Hernan Huwyler Compliance y Privacidad de Datos Regulaciòn General de Protecciòn de Datos RGPD Nueva ley orgánica de protección de datos y garantía de derechos digitales

Prof. Hernan Huwyler, MBA CPA
Compliance y Privacidad de Datos
Regulaciòn General de Protecciòn de Datos RGPD
Nueva ley orgánica de protección de datos y garantía de derechos digitales

2
Introducción al módulo RGPD
2
Parte 1
► Conocer los
cambios de la
GDPR
Parte 2
► Proponer una
hoja de ruta de
adecuación
Parte 3
► Saber identificar
riesgos de
privacidad
Parte 4
► Buenas prácticas
para evidenciar el
cumplimiento y
oportunidades
del DPO

Hernan Huwyler,
MBA CPA
► 18 años de experiencia en
consultoría y puestos de gestión y
dirección en multinacionales
► Riesgos, compliance, auditoría,
cyber security y sistemas
► Gestión de proyectos complejos
de adecuación al reglamento
► Director y profesor en masters
sobre compliance y datos
► Colaborador en asociaciones
profesionales y para The GDPR
Institute
► Artículos técnicos sobre el RGPD
y SAP
► hewyler

4
Índice de la asignatura
► Tema 1: Requerimientos de la nueva RGPD
Conceptos introductorios
► Tema 2: Novedades
► Tema 3: Gestión de cambios
Demostración herramienta Facilita
► Recursos
► Bibliografìa
4

5
5
Propuesta
► Qué + Cómo
► 100 % práctico para poder llevar a cabo un
proyecto de implementación o consultoría
► Conocimiento explicado simplemente y sin
jerga legal ni de seguridad de información
► Enfoque internacional basado en prácticas
aceptadas y la gestión del cambio
Nuestro compromiso
► Ayudarte en tu carrera ajustando el contenido a
tus necesidades y objetivos
► Responder rápidamente a tus preguntas
► Compartirte material de referencia, ejemplos y
herrramientas a medida que avancemos

6
Tema 1: Requerimientos de la nueva RGPD
6
1995 Directiva de Protección de Datos
► Protección de derechos en el procesamiento
► Garantizar el libre flujo de datos personales en la
comunidad
► Diferencias ser implementada en los estados miembros
1999 Ley Orgánica de Protección de Datos de Carácter Personal
► Crea la Agencia Española de Protección de Datos
2016 Regulación General de Protección de Datos
► 2 años para ser efectiva el 25 de mayo de 2018
► No requiere adaptación de cada país (regulación)
► Extiende el alcance a empresas fuera de la comunidad
► Conjunto harmónico de reglas y ventanilla única

7
7
Principios Desafíos Cómo
Integridad y
confidencialidad
Implementar controles de
seguridad en cada industria para
prevenir el acceso no autorizado
Medidas de encriptación y otras
medidas de cyber seguridad y
definición muy detallada de
accesos
Exactitud Actualizar datos con el mínimo
costo
Accesos para actualizaciones
por los interesados
Responsabilidad Demostrar el cumplimiento,
detectar y analizar fugas de
información en 72 horas
Evidencias de auditoria, logs de
actividades y monitoreo de flujos
y perdidas de información
Legalidad y
transparencia
Inventariar información personal
y seguir su uso, evitando
transferencias no autorizadas
Clasificación y retención de
información. Revisión de
contratos con proveedores
Limitaciòn del
propòsito
Asegurar los consentimientos y
seguir el uso de información
Auditar precisamente el uso de
datos
Data minimization Borrado o anonimización de
datos
Mejor gobierno de los datos
personales

8
8
Delegado de Protección de Datos
► Oportunidad de carrera en toda Europa (o el mundo)
► Servicios de asesoría cuando se terciariza
► Encargados no establecidos en la comunidad
► Servicios de certificación
► Perfil en derecho, protección de datos y compliance
► Asesorar y supervisar el cumplimiento de la RGPD
► Enlace con la Agencia Española de Protección de
Datos
► Atención de solicitudes de los interesados
► Discusiones sobre su independencia y
responsabilidad

9
9

10
10
Datos personales
toda información sobre una persona física identificada o
identificable («el interesado»)
… se considerará persona física identificable toda persona
cuya identidad pueda determinarse, directa o
indirectamente, en particular mediante un identificador …

11
Un hombre Español 23M
cuya identidad pueda

12
Un hombre Español nacido en 1968 330k

13
Un hombre Español nacido en 1968 viviendo en el Palacio de
la Zarzuela 3

14
Un hombre Español nacido en 1968 viviendo en el Palacio de
la Zarzuela y siendo un rey 1

15
Efecto mosaico

16
Cualquier
información
A una persona física
Interesado
… identificando o
identificable por un
atributo …

17
1
identificador
Nombre
DNI, pasaporte, numero de
seguridad social y fiscal
Cookies y online IDs
Teléfonos y direcciones
Datos de localización
Genéricos
1 o +
Factores
Físicos
Fisiológicos
Económicos
Sociales
Culturales
Salud mental

18
1
identificador
Seudónimo
Dato codificado
vinculado por una clave
en un lugar seguro y
deparado para volver a
identificar al interesado
1 o +
Factores

19
Seudonimización
► Reemplazo de un dato sensible por un código aleatorio
► Usando una tabla en un servidor separado podemos ligar el
código aleatorio al dato sensible original
Empleado Cuenta
bancaria
J Gomez DD99234
A Perez DD99432
Empleado Codigo
J Gomez Kl23!lsw=
A Perez 45der_f2!
Codigo Cuenta
bancaria
Kl23!lsw= DD99234
45der_f2! DD99432

20
Encriptacion
► Algoritmo que permite mezclar y volver a ordenar (descifrar) datos
► El dato original se mezcla (cifra) con una clave de encriptación
Empleado Cuenta
bancaria
J Gomez DD99234
A Perez DD99432
Empleado Encriptaci
on
J Gomez Kl23!lsw=
A Perez 45der_f2!
Clave de
encriptaciòn

21
Racial Política
Religión
Sindical
Sexual
Salud Biométrico Genético
Categorías especiales o datos sensibles → generalmente no se procesan,
excepto con consentimiento explicito y necesario para circunstancias
definidas. Se extiende a datos de arrestos y crímenes.

22
Tema 2: Novedades
22
Mayores multas
► Tomadas de anti competencia
► Reducidas por medidas técnicas y
organizaciones apropiadas
20M EUR hasta 4% de la cifra
de venta mundial del último año
► Fallas en implementar
principios centrales, afectan
derechos claves, y
exportaciones a países sin
adecuada protección
10M EUR hasta 2% de la cifra
de venta mundial del último año
► Fallas en implementar
medidas técnicas y
organizaciones

23
Tema 2: Novedades
23
Cuando notificar
No más tarde de las 72 horas
después del conocimiento, o
justificando cualquier demora
Filtración de datos
Acceso, revelación, pérdida,
destrucción, o alteración no
autorizada…
accidental o ilegal…
de información personal
Qué notificar
Tipo y número (aprox) de
registros e interesados afectados
información de contacto del DPO
probables consecuencias y
medidas de seguridad
A quién notificar
Autoridad de control, y
interesados si la filtración puede
resultar probablemente en un alto
riesgo para sus derechos

24
Tema 2: Novedades
Acceso
requerir el acceso a datos
personales para verificar
la legalidad del uso
Rectificar y olvido
cuando no es más
necesario o se quita el
consentimiento
Restringir el
procesamiento
Limitando el uso y la
transferencia
Limitar el profiling
Derecho a no estar sujeto
a decisiones
automatizadas
Portabilidad
por transmisión directa a
un nuevo responsable en
formato común
A objetar por el
responsable
Por ser injustificados,
inter[es publico o legitimo

25
Tema 2: Novedades
25
Caso de discusión

26
Tema 2: Novedades
26
Mayor evidencia de cumplimiento
► Política de privacidad de datos personales
► Registro de las actividades de tratamiento
► Justificación de las bases del tratamiento
► Comunicar y mantener los consentimientos y
avisos de privacidad
Mayor responsabilidad
► Mejores controles sobre el life cycle de datos
► Informar violaciones en 72 horas
► Nombrar a un responsable del tratamiento
► Considerar la privacidad desde el diseño
(Privacy by Design)

27
Tema 2: Novedades
27
Nuevas reglas de juego
► Reglas normativas unificadas para Europa
► Definiciones armónicas
► Impacto mundial por mayor alcance territorial
► Sustento de la economía digital
► Mejora en el gobierno de datos de las empresas
Medidas de adecuación
► Nuevos tipos de datos personales
► Ajustes de consentimientos (explícitos y transparentes)
► Ajustes y renegociación de contratos con proveedores
de servicios informáticos
► Nuevos derechos de los interesados, como acceso,
olvido y portabilidad

28
Tema 3: Gestión del Cambio
28
Principio de Responsabilidad Proactiva
(Accountability)
El responsable del tratamiento será responsable del
cumplimiento y debe ser capaz de demostrarlo
(responsabilidad proactiva)

29
29
No existen antecedentes
administrativos ni judiciales
sobre RGPD
Las primeras implantaciones
podrían ser inexactas
La flexibilidad y la mejora continua
serán muy importantes

30
No alto riesgo
http://www.servicios.agpd.es/Facilita

31
No cat. especial

32
Procesamiento de riesgo

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49
Tema 2: Novedades
49
Caso de discusión

Recursos
• Reglamento UE 2016-679
• https://www.agpd.es/portalwebA
GPD/canaldocumentacion/legisl
acion/union_europea/reglament
os/common/pdfs/Reglamento_U
E_2016-
679_Proteccion_datos_DOUE.p
df

Recursos
• Guia del Reglamento de la
Agencia Española de
Protección de Datos
GPD/temas/reglamento/commo
n/pdf/guia_rgpd.pdf

Recursos
• Listado de Cumplimiento
Normativo de la Agencia
Española de Protección de
Datos
GPD/canaldocumentacion/publi
caciones/common/infografias/A
daptacion_RGPD_sector_privad
o.pdf

53
► Data subject = Interesado
► Controller = Responsable
► Processor = Encargado
► Binding corporate rules = normas corporativas
vinculantes
► Data protection impact assessment DPIA =
Evaluación del impacto sobre la protección de
datos (y la intimidad/privacidad) EIPD
► EU US privacy shield = Escudo de privacidad
UE EE. UU.
► Data breach = Violación/Filtración de datos
► Profiling = Decisiones individuales
automatizadas

54
► Privacy notice = Aviso de privacidad
► Records of processing activities RoPA =
Registro de actividades de traramiento
► .Legal grounds for lawful processing = Bases
legales para el tratamiento
► Data subject rights = Derechos de los
interesados
► European Data Protection Supervisor EDPS =
Supervisor Europeo de Protección de Datos
SEPD
► Supervisory agency = Agencia de control

