GDPR: What’s going on?

GPDR 360ºMaria Eugenia Sánchez MillánCISA Lead Auditor & GDPR Compliance consultors en NecsiaRafael Navarro SánchezCISA Lead Auditor & GDPR Compliance consultors en Necsia

AGENDA

Aproximación legal a la GDPR

Xavier RibasAbogado Compliance

9.30 – 10.00h

10.00-10.30h

Descubrir: GDPR Inventory – ¿Conoces dónde se pierden los datos?Carlos de la InsuaSoftcare Managing Director

10.30-11.00h

COFFEE BREAK 11.30h

Bienvenida Ramon Planas, Director General de Necsia

9.20-9.30h

Microsoft Secure (GDPR Approach)Miguel Ángel Cervera, Security & Compliance Business Development (Microsoft)Maureen Manubens, Channel Marketing Manager (Microsoft)

AGENDA

12.00h-12.30h

Observe IT: Detección real del tiempo y análisis de actividades riesgosas de usuario para predecir y prevenir infraccionesAmir Yampel, Business Development – Identify and eliminate user basedrisks &GDPR en Observe IT

Observe IT demo (Data Loss Prevention & Comply with Rapid 72-Hour Post-Incident Forensics).Amir Yampel, Business Development – Identify and eliminate user basedrisks &GDPR en Observe IT

12.30-13.30h

COCKTAIL NETWORKING – SORTEO DRON13.30h

Ramon PlanasDirector General de Necsia

GDPR: What’s going on?

www.necsia.es

Bienvenida

Nuestra compañía

Q U I É N E S S O M O S

Crecimiento sostenido del 20%durante los últimos cuatroaños.

CAPITAL ESPAÑOL

FUNDADA EN 2005Más de 10 años de solvenciacontrastada en el sector ITespañol. Presencia en cuentasIBEX-35

PROFESIONALESProfesionales contrastados concertificaciones.Personas comprometidas conlos valores de Necsia

100%

2005

300

D Ó N D E E S TA M O S

BARCELONA MADRID

SANTIAGO DE CHILE LIMA CIUDAD DE MÉXICO

I N N O VA C I Ó N

S O C I O S

PEDRO FONTANA

Presidente

MIGUEL PLANAS

Vicepresidenteejecutivo

RAMON PLANAS

DirectorGeneral

3

CIUDAD DE PANAMÁ

BA N C A y S EG U R O S U T I L I T I E S y A A P P I N D U S T R I A y S E R V I C I O S

Nuestros clientes

Necsia es el tipo de compañía que sabe entender las oportunidades que la

tecnología aporta en cada momento.

- Banco Sabadell -

Necsia demuestra siempre e implicación y profesionalidad,

aportando su experiencia y conocimiento en los proyectos

de la Oficina Técnica de Seguridad.

- Vueling -

Es una empresa próxima y capaz de entender todos

nuestros problemas.

- CIRSA -

Trabajamos con Necsia, entre todos los motivos,

por su flexibilidad.

- Grupo Agbar -

El equipo de Necsia está formado por personas de confianza y

honestidad que transmiten todo su conocimiento y calidad de

servicios en cada uno de nuestros proyectos.

- CaixaBank -

ESPECIALIZACIÓNFLEXIBIL IDAD INNOVACIÓN

6

Nuestros servicios

FLEXIBILIDAD | INNOVACIÓN | ESPECIALIZACIÓN

7

8

Necsia Cybersecurity Center

ComplianceNecsia

Academy

SecurityInfraestructure

Auditoría

ServiciosEspecializados

HACKING ÉTICO INFRAESTRUCTURAWEB, APPs e IoT

SIEMAPT REDAPT ENDPOINTNG HONEYPOTNG FIREWALLNACMDM

OTSEXPERTOS EN

CIBERSEGURIDAD

PLANOS DE CONCIENCIACIÓNCURSOS ON-LINE

(E-LEARNING)

CURSOS PRESENCIALES APP DE CONCIENCIACIÓN

ProSOC

Managed Detection & Response

9

MicrosoftSecure Platform

SEGURIDAD LÓGICA(ISO27001, NIST, ENS)

AUDITORIAS(ISO27001, GDPR, PCI-DSS)

GESTIÓN DE RIESGOS Y DE TERCEROS

MSSP

IDENTIDADAPLICACIONES Y DATOS

DISPOSITIVOSINFRAESTRