Se ha denunciado esta presentación.
Se está descargando tu SlideShare. ×

Presentación Protección de datos como estrategia empresarial: Un reto y una oportunidad - Jornada Feria del Conocimiento

Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio

Eche un vistazo a continuación

1 de 31 Anuncio

Presentación Protección de datos como estrategia empresarial: Un reto y una oportunidad - Jornada Feria del Conocimiento

Documentación de la ponencia sobre "Cumplimiento de la Protección de Datos" impartida por el Dr.Ricard Martínez dentro de la la Jornada "Innovación en la protección de la información empresarial" celebrada el 25 de octubre de 2011, dentro del Programa Feria del Conocimiento. http://www.camarazamora.com/Noticia.asp?Id=145

Documentación de la ponencia sobre "Cumplimiento de la Protección de Datos" impartida por el Dr.Ricard Martínez dentro de la la Jornada "Innovación en la protección de la información empresarial" celebrada el 25 de octubre de 2011, dentro del Programa Feria del Conocimiento. http://www.camarazamora.com/Noticia.asp?Id=145

Anuncio
Anuncio

Más Contenido Relacionado

A los espectadores también les gustó (20)

Similares a Presentación Protección de datos como estrategia empresarial: Un reto y una oportunidad - Jornada Feria del Conocimiento (20)

Anuncio

Más de Cámara Oficial de Comercio, Industria y Servicios de Zamora (20)

Más reciente (20)

Anuncio

Presentación Protección de datos como estrategia empresarial: Un reto y una oportunidad - Jornada Feria del Conocimiento

