• Author / Uploaded
• Lopez Pablo

• Categories
• Seguridad
• Plataforma como servicio
• Confidencialidad
• Software
• Información de identificación personal

Citation preview

Asignatura Aspectos legales y regulatorios

Datos del alumno

Fecha

Apellidos: Martín Quílez 23/12/2015 Nombre: Alvaro

Actividades Trabajo: Elaboración de una PIA (Privacy Impact Assessment o evaluación de impacto de datos personales) El trabajo consiste en la elaboración de una PIA. Para ello hay que tener en cuenta lo siguiente: 1. Hay que partir del siguiente supuesto de hecho: Una clínica dental situada en España utiliza determinado software de gestión de pacientes instalado en modo local. La empresa SW SYSTEMS S.L es la proveedora del mismo y a la vez la encargada de efectuar su mantenimiento. El propietario de la clínica ha decidido cambiar dicho software por el de la empresa NO PROBLEM S.L. que además se entrega en modo Software como Servicio (SaaS), proporcionando ella misma el alojamiento cloud para los datos, siendo la sede física del alojamiento de éstos un CPD que se encuentra en España. La denominación social NO PROBLEM S.L. está registrada también en España. 2. Debe emitirse un informe final: A partir de la PIA y utilizando como base la «Guía para una Evaluación de Impacto en la Protección de Datos» de la AEPD que se indica en el apartado recursos, emitir un informe final. Recursos para consulta: http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/G uias/Guia_EIPD.pdf https://youtu.be/HKHx3osckwM

TEMA 3 – Actividades

Asignatura Aspectos legales y regulatorios

Datos del alumno

Fecha

Apellidos: Martín Quílez 23/12/2015 Nombre: Alvaro

Evaluación de Impacto en la Protección de Datos Identificación del proyecto Código PIA-DENTAL-001

Descripción Evaluación del Impacto de Privacidad en el proyecto de migración del servicio de gestión de pacientes de la empresa SW SYSTEMS S.L a la empresa NO PROBLEM S.L.

Responsable del proyecto y datos de contacto Data Protection Officer Alvaro Martín Quílez Correo electrónico: [email protected] Teléfono de contacto: 654136409

Fecha del informe 23/12/2015

Versión del informe 1.0

Resumen ejecutivo Descripción sucinta del proyecto Migración del servicio de gestión de pacientes instalado en modo local, provisto y mantenido por la empresa SW SYSTEMS S.L a un servicio proporcionado en modo Software como Servicio con alojamiento de los datos en la nube por la empresa NO PROBLEM S.L.

Principales riesgos identificativos Los principales riesgos identificativos tienen que ver con el tratamiento de datos personales de carácter médico, la integridad y confidencialidad de los mismos y la existencia de medidas de seguridad adecuadas para el acceso a los mismos.

Resumen de las medidas más importantes de mitigación de propuestas

TEMA 3 – Actividades

Asignatura Aspectos legales y regulatorios

Datos del alumno

Fecha

Apellidos: Martín Quílez 23/12/2015 Nombre: Alvaro

Formación adecuada en materia de protección de datos para evitar el riesgo. Análisis y desarrollo correcto de la nueva aplicación para mitigar el riesgo en la integridad y confidencialidad. Implementación de medidas de seguridad adecuadas para mitigar el riesgo en el acceso.

Análisis de necesidad de la Evaluación Resultado del análisis El proceso de migración de la aplicación se debe realizar siguiendo la normativa española sobre protección de datos personales, persiguiendo la confidencialidad e integridad de los datos en la aplicación final y con las medidas de seguridad necesarias para la gestión del control de accesos a los datos personales.

Motivación de la necesidad de la realización de la EIPD Es necesaria la realización de la EIPD puesto que estamos trabajando con datos personales de carácter médico y según la legislación española de la Ley Orgánica de Protección de Datos necesitaremos el consentimiento expreso de los interesados para tratar esos datos.

Descripción detallada del proyecto Descripción detallada de los flujos de datos personales Los datos personales existentes serán suministrados por parte de SW SYSTEMS S.L. a NO PROBLEM S.L. Una vez la nueva aplicación esté en marcha NO PROBLEM S.L. será la encargada del tratamiento de los nuevos datos personales que se puedan generar.

Resultado del proceso de consultas Identificación de las partes interesadas (internas y externas) o a las que afecta el proyecto Internas: Data Protection Officer Externas: SW SYSTEMS S.L. y NO PROBLEM S.L.

