REGULACIÓN NECESARIA: LA

NORMATIVA DEBE EVOLUCIONAR AL MISMO RITMO QUE LA TECNOLOGÍA.

¿Qué nos deparará la entrada en vigor del GDPR?

¿Cómo hacer negocio desde el cumplimiento normativo?

Recomendaciones

DATOS PERSONALES

Se considerará persona física dentificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular:

a) mediante un identificador, como por ejemplo:

un nombre,

un número de identificación,

datos de localización,

un identificador en línea o

b) uno o varios elementos propios de la identidad

física, fisiológica, genética, psíquica,

económica, cultural o social de dicha persona;

DISOCIACIÓN / PSEUDONIMIZACIÓN

Artículo 3.f) LOPD

A los efectos de la presente Ley Orgánica se entenderá por:

f) Procedimiento de disociación: todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.

Artículo 4.5 GDPR

A efectos del presente Reglamento se entenderá por:

(5) «seudonimización»: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional

(a) figure por separado y

(b) esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable;

Gestión del Dato

AUDITORIA Y MONITORIZACION

Información

• Cómo se busca, se obtiene y se registra el consentimiento.

• Qué datos poseemos

• Dónde y de dónde

• Con quién se comparte

• Por qué

Registro de actividades de tratamiento:

• El nombre y los datos de contacto del encargado y de cada responsable por cuenta del cual actúe el encargado.

• Las categorías de tratamientos efectuados por cuenta de cada responsable.

• En su caso, las transferencias de datos personales a un tercer país u organización internacional.

• Una descripción general de las medidas técnicas y organizativas de seguridad.

VENTANILLA UNICA

GDPR pone los derechos del individuo sin ambigüedades en el centro del marco.

• El derecho a estar informado• El derecho de acceso• El derecho a la rectificación• El derecho a restringir el procesamiento• El derecho a la portabilidad de datos• El derecho a oponerse• El derecho a no estar sujeto a la toma de decisiones automatizada, incluidos los perfiles• El derecho a borrado (derecho a ser olvidado)

TRANSFERENCIAS INTERNACIONALES

• Art 44: Principio general de las transferencias

el responsable y el encargado del tratamiento

cumplen las condiciones establecidas en el presente

capítulo,

• Art. 45: Transferencias basadas en una decisión

de adecuación

• Art. 46: Transferencias mediante garantías

adecuadas. El responsable o el encargado del

tratamiento solo podrá transmitir datos personales

a un tercer país u organización internacional si

hubiera ofrecido garantías adecuadas y a

condición de que los interesados cuenten con

derechos exigibles y acciones legales efectivas.

Artículo 47: Normas corporativas vinculantes

1.La autoridad de control competente aprobará

normas corporativas vinculantes de conformidad

con el mecanismo de coherencia establecido en

el artículo 63 (Mecanismo de coherencia),

siempre que estas:

a. sean jurídicamente vinculantes y se

apliquen y sean cumplidas por todos los

miembros correspondientes del grupo

empresarial o de la unión de empresas

dedicadas a una actividad económica

conjunta, incluidos sus empleados;

b. confieran expresamente a los interesados

derechos exigibles en relación con el

tratamiento de sus datos personales, y

c. cumplan los requisitos establecidos en el

apartado 2.

Seguridad del dato, de la información confidencial e intangibles

Medidas técnicas contra la ciberseguridad

AUTOMATIZACION CUMPLIMIENTO GDPR

• Cuadros de mando dedicados para supervisar la gobernanza de los datos.

• Vincule los sistemas, los procesos y los propietarios de negocios en los flujos de datos • Gestión de los incidencias de los usuarios.

• Supervise los datos personales a lo largo del tiempo y la retención• Administre y asegure el acceso a los datos personales • Enmascare, minimice los datos, utiliza cifrado de medios, procesos de anonimización y controles de autorización

dedicados en temas de acceso.

• Favorezca la grabación y la verificación del consentimiento.• Automatice le verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para

garantizar la seguridad del tratamiento.

RESPONSABILIDAD Y TERCEROS

Art. 28 Encargado del tratamiento Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías a sus clientes para aplicar medidas técnicas y organizativas apropiados,

Art 32. Seguridad del tratamiento […] el encargado del tratamiento aplicará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo

Se va a requerir las medidas de seguridad conforme al estado actual de la técnica y con soluciones habituales de mercados

Art. 24. Responsabilidad del responsable del tratamiento […] El responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. […]

Art. 25 Protección de datos desde el diseño y por defecto […] Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.

CULTURA DE CIBERSEGURIDAD

a. ACREDITACIÓN SEGUIMIENTO/CUMPLIMIENTO.

b. PLAN DIRECTOR DE SEGURIDAD

c. FORMACIÓN/PREDICCION/ PREVENCION/.

d. RECURSOS ESPECÍFICOS.

e. ASIGNACIÓN DE ROLES PARA GESTIÓN, PREVENCIÓN Y RESPUESTA.

f. CANALES DE COMUNICACIÓN.

g. SEGURO DE RESPONSABILIDAD.

h. NORMATIVIZACIÓN.

Descubrir

Descubrir:Identifique qué datos personales tiene y dónde reside

In-scope: Cualquier dato que le ayude a

identificar a una persona

• Name

• Email address

• Social media posts

• Physical, physiological, or genetic information

• Medical information

• Location

• Bank details

• IP address

• Cookies

• Cultural identity

Inventario:Identificar dónde se recogen y

almacenan los datos personales

• Emails

• Documents

• Databases

• Removable media

• Metadata

• Log files

• Backups

1

Demuestre su esfuerzo de cumplimiento

Procesamiento,Activos, datos

personales

Demuestre su esfuerzo de cumplimiento

Insert screen shot

Evaluación previa y

evaluación de DPIA

Gestionar

Data governance:Definición de políticas,

funciones y responsabilidades

para la gestión y el uso de

datos personales

• At rest

• In process

• In transit

• Storing

• Recovery

• Archiving

• Retaining

• Disposal

Data classification:Organización y etiquetado de

datos para garantizar un

manejo adecuado

• Types

• Sensitivity

• Context / use

• Ownership

• Custodians

• Administrators

• Users

2Gestionar:Gobernar cómo se usan y se accede a los datos personales dentro de su organización

Informes y Tablero

Demuestre su esfuerzo de cumplimiento

SAS Personal Data Compliance Manager

ARTÍCULO 25: PROTECCIÓN DE DATOS DESDE EL DISEÑO Y POR DEFECTO

ARTÍCULO 32: SEGURIDAD DEL TRATAMIENTO

Teniendo en cuenta

el estado de la técnica, el coste / los costes de (la) aplicación y

la naturaleza, ámbito / alcance, contexto y fines del tratamiento,

así como los riesgos de diversa probabilidad y gravedad (variables) que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable (y el encargado) del tratamiento aplicará,

tanto en el momento de determinar los medios de tratamiento

como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, para garantizar un nivel de seguridad adecuado al riesgo, concebidas para aplicar de forma efectiva los principios de protección de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.

ARTÍCULO 35: EVALUACIÓN DE IMPACTO

Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales.

La evaluación deberá incluir como mínimo:

a) una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento;

b) una evaluación de la necesidad y proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;

c) una evaluación de los riesgos para los derechos y libertades de los interesados, y

d) las medidas previstas para afrontar los riesgos, y para demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

Demuestre su esfuerzo de cumplimiento

Riesgos, controles

SAS Personal Data Compliance Manager

SEGURIDADGDPR y Seguridad

Revisión* Redacción

Evaluación de disponibilidad

Plan para proyecto de seguridad en cumplimiento del

Reglamento

Política de seguridad IT

Política de Control de acceso

Procedimientos de seguridad para el Departamento de IT

Política “Trae tu propio aparato (BYOD)”

Política de teletrabajo

Política de pantalla y escritorio

Políticas de Anonimización y seudonimización

Política sobre el uso de encriptación

Análisis de seguridad de comunicaciones

INVENTARIO Y AUDITORÍA DEL DATOGDPR y Seguridad

Revisión* Redacción

Análisis de criticidad, infraestructura, sistemas y

comunicaciones

Auditoría del dato

Directrices para el inventario de los datos y cartografía de

las actividades de procesamiento

“Lo que nos diferencia”

Coste reducido

PROTOCOLOS Y POLÍTICASGDPR y Seguridad

Revisión* Redacción

Política de protección de datos personales

Registro de avisos de privacidad

Política de retención de datos

Registro de violación de datos

Procedimiento transferencia internacional de datos

personales

Política de clasificación de información

Política de Firma electrónica

Entregables

DPOGDPR y Seguridad

Revisión* Redacción

Descripción del puesto de oficial de protección de datos

EVALUACIÓN DE IMPACTO Y PLANES GDPR y Seguridad

Revisión* Redacción

Procedimiento Respuesta de violación de datos y

notificación

Plan de mitigación daños

Metodología de la Evaluación de impacto de protección de

datos

Plan de respuesta ante desastres

Plan de seguridad de infraestructura

Plan de seguridad sistemas y aplicaciones

COMUNICACIÓNGDPR y Seguridad

Revisión* Redacción

Formulario de notificación a la Autoridad de supervisión

Documento de divulgación de la política de protección de

datos

Entregables

Entregables de plan de prevención penalCOMPLIANCE

Revisión* Redacción

Mapa de Riesgo

Listado de controles por tipos delictivos

Plan de mejora

Codigos de conducta

Canal de denuncia

Comunicacion

Regimen disciplinario

Pan de formación

Plan de Comunicación

Nombramiento Compliance Officer

Grado de cumplimiento de normativa de administración

electrónica

Entregables

DOCUMENTOS LEGALES Y CONTRATOSGDPR y Seguridad

Revisión* Redacción

Aviso de privacidad

Política de Protección de datos personales del empleado

Formulario de consentimiento

Cláusulas contractuales estándar para la transferencia de

datos personales a Controladores

Cláusulas contractuales estándar para la transferencia de

datos personales a Procesadores

Acuerdo de procesamiento de datos de proveedor

Formulario de retiro de consentimiento

Procedimiento de solicitud de acceso

Cuestionario cumplimiento Procesador RGPD

Proteger

Prevención de ataques de datos:

• Physical datacenter protection

• Network security

• Storage security

• Compute security

• Identity management

• Access control

• Encryption

• Risk mitigation

Detectar y responder a las infracciones:

• Monitoring for and detecting system intrusions

• System monitoring

• Breach identification

• Calculating impact

• Planned response

• Disaster recovery

• Notifying DPA & customers

3Proteger:Establecer controles de seguridad para prevenir, detectar y responder a vulnerabilidades e infracciones de datos

Demuestre su esfuerzo de cumplimiento

Problemas y planes de acción

SAS Personal Data Compliance Manager

PLAN DE MITIGACION

a. ANALISIS

i. TIPOS DE ATAQUES DE RIESGO GLOBAL

ii. RIESGOS PARTICULARES SEGÚN SECTOR

b. EVALUACION DE AMENAZAS PARTICULARES.

i. ANALISIS CRITICIDAD

1. INFRAESTRUCTURA, COMUNICACIONES Y APLICACIONES/DESARROLLOS.

2. TRATAMIENTOS

a. DATOS

b. INFORMACION CONFIDENCIAL

c. ACATIVOS INTANGIBLES.

PLAN DE MITIGACION

c. MEDIDAS ORGANIZATIVAS PARA ELEMENTOS CRÍTICOS

i. ARQUITECTURA DE INFRAESTRUCTURA, COMUNICACIONES Y DESARROLLOS.

1. RESPONSABILIDAD

ii. TRATAMIENTOS:

1. MINIMIZACIÓN

2. ANOMIZACION

3. PSEUDONIMIZACION

4. ENCRIPTACION.

PLAN DE MITIGACION

d. MEDIDAS TECNICAS

i. DESPLEGADAS PARA CADA FASE

1. DESCUBRIR

2. GESTIONAR

3. PROTEGER

4. INFORMAR

ii. DESPLEGADAS POR ACTIVOS

1. SEGURIDAD FISICA

a. INSTLACIONES / TERCEROS

b. PERSONAL LABORAL

2. REDES PERIMETRALES

a. CONTROL DE ACCESO

b. IDPs

c. CORTA FUEGOS

d. NAC, SIEM, WIFI

PLAN DE MITIGACION

ii. DESPLEGADAS POR ACTIVOS

3. INFRAESTRUCTURA

a. ACTUALIZACIONES SISTEMAS OPERATIVOS.

b. PARCHES SISTEMAS OPERATIVOS

c. COPIAS DE SEGURIDAD

i. (FICHEROS, DISCOS….)

d. ENCRIPTACION

e. END POINT

i. DLP / MDM

ii. CORREO

iii. WEB

4. APLICACIONES / DESARROLLOS.

a. DISEÑO

b. CONTRASEÑA

c. COPIAS DE SEGURIDAD

d. CONFIGURACION

i. GESTION USUARIOS / ROLES / PRIVILEGIOS.

Informar

Mantenimiento de registros:Las empresas tendrán que

registrar lo siguiente:

• Purposes of processing

• Classifications of personal data

• Third-parties with access to the data

• Organizational and technical security measures

• Data retention times

Herramientas de generación de informes:Implementar capacidades

de generación de informes

• Cloud services (processor) documentation

• Audit logs

• Breach notifications

• Handling Data Subject Requests

• Governance reporting

• Compliance reviews

4Informar: Mantener la documentación requerida, gestionar las solicitudes de datos y las notificaciones de infracción

ARTÍCULOS 33 Y 34: NOTIFICACIONES Y COMUNICACIONES

Notificación de una violación de la seguridad de los datos personales a la autoridad de control

En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

Comunicación de una violación de la seguridad de los datos personales al interesado

Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.

Plan de respuesta

PLAN DE RESPUESTA

a. PREPARACION

ii. CONCIENCIACION

iii. EQUIPO

iv. HERRAMIENTAS

v. PRUEBAS

b. DETECCION

ii. HERRAMIENTAS

iii. INDICADORES

c. CONTENCCION

d. COMUNICACIÓN

e. ERRADICACION

f. RECUPERACION

g. EVALUACION POST INCIDENTE

Enrique Delgado CarravillaDirector jurídico y de relaciones institucionales

www.zertia.es

91 031 22 98

info@zertia.es

Madrid - Barcelona – Sevilla - Ámsterdam