Sesión informativa sobre el nuevo Reglamento Europeo sobre Protección de Datos Personales, realizada el 24/05/2018 en el coworking Capiqua que la Fundación Nova Feina gestiona en Quart de Poblet (Valencia). Impartida por Gemma Viguer, consultora técnica de gestión y colaboradora de la empresa Govertis.
EMPRESA MAS SOCIAL: La contratación de personas vulnerables, buena práctica e...
Adaptación Reglamento Protección Datos Personales RGPD
1.
2. CONTENIDO
1 PRESENTACIÓN CORPORATIVA
3 PRINCIPALES NOVEDADES DEL RGPD
4 DIRECTRICES PARA LA TRANSICIÓN
5 DE LA MANO DE SANDAS GRC
2 VISIÓN GENERAL DEL RGPD
6 AUDITORIA Y SEGUIMIENTO
3. ORIGEN Y EVOLUCIÓN
Derecho de las TIC
Asesoría jurídica y Auditoría
Desarrollo y distribución de Software
gestión Normas Privacidad (LOPD-
RGLOPD)
Sistema de Información GRC,
gestión: PRIVACIDAD, ENS, ENI, ISO
27001, ISO 22301, etc
EXPANSIÓN Y ALIANZA CON
TELEFÓNICA
▪ Expansión en LATAM
▪ Alianza con Telefónica
GESDATOS + GESCONSULTOR =
SandaS G.R.C.
El Grupo nació en 2001 como fruto de una iniciativa de profesores de la Universidad de Valencia en materias relacionadas con el
cumplimiento normativo TIC, diseñando un primer Sistema de Información especializado en la automatización de su cumplimiento
que marcó un hito en su momento y que, en su evolución, ha derivado en las propuestas actuales, utilizadas en más de 9.000
Organizaciones públicas y privadas.
NACE GOVERTIS
NACE GOVERTIS
COLOMBIA
4. SERVICIOS EXPERTOS
Consultoría, Auditoría, Advisory Técnico y Legal
PROTECCIÓN DE DATOS (RGPD) COMPLIANCE PENAL
▪ RGPD. Reglamento General de Protección de
Datos de la Unión Europea.
▪ LOPD y RDLOPD. Ley orgánica Protección de
Datos
▪ DPO/DPO. Delegado de protección de Datos
▪ LSSI. Ley de Servicios de la Sociedad de la
Información y del Comercio Electrónico
‐ Adecuación, Revisión, Mantenimiento,
Auditoría, Defensa en procedimientos
sancionadores, Protocolo uso TIC
‐ Asesoramiento en legislación sobre
privacidad en LATAM
▪ Implantación Sistema de Gestión de
Compliance Penal. Diseño e Implantación,
Mantenimiento, y Formación.
▪ Prevención de Riesgos Penales. Implantación
de protocolos y procedimientos de
prevención penal.
▪ Canal de denuncias externalizado.
Implantación y Gestión del Canal de
denuncias.
LEY DE TRANSPARENCIA
▪ Adecuación Ley Transparencia acceso a la
información pública y buen gobierno
‐ Publicidad Activa
‐ Acceso a la información
‐ Buen Gobierno
5. SERVICIOS EXPERTOS EN G.R.C.
Consultoría, Auditoría, Advisory Técnico y Legal
SEGURIDAD DE LA INFORMACIÓN CONTINUIDAD DE NEGOCIO
▪ ISO 27001. Implantación y Mantenimiento.
Máxima cualificación. Formadores y
Auditores de Certificación de British
Standards Institution (BSI).
▪ NIST Cybersecurity Framework. GAP Analysis.
Implantación. Mantenimiento. Alineamiento
con COBIT, ISO 27001, PCI, Secure Pay, ...
▪ CSA STAR. Implantación y Certificación de
servicios e infra. Cloud. Máximos expertos.
Formadores oficiales de BSI.
