Análisis y gestión del riesgo en el tratamiento de datos: Las Guías para una Evaluación de Impacto en la Protección de Datos Personales 3er. Congreso Internacional de Protección de Datos Medellín, 28 y 29 de mayo de 2015 JOSE LUIS RODRIGUEZ ALVAREZ DIRECTOR AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Agencia Española de Protección de Datos 1 Entorno de riesgo creciente • Sociedades altamente tecnologizadas y globalizadas • Cada día nuevos productos y servicios que usan intensivamente datos personales • Crecimiento exponencial volumen de información • Se multiplican las capacidades de uso de la información con fines diversos • Aumento de posibilidades explotación comercial y el valor económico de los datos • Incremento de los riesgos para la privacidad • Pérdida de capacidad de autodeterminación de los individuos: más posibilidades de pérdida de control sobre información personal. Agencia Española de Protección de Datos 2 Nuevas necesidades Reforzar los derechos de los ciudadanos, actualizar legislaciones Complementar planteamientos tradicionales. Nuevos enfoques preventivos Fortalecer la “accountability” Implantar “Privacy by Design” Evaluaciones de Impacto en la Protección de Datos (Privacy Impact Assessment) Agencia Española de Protección de Datos 3 Evaluciones de Impacto EIPD (PIAs): son un análisis de riesgos y un plan de gestión Desarrollado países anglosajones. En algunos casos es obligatorio Mayoría países europeos no existe obligación legal Nuevo Reglamento General de Protección de Datos: “riesgos específicos para los derechos y libertades de los ciudadanos” Lista de tratamientos, ampliable por las Autoridades Agencia Española de Protección de Datos 4 Evaluciones de Impacto Metodología madura, incorporable aunque no exista obligación Claros beneficios: Ahorro costes económicos, reputacionales derivados de riesgos previsibles Mejora políticas y prácticas protección datos de las organizaciones Mejor protección AEPD más confianza clientes y usuarios Promover la realización de EIPD Elaborar Guía para facilitar realización Agencia Española de Protección de Datos 5 La Guía EIPD www.agpd.es Agencia Española de Protección de Datos 6 La Guía EIPD Elaboración participativa: consulta pública Marco flexible Modelo estructurado Adaptable a características organizaciones Posibilidad de guías sectoriales Agencia Española de Protección de Datos 7 Aspectos generales Proceso sistemático de evaluación para identificar y eliminar riesgos Más allá de evaluación cumplimento normativo Substancial y no sólo formal Reglado y estructurado Reproducible y verificable Inicio en fase temprana Publicidad (parcial) conclusiones Agencia Española de Protección de Datos 8 Fases Análisis de Necesidad Identificación de Riesgos Gestión de Riesgos Agencia Española de Protección de Datos 9 Análisis de necesidad Análisis de Necesidad Identificación de Riesgos Gestión de Riesgos Agencia Española de Protección de Datos 10 Identificación de riesgos Análisis de Necesidad Identificación de Riesgos Gestión de Riesgos Agencia Española de Protección de Datos 11 Gestión de riesgos Análisis de Necesidad Identificación de Riesgos Gestión de Riesgos Agencia Española de Protección de Datos 12 Ciclo de Deming Agencia Española de Protección de Datos 13 Muchas gracias director@agpd.es Agencia Española de Protección de Datos 14