REGULACIÓN NECESARIA: LA NORMATIVA DEBE EVOLUCIONAR … · el tratamiento de datos personales de...
Transcript of REGULACIÓN NECESARIA: LA NORMATIVA DEBE EVOLUCIONAR … · el tratamiento de datos personales de...
REGULACIÓN NECESARIA: LA
NORMATIVA DEBE EVOLUCIONAR AL MISMO RITMO QUE LA TECNOLOGÍA.
¿Qué nos deparará la entrada en vigor del GDPR?
¿Cómo hacer negocio desde el cumplimiento normativo?
Recomendaciones
DATOS PERSONALES
Se considerará persona física dentificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular:
a) mediante un identificador, como por ejemplo:
un nombre,
un número de identificación,
datos de localización,
un identificador en línea o
b) uno o varios elementos propios de la identidad
física, fisiológica, genética, psíquica,
económica, cultural o social de dicha persona;
DISOCIACIÓN / PSEUDONIMIZACIÓN
Artículo 3.f) LOPD
A los efectos de la presente Ley Orgánica se entenderá por:
f) Procedimiento de disociación: todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.
Artículo 4.5 GDPR
A efectos del presente Reglamento se entenderá por:
(5) «seudonimización»: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional
(a) figure por separado y
(b) esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable;
Gestión del Dato
AUDITORIA Y MONITORIZACION
Información
• Cómo se busca, se obtiene y se registra el consentimiento.
• Qué datos poseemos
• Dónde y de dónde
• Con quién se comparte
• Por qué
Registro de actividades de tratamiento:
• El nombre y los datos de contacto del encargado y de cada responsable por cuenta del cual actúe el encargado.
• Las categorías de tratamientos efectuados por cuenta de cada responsable.
• En su caso, las transferencias de datos personales a un tercer país u organización internacional.
• Una descripción general de las medidas técnicas y organizativas de seguridad.
VENTANILLA UNICA
GDPR pone los derechos del individuo sin ambigüedades en el centro del marco.
• El derecho a estar informado• El derecho de acceso• El derecho a la rectificación• El derecho a restringir el procesamiento• El derecho a la portabilidad de datos• El derecho a oponerse• El derecho a no estar sujeto a la toma de decisiones automatizada, incluidos los perfiles• El derecho a borrado (derecho a ser olvidado)
TRANSFERENCIAS INTERNACIONALES
• Art 44: Principio general de las transferencias
el responsable y el encargado del tratamiento
cumplen las condiciones establecidas en el presente
capítulo,
• Art. 45: Transferencias basadas en una decisión
de adecuación
• Art. 46: Transferencias mediante garantías
adecuadas. El responsable o el encargado del
tratamiento solo podrá transmitir datos personales
a un tercer país u organización internacional si
hubiera ofrecido garantías adecuadas y a
condición de que los interesados cuenten con
derechos exigibles y acciones legales efectivas.
Artículo 47: Normas corporativas vinculantes
1.La autoridad de control competente aprobará
normas corporativas vinculantes de conformidad
con el mecanismo de coherencia establecido en
el artículo 63 (Mecanismo de coherencia),
siempre que estas:
a. sean jurídicamente vinculantes y se
apliquen y sean cumplidas por todos los
miembros correspondientes del grupo
empresarial o de la unión de empresas
dedicadas a una actividad económica
conjunta, incluidos sus empleados;
b. confieran expresamente a los interesados
derechos exigibles en relación con el
tratamiento de sus datos personales, y
c. cumplan los requisitos establecidos en el
apartado 2.
Seguridad del dato, de la información confidencial e intangibles
Medidas técnicas contra la ciberseguridad
AUTOMATIZACION CUMPLIMIENTO GDPR
• Cuadros de mando dedicados para supervisar la gobernanza de los datos.
• Vincule los sistemas, los procesos y los propietarios de negocios en los flujos de datos • Gestión de los incidencias de los usuarios.
• Supervise los datos personales a lo largo del tiempo y la retención• Administre y asegure el acceso a los datos personales • Enmascare, minimice los datos, utiliza cifrado de medios, procesos de anonimización y controles de autorización
dedicados en temas de acceso.
• Favorezca la grabación y la verificación del consentimiento.• Automatice le verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para
garantizar la seguridad del tratamiento.
RESPONSABILIDAD Y TERCEROS
Art. 28 Encargado del tratamiento Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías a sus clientes para aplicar medidas técnicas y organizativas apropiados,
Art 32. Seguridad del tratamiento […] el encargado del tratamiento aplicará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo
Se va a requerir las medidas de seguridad conforme al estado actual de la técnica y con soluciones habituales de mercados
Art. 24. Responsabilidad del responsable del tratamiento […] El responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. […]
Art. 25 Protección de datos desde el diseño y por defecto […] Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.
