Documentación de la ponencia sobre "Cumplimiento de la Protección de Datos" impartida por el Dr.Ricard Martínez dentro de la la Jornada "Innovación en la protección de la información empresarial" celebrada el 25 de octubre de 2011, dentro del Programa Feria del Conocimiento. http://www.camarazamora.com/Noticia.asp?Id=145
Presentación Protección de datos como estrategia empresarial: Un reto y una oportunidad - Jornada Feria del Conocimiento
1. Protección de datos como estrategia
empresarial:
Un reto y una oportunidad
Ricard Martínez Martínez
Presidente de APEP
(www.apep.es)
Asociación Profesional Española de Privacidad
3. • El ponente sólo tiene tres experiencias:
– Data Protection Officer (Universitat de València).
– Coordinador del Área de Estudios-AEPD.
– Investigador.
• Uds. conocen organizaciones complejas y ricas.
– Deben batallar en un entorno privado mas sensible y vulnerable al
régimen sancionador.
– Deben manejar binomios como coste-beneficio, riesgo oportunidad.
• Mis objetivos son sencillos:
– Aprovecharme de la audiencia.
– Aportarles mis mejores o peores conocimientos.
– Esperar que nuestra sesión sea ante todo un debate o diálogo entre
iguales.
– Aprender de la experiencia compartida.
4. Consideraciones previas
La necesidad de convencer
¿Cómo se llega a la protección de datos?
• ¿Existe alguna necesidad? Hemos tenido un problema. Alguien:
– Ha ejercido un derecho ARCO
– Ha perdido datos
– Ha depositado papeles en la basura
– Ha usado indebidamente datos
• Hemos tenido una reunión:
– Una consultora nos hizo una oferta
– Se habló de ello en la Cámara de Comercio
– Alguien asistió a un curso
• Vino una consultora:
– Auditó
– Realizo un informe final
– Inscribimos ficheros
– Redactamos el primer documento de seguridad y…
6. ¿Qué gana la organización?
• Conocimiento de todos sus procesos basados
en TIC.
– Capacidad decisoria:
• Cliente/servidor
• Descentralización
• Seguridad.
• Confianza.
• Calidad
7. Se requiere…
• Apoyo claro, compromiso
organizacional.
• El compromiso del personal
informático.
• Un alto grado de especialización
jurídica.
• Políticas de formación.
• Cambio cultural.
9. Metodologías
• Auditorias o preauditorias LOPD.
• Metodologías de análisis de riesgos y de
implementación de la seguridad que tengan
en cuenta el RDLOPD.
• Incorporación del análisis jurídico al diseño
informático.
• Protocolos de actuación.
• Formación.
10. Objetivos
Inmediatos
• Identificación de ficheros
• Verificación de prácticas y procedimientos
(ARCO, encargados, comunicaciones, TID…)
• Flujos de información
• Seguridad
• Otras necesidades
– Necesidades LSSI
– Administración electrónica
12. • ¿Y como se yo si lo que me
ofrecen sirve para implementar
la LOPD?
– Es muy barato.
– Me lo resuelven con unos
documentos que ya traen
preparado.
– Tengo que firmar declarando
haber recibido formación…
13. Algunas pistas
• Adaptarse para cumplir la normativa requiere la implicación del cliente además
del trabajo del consultor .
• El cumplimiento no es algo puntual, la normativa exige mantenerlo en el tiempo.
• Un asesoramiento adecuado debe incorporar un capítulo adecuado de formación
de calidad y de concienciación al personal.
• La adaptación puede suponer cambios.
• La aplicación de la LOPD nunca es teórica, no existen recetas de “copiar pegar”,
no basta con marcar cruces en un cuestionario, debe adaptarse a la realidad
específica de la organización.
• Debe exigirse al consultor formación específica especializada:
• El objetivo a perseguir ha de ser la adecuación plena, por tanto, el proyecto debe
ofrecer acciones que persigan un cumplimiento real no sólo formal.
• Ofrecer un servicio de consultoría tiene costes.
• Si la empresa de consultoría se compromete a ofrecerle un certificado de
cumplimiento desconfíe.
• La evolución de las TIC´s,como las aplicaciones de gestión integral, contribuyen a
la mejora de la gestión empresarial, pero, al mismo tiempo, suponen flujos de
información complejos que exigen adoptar medidas de seguridad adecuadas.
• Aunque le aseguren cubrir los daños derivados del asesoramiento o del
incumplimiento de la LOPD Vd. nunca estará del todo a salvo .
• Si Vd. quiere conocer las prácticas que usualmente definen un asesoramiento
adecuado pinche aquí.
14. 1.- RECOGIDA DE INFORMACIÓN
2.- INFORME DE SITUACIÓN O
PREAUDITORÍA
3.-VALORACIÓN DE DEFICIENCIAS
Y PROPUESTAS CORRECTORAS
P
El R
O
Y
4.-DESARROLLO E IMPLANTACIÓN DE
E
Proyecto C
T
O
PROCEDIMIENTOS. DOCUMENTACION
EN D.S.
REVISIÓN
Y
MEJORAS
PERMA-
5.- ENTREGA DOCUMENTACIÓN NENTES
GENERADA Y FORMACIÓN
6.- AUDITORÍA
15. • Enfoque PDCA (Plan, Do, Check, Act)
utilizado en procesos de calidad (norma
UNE-ISO/IEC 71502:2004).
