adecuación reglamento europeo protección de datos
TRANSCRIPT
Introducción
El pasado 4 de mayo de 2016 se publicó en el Diario Oficial de la Unión Europea el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE.
Si bien el citado texto entró en vigor el pasado 25 de mayo de 2016, sus requisitos no resultarán exigibles hasta el próximo 25 de mayo de 2018. A pesar del plazo transitorio de 2 años establecido hasta su efectiva aplicación, las numerosas novedades introducidas por el Reglamento ha propiciado que las autoridades de control en la materia aconsejen seguir de manera temprana un enfoque progresivo para la adaptación de los elementos afectados a los nuevos requisitos.
Adecuación al Reglamento Europeo (UE) 2016/679
Pallars 99, planta 4, oficina 4108018 BarcelonaTel.: +34 902 480 580Fax: +34 934 675 830
www.sia.es
Avda. de Europa, 2Alcor Plaza - Edificio B - Parque Oeste Alcorcón28922 Alcorcón - MadridTel.: +34 902 480 580Fax: +34 913 077 980
Problemática
La mayoría de los procesos de negocio existentes dentro de las organizaciones se sustentan, en gran medida, en el tratamiento de datos de carácter personal pertenecientes a diferentes colectivos de interesados.
La naturaleza de los riesgos a que se encuentra expuesto el tratamiento de los datos de carácter personal comporta la necesidad, no sólo de implantar inicialmente los requisitos legales, técnicos y organizativos establecidos por el marco regulatorio de referencia, sino también, y muy especialmente, de gestionar el mantenimiento de su cumplimiento efectivo a lo largo del tiempo. Algunos de los riesgos más representativos son los siguientes:
• Pérdida económica derivada del pago de sanciones impuestas por la autoridad de control, de indemnizaciones a particulares por la vía civil, de la pérdida de oportunidades de negocio por la inmovilización de sistemas, etc. Elementos todos ellos que podrían llegar a suponer el cese de actividad de una compañía.
• Daño a la imagen de marca provocada por la trascendencia pública de episodios tales como sanciones impuestas por la autoridad de control, violaciones de la seguridad de los datos, etc.
• Desconfianza de stakeholders, principalmente clientes y accionistas, lo cual podría traducirse en la pérdida de competitividad de una compañía.
Registro de tratamientos
Consentimiento expreso
Data Privacy Officer Responsabilidad proactivaViolaciones a la seguridad
Portabilidad de los datos
Cuantía de las sancionesDeber de información
Impacto a la privacidad
Enriquecimiento de la información a facilitar a los interesados cuando se recaben sus datos.
Ha de otorgarse mediante un acto afirmativo que refleje una manifestación de voluntad inequívoca. Pérdida de validezdel consentimiento tácito.
Aumento de la cuantía de las sanciones hasta 20 MM€ o 4% del volumen de negocio total.
Necesaria evaluación temprana de los riesgos asociados a tratamientos de datos de carácter personal que pretendan llevarse a cabo.
Facilitar a los interesados la transferencia directa de sus datos de un prestador de servicios a otro.
Mantenimiento de un inventario interno de tratamientos, desapareciendo la obligación formal de notificación de ficheros.
Obligación de notificación a laautoridad de control, así como a los interesados afectados. Sujeto a plazo.
Obligación de designar un rol con conocimientos especializados para el desempeño de una serie de funciones.
Existencia de mecanismos quepermitan acreditar el cumplimiento activo de las exigencias establecidas.
Prin
cipa
les n
oved
ades
Re
glam
ento
(UE)
201
6/67
9
Armonización Protección
Transparencia Burocracia
Obj
etiv
os
www.sia.es
Avda. de Europa, 2Alcor Plaza - Edificio B
Parque Oeste Alcorcón28922 Alcorcón - Madrid
Tel.: +34 902 480 580Fax: +34 913 077 980
Pallars 99planta 4, oficina 41
08018 BarcelonaTel.: +34 902 480 580Fax: +34 934 675 830
Descripción de la solución
Para afrontar el proceso de adecuación al Reglamento (UE) 2016/679 con plenas garantías de éxito, Grupo SIA propone una solución articulada en torno a los siguientes ejes fundamentales:
• Metodología alineada con estándares internacionales y directrices emanadas de organismos de referencia, tales como la Agencia Española de Protección de Datos o el Centro Criptológico Nacional y madurada a partir de las sinergias obtenidas de los numerosos proyectos/servicios realizados en materia de privacidad y protección de datos de carácter personal.
• Profesionales, al disponer de equipos multidisciplinares integrados por abogados especializados en los aspectos legales de las TIC, y consultores de seguridad expertos en tecnología. Dichos perfiles cubren una exigente línea-base de requisitos de titulación, capacidad, experiencia y certificación, lo que, sin duda, garantiza un excelente nivel de calidad de los trabajos realizados.
• Experiencia contrastada, al haberse realizado durante los últimos años más de una centena de proyectos/servicios en el ámbito de la privacidad y la protección de datos de carácter personal en grandes organizaciones, públicas y privadas, de diferentes y variados ámbitos competenciales y sectores de actividad respectivamente.
Servicios relacionados
AdecuaciónLOPD
ConcienciaciónPrivacidad
AuditoríaRegl. LOPD
Herramienta
Adecuación Regl. Europeo
Análisis deImpacto a laPrivacidad (PIA)
Data Privacy Officer (DPO)
Supervisión Encargados del Tratamiento
SATEL® Actuaciones y procesos AEPD
servicios asociados a la pdcp
Transición: establecimiento de infraestructura, planificación de
actividades y tratamiento de riesgos
Operación, control y seguimiento del servicio (resolución de peticiones,
actualización del marco normativo, defensa jurídica, etc.)
Regulación de transferenciasinternacionales
Definición de cláusulas y contratos
Evaluación de impacto a la privacidad (PIA)
Identificación y registro de tratamientos
Plan de recomendaciones
Definición de normativa interna(documento seguridad; roles y responsabilidades; procedimientos jurídicos)
Definición de contenidosformativos e impartición de sesiones
Evaluación de indicadoresclave (KPI)
Definición y diseño de material y contenidos de concienciación
Arranque: definición de Alcance, aspectos
preliminares y ANS
Devolución y finalización ordenada de actuaciones
Realización de entrevistas TI y negocio
Comprobaciones in-situ de sistemas, locales e instalaciones
de tratamiento
Búsqueda de antecedentes e
información preliminar
Evaluación de cumplimiento del marco
racionalizado de controles
E
Fase 2Adecuación
Fase 3Concienciación
Fase 4Mantenimiento
(SATEL)
Fase 1Análisis inicial
Adecuación Reglamento
(UE) 2016/679