ASPECTOS FORMALES DE LA GESTION DEL RIESGO EMPRESARIAL. EIPD
Ponente: Manuel Peña ZafraAbogado. Economista.Miembro de Responsia Compliance, S.L. y Vicepresidente del Grupo de Prevención de Blanqueo de Capitales del Colegio de Abogados de Granada
Módulo V. Control de Riesgos en la Empresa.
2
Todaactividadempresarialsuponeunriesgo.
u Riesgoeconómicou Interrupcióndelnegociou Catástrofesnaturalesu Riesgoslegalesu Riesgosreputacionalesu Inherentesalnegociou Riesgospolíticosu Riesgosrelacionadosconelpersonalu Riesgosmedioambientales.u Riesgosdeincendio.
El análisis o evaluación es elestudio de las causas de lasposiblesamenazasyprobableseventos no deseados y losdaños y consecuencias queestospuedenproducir.
“UnagestiónfinancieraeficazhadecuidarseigualdelriesgoquedelosRendimientos”.KaplanyNorton“cuadrodemandoIntegral
3
En el ámbito de la banca y entidades financieras suele considerasemateriasesencialesde“Compliance”laadaptaciónalMIFID,BasileaII, la normativa de Prevención de Blanqueo de Capitales yFinanciacióndelTerrorismo, lanormativasobreproteccióndedatospersonales,normativaqueimpactasobrelosderechosdeclientesyelcumplimientodelcódigoético.
Las amenazas que se derivan del incumplimiento de obligacioneslegalesycontractualesdebentenerseenconsideracióna losefectosdedisponerdeunmapaderiesgoscompleto,asícomodeunsistemade gestión que permita identificarlos, valóralos y gestionarlos deformaadecuada.
Ensectoresregulados,esdondesehaobservadomayordesarrolloenelcontrolde losriesgos legales, loquehadado lugara lafiguradelChiefComplianceOfficer,encargadodevigilarelcumplimientoestrictodel marco regulatorio de la actividad, así como de determinadaspolíticasyprocedimientosinternos.
4
COMORESUMEN:ü CADA AREA FUNCIONAL, supone un universo con sus propios
riesgoslegales.ü EXISTEN FOCOS COMUNES, en la practica totalidad de áreas
funcionales.ü ¿ Delegado de protección de datos, OCI,.., = Oficial de
cumplimiento?
“ La carga regulatoria ha llegado tan lejos que una empresa quequieraejercersuactividadenvariascomunidadesautónomas,puedellegararegirsepormásde700Normaslegales”.
La complejidad del control de riesgos legales no coincide ya con elesquemadocentetradicional,laactividadpropiadeunjuristaexpertoen riesgosde laempresa sin la colaboracióndeunexpertodel áreaeconómica, difícilmente podrá realizar una identificación ydiagnostico inicial de los riesgos, en que se puede ver afectada laorganización, lo que produciría un fuerte desequilibrio en el controljurídicodelosmismosyportantounadescompensaciónenelcontrolderiesgos.
5
EVALUACIONDEIMPACTOENLAPROTECCIONDEDATOSPERSONALES(ENLAPRIVACIDAD).(PIAs)EIPD
Esenesencia,unejerciciodeanálisisdelosriesgosqueundeterminadosistemade información, producto o servicio puede entrañar para el derechofundamental a la protección de datos de los afectados y, tras ese análisis,afrontar lagestióneficazde los riesgos identificadosmediante laadopcióndelasmedidasparaeliminarlosomitigarlos.
Metodologíaparaevaluarel impactode laprivacidaddeunproyecto,política,programa,servicio,productoocualquier iniciativaqueimpliqueeltratamientode datos personales, y tras haber consultado con todas las parte implicadas,tomarlasmedidasnecesariasparaevitarominimizarlosimpactosnegativos.
UNPROCESO,DONDEEXISTENELEMENTOSCOMUNESQUEFORMANPARTEDELNUCLEODECUALQUIERPROCEDIMIENTO.
