Introducción - problemática
La realidad empresarial actual, presidida por la innovación, la
especialización y la diferenci...
www.sia.es
Avda. de Europa, 2
Alcor Plaza - Edificio B
Parque Oeste Alcorcón
28922 Alcorcón - Madrid
Tel.: +34 902 480 580...
Próxima SlideShare
Cargando en…5
×

Análisis de Impacto a la Privacidad (PIA)

424 visualizaciones

Publicado el

Grupo SIA ha desarrollado una solución para que las organizaciones puedan evaluar y gestionar adecuadamente los riesgos que, para la privacidad y la protección de
datos, tiene la puesta en circulación de nuevos productos y servicios.

Publicado en: Derecho
0 comentarios
1 recomendación
Estadísticas
Notas
  • Sé el primero en comentar

Sin descargas
Visualizaciones
Visualizaciones totales
424
En SlideShare
0
De insertados
0
Número de insertados
4
Acciones
Compartido
0
Descargas
18
Comentarios
0
Recomendaciones
1
Insertados 0
No insertados

No hay notas en la diapositiva.

Análisis de Impacto a la Privacidad (PIA)

  1. 1. Introducción - problemática La realidad empresarial actual, presidida por la innovación, la especialización y la diferenciación, se caracteriza por la contínua puesta en circulación o producción de nuevos elementos (productos, servicios, iniciativas, proyectos, sistemas, etc.) apoyados, como no podía ser de otra manera, en el tratamiento de información que, en la mayoría de los casos, incluye datos de carácter personal pertenecientes a diferentes colectivos de interesados. El tratamiento de dicha información en el contexto de estos nuevos elementos se encuentra expuesto a una serie de riesgos cuya materialización generaría un impacto negativo, no sólo a las organizaciones que la manejan (desde el punto de vista de incumplimientos legales, crisis reputacionales, etc.), sino también a los titulares de la misma, especialmente en el caso de los datos de carácter personal (en lo relativo a pérdida de confidencialidad, principalmente). Así, resulta primordial, por una parte, analizar y gestionar, en una etapa temprana, los riesgos que para la privacidad (además de para otras disciplinas) tiene, o podría tener, la puesta en circulación o producción de los elementos indicados anteriormente y, por la otra, crear una cultura de hacerlo de manera instintiva. Es lo que, en conjunto, se conoce como “privacy by design.” Con la publicación, el pasado 4 de mayo de 2016, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de Análisis de Impacto a la Privacidad (PIA) Pallars 99, planta 4, oficina 41 08018 Barcelona Tel.: +34 902 480 580 Fax: +34 934 675 830 www.sia.es Avda. de Europa, 2 Alcor Plaza - Edificio B - Parque Oeste Alcorcón 28922 Alcorcón - Madrid Tel.: +34 902 480 580 Fax: +34 913 077 980 estos datos, y por el que se deroga la Directiva 95/46/CE, se introduce la exigencia de realizar evaluaciones de impacto a la protección de datos, especialmente cuando el tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas (tratamiento de datos a gran escala, tratamiento de categorías especiales de datos, utilización nuevas tecnologías, etc.). Descripción de la solución Para que las organizaciones puedan evaluar y gestionar adecuadamente los riesgos que para la privacidad y la protección de datos tiene la puesta en circulación de nuevos productos y servicios, o la subida a producción de nuevas iniciativas, proyectos, o sistemas, Grupo SIA ha desarrollado una solución articulada en torno a las siguientes fases, descritas a continuación de forma sumaria. • Análisis de necesidad: Evaluación de la conveniencia, o no, de realizar un PIA sobre el elemento afectado (producto, servicio, iniciativa, proyecto, sistema, etc.), atendiendo, tanto a los supuestos particulares previstos en el Reglamento, como a los criterios “ad hoc” definidos para cada organización, en atención a casuísticas propias. • Descripción: Determinación de la información y principales atributos del elemento afectado, así como de los flujos de información que lo integran. • Riesgos: Identificación y gestión de los riesgos que se ciernen sobre el elemento afectado, a través de MARA© (Metodología de Análisis de Riesgos Ágil de SIA). • Informe final: Documento que plasma, de forma ejecutiva, los resultados derivados de las fases anteriores, describiendo, en particular, el nivel de riesgo residual, así como el plan de acción definido para, en su caso, mitigarlo hacia niveles aceptables.
  2. 2. www.sia.es Avda. de Europa, 2 Alcor Plaza - Edificio B Parque Oeste Alcorcón 28922 Alcorcón - Madrid Tel.: +34 902 480 580 Fax: +34 913 077 980 Pallars 99 planta 4, oficina 41 08018 Barcelona Tel.: +34 902 480 580 Fax: +34 934 675 830 Detalle de la fase de Riesgos Tal y como se indicaba anteriormente la solución desarrollada por SIA se apoya, en la fase de Riesgos, en el uso de MARA©, actuando, a su vez, como metodología y herramienta de análisis de riesgos. MARA© se fundamenta en tres pilares principales: metodología, modelo y herramienta, lo que permite llevar a cabo un análisis de riesgos siguiendo un proceso completo y definido que garantiza que los análisis de riesgos que se realicen siguen los principios de homogeneidad, coherencia y comparabilidad. Por otra parte, MARA© se ha desarrollado tomando como referencia metodologías de análisis y gestión de riesgos internacionalmente reconocidas (ISO/IEC 27005; ISO 31010; MAGERIT, etc.) El proceso de análisis de riesgos a través de MARA© se estructura en las siguientes fases: • Caracterización del entorno: Permite conocer el entorno y sus características, permitiendo identificar amenazas y riesgos. La caracterización del entorno se lleva a cabo a través de un cuestionario inicial. • Caracterización de las amenazas: La metodología propone la existencia de maestros que identifiquen y valoren las amenazas en función de las respuestas seleccionadas en el cuestionario anteriormente indicado. • Evaluación de salvaguardas: Cuyo objetivo es determinar el estado actual del riesgo, a partir de un catálogo de controles coherente con el catálogo de riesgos bajo análisis y con el elemento objeto de evaluación. • Evaluación: Evaluación de la situación actual en comparación con la situación objetivo, para identificar los riesgos más problemáticos y las salvaguardas que permiten alcanzar de forma más eficiente los objetivos deseados. Servicios relacionados Adecuación LOPD Concienciación Privacidad Auditoría Regl. LOPD Herramienta Adecuación Regl. Europeo Análisis de Impacto a la Privacidad (PIA) Data Privacy Officer (DPO) Supervisión Encargados del Tratamiento SATEL® Actuaciones y procesos AEPD servicios asociados a la pdcp E Fase 2 Caracterización de las amenazas Fase 3 Evaluación de salvaguardas Fase 4 Evaluación Fase 1 Caracterización del entorno Análisis de Impacto a la Privacidad [PIA]

×