Soledad Romero, Gerente de Consultoría y Seguridad TI en INGENIA, desgrana los aspectos clave del Reglamento General de Protección de Datos (RGPD) así como en el borrador del anteproyecto de ley orgánica en España, cuya publicación está prevista antes del 24 mayo de 2018.
5. Establecer normas
relativas a la protección
de las personas físicas
en cuanto a sus datos
personales se refiere
Establecer normas
relativas a la libre
circulación de tales
datos
OBJETO
6. OBJETO
El presente Reglamento protege los derechos y libertades
fundamentales de las personas físicas y, en particular, su
derecho a la protección de los datos personales
7. 7
La libre circulación de los datos en la Unión no podrá ser
restringida ni prohibida por motivos relacionados con la
protección de las personas físicas en lo que respecta al
tratamiento de datos personales
12. Cambio de
esquema mental Principios de la protección de datos:
• la licitud,
• la lealtad,
• la proporcionalidad,
• la limitación de la finalidad,
• la minimización de datos,
• la exactitud y la calidad de los
datos,
• la conservación limitada y
• la seguridad
13. Cambio de esquema
mental Principios de la protección de datos:
• la licitud,
• la lealtad,
• la proporcionalidad,
• la limitación de la finalidad,
• la minimización de datos,
• la exactitud y la calidad de los
datos,
• la conservación limitada y
• la seguridad
16. ¿ficción o realidad?
21
“Hay un tiempo para dejar
que las cosas sucedan y
un tiempo para hacer que las
cosas sucedan”
17. Impacto del RGPD en las AAPP
Identificar finalidades y la base jurídica de los
tratamientos
Consentimiento libre, específico, informado, e
inequívoco
Información más amplia y precisa
Mecanismos visibles, accesibles y sencillos para ejercicio
de derechos.
18. Impacto del RGPD en las AAPP
Procedimientos que permitan responder a ejercicios de
derechos en plazo
Valorar si los encargados de tratamiento ofrecen
garantías de cumplimiento
Adecuar los contratos de encargo con contenido
mínimo
Análisis de riesgo para derechos y libertades en los
tratamientos
19. Impacto del RGPD en las AAPP
Registro de actividades de tratamiento actualizado, disponible y
publicado
Análisis de riesgo de las medidas de seguridad
Mecanismos para identificar con rapidez las violaciones de
seguridad de los datos
Notificación de las violaciones de seguridad a los interesados y
a la Autoridad de Protección de Datos
20. Impacto del RGPD en las AAPP
Valorar si los tratamientos requieren Evaluación de Impacto en
la Privacidad
Designar un Delegado de Protección de Datos
Notificación del DPD a la Autoridad de Control
Adaptación de los instrumentos de transferencia internacional
de datos
22. Algunas actividades/entidades que necesitan DPD
Administración pública y organismos vinculados
Entidades cuya actividad requiera observación y seguimiento de interesados a gran escala
Operaciones a gran escala de categorías especiales de datos
Colegios profesionales y sus Consejos Generales
Centros docentes de enseñanzas (L.O.2/2006) y Universidades
Entidades que exploten redes y presten servicios de comunicaciones electrónicas
Entidades de crédito y establecimientos financieros de crédito…
27
24. Planteamiento de un proyecto de Adecuación RGPD
Fase 1.
Elaboración del
análisis, diagnóstico y
plan de adecuación
Recogida de Información
Análisis y diagnóstico de
cumplimiento
Diseño de Plan de
Adecuación
Fase 2.
Implementación del
Plan de Adecuación
Trabajos de identificación
de tratamientos
Trabajos de
implementación de
procesos jurídicos
Trabajos de
implementacion de
medidas de seguridad
Otros trabajos
transversales: formación y
concienciación
Fase 3.
Mantenimiento y
mejora del
cumplimiento
normativo
Revisiones y
actualizaciones de tareas
recurrentes de
cumplimiento
Actualización del análisis
de riesgos
Realización de análisis de
impacto para nuevos
tratamientos
25. Planteamiento de un proyecto de Adecuación RGPD
Fase 1.
Elaboración del
análisis, diagnóstico y
plan de adecuación
Plan de adecuación al
RGPD:
Informe en el cual se
reflejará el estado de
cumplimiento de cada
uno de los aspectos del
RGPD
y un plan de actuación
para abordar los
incumplimientos que se
detecten
Fase 2.
Implementación del
Plan de Adecuación
Inventario de tratamientos
Manual de procedimientos
jurídicos (cláusulas, textos)
Análisis de riesgos
Documento medidas de
seguridad
Material utilizado en la acción
formativa y de concienciación
Fase 3.
Mantenimiento y
mejora del
cumplimiento
normativo
Los entregables de
esta fase serán las
respuestas que se
proporcionen a las
distintas consultas o
el apoyo a la
implementación
26. Equipo altamente cualificado
CDPP: Certified
Data Privacy
Professional (ISMS
Forum Spain)
CISA: Certified
Information Systems
Auditor (ISACA)
CRISC: Certified in
Risk and Information
Systems Control
(ISACA)
CISM: Certified
Information Security
Manager (ISACA)
CAP: Certificado de
Aptitud Pedagógica
(Universidad de
Málaga).
CISSP: Certified
Information Systems
Security
Professional (ISC2)
CDPP: Certified
Data Privacy
Professional (ISMS
Forum Spain)
ITIL v3: Information
Technology
Infrastructure Library
(versión 3)
PRINCE 2: Projects
In Controlled
Environments
PMP: Project
Management
Professional ISO
27.
28. Y tú, ¿en qué tiempo estás?
¿en el de la ficción o el de la realidad?