▪ GESTIÓN DE SERVICIOS DE TI basados en
ITIL® y en la ISO 20000.
▪ Ciberseguridad Industrial.
▪ ISO 22301. Implantación y Mantenimiento.
Elaboración y/o actualización de BIAs y Risk
Assessments.
▪ Análisis de Impacto en el Negocio (BIAs)
conforme a ISO 22317.
▪ Planes de Continuidad (BCPs).
▪ Planes de Recuperación de Desastres (DRPs)
conforme a ISO 27031.
▪ Infraestructuras Críticas (II.CC.). Integración
de PSOs y PPEs para sector financiero con
mejores prácticas internacionales
OFICINAS TÉCNICAS
▪ Dedicación completa o parcial a su proyecto
▪ En premisas del cliente o nuestras oficinas
con la política de supervisión y seguimiento
acordada.
▪ Perfiles técnicos, jurídicos y expertos en
Sistemas de Gestión y marcos regulatorios
(SOX, PCI-DSS, SSAE 16, SOC1, SOC2, …).
▪ Senior Advisors con mínimo 5 años de
experiencia y siempre con certificaciones
oficiales
6. ASPECTOS DIFERENCIALES
Nuestros trabajos se realizan con la
plataforma líder del mercado:
SANDAS GRC
Plataforma de Cumplimiento
normativo más extendida del
mercado propiedad de TELEFÓNICA y
distribuida por GOVERTIS.
Más 10 años de experiencia y
múltiples referencias nos avalan.
Más de 11.000 clientes han utilizado
nuestra plataforma y hemos realizado
más de 1000 proyectos de
consultoría normativa.
5 años de experiencia mínima en
Seguridad y/o Privacidad
Experiencia en sector Público y
Privado
Especialización sectorial: Sector
público, educación, profesionales...
Con certificaciones profesionales:
CISA, ACP APEP, ISO 27001 Lead
Auditor, ITIL, AULETEC
Licenciatura / Ingeniería
CONSULTORES ALTAMENTE
CUALIFICADOS
PLATAFORMA DE TRABAJO
SANDAS GRC
EXPERIENCIA
10. Hasta ahora
▪ Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal [LOPD]
▪ Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de
desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de
carácter personal [RDLOPD]
▪ Directiva 95/46/CE del Parlamento europeo y del Consejo, de 24 de octubre de 1995,
relativa a la protección de las personas físicas en lo que respecta al tratamiento de
datos personales y a la libre circulación de estos datos [Directiva 95/46/CE]
En adelante
▪ Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de
2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento
de datos personales y a la libre circulación de estos datos y por el que se deroga la
Directiva 95/46/CE [RGPD].
VISIÓN GENERAL DEL RGPD
COEXISTENCIA DE NORMAS
11. ❑ Estamos en un momento de transición de la LOPD al RGPD.
❑ Es un intento de armonizar u homogeneizar la normativa europea sobre protección de datos.
❑ Entró en vigor el 24 de mayo de 2016 y será exigible a partir del 25 de mayo de 2018.
❑ Las autoridades ya han publicado guias de ayuda y las hemos procesado
VISIÓN GENERAL DEL RGPD
TRANSICIÓN. ADAPTACIÓN PROGRESIVA AL RGPD
12. VISIÓN GENERAL DEL RGPD
¿QUÉ EMPRESAS ESTARÁN OBLIGADAS A CUMPLIR CON EL NUEVO GDPR?
Este Reglamento de aplica a todas aquellas entidades que traten datos de carácter
personal que se encuentren dentro de la Unión Europea (Autónomos, PYMES,
Administraciones Públicas, etc.).
También se aplicará a responsables y encargados no establecidos en la UE siempre
que traten datos como consecuencia de una oferta de bienes o servicios destinados
a ciudadanos de la Unión.
13.