6
FASESPRINCIPALESDEUNAEVALUACIONDEIMPACTOENPROTECCIONDEDATOS
1.ANALISISDELANECESIDAD
2.-DESCRIPCIÓNDELPROYECTOYDELOSFLUJOSDEINFORMACION
3.-IDENTIFICACIÓNDELOSRIESGOS
5.-ANALISISDECUMPLIMIENTONORMATIVO
6.-INFORMEFINAL
7.-IMPLANTACIONDELASRECOMENDACIONES
8.-REVISIÓNYREALIMENTACION
4.-GESTIONDELOSRIESGOSIDENTIFICADOSCONSULTACONLASPARTESAFECTADAS
7
1.ANALISISDELANECESIDAD
VALORACIONDELACONVENIENCIADELLEVARACABOONOUNA
EVALUACIONDEIMPACTOENLAPROTECCIONDEDATOSPERSONALES
SEENRIQUEZCALAINFORMACIONEXISTENTE.DATOSDEMENORES.EVALUAROPREDECIRASPECTOSPERSONALESRELEVANTESGRANDESVOLUMENES,BIGDATE,INTERNETTHETHING,SMARTCITIESTECNOLOGIASINVASIVAS,DRONES,MINERIADEDATOS,BIOMETRICA,GENETICA,GEOLOCALIZACION,ETIQUETASDERADIOFRECUENCIAORFID.NUMEROELEVADODEPERSONASCEDANOCOMUNIQUENDATOSPERSONALESATERCEROSPAISESNODELAUEDATOSPERSONALESNODISOCIADOSONOANONIMIZADOS,FINESESTADISTICOS,HISTORICOSOINVESTIGACION
8
Siempre esun buena practica, llevar acabo una evaluación delimpacto en el tratamiento de datos, enmateria de prevenciónde blanqueo de capitales, etc. y asegurarse que no pasandesapercibidoslosposiblesriesgos:
LegalesEconómicos
ReputacionalesLarealizacióndeunaEPI lapodemosintegrardentrodelametodología del análisis del riesgos y las listas deactividades, de las herramientas de gestión de proyectosexistentes en las organizaciones. ( Modelos de gestión ycontrol)
Seasumecomopreceptivoslosconceptos:• Privacibydesing• Privacibydefault
1.ANALISISDELANECESIDAD
9
• Privaci by desing: Privacidad desde el diseño, seentiende bajo el respecto de los principios deprivacidadcontenidosenlanormativadeproteccióndedatos desde elmomentomismo en que se diseña unproductooservicio.
• Privaci by default: Privacidad por defecto, demandaquelaconfiguracióndeprivacidaddelusuariodelbienoservicioproteja losdatospersonalesdelusuariopordefecto,sinqueseanecesarioqueelmismoprocedaarealizarlo.
1.ANALISISDELANECESIDAD
10
1. ANALISISDELANECESIDAD.
CONSTITUCIONDELEQUIPODETRABAJO
NOPUEDENFALTAR
DELEGADODEPROTECCIONDEDATOS
UNREPRESENTANTE ELRESPONSABLEDESEGURIDAD,
TIC,s…
PLASMARLOENDOCUMENTOFORMALAPROBADOPORLADIRECCIONYELEQUIPODETRABAJO
AlcanceDELAEIPD
11
2.-DESCRIPCIÓNDELPROYECTOYDELOSFLUJOSDEINFORMACION
2.DESCRIPCIONDELPROYECTOYDELOSFLUJOSDEDATOSPERSONALES
UN RESUMEN DEL PROYECTO CON SUS PRINCIPALESCARACTERISTICAS
ASPECTOS ESPECIALMENTE RELEVANTES PARA LAPRIVACIDADSUSCEPTIBLESDEGENERARMASRIESGOS
UNADESCRIPCIONDETALLADADE:
MEDIOSDETRATAMIENTOYTECNOLOGIAS
CATEGORIAS DE DATOS, F INALIDADNECESIDADES DE UTILIZACION Y COLECTIVOSAFECTADOS
QUIENESACCEDERANYMOTIVOS
LOSFLUJOSDEINFORMACIONES PRACTICO INCLUIR INFORMACION Y DIAGRAMAADICIONALES,controldeacceso,conservación,destrucción,etc
12
2.-DESCRIPCIÓNDELPROYECTOYDELOSFLUJOSDEINFORMACION
2.1MODELOPARADESCRIPCIONDEFLUJOSDEINFORMACION.
EJEMPLODETABLAPARASISTEMIZARLAINFORMACIONSOBREFLUJOS
Códigodeiden*ficación Descripción
Origendelainformación
Des*natariosdelainformación
Categoríasdedatos Finalidad Causalegi*madora
1
2
3
4
5
……
13
2.-DESCRIPCIÓNDELPROYECTOYDELOSFLUJOSDEINFORMACION
2.2MODELOPARADESCRIPCIONDEFLUJOSDEINFORMACION.