  1. 1. Protección de datos como estrategia empresarial: Un reto y una oportunidad Ricard Martínez Martínez Presidente de APEP (www.apep.es) Asociación Profesional Española de Privacidad
  2. 2. Me confieso: soy culpable Objetivos
  3. 3. • El ponente sólo tiene tres experiencias: – Data Protection Officer (Universitat de València). – Coordinador del Área de Estudios-AEPD. – Investigador. • Uds. conocen organizaciones complejas y ricas. – Deben batallar en un entorno privado mas sensible y vulnerable al régimen sancionador. – Deben manejar binomios como coste-beneficio, riesgo oportunidad. • Mis objetivos son sencillos: – Aprovecharme de la audiencia. – Aportarles mis mejores o peores conocimientos. – Esperar que nuestra sesión sea ante todo un debate o diálogo entre iguales. – Aprender de la experiencia compartida.
  4. 4. Consideraciones previas La necesidad de convencer ¿Cómo se llega a la protección de datos? • ¿Existe alguna necesidad? Hemos tenido un problema. Alguien: – Ha ejercido un derecho ARCO – Ha perdido datos – Ha depositado papeles en la basura – Ha usado indebidamente datos • Hemos tenido una reunión: – Una consultora nos hizo una oferta – Se habló de ello en la Cámara de Comercio – Alguien asistió a un curso • Vino una consultora: – Auditó – Realizo un informe final – Inscribimos ficheros – Redactamos el primer documento de seguridad y…
  5. 5. • De esto tengo…. • De esto igual no …
  6. 6. ¿Qué gana la organización? • Conocimiento de todos sus procesos basados en TIC. – Capacidad decisoria: • Cliente/servidor • Descentralización • Seguridad. • Confianza. • Calidad
  7. 7. Se requiere… • Apoyo claro, compromiso organizacional. • El compromiso del personal informático. • Un alto grado de especialización jurídica. • Políticas de formación. • Cambio cultural.
  8. 8. Procedimientos Auditoria LOPD
  9. 9. Metodologías • Auditorias o preauditorias LOPD. • Metodologías de análisis de riesgos y de implementación de la seguridad que tengan en cuenta el RDLOPD. • Incorporación del análisis jurídico al diseño informático. • Protocolos de actuación. • Formación.
  10. 10. Objetivos Inmediatos • Identificación de ficheros • Verificación de prácticas y procedimientos (ARCO, encargados, comunicaciones, TID…) • Flujos de información • Seguridad • Otras necesidades – Necesidades LSSI – Administración electrónica
  11. 11. Globales • Legalidad • Confianza • Eficiencia • Calidad
  12. 12. • ¿Y como se yo si lo que me ofrecen sirve para implementar la LOPD? – Es muy barato. – Me lo resuelven con unos documentos que ya traen preparado. – Tengo que firmar declarando haber recibido formación…
  13. 13. Algunas pistas • Adaptarse para cumplir la normativa requiere la implicación del cliente además del trabajo del consultor . • El cumplimiento no es algo puntual, la normativa exige mantenerlo en el tiempo. • Un asesoramiento adecuado debe incorporar un capítulo adecuado de formación de calidad y de concienciación al personal. • La adaptación puede suponer cambios. • La aplicación de la LOPD nunca es teórica, no existen recetas de “copiar pegar”, no basta con marcar cruces en un cuestionario, debe adaptarse a la realidad específica de la organización. • Debe exigirse al consultor formación específica especializada: • El objetivo a perseguir ha de ser la adecuación plena, por tanto, el proyecto debe ofrecer acciones que persigan un cumplimiento real no sólo formal. • Ofrecer un servicio de consultoría tiene costes. • Si la empresa de consultoría se compromete a ofrecerle un certificado de cumplimiento desconfíe. • La evolución de las TIC´s,como las aplicaciones de gestión integral, contribuyen a la mejora de la gestión empresarial, pero, al mismo tiempo, suponen flujos de información complejos que exigen adoptar medidas de seguridad adecuadas. • Aunque le aseguren cubrir los daños derivados del asesoramiento o del incumplimiento de la LOPD Vd. nunca estará del todo a salvo . • Si Vd. quiere conocer las prácticas que usualmente definen un asesoramiento adecuado pinche aquí.
  14. 14. 1.- RECOGIDA DE INFORMACIÓN 2.- INFORME DE SITUACIÓN O PREAUDITORÍA 3.-VALORACIÓN DE DEFICIENCIAS Y PROPUESTAS CORRECTORAS P El R O Y 4.-DESARROLLO E IMPLANTACIÓN DE E Proyecto C T O PROCEDIMIENTOS. DOCUMENTACION EN D.S. REVISIÓN Y MEJORAS PERMA- 5.- ENTREGA DOCUMENTACIÓN NENTES GENERADA Y FORMACIÓN 6.- AUDITORÍA
  15. 15. • Enfoque PDCA (Plan, Do, Check, Act) utilizado en procesos de calidad (norma UNE-ISO/IEC 71502:2004). – planificar las acciones, – implementarlas, – verificar la consecución de los objetivos propuestos – aprovechar la retroalimentación obtenida para mejorar la planificación.
  16. 16. La importancia de la formación • La gestación de una cultura LOPD • Las ventajas de la cultura LOPD en la gestión de la información • La especialización de los gestores. • ENTREGAR UN CD NO ES FORMAR
