Datos de Contacto
Jorge Edo
https://www.linkedin.com/in/dpojorgeedo/
www.mobilizaacademy.com
Datos de Contacto