Adquiere las habilidades y prepárate para demostrarlas Adquiere las habilidades y prepárate para demostrarlas Agenda El Reglamento General de Protección de Datos (RGPD) ISACA y

Adquiere las habilidades y prepárate para demostrarlas

Presentación del curso 21 de septiembre de 2017

DPD: Adquiere las habilidades y prepárate para demostrarlas

Agenda

El Reglamento General de Protección de Datos (RGPD) ISACA y la Privacidad El Delegado de Protección de Datos Esquema AEPD - Certificación de DPD El Curso DPD: Adquiere las habilidades y prepárate para demostrarlas Preguntas y Respuestas

Reglamento General Protección de Datos (RGPD)


Reglamento Europeo 2016/679, de 27 de abril, ya vigente y con fecha limite de implementación el 25 de mayo de 2018. Aplicación directa

Es muy relevante: sanciones administrativas: hasta 20M€/4%

Publicado el Anteproyecto de la nueva LOPD actualizado según GDPR

De declaración de ficheros a actividades de tratamiento

Datos de personas físicas vivas, Identificadas/Identificables y Residentes en la UE

Notificaciones de brechas de seguridad

Dos pilares básicos:

• Responsabilidad (pro) activa: garantizar el cumplimiento y poder demostrarlo

• Riesgos para los derechos y libertades


Interés legítimo como base jurídica para el tratamiento

Consentimiento explícito para tratamiento de datos, por tipología

Contrataciones: Detalle y Garantía suficiente

Análisis de Riesgo -> ¿Alto Riesgo? ->

• Evaluaciones de Impacto (PIA)

• Privacy by DESING & by DEFAULT

• Revisiones

• Sistema de Gestión de la Privacidad / Certificación

Figura del Delegado Protección de Datos (DPD o DPO)


ISACA y la Privacidad

DPD: Adquiere las habilidades y prepárate para demostrarlas - 2017

Ayudar a sus miembros a ser buenos profesionales

Adaptación al GDPR usando COBIT 5

Webinars sobre:

• Realización de PIA’s,

• Estrategia,

• Cómo afrontar este reto y ser exitoso,

• Cómo abordar la implantación del GDPR, …

CSX 2017 Europe. Sesiones específicas.

…

Curso de Delegado de Protección de Datos

ISACA y la PRIVACIDAD

Delegado Protección de Datos


Obligatoriedad

Funciones

Requisitos

Incompatibilidades

Aclaraciones

Oportunidades

Delegado de Protección de Datos (DPD)

Delegado de Protección de Datos. Obligatoriedad


Delegado de Protección de Datos. Funciones

Delegado de Protección de Datos. Requisitos


DPD vs CISO

DPD vs Auditoría Interna

Certificación DPD

» No prevista en RGPD

» No obligatoria

Conocimiento de leyes y prácticas no requiere título universitario en Derecho

Cada organización es libre de designar a quien considere debidamente preparado

Delegado de Protección de Datos. Aclaraciones

Delegado de Protección de Datos. Oportunidades


Esquema AEPD/Certificación DPD


1. Introducción

Con fecha 10 de julio de 2017, la AEPD publica documento específico con el detalle de las líneas generales

que van a regular el funcionamiento del Esquema de Certificación de Personas para la categoría de

«Delegado de Protección de Datos» recogida en la Sección 4 del Reglamento (UE) 2016/679.

La certificación de personas es una herramienta válida para la evaluación objetiva e imparcial de la

competencia de un individuo para realizada una actividad determinada.

La ulterior declaración pública efectuada por la entidad de certificación proporciona al mercado

una información útil y contrastada sobre los criterios aplicados a las personas para obtener la

certificación profesional.

La competencia técnica de las entidades de certificación, así como su alineamiento con los requisitos fijados

por el Esquema se consigue a través de su acreditación por parte de ENAC, de acuerdo a los requisitos de

normas internacionales para la certificación de personas (UNE-EN ISO/IEC 17024:2012).

La AEPD es propietaria del Esquema y, por tanto, se responsabiliza de su desarrollo y revisión a través del

Comité del Esquema de Certificación que, por otro lado, define los criterios relativos a las competencias

técnicas que las entidades de certificación deben demostrar frente a ENAC en el proceso de acreditación.

2. Agentes del Esquema de Certificación

Propietaria del Esquema de Certificación

Responsable de promover su desarrollo, revisión y validación continua.

Define los criterios de competencia técnica para entidades de certificación.