  17. 17. RETOS
  18. 18. El paciente siempre miente
  19. 19. • Yo no tengo ficheros (lo mío son word, pdf y en el peor de los casos archivos en soporte papel…) • Los datos sólo los uso “a efectos internos”. • Estos datos son públicos ergo no están sujetos a la norma. • Si esto le beneficia ¿para qué pedir permiso?
  20. 20. Usuarios reticentes • El usuario concibe la LOPD y el RLOPD como una obligación adicional “excesiva”: • El usuario como profesional, trabajador, funcionario viene obligado por el deber de sigilo o secreto. • Las medidas de cumplimiento LOPD responden al sentido común y a la más elemental traslación de la seguridad del mundo físico al virtual. • La aplicación de la LOPD beneficia al usuario.
  21. 21. ¿Realmente es un problema? • Algunos mitos sobre la protección de datos: – Las medidas se plantean como objetivos inalcanzables. – Resultan imposibles de implantar. – Los usuarios son incapaces de aplicarlas debido a su dificultad jurídica y técnica. – Los costes que provocan son inasumibles o excesivos. – Seamos sinceros esto de la LOPD nos da trabajo que no teníamos, nos impone costes que no habíamos previsto, vaya nos da mucha rabia…
  22. 22. • Adecuación a exigencias procedimentales: – Información – Consentimiento – Ejercicio de derechos arco. • Regularización de los contratos a terceros: – Encargados del tratamiento (D. AD. 31 L 30/2007) – Prestaciones de servicios sin acceso a datos. • Transferencias internacionales de datos. • Adecuación de las medidas de seguridad. – Ficheros manuales: el archivo. – Disp. Ad. I. Compra o diseño de productos de software.
  23. 23. • Cultura corporativa de la organización. – Procedimientos de gestión y administración ordinaria. – Flujos de datos: y relaciones con terceros. – Procedimientos específicos LOPD: – Información y consentimiento. – Derechos ARCO. – Bloqueos y cancelaciones. – Aspectos LSSI. – Derechos de los consumidores. – Ficheros específicos: marketing y publicidad. – Compras de software. – Casos “dífíciles”: BCR, PNR, ficheros chivatos, salud … – Formación LOPD – Políticas internas de seguridad: no instales, no ejecutes, no envíes, no compartas …. – Videovigilancia – Web 2.0 y entornos virtuales: • Tablón sindical • Compartir datos • “Colgar vídeos”
  24. 24. LOPD ¿Por qué? • Porque es necesaria: • En la sociedad de la información resulta esencial proteger nuestros activos. • Es presupuesto para el correcto funcionamiento de los sistemas y para la adopción de decisiones. • Contribuye a la racionalización de los medios y de los usos: facilita el cumplimiento del principio de calidad. • Genera una cultura de gestión de la información en las organizaciones. • Proporciona confianza: – Interna: en el funcionamiento de los sistemas. – Externa en el usuario.
  25. 25. • Porque es una obligación legal: • STC 292/2000 • Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. • Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico. …
  26. 26. Es una plataforma necesaria en la web 2.0 • Es la base para poder realizar: – actividades de comercio y contratación electrónica – promociones en Internet, – para utilizar proactivamente redes sociales – para proporcionar mejores servicios a clientes (extranets, zonas privadas para clientes o proveedores, etc) • Es un activo para generar negocio en las empresas.
  27. 27. Responsabilidad • Régimen sancionador: LOPD (art. 44). • Infracción de los deberes laborales. • Responsabilidad civil • Objetiva por el daño causado (art. 1902). • Contractual (1101 y ss.) • Responsabilidad patrimonial de la Administración Pública.
  28. 28. Responsabilidad ética: hablamos de derechos fundamentales • La defensa de los derechos y su relación con la seguridad. • El derecho fundamental a la protección de datos. • El control de la información personal como presupuesto para la autodeterminación individual.
  29. 29. Apueste por la profesionalidad • La protección de datos permea cualquier proceso de gestión basado en TIC y en información personal. • La complejidad organizativa y funcional obliga a contemplar el asesoramiento especializado en esta materia en gran cantidad de procesos.
  30. 30. Con la LOPD sale ganando • Ventajas del enfoque LOPD: – Una comprensión global de todos los procesos /procedimientos implicados. – Permite un adecuado análisis de los requerimientos específicos de la organización y de las aplicaciones informáticas. – Proporciona una cultura de colaboración entre el plano jurídico y el informático. – Contribuye a la promoción de una cultura de gestión de la información.
  31. 31. Gracias por su atención Ponemos a su disposición las siguientes vías de contacto: Web: www.apep.es Email: contacto@apep.es , administracion@apep.es

×