55
Estrategias de reparar o construir
2

56
Reparar
Orientación a compliance, organizaciones maduras
cumpliendo la directiva
► Actualizar políticas
► Implementar los (principales) nuevos requerimientos
► Registro de actividades
► Consentimientos y solicitudes
► Utilizar los recursos existentes
► Actualizar (adendums) los contratos con
► proveedores de TI con información personal
► de empleados y contratistas por confidencialidad
2Estrategias de reparar o construir

57
Construir
Orientación a beneficios comerciales, organizaciones
inmaduras cumpliendo la directiva
► Implementar un nuevo programa de privacidad
► Hacer un análisis de gaps y riesgos
► Generar un registro de procesamiento completo
► Desarrollar nuevos recursos, contratar o consultar
► Revisar (y renegociar) contratos
► Implementar nuevos controles de cyberseguridad
2Estrategias de reparar o construir

58
Identificar procesos
3
Alcance
Detectar procesos de negocios que procesen
información personal
Establecer prioridades (análisis de gaps)
3ras partes
Identificar proveedores que procesan datos
personales de la empresa
Áreas procesando datos
personales
Identificar que áreas solicitan, usan y resguardan datos
personales

59
3
Entrevistas y
talleres
► Con dueños de procesos
► Siguiendo un listado de
aplicaciones y servidores
Documentación
► Políticas, flujos de datos,
doc. funcional, contratos
Cuestionarios
► Formularios para detallar
procesos de datos
personales
eDiscovery
► Software para detectar
info. personal y
transferencias

60
3
HR Estrategia
Analyse trends in
requirements
Create recruitment
strategies
Plan for staff and
development
Recruit
Manage requirements
Post job offers
Manage candidates
Interview candidates
Select candidates
On boarding training
Empleados
Maintain HR policies
Create employee
records
Create health records
Handle employee cases
Handle exits
Nomina
Negotiate union
agreements
Set salary packages
Manage payroll
Manage pension plans
Manage travel and
expenses
Calculate benefits
Asistencia
Manage time
Manage leaves
Manage absences
Training
Develop training
materials
Deliver training
Performance
Maintain the
performance program
Manage reviews
Analyse results
Alcanzado

61
3
Información personal en
ERPs y CRMs
► Tablas maestras de empleados y candidatos direcciones,
cuentas bancarias, información de salud, estado civil y
militar, discapacidades, personas a cargo, reportes de
horas trabajadas, información fiscal, reportes de gastos
► Tablas maestras de clientes, posibles clientes y pagos
tarjetas de crédito, información financiera
► Tablas maestras de proveedores, contratistas y socios
► Ambientes productivos y eventualmente de testeo
► Respaldos y sistemas legacy

62
3
Otras bases usuales a
incluir
► Bases de marketing
► Bases del call center
► Fidelización de clientes
► Contactos comerciales
► Reclamos de clientes
► Visitantes web
► Servidores de email
► Permisos de aparcamiento
► Base de pacientes
► Revisiones de
performance de
empleados y tests de
candidatos
► Controles de acceso con
huella digital
► Cámaras
► Listados telefónicos
► End-user applications
► Carpetas compartidas

63
3
Discusión
¿Cuál es el departamento que
más información personal
procesa?
► Marketing
► Ventas
► Recursos humanos
► Compras
► Asesoría legal

64
Generar un inventario de datos
4
¿Qué datos personales
procesamos?
¿Dónde están y se transfieren?
¿Para qué los usamos?
¿Qué controles tienen?

65
4
Obligados todos los
responsables y encargados si…
• organización de más de 250
empleados, o
• tratamientos con riesgos a los
derechos o sobre categorías
especiales, o
• es ocasional, o
• es relativos a condenas o
infracciones penales

66
4
es el sujeto de los datos?
accede a los datos personales?Quién
los datos personales se mantienen?
los datos personales se transfieren?Dónde
los datos personales están bajo control de la
organización?Por qué
los datos personales se eliminan?
los datos personales se comparten a terceros?Cuándo
controles y mecanismos de protección tienen?
Qué

67
4
Dato
personal
Propósito Sujeto del
dato
Retención Dueño Sistema o
servicio
Medidas de
seguridad
Nombre de
empleado,
dirección,
teléfono, y
fecha de
nacimiento
Identificación Empleado,
ex-
empleados y
candidatos
Archivo
permanente
RH SAP HR
Archivo de
legajos
Password,
encriptación
Llave y
restricciones
de acceso
Procesamiento
de la nomina
Empleado Hasta al final
de la relación
laboral
RH SAP HR
MS Excel
files
Password,
encriptación
Carpeta con
acceso
restringido
Evaluación de
desempeño
Empleado Hasta al final
de la relación
laboral
RH Cornerstone
Performance
Password
Ejemplo

68
4
Campos recomendados
► Consentimiento o aviso
► Mecanismo de recolección
► Información técnica:
formato, estructura,
volment (gigas, records)
► Ubicación: cloud, in-house,
servidores, redes,
gabinetes
► Medio
► Fuente: generada por
sujeto o sistema
► Recolectada por
► Usada por
► Compartida con:
destinatarios, países,
relación/contrato
► Periodo de retención
► Clasificación de seguridad:
confidencial, restringida
► Tipo de borrado
► Ranking de riesgo

69
4
Siempre descubres nuevos riesgos

70
4
Template UNIR
► Alto grado de detalle para ajustar a cada organización
► Obligatorio y opcional para la buena gestión
► Ejemplos de campos a completar y explicaciones

71
4
Mal ejemplo…

72
4
Práctica
Cuando los visitantes acceden al sitio web de la organización
Ubicación de IP, cookies, información del dispositivo, información del
navegador (por ejemplo, idioma), información de comportamiento
Cuando los clientes compran desde el sitio web de la organización
Nombre, dirección, correo electrónico, banco / datos de la tarjeta de
crédito
Cuando los clientes contactan con la organización por página web
Nombre, dirección, organización, número de teléfono

73
4
Práctica
Cuando los visitantes acceden al sitio web de la organización
Ubicación de IP, cookies, información del dispositivo, información del
navegador (por ejemplo, idioma), información de comportamiento
Cuando los clientes compran desde el sitio web de la organización
Nombre, dirección, correo electrónico, banco / datos de la tarjeta de
crédito
Cuando los clientes contactan con la organización por página web
Nombre, dirección, organización, número de teléfono

74
4
Práctica
Cuando los candidatos solicitan un trabajo
Nombre, dirección, correo electrónico, teléfono, edad, lugares de trabajo.
Cuando los empleados son contratados
Nombre, fecha de nacimiento, dirección, número de seguro social, datos
bancarios, salario, registros vitales, foto, datos familiares, salud,
impuestos y número de jubilación, pasaporte, matrícula de automóvil
Cuando los clientes participan en un sorteo.
Nombre, teléfono

75
4
Práctica
Cuando los candidatos solicitan un trabajo
Nombre, dirección, correo electrónico, teléfono, edad, lugares de trabajo.
Cuando los empleados son contratados
Nombre, fecha de nacimiento, dirección, número de seguro social, datos
bancarios, salario, registros vitales, foto, datos familiares, salud,
impuestos y número de jubilación, pasaporte, matrícula de automóvil
Cuando los clientes participan en un sorteo.
Nombre, teléfono

76
4
Práctica
Cuando los visitantes son monitoreados en video en el lobby
Imágenes, actividad
Cuando se escanean los dedos para acceder a la puerta
Huellas dactilares (biométricas)
Cuando los visitantes siguen la organización de las redes sociales
Datos según las políticas de Facebook o LinkedIn

77
4
Práctica
Cuando los visitantes son monitoreados en video en el lobby
Imágenes, actividad
Cuando se escanean los dedos para acceder a la puerta
Huellas dactilares (biométricas)
Cuando los visitantes siguen la organización de las redes sociales
Datos según las políticas de Facebook o LinkedIn

78
4
Práctica
Cuando se crean proveedores
Nombres, teléfonos, direcciones, correos electrónicos, ejecutivos,
registros de transacciones, número de impuestos, datos financieros
Cuando se crean usuarios empleados
Dirección IP de la PC, dispositivo móvil, actividad, contraseña
Cuando los visitantes obtienen un permiso de estacionamiento de la
organización
Matrícula, nombre

79
4
Práctica
Cuando se crean proveedores
Nombres, teléfonos, direcciones, correos electrónicos, ejecutivos,
registros de transacciones, número de impuestos, datos financieros
Cuando se crean usuarios empleados
Dirección IP de la PC, dispositivo móvil, actividad, contraseña
Cuando los visitantes obtienen un permiso de estacionamiento de la
organización
Matrícula, nombre

80
Minimizar los datos personales
5
El RGPD es una oportunidad para
mejorar la gestión de datos
► Dejar de solicitar datos personales que no se utilizan
► Borrar datos personales cuando ya no se necesitan
► Restructurar bases de datos para evitar la redundancia de
datos personales
► Centralizar los canales para recibir información personal
► Anonimizar datos eliminando vínculos y copias
► Usar los desuscribirse de las listas de email
► Eliminar datos duplicados, desactualizados o incorrectos
Ser conservativo: no hay multas por borrar datos de más

81
Minimizar los datos personales
5
Caso de discusión
► Una cadena de pubs eliminó los
emails y otros datos personales de
clientes de sus bases de datos de
marketing
► Toda la comunicación con clientes
se hace a través de Twitter y
Facebook, como descuentos y
promociones
► La cadena había sufrido la pérdida
de una base de 667k emails de
clientes

Controles recomendados > Detección de Fugas
Transmisión no autorizada de datos personales o confidenciales fuera
de la empresa a un receptor externo
► Por personal de la empresa o por terceros (procesadores)
► La mayoría de los datos se pierden por empleados internos por error o
maliciosamente
► La mayoría de los empleados se lleva datos cuando es dado de baja
Datos confidenciales
► Propiedad intelectual
► Información financiera
► Datos de pagos
► Información de valor para el negocio como precios de ofertas

Controles recomendados > Detección de Fugas
Controles
► Control de dispositivos
► Control de acceso
► Software de prevención de fugas
► Encriptación
Soluciones de software y/o hardware

Controles recomendados
Watermarking
Incluir un código único “invisible” dentro de cada copia transmitida
para poder trazar la fuente de una fuga de información
► Requiere modificar datos del documento
► Es necesario a veces que una copia distribuida sea luego re-
compartida y se pierde la trazabilidad
Cloud computing
Compartir documentos en la nube con terceras partes sin que ellas
pueda descargar o copiar dato

Detección
E-discovery
Datos
personales y
confidenciales
Ubicación,
tipo,
transmisión Respuesta
Permitir
Notificar
Justificar
Encriptar
Denegar
Escalar
Empleado
Gerente
CISO o
encargado
Compliance
officer
Registro
incidentes
Monitoreo de la red y servidores
Controles > Software para evitar la fugas de datos
Reglas Violaciones

eDiscovery
Búsqueda de
información con
patrones de ser
personal
Busca ciertas palabras
claves, composición de
datos, dígitos de
control, expresiones
regulares

