Nuevo Reglamento General de Protección de Datos

Análisis y gestión del riesgo en el tratamiento de datos:
Las Guías para una Evaluación de Impacto en la
Protección de Datos Personales
3er. Congreso Internacional de Protección de Datos
Medellín, 28 y 29 de mayo de 2015
JOSE LUIS RODRIGUEZ ALVAREZ
DIRECTOR
AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
Agencia Española de Protección de Datos
1
Entorno de riesgo creciente
• Sociedades altamente tecnologizadas y globalizadas
• Cada día nuevos productos y servicios que usan intensivamente
datos personales
• Crecimiento exponencial volumen de información
• Se multiplican las capacidades de uso de la información con
fines diversos
• Aumento de posibilidades explotación comercial y el valor
económico de los datos
• Incremento de los riesgos para la privacidad
• Pérdida de capacidad de autodeterminación de los individuos:
más posibilidades de pérdida de control sobre información
personal.
Agencia Española de Protección de Datos
2
Nuevas necesidades
 Reforzar los derechos de los ciudadanos, actualizar
legislaciones
 Complementar planteamientos tradicionales.
Nuevos enfoques preventivos
 Fortalecer la “accountability”
 Implantar “Privacy by Design”
Evaluaciones de Impacto en la Protección de Datos
(Privacy Impact Assessment)
Agencia Española de Protección de Datos
3
Evaluciones de Impacto
EIPD (PIAs): son un análisis de riesgos y un plan de gestión
 Desarrollado países anglosajones. En algunos casos es
obligatorio
 Mayoría países europeos no existe obligación legal
 Nuevo Reglamento General de Protección de Datos:
 “riesgos específicos para los derechos y libertades
de los ciudadanos”
 Lista de tratamientos, ampliable por las
Autoridades
Agencia Española de Protección de Datos
4
Evaluciones de Impacto
 Metodología madura, incorporable aunque no exista obligación
 Claros beneficios:
 Ahorro costes económicos, reputacionales derivados de
riesgos previsibles
 Mejora políticas y prácticas protección datos de las
organizaciones
 Mejor protección
AEPD
más confianza clientes y usuarios
Promover la realización de EIPD
Elaborar Guía para facilitar realización
Agencia Española de Protección de Datos
5
La Guía EIPD
www.agpd.es
Agencia Española de Protección de Datos
6
La Guía EIPD
 Elaboración participativa: consulta pública
 Marco flexible
 Modelo estructurado
 Adaptable a características organizaciones
 Posibilidad de guías sectoriales
Agencia Española de Protección de Datos
7
Aspectos generales
 Proceso sistemático de evaluación para identificar y
eliminar riesgos
 Más allá de evaluación cumplimento normativo
 Substancial y no sólo formal
 Reglado y estructurado
 Reproducible y verificable
 Inicio en fase temprana
 Publicidad (parcial) conclusiones
Agencia Española de Protección de Datos
8
Fases
Análisis de Necesidad
Identificación de Riesgos
Gestión de Riesgos
Agencia Española de Protección de Datos
9
Análisis de necesidad
Análisis de
Necesidad
Identificación de
Riesgos
Gestión de
Riesgos
Agencia Española de Protección de Datos
10
Identificación de riesgos
Análisis de
Necesidad
Identificación de
Riesgos
Gestión de
Riesgos
Agencia Española de Protección de Datos
11
Gestión de riesgos
Análisis de
Necesidad
Identificación de
Riesgos
Gestión de
Riesgos
Agencia Española de Protección de Datos
12
Ciclo de Deming
Agencia Española de Protección de Datos
13
Muchas gracias
[email protected]
Agencia Española de Protección de Datos
14