Successfully reported this slideshow.
Introducción
El pasado 4 de mayo de 2016 se publicó en el Diario Oficial de la Unión
Europea el Reglamento (UE) 2016/679 d...
www.sia.es
Avda. de Europa, 2
Alcor Plaza - Edificio B
Parque Oeste Alcorcón
28922 Alcorcón - Madrid
Tel.: +34 902 480 580...
Próxima SlideShare
Cargando en…5
×

Assessment GDPR

337 visualizaciones

Publicado el

Para planificar adecuadamente el proceso de adecuación al Reglamento (UE) 2016/679, Grupo SIA propone la realización de un Assessment previo orientado a la consecución de los siguientes objetivos:
• Conocer el impacto del GDPR en los procesos de negocio de la organización.
• Evaluar el grado de cumplimiento actual de los requisitos
introducidos por el GDPR.
• Identificar el gap de cumplimiento existente entre el “as is” y el “to be”.
• Identificar y valorar las diferentes variables que contribuyan a
determinar la importancia de los diferentes requisitos.
• Establecer la estrategia más adecuada y eficiente para cumplir el GDPR, así como el plan de proyectos a acometer.
• Establecer la planificación

Publicado en: Derecho
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Assessment GDPR

  1. 1. Introducción El pasado 4 de mayo de 2016 se publicó en el Diario Oficial de la Unión Europea el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (en adelante, GDPR o Reglamento (UE) 2016/679). Si bien el citado texto entró en vigor el pasado 25 de mayo de 2016, sus requisitos no resultarán exigibles hasta el próximo 25 de mayo de 2018. A pesar del plazo transitorio de 2 años establecido hasta su efectiva aplicación, las numerosas novedades introducidas por el Reglamento ha propiciado que las autoridades de control en la materia aconsejen seguir de manera temprana un enfoque progresivo para la adaptación de los elementos afectados a los nuevos requisitos. Reglamento Europeo (UE) 2016/679 ¿Por dónde empezar?: Assessment GDPR Pallars 99, planta 4, oficina 41 08018 Barcelona Tel.: +34 902 480 580 Fax: +34 934 675 830 www.sia.es Avda. de Europa, 2 Alcor Plaza - Edificio B - Parque Oeste Alcorcón 28922 Alcorcón - Madrid Tel.: +34 902 480 580 Fax: +34 913 077 980 Problemática Las numerosas novedades introducidas por el GDPR, unido a la falta de concreción o desarrollo de muchos de sus requisitos, dificulta enormemente que las organizaciones puedan planificar y abordar un proyecto global de adecuación. Ello, debido a que, a lo largo de los próximos meses, se espera que diferentes actores adopten diversos instrumentos a través de los cuales se concreten y desarrollen distintos aspectos del GDPR, instrumentos cuya observancia podría implicar, no sólo desvíos en el cumplimiento de la planificación inicialmente establecida, sino la necesidad de revisar y adaptar nuevamente actuaciones ya realizadas sobre la base de la información de que se disponía en el momento de acometerlas, lo que, sin duda, genera evidentes ineficiencias. Armonización Protección Transparencia Burocracia Objetivos Transición: establecimiento de infraestructura, planificación de actividades y tratamiento de riesgos Operación, control y seguimiento del servicio (resolución de peticiones, actualización del marco normativo, defensa jurídica, etc.) Regulación de transferencias internacionales Definición de cláusulas y contratos Evaluación de impacto a la privacidad (PIA) Identificación y registro de tratamientos Plan de recomendaciones Definición de normativa interna (documento seguridad; roles y responsabilidades; procedimientos jurídicos) Definición de contenidos formativos e impartición de sesiones Evaluación de indicadores clave (KPI) Definición y diseño de material y contenidos de concienciación Arranque: definición de Alcance, aspectos preliminares y ANS Devolución y finalización ordenada de actuaciones Realización de entrevistas TI y negocio Comprobaciones in-situ de sistemas, locales e instalaciones de tratamiento Búsqueda de antecedentes e información preliminar Evaluación de cumplimiento del marco racionalizado de controles E Fase 2 Adecuación Fase 3 Concienciación Fase 4 Mantenimiento (SATEL) Fase 1 Análisis inicial Adecuación Reglamento (UE) 2016/679 Registro de tratamientos Consentimiento expreso Data Privacy Officer Responsabilidad proactivaViolaciones a la seguridad Portabilidad de