Acciones
Prevenir y notificar
acciones sobre
transferencias no
autorizadas
Depende de la
configuración
Problema de los falsos
positivos
Reporte de incidentes

Diccionarios de
compliance
Posibilidad que el
software ya tenga
predefinida reglas y
acciones para el
cumplimiento de cierta
normativa de privacidad
Por industria (HIPAA) o
jurisdicción (GDPR o
PIPEDA)

Redes
Email, intranet, web
Servidores
Servidores de email, bases de datos, servicios web, adm de flujos
Servidores con carpetas compartidas y Sharepoint
Aplicaciones cloud
Equipos de usuarios
Discos rígidos en laptops, discos extraíbles USB, impresoras
Equipos móviles
Móviles y tablets de empleados

Papel del compliance officer
► Soporte para identificar información sensible > valuar el impacto
de los riesgos de incumplimientos
► Política para el envió de información personal o sensible por email
► Prohibición del uso de discos extraíbles o USB
► Prohibición de impresión
► Gestión de incidentes
► Protocolo de disciplina
► Establecer reglas de segregación de funciones
► Educar a los empleados en la higiene de datos

Robotic Process
Automation
¿Qué?
Solución de automatización de
procesos de negocios que realiza una
cadena de actividades aprendidas de
un ser humano para ser repetidas por
un robot ("bot") con inteligencia
artificial + machine learning, speech recognition,
natural language processing, chat bots, unstructured
data capture technologies
¿Cuándo?
Procesamiento de transacciones

Robotic Process
Automation
OCR
scan of
shipme
nt
notices
to
custom
Match
accoun
t with
sales
order
Calcula
te
applica
ble tax
Post
sales
invoice
Email
to
custom
er
attachi
ng PDF
invoice
Clerk
compile
s and
control
s
docum
ents
Billing
analyst
update
s sales
order
Billing
analyst
issues
invoice
with
taxes
Accoun
ting
clerk
books
invoice
A/R
analyst
mails
the
invoice
to
custom
er

Compliance y business
intelligence
Usando el big data
reporting
dashboards
querying data
inferencias y
tendencias
estadísticas
alarmas
Machine learning
reducir los falsos
positivos
“also look for”
unsupervised deep
Beneficios
monitoreo
en tiempo
real
investigaci
ón
completa e
interactiva
visualizaci
ón
pistas de
auditoría
menos
Data
wareho
use
Reports
Alarms
other
files

Business process modeling
Crear
política

99
► Tema 1: Acciones para minimizar riesgos en riesgos identificados
en departamentos.
► Tema 2: Creación, contenido y mejores prácticas de una política
de privacidad. Ejemplos de otras políticas de soporte a la
privacidad.
► Tema 3: Revisiones para limitar el acceso a datos personales por
usuarios.
► Tema 4: Principios y cambios del nuevo reglamento: derechos de
quienes generan datos personales, consejos para cumplirlos,
actualización de consentimientos, prácticas para gestionar los
pedidos de información personal.

100
Inversiones
► Entrenamiento sobre privacidad
► Reclutar nuevos profesionales
► Nuevo software de compliance y seguridad
► Consultoría legal y de TI
Limitaciones
► Falta de conocimiento y poco tiempo
► Falta de especialistas
► Complejidad de la regulación
► Limitadas herramientas de TI

101
Mayores riesgos del RGPD
No hacer operativos los nuevos derechos
► Gestión ineficiente de los pedidos de acceso
► Incumplir con el derecho al olvido, a la portabilildad y la
limitación del tratamiento
Uso ilegal de la información
► No obtener o dar trazabilidad a los consentimientos
► Carecer del interés legitimo
► Transferir información personal en forma ilegal
Incumplir con nuevos requerimientos
► Registro de actividades de tratamiento incompleto o
desactualizado
► Falta de preparación, gestión y notificación de fugas
► Omitir con las evaluaciones de impactos

102
Riesgos del nuevo reglamento
1- Riesgos de privacidad
► Pérdida potencial del control de información personal
► Filtración, uso o modificación sin consentimiento
► Responsabilidad legal y discontinuidad de negocio
► Evaluación de impacto para el interesado
2 - Riesgos de compliance
► Incumplimiento potencial de los requerimientos del
reglamento como transferencias y notificación fugas
► Multas y daño en la reputación

103
Riesgos del nuevo reglamento
3- Riesgos cibernéticos
► Daños potenciales por un grupo de factores tecnológicos
► Impacto en la confidencialidad, integridad y disponibilidad
de datos
► Naturaliza emergente, dinámica y de impacto sobre la
sustentabilidad
4- Riesgos humanos
► Potencial daño iniciado por un factor humano y de fraude
como las amenazas internas
5- Riesgos de terceras partes
► Potencial daño a la organización dependiente de un
tercero, en especial, proveedores de servicios
informáticos

1- Privacidad
2- Compliance
3- Cibernéticos
4- Humanos
5- 3 Partes
Controles
► Efectuar un análisis de riesgos de
privacidad (ISO 27005) con gaps
al reglamento
► Coordinar tareas de con el
encargado de seguridad de datos
y el compliance officer en un
programa común
► Emitir una política de privacidad
con otras de soporte
► Auditar los accesos a los
sistemas
► Encriptar datos personales

1- Privacidad
2- Compliance
3- Cibernéticos
4- Humanos
5- 3 Partes
Controles
► Implementar procedimientos y
herramientas para nuevos
derechos
► Documentar el cumplimiento de
las nuevas políticas >
responsabilidad activa, evidencia
para defensa
► Efectuar las evaluaciones de
impacto
► Mantener un registro (log) de
auditoria
► Clasificar los datos según los
riesgos para el interesado

1- Privacidad
2- Compliance
3- Cibernéticos
4- Humanos
5- 3 Partes
Controles
► Desarrollar un protocolo frente a
una fuga de información
vinculado al plan de recuperación
de desastres
► Implementar herramientas de
Data Loss Prevention, detección
de amenazas (ataques) y de
monitoreo de eventos de
seguridad
► Privacidad por defecto y desde el
diseño
► Parches, antivirus y actualización
de sistemas

1- Privacidad
2- Compliance
3- Cibernéticos
4- Humanos
5- 3 Partes
Controles
► Certificar al encargado de
protección de datos
► Entrenar al departamento de
sistemas, recursos humanos,
marketing y otros
► Efectuar campañas de
concientización
► Difundir nuevas políticas
► Asegurar la “higiene” (ej. limitar
aplicaciones de usuario final)
► Gestionar el cambio de los
nuevos controles y protocolos

1- Privacidad
2- Compliance
3- Cibernéticos
4- Humanos
5- 3 Partes
Controles
► Actualizas las cláusulas en los
contratos
► Limitar las sub-contrataciones
► Auditar las terceras partes o
solicitar certificaciones
► Nombrar un encargado para
rendir cuentas en la organización

Riesgo Tipo
1 – Empleado podría robar información
de bases de datos y pagos de clientes
Confidenc
ialidad
2- Empleado podría perder
accidentalmente información de
clientes o empleados por no seguir
procedimientos
Confidenc
ialidad
3- Delincuente informático podría
manipular maliciosamente datos
Integridad
4- Empleado de TI podría borrar datos
en respaldos y sistemas productivos
Integridad
5- Empleado de TI podría permitir la
entrada de un ransomware por falta de
actualización de parches y antivirus
Disponibil
idad
6- Proveedor externo de liquidación de
nóminas podría fugar datos de
empleados
Confidenc
ialidad
7- Recluiter externo podría fugar datos
de candidatos
Confidenc
ialidad
Práctica Mapa de riesgos
Mapa de riesgos
Probabilidad
Impacto
1
2
3
4
5
6
7
Baja Alta
AltoBajo
¿Qué riesgos tratas
antes?
¿Qué controles
propones?

110
Elementos controles de privacidad
Gobierno
Cultura Compliance

112
Política de privacidad
No confundir con la política de privacidad para visitantes de un sitio web
► Incorporar todas las regulaciones de
privacidad y de propiedad intelectual que
tenga la empresa (eprivacy) para darles
uniformidad

113
► Explicar que los empleados son responsables de
mantener la confidencialidad y la seguridad con
medidas técnicas razonables
► Limitar el uso de datos agregados y segundos
usos sin consentimiento
► Limitar el acceso a funciones de negocio
► Asignar la responsabilidad por el uso de datos
personales con interés legitimo
► Explicar la función del encargado de protección
de dato o rol similar
► Comunicar los derechos de los empleados y
como se ejercen

114
► Crear el dueño del dato como asegurador de la
calidad de la información personal y de actuzliar
el registro de actividades de tratamiento
► Transparencia para el programa de privacidad
► Compartirlas con proveedores de TI y
subcontratistas
► Limitar la exportaciones de datos fuera de la
comunidad sin medidas de protección necesarias
► Relacionar la política a otras como la de retención
de documentación

116
Revisar accesos
Principios
Mínimo acceso
Necesidad de negocio
Revisar y restringir accesos de
editar, visualizar, modificar y cambiar
datos personales maestros
Actualizar
política de accesos

117
Revisar accesos
Sistemas ERP y CRM
Active Directory (single sign-on)
Carpetas compartidas (& cloud)
Backups, legacies
Limitar roles de DBA, super users y
de terceras partes
Soluciones de revisiones de
accesos

118
Ejemplo de política de clasificación
Nivel Alcance Acceso
Confidencial Categorías especiales, información sensible,
detalles bancarios y de nómina, directorios
completes con nombres, direcciones y números
telefónicos
También: reportes al consejo, planes de
negocio y presupuestos
Por alto nivel, doble
aprobaciones
Restringida Ficheros maestros de empleados, clientes,
pacientes y proveedores
Accesos por data browser y data warehouse
Aprobados por los
dueños del dato
Uso interno Directorio de empleados, reportes internos,
email
Superior del
requirente
Publica
Revisar accesos

119
1Revisar accesos
119
Base clientes
CRM Datos
financieros
Nómina
Base de
proveedores
Directorio de
contactos
Seguros de
empleados
Visitantes web
Monitoreo GPS
Visitantes
Cámaras
Confidencial Restringida Interna
Bajo
Accesoinfrecuente,fàcilde
volveraoptener
Alto
Accesofrecuenteycríticoal
negocio
Crown
jewels
Alto Valor Medio Valor
Alto Valor Medio Valor Bajo Valor
Clasificación de Información
ValoralNegocio

120
Consejos
Revisar accesos
► Mantener todas las cuentas y los passwords
(credenciales) centralizadas y seguras
► Reforzar el uso de passwords complejos, únicos y de
cambio frecuente
► Limitar el acceso de terceras partes y monitorear su
actividad
► Auditar la actividad de las cuentas con privilegios
► Logar sesiones para auditorias forenses