14. NUEVAS OBLIGACIONES
10 PRINCIPALES NOVEDADES GDPR
1. NUEVOS PRINCIPIOS
El art. 5 del GDPR contiene la lista de principios que se deben tener
en cuenta en el tratamiento de datos personales.
Algunos de ellos ya estaban previstos en la LOPD, pero se añaden
otros nuevos:
15. 10 PRINCIPALES NOVEDADES GDPR
❑ PRINCIPIO DE TRANSPARENCIA (5.1.a)
“Los datos personales serán tratados de manera lícita, leal y transparente en
relación con el interesado”.
Este principio se centra en facilitar las relaciones entre el responsable de los datos y el
interesado, así como entre el responsable de los datos y las autoridades de control.
Su materialización conlleva un importante cambio, ya que desaparece la obligación de
notificar y registrar los ficheros que contienen datos personales ante la autoridad de
control. En España, esta autoridad es la Agencia Española de Protección de Datos
(AEPD).
16. 10 PRINCIPALES NOVEDADES GDPR
En el nuevo GDPR se ha definido un “Registro de actividades de
tratamiento”.
Este registro se llevará a cabo de forma interna y contendrá, entre otros,
los siguientes datos:
• nombre y datos de contacto del responsable del tratamiento
• nombre y datos del Delegado de Protección de Datos
• finalidad del tratamiento
• descripción de categorías del interesado
• descripción de categorías de datos tratados
• las transferencias internacionales de datos
17. 10 PRINCIPALES NOVEDADES GDPR
En España, este nuevo registro puede integrarse de momento en
el Documento de Seguridad, hasta que la Agencia Española de Protección
de Datos facilite instrucciones concretas acerca de su formato y gestión.
18. 10 PRINCIPALES NOVEDADES GDPR
❑ PRINCIPIO DE LIMITACIÓN DE LA FINALIDAD (5.1.b)
“Los datos personales serán recogidos con fines determinados,
explícitos y legítimos, y no serán tratados ulteriormente de manera
incompatible con dichos fines (...)
Estos fines explícitos y legítimos deberán determinarse en el momento
de la recogida de los datos.
19. 10 PRINCIPALES NOVEDADES GDPR
❑ MINIMIZACIÓN DE DATOS (5.1.c)
“Los datos personales serán adecuados, pertinentes y limitados a lo necesario en
relación con los fines para los que son tratados”.
Este principio obliga a aplicar las medidas técnicas y organizativas apropiadas para
garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que
sean necesarios para cada uno de los fines específicos de tratamiento (Artículo 25.2).
20. 10 PRINCIPALES NOVEDADES GDPR
2. NUEVOS DERECHOS DE LOS CIUDADANOS
La Ley Orgánica de Protección de Datos establecía 4 derechos
para los interesados: Acceso, Rectificación, Cancelación y
Oposición (conocidos en España como derechos ARCO).
Pues bien, con el nuevo Reglamento Europeo de Protección de
Datos, esta lista se amplía. Además de los derechos ARCO, se
contemplan también los siguientes derechos:
• Derecho a la transparencia de la información, (art. 12)
• Derecho de supresión (derecho al olvido), (art. 17)
• Derecho de limitación, (art. 18)
• Derecho de portabilidad, (art. 20)
21. 10 PRINCIPALES NOVEDADES GDPR
2. NUEVOS DERECHOS DE LOS CIUDADANOS
Por su importantes consecuencias prácticas analizamos con más detalle el derecho al olvido y
el derecho a la portabilidad:
❑ DERECHO AL OLVIDO
El nuevo GDPR establece que cualquier persona tendrá derecho a que su información personal
sea eliminada de los proveedores de servicios de Internet cuando lo desee, siempre y cuando
quien posea esos datos no tenga razones legítimas para retenerlos.
Además obliga a los responsables de los datos que han difundido la información a terceros a
comunicarles la obligación de suprimir cualquier enlace a los datos publicados, así como a
eliminar cualquier copia o réplica de dichos datos.