Contribuciones de las partes consultadas (se pueden incluir como anexos al informe)

TEMA 3 – Actividades

Asignatura Aspectos legales y regulatorios

Datos del alumno

Fecha

Apellidos: Martín Quílez 23/12/2015 Nombre: Alvaro

SW SYSTEMS S.L. proporcionará los datos existentes en la Base de Datos de pacientes a NO PROBLEM S.L. al finalizar la migración del sistema, eliminando esos datos cuando la nueva aplicación sea operativa.

Resumen de los riesgos más importantes puestos de manifiesto en la consulta Comprobar la integridad de los datos proporcionados por parte de SW SYSTEMS S.L.

Identificación y gestión de riesgos Identificación detallada de riesgos 1. Incumplimiento de la legislación sobre protección de datos personales. 2. Carencia de medidas de seguridad adecuadas o ineficacia de las mismas en relación al tratamiento de los datos personales. 3. Tratar datos especialmente protegidos sin adoptar las salvaguardias necesarias por parte de NO PROBLEM S.L. 4. Utilizar mecanismos de rastreo sin obtener un consentimiento válido tras una información adecuada por parte de NO PROBLEM S.L. 5. Utilización de los datos personales para finalidades incompatibles con las declaradas por parte de NO PROBLEM S.L. 6. Accesos no autorizados a datos personales por parte de NO PROBLEM S.L. 7. Violación de la confidencialidad de los datos personales por parte de empleados de NO PROBLEM S.L. 8. Inexistencia de mecanismos para ejercitar los derechos ARCO por parte de NO PROBLEM S.L. 9. Inexistencia de política de Seguridad o Responsable de Seguridad por parte de NO PROBLEM S.L. 10. Deficiencias organizativas o técnicas en la gestión del control de accesos por parte de NO PROBLEM S.L. 11. Deficiencias en la protección de la confidencialidad de la información por parte de NO PROBLEM S.L.

Impacto y probabilidad de cada riesgo identificado 1. Existe una gran probabilidad de sufrir pérdidas económicas y daños reputacionales al incumplir la legislación sobre protección de datos personales.

TEMA 3 – Actividades

Asignatura Aspectos legales y regulatorios

Datos del alumno

Fecha

Apellidos: Martín Quílez 23/12/2015 Nombre: Alvaro

2. Existe una gran probabilidad de sufrir pérdidas económicas, pérdida de clientes y daños reputacionales derivados de la carencia de medidas de seguridad adecuadas o ineficacia de las mismas en relación al tratamiento de los datos personales, sobre todo cuando se produce pérdida de los datos personales.

3. Baja probabilidad al tratar datos especialmente protegidos sin adoptar las salvaguardias necesarias por parte de NO PROBLEM S.L.

4. Probabilidad mediana de utilizar mecanismos de rastreo sin obtener un consentimiento válido tras una información adecuada por parte de NO PROBLEM S.L.

5. Probabilidad mediana de utilización de los datos personales para finalidades incompatibles con las declaradas por parte de NO PROBLEM S.L.

6. Probabilidad baja de accesos no autorizados a datos personales por parte de NO PROBLEM S.L.

7. Probabilidad baja de violación de la confidencialidad de los datos personales por parte de empleados de NO PROBLEM S.L.

8. Probabilidad baja de inexistencia de mecanismos para ejercitar los derechos ARCO por parte de NO PROBLEM S.L.

9. Probabilidad baja de inexistencia de política de Seguridad o Responsable de Seguridad por parte de NO PROBLEM S.L.

10. Probabilidad baja de deficiencias organizativas o técnicas en la gestión del control de accesos por parte de NO PROBLEM S.L.

11. Probabilidad baja de deficiencias en la protección de la confidencialidad de la información por parte de NO PROBLEM S.L.

Gestión de los riesgos: decisión adoptada para cada riesgo, objetivos de control, controles y medidas propuestas 1. Incumplimiento de la legislación sobre protección de datos personales, realizar una formación adecuada del personal sobre protección de datos para mitigar el riesgo con una comunicación clara de las responsabilidades del personal y de las sanciones aparejadas. 2. Carencia de medidas de seguridad adecuadas o ineficacia de las mismas en relación al tratamiento de los datos personales, realizar una formación adecuada del personal sobre seguridad y uso adecuado de las TIC para mitigar

