Upload
lehanh
View
219
Download
4
Embed Size (px)
Citation preview
Adquiere las habilidades y prepárate para demostrarlas
Presentación del curso 21 de septiembre de 2017
DPD: Adquiere las habilidades y prepárate para demostrarlas
Agenda
El Reglamento General de Protección de Datos (RGPD) ISACA y la Privacidad El Delegado de Protección de Datos Esquema AEPD - Certificación de DPD El Curso DPD: Adquiere las habilidades y prepárate para demostrarlas Preguntas y Respuestas
Reglamento General Protección de Datos (RGPD)
DPD: Adquiere las habilidades y prepárate para demostrarlas
Reglamento Europeo 2016/679, de 27 de abril, ya vigente y con fecha limite de implementación el 25 de mayo de 2018. Aplicación directa
Es muy relevante: sanciones administrativas: hasta 20M€/4%
Publicado el Anteproyecto de la nueva LOPD actualizado según GDPR
De declaración de ficheros a actividades de tratamiento
Datos de personas físicas vivas, Identificadas/Identificables y Residentes en la UE
Notificaciones de brechas de seguridad
Dos pilares básicos:
• Responsabilidad (pro) activa: garantizar el cumplimiento y poder demostrarlo
• Riesgos para los derechos y libertades
Reglamento General Protección de Datos (RGPD)
Interés legítimo como base jurídica para el tratamiento
Consentimiento explícito para tratamiento de datos, por tipología
Contrataciones: Detalle y Garantía suficiente
Análisis de Riesgo -> ¿Alto Riesgo? ->
• Evaluaciones de Impacto (PIA)
• Privacy by DESING & by DEFAULT
• Revisiones
• Sistema de Gestión de la Privacidad / Certificación
Figura del Delegado Protección de Datos (DPD o DPO)
Reglamento General Protección de Datos (RGPD)
ISACA y la Privacidad
DPD: Adquiere las habilidades y prepárate para demostrarlas - 2017
Ayudar a sus miembros a ser buenos profesionales
Adaptación al GDPR usando COBIT 5
Webinars sobre:
• Realización de PIA’s,
• Estrategia,
• Cómo afrontar este reto y ser exitoso,
• Cómo abordar la implantación del GDPR, …
CSX 2017 Europe. Sesiones específicas.
…
Curso de Delegado de Protección de Datos
ISACA y la PRIVACIDAD
Delegado Protección de Datos
DPD: Adquiere las habilidades y prepárate para demostrarlas
Obligatoriedad
Funciones
Requisitos
Incompatibilidades
Aclaraciones
Oportunidades
Delegado de Protección de Datos (DPD)
Delegado de Protección de Datos. Obligatoriedad
Delegado de Protección de Datos. Obligatoriedad
Delegado de Protección de Datos. Funciones
Delegado de Protección de Datos. Requisitos
Delegado de Protección de Datos. Obligatoriedad
DPD vs CISO
DPD vs Auditoría Interna
Certificación DPD
» No prevista en RGPD
» No obligatoria
Conocimiento de leyes y prácticas no requiere título universitario en Derecho
Cada organización es libre de designar a quien considere debidamente preparado
Delegado de Protección de Datos. Aclaraciones
Delegado de Protección de Datos. Oportunidades
Delegado de Protección de Datos. Obligatoriedad
Esquema AEPD/Certificación DPD
DPD: Adquiere las habilidades y prepárate para demostrarlas
1. Introducción
Con fecha 10 de julio de 2017, la AEPD publica documento específico con el detalle de las líneas generales
que van a regular el funcionamiento del Esquema de Certificación de Personas para la categoría de
«Delegado de Protección de Datos» recogida en la Sección 4 del Reglamento (UE) 2016/679.
La certificación de personas es una herramienta válida para la evaluación objetiva e imparcial de la
competencia de un individuo para realizada una actividad determinada.
La ulterior declaración pública efectuada por la entidad de certificación proporciona al mercado
una información útil y contrastada sobre los criterios aplicados a las personas para obtener la
certificación profesional.
La competencia técnica de las entidades de certificación, así como su alineamiento con los requisitos fijados
por el Esquema se consigue a través de su acreditación por parte de ENAC, de acuerdo a los requisitos de
normas internacionales para la certificación de personas (UNE-EN ISO/IEC 17024:2012).
La AEPD es propietaria del Esquema y, por tanto, se responsabiliza de su desarrollo y revisión a través del
Comité del Esquema de Certificación que, por otro lado, define los criterios relativos a las competencias
técnicas que las entidades de certificación deben demostrar frente a ENAC en el proceso de acreditación.