Entidad de Acreditación

Organismo único para la acreditación de las entidades de certificación que deseen

participar en el Esquema.

Entidad de Certificación

Ofrecen la certificación (exclusivamente bajo acreditación ENAC) para la categoría de

«Delegado de Protección de Datos».

Contarán con derechos de uso y para licenciar el uso de la «Marca de Conformidad»

(en adelante, «Marca del Esquema») a las personas certificadas.

2. Agentes del Esquema de Certificación

Candidatos al proceso de certificación como DPD

Cumplimiento de prerrequisitos (experiencia y formación).

Superación de la prueba de evaluación.

Entidad de Formación

Ofertan formación que satisfaga los prerrequisitos de la certificación.

▪ La AEPD podrá establecer un proceso público y no discriminatorio de

entidades de formación.

▪ Si fuera preciso, se publicarán los requisitos exigibles tanto a los cursos de

formación (contenido, duración y requisitos del personal formador), como a

las entidades de formación.

▪ Las entidades de certificación podrán ejercer una supervisión sobre las

entidades de formación.

3. Autorización de las Entidades de Certificación

La AEPD mantendrá un registro de las entidades de certificación autorizadas comunicadas por

ENAC.

Con el objeto de facilitar la adquisición de experiencia en el Esquema, las entidades de

certificación podrán solicitar y ser objeto de una designación provisional, no renovable y con

una vigencia máxima de un año.

Esta solicitud estará condicionada a la presentación de la solicitud de la acreditación a ENAC, y a la

superación favorable de la fase de revisión de solicitud.

Durante la validez de la designación provisional, la entidad de certificación no podrá

hacer uso alguno de las marcas del Esquema.

Si transcurrido un año desde la designación provisional la entidad no ha conseguido la acreditación

por parte de ENAC, dicha designación quedará extinguida.

4. Esquema de Certificación para DPD

Este esquema establece los requisitos de competencia para la persona que pretenda obtener la

certificación como DPD, de tal forma que cuando el proceso de evaluación por parte de la entidad

de certificación sea favorable, ésta pueda emitir una declaración de cumplimiento o certificado.

Perfil del Puesto de Delegado de Protección de Datos

El DPD es un profesional cuyas funciones se señalan en el artículo 39 del RGPD.

En base a las funciones expuestas en dicho artículo, la entidad de certificación evaluará

(contrastará) la experiencia profesional del candidato.


Prerrequisitos

Para acceder a la fase de evaluación, será necesario cumplir alguno de los siguientes prerrequisitos:

Justificar una experiencia profesional de, al menos, 5 años en proyectos y/o

actividades y tareas relacionadas con las funciones del DPD en materia de protección de

datos.

Justificar una experiencia profesional de, al menos, 3 años, y una formación mínima

recibida y/o impartida en entidades reconocidas, de 60 horas en relación con las

materias objeto del programa (estándar de contenidos).

Justificar una experiencia profesional de, al menos, 2 años, y una formación mínima

recibida y/o impartida en entidades reconocidas, de 100 horas en relación con las

materias objeto del programa (estándar de contenidos).

Justificar una formación mínima recibida y/o impartida en entidades reconocidas,

de 180 horas en relación con las materias objeto del programa (estándar de contenidos).


Estándar de contenidos LOPD o RD 1720/2007

Reglamento General de Protección de Datos (RGPD)

Delegado de Protección de Datos

Evaluación de Impacto de Protección de Datos

Privacidad por Diseño y por Defecto

Medidas de Seguridad

Auditorías de Seguridad y/o Protección de Datos

Entidad reconocida

Entidad de Formación

Ofertan formación que satisfaga los prerrequisitos de la certificación.

Se entiende por entidad reconocida las universidades, colegios

profesionales, asociaciones profesionales o instituciones

equivalentes (públicas o privadas)

Prerrequisitos


Condiciones de justificación de los prerrequisitos

La valoración de la formación y la experiencia exigida será la adquirida a partir del 25-05-2016

EXPERIENCIA

Deberá aportarse evidencia objetiva de la experiencia general y específica mediante declaración del

empleador o cliente, contrato de trabajo, etc.

Se valorará especialmente la experiencia en el tratamiento de datos personales de alto riesgo

con el doble de tiempo que los años de experiencia en el tratamiento de datos de riesgo no alto.

En el caso de que la experiencia no sea de un año completo, se valorará la experiencia que iguale o supere los

seis meses y se valorará como la mitad de la puntuación anual (30 puntos).

En el caso de no alcanzar la experiencia requerida se podrá convalidar hasta un año de experiencia

mediante convalidación de méritos adicionales (60 puntos).

FORMACIÓN

La formación impartida se valorará como el doble de horas de la formación recibida.

5. Método de Evaluación

La prueba de evaluación permitirá al candidato evidenciar que posee la competencia adecuada, es

decir, los conocimientos teóricos, la capacidad profesional y las habilidades personales necesarias

para llevar a cabo las tareas correspondientes a la actividad de Delegado de Protección de Datos.

Examen

Los contenidos a evaluar en el examen de la certificación están integrados en los siguientes dominios:

El 20% de las preguntas describirán un escenario práctico * (de carácter normativo, organizativo o

técnico).

5. Método de Evaluación

Examen

El examen consta de 150 preguntas tipo test, siendo necesario para su aprobación haber

superado el 75% y, un mínimo del 50% en cada uno de los dominios.

Las preguntas tendrán cuatro opciones de respuesta, de las cuales sólo una será válida.

Cada respuesta correcta contará como 1 punto.

No se puntúan las preguntas cuya respuesta se deja en blanco.

Para aprobar es necesario obtener una puntuación de, al menos, 112.5 puntos.

La duración del examen será de 4 horas.

Cada entidad de certificación llevará a cabo las convocatorias que estime oportunas, debiendo

comunicar su fecha de celebración a la AEPD con una antelación de tres meses.

El programa de evaluadores será seleccionado por cada entidad de certificación.

6. Criterios para la Certificación

Certificación inicial

1. Presentación de la siguiente documentación en la entidad de certificación:

Formulario de solicitud

Currículum detallado.

Documentación justificativa del cumplimiento de prerrequisitos (experiencia y

formación)

Justificación del abono de las tasas correspondientes

2. Revisión de documentación por parte de la entidad de certificación

Si la evaluación inicial no es correcta, se notificará por escrito tal circunstancia al

candidato, otorgando un plazo de 10 días para la posible subsanación.

Si no se procede a la subsanación se comunicará al afectado que no ha sido admitido.

Si la evaluación inicial es correcta, se notificará la admisión en la convocatoria

de la prueba de evaluación (fecha y centro de examen).

3. Superación del examen de evaluación


Concesión del certificado

4. Firma de los siguientes documentos:

Código Ético

Normas de uso de la marca del certificado

Contrato de Cesión de Uso

5. Emisión del certificado

Este certificado tendrá una validez de tres años desde su fecha de concesión

Mantenimiento

En el caso de que durante el periodo de validez del certificado, se produjesen cambios

legislativos o tecnológicos que, a juicio del Comité del Esquema, hiciesen conveniente una

revisión o adaptación significativa del certificado concedido, se podrán establecer los criterios

adecuados para mantener la vigencia de los certificados ya concedidos.


Renovación del certificado

El candidato deberá justificar el cumplimiento de los siguientes requisitos:

1. Un mínimo de 60 horas de formación recibida y/o impartida en entidades reconocidas,

durante los tres años de validez del certificado, con un mínimo anual de 15 horas, en

materias objeto del examen de certificación como DPD (estándar de contenidos).

2. Al menos, un año de experiencia profesional en proyectos y/o actividades y tareas

relacionadas con las funciones del DPD, evidenciada por tercera parte (empleador o similar).

Se valorará la formación impartida con el doble de horas que la formación recibida.

La renovación habrá de solicitarse con anterioridad a la fecha de vencimiento del periodo de validez del

certificado. No obstante, la entidad de certificación notificará a la persona certificada el final del periodo de

validez con una antelación mínima de 3 meses.

La entidad de certificación procederá a la evaluación del cumplimiento de requisitos y, si procede, renovará

la certificación. En otro caso, suspenderá la certificación por un periodo de 90 días y, si no se ha subsanado

la deficiencia, procederá a la retirada del certificado.

Curso

Delegado Protección de Datos



Estructura de unidades

Aproximación y metodología docente

Formato y Calendario

Curso Delegado de Protección de Datos

Objetivo del curso: Adquirir las habilidades requeridas a un DPD, que permitan optar a tal puesto y llevarlo a buen término con garantías razonables

Permitir a un “ISACO” adquirir los conocimientos especializados de derecho de PD

Permitir refrescar los aspectos de seguridad y auditoría asociados a PD

Efectuar prácticas suficientes que vayan más allá del plano puramente teórico y que permitan, en su caso, demostrar las habilidades adquiridas


Estructura del curso

Componentes ajustados al Esquema AEPD/ENAC) – 44 hs. – Dom. 1: Normativa general de protección de datos (50%)

– Dom. 2: Responsabilidad activa (30%)

– Dom. 3: Técnicas para garantizar el cumplimiento de PD, etc. (20%)

– Dom. Práctico

Componentes complementarios a los dominios – 16 hs. – Módulo ejecutivo

– Módulo(s) de programa de gestión de la protección de datos personales

Componentes complementarios de experiencia y otros – 40 hs.

Total: 100 horas

Componentes ajustados al Esquema AEPD/ENAC

Dominio Contenido Duración

Dominio 1:

NORMATIVA GENERAL DE

PROTECCIÓN DE DATOS (50%)

Cumplimiento normativo del reglamento europeo, normativa

nacional, directiva europea sobre e-Privacy. Directrices y guías del

GT art. 29, etc. 16 h

Dominio 2:

RESPONSABILIDAD ACTIVA (30%)

Evaluación y gestión de riesgos de tratamientos de datos

personales ; evaluación de impacto de protección de datos,

protección de datos desde el diseño, protección de datos por

defecto, etc.

16 h Dominio 3:

TÉCNICAS PARA GARANTIZAR EL

CUMPLIM. NORMATIVA DE

PROTECCIÓN DE DATOS Y OTROS

CONOCIMIENTOS (20%)

Auditorías de seguridad, auditorías de protección de datos, etc.

Dominio Práctico Módulo de prácticas, incl. ejercicios tests de evaluación de

aprendizaje, de prueba (ISACA Madrid)

(preguntas/respuestas reducidas, preparadas por ISACA Madrid)

12h

Subtotal 44 hs


Componentes complementarios a los dominios


Módulo Ejecutivo De introducción a los cambios derivados del

nuevo Reglamento, orientado a gestores y

directores., así como orientado a efectuar la

introducción a gestores y directores.

4 h

Módulo(s) de programa de gestión de la

protección de datos personales

Programa de gestión orientado a la concepción y

operación de un sistema de gestión certificable.

12 h

Subtotal 16 h

Total 60 hs


Componentes complementarios de experiencia y otros


Transferencias Internacionales Cambio derivados del GDPR en las

Transferencias Internacionales

12h

Transformación Digital Cloud Computing, IoT, Bit Data y realization de

perfiles, smartphones, Blockchain, …

12h

Dominio Práctico en Evaluación de Riesgo Realización de Evaluaciones de Impacto

16h

Subtotal 40 hs

Total 100 hs


Estructura

Carlos Bachmaier

Área conceptual

• Se recorrerán todos los puntos definidos en el Esquema (Dom 1, 2 y 3) – No se mostraran literalmente los puntos de las normativas, se hará una presentación sintética-

esquemática, incluyendo los aspectos normativos y puntos de atención y complementarios especiales.

• Mixta-teórico práctica en los Dominios 1, 2 y 3

1. Se presentará una organización empleada de base para todo el curso 2. Cada punto presentado llevará aparejado el elemento correspondiente de la organización

modelo

Área práctica

11/09/2017

Aproximación y metodología docente

Pendiente de indicaciones de interés

Opción 1: Dominio 1 + Dominio 2 + Dominio 3 + Dominio Práctico -> 44 horas

Opción 2: Opción 1 + Mod. Ejecutivo + Mod. Gestión Datos Personales -> 60 horas

Opción 3: Opción 2 + Transfer. Inter. + Transfor. Digital + Dom.Pract. Riesgo -> 100 horas


Tardes de Viernes + Mañanas de Sábados = 10 horas semanales

Comienzo en el 2017 | ¿Retraso Dominio Práctico?

– Intensivos Viernes = 5 horas semanales

– Intensivo L a S = 44 horas semanales

Repeticiones del curso según demanda

Posible saturación de alumnos en 2018


Preguntas y Respuestas


ANEXO:

Análisis de Riesgos


No se definen niveles ni de riesgo ni de protección

Análisis de riesgos

Evaluación de Impacto

GUIA AEPD 2014

Contacto

ISACA Madrid Chapter

[email protected]

mailto:[email protected]

Documents

Adquiere las habilidades y prepárate para demostrarlas Adquiere las habilidades y prepárate para demostrarlas Agenda El Reglamento General de Protección de Datos (RGPD) ISACA y