1 / 14

LOPD, PROBLEMÁTICA Y ACCIONES CORRECTIVAS

LOPD, PROBLEMÁTICA Y ACCIONES CORRECTIVAS. CONTENIDO. ESCENARIOS RETOS PLANTEADOS METODOLOGÍA Y ACCIONES CORRECTIVAS CONCLUSIONES. ESCENARIOS. ESCENARIOS. ORGANIZACIONES Estructuras societarias complejas (HOLDING)

Download Presentation

LOPD, PROBLEMÁTICA Y ACCIONES CORRECTIVAS

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. LOPD, PROBLEMÁTICA Y ACCIONES CORRECTIVAS

  2. CONTENIDO • ESCENARIOS • RETOS PLANTEADOS • METODOLOGÍA Y ACCIONES CORRECTIVAS • CONCLUSIONES

  3. ESCENARIOS

  4. ESCENARIOS • ORGANIZACIONES • Estructuras societarias complejas (HOLDING) • Cambios societarios (adquisiciones, fusiones, fusiones por absorción, etc.) • Cooperación entre Organizaciones • Centralización de operaciones empresariales • PERSONAS • Sensibilidad con el uso que se hace de sus datos personales • Conocimiento de sus derechos en cuanto al uso de los mismos • TECNOLOGÍA • Mayor implicación en los planes estratégicos de las Organizaciones • EXIGENCIAS LEGALES • LORTAD (92) RMS (99) LOPD (99)  Borrador RMS

  5. RETOS PLANTEADOS

  6. RETOS PLANTEADOS ALINEARSE CON LA NORMATIVA LEGAL VIGENTE • Concienciando • Actuando con diligencia • Obteniendo una instantánea de la situación real • Reduciendo cuanto antes el riesgo • Optimizando el conjunto de recursos destinados • Clientes de GMV-SGI • GMV-SGI • Maximizando • El uso de la excepción a la cesión de datos y al tránsito de datos entre países de la UE o con nivel de protección equiparable al de la LOPD • Minimizando • Ficheros a declarar • Contratos a establecer entre sociedades

  7. METODOLOGÍA Y ACCIONES CORRECTIVAS

  8. METODOLOGÍAS Identificación de líneas de acción Auditoría de medidas Identificación del mapa de ficheros Auditoría de estado LOPD Despliegue de líneas de acción Auditoría (Art. 17) Inscripción (Art. 25, 26) Información (Art. 5) Cesión de datos (Art. 7, 8, 11, 12, 27, 33) Medidas técnicas y organizativas (Art. 9, 10) Tratamiento (Art. 6, 7, 8) Procedimientos (Art. 15, 16, 17)

  9. ACCIONES CORRECTIVAS (Legales) • Directorio Activo (Sociedad Matriz y resto de sociedades) • Problema: Consulta de datos de empleados desde cualquier sociedad del Holding (Art. 11)  CESIÓN DE DATOS • Problema añadido: tránsito de datos internacionalmente (Art. 33) • Acciones Correctivas: • Contratos con personal • Cláusula de Consentimiento: (Art. 6 y 11.2.c): tratamiento y cesión a cualquier sociedad del Holding (incluido el extranjero). • Excepción al tránsito internacional (Art. 34.k) • Declaración de un fichero por cada sociedad (Art. 25 y 26)

  10. ACCIONES CORRECTIVAS (Legales) • Consolidación de aplicativos financieros en ERP (Sociedad Matriz y resto de sociedades) • Problema: • Centralización de ficheros en el hosting de la Matriz • Visibilidad de algunos datos de clientes y proveedores entre sociedades (Art. 11)  CESIÓN DE DATOS • Problema añadido: Impacto en la imagen de la Organización al recabar el consentimiento de los interesados • Acciones Correctivas • Eliminar la visibilidad de las cabeceras • Relación contractual entre la Matriz y resto sociedades (Art. 12): La Matriz es la encargada del tratamiento por cuenta del resto de sociedades (prestación de servicio de hosting) • Declaración de un fichero por cada sociedad (Art. 25 y 26) • Recomendar el recabo del consentimiento de cara al futuro

  11. ACCIONES CORRECTIVAS (Técnicas) • Procedimiento de disociación • Transmisión de DCP de alto nivel para su tratamiento por terceros (estadísticas para prevención de enfermedades laborales) • Cifrado de soportes y de telecomunicaciones • Mecanismosdecontrol de accesos (lógico y físico – CPD) • Procedimientos • Registro de incidencias cuando aplican a DCP • Copias de respaldo para DCP y pruebas de verificación • Ciclos de Vida de desarrollo y de infraestructuras • Realización de pruebas (sanitización) • Fases de reutilización o eliminación de soportes

  12. CONCLUSIONES

  13. CONCLUSIONES • Concienciación de la obligatoriedad del cumplimiento • Implicación de toda la Organización • Hincapié en la función de Auditoría • Implantación de SGSI • Diversidad de escenarios • Aplicar metodologías adecuadas para cada caso • Priorización por riesgos • Mínimo impacto • Existencia de precedentesresolutivos para la búsqueda de acciones correctivas

  14. Gracias Enrique Aristi Rodríguez División de Auditoría y Planificación de la Seguridad Email: earisti@gmv.com www.gmv.com

More Related