122
2Revisar consentimientos
Opt-Out
Alternativa real de quitar el
consentimiento en cualquier
momento
Acción explicita, no por inactividad
o casillas preseleccionadas
Lenguaje simple
Explicar el propósito del
procesamiento, no genérico
Alcance y consecuencias
Lista de derechos
Separado de otras notas
Actualizados
Revisados cuando cambia el uso
de los datos, los encargados o
los datos de contacto
Posible de ser auditados
(momento previo al proceso)
Menores
Autorización paterna/tutor para
menores (ahora 14 años en ES)
Verificar la titularidad de la patria
potestad

123
Revisar consentimientos
Pinchando una
casilla o un vinculo
de suscripción
Firmando el
consentimiento en
papel
Seleccionando una
casilla en blanco
electrónicamente
Respondiendo a un
email de suscripción
Seleccionando
opción de si o no de
igual tamaño
Eligiendo opciones
técnicas

124
Consejos
2Revisar consentimientos
► Vincula los consentimientos al registro de actividades
► Comienza con los consentimientos explícitos por datos sensibles
► Los consentimientos deben ser verificables/auditables
► Procesa las bajas en tiempo
► Los consentimientos previos al 25 de Mayo valen si fueron
obtenidos respetando los principios de la regulación
► Si no llegas a adecuarte al reglamento al 25 de Mayo, dejar de
procesar información
► Puedes regularizar los consentimientos con emails de
actualización incluyendo los nuevos derechos

Revisar consentimientos
Antes que escriba mi nombre en el pizarrón,
necesito saber como va a usar mis datos

126
Gestionar solicitudes de acceso
3
Un mes para responder
Extensible a 2 meses más en caso de recepción
numerosa
Todo = electrónico + papel + datos archivados
Recibidos por escrito: > email, carga, formulario
Solicitudes razonables > gratis
Solicitudes no razonables o repetitivas >
costo administrativo
Solicitudes desproporcionadas > probar su
denegación
Estrategia de respuesta
Formato común, estructurado y electrónico > CVS, HTML,
PDF, MPEG, TIFF

127
Gestionar solicitudes de acceso
Antes de actuar, verificar que
1. el formulario está completo y es exacto
2. la identidad del interesado (y su representante)
es válida
3. el costo está pago (si corresponde)
Una vez aceptado
Centralizar los pedidos y priorizarlos por su complejidad
(especialmente cuando hay datos en poder de terceros a
pedir)
Definir (y recortar) el alcance, por ejemplo, preguntando
al interesado si solo está interesado en cierta
información en particular
Usas un sistema de gestión de documentación

128
Validar las transferencias
Flujos hacia la organización
• Quien ingresa/carga información personal
• Qué campos se almacena
• Dónde se almacenan
Consistente con el registro de actividades
Flujos fuera de la organización
Categorías de receptores (dentro y fuera de la
comunidad)
Medidas de seguridad en las transferencias >
generalmente encriptación

129
4
Representante
Sitios de e-commerce
buscando clientes en UE
> accesible desde la EU,
precios en Euros, lenguajes
euopeos , entregas en la UE
Extraterritorialidad de la RGPD

130
4

131
Binding corporate rules

132
4
Responsable Encargado
Exportador de datos si está fuera de
la UE
Revisión de contratos
Responsabilidades claras
Limitar o aprobar sub-contratación y exportación
Clausula de auditoria o certificaciones
Uso de clausulas modelos a exportadores de datos
Negociación de los costos de adecuación al RGPF
Prever resolución de disputas

133
4
Consejos para cláusulas en los
contratos con 3ros
Cláusula de cumplimiento con GDPR
Obligación de seguir con la política de privacidad de del
responsable y todas las políticas relacionadas
Notificar al encargado de protección de datos de cualquier
violación al reglamento, fuga, queda, denuncia o near miss
Derecho a auditar, incluso contratando un consultor
especializado
Indemnización por todos los eventos
Asegurarse todo el personal del encargado tenga
entrenamiento sobre privacidad

134
4
Responsable
• Demostrar el
cumplimiento
• Cumplir con los
principios
• Asegurar el encargado
cumple con instrucciones
claras basadas en el
contrato
• Monitorear y controlar
• Notificar violaciones de
seguridad
Encargado
• Procesar los datos según
las instrucciones y el
contrato
• Imponer cláusulas de
confidencialidad a sus
empleados
• Demostrar el
cumplimiento de las
medidas técnicas y
organizaciones
• Colaborar con las
auditorias
• Borrar o devolver datos al
final

135
Reflexión
► El 31b como una oportunidad explotada

136
Reflexión
► 6 posiciones abiertas de DPD en toda España

137
Reflexión
► 1.000 perfiles nombrando al DPD en LinkedIn
► Otros 1.000 como DPO
Mayormente
► abogados, asesores jurídicos y consultores en compliance
► en sector público como ayuntamientos y universidades
Algunos certificados bajo el esquema de la AEPD

138
Reflexión
► 300 DPDs registrados en “empresa” en la AEPD

Directiva NIS de ciberseguridad
La directiva la Directiva 2016/1148 fue transpuesta
en España en Septiembre 2018
► Niveles comunes de protección en las redes y
sistemas de información
► Enfocado en operadores de servicios e
infraestructura críticos con elevado número de
usuarios como energía, salud, transporte,
administraciones públicas, proveedores de internet y
banca
► Requiere controles adecuados a los riesgos > similar
al RGPD
► Obligación de notificar incidentes sin demoras

140
Retomando conceptos
► No hacer operativos los nuevos derechos
► Uso ilegal de la información
► Incumplir con nuevos requerimientos
► Carecer o no aplicar un protocolo frente a una fuga
de información
► No asignar el “dueño del dato”
1
Riesgos
de la
implementación
► Vamos hoy a las validaciones

141
► Identificación y validación de las transferencias de datos
personales
► Los roles de procesador y controlador de datos en la transferencia
de datos dentro y fuera de la Comunidad Europea, uso de las
Binding corporate rules
► Revisión de contratos que gestionen información personal
► Formas de detectar y actuar frente a una filtración de datos,
planes sobre diferentes escenarios
► Acciones de entrenamiento y difusión interna
► Ejemplos ilustrativos y modelos de controles

Identificar las transferencias
► Múltiples “exportaciones” de datos personales en las empresas
► Explotaciones > transferencias transfronterizas
► Servidores en países dentro y fuera de la UE
Solo exportar datos personales fuera del área económica
europea bajo 3 condiciones:
► A) A otros países “adecuados”
► B) Con medidas de salvaguardia apropiadas
► C) Con normas corporativas vinculantes
► Ciertos sectores > Códigos de conducta aprobados
► Aprobadas por las Agencias de Supervisión

►Alemania
►Austria
►Bélgica
►Bulgaria
►Chipre
►Croacia
►Dinamarca
►Eslovaquia
►Eslovenia
►España
►Estonia
►Finlandia
►Francia
►Grecia
►Holanda
►Hungría
►Irlanda
►Italia
►Lituania
►Luxemburgo
►Polonia
►Portugal
►Reino Unido (Brexit)
►Rep. Checa
►Rumania
►Suecia
Islandia
Noruega
Liechtenstein
Ámbito del RGPD
Comunidad Europea
Área Económica Europea
Exportaciones sin restricciones

145
A) Países “adecuados”
4

Países no EEA con adecuado nivel de protección
Decide la comisión europea en base a
► Nivel de protección de su legislación > respeto de los derechos
humanos y las libertades fundamentales
► Funcionamiento efectivo de autoridades de control
► Compromisos internacionales sobre protección de datos
► Proceso consultivo con los países miembros
Transferencias basadas en una decisión de adecuación
► El exportador no debe ofrecer más garantías al exportar datos a
estos países
► Argentina, Canadá, Israel, Nueva Zelanda, Suiza, Uruguay
► Próximos, Corea y Japón?

Arreglo para exportaciones a los Estados Unidos
► Declara a Estados Unidos como país adecuado
► Para los Estados Unidos, la privacidad es parte de la protección
de los consumidores y no un derecho humano
► Reemplazo del Safe Harbor declarado inválido en 2015
► Limita el monitoreo de ciudadanos europeos por CIA y FBI
► Pide mayores protecciones a empresas norteamericanas al recibir
datos de residentes Europeos
► Supervisión del acuerdo anual
► Importancia para empresas de Reino Unido y el resto de Europa

B) Con medidas de salvaguardia apropiadas
► Autorización de transferencias por la autoridad de supervisión o un
país de la comunidad
► Medidas de seguridad adecuadas incluyen los acuerdos entre
autoridades públicas, las cláusulas estándar de protección de
datos, los códigos de conducta aprobados por la autoridad de
supervisión, las certificaciones aprobadas (GDPR compliant seals)
y otras provisiones
► Costosas de mantener actualizadas ante cambios constantes en
los negocios que afectan las transferencias

Clausulas modelo
► Acceso al sitio
https://ec.europa.eu/info/law/law-
topic/data-protection/data-transfers-
outside-eu/model-contracts-transfer-
personal-data-third-countries_en
► 2 modelos > a otro responsable o a
un encargado de procesamiento
fuera de la comunidad
► !No las puedes cambiar si es la
única protección! Pero las puedes
sumar a otro contrato de servicio

150
C) Binding corporate rules
Normas corporativas vinculantes

Permite exportaciones fuera de la EU y de países “adecuados”
► Por grupos empresariales o la unión de empresas dedicadas a
una actividad económica conjunta (ej. solo para filiales fuera de la
CE)
► Las empresas solicitantes deben demostrar controles adecuados
para el procesamiento pedido, usualmente basado en auditorias y
entrenamiento de personal
► Se autorizan (lentamente) por la autoridad de supervisión en base
a una checklist

Checklist de actividades
► Qué debe incluirse en la
solicitud
► Útil para completar la
aplicación
► Utilizada por grandes
empresas, especialmente
financieras, tecnológicas,
médicas y de
comunicaciones

Excepciones o derogaciones
Se permite excepcional la exportación a países fuera de la UE si
► El interesado dio su consentimiento expreso tras haber recibido
toda la información necesaria sobre los riesgos relacionados con
dicha exportación
► Es necesario para efectuar un contrato o sus pasos previos en
interés del interesado
► Necesario por razones importantes de interés publico
► Necesario para ejercitar un derecho de defensa o de litigación
► Necesario para proteger los intereses vitales del interesado
cuando este no puede dar su consentimiento

Solo hacer transferencias internacionales si…
► Contamos con el consentimiento explicito del interesado en que
informamos claramente de la transferencia
► La transferencia es necesaria para cumplir o finalizar el contrato
entre el interesado y el controlador, o entre el controlador y una
tercera parte en interés del interesado
► La transferencia es necesaria para proteger los intereses vitales
del interesado cuando este no puede dar su consentimiento por
estar física o legalmente incapacitado

Cuando hablamos de transferencia, no se incluyen
movimientos de datos personales por servidores
Procesamiento
Envío Procesamiento
Recepción
No transferencia
No procesamiento en USA
Solamente movimiento de
datos en un servidor cloud

Casos de especial > transferencias menores e
infrecuentes a países fuera del espacio común
Las transferencias únicas se permiten solo cuando la transferencia:
► se puede realizar sobre la base de una decisión de adecuación o contrato
estándar, normas corporativas vinculantes o una de las excepciones
► no está siendo realizado por una autoridad pública en el ejercicio de sus poderes
públicos
► no es repetitiva (no se hacen de forma regular);
► involucra datos relacionados solo con un número limitado de individuos
► es necesaria a los efectos de los intereses legítimos imperiosos de la organización
► está sujeta a las garantías adecuadas establecidas por la organización para
proteger los datos personales.
En estos casos, las organizaciones deben informar a la autoridad supervisora
pertinente de la transferencia e informar al interesado de los intereses legítimos
persuasivos perseguidos.