CULTURA DE CIBERSEGURIDAD
a. ACREDITACIÓN SEGUIMIENTO/CUMPLIMIENTO.
b. PLAN DIRECTOR DE SEGURIDAD
c. FORMACIÓN/PREDICCION/ PREVENCION/.
d. RECURSOS ESPECÍFICOS.
e. ASIGNACIÓN DE ROLES PARA GESTIÓN, PREVENCIÓN Y RESPUESTA.
f. CANALES DE COMUNICACIÓN.
g. SEGURO DE RESPONSABILIDAD.
h. NORMATIVIZACIÓN.
Descubrir
Descubrir:Identifique qué datos personales tiene y dónde reside
In-scope: Cualquier dato que le ayude a
identificar a una persona
• Name
• Email address
• Social media posts
• Physical, physiological, or genetic information
• Medical information
• Location
• Bank details
• IP address
• Cookies
• Cultural identity
Inventario:Identificar dónde se recogen y
almacenan los datos personales
• Emails
• Documents
• Databases
• Removable media
• Metadata
• Log files
• Backups
1
Demuestre su esfuerzo de cumplimiento
Procesamiento,Activos, datos
personales
Demuestre su esfuerzo de cumplimiento
Insert screen shot
Evaluación previa y
evaluación de DPIA
Gestionar
Data governance:Definición de políticas,
funciones y responsabilidades
para la gestión y el uso de
datos personales
• At rest
• In process
• In transit
• Storing
• Recovery
• Archiving
• Retaining
• Disposal
Data classification:Organización y etiquetado de
datos para garantizar un
manejo adecuado
• Types
• Sensitivity
• Context / use
• Ownership
• Custodians
• Administrators
• Users
2Gestionar:Gobernar cómo se usan y se accede a los datos personales dentro de su organización
Informes y Tablero
Demuestre su esfuerzo de cumplimiento
SAS Personal Data Compliance Manager
ARTÍCULO 25: PROTECCIÓN DE DATOS DESDE EL DISEÑO Y POR DEFECTO
ARTÍCULO 32: SEGURIDAD DEL TRATAMIENTO
Teniendo en cuenta
el estado de la técnica, el coste / los costes de (la) aplicación y
la naturaleza, ámbito / alcance, contexto y fines del tratamiento,
así como los riesgos de diversa probabilidad y gravedad (variables) que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable (y el encargado) del tratamiento aplicará,
tanto en el momento de determinar los medios de tratamiento
como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, para garantizar un nivel de seguridad adecuado al riesgo, concebidas para aplicar de forma efectiva los principios de protección de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.
ARTÍCULO 35: EVALUACIÓN DE IMPACTO
Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales.
La evaluación deberá incluir como mínimo:
a) una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento;
b) una evaluación de la necesidad y proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;
c) una evaluación de los riesgos para los derechos y libertades de los interesados, y
d) las medidas previstas para afrontar los riesgos, y para demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.
Demuestre su esfuerzo de cumplimiento
Riesgos, controles
SAS Personal Data Compliance Manager
SEGURIDADGDPR y Seguridad
Revisión* Redacción
Evaluación de disponibilidad
Plan para proyecto de seguridad en cumplimiento del
Reglamento
Política de seguridad IT
Política de Control de acceso
Procedimientos de seguridad para el Departamento de IT
Política “Trae tu propio aparato (BYOD)”
Política de teletrabajo
Política de pantalla y escritorio
Políticas de Anonimización y seudonimización
Política sobre el uso de encriptación
Análisis de seguridad de comunicaciones
INVENTARIO Y AUDITORÍA DEL DATOGDPR y Seguridad
Revisión* Redacción
Análisis de criticidad, infraestructura, sistemas y
comunicaciones
Auditoría del dato
Directrices para el inventario de los datos y cartografía de
las actividades de procesamiento
“Lo que nos diferencia”
Coste reducido
PROTOCOLOS Y POLÍTICASGDPR y Seguridad
Revisión* Redacción
Política de protección de datos personales
Registro de avisos de privacidad
Política de retención de datos
Registro de violación de datos
Procedimiento transferencia internacional de datos
personales
Política de clasificación de información
Política de Firma electrónica
Entregables
DPOGDPR y Seguridad
Revisión* Redacción
Descripción del puesto de oficial de protección de datos
EVALUACIÓN DE IMPACTO Y PLANES GDPR y Seguridad
Revisión* Redacción
Procedimiento Respuesta de violación de datos y
notificación
Plan de mitigación daños
Metodología de la Evaluación de impacto de protección de
datos
Plan de respuesta ante desastres
Plan de seguridad de infraestructura