TEMA 3 – Actividades

Asignatura Aspectos legales y regulatorios

Datos del alumno

Fecha

Apellidos: Martín Quílez 23/12/2015 Nombre: Alvaro

el riesgo con una comunicación clara de las responsabilidades del personal y de las sanciones aparejadas. 3. Tratar datos especialmente protegidos sin adoptar las salvaguardias necesarias por parte de NO PROBLEM S.L., verificar que el tratamiento de los datos se hace amparado por el consentimiento existente de los interesados para evitar el riesgo. 4. Utilizar mecanismos de rastreo sin obtener un consentimiento válido tras una información adecuada por parte de NO PROBLEM S.L., comprobar que se evita el uso de mecanismos de rastreo para evitar el riesgo y en caso de que se utilicen comprobar que se informa con transparencia y se respetan las preferencias establecidas por los afectados en sus navegadores para mitigarlo. 5. Utilización de los datos personales para finalidades incompatibles con las declaradas por parte de NO PROBLEM S.L., comprobar la información sobre las finalidades de los datos, los criterios utilizados y las medidas implantadas para lograr el equilibrio entre el interés del responsable y los derechos de los afectados para evitar el riesgo. 6. Accesos no autorizados a datos personales por parte de NO PROBLEM S.L., comprobar que se establecen los mecanismos y procedimientos adecuados sobre la obligación de guardar secreto sobre los datos personales conocidos en el ejercicio de las funciones profesionales comunicando las posibles sanciones económicas y/o penales para transferir el riesgo. 7. Violación de la confidencialidad de los datos personales por parte de empleados de NO PROBLEM S.L., realizar una formación adecuada del personal sobre sus obligaciones y responsabilidades respecto a la confidencialidad de la información estableciendo sanciones disuasorias para transferir el riesgo. 8. Inexistencia de mecanismos para ejercitar los derechos ARCO por parte de NO PROBLEM S.L., definición de procedimientos de gestión y puesta en marcha de herramientas que garanticen el conocimiento sobre cómo actuar ante la ejercitación de los derechos ARCO y la formación por parte de los empleados encargados para transferir el riesgo. 9. Inexistencia de política de Seguridad o Responsable de Seguridad por parte de NO PROBLEM S.L., comprobación de la existencia de política de Seguridad o Responsable de Seguridad y su nombramiento en caso contrario para evitar el riesgo.

TEMA 3 – Actividades

Asignatura Aspectos legales y regulatorios

Datos del alumno

Fecha

Apellidos: Martín Quílez 23/12/2015 Nombre: Alvaro

10. Deficiencias organizativas o técnicas en la gestión del control de accesos por parte de NO PROBLEM S.L., establecimiento de políticas estrictas de concesión de permisos, procedimientos de adecuados de revocación de los mismos cuando no sean necesarios e inventariado de los recursos que contengan datos personales para mitigar el riesgo. 11. Deficiencias en la protección de la confidencialidad de la información por parte de NO PROBLEM S.L., adoptar medidas de cifrado de los datos personales adecuadas al riesgo y al estado de la tecnología, establecer procedimientos de notificación a los afectados y a la autoridad de control cuando se produzca una quiebra en la seguridad para mitigar el riesgo.

Análisis de cumplimiento normativo Resumen general de cumplimiento Será de obligado cumplimiento la Ley Orgánica de Protección de Datos de la legislación española, así como otra cualquier otra ley que afecte al tratamiento de datos personales y medidas de seguridad.

Deficiencias detectadas y propuestas de solución N.A.

Conclusiones Análisis final En la presente guía se ha elaborado la evaluación de impacto de datos personales en el proyecto de migración de la aplicación de gestión de la empresa SW SYSTEMS S.L. a la nueva aplicación de la empresa NO PROBLEM S.L., realizando un análisis de los riesgos considerados y de las actuaciones a realizar para el tratamiento de los mismos. Asimismo se establecen una serie de recomendaciones sobre materia de protección de datos para el buen desarrollo del proyecto. El Data Protection Officer será el responsable de la buena marcha del proyecto en materia de datos personales y del cumplimiento de las obligaciones asignadas a cada una de las partes.

Recomendaciones del equipo responsable de la EIPD

TEMA 3 – Actividades

Asignatura Aspectos legales y regulatorios

Datos del alumno

Fecha

Apellidos: Martín Quílez 23/12/2015 Nombre: Alvaro

En el apartado de Identificación y gestión de riesgos se establece una serie de recomendaciones de obligado cumplimiento sobre la Evaluación de Impacto de Datos Personales para cada uno de los riesgos identificados.

Medidas técnicas que deben adoptarse en el diseño del proyecto para eliminar o evitar, mitigar, transferir o aceptar los riesgos para la privacidad En el apartado de Identificación y gestión de riesgos se establece una serie de medidas técnicas de obligado cumplimiento sobre la Evaluación de Impacto de Datos Personales para cada uno de los riesgos identificados.

Medidas organizativas que deben adoptarse en el diseño del proyecto para eliminar o evitar, mitigar, transferir o aceptar los riesgos para la privacidad En el apartado de Identificación y gestión de riesgos se establece una serie de medidas organizativas de obligado cumplimiento sobre la Evaluación de Impacto de Datos Personales para cada uno de los riesgos identificados.

TEMA 3 – Actividades