los datos Cuantía de las sancionesDeber de información Impacto a la privacidad Enriquecimiento de la información a facilitar a los interesados cuando se recaben sus datos. Ha de otorgarse mediante un acto afirmativo que refleje una manifestación de voluntad inequívoca. Pérdida de validez del consentimiento tácito. Aumento de la cuantía de las sanciones hasta 20 MM€ o 4% del volumen de negocio total. Necesaria evaluación temprana de los riesgos asociados a tratamientos de datos de carácter personal que pretendan llevarse a cabo. Facilitar a los interesados la transferencia directa de sus datos de un prestador de servicios a otro. Mantenimiento de un inventario interno de tratamientos, desapareciendo la obligación formal de notificación de ficheros. Obligación de notificación a la autoridad de control, así como a los interesados afectados. Sujeto a plazo. Obligación de designar un rol con conocimientos especializados para el desempeño de una serie de funciones. Existencia de mecanismos que permitan acreditar el cumplimiento activo de las exigencias establecidas. Principalesnovedades Reglamento(UE)2016/679
  2. 2. www.sia.es Avda. de Europa, 2 Alcor Plaza - Edificio B Parque Oeste Alcorcón 28922 Alcorcón - Madrid Tel.: +34 902 480 580 Fax: +34 913 077 980 Pallars 99 planta 4, oficina 41 08018 Barcelona Tel.: +34 902 480 580 Fax: +34 934 675 830 Descripción de la solución Para planificar adecuadamente el proceso de adecuación al Reglamento (UE) 2016/679, Grupo SIA propone la realización de un Assessment previo orientado a la consecución de los siguientes objetivos: • Conocer el impacto del GDPR en los procesos de negocio de la organización. • Evaluar el grado de cumplimiento actual de los requisitos introducidos por el GDPR. • Identificar el gap de cumplimiento existente entre el “as is” y el “to be”. • Identificar y valorar las diferentes variables que contribuyan a determinar la importancia de los diferentes requisitos. • Establecer la estrategia más adecuada y eficiente para cumplir el GDPR, así como el plan de proyectos a acometer. • Establecer la planificación más idónea en base a las prioridades identificadas. Metodológicamente, la solución de Assessment GDPR se articula en torno a las siguientes fases y actividades: 1.- Revisión preliminar de documentación: Análisis de la documentación aportada, relativa a la muestra previamente identificada (documentos, contratos, formularios, procesos, políticas, normativas, procedimientos, sitios web, entornos tecnológicos, documento de seguridad, etc.). 2.- Reuniones y entrevistas: Proceso de toma de información, entendimiento y análisis de las casuísticas de la organización con áreas corporativas, de negocio, y de tecnologías de la información en las que recaigan funciones esenciales en base a los requerimientos del GDPR. 3.- Gap análisis: Evaluación del cumplimiento actual de la organización con respecto a los requisitos del GDPR (as is), en comparación con su cumplimiento ideal (to be). 4.- Estudio de variables: Identificación, valoración y análisis de las variables relevantes que contribuyen a priorizar la importancia de los diferentes requisitos establecidos por el GDPR (probabilidad, impacto, coste, beneficio, dificultad, esfuerzo, responsabilidad, áreas involucradas, etc.). 5.- Hoja de ruta: Definición de la mejor estrategia de adecuación al GDPR, tomando en consideración aspectos como nivel de madurez de la organización en materia de privacidad y protección de datos, recursos disponibles, tecnología existente, etc. 6.- Plan de proyectos: Definición del conjunto de actuaciones (acciones, recomendaciones, medidas o proyectos) a acometer y/o implantar por la organización para alcanzar y mantener los niveles de cumplimiento del GDPR. Cada una de las actuaciones se detalla a través de una ficha independiente que contiene información relevante asociada (objetivos y alcance, actividades y tareas, resultados a obtener, planificación, esfuerzo y costes aproximados, duración, tecnología de apoyo, etc.). Servicios relacionados Adecuación LOPD Concienciación Auditoría LOPD Adecuación GDPR Evaluación de Impacto a la Privacidad (PIA) Data Privacy Officer (DPO) Supervisión Encargados del Tratamiento SATEL® Actuaciones y procesos AEPD servicios asociados a la pdcp Assessment GDPR

×