Casos de estudio
¿Es una trasferencia restringida?
► Una empresa de España trasmite información sobre sus
empleados locales contratados como viajantes para procesar
información para vincular los movimientos de GPS con el
consumo de combustible de los coches asignados
► Una agencia de turismo España trasmite información sus de
pasajeros con planes de viaje a Marruecos para asegurarse las
reservas de hoteles y de viajes locales, así como los datos de
contactos

158
Extraterritorialidad de la RGPD
4
Representante
Sitios de e-commerce
buscando clientes en UE
> accesible desde la EU,
precios en Euros, lenguajes
euopeos , entregas en la UE

159
Flujos hacia la organización
• Quien ingresa/carga información personal
• Qué campos se almacena
• Dónde se almacenan
Consistente con el registro de actividades
Flujos fuera de la organización
Categorías de receptores (dentro y fuera de la
comunidad)
Medidas de seguridad en las transferencias >
generalmente encriptación

160
4
Responsable Encargado
Exportador de datos si está fuera de
la UE
Revisión de contratos
Responsabilidades claras
Limitar o aprobar sub-contratación y exportación
Clausula de auditoria o certificaciones
Uso de clausulas modelos a exportadores de datos
Negociación de los costos de adecuación al RGPF
Prever resolución de disputas

161
4
Consejos para cláusulas en los
contratos con 3ros
Cláusula de cumplimiento con GDPR
Obligación de seguir con la política de privacidad de del
responsable y todas las políticas relacionadas
Notificar al encargado de protección de datos de cualquier
violación al reglamento, fuga, queda, denuncia o near miss
Derecho a auditar, incluso contratando un consultor
especializado
Indemnización por todos los eventos
Asegurarse todo el personal del encargado tenga
entrenamiento sobre privacidad
Volver la información tan anónima como sea posible

162
4
Responsable
• Demostrar el
cumplimiento
• Cumplir con los
principios
• Asegurar el encargado
cumple con instrucciones
claras basadas en el
contrato
• Monitorear y controlar
• Notificar violaciones de
seguridad
Encargado
• Procesar los datos según
las instrucciones y el
contrato
• Imponer cláusulas de
confidencialidad a sus
empleados
• Demostrar el
cumplimiento de las
medidas técnicas y
organizaciones
• Colaborar con las
auditorias
• Borrar o devolver datos al
final

Compliance de privacidad en la
cadena de suministro

Principio general
Solamente utilizar proveedores de servicios de procesamiento de
datos personales que garanticen el cumplimiento del RGPD
► Llevar a cabo la debida diligencia apropiada de los procesadores
► Monitorear el cumplimiento de los controles por los procesadores
► Establecer (y documentar) las condiciones para el
subprocesamiento
En la práctica
► Actualizar cláusulas de contratos
► Renegociar costes de contratos
► Desarrollar proveedores

Disposiciones contractuales obligatorias
Designar al procesador con un contrato escrito que cubra
• la limitación de actuar sobre las instrucciones documentadas del controlador
• las obligaciones de confidencialidad a todo el personal que procesa los datos
relevantes
• la garantía de seguridad de los datos personales que procesa
• el cumplimiento con las normas relativas al nombramiento de sub-procesadores
• la implementación de medidas para ayudar a al controlador a cumplir con los
derechos de los interesados
• el soporte al controlador a obtener la aprobación de los DPIA cuando sea
necesario
• la elección del controlador para devolver o destruir los datos personales al final de
la relación
• la obligación del procesador de brindar la información necesaria para demostrar el
cumplimiento con el reglamento.

Privacidad en la cadena de suministro
• Mapear los flujos de datos personales a través de las cadenas de
suministro.
► Identifique los destinatarios de los datos personales, incluidos
► los sub-procesadores y
► dónde se encuentran los datos personales procesados
Si esto parece difícil ahora, imagine que intenta hacerlo con un
requisito legal de notificación de violación de datos de 72 horas que
se cierne sobre su organización

• Identifique los contratos de proveedores existentes que involucren el
procesamiento de datos personales
► Revise las disposiciones de protección de datos en los contractos
existentes
► Es poco probable que cubran todas las disposiciones que deben
incluirse en el reglamento
• Enfoque a la organización al riesgo en los contratos nuevos y
existentes a la luz del GDPR.
► Los riesgos financieros y reputacionales planteados por la
regulación cambian el perfil de riesgo de los contratos de
procesamiento de datos, lo que requiere un enfoque diferente de
la responsabilidad de la protección y la seguridad de los datos

• Verifique que las pólizas de seguro existentes cubran la protección
de datos y las violaciones de seguridad, incluidas las de los
proveedores.
• Verifique los sistemas internos para asegurarse de que haya
protocolos establecidos que permitan a la organización cumplir con el
requisito de notificación de incumplimiento de 72 horas

• Lleve a cabo la debida diligencia adecuada con los nuevos
proveedores para verificar el cumplimiento del reglamento
► Obtenga garantías y evidencias con respecto a las medidas que
los proveedores tienen implementadas
► Garantice que existen derechos de auditoría dentro del contrato
junto con las demás disposiciones de procesamiento de datos
obligatorias

Actuación frente a filtraciones

Introducción
Una "violación de datos personales"
significa una violación de la seguridad
que lleva a la destrucción accidental o
ilegal, pérdida, alteración, divulgación
no autorizada de, o acceso a, datos
personales transmitidos, almacenados
o procesados de otra manera
Definición

Reacciones a una filtración
Autoridades
públicas
Usuarios
Procesadores y
3ras partes
Soluciones de
“data loss”
Indicadores
de fuga
Notificaciones

“Hoy sólo hay dos
tipos de empresas:
las que han sido
hackeadas y las que
serán hackeadas

Cuándo
ocurrió
Cómo ocurrió
Nivel de
compromiso
Protocolo
de
respuesta
Investigar

Notificaciones
Obligación de que el procesador de datos notifique al controlador
- Notificación sin demora indebida después de enterarse
- Todas las violaciones de datos deben ser reportadas
Obligación del controlador de datos de notificar a la agencia de
supervisión
- Notificación sin demora indebida y no más tarde de 72 horas
- Descripción de la naturaleza de la brecha
- No es obligatorio notificar si es poco probable que se produzca un alto
riesgo para los derechos y libertades de las personas físicas
- No se debe informar dentro de las 72 horas

Audite los flujos de datos
Las entradas y las
salidas de datos
Riesgos enfocados en
el uso no intencionado
de datos
Asegurarse que el
registro (RoPA) está
actualizado
Auditorias
frecuentes
o antes de
implementaciones

Navigate a data breach
Pasos
Filtración
confirmada o
bajo sospecha
1. Contenga la filtración desconectando
redes y usuarios y revocando
privilegios
2. Active el equipo de respuesta a la
filtración de datos
3. Investigue los registros de
sospechosos de personas internas y
externas, conserve las pruebas,
documente el tiempo de confirmación
4. Evalúe el impacto de la pérdida de
datos
5. Tome medidas correctivas:
restauraciones, cambio de
credenciales de usuarios y
servidores clave
6. Notifique a las autoridades
supervisoras y sujetos de datos.
1
2
3
4
5
6

Actuar
sobre los
riesgos
Datos criticos
Scenario planning
Pruebas de penetración,
escaneo de
vulnerabilidades
Escenarios de respuesta
sobre amenazas
internas / externas.
Mejorar la detección de
brechas de seguridad
Preservar documentos y
evidencia

Mejorar el
gobierno
de datos
Consejos sobre controles
Invertir en un
registro completo
Encriptar datos
Revisar y limitar
los accesos
Protecciones
frente a fugas

Mejorar el
gobierno
de datos
Certificar con la ISO
27001 a la organización
y sus proveedores
“Train the trainer” para
privacidad
Asignar a los dueños de
los datos
De-risk los procesos

Mejorar el
gobierno
de datos
No confundir el
cumplimiento del RGPD
con cyber security
Constantemente evaluar
riesgos tecnologicos
Parche oportuno para
bloquear
vulnerabilidades
Pólizas de seguros de
cyberseguridad

182
Implementar un programa de seguridad
Caso de discusión

Introducción
Asegurar el cumplimiento de los
controles sobre privacidad por el
personal interno y externo procesando
datos personales
Requerimiento de entrenar sobre políticas y
practicas de seguridad a los encargados del
procesamiento (generalmente clausula en
contratos de servicios)
Importancia

185
La importancia del entrenamiento
► Claro mensaje desde la alta dirección
> hay medidas disciplinarias por falta de seguridad
► Personal o en línea? Frecuencia? Seguridad y/o fraude?
Audiencia?
► Campañas para promover la cultura
► Casos reales sin jerga
► Prevenir instalación de virus
► Explicar como reaccionar frente a situaciones comunes
> perdí mi pen drive, envíe mal el email, recibí un email
sospechoso (phising), recibí un mensaje para que instale
una aplicación

186
La importancia del entrenamiento

Cierre
Oficial de cumplimiento
► Órgano autónomo de la
persona jurídica
► Habilidades en derecho y
controles
► Designación para actuar
como eximente
► Monitorea la prevención de
delitos del 31 bis y otros
requerimientos
Encargado de protección datos
► Especialista independiente
► Habilidades en protección de
datos y regulación sobre
privacidad
► Designación obligatoria
► Supervisa el cumplimiento
del RGPD
► Asesora sobre las
evaluaciones de impacto
► Contacto con la autoridad de
supervisión

Recursos SAPExperts How to
Prepare Your SAP
System for GDPR
SAPExperts Learn
How to Prepare Your
SAP User Access
Review for GDPR

189
► Tema 1: Guía, ejemplos, prácticas y consejos para la Evaluación
de Impacto en la Protección de Datos Personales (EIPD)
► Tema 2: Aplicaciones de la ISO 29151:2017 como guía para
evaluar impactos en privacidad
► Tema 3: Necesidad, identificación de flujos de información, formas
de consultar riesgos y controles, listado de riesgos genéricos y sus
controles recomendados
► Tema 4: Priorización de riesgos para identificar controles
necesarios
► Tema 5: Comunicación y reporte: Privacidad by default y by design
► Tema 6: Auditoria de cumplimiento