Plan de seguridad sistemas y aplicaciones
COMUNICACIÓNGDPR y Seguridad
Revisión* Redacción
Formulario de notificación a la Autoridad de supervisión
Documento de divulgación de la política de protección de
datos
Entregables
Entregables de plan de prevención penalCOMPLIANCE
Revisión* Redacción
Mapa de Riesgo
Listado de controles por tipos delictivos
Plan de mejora
Codigos de conducta
Canal de denuncia
Comunicacion
Regimen disciplinario
Pan de formación
Plan de Comunicación
Nombramiento Compliance Officer
Grado de cumplimiento de normativa de administración
electrónica
Entregables
DOCUMENTOS LEGALES Y CONTRATOSGDPR y Seguridad
Revisión* Redacción
Aviso de privacidad
Política de Protección de datos personales del empleado
Formulario de consentimiento
Cláusulas contractuales estándar para la transferencia de
datos personales a Controladores
Cláusulas contractuales estándar para la transferencia de
datos personales a Procesadores
Acuerdo de procesamiento de datos de proveedor
Formulario de retiro de consentimiento
Procedimiento de solicitud de acceso
Cuestionario cumplimiento Procesador RGPD
Proteger
Prevención de ataques de datos:
• Physical datacenter protection
• Network security
• Storage security
• Compute security
• Identity management
• Access control
• Encryption
• Risk mitigation
Detectar y responder a las infracciones:
• Monitoring for and detecting system intrusions
• System monitoring
• Breach identification
• Calculating impact
• Planned response
• Disaster recovery
• Notifying DPA & customers
3Proteger:Establecer controles de seguridad para prevenir, detectar y responder a vulnerabilidades e infracciones de datos
Demuestre su esfuerzo de cumplimiento
Problemas y planes de acción
SAS Personal Data Compliance Manager
PLAN DE MITIGACION
a. ANALISIS
i. TIPOS DE ATAQUES DE RIESGO GLOBAL
ii. RIESGOS PARTICULARES SEGÚN SECTOR
b. EVALUACION DE AMENAZAS PARTICULARES.
i. ANALISIS CRITICIDAD
1. INFRAESTRUCTURA, COMUNICACIONES Y APLICACIONES/DESARROLLOS.
2. TRATAMIENTOS
a. DATOS
b. INFORMACION CONFIDENCIAL
c. ACATIVOS INTANGIBLES.
PLAN DE MITIGACION
c. MEDIDAS ORGANIZATIVAS PARA ELEMENTOS CRÍTICOS
i. ARQUITECTURA DE INFRAESTRUCTURA, COMUNICACIONES Y DESARROLLOS.
1. RESPONSABILIDAD
ii. TRATAMIENTOS:
1. MINIMIZACIÓN
2. ANOMIZACION
3. PSEUDONIMIZACION
4. ENCRIPTACION.
PLAN DE MITIGACION
d. MEDIDAS TECNICAS
i. DESPLEGADAS PARA CADA FASE
1. DESCUBRIR
2. GESTIONAR
3. PROTEGER
4. INFORMAR
ii. DESPLEGADAS POR ACTIVOS
1. SEGURIDAD FISICA
a. INSTLACIONES / TERCEROS
b. PERSONAL LABORAL
2. REDES PERIMETRALES
a. CONTROL DE ACCESO
b. IDPs
c. CORTA FUEGOS
d. NAC, SIEM, WIFI
PLAN DE MITIGACION
ii. DESPLEGADAS POR ACTIVOS
3. INFRAESTRUCTURA
a. ACTUALIZACIONES SISTEMAS OPERATIVOS.
b. PARCHES SISTEMAS OPERATIVOS
c. COPIAS DE SEGURIDAD
i. (FICHEROS, DISCOS….)
d. ENCRIPTACION
e. END POINT
i. DLP / MDM
ii. CORREO
iii. WEB
4. APLICACIONES / DESARROLLOS.
a. DISEÑO
b. CONTRASEÑA
c. COPIAS DE SEGURIDAD
d. CONFIGURACION
i. GESTION USUARIOS / ROLES / PRIVILEGIOS.
Informar
Mantenimiento de registros:Las empresas tendrán que
registrar lo siguiente:
• Purposes of processing
• Classifications of personal data
• Third-parties with access to the data
• Organizational and technical security measures
• Data retention times
Herramientas de generación de informes:Implementar capacidades
de generación de informes
• Cloud services (processor) documentation
• Audit logs
• Breach notifications
• Handling Data Subject Requests
• Governance reporting
• Compliance reviews
4Informar: Mantener la documentación requerida, gestionar las solicitudes de datos y las notificaciones de infracción
ARTÍCULOS 33 Y 34: NOTIFICACIONES Y COMUNICACIONES
Notificación de una violación de la seguridad de los datos personales a la autoridad de control
En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
Comunicación de una violación de la seguridad de los datos personales al interesado
Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.
Plan de respuesta
PLAN DE RESPUESTA
a. PREPARACION
ii. CONCIENCIACION
iii. EQUIPO
iv. HERRAMIENTAS
v. PRUEBAS
b. DETECCION
ii. HERRAMIENTAS
iii. INDICADORES
c. CONTENCCION
d. COMUNICACIÓN
e. ERRADICACION
f. RECUPERACION
g. EVALUACION POST INCIDENTE
Enrique Delgado CarravillaDirector jurídico y de relaciones institucionales
www.zertia.es
91 031 22 98
Madrid - Barcelona – Sevilla - Ámsterdam