Embed Size (px)
DESCRIPTION
LOPD, PROBLEMÁTICA Y ACCIONES CORRECTIVAS. CONTENIDO. ESCENARIOS RETOS PLANTEADOS METODOLOGÍA Y ACCIONES CORRECTIVAS CONCLUSIONES. ESCENARIOS. ESCENARIOS. ORGANIZACIONES Estructuras societarias complejas (HOLDING) - PowerPoint PPT Presentation
Citation preview
LOPD, PROBLEMÁTICA LOPD, PROBLEMÁTICA Y ACCIONES Y ACCIONES
CORRECTIVASCORRECTIVAS
CONTENIDO
• ESCENARIOS
• RETOS PLANTEADOS
• METODOLOGÍA Y ACCIONES CORRECTIVAS
• CONCLUSIONES
ESCENARIOSESCENARIOS
ESCENARIOS
– ORGANIZACIONES• Estructuras societarias complejas (HOLDING)• Cambios societarios (adquisiciones, fusiones, fusiones por absorción, etc.)• Cooperación entre Organizaciones• Centralización de operaciones empresariales
– PERSONAS • Sensibilidad con el uso que se hace de sus datos personales• Conocimiento de sus derechos en cuanto al uso de los mismos
– TECNOLOGÍA• Mayor implicación en los planes estratégicos de las Organizaciones
– EXIGENCIAS LEGALES• LORTAD (92) RMS (99) LOPD (99) Borrador RMS
S O C IE D A D A S O C IE D A D B S O C IE D A D C
S O C IE D A D M A T R IZ
RETOS PLANTEADOSRETOS PLANTEADOS
RETOS PLANTEADOS
– Concienciando– Actuando con diligencia
• Obteniendo una instantánea de la situación real• Reduciendo cuanto antes el riesgo
– Optimizando el conjunto de recursos destinados• Clientes de GMV-SGI• GMV-SGI
– Maximizando• El uso de la excepción a la cesión de datos y al
tránsito de datos entre países de la UE o con nivel de protección equiparable al de la LOPD
– Minimizando • Ficheros a declarar• Contratos a establecer entre sociedades
ALINEARSE CON LA NORMATIVA LEGAL VIGENTE
METODOLOGÍA Y METODOLOGÍA Y ACCIONES ACCIONES
CORRECTIVASCORRECTIVAS
METODOLOGÍAS
Identificación del mapa de ficheros
Auditoría de estado LOPD
Despliegue de líneas de acción
Auditoría de medidas
Identificación de líneas de acción
Auditoría (Art. 17)Inscripción (Art.
25, 26)
Información (Art. 5)
Cesión de datos (Art. 7, 8, 11, 12,
27, 33)
Tratamiento (Art. 6, 7, 8)
Procedimientos (Art. 15, 16, 17)
Medidas técnicas y organizativas
(Art. 9, 10)
ACCIONES CORRECTIVAS (Legales)
– Directorio Activo (Sociedad Matriz y resto de sociedades)
• Problema: Consulta de datos de empleados desde cualquier sociedad del Holding (Art. 11) CESIÓN DE DATOS
• Problema añadido: tránsito de datos internacionalmente (Art. 33)
• Acciones Correctivas:– Contratos con personal
» Cláusula de Consentimiento: (Art. 6 y 11.2.c): tratamiento y cesión a cualquier sociedad del Holding (incluido el extranjero).
– Excepción al tránsito internacional (Art. 34.k)– Declaración de un fichero por cada sociedad (Art. 25
y 26)
ACCIONES CORRECTIVAS (Legales)
– Consolidación de aplicativos financieros en ERP (Sociedad Matriz y resto de sociedades)
• Problema: – Centralización de ficheros en el hosting de la Matriz– Visibilidad de algunos datos de clientes y proveedores
entre sociedades (Art. 11) CESIÓN DE DATOS
• Problema añadido: Impacto en la imagen de la Organización al recabar el consentimiento de los interesados
• Acciones Correctivas– Eliminar la visibilidad de las cabeceras– Relación contractual entre la Matriz y resto sociedades (Art. 12): La
Matriz es la encargada del tratamiento por cuenta del resto de sociedades (prestación de servicio de hosting)
– Declaración de un fichero por cada sociedad (Art. 25 y 26)– Recomendar el recabo del consentimiento de cara al futuro
ACCIONES CORRECTIVAS (Técnicas)
– Procedimiento de disociación• Transmisión de DCP de alto nivel para su tratamiento
por terceros (estadísticas para prevención de enfermedades laborales)
– Cifrado de soportes y de telecomunicaciones– Mecanismos de control de accesos (lógico y
físico – CPD) – Procedimientos
• Registro de incidencias cuando aplican a DCP• Copias de respaldo para DCP y pruebas de
verificación• Ciclos de Vida de desarrollo y de infraestructuras
– Realización de pruebas (sanitización)– Fases de reutilización o eliminación de soportes
CONCLUSIONESCONCLUSIONES
CONCLUSIONES
– Concienciación de la obligatoriedad del cumplimiento
• Implicación de toda la Organización• Hincapié en la función de Auditoría• Implantación de SGSI
– Diversidad de escenarios– Aplicar metodologías adecuadas para cada
caso• Priorización por riesgos• Mínimo impacto
– Existencia de precedentes resolutivos para la búsqueda de acciones correctivas
Gracias
Enrique Aristi Rodríguez
División de Auditoría y Planificación de la Seguridad
Email: [email protected]
www.gmv.com