Como Identificar Riesgos de
Privacidad

ISO 29134:2017
Directrices para una
Evaluación de Impacto
Herramienta con soluciones
para los riesgos identificados
Evaluación de Impacto en la
Protección de Datos Personales

Herramienta
identificar,
analizar, evaluar,
consultar,
comunicar y
planear
salvaguardias
IT,InfoSed,
Compliance
AccionesEfectivas

Herramienta
evitar una fuga
de datos e
incumplimientos
al RGPD
Implementando
controles antes
del
procesamiento
Durantetodoel
procesmiento
planeado

Componentes
Descripción y
propósito de las
operaciones de
procesamiento
Evaluación de los
riesgos de privacidad
para individuos
no a la organización, no a la
autoridad supervisora
Valoración de la
necesidad y
proporcionalidad.
Medidas adicionales
necesarias para hacer
frente a los riesgos

Objetivos
► Alerta temprana para identificar
riesgos de privacidad y
responsabilidades para tratarlos
► Soporta la privacidad por diseño
► Comunica riesgos y acciones a los grupos de
impactados
► Mantiene actualizaciones con funcionalidades
adicionales
► Documenta el cumplimiento con el art. 35 del
reglamento

4 pasos simples para cumplir con un análisis de
impacto para la mayoría de las empresas

Identificar la necesidad
Antes de nuevos proyectos o cambiar procesos existentes de posible
alto riesgo, por ejemplo, al considerar un
►nuevo sistema para almacenar datos personales
►cambiar el uso de datos personales ya recolectados
►nuevo sistema de videovigilancia
►uso de datos de sujetos vulnerables (por ejemplo, niños)
►nueva base de datos consolidando tablas con información personal de otros
sistemas
►nuevo algoritmo para perfilar un tipo particular de cliente
►propuesta para compartir datos personales con un socio comercial
►Impacto de una nueva legislación.
Dudas → ¡consulte a la Autoridad de Supervisión y pide piedad!
1

Identificar los flujos
Armar un mapa de procesos con la
documentación del proyecto
Identificar información personal en el mapa de
procesos
Consultar con expertos sobre cómo se recopilará,
transferirá, utilizará y almacenará la información
personal
2

Identificar los riesgos y controles
Consulte a todas las partes involucradas para
tener una vista 360º, enlace los riesgos para los
propietarios
Incluir controles actuales en el mapa de proceso
Evalúe el impacto y la frecuencia en un mapa de
calor (recomendado), evaluación de riesgos en
ISO 27001 (bajo 29100)
3

Internos
Encargo de protección de datos (facilitador)
Gestores de proyectos y desarrolladores
CIO, CISO y otros expertos en informática
Compliance officer
Asesores legales
Jefe de auditoria interna
Oficial de gestión de riesgos
Futuros o actuales usuarios
Miembros de la alta dirección
3

Externos
Los sujetos interesados, grupos de interesados o
sus representantes como sindicatos y
asociaciones de consumidores
Potenciales procesadores de datos y proveedores
Expertos y consultores
3

Identificar los riesgos y controles 3Inventario
Alcance
Derechos
Acceso
Rectificación
Restricción
Portabilidad
Objeción
Limitación orofiling
Derechos
fundamentales
Privacidad
Protección ante
discriminación
Prevención pérdidas
financieras
Almacén
Uso
Transferencia
Destrucción
Recolección
Consecuencias
Impacto
Cualitativo
Cuantitativo
Escenario más
probable
Causas
Frecuencia
Probabilidad de
ocurrencia en un
horizonte
determinado
Violaciones pasadas

Identificar los riesgos y controles 3
Objetivos Riesgo Ciclo vital Componente controles
Disponibilidad
Pérdida, robo o
extracción autorizada
Tratamiento Datos,
sistemas,
procesos
Redundancia, protección,
reparación y respaldo
La pérdida de los
derechos de acceso
Transferir
Integridad
Modificación no
autorizada
Tratamiento Datos Comparar valores hash
Transferir sistemas
Limitar el acceso, auditorias
de accesos, logs
Confidencialidad Acceso no autorizado
Almacenamien
to
Datos,
sistemas
Encriptación, VPNs
Procesos
Formación sobre derechos y
funciones, Auditorías,
Autentificación en 2 pasos
Asegurar la
imposibilidad de
vinculación
Vinculación no
autorizada o
inapropiada
Tratamiento Datos Anonymity
Tratamiento Sistemas
Separación de los datos
almacenados
Compliance
Recolección excesiva o
autorizado
Colección Datos
Propósito de verificación,
darse de baja, minimización
de los datos, DPIAs
Análisis, comunicación
o de nuevo propósito
sin el consentimiento
Tratamiento Datos
Revisión de autorizaciones,
registros de flujo de trabajo
para la retirada de
consentimiento

Riesgos de discriminación
Pérdida de oportunidades
• Negativa de trabajo, préstamo, seguro,
estudios y solicitudes de visa.
• Negación al acceso a los servicios públicos.
Otras desventajas sociales y exclusión (e.g.
religión, vivienda)
Clave: categorías especiales de datos personales
(en especial, datos de salud)
Taxonomía

Riesgos de fraude y personificación
• Robo de identidad al solicitar préstamos,
nuevas tarjetas de crédito y beneficios
gubernamentales
• Exposición a estafas y riesgos (e.g. phishing,
espionaje, ataques DDoS, ingeniería social)
• Falsificación (e.g., pasaporte, tarjeta de
identificación, licencia de conducir)
• Venta ilegal de datos de contacto (e.g., spam,
llamadas de marketing)
Taxonomía

Daño al honor y a la reputación
• Descrédito público
• Separación o divorcio
• Hostigamiento y ciber-acoso
• Dolencias psicológicas por invasión de la
intimidad
Taxonomía

Riesgos de perdida financiera
• Robo por compras ilegales con tarjeta de
crédito
• Transferencias bancarias fraudulentas
• Pérdida de evidencia en el contexto de reclamo
o litigio
Riesgos de daño físico
• Posibilidad de ser secuestrado o victima de
otros delitos
Clave: riesgos más altos que involucran datos
personales de niños u otras personas vulnerables (es
decir, discapacitados)
Taxonomía

Riesgos para la organización
Legales
• Multas y sanciones resultantes del incumplimiento
de las obligaciones de RGPD
Financieras
• Reclamaciones por daños al controlador de datos
• Costes de remediación
Operacional
• Reputación comercial y pérdida de clientes y
contratos.
• Imposibilidad para alcanzar los objetivos de negocio
• Carga de trabajo abrumadora
Taxonomía

Evento Causas
raíz
Consecuen-
cias
Impacto Probabilid
ad
Tratamient
o
Monitoreo Responsib
le y fecha
Fuga de
información
personal de
clientes
Fallas en el
diseño de
la
privacidad
en las
aplicacione
s de CMS
Espionaje
Falta de
madurez
en el
programa
de
privacidad.
Pérdida de
clientes
Multas del
RGPD
Interrupción
del negocio
Solicitudes
para borrar
datos
Pérdida de
oportunidade
s
comerciales.
Severo Probable Póliza de
seguros
Formación
Pruebas de
penetración
Proyecto
de
integración
Nota:
documenta
r la
aceptación
de riesgos.
Progreso
del pan de
acción
Noah
Nilsen
Mkt
Director
Q3 2018
Ejemplo registro de riesgos

Criterios
Probabili
dad
Impacto
Severo
Daño real significativo a un gran número de sujetos de datos
Consecuencias significativas o irreversibles para el sujeto de los
datos
Significante
Daño real significativo a un pequeño número de sujetos de datos
Daños reales menores a un gran número de sujetos de datos
Minimo
Daños reales menores a un gran número de datos
Probable
Alta probabilidad de que el escenario de riesgo pueda ocurrir, una vez
al año
Posible
Media probabilidad de que el escenario de riesgo pueda ocurrir
Remote
El escenario de riesgo es improbable, una vez cada 10 años
Medio

Mínimo a incluir en el análisis
► descripción y finalidad de las operaciones de tratamiento
previstas
► evaluación de la necesidad y la proporcionalidad de las
operaciones de tratamiento con respecto a su finalidad
► evaluación de los riesgos para los derechos de los
interesados
► medidas previstas para afrontar los riesgos
3

Identificar nuevos controles
Priorice a los riesgos de privacidad de acuerdo a
la tolerancia al riesgo vinculada a la política de
clasificación de datos > los riesgos pueden ser
aceptados, evaluar necesidad y proporcionalidad
Diseñe soluciones tales como nuevos controles y
tecnologías de acuerdo con el costo / beneficio
para el riesgo
Cree un plan de acción y obtenga la firma por el
gerente en caso de cambio del tipo de información
involucrada
4

Seguir los planes de acción
Comuníquese con los interesados, de abajo hacia
arriba y de arriba hacia abajo
Avance con planes de acción y medidas de
implementación de documentos (cambios de TI y
no de TI)
Posteriormente, revise periódicamente la
implementación para evaluar si los riesgos se
mitigan y garantizar que se hayan adoptado las
soluciones identificadas. Reevalúe las DPIA al
menos cada 3 años
5

Consejos
► Basar la metodología en la ISO
► Empezar temprano para tener tiempo
para planes de acción
► Efectuar un taller con stakeholders
► Registro central de DPIAs
► Taxonomía de riesgos para asegurar
la consistencia
► Involucrar un experto externo

Herramienta
Modelo PIA por la Autoridad
de Supervisión francesa
(CNIL)
Link

By design
La privacidad y la protección de
datos deben ser una
consideración clave en las
primeras etapas de cualquier
proyecto y luego a lo largo de su
ciclo de vida
Controle de forma proactiva la
adherencia a los principios de
GRPD al diseñar nuevos
productos, servicios o procesos
comerciales
Medidas técnicas y organizativas
adecuadas
Diseñar políticas, procedimientos
y sistemas conformes
By default
La protección de datos
personales debe ser una
propiedad predeterminada de los
sistemas y servicios
La configuración de privacidad
más estricta debe aplicarse
automáticamente una vez que el
cliente adquiere un nuevo
producto o servicio
La información personal solo
debe guardarse de forma
predeterminada durante el tiempo
necesario para proporcionar el
producto o servicio
Privacy…

226
Auditoria de compliance
Asegúrese de que los procesos y procedimientos de protección de
datos se cumplan
► Implementar revisiones de gestión de procesos y sus controles
► Simular incidentes (por ejemplo, fuga de datos) para auditar
protocolos
► Pruebas independientes con garantía de calidad
► Formalizar el incumplimiento y remediación
► Ampliar el alcance y los riesgos
► Identificar métricas y tendencias de cumplimiento

227
Indicadores recomendados
Procesos KPI example
Entrenamiento % de personal (u horas) capacitado en políticas de privacidad
(participación / aprobación, tipo de programa, niveles)
Incidentes # de incidentes de privacidad (por sistema, ubicación, repetidos o
nuevos) # violaciones de datos informadas
Auditorias # no conformidades
# planes de acción en curso (y vencidos)
Consentimient
os
% consentimientos obtenidos
Control de
Acceso
% de accesos y credenciales validadas
Compliance # solicitudes
# quejas
# nuevos proyectos con DPIA

228
Gestión del Cambio

229
Códigos de conducta y certificaciones
►Plataforma para controladores de datos, procesadores y grupos de
interés
►Asegurar un medio estructurado y eficiente para el cumplimiento del
RGPD
►Importantes cargas administrativas y de documentación
►Establecer y mantener el cumplimiento del código de conducta o
obtener el estado de certificación
►Estos costes pueden ser compensados por nuevas ventajas
competitivas o disminuidos por automatización

230
Códigos de conducta
► Los Estados miembros, las autoridades de control, el Comité y la
Comisión
► promoverán la elaboración de códigos de conducta destinados
a contribuir a la correcta aplicación del presente Reglamento,
► teniendo en cuenta las características específicas de los
distintos sectores de tratamiento y las necesidades específicas
de las microempresas y las pequeñas y medianas empresas.