EJEMPLODETABLAMODELOPARAGESTIONDERIESGOS
Códigodeiden*ficaciónDelriesgo Descripcióndelriesgo
Niveldeimpactosielriesgosematerializa
Probabilidaddequesematerialice
Medidaspropuestas
Impactotrasimplantacióndemedidaspropuestas
Probabilidadtrasimplantaciónmedidaspropuestas
1
2
3
4
5
……
14
2.-DESCRIPCIÓNDELPROYECTOYDELOSFLUJOSDEINFORMACION
2.2.1MODELOPARADESCRIPCIONDEFLUJOSDEINFORMACION.
NIVELESDEIMPACTOENLOSDERECHOSFUNDAMENTALESDELOSAFECTADOSYENLAORGANIZACIÓN.
ESCALANÚMERICA
NIVELDEIMPACTO
9-10 MUYALTO
7-8 ALTO
5-6 MEDIO
3-4 BAJO
1-2 MUYBAJO
15
2.-DESCRIPCIÓNDELPROYECTOYDELOSFLUJOSDEINFORMACION
2.2.2MODELOPARADESCRIPCIONDEFLUJOSDEINFORMACION.
PROBABILIDADDEMATERIALIZACIÓN.
PROBABILIDAD% NIVELDEMATERIALIZACION
81-100 MUYALTA
61-80 ALTA
41-60 MEDIA
21-40 BAJA
0-20 MUYBAJA
16
3.IDENTIFICACIONYEVALUACIONDERIESGOS
RIESGOS:
POSIBLEVIOLACIONDELOSDERECHOS,PERDIDADEINFORMACIONNECESARIAOELDAÑOCAUSADOPORUNAUTILIZACIONILICITAYFRAUDULENTADELOSMISMOS.
.
DEFINICIONRIESGO:
PROBABILIDADDEQUEUNAAMENAZA SEMATERIALICEAPROVECHANDOUNA VULNERABILIDADDELOS SISTEMAS DE INFORMACIÓN , ES DECIR LA PROBABILIDAD DE QUE OCURRA UN INCIDENTE QUECAUSEUNIMPACTOCONUNDETEMINADODAÑOENLOSSISTEMADEINFORMACION.
PERCEPCIONDE FALTADE RESPETOA LA PRIVACIDAD, PUEDE PRODUCIR LA BAJAUTILIZACION DE PRODUCTOS O SERVICIOS AFECTADOS , APARICION Y COSTE DEREDISEÑODELSISTEMA,LAPERDIDADEREPUTACIÓNEIMAGENPUBLICA,ETC.
PERSONAS
ORGANIZACION
RIESGOS:
GENERALESLIGITIMACIONDELTRATAMIENTOYCESIONESDEDATOSPERSONALESTRANSFERENCIASINTERNACIONALESNOTIFICACIONDELOSTRATAMIENTOSTRANSPARENCIADELOSTRATAMIENTOS.CALIDADDELOSDATOS.DATOSESPECIALMENTEPROTEGIDOSDEBERDESECRETOTRATAMIENTOPORENCARGODERECHOSARCOSEGURIDAD
17
4.GESTIONDELOSRIESGOSIDENTIFICADOS
DIVERSASOPCIONES
EVITARLO
ELIMINARLO
MITIGARLOTRANSFERIRLO
ACEPTARLO
METODOLOGIA
MageritRiskIToISO27005Iso31000Iso31010
Aseguramos:Disponibilidad,integridadyconfidencialidad
impacto
18
5.ANALISISDECUMPLIMIENTONORMATIVO
LEGISLACIONBÁSICA
METODOLOGIA
LEGISLACIONSECTORIAL
EVALUADELAAEPDAUDITORIAINTERNA
LEY15/1999,LOPDRD1702/2007,REGLAMENTOREGLAMENTO.UE679/2016
• LEYSANIDAD• TELECOMUNICACIONES• LSSI• SOLVENCIAPATRIMONIAL• ETC.
19
6.REDACCION,PUBLICACIONEINTEGRACIONDELINFORMEFINAL.
PUBLICARENLAWEBCORPORATIVA,BIENTOTALOPARCIAL
q IDENTIFICACIÓNCLARADELPROYECTO,PERSONASRESPONSABLES,FECHAq RESUMENCLAROYPRECISODELINFORMECONRESULTADOSESENCIALES.q DESCRIPCIONDELPROCESODEEVALUACIONq RESULTADODELANALISISDENECESIDADES,JUSTIFICACIONq DESCRIPCIONGENERALDELPROYECTO,ALDETALLENECESARIOq DESCRIPCIONDETALLADADELOSFLUJOSDEDATOSPERSONALESq RIESGOSIDENTIFICADOSq IDENTIFICACIONPARTES,EXTERNASEINTERNASINTERESADASq ANALISISDELCUMPLIMIENTONORMATIVOq RECOMENDACIONESDELEQUIPORESPONSABLES
ANALISISCOSTE-BENEFICIOPARALAORGANIZACION
Elinformedebedehacersepublico,serclaroytransparente
20
6.REDACCION,PUBLICACIONEINTEGRACIONDELINFORMEFINAL.