2. Agentes del Esquema de Certificación
Propietaria del Esquema de Certificación
Responsable de promover su desarrollo, revisión y validación continua.
Define los criterios de competencia técnica para entidades de certificación.
Entidad de Acreditación
Organismo único para la acreditación de las entidades de certificación que deseen
participar en el Esquema.
Entidad de Certificación
Ofrecen la certificación (exclusivamente bajo acreditación ENAC) para la categoría de
«Delegado de Protección de Datos».
Contarán con derechos de uso y para licenciar el uso de la «Marca de Conformidad»
(en adelante, «Marca del Esquema») a las personas certificadas.
2. Agentes del Esquema de Certificación
Candidatos al proceso de certificación como DPD
Cumplimiento de prerrequisitos (experiencia y formación).
Superación de la prueba de evaluación.
Entidad de Formación
Ofertan formación que satisfaga los prerrequisitos de la certificación.
▪ La AEPD podrá establecer un proceso público y no discriminatorio de
entidades de formación.
▪ Si fuera preciso, se publicarán los requisitos exigibles tanto a los cursos de
formación (contenido, duración y requisitos del personal formador), como a
las entidades de formación.
▪ Las entidades de certificación podrán ejercer una supervisión sobre las
entidades de formación.
3. Autorización de las Entidades de Certificación
La AEPD mantendrá un registro de las entidades de certificación autorizadas comunicadas por
ENAC.
Con el objeto de facilitar la adquisición de experiencia en el Esquema, las entidades de
certificación podrán solicitar y ser objeto de una designación provisional, no renovable y con
una vigencia máxima de un año.
Esta solicitud estará condicionada a la presentación de la solicitud de la acreditación a ENAC, y a la
superación favorable de la fase de revisión de solicitud.
Durante la validez de la designación provisional, la entidad de certificación no podrá
hacer uso alguno de las marcas del Esquema.
Si transcurrido un año desde la designación provisional la entidad no ha conseguido la acreditación
por parte de ENAC, dicha designación quedará extinguida.
4. Esquema de Certificación para DPD
Este esquema establece los requisitos de competencia para la persona que pretenda obtener la
certificación como DPD, de tal forma que cuando el proceso de evaluación por parte de la entidad
de certificación sea favorable, ésta pueda emitir una declaración de cumplimiento o certificado.
Perfil del Puesto de Delegado de Protección de Datos
El DPD es un profesional cuyas funciones se señalan en el artículo 39 del RGPD.
En base a las funciones expuestas en dicho artículo, la entidad de certificación evaluará
(contrastará) la experiencia profesional del candidato.
4. Esquema de Certificación para DPD
Prerrequisitos
Para acceder a la fase de evaluación, será necesario cumplir alguno de los siguientes prerrequisitos:
Justificar una experiencia profesional de, al menos, 5 años en proyectos y/o
actividades y tareas relacionadas con las funciones del DPD en materia de protección de
datos.
Justificar una experiencia profesional de, al menos, 3 años, y una formación mínima
recibida y/o impartida en entidades reconocidas, de 60 horas en relación con las
materias objeto del programa (estándar de contenidos).
Justificar una experiencia profesional de, al menos, 2 años, y una formación mínima
recibida y/o impartida en entidades reconocidas, de 100 horas en relación con las
materias objeto del programa (estándar de contenidos).
Justificar una formación mínima recibida y/o impartida en entidades reconocidas,
de 180 horas en relación con las materias objeto del programa (estándar de contenidos).
4. Esquema de Certificación para DPD
Estándar de contenidos LOPD o RD 1720/2007
Reglamento General de Protección de Datos (RGPD)
Delegado de Protección de Datos
Evaluación de Impacto de Protección de Datos
Privacidad por Diseño y por Defecto
Medidas de Seguridad
Auditorías de Seguridad y/o Protección de Datos
Entidad reconocida
Entidad de Formación
Ofertan formación que satisfaga los prerrequisitos de la certificación.
Se entiende por entidad reconocida las universidades, colegios
profesionales, asociaciones profesionales o instituciones
equivalentes (públicas o privadas)
Prerrequisitos
4. Esquema de Certificación para DPD
Condiciones de justificación de los prerrequisitos
La valoración de la formación y la experiencia exigida será la adquirida a partir del 25-05-2016
EXPERIENCIA
Deberá aportarse evidencia objetiva de la experiencia general y específica mediante declaración del
empleador o cliente, contrato de trabajo, etc.
Se valorará especialmente la experiencia en el tratamiento de datos personales de alto riesgo
con el doble de tiempo que los años de experiencia en el tratamiento de datos de riesgo no alto.
