carme sánchez i ors responsable corporativa de protecció de dades

IMPLANTACIÓ DEL MODEL DE PROTECCIÓ DE DADES DE CARÀCTER PERSONAL I DE POLÍTICA DE PRIVACITAT A LA DIPUTACIÓ DE BARCELONA

Carme Sánchez i OrsResponsable Corporativa de Protecció de dadesBarcelona, 28 de setembre de 2010

Estructura organitzativa complexa:

14 Àrees

32 Direccions/Gerències de serveis

68 Serveis/Oficines

6 Ens de gestió amb personalitat pròpia (funcions)

> 20 Òrgans de gestió participats

4.300 treballadors

Àrea Presidència – Direcció de Secretaria - Arxiu

Àrea Hisenda i Recursos Interns – Direcció de Serveis Tecnològics i Sistemes Corporatius

Responsable Corporativa LOPD

Responsable de Seguretat dels Sistemes Corporatius

Les figures corporatives de protecció de dades

Resp. seguretat

• Automatitzat• No Automatitzat

Resp. gestió

• Caps de Servei/Oficina• Gerents/Directors serveis

Resp. drets ARCO

• Registre gral.• Secretaria• Resp. Gestió

Usuaris de les dades

• Personal autoritzat

Propietaris de les dades

• Ciutadans • Treballadors

Comitè directiu protecció dades

Projecte corporatiu de P

rotecció de dades

Àmbit municipal

• Responsables assistència municipal

3rs

• Encarregats del tractament• Altres administr.

Referents

• Per cada serveigestor

President

Responsable corporativa

• Coordinador de l’Àrea d’Hisenda i Recursos Interns. Actua de President.

• D.S. de Tecnologíes i Sistemes Corporatius.

• Subd. de Planificació i Serveis Informàtics. Responsable de seguretat dels sistemes corp.

• Subd. Desenvolupament de Sistemes d’Informació.

• Subd. de Logística.

• D.S. Recursos Humans.

• D.S. de Secretaria.

• Secretari delegat.

• Responsable corporativa en Protecció de dades. Actua de Secretària.

Delegació del President

Comitè directiu Protecció dades

• Fixar les directrius operatives LOPD.

• Establir els criteris d’actuació i assessorament dels diferents àmbits de suport.

• Avaluar els informes de seguretat, així com els informes d’auditoria.

• Impulsar i avaluar els processos d’adequació dels fitxers i tractaments, i proposar a l’òrgan competent l’adopció de mesures tècniques, organitzatives i de gestió.

• Elevar als òrgans de govern les propostes relatives als actes administratius vinculats.

Delegació del President

Comitè directiu Protecció dades

Responsable corporativa

• Supervisa i controla, a nivell operatiu, les activitats vinculades a la protecció de dades i sistemes d’informació corporatius generades per l’execució dels diferents programes d’actuació, d’acord amb les disposicions normatives i els procediments establerts pel Comitè Directiu.

• Dirigeix les auditories.

• Responsable d’Atenció a l’Afectat.

• Interlocutora amb les autoritats de control.

Responsabledrets ARCO

• Personal autoritzat

Gestionar el procediment corporatiu que garanteix els drets als afectats.

Secretaria

Valora la resposta

Registre general

Rep la peticiói la transmet

Responsable de Gestió

Busca la informació

Responsable corporativa

En fa el seguiment

Definició en procés. Inclusió entre les competències de la RCPD

• Equivalent a la vigent figura del Responsable de Tractament, segons el Reglament 1720/2007

• Recau en el/la gerent de l’organisme autònom, director de serveis, gerent de serveis, coordinadors, comissionats o assimilats; promotor del Fitxer/Tractament.

• Per aquells casos en que es tractin dades fora dels sistemes corporatius o en tercers països també serà el responsable de seguretat.

Responsable de Gestió

Automatitzats gestionats per la DSTSC- El Responsable de seguretat corporatiu.

Atomatitzats no gestionats per la DSTSC- El Responsable de gestió.

NO automatitzats- El Responsable de gestió.

Fitxers Mixtes (paper i automatitzat)-El RSC i/o el RG

En estudi la creació del Comitè de seguretat que inclogui l’ENS i Privacitat.

Resp. seguretat

• Automatitzat• No Automatitzat

Referents

• Per cada serveigestor

• Tot el model gira en torn seu.

• Cooperen amb la RC en l’adequació

del seu àmbit.

• Són l’enllaç entre el servei i la RC.

• Coneixedors del seu entorn de gestió.

• Coneguts pels seus companys.

• Reben formació específica.

• Disposen d’eines per facilitar-los la

gestió.

El Pla d’adequació

Proposta actuació

1r Difusió

Difusió planificada sobre el projecte

• Interna: Directius, comandaments i treballadors• APDcat

Referents • Identificació (1 o més)• Per àrees o serveis • Aprenentatge

Proposta actuació

Auditoria /Informe de Situació

Revisió i elaboració document de seguretat

Actualització de l’inventari de fitxers

Validació i redacció de clàusules, llegendes i

contractes

Implementació deficiències detectades

• Totes les Àrees• Organismes depenents• Presentació informe al Comitè directiu de seguretat

• Fitxers corporatius per finalitats comunes• Fitxers unitats gestores per finalitats específiques

2n Diagnosi i adequació

Proposta actuació

Controls periòdics

Informació per al personal

Assessorament i consultes

• Formació bàsica i específica• Presencial i no presencial• Ha d’Incloure:

Manual de funcions i obligacions +Contingut document de seguretat+ Resultat de l’informe de situació

• Referents• Auditories bianuals• Control implementació canvis• Seguiment eina corporativa

• Referents• Resta personal

3r Suport continuat

Principals dificultats

• Organització corporativa complexa, i jerarquitzada, que fa que no sempre que s’hauria d’acudir a la RCPD es faci.

• Manca de difusió generalitzada del projecte entre el personal de la corporació.

• Recursos, humans i econòmics, clarament insuficients que fan que la implantació sigui més lenta del desitjat.

• Ubicació a l’organigrama: Independència? .

• Deficient definició de les funcions de la RCPD.

• Canvis en l’alta direcció que poden ocasionar una pèrdua d’impuls.

• Manca d’una norma, estatal o autonòmica, que reguli la necessitat de la figura i les seves competències mínimes.

• Resistències per part d’alguns col·lectius que se senten “controlats”.

Elements clau

• El President ha encarregat l’actuació.

• Les figures especialitzades: Responsable corporativa i Referent en protecció de dades de cada àmbit asseguren una atenció constant.

• Independència i dedicació exclusiva de la RCPD.

• Es millora el “govern” de la protecció de dades.

• Homogenització corporativa. Procediments i protocols comuns.

• Millora la transversalitat amb el treball conjunt dels referents dels diferents àmbits.

• Millora la transparència. Projecte transversal: Grup de treball d’accés a la informació.

• Relació directa amb l’ENS.