(1)IdentificacióndelproyectoI.CódigoII.DescripciónIII.Responsable(s)delproyectoydatosdecontactoIV.FechadelinformeV.Versióndelinforme(2)ResumenejecutivoI.DescripciónsucintadelproyectoII.PrincipalesriesgosidentificadosIII.Resumendelasmedidasmásimportantesdemitigaciónpropuestas(3)AnálisisdenecesidaddelaEvaluaciónI.ResultadodelanálisisII.MotivacióndelanecesidaddelarealizacióndelaEIPD
21
6.REDACCION,PUBLICACIONEINTEGRACIONDELINFORMEFINAL.
(4)DescripcióndetalladadelproyectoI.Inclusióndetodalainformaciónrelevantesobreelmismo(sepuedenincluircomoanexoslosdocumentosdelproyectoquesejuzguenoportunos)II.Descripcióndetalladadelosflujosdedatospersonales(5)ResultadodelprocesodeconsultasI.Identificacióndelaspartesinteresadas(internasyexternas)oalasqueafectaelproyectoII.Contribucionesdelaspartesconsultadas(sepuedenincluircomoanexosalinforme)III. Resumen de los riesgos más importantes puestos demanifiestoenlaconsulta
22
6.REDACCION,PUBLICACIONEINTEGRACIONDELINFORMEFINAL.
(6)IdentificaciónygestiónderiesgosI.IdentificacióndetalladaderiesgosII.ImpactoyprobabilidaddecadariesgoidentificadoIII.Gestióndelosriesgos:decisiónadoptadaparacadariesgo,objetivosdecontrol,controlesymedidaspropuestas(7)AnálisisdecumplimientonormativoI.ResumengeneraldecumplimientoII.Deficienciasdetectadasypropuestasdesolución(8).ConclusionesI.AnálisisfinalII.RecomendacionesdelequiporesponsabledelaEIPDIII.Medidas técnicasquedebenadoptarseeneldiseñodelproyectoparaeliminaroevitar,mitigar,transferiroaceptarlosriesgosparalaprivacidadIV.Medidasorganizativasquedebenadoptarseenel diseñodelproyectopara eliminar o evitar, mitigar, transferir o aceptar los riesgos para laprivacidad(9).Anexo.Introducciónydescripcióngeneraldelprocesodeevaluación
23
7.IMPLANTACIONDELASRECOMENDACIONES.
ALTADIRECCION
7.IMPLANTACIONDELASRECOMENDACIONES.
8.REVISIONDELOSRESULTADOSYREALIMENTACIONDELAEVALUACIONDELIMPACTO.
DEFINIR Y TOMAR LAS DECISIONESNECESARIAS PARA PONER EN MARCHALOSCAMBIOSOMEJORASQUEDEBENDESERINTRODUCIDAS.
DESIGNAR LA PERSONA O UNIDADRESPONSABLES DE COORDINAR QUE SEIMPLANTELASMEJORASEINVESTIRLADELANECESARIAAUTORIDAD
MEDIDASAADOPTACONPROVEEDOREST E R C E R O S ( T E C N O L O G I C A S ,ORGANIZATIVAS,CONTRACTUALES
ESQUEMACLASICODELARUEDA CICLODEDEMING
Implantar
VerificarActuar
Planificar
24
6.RESUMEN.
ESUNAHERRAMIENTANUEVAENESPAÑA,PEROYACONAMPLIOALCANCE
FORMA PARTE ESENCIAL DE LAS NUEVASHERRAMIENTASENEVALUACIONDERIESGOS
PERMITENDEMOSTRARELCOMPROMISOCONLASOBLIGACIONESLEGALES,DILIGENCIA,ETCACCOUNTABILTY
ARTICULO35.DELNUEVOREGLAMENTOEUROPEOOBLIGAALAEVALUACIONDELIMPACTO.
LA4ªDIRECCTIVAENMATERIADEPREVENCIONDEBLANQUEO DE CAPITALES OBLIGA A LAEVALUACIONDELIMPACTODELRIESGO.
EL LEGISLADOR EUROPEO RECOMIENDA A LOSGOBIERNOS LA IMPORTANCIA DEL ENFOQUEBASADO EN EL RIESGO Y LA NECESIDAD DEREALIZAR LA EVALUACION DEL IMPACTO DELRIESGO.
Top Related