– planificar las acciones,
– implementarlas,
– verificar la consecución de los objetivos
propuestos
– aprovechar la retroalimentación obtenida
para mejorar la planificación.
16. La importancia de la formación
• La gestación de una cultura LOPD
• Las ventajas de la cultura LOPD en la
gestión de la información
• La especialización de los gestores.
• ENTREGAR UN CD NO ES FORMAR
19. • Yo no tengo ficheros (lo mío son word,
pdf y en el peor de los casos archivos en
soporte papel…)
• Los datos sólo los uso “a efectos
internos”.
• Estos datos son públicos ergo no están
sujetos a la norma.
• Si esto le beneficia ¿para qué pedir
permiso?
20. Usuarios reticentes
• El usuario concibe la LOPD y el RLOPD como una
obligación adicional “excesiva”:
• El usuario como profesional, trabajador,
funcionario viene obligado por el deber de sigilo o
secreto.
• Las medidas de cumplimiento LOPD responden al
sentido común y a la más elemental traslación de la
seguridad del mundo físico al virtual.
• La aplicación de la LOPD beneficia al usuario.
21. ¿Realmente es un problema?
• Algunos mitos sobre la protección de datos:
– Las medidas se plantean como objetivos inalcanzables.
– Resultan imposibles de implantar.
– Los usuarios son incapaces de aplicarlas debido a su
dificultad jurídica y técnica.
– Los costes que provocan son inasumibles o excesivos.
– Seamos sinceros esto de la LOPD nos da trabajo que no
teníamos, nos impone costes que no habíamos previsto,
vaya nos da mucha rabia…
22. • Adecuación a exigencias procedimentales:
– Información
– Consentimiento
– Ejercicio de derechos arco.
• Regularización de los contratos a terceros:
– Encargados del tratamiento (D. AD. 31 L 30/2007)
– Prestaciones de servicios sin acceso a datos.
• Transferencias internacionales de datos.
• Adecuación de las medidas de seguridad.
– Ficheros manuales: el archivo.
– Disp. Ad. I. Compra o diseño de productos de software.
23. • Cultura corporativa de la organización.
– Procedimientos de gestión y administración ordinaria.
– Flujos de datos: y relaciones con terceros.
– Procedimientos específicos LOPD:
– Información y consentimiento.
– Derechos ARCO.
– Bloqueos y cancelaciones.
– Aspectos LSSI.
– Derechos de los consumidores.
– Ficheros específicos: marketing y publicidad.
– Compras de software.
– Casos “dífíciles”: BCR, PNR, ficheros chivatos, salud …
– Formación LOPD
– Políticas internas de seguridad: no instales, no ejecutes, no
envíes, no compartas ….
– Videovigilancia
– Web 2.0 y entornos virtuales:
• Tablón sindical
• Compartir datos
• “Colgar vídeos”
24. LOPD ¿Por qué?
• Porque es necesaria:
• En la sociedad de la información resulta esencial
proteger nuestros activos.
• Es presupuesto para el correcto funcionamiento de los
sistemas y para la adopción de decisiones.
• Contribuye a la racionalización de los medios y de los
usos: facilita el cumplimiento del principio de calidad.
• Genera una cultura de gestión de la información en las
organizaciones.
• Proporciona confianza:
– Interna: en el funcionamiento de los sistemas.
– Externa en el usuario.
25. • Porque es una obligación legal:
• STC 292/2000
• Ley Orgánica 15/1999, de 13 de diciembre, de
protección de datos de carácter personal.
• Real Decreto 1720/2007, de 21 de diciembre, por el
que se aprueba el Reglamento de desarrollo de la Ley
Orgánica 15/1999, de 13 de diciembre, de protección
de datos de carácter personal
• Ley 34/2002, de 11 de julio, de servicios de la sociedad
de la información y de comercio electrónico. …
26. Es una plataforma necesaria en la web 2.0
• Es la base para poder realizar:
– actividades de comercio y contratación electrónica
– promociones en Internet,
– para utilizar proactivamente redes sociales
– para proporcionar mejores servicios a clientes (extranets,
zonas privadas para clientes o proveedores, etc)
• Es un activo para generar negocio en las empresas.
27. Responsabilidad
• Régimen sancionador: LOPD (art. 44).
• Infracción de los deberes laborales.
• Responsabilidad civil
• Objetiva por el daño causado (art. 1902).
• Contractual (1101 y ss.)
• Responsabilidad patrimonial de la
Administración Pública.
28. Responsabilidad ética: hablamos de
derechos fundamentales
• La defensa de los derechos y su relación
con la seguridad.
• El derecho fundamental a la protección de
datos.
• El control de la información personal como
presupuesto para la autodeterminación
individual.
29. Apueste por la profesionalidad
• La protección de datos permea cualquier
proceso de gestión basado en TIC y en
información personal.
• La complejidad organizativa y funcional
obliga a contemplar el asesoramiento
especializado en esta materia en gran
cantidad de procesos.
30. Con la LOPD sale ganando
• Ventajas del enfoque LOPD:
– Una comprensión global de todos los procesos
/procedimientos implicados.
– Permite un adecuado análisis de los
requerimientos específicos de la organización y
de las aplicaciones informáticas.
– Proporciona una cultura de colaboración entre
el plano jurídico y el informático.
– Contribuye a la promoción de una cultura de
gestión de la información.
31. Gracias por su atención
Ponemos a su disposición las siguientes vías de contacto:
Web: www.apep.es
Email: contacto@apep.es , administracion@apep.es