231
Códigos de conducta
► Los Estados miembros, las autoridades de control, el Comité y la
Comisión
► promoverán la elaboración de códigos de conducta destinados
a contribuir a la correcta aplicación del presente Reglamento,
► teniendo en cuenta las características específicas de los
distintos sectores de tratamiento y las necesidades específicas
de las microempresas y las pequeñas y medianas empresas.
Soft law sectorial para
demostrar compliance sectorial

232
Principal alcance de los códigos de conducta
► Tratamiento leal y transparente
► Intereses legítimos perseguidos por los responsables del
tratamiento en contextos específicos
► Recogida de datos personales
► Pseudonimización de datos personales
► Información proporcionada al público y a los interesados
► Ejercicio de los derechos de los interesados
► Protección de la información proporcionada a los niños
► Medidas para garantizar la seguridad del tratamiento
► Notificación de violaciones de la seguridad de los datos

233
Adherirse a un código de conducta demuestra que
►sigue los requisitos del RGPD
►mitiga los riesgos relevantes para su sector y el tipo de
procesamiento que está haciendo
►es más transparente y responsable
►puede tener una ventaja competitiva en la confianza de clientes
►tiene salvaguardias efectivas para mitigar riesgos como
transferencias internacionales
►aplica las mejores prácticas
Clave > El monitoreo de controles

234
Principales sectores con códigos de conducta
► Cloud
https://cispe.cloud/code-of-conduct/
► Investigaciones en ciencias biomédicas
https://code-of-conduct-for-health-research.eu/
► Proveedores de servicios en 3ero paises
https://www.geant.org/uri/Pages/dataprotection-code-of-conduct.aspx

235
Certificaciones
► Nuevo mecanismo para demostrar el cumplimiento
► Sello de cumplimiento de cara al cliente
► Someterse a una evaluación independiente
► Cubre prácticas de privacidad y seguridad de datos
► Las certificaciones son voluntarias a través de un proceso
transparente
► No redunden la responsabilidad del controlador o del procesador
ante incumplimientos
► Más popular es EuroPriSe

236
► Tema 1: Documentación para demostrar el cumplimiento
► Tema 2: Programa de certificación
► Liderazgo y gobierno
► Evidencia operacional
► Gestión de riesgos de privacidad
► Tema 3: Documentación del encargado de protección de datos
► Tema 4: La figura del delegado de protección de datos
► Tema 5: Práctica y sus oportunidades de carrera
► Tema 6: Certificaciones
► Tema 7: Monitoreo y revisiones de cumplimiento de políticas

237
Demostrar el cumplimiento
“Si un control no está documentado, no existe”
- Tu auditor
Los responsables del tratamiento deben ser capaces
de demostrar el cumplimiento con el RGPD bajo el
principio de responsabilidad activa (accountability) y
a pedido de la autoridad de supervisión.
- Art 24

238
El RGPD planea
altos requerimientos y
esfuerzos para su
documentación
Se discute el nivel
adecuado de
documentación
Sin embargo, se
deben formalizar los
procedimientos
operativos y su
cumplimiento
En la práctica
integrarnos los
controles de
privacidad en
políticas

239
A nivel gestión
► La privacidad es parte del sistema de gestión
dentro de sus políticas y procedimientos
► La documentación es evidencia del cumplimiento
A nivel de corporate defense
► Demostrar la debida diligencia en implementar
medidas de control
A nivel de auditoria
► En los contratos de outsourcing, deben poder
auditarse las medidas de control técnicas y
organizaciones
► Estándar ISAE 3000 tipo I, certificaciones y sellos

241
Programa de Certificación
Objetivo Art 5
► Evidencia del involucramiento de la alta dirección
en la privacidad
Documentos
► Aprobación de un programa de privacidad,
agenda y actas del consejo sobre el RGPD y
evaluación de informes con métricas sobre
privacidad y planes de acción, aprobación de
presupuesto
► Certificación ISO 27001
► Nice to have descripciones de puestos con roles sobre
privacidad, solvente equipo de implementación

242
Objetivo Art 37 y 38
► Si se requiere, evidenciar el nombramiento del
encargado de protección de datos
Documentos
► Delegación de tareas > contrato y descripción de
puesto
► Evidencia del reporte independiente al consejo >
organigrama y ejemplo de reportes al consejo
► Presupuesto ajustado a los riesgos
► Competencia y certificaciones > CV, background
checks y confirmación de identidad
► Comunicación a la autoridad local

243
Objetivo Art 27
► Para responsables y encargados extranjeros que
necesitan designar un representante dentro de la
comunidad
► Evidenciar la contratación de un representante de
Documentos
► Contrato con un encargado, consejero o
representante
► Comunicación externa en las notas de privacidad
y sitio web

244
Objetivo Art 5
► Evidenciar el cumplimiento de los principios
Documentos
► Programa y política de privacidad integrados a la
estrategia de seguridad que detalle los principios,
transparencia, minimización de datos,
responsabilidades y data owner, verificación de
integridad y confidencialidad
► Código de conducta y manuales de empleados
con referencias a protección de datos personales
► Políticas de retención de documentación, uso de
activos, clasificación de información y DPIA

245
Objetivo Art 6
► Evidenciar el cumplimiento de la legalidad del
tratamiento de datos
Documentos
► DPIAs efectuados para nuevos programas,
sistemas y procesos
► Contratos con encargados de procesamiento que
definan las bases legales
► Procedimiento para usos secundarios de datos
► Mecanismos para eliminar los datos de identidad
(art 89) en archivos de interés publico, de
investigación científica/histórica o de estadísticas

246
Objetivo Art 9 y 10
► Evidenciar la justificación de datos de categorías
especiales y de procesos penales
Documentos
► Política para solicitar y usar información sensible
que incluya:
► Forma de documentar las bases legales para el
procesamiento (ej. contrato o intereses vitales)
► Controles vinculados a política de clasificación de datos
► Controles para obtener el consentimiento escrito
especifico
► Cláusulas en contratos limitando las instrucciones al
encargado de procesamiento

247
Objetivo Art 7 y 8
► Demostrar la obtención de consentimientos
válidos
Documentos
► Documentar que el consentimiento es anterior al
procesamiento
► Relevante, claro, simple y accesible
► Efectiva detención del procesamiento ante
derechos de limitación o opt-out
► Verificación de la identificad del padre o tutor en
consentimiento de menores
► Procedimiento con un responsable de
actualización

248
Objetivo Art 7 y 8
► Demostrar el registro permanente de
consentimientos
Documentos
► Evidencia que los consentimientos se resguardan
en forma segura
► Se retiene la redacción de lo que el interesado ha
aceptado > términos de servicios
► Se reguarda la metadata > dirección IP, browser,
tipo de dispositivo, browser e identificad social
► Aprobación de la redacción por un especialista
legal o el encargado de protección de datos

249
Objetivo Art 12, 13 y 14
► Evidenciar el principio de transparencia
Documentos
► Procedimiento de notas de privacidad
► Efectiva comunicación de derechos al interesado
► Mecanismos definidos: iconos, notificaciones pop-
up, scrips y notas
► Aprobación por un especialista
► Protocolo de notificación de fugas de información
que alcance a las personas afectadas y la
agencia de supervisión

250
Objetivo Art 15
► Evidenciar el derecho de acceso
► También similar para rectificación (art 16), olvido (17), restricción del procesamiento
(18), actualización (19), portabilidad (20), objetar (21) y limitar el profiling (22)
Documentos
► Procedimiento para gestionar los pedidos de
accesos
► Canales definidos > email, formulario on line, por escrito
► Protocolo para dar una respuesta a tiempo
► Un encargado de responder el pedido coordinando tareas,
cubriendo datos internos y externos y llevando
indicadores
► Un aprobador de la decisión final para confirmar y
documentar acciones como denegar el pedido

251
Objetivo Art 24
► Evidenciar la responsabilidad activa (por
responsable del tratamiento)
Documentos
► Programa formalizado de privacidad y compliance
► Evidencia de actividades implementadas
► Evaluaciones de riesgos y gaps en toda la empresa
► Política de privacidad
► Planes de contingencia
► Scenario planning documentado y testeado
► Evidencia de acciones de haberse dado una violación o fuga de
información

252
Objetivo Art 28
► Evidenciar la responsabilidad activa en
outsourcing (por responsable del tratamiento)
Documentos
► Clausula para dar claras instrucciones al
encargado > quien las da, cómo se documentan y
como se aceptan
► Due diligence y revisión anual de los contratos de
procesamiento por 3eras partes > revisiones y
acciones sobre recomendaciones
► Controles sobre el sub-procesimiento y
transferencias

Lista de Verificación RGPR para
Acuerdos de Terceros
► Checklist para revisar los
contratos con encargados de
procesamiento de datos
► Controles recomendados
agrupados por 15 temas
Herramienta

254
Objetivo Art 30
► Evidenciar el registro de actividades de
procesamiento y transferencias
Documentos
► Inventario de activos con información personal
► Listado de todas las actividades de
procesamiento
► Donde, tipo de datos, 3eras partes, exportaciones de datos
► Evidencia de actualizaciones del registro
► Aprobación de registro por dueños de datos
personales

255
Objetivo Art 45 a 49
► Evidenciar los controles en las transferencias de
datos
Documentos
► Revisión de mecanismos de protección en las
transferencias de datos > biding corporate rules,
EU-US privacy shield, cláusulas estándar,
aprobación de la autoridad de supervisión
► Autorización de las transferencias >
consentimiento, cumplimiento con contratos
► Ligado al registro de actividades de
procesamiento

256
Objetivo Art 32
► Evidenciar la seguridad del procesamiento
Documentos
► Política de gestión de usuarios
► Roles, aprobaciones, segregación de funciones
► Revisión de usuarios y accesos
► Medidas técnicas > detección de intrusiones,
cortafuegos, monitoreo, encriptación
► Clausulas de confidencialidad
► Contratos de empleados y proveedores

