Scribd
Cargar
19 vistas59 páginas

Programa de Cumplimiento de Datos

Cargado por

Hugo Daysel
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
19 vistas59 páginas

Programa de Cumplimiento de Datos

Cargado por

Hugo Daysel
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

Curso de Especialización en Protección de datos

DOMINIO 2 – SUBDOMINIO 3

El programa de cumplimiento de
protección de datos y seguridad de la
información

Nikola Kovacic, CIPP/E, CDPD


Socio (Privacy, Risk & Compliance)
ECIX
Curso de Especialización en Protección de datos
Agenda
DOMINIO 2 – SUBDOMINIO 3

• Introducción
• Programa de Cumplimiento de Protección de Datos y Seguridad
• Contexto de la Organización
• Liderazgo
• Diseño del Programa
• Roles y Responsabilidades
• Evaluación
• Accountability
• Conclusión
Agenda Curso de Especialización en Protección de datos
DOMINIO 2 – SUBDOMINIO 3

• Introducción
• Programa de Cumplimiento de Protección de Datos y Seguridad
• Contexto de la Organización
• Liderazgo
• Diseño del Programa
• Roles y Responsabilidades
• Evaluación
• Accountability
• Conclusión
Curso de Especialización en Protección de datos
Introducción
DOMINIO 2 – SUBDOMINIO 3

¿Qué es un Programa de Cumplimiento de


Protección de Datos y Seguridad de la
Información?
¿Por qué es necesario un Programa de
Cumplimiento
de Protección de Datos y Seguridad?
Curso de Especialización en Protección de datos
Agenda
DOMINIO 2 – SUBDOMINIO 3

• Introducción
• Programa de Cumplimiento de Protección de Datos y Seguridad
• Contexto de la Organización
• Liderazgo
• Diseño del Programa
• Roles y Responsabilidades
• Evaluación
• Accountability
• Conclusión
Curso de Especialización en Protección de datos
Programa de Cumplimiento de protección de datos y seguridad
DOMINIO 2 – SUBDOMINIO 3

Define estándares y guías


Marco de Control Interno para el tratamiento de los
datos personales

Impone obligaciones a la
compañía y a los empleados Facilita el cumplimiento
para asegurar un tratamiento normativo a nivel interno
lícito

Cobra especial relevancia con el RGPD donde se


incluye el concepto de ACCOUNTABILITY
Ventajas de implantar unCurso de Especialización en Protección de datos
programa de cumplimiento
DOMINIO 2 – SUBDOMINIO 3

Facilita el conocimiento y cumplimiento de las regulaciones de protección datos evitando sanciones, fuga de
datos, pérdida de imagen, etc…

Facilita la adaptación a los cambios regulatorios en protección de datos entendiendo los requisitos
implicados en nuevas regulaciones

Facilita la adopción de Códigos de Conducta y la obtención de certificaciones que pueden ayudar a


demostrar el cumplimiento ante la autoridad de control competente

Ayuda a establecer una cultura de privacidad y seguridad dentro de la compañía - concienciación de los
usuarios y guías de buenas prácticas.

Permite tener siempre identificados los riesgos asociados a los tratamientos de datos que se lleven a cabo
dentro de una compañía..
Curso de Especialización en Protección de datos
Agenda
DOMINIO 2 – SUBDOMINIO 3

• Introducción
• Programa de Cumplimiento de Protección de Datos y Seguridad
• Contexto de la Organización
• Liderazgo
• Diseño del Programa
• Roles y Responsabilidades
• Evaluación
• Accountability
• Conclusión
Curso de Especialización en Protección de datos
Contexto de la Organización DOMINIO 2 – SUBDOMINIO 3

¿Qué aspectos de la Organización hay que tener


en consideración en el diseño de un Programa de
Cumplimiento de Protección de Datos y
Seguridad?
Contexto de la Organización
Curso de Especialización en Protección de datos
DOMINIO 2 – SUBDOMINIO 3

• Puede haber tantos Programas de Cumplimiento como Organizaciones.


• Aspectos que impactan/condicionan en los Programas:
– Compromiso de la Alta Dirección con la Protección de Datos y la
Seguridad
– Alcance que se quiere cubrir
– Nivel de detalle al que se quiere llegar
– Nivel de exigencia asociado
– Madurez de la Función
– …
Curso de Especialización en Protección de datos
Contexto de la Organización
DOMINIO 2 – SUBDOMINIO 3

• Otros aspectos a tener en consideración:


– Tipo de Organización empresarial
– Dispersión geográfica
– Dispersión de responsabilidades
– Existencia o no de Marco Común
– Necesidad de relaciones interdepartamentales
– …
Curso de Especialización en Protección de datos
Organización tipo en grandes grupos empresariales
DOMINIO 2 – SUBDOMINIO 3

• Marca Pautas
Área Corporativa • Dirección Única
• Aprovechamiento de Sinergias

• Legislaciones locales
CSO o Responsables de Privacidad y • Actuaciones locales
Proteccion de Datos por país o entidad • “Cercanía con negocio”

• Negocios distintos – controles


Responsables de Seguridad o PD por distintos
negocio / entidad • Por volumen / carga de trabajo

• Reuniones periódicas
Comité de Seguridad de la información o • Formado por máximos responsables
de Proteccion de Datos / Comités PD de las áreas
• Impulso y apoyo de la Dirección.
Curso de Especialización en Protección de datos
Organización tipo en grandes grupos empresariales
DOMINIO 2 – SUBDOMINIO 3

• Jurídico
Relaciones Interdepartamentales • Cumplimiento
• Sistemas

• Área independiente
Independencia de negocio y • “No ser juez y parte”
tecnología • Segregación de funciones

• Formado por máximos responsables


Cuerpo Normativo de Seguridad de las áreas
de la Información • Comunicación a la Alta Dirección
• Impulso y apoyo de la Dirección.

• De obligado cumplimiento
Auditorías Periódicas • Verificación
• Evidencias
Curso de Especialización en Protección de datos
Agenda DOMINIO 2 – SUBDOMINIO 3

• Introducción
• Programa de Cumplimiento de Protección de Datos y Seguridad
• Contexto de la Organización
• Liderazgo
• Diseño del Programa
• Roles y Responsabilidades
• Evaluación
• Accountability
• Conclusión
Curso de Especialización en Protección de datos
Liderazgo DOMINIO 2 – SUBDOMINIO 3

¿Cómo se puede conseguir la implantación?

¿Cuáles son los “Lideres” de un Programa de


Cumplimiento de Privacidad y Seguridad?
Curso de Especialización en Protección de datos
Política de Seguridad y Privacidad
DOMINIO 2 – SUBDOMINIO 3

Declaración de alto nivel de objetivos, directrices y compromiso de la


Dirección para acometer la gestión de la Seguridad de la Información o la
Privacidad y Protección de Datos.

• Declaración formal, breve y de alto nivel, que abarca las creencias generales de la
organización, metas, objetivos y procedimientos aceptables en la materia.

• Debe proporcionar dirección y apoyo a la gestión de seguridad de la información y privacidad y


protección de datos, de acuerdo con los requerimientos del negocio y las leyes y
reglamentos pertinentes.

• Describe las consecuencias de no cumplir con ella, los medios de gestión de excepciones y
la manera en la que se comprobará y se medirá el cumplimiento de la política.
Curso de Especialización en Protección de datos
Política de Seguridad y Privacidad
DOMINIO 2 – SUBDOMINIO 3

• La Política debería estar soportada por políticas temáticas específicas u objetivos de


seguridad y privacidad y protección de datos.

• Permite influir y orientar decisiones para estar alineado con negocio

• Regula el uso de la Información y de los sistemas que lo tratan con el fin de mitigar el riesgo
de pérdida, deterioro o acceso no autorizado a la misma.

• Sirve como herramienta de concienciación del personal.

• Sirve para cumplir leyes y regulaciones y contratos


Delegado de Protección Curso
de deDatos
Especialización en Protección de datos
DOMINIO 2 – SUBDOMINIO 3

• Debe liderar el programa de cumplimiento


• Debe disponer de apoyo y recursos suficientes
• Debe reportar directamente a la dirección
• Entre sus funciones se encuentran:
✓ Informar y asesorar en el cumplimiento del Reglamento
✓ Monitorizar el cumplimiento del Reglamento
✓ Asesorar en la realización de los PIA y monitorizar su realización
conforme al Reglamento
✓ Ser el punto de contacto y cooperar con la autoridad de supervisión
Comité de Protección deCurso de Especialización en Protección de datos
Datos DOMINIO 2 – SUBDOMINIO 3

Órgano interno en el que ostentan representación las


principales figuras de la organización implicadas en el
cumplimiento de la normativa de protección de datos y
¿Qué es el Comité de Protección de cuya función principal consiste en que se encargue no
Datos?
únicamente de coordinar, sino también, de impulsar y
proponer medidas y acciones a realizar en materia de
protección de datos para conseguir un cumplimiento
correcto y continuo de la normativa.
Comité de Protección deCurso
Datos
de Especialización en Protección de datos
DOMINIO 2 – SUBDOMINIO 3

COMITÉ PROTECCIÓN
DE DATOS

MIEMBROS
PERMANENTES MIEMBROS VARIABLES y OTRAS
FIGURAS INVOLUCRADAS EN LA GESTIÓN
DEL CUMPLIMIENTO

Lo conforman las principales figuras Se convocarán aquellas áreas o departamentos necesarias en función
implicadas en la protección de datos del asunto a tratar
Comité de Protección deCurso de Especialización en Protección de datos
Datos
DOMINIO 2 – SUBDOMINIO 3

Comité Ordinario
Según necesidades: bimestral / trimestral.
Partiría de un Orden del Día mixto:
• cuestiones permanentes (acta último Comité, revisión de actividades entre
Comités, revisión de indicadores de estado de cumplimiento, etc.);
Bimestral o Trimestral • cuestiones puntuales (actuaciones AEPD, nuevos Proyectos, nuevas aplicaciones,
etc.).

Comité Extraordinario. Carácter Urgente.


Posibilidad de reuniones extraordinarias ante cualquier aspecto relevante o urgente que
afecten a la materia relativa de protección de datos ([Link]. inspección de la Agencia
Española de Protección de Datos; cambios legislativos; desarrollo de nuevos productos y/o
servicios; sinergias con otros proyectos; etc.).
Urgente
Curso de Especialización en Protección de datos
Agenda
DOMINIO 2 – SUBDOMINIO 3

• Introducción
• Programa de Cumplimiento de Protección de Datos y Seguridad
• Contexto de la Organización
• Liderazgo
• Diseño del Programa
• Roles y Responsabilidades
• Evaluación
• Accountability
• Conclusión
Diseño del programa deCurso de Especialización en Protección de datos
cumplimiento
DOMINIO 2 – SUBDOMINIO 3

El programa se compone (I):

• Identificación del Marco o Marcos de Referencia a tener en


consideración (RGPD, ISO 27001, ISO 27701 …).

• Identificación de los objetivos


de control y controles asociados
a los marcos de referencia
identificados.
Diseño del programa de Curso de Especialización en Protección de datos
cumplimiento (marco RGPD)
DOMINIO 2 – SUBDOMINIO 3

Medidas Organizativas (I)


Designación de Delegado de Protección de
Datos y / o constitución de Gobierno de la
DPO y Gobierno de la Privacidad Privacidad. Ejercen liderazgo y coordinan y
supervisan la implantación y eficacia del
programa.

Diseño de un Plan de Formación.


Concienciación y formación de empleados,
Cultura de cumplimiento y privacidad mandos intermedios y directivos con la
finalidad de asegurar el cumplimiento
transversal del RGPD.
Diseño del programa de Curso
cumplimiento (marco RGPD)
de Especialización en Protección de datos
DOMINIO 2 – SUBDOMINIO 3

Medidas Organizativas (II)


Asegurar la aplicación de modo transversal y
preventivo del principio de privacidad desde
Privacy by Design el diseño, garantizando el inicio del ciclo de
cumplimiento en toda nueva actividad de
tratamiento.
Diseño del programa de Curso
cumplimiento (marco RGPD)
de Especialización en Protección de datos
DOMINIO 2 – SUBDOMINIO 3

Medidas Organizativas (III)


Confeccionar e implantar un cuerpo
normativo interno (Políticas, procedimientos,
Cuerpo normativo interno protocolos) que desarrolle y detalle las
prácticas de cumplimento de la organización.

• Política Global de Privacidad.


• Política y procedimiento de Privacidad desde el Diseño.
• Procedimiento de actualización del Registro de Actividades de
Tratamiemto.
• Protocolo de gestión de derechos.
• Procedimiento de notificación de brechas de seguridad
• Etc.
Diseño del programa de Curso de Especialización en Protección de datos
cumplimiento (marco RGPD)
DOMINIO 2 – SUBDOMINIO 3

Medidas Legales (I)


Elaborar un registro de actividades de
Registro de Actividad de Tratamiento tratamiento y mantener el mismo
debidamente actualizado.

CONTENIDO DEL REGISTRO DE ACTIVIDADES


CATEGORÍA DE PRESTADORES DE
CATEGORÍAS DE SISTEMAS DE CESIONES DE RESPONSABLE DE PLAZO DE
ACTIVIDAD DESCRIPCIÓN DATOS SERVICIO CON TID
INTERESADOS INFORMACIÓN DATOS LA ACTIVIDAD CONSERVACIÓN
TRATADOS ACCESO A DATOS
Diseño del programa deCurso
cumplimiento (marco RGPD)
de Especialización en Protección de datos
DOMINIO 2 – SUBDOMINIO 3

Medidas Legales (II)


- Determinar el flujo de vida del dato y los
sistemas de información que soportan los
tratamientos.
- Delimitar las bases legitimadoras de los
tratamientos.
- Determinar la capacidad de trazabilidad y
Información y consentimiento evidencia de cumplimiento en los
diferentes canales de entrada de datos.
- Redactar e implantar clausulado
informativo conforme a las exigencias del
RGPD.
-Evidenciar el cumplimiento del deber de
información y la obtención de
consentimiento.
Diseño del programa de Curso de Especialización en Protección de datos
cumplimiento (marco RGPD)
DOMINIO 2 – SUBDOMINIO 3

Medidas Técnicas Establecer a nivel interno una metodología que permita la


realización de:

-Evaluaciones objetivas que determinen el riesgo inherente


de cada tratamiento.
-Análisis de Riesgos.
-Evaluaciones de Impacto sobre la Protección de Datos.

Enfoque basado en riesgos


y medidas de seguridad
Determinar catálogos de controles para:

- Mitigar los riesgos identificados en los tratamientos que se


llevan a cabo en la compañía.
- Trasladar a los encargados de tratamiento.
Diseño del programa deCurso de Especialización en Protección de datos
cumplimiento (ISO 27701)
DOMINIO 2 – SUBDOMINIO 3

La implementación de la norma ISO 27701 tiene como requisito ineludible la existencia


o desarrollo de un SGSI conforme a la norma ISO 27001.

Para implementar un Sistema de Gestión de Privacidad de la Información (SGPI) se


deben tener en cuenta las siguientes consideraciones:

➢ Ampliación de los requisitos del estándar ISO 27001.


➢ Ampliación de los controles del anexo A de la norma ISO 27001.
➢ Implantación de los controles referidos a responsables del tratamiento establecidos
en el anexo A de la norma ISO 27701
➢ Implantación de los controles referidos a encargados del tratamiento establecidos en
el anexo B de la norma ISO 27701.
Diseño del programa deCurso de Especialización en Protección de datos
cumplimiento (ISO 27701)
DOMINIO 2 – SUBDOMINIO 3

5.2 Contexto de la organización

5.4 Planificación
Diseño del programa deCurso de Especialización en Protección de datos
cumplimiento (ISO 27701)
DOMINIO 2 – SUBDOMINIO 3

6.2 Políticas de seguridad de la información

6.3 Organización de la seguridad de la información

6.4 Seguridad de los recursos humanos

6.5 Gestión de activos

6.6 Control de accesos

6.7 Criptografía
Diseño del programa deCurso de Especialización en Protección de datos
cumplimiento (ISO 27701)
DOMINIO 2 – SUBDOMINIO 3

6.8 Equipo

6.9 Seguridad operativa

6.10 Seguridad de las comunicaciones

6.11 Adquisición, desarrollo y mantenimiento de los sistemas

6.12 Relaciones con proveedores

6.13 Gestión de incidentes de seguridad de la información

6.15 Conformidad
Diseño del programa de Curso de Especialización en Protección de datos
cumplimiento (ISO 27701)
DOMINIO 2 – SUBDOMINIO 3

A.7.2. Condiciones para la recolección y el tratamiento

A.7.3. Obligaciones respecto de los titulares de los datos

A.7.4. Privacidad por diseño y privacidad por defecto

A.7.5 Compartición, transferencia y revelación de datos de carácter


personal
Curso de Especialización en Protección de datos
Diseño del programa de cumplimiento (ISO 27701)
DOMINIO 2 – SUBDOMINIO 3

A.8.2. Condiciones para la recolección y el tratamiento

A.8.3. Obligaciones respecto de los titulares de los datos

A.8.4. Privacidad por diseño y privacidad por defecto

A.8.5 Compartición, transferencia y revelación de datos de carácter


personal
Diseño del programa deCurso de Especialización en Protección de datos
cumplimiento (ISO 27701)
DOMINIO 2 – SUBDOMINIO 3

Un marco para ayudar a reducir los riesgos de privacidad


en los tratamientos de datos personales o información de
identificación personal (PII)

• Aporta garantías de seguridad sobre los


tratamientos de los datos personales. • Verifica el registro de actividades de los
tratamientos.
• Incorpora la gestión de la privacidad en la • Contribuye a implementar la privacidad por
gestión de riesgos de la empresa.
diseño y por defecto en los tratamientos.
• Controla la existencia de mecanismos para • Garantiza que se permite a los propietarios
la notificación de brechas de privacidad. de los datos personales el ejercicio de sus
• Establece roles y responsabilidades claras derechos sobre los mismos.
sobre los tratamientos. • Aporta transparencia a los accionistas y
• Mejora la gestión de contratos con eficacia a la hora de gestionar los
encargados del tratamiento. tratamientos de datos personales.
Curso de Especialización en Protección de datos
Diseño del programa de cumplimiento
DOMINIO 2 – SUBDOMINIO 3

El programa se compone (II):

• Identificación de la importancia / criticidad de cada uno de los


requisitos.
• Evaluación del nivel de control o
nivel de cumplimiento.

• Identificación de riesgos en los que


incurre la compañía respecto de los
datos y tratamientos identificados.
Diseño del programa deCurso de Especialización en Protección de datos
cumplimiento
DOMINIO 2 – SUBDOMINIO 3

El programa se compone (II):

• Establecimiento de políticas y guías de uso para alinear el


tratamiento de los datos con las regulaciones existentes.
• Establecimiento de planes de adecuación o
proyectos específicos en caso de necesidad.

• Establecimiento de roles y responsabilidades.

• Mejora continua de los procedimientos


Curso de Especialización en Protección de datos
Diseño del programa de cumplimiento
DOMINIO 2 – SUBDOMINIO 3

Identificación Evaluación
Evaluación Planificación Identificación y Conclusiones
de los Riesgos y del riesgo
del riesgo de la evaluación de y Plan de
Asignación a residual
inherente Verificación controles Acción
procesos

Riesgo = Probabilidad x Impacto

Seguimiento y Mejora Continua


Diseño del programa deCurso de Especialización en Protección de datos
cumplimiento
DOMINIO 2 – SUBDOMINIO 3
Curso de Especialización en Protección de datos
Agenda
DOMINIO 2 – SUBDOMINIO 3

• Introducción
• Programa de Cumplimiento de Protección de Datos y Seguridad
• Contexto de la Organización
• Liderazgo
• Diseño del Programa
• Roles y Responsabilidades
• Evaluación
• Accountability
• Conclusión
Curso de Especialización en Protección de datos
Roles y responsabilidades DOMINIO 2 – SUBDOMINIO 3

¿Por qué es importante la asignación de roles y


responsabilidades?

¿Cómo se pueden “asignar”?


Curso de Especialización en Protección de datos
Roles y responsabilidades DOMINIO 2 – SUBDOMINIO 3

• La alta dirección debe asegurarse que los roles y responsabilidades en


materia de Privacidad y Seguridad estén bien asignados y comunicados.

• Necesario para garantizar el cumplimiento de lo establecido en la política,


el seguimiento del nivel de cumplimiento, el reporte a la alta dirección, …
• De nada sirve definir objetivos, tareas si no
se identifica responsables.

¡¡Cuidado con la falsa percepción de seguridad /


control, ….!!
Curso de Especialización en Protección de datos
Roles y responsabilidades DOMINIO 2 – SUBDOMINIO 3

• Importante identificar: Política de Seguridad

✓ ¿Qué áreas son las implicadas? Organización de Seguridad

✓ ¿Quién tiene que hacer qué?


Clasificación y control de activos

✓ ¿Quién es el responsable de Seguridad


Seguridad
environmental
física y
GestiónCommunications
de
operacio-
Gestión&de
comuni- Cifrado
Adq. Desa. Y
Mto Sistemas
del personal
ambiental nes caciones
hacer qué?
Control de acceso Suministrado
res
Gestión Incidentes
Ejemplo – para cada dominio (ISO
Continuidad de Negocio
27002:2013) se debe establecer
Cumplimiento
quién es el responsable de qué
Curso de Especialización en Protección de datos
Roles y responsabilidades
DOMINIO 2 – SUBDOMINIO 3

► MATRIZ RACI

• R “Responsible”: es quien ejecuta una tarea. Su función es “HACER”.


• A ”Accountable": es quien vela porque la tarea se cumpla, aún sin tener que ejecutarla
en persona. Su función es “HACER HACER”.
• C "Consulted): indica que una persona o área debe ser consultada respecto de la
realización de una tarea.
• I "Informed): indica que una persona o área debe ser informada respecto de la
realización de una tarea.

► Muy útil en determinadas tareas en el que son múltiples los implicados y no queda claro
cuál es la responsabilidad de cada uno.
Curso de Especialización en Protección de datos
Roles y responsabilidades DOMINIO 2 – SUBDOMINIO 3

► MATRIZ RACI – Proceso elaboración

• Identificar las actividades de algún proceso (y colocarlas como filas de la matriz).


• Identificar / definir los principales roles funcionales (y colocarlos como columnas de
la matriz).
• Asignar los códigos “RACI” a cada tarea

• Identificar ambigüedades o problemas (solapamientos, vacíos, dudas, etc.) y trabajar


para solucionarlos.
Curso de Especialización en Protección de datos
Roles y responsabilidades
DOMINIO 2 – SUBDOMINIO 3

► MATRIZ RACI – Proceso elaboración

• Distribuir la matriz e incorporar el feedback.


• Comunicarla de modo efectivo a todos los involucrados en el proceso.
• Revisarla periódicamente y actualizarla en caso de necesidad

• Un mismo rol puede ser compartido por más de una persona o viceversa, sobre todo en
organizaciones pequeñas.
Curso de Especialización en Protección de datos
Agenda DOMINIO 2 – SUBDOMINIO 3

• Introducción
• Programa de Cumplimiento de Protección de Datos y Seguridad
• Contexto de la Organización
• Liderazgo
• Diseño del Programa
• Roles y Responsabilidades
• Evaluación
• Accountability
• Conclusión
Curso de Especialización en Protección de datos
Evaluación DOMINIO 2 – SUBDOMINIO 3

Una vez definido el Programa de Cumplimiento


de Protección de Datos y Seguridad, ¿está todo
hecho?
Curso de Especialización en Protección de datos
Evaluación DOMINIO 2 – SUBDOMINIO 3

Verificar que se cumplen los requisitos


presentes en los Marcos de Referencia
(RGPD, ISO 27701..)

Verificar que los controles funcionan como se


diseñaron (marco de control de DPO, controles
derivados de PIA, auditorías, etc.)
Objetivos de la
evaluación
Concluir que el riesgo se encuentra mitigado

Mejora continua de los Controles y del nivel de


cumplimiento
Evaluación Curso de Especialización en Protección de datos
DOMINIO 2 – SUBDOMINIO 3

La evaluación del nivel de cumplimiento engloba varias fases:

Ejecución y
Diseño de las Interpretación
documentación
pruebas de las pruebas
de las pruebas

• Fase 1:
– Engloba todas las actividades previas a la evaluación del nivel de cumplimiento. Se trata de
determinar los pasos para realizar las pruebas sobre cada requisito. Considera todas las
circustancias que pueden llegar a ocurrir en el transcurso de las pruebas.
• Fase 2:
– Cada una de las pruebas definidas se deberá documentar indicando, al menos, los siguientes
aspectos: descripción y alcance de la prueba, detalle del trabajo realizado y conclusión.
• Fase 3:
– Concluir si el riesgo está o no mitigado, aportando conclusiones a nivel de control y riesgo
Curso de Especialización en Protección de datos
Evaluación DOMINIO 2 – SUBDOMINIO 3

Planificar el Cumplimiento

Adaptar el Programa A PDCA D Implementar Políticas,


Procedimientos,
Controles ….

Identificar Mejoras Evaluar Controles,


requisitos, ….
C
Analizar y revisar
CICLO DE DEMING
Curso de Especialización en Protección de datos
Evaluación DOMINIO 2 – SUBDOMINIO 3

La certificación del sistema permite demostrar con carácter


¿Por qué certificar el externo el cumplimiento del RGPD, así como evaluar con
sistema de cumplimiento? mayor rapidez el grado de compliance de la organización

La certificación requiere de la madurez del sistema. El sistema


¿¿Cuándo certificar el de cumplimiento deberá haber sido previamente implantado,
sistema de cumplimiento? revisado y mejorado antes del inicio del proceso de certificación

Mediante mecanismos de certificación acreditados y


¿¿Cómo certificar el consolidados por las Autoridades de Control o estándares
sistema de cumplimiento? reconocidos
Curso de Especialización en Protección de datos
Agenda
DOMINIO 2 – SUBDOMINIO 3

• Introducción
• Programa de Cumplimiento de Protección de Datos y Seguridad
• Contexto de la Organización
• Liderazgo
• Diseño del Programa
• Roles y Responsabilidades
• Evaluación
• Accountability
• Conclusión
Curso de Especialización en Protección de datos
Accountability
DOMINIO 2 – SUBDOMINIO 3

• “Debida diligencia”, “Responsabilidad Proactiva”


• Cambio de paradigma:
– El RGPD transfiere a las empresas el deber de velar por el cumplimiento de esta normativa
implementando las medidas técnicas y de seguridad que cada empresa considere adecuadas
en función del tratamiento de datos que realice.
– Carga de la prueba en el Responsable del Tratamiento
• Poder demostrar en todo momento que se ha hecho el mayor de los esfuerzos por cumplir
Accountability Curso de Especialización en Protección de datos
DOMINIO 2 – SUBDOMINIO 3
Curso de Especialización en Protección de datos
Agenda DOMINIO 2 – SUBDOMINIO 3

• Introducción
• Programa de Cumplimiento de Protección de Datos y Seguridad
• Contexto de la Organización
• Liderazgo
• Diseño del Programa
• Roles y Responsabilidades
• Evaluación
• Accountability
• Conclusión
Curso de Especialización en Protección de datos
Conclusión DOMINIO 2 – SUBDOMINIO 3

• Importancia mayor de los programas de cumplimiento de Privacidad y Seguridad.


• No existe un único programa ni un programa ideal – “perfecto”. Depende de multiples
factores y realidades.
• Implicación de la Dirección vital para la consecución de un nivel de cumplimiento óptimo.
• Necesario tener claro el objetivo a conseguir (en todos los ámbitos)
• No sirve de nada si no están definidos los roles y responsabilidades de TODOS.
• Una vez definido el Programa debe verificarse y revisarse periódicamente.
• Es importante no sólo hacer las cosas sino documentarlas – mantener la trazabilidad de lo
que se hace y el porqué de las decisiones tomadas.
• La existencia de un programa de Cumplimiento no es sinónimo de garantía de
cumplimiento.
Curso de Especialización en Protección de datos
DOMINIO 2 – SUBDOMINIO 3

Más información/dudas:

CONTACTO.
[Link]@[Link]

MUCHAS GRACIAS

También podría gustarte