NOU REGLAMENT EUROPEU DE PROTECCIÓ DE DADES PERSONALS
JORNADA NOU REGLAMENT EUROPEU DE PROTECCIÓ DE DADES PERSONALS PROGRAMA 09.45h - Recepció dels assistents. 10.00h - Benvinguda i presentació. Sr. Daniel Boil, vicepresident de Pimec Vallès Oriental 10.15h - Punts clau del nou reglament de protecció de dades personals. Sra. Estrella Rincón, directora departament jurídic de PIMEC 10.45h - Com identifico els tractaments afectats? Quins riscos de no compliment tinc a la meva empresa? Sra. Judit García, enginyera informàtica UPC – auditora LOPD. 11.45 h - Torn obert de paraules i fi de la sessió.
RGPD – PUNTS CLAU DEL NOU REGLAMENT DE PROTECCIÓ DE DADES PERSONALS El nou Reglament General de Protecció de Dades (RGPD) va entrar en vigor al maig de 2016 i serà aplicable a partir del maig de 2018. Directiva 95/46/CE Llei Orgànica 15/1999 (LOPD) Reial Decret 994/1999 Reial Decret 1720/2007 Reglament (UE) 2016/679 Projecte de Llei Orgànica Plena aplicació! 25/5/2018
RGPD – PUNTS CLAU DEL NOU REGLAMENT DE PROTECCIÓ DE DADES PERSONALS Protecció de dades personals. Per què? Preservar els drets i llibertats de les persones físiques, en particular el dret a la protecció de les dades de caràcter personal. Les dades personals són el recurs fonamental de la societat de la informació. El tractament de dades personals ha d’estar concebut per servir a la humanitat. Les persones físiques han de tenir el control de les seves pròpies dades personals. Aconseguir una regulació més uniforme. Garantir la lliure circulació de dades entre els Estats membres. Reforçar la seguretat jurídica i generar la confiança que permeti a l’economia digital desenvolupar-se en tot el mercat interior.
RGPD – PUNTS CLAU DEL NOU REGLAMENT DE PROTECCIÓ DE DADES PERSONALS A qui aplica i a qui obliga? Ha d’aplicar-se a les persones físiques, sense excepcions, independentment de a seva nacionalitat o el seu lloc de residència, en relació amb el tractament de les seves dades personals. Ha d’aplicar-se al tractament automatitzat i manual de dades personals, quan estiguin recollides en un fitxer o estiguin destinades a ser incloses en ell. No aplica a: El tractament de dades personals relatives a persones jurídiques i en particular a empreses constituïdes com persones jurídiques. Els fitxers o conjunts de fitxers que no estiguin estructurats d’acord a criteris específics. El tractament de dades de caràcter personal per una persona física en el curs d’ una activitat exclusivament personal o domèstica, sense connexió alguna amb una activitat professional o comercial. Obliga a totes les empreses i organismes que gestionen dades personals. No s’exclouen dades de contacte professionals ni d’autònoms. Tecnològicament neutra.
RGPD – PUNTS CLAU DEL NOU REGLAMENT DE PROTECCIÓ DE DADES PERSONALS Principis clau Principi de responsabilitat proactiva El responsable del tractament serà responsable del compliment i capaç de retre comptes i demostrar-ho (“accountability”). Haurà d’aplicar mesures tècniques i organitzatives apropiades. Garantir i poder demostrar el compliment Actitud conscient, diligent i proactiva per part de les organitzacions. Enfocament d’avaluació de riscos Tenir en compte la naturalesa, àmbit, context i finalitat del tractament Avaluar el risc pels drets i llibertats de les persones. Licitud, lleialtat i transparència Fins determinats. Explícits i legítims. Minimització de dades. Confidencialitat, integritat, disponibilitat
RGPD – PUNTS CLAU DEL NOU REGLAMENT DE PROTECCIÓ DE DADES PERSONALS Principals diferències LOPD vs RGPD LOPD RGPD Document de seguretat i implantació de mesures de seguretat determinades per categories de les dades Responsabilitat proactiva: Mesures documentades a partir d’un anàlisi de riscos Notificació de violacions de seguretat Privacitat des del disseny i per defecte Avaluació d’impacte en la Privacitat de les Dades DPD Notificació i inscripció de fitxers a l’AGPD Registre d’Activitats de Tractament + mesures i controls Deure d’informació Extensió en el deure d’informació: Licitud, lleialtat i transparència Legitimació del tractament i regles del consentiment Canvis en legitimació, consentiment i menors Contractes d’encarregats del tractament Contractes d’encarregats de tractament amb garanties de compliment. Exclou dades de contacte professionals i d’autònoms Inclou i llegítima el seu tractament Drets ARCO ARCO + Limitació + Portabilitat + Oblit Auditoria biennal (si nivell MIG o ALT) Auditories quan ho determini el responsable
Molt greus Greus + Danys i perjudicis Lleus RGPD – PUNTS CLAU DEL NOU REGLAMENT DE PROTECCIÓ DE DADES PERSONALS Sancions Molt greus Major de 20.000.000€ o 4% del volum de negoci Greus Major de 10.000.000€ o 2% del volum de negoci Lleus + Danys i perjudicis
Registre d’activitats de tractament RGPD – Com identifico els tractaments afectats? Tractament de dades Qualsevol operació o conjunt d'operacions realitzades sobre dades personals o conjunts de dades personals, ja sigui per procediments automatitzats o no. Pot incloure la recollida, registre, organització, estructuració, conservació, adaptació o modificació, extracció, consulta, utilització, comunicació per transmissió, difusió o qualsevol altra forma d'habilitació d'accés, confrontació o interconnexió, limitació, supressió o destrucció Registre d’activitats de tractament
RGPD – Com identifico els tractaments afectats? Tractament de dades – Ex. Comerç Gestió de personal : Gestoria Servei de prevenció , mútua laboral Selecció de personal Control horari Gestió de clients : Servei d’entrega a domicili Servei postvenda Pagament amb crèdit Targeta de fidelització Newsletters Botiga on-line Gestió de proveïdors Videovigilància
RGPD – Com identifico els tractaments afectats? Tractament de dades – Ex. Industria Gestió de personal : Gestoria Servei de prevenció , mútua laboral Selecció de personal Control horari Avaluació per competències Gestió d’activitats empresarials (PRL) Gestió de clients : Gestió dels contactes Servei d’entrega/manteniment a domicili Newsletters Gestió de proveïdors: Videovigilància
RGPD – Com identifico els tractaments afectats? Tractament de dades – Ex. Sanitat Gestió de personal : Gestoria Servei de prevenció , mútua laboral Selecció de personal Control horari Avaluació per competències Gestió de clients/pacients/familiars : Gestió de visites Gestió d’històries clíniques Gestió de recollida de resultats Gestió de proveïdors: Gestió dels contactes Videovigilància
RGPD – Quins riscos de no compliment tinc a la meva empresa? Què es el risc? És “l’efecte de la incertesa en la consecució dels objectius” ISO 31000:2009 Tots els responsables hauran de realitzar una valoració del risc dels tractaments que realitzin, a fi de poder establir quines mesures han d’aplicar i com han de fer-ho. És la base per determinar: Els riscos sobre els drets i llibertats del interessats La necessitat de realitzar un Anàlisi d’Impacte. És la base per establir mesures tècniques i organitzatives apropiades per garantir un nivell de seguretat adequat en funció dels riscos detectats.
Quins tipus de riscos tenim? RGPD – Quins riscos de no compliment tinc a la meva empresa? Quins tipus de riscos tenim? Risc Normatius: No compliment de la normativa (la llista de sancions és una bona font d’inspiració...) No complir disposicions del RGPD: no disposar de consentiments, manca de contractes encarregat de tractament, etc. No informar adequadament. No disposar de la documentació requerida (anàlisi riscos, registre tractaments, EIPD, ...) Etc. Organitzatius: No tenir l’organització preparada No tenir l’organització conscienciada i formada. No tenir definits procediments per respondre a peticions d’exercici de drets, tractament d’incidències, ... No tenir definides les responsabilitats No tenir una política de control d’accessos Operatius / seguretat: Fallades en l’aplicació o funcionament de mesures tècniques i organitzatives. Afecten a la Disponibilitat, Integritat i Confidencialitat de les dades Control d’accés a aplicatius insuficient No disponibilitat de còpies de seguretat Manca d’antivirus
RGPD – Quins riscos de no compliment tinc a la meva empresa? Anàlisi de Riscos Com valorem els riscos? Estimació del grau d'exposició al fet que una amenaça es materialitzi causant danys o perjudicis a l'Organització Amenaça: Possible dany causat per un factor extern Vulnerabilitat: Possible dany causat per la fallada d'un control intern Salvaguarda / control: Mesures de seguretat adoptades per mitigar els riscos Probabilitat de què es materialitzi l'amenaça Impacte probable en el cas que es materialitzi l'amenaça (el que podria passar) Risc: El que és probable que passi (probabilitat x impacte) Risc acceptable: Nivell de risc que estem disposats a assumir, p.ex. respecte una oportunitat Tractament dels riscos: procés destinat a modificar el risc. Acceptar / Evitar / Mitigar / Transferir
JORNADA NOU REGLAMENT EUROPEU DE PROTECCIÓ DE DADES PERSONALS I Ara què? Preparar l’organització Anàlisi de Risc Implantar mesures de Seguretat Identificar tractaments Elaborar AIPD Recaptar consentiments Validar legitimitat Nomenar DPD Establir protocols per exercir Drets Revisar relacions amb Encarregats Validar privacitat per disseny i per defecte Habilitar gestió d’incidències Millorar Controlar
JORNADA NOU REGLAMENT EUROPEU DE PROTECCIÓ DE DADES PERSONALS TORN OBERT DE PARAULES
MOLTES GRÀCIES