257
Objetivo Art 35 y 36
► Evidenciar la evolución de impactos en la
protección de datos personales (EIPD/DPIA)
Documentos
► Política, guía y modelos de EIPD/DPIA
► Consulta efectiva a los stakeholders
► Seguimiento de planes de acción de riesgos
detectados
► Evidencia del monitoreo de acciones
► Se testean las medidas de remediación para asegurar sean efectivas
en función del riesgo
► Eventual consulta a la autoridad de supervisión

258
Objetivo Art 33
► Evidenciar un protocolo de acción frente a una
fuga de información o violación de seguridad
Documentos
► Plan de gestión de incidentes de privacidad
► Monitoreo de actividad anormal
downloads, transferencias a memorias extraíbles
► Procedimiento de escalada que incluyen al DPO
► Protocolo de notificación a individuos afectados y reporte a
reguladores, agencias de créditos y fuerzas de seguridad
► Loggeo de incidentes con análisis forense
► Testeo frecuente (anual) y simulaciones
► Seguros

259
Objetivo Art 25
► Evidenciar los principios de privacy by design and
defauld
Documentos
► Politica de DPIA
► Evaluación de riesgos de privacidad para los
interesados en nuevos desarrollos, programas,
sistemas y procesos o cambios importantes
► Integración de privacidad en los desarrollos
► Revisión de accesos con principios del menor
privilegio

Checklist para Política de
Retención de Datos
► Consideraciones para analizar
el alcance de la política
► Controles generales, durante el
almacenamiento, al
vencimiento del periodo y
obligaciones de información
Mi recomendación
Prohibir (o aprobar) a los
encargados que sub-contraten
servicios y que transfieran datos
personales fuera de le EU
Herramienta

Encargado de Protección de Datos

262
► Evidenciar la actuación del EPD/DPO
Documentos
► Evidencia de acceso irrestricto a toda la
documentación y personal
► Asignación de presupuesto y autonomía
► Tareas libres de incompatibilidades
► Ejecución de las tareas del programa de
privacidad
► Evidencia de revisión anual y cambio de políticas

263
Documentos
► Ejecución de tareas de entrenamiento y
concientización
► Materiales, documentos de entrenamiento,
posters, presentaciones, páginas web,
competencias
► Metricas de asistencia y resultados de pruebas

264
Documentos
► Monitoreo de cumplimiento con la RGPD
► Auditorias periódicas de controles de privacidad y cumplimiento de
políticas
► Comenzando del inventario de datos (riesgo alto)
► Orientación a procesos con incidentes, quejas de clientes,
información sensible, baja seguridad, transferencias internaciones
► Testeo de transacciones y documentos > workpapers
► Consejo: sinergias con auditoria iterna y complaince, reporte de
recomendaciones firmados por responsables operativos
► Auditorias de terceras partes

265
Documentos
► Reportes a la alta dirección
► Informes de avances con el programa de privacidad (schedule, Gantt)
► Evidencia de reuniones con dueños de procesos
► Consejo: justificar documentar bien la aceptación de situaciones de
riesgos
► Seguimiento de riesgos y cambios regulatorios
► Constancias de participación en entrenamientos, certificaciones,
conferencias, suscripciones a alarmas legales, reuniones con el
asesor legal

La figura del delegado de

267
¿Cuándo es necesario un delegado?
Si es una
autoridad
pública
Posibilidad de
un único
encargado para
varias
reparticiones
públicas
(considerando su
estructura y tamaño)
Si sus actividades centrales
consisten en procesar operaciones
con datos personales…
Requiren
monitoreo
regular y
sistemático
sobre los
interesados en
gran escala
Involucrando datos de categorías
especiales y delitos y ofensas
penales
Si lo pide la
comunidad o
una ley
nacional
Grupo puede nombrar un encargado único, si está
accesible por todos

268
¿Cargo del delegado?
Base El delegado se designa en base a 1) habilidades
profesionales y 2) conocimiento experto en leyes de
protección de datos y sus práctica
Contratación 1) Empleado por el responsable o encargado
2) Contrato de servicios como contratista
independiente
Linea de reporte Directamente a la alta dirección de gestión del responsable
o encargado
Obligaciones 1) Mantener confidencialidad sobre el complimiento de la
regulación y las leyes nacionales
2) Ejercer sus tareas en forma independiente

269
¿Tareas del delegado?
Informar Aconsejar Monitorear
Contacto
unico con
la AEPD
Para dar recomendaciones al responsable o
encargado y los empleados procesando
información personal en cumplir la …
Regulación Europea
RGPD
Leyes nacionales sobre
privacidad
Aconsejar sobre las evaluaciones de impacto y
monitorear la ejecución de planes de mitigación
Consejo sobre como implementar polícias de
privacidad
Otras tareas
Que no creen conflicto
(el encargado puede ser un
trabajo a tiempo parcial)

270
¿Tareas del encargado?
Informar Aconsejar Monitorear
Contacto
único
El responsable y el encargado deben respaldar
al EPD a cumplir sus tareas
Recursos
para el
programa de
privacidad
(presupuesto)
Desarrollar politícas
internas para
demostrar el
cumplimiento y auditar
su adopción
Acceso a
información
autoridad y
poder
Mantenerse
actualizado
con
entrenamient
o
Desarrollar
actividades de
capacitación y
concientización
Para hacer esto…

271
¿Roles del delegado?
Gobierno
Strategico Compliance

272
Independencia
A través de la segregación de funciones (art 38)
► Evitar conflictos de interés (sin auto-control,
imparcialidad, sin control de familiares)
► Sin gestionar sistemas de TI (CISO/CIO) ni
riesgos de privacidad (en general excluye al
directorio, RH, compliance, legal y marketing)
► Nos llega a una función full-time
► Se debe justificar un rol como un prestador de
servicios independiente
Reporte directo al CEO o alta dirección
► Privacidad como parte integral de la cultura y la
estructura de gobierno

273
Independencia
► Apoyo activo de y hasta la alta dirección
► Línea de reporte real al consejo con acceso
efectivo y de reporte frecuente
► Evitar reportar a las funciones de TI, legal o
compliance
Autonomía
► Nadie da órdenes al EPD sobre cómo hacer sus
funciones
► Consejo: documentar cualquier disidencia que
involucra a la alta dirección

274
Independencia
Protección de su empleo
► Garantías ante un despido injustificado como por
ejercer sus funciones delegadas
► Nombrado por un término de 2 a 5 años y re-
confirmado hasta por 10 años en total
► Sin represalias por no coincidir con las unidades
operativas
► Puede ser despedido por faltas éticas y bajo
rendimiento
Presupuesto separado
► Incluye entrenamiento, viajes, soluciones de TI,
consultores equipo, acceso a asesoramiento legal

275
Requerimientos
Conocimiento experto de la ley de protección de
datos (artículo 37)
► General, abogado especializado en privacidad
► No necesita ser un abogado para entender una
sola regulación con 99 artículos
► También: auditor, especialista en cumplimiento,
especialista en TI, o gerente no técnico
Muchas habilidades no legales
► Seguridad de la información, evaluación de
riesgos, cumplimiento, estrategia comercial,
gobierno de datos, gestión del cambio y gestión
de grupos de interés

276
Requerimientos
► Alta antigüedad para ser un asesor de negocios
de confianza y líder
► Certificaciones formales (por país)
► Mantener confidencialidad
► La ubicación física no es relevante, pero debe ser
accesible
► La empresa debe notificar públicamente en su
web quien es el EPD, en los requerimientos y
consultas a los interesados, en el reporte a la
autoridad y desde el encargado al responsable

277
Requerimientos
Consejos
► Entender realmente los riesgos de privacidad y
seguridad específicos de la organización
► Vincular los riesgos con la naturaleza, el alcance, el contexto y los
propósitos del procesamiento
► Acordar claramente el título, el estado, la posición y las tareas
► Sin responsabilidad individual del EPD por
incumplimiento por parte de la empresa
► Punto de contacto: consultar y cooperar con las
autoridades de supervisión
► Notificación de infracciones
► ¡No es un papel de denunciante! ¡No es un oficial
de policía de datos!

278
Tareas (art 39)
Independientemente, supervisar el cumplimiento
► Auditar contra el reglamento, políticas internas y contratos
► Mantener el inventario de datos personales
► Priorizar los controles en un programa de privacidad y
monitoree el cumplimiento
► políticas de protección de datos, capacitación, prácticas de seguridad de
datos, mantener documentación
► Asegurar de que las responsabilidades sobre los controles
de privacidad son claras
► Supervisar las evaluaciones de impacto de protección de
datos y monitoree los planes de acción
► Coordinar cómo se responden las solicitudes de acceso al
tema

279
Tareas (art 39)
Estratégicamente, informar y asesorar sobre
cuestiones de protección de datos
► Asistir a reuniones relevantes sobre procesamiento de
datos (antes de tomar decisiones)
► Capacitar y sensibilizar al personal que administra la
información personal
► Sugerir posibles soluciones, interpretaciones legales y
cambios de implementación
► Involucrado en cualquier violación de seguridad
► Las empresas no están obligadas a seguir el consejo del
EPD

280
Voluntario
► Los EPD pueden ser nombrados voluntariamente en
organizaciones privadas
► Cuando no es requerido por el RGPD
► Motivo: reducir multas eventuales
► Pueden ser comunicados oficialmente a la Autoridad
Supervisora
► Una vez registrado, el EPD debe seguir los mismos
requisitos que siendo obligado
► Alternativa, asigne informalmente la responsabilidad del
cumplimiento de la privacidad de datos a otro empleado
► Consejo: no nombre el puesto / rol como EPD/DPO, sino
como Oficial de Privacidad de Datos
► ¿Jefe de Auditoría Interna? ¿Expertos en auditoría o
cumplimiento de TI?

Hernan Huwyler Compliance y Privacidad de Datos Regulaciòn General de Protecciòn de Datos RGPD Nueva ley orgánica de protección de datos y garantía de derechos digitales

Hernan Huwyler Compliance y Privacidad de Datos Regulaciòn General de Protecciòn de Datos RGPD Nueva ley orgánica de protección de datos y garantía de derechos digitales

Recomendados

Recomendados

Más contenido relacionado

Similar a Hernan Huwyler Compliance y Privacidad de Datos Regulaciòn General de Protecciòn de Datos RGPD Nueva ley orgánica de protección de datos y garantía de derechos digitales

Similar a Hernan Huwyler Compliance y Privacidad de Datos Regulaciòn General de Protecciòn de Datos RGPD Nueva ley orgánica de protección de datos y garantía de derechos digitales (20)

Más de Hernan Huwyler, MBA CPA

Más de Hernan Huwyler, MBA CPA (20)

Último

Último (20)

Hernan Huwyler Compliance y Privacidad de Datos Regulaciòn General de Protecciòn de Datos RGPD Nueva ley orgánica de protección de datos y garantía de derechos digitales

Notas del editor