En el caso de que la experiencia no sea de un año completo, se valorará la experiencia que iguale o supere los
seis meses y se valorará como la mitad de la puntuación anual (30 puntos).
En el caso de no alcanzar la experiencia requerida se podrá convalidar hasta un año de experiencia
mediante convalidación de méritos adicionales (60 puntos).
FORMACIÓN
La formación impartida se valorará como el doble de horas de la formación recibida.
5. Método de Evaluación
La prueba de evaluación permitirá al candidato evidenciar que posee la competencia adecuada, es
decir, los conocimientos teóricos, la capacidad profesional y las habilidades personales necesarias
para llevar a cabo las tareas correspondientes a la actividad de Delegado de Protección de Datos.
Examen
Los contenidos a evaluar en el examen de la certificación están integrados en los siguientes dominios:
El 20% de las preguntas describirán un escenario práctico * (de carácter normativo, organizativo o
técnico).
5. Método de Evaluación
Examen
El examen consta de 150 preguntas tipo test, siendo necesario para su aprobación haber
superado el 75% y, un mínimo del 50% en cada uno de los dominios.
Las preguntas tendrán cuatro opciones de respuesta, de las cuales sólo una será válida.
Cada respuesta correcta contará como 1 punto.
No se puntúan las preguntas cuya respuesta se deja en blanco.
Para aprobar es necesario obtener una puntuación de, al menos, 112.5 puntos.
La duración del examen será de 4 horas.
Cada entidad de certificación llevará a cabo las convocatorias que estime oportunas, debiendo
comunicar su fecha de celebración a la AEPD con una antelación de tres meses.
El programa de evaluadores será seleccionado por cada entidad de certificación.
6. Criterios para la Certificación
Certificación inicial
1. Presentación de la siguiente documentación en la entidad de certificación:
Formulario de solicitud
Currículum detallado.
Documentación justificativa del cumplimiento de prerrequisitos (experiencia y
formación)
Justificación del abono de las tasas correspondientes
2. Revisión de documentación por parte de la entidad de certificación
Si la evaluación inicial no es correcta, se notificará por escrito tal circunstancia al
candidato, otorgando un plazo de 10 días para la posible subsanación.
Si no se procede a la subsanación se comunicará al afectado que no ha sido admitido.
Si la evaluación inicial es correcta, se notificará la admisión en la convocatoria
de la prueba de evaluación (fecha y centro de examen).
3. Superación del examen de evaluación
6. Criterios para la Certificación
Concesión del certificado
4. Firma de los siguientes documentos:
Código Ético
Normas de uso de la marca del certificado
Contrato de Cesión de Uso
5. Emisión del certificado
Este certificado tendrá una validez de tres años desde su fecha de concesión
Mantenimiento
En el caso de que durante el periodo de validez del certificado, se produjesen cambios
legislativos o tecnológicos que, a juicio del Comité del Esquema, hiciesen conveniente una
revisión o adaptación significativa del certificado concedido, se podrán establecer los criterios
adecuados para mantener la vigencia de los certificados ya concedidos.
6. Criterios para la Certificación
Renovación del certificado
El candidato deberá justificar el cumplimiento de los siguientes requisitos:
1. Un mínimo de 60 horas de formación recibida y/o impartida en entidades reconocidas,
durante los tres años de validez del certificado, con un mínimo anual de 15 horas, en
materias objeto del examen de certificación como DPD (estándar de contenidos).
2. Al menos, un año de experiencia profesional en proyectos y/o actividades y tareas
relacionadas con las funciones del DPD, evidenciada por tercera parte (empleador o similar).
Se valorará la formación impartida con el doble de horas que la formación recibida.
La renovación habrá de solicitarse con anterioridad a la fecha de vencimiento del periodo de validez del
certificado. No obstante, la entidad de certificación notificará a la persona certificada el final del periodo de
validez con una antelación mínima de 3 meses.
La entidad de certificación procederá a la evaluación del cumplimiento de requisitos y, si procede, renovará
la certificación. En otro caso, suspenderá la certificación por un periodo de 90 días y, si no se ha subsanado
la deficiencia, procederá a la retirada del certificado.