Su objetivo es conseguir eliminar de la red y de los buscadores cualquier rastro que haya de los
datos de la persona que quiere ser “olvidada” de manera definitiva.
22. 10 PRINCIPALES NOVEDADES GDPR
2. NUEVOS DERECHOS DE LOS CIUDADANOS
❑ DERECHO A LA PORTABILIDAD
En el nuevo GDPR se prevé la posibilidad de transmitir los datos de un
responsable a otro, de forma que el interesado tendrá derecho a que los datos
personales se transmitan directamente cuando sea técnicamente posible.
Un ejemplo habitual es cuando un particular quiere cambiar de operadora de
telecomunicaciones o de compañía de electricidad: la portabilidad permite que los
datos personales del particular se transfieran directamente a la nueva compañía
escogida, de forma ágil y sencilla para el usuario final.
Además de incorporar estos nuevos derechos, el GDPR también exige que se
creen procedimientos visibles, accesibles y con un lenguaje sencillo para
facilitar al interesado el ejercicio de sus derechos. Además tendrá que ser posible
a través de medios electrónicos como indica el Considerando 59.
23. 10 PRINCIPALES NOVEDADES GDPR
3. AMPLIACIÓN DEL DEBER DE INFORMACIÓN
Desde Mayo 2018, además de informar a la persona responsable del fichero de la
existencia de los ficheros inscritos en AGPD, el Reglamento exige la obligación de
informar sobre nuevos aspectos:
❑ Base legal para tratamiento de datos
❑ Periodo de conservación
❑ Posibilidad de hacer reclamaciones
❑ Demás derechos del nuevo RGDP
REVISAR CLÁUSULAS INFORMATIVAS EN PROCESO DE
RECOGIDA DE DATOS E INCLUIR NUEVOS APARTADOS
24. 10 PRINCIPALES NOVEDADES GDPR
4. OBTENCIÓN DEL CONSENTIMIENTO PARA TRATAMIENTO DE DATOS
❑ Para poder considerar que el consentimiento es inequívoco, deberá existir una
DECLARACIÓN DEL INTERESADO o UNA ACCIÓN POSITIVA que
manifieste su conformidad.
EL SILENCIO, LAS CASILLAS YA MARCADAS O LA INACCIÓN NO
CONSTITUIRÁN PRUEBA DE CONSENTIMIENTO
(CONSIDERANDO 32 DEL GDPR).
¿HAY QUE OBTENER EL CONSENTIMIENTO EXPLÍCITO DE CLIENTES YA
EXISTENTES ANTES DE LA ENTRADA EN VIGOR DEL NUEVO RGPD?
SI EL CONSENTIMIENTO NO ESTABA CLARAMENTE IDENTIFICADO, SÍ SE
DEBERÁ VOLVER A SOLICITAR
25. 10 PRINCIPALES NOVEDADES GDPR
4. OBTENCIÓN DEL CONSENTIMIENTO PARA TRATAMIENTO DE DATOS
❑ En relación con el TRATAMIENTO DE DATOS DE MENORES:
NO PODRÁN RECABARSE DATOS PERSONALES A MENORES DE 16
AÑOS SIN EL CONSENTIMIENTO PATERNO O TUTOR LEGAL
5. ESTABLECER ACCIONES Y MEDIDAS DE SEGURIDAD
El nuevo RGDP no distingue entre nivel BÁSICO, MEDIO o ALTO sino que
se tiene en cuenta:
✓ El estado de la técnica
✓ Costes de aplicación
✓ Naturaleza, alcance, contexto y fines del tratamiento
✓ Riesgos para derechos y libertades de personas físicas
26. 10 PRINCIPALES NOVEDADES GDPR
5. ESTABLECER ACCIONES Y MEDIDAS DE SEGURIDAD
❑ EL NUEVO RGPD HABLA DE MEDIDAS TÉCNICAS Y ORGANIZATIVAS
APROPIADAS PARA GARANTIZAR NIVEL DE SEGURIDAD ADECUADO.
❑ PROPONE LA ADHESIÓN A CÓDIGOS DE CONDUCTA O MECANISMOS
DE CERTIFICACIÓN COMO SISTEMAS DE VERIFICACIÓN DEL
CUMPLIMIENTO (Ej.: certificación RGPD, UNE EN ISO 27001, etc.).
❑ EXIGE QUE LAS EMPRESAS TENGAN UNA ACTITUD CONSCIENTE,
DILIGENTE Y PROACTIVA DEL TRATAMIENTO DE LOS DATOS,
PUDIENDO DEMOSTRAR LAS MEDIDAS DE SEGURIDAD APLICADAS,
SI LLEGAR EL CASO.
27. 10 PRINCIPALES NOVEDADES GDPR
6. EVALUACIÓN DEL IMPACTO DEL TRATAMIENTO DE DATOS PERSONALES
CUANDO EL TRATAMIENTO DE DATOS SUPONGA ALTO RIESGO PARA LOS
DERECHOS Y LIBERTADES DE LAS PERSONAS FÍSICAS, SE DEBERÁ EVALUAR:
✓ ORIGEN
✓ NATURALEZA
✓ PARTICULARIDAD
✓ GRAVEDAD
EN AGPD SE PUEDE DESCARGAR UNA GUÍA PARA EVALUACIÓN DEL IMPACTO
(PROBABILIDAD Y GRAVEDAD DE LAS CONSECUENCIAS)
28. 10 PRINCIPALES NOVEDADES GDPR
7. COMUNICACIÓN DE FALLOS A LA AUTORIDAD DE PROTECCIÓN DE DATOS
NOTIFICAR LAS VIOLACIONES DE SEGURIDAD DE LOS DATOS EN EL PLAZO DE 72
HORAS A LA AGDP.
SI LA BRECHA IMPLICA UN RIESGO PARA EL INTERESADO, TAMBIÉN SE LE DEBE
NOTIFICAR A ÉL.
29. 10 PRINCIPALES NOVEDADES GDPR
8. DELEGADO DE PROTECCIÓN DE DATOS
❑ SE CREA LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS:
ASESOR DE PROTECCIÓN DE DATOS DE LA EMPRESA, ASUME COMPETENCIAS
EN MATERIA DE COORDINACIÓN Y CONTROL DEL CUMPLIMIENTO DE
NORMATIVA EN MATERIA DE PROTECCIÓN DE DATOS
SÓLO SERÁ OBLIGATORIO:
Autoridad u organismo público
Supuestos de EXIGENCIA (art 37 RGPD)
Empresas que tengan un tratamiento
regular y sistemático de datos a gran
escala (ej.: hospital)
Empresas que recojan datos
especialmente sensibles, categorías
especiales de datos y relativos a
condenas penales y delitos (gran
escala)
30. 10 PRINCIPALES NOVEDADES GDPR
8. DELEGADO DE PROTECCIÓN DE DATOS
FUNCIONES DEL DELEGADO DE PROTECCIÓN DE DATOS
✓ Supervisar la implementación y aplicación de las políticas internas
✓ Realizar formación al personal
✓ Organizar y coordinar las auditorías
✓ Gestionar la información de los interesados y las solicitudes presentadas en el ejercicio
de sus derechos
✓ Velar por la conservación de la documentación
✓ Supervisar la realización de la evaluación de impacto
✓ Actuar como punto de contacto para la autoridad de control
31. 10 PRINCIPALES NOVEDADES GDPR
8. DELEGADO DE PROTECCIÓN DE DATOS
❑ DEBERÁ SER DESIGNADO CON CUALIDADES PROFESIONALES Y CON
CONOCIMIENTO EXPERTO DE LA LEGISLACIÓN Y PRÁCTICAS DE PROTECCIÓN
DE DATOS, SIENDO CAPAZ DE CUMPLIR CON LAS TAREAS DEL GDPR.
❑ PUEDE ELEGIRSE ENTRE PERSONAL EXISTENTE EN LA ORGANIZACIÓN O SER
CONTRATADO EXTERNAMENTE.
32. 10 PRINCIPALES NOVEDADES GDPR
9. LAS AUTORIDADES DE PROTECCIÓN DE DATOS
❑ ESTÁN REGULADAS POR UN ORGANISMO DEPENDIENTE DE LA COMISIÓN
EUROPEA: COMITÉ EUROPEO DE PROTECCIÓN DE DATOS (SEPD: SUPERVISOR
EUROPEO DE PROTECCIÓN DE DATOS
FUNCIÓN: Garantizar que, a la hora de tratar datos personales, las instituciones y
organismos de la UE respeten el derecho a la intimidad de los ciudadanos.
EN CASO DE NO SER RESUELTA NUESTRA QUEJA EN LA AUTORIDAD DE NUESTRO
PAÍS, SE PUEDE RECLAMARA AL SEPD.
33. 10 PRINCIPALES NOVEDADES GDPR
10. SANCIONES MÁS ALTAS
❑ HASTA MAYO 2018: 900-600.000 EUROS
❑ DESDE MAYO 2018: NO HAY CUANTÍA MÍNIMA, MÁXIMO 20 MILLONES EUROS O
HASTA EL 4% DEL VOLUMEN DE NEGOCIO DEL INFRACTOR.
34. VISIÓN GENERAL DEL RGPD
COMPARATIVA LOPD VS RGPD
Notificación e inscripción de ficheros al RGPD Registro de Actividades de Tratamiento de datos personales + descripción de
medida
Deber de información del interesado Deber de informar diferente: Exige declaración específica
Supuestos de licitud para el tratamiento y reglas de obtención del
consentimiento.
Cambios en los supuestos y en el consentimiento y en el tratamiento de datos
de menores.
Formalización de contratos de acceso a datos por cuenta de terceros y
contratos de prestación de servicios sin acceso a datos
Cambios en los contratos de encargo de tratamiento
Elaboración del Documento de seguridad e implantación de medidas
de seguridad de carácter técnico y organizativo en el sistema de
información.
Responsabilidad proactiva:
• Medidas de seguridad documentadas pero no DS
• Notificación violaciones de seguridad
• Privacidad desde el diseño y por defecto
• Evaluaciones de Impacto en la Privacidad (EIPD)
• Accontability
Información, concienciación o sensibilización del personal: Usuarios y
Responsables de Seguridad.
Además de usuarios y responsables a DPO
Derechos Acceso, Rectificación, Cancelación, Oposición (A.R.C.O.) ARCO + Limitación + Derecho portabilidad y Derecho de supresión (olvido)
Auditoria bienal de las medidas de seguridad Auditorias cuando determine el responsable
35.
36. PROGRAMACIÓN DE LAS ACTUACIONES EN FASES (PDCA)
▪ Alcance
▪ Definición de responsables. DPO/CSO etc...
▪ Inventario de ficheros y tratamientos
▪ Análisis de necesidad/ conveniencia EIPD
▪ Realización de EIPD (con funciones de Plan de
tratamiento)
FASE PLAN (PLANIFICACIÓN)
▪ Implantación de controles:
o Jurídicos (Cláusulas, Contratos)
o Técnicos (Medidas de Seguridad)
o Organizativos (Procedimientos diversos)
▪ Formación
▪ Registro de actividades de tratamiento
FASE DO (EJECUCIÓN)
▪ Controles periódicos
▪ Auditorías
FASE CHECK (REVISIÓN)
▪ No Conformidades
▪ Acciones Correctivas
▪ Planes de Mejora
FASE ACT (MEJORA CONTINUA)