Curso
Delegado Protección de Datos
DPD: Adquiere las habilidades y prepárate para demostrarlas
Adquiere las habilidades y prepárate para demostrarlas
Estructura de unidades
Aproximación y metodología docente
Formato y Calendario
Curso Delegado de Protección de Datos
Objetivo del curso: Adquirir las habilidades requeridas a un DPD, que permitan optar a tal puesto y llevarlo a buen término con garantías razonables
Permitir a un “ISACO” adquirir los conocimientos especializados de derecho de PD
Permitir refrescar los aspectos de seguridad y auditoría asociados a PD
Efectuar prácticas suficientes que vayan más allá del plano puramente teórico y que permitan, en su caso, demostrar las habilidades adquiridas
Adquiere las habilidades y prepárate para demostrarlas
Estructura del curso
Componentes ajustados al Esquema AEPD/ENAC) – 44 hs. – Dom. 1: Normativa general de protección de datos (50%)
– Dom. 2: Responsabilidad activa (30%)
– Dom. 3: Técnicas para garantizar el cumplimiento de PD, etc. (20%)
– Dom. Práctico
Componentes complementarios a los dominios – 16 hs. – Módulo ejecutivo
– Módulo(s) de programa de gestión de la protección de datos personales
Componentes complementarios de experiencia y otros – 40 hs.
Total: 100 horas
Componentes ajustados al Esquema AEPD/ENAC
Dominio Contenido Duración
Dominio 1:
NORMATIVA GENERAL DE
PROTECCIÓN DE DATOS (50%)
Cumplimiento normativo del reglamento europeo, normativa
nacional, directiva europea sobre e-Privacy. Directrices y guías del
GT art. 29, etc. 16 h
Dominio 2:
RESPONSABILIDAD ACTIVA (30%)
Evaluación y gestión de riesgos de tratamientos de datos
personales ; evaluación de impacto de protección de datos,
protección de datos desde el diseño, protección de datos por
defecto, etc.
16 h Dominio 3:
TÉCNICAS PARA GARANTIZAR EL
CUMPLIM. NORMATIVA DE
PROTECCIÓN DE DATOS Y OTROS
CONOCIMIENTOS (20%)
Auditorías de seguridad, auditorías de protección de datos, etc.
Dominio Práctico Módulo de prácticas, incl. ejercicios tests de evaluación de
aprendizaje, de prueba (ISACA Madrid)
(preguntas/respuestas reducidas, preparadas por ISACA Madrid)
12h
Subtotal 44 hs
Estructura del curso
Componentes complementarios a los dominios
Dominio Contenido Duración
Módulo Ejecutivo De introducción a los cambios derivados del
nuevo Reglamento, orientado a gestores y
directores., así como orientado a efectuar la
introducción a gestores y directores.
4 h
Módulo(s) de programa de gestión de la
protección de datos personales
Programa de gestión orientado a la concepción y
operación de un sistema de gestión certificable.
12 h
Subtotal 16 h
Total 60 hs
Estructura del curso
Componentes complementarios de experiencia y otros
Dominio Contenido Duración
Transferencias Internacionales Cambio derivados del GDPR en las
Transferencias Internacionales
12h
Transformación Digital Cloud Computing, IoT, Bit Data y realization de
perfiles, smartphones, Blockchain, …
12h
Dominio Práctico en Evaluación de Riesgo Realización de Evaluaciones de Impacto
16h
Subtotal 40 hs
Total 100 hs
Estructura del curso
Estructura
Carlos Bachmaier
Área conceptual
• Se recorrerán todos los puntos definidos en el Esquema (Dom 1, 2 y 3) – No se mostraran literalmente los puntos de las normativas, se hará una presentación sintética-
esquemática, incluyendo los aspectos normativos y puntos de atención y complementarios especiales.
• Mixta-teórico práctica en los Dominios 1, 2 y 3
1. Se presentará una organización empleada de base para todo el curso 2. Cada punto presentado llevará aparejado el elemento correspondiente de la organización
modelo
Área práctica
11/09/2017
Aproximación y metodología docente
Pendiente de indicaciones de interés
Opción 1: Dominio 1 + Dominio 2 + Dominio 3 + Dominio Práctico -> 44 horas
Opción 2: Opción 1 + Mod. Ejecutivo + Mod. Gestión Datos Personales -> 60 horas
Opción 3: Opción 2 + Transfer. Inter. + Transfor. Digital + Dom.Pract. Riesgo -> 100 horas
Formato y Calendario
Tardes de Viernes + Mañanas de Sábados = 10 horas semanales
Comienzo en el 2017 | ¿Retraso Dominio Práctico?
– Intensivos Viernes = 5 horas semanales
– Intensivo L a S = 44 horas semanales
Repeticiones del curso según demanda
Posible saturación de alumnos en 2018
Formato y Calendario
Preguntas y Respuestas
DPD: Adquiere las habilidades y prepárate para demostrarlas
ANEXO:
Análisis de Riesgos
DPD: Adquiere las habilidades y prepárate para demostrarlas
No se definen niveles ni de riesgo ni de protección
Análisis de riesgos
Evaluación de Impacto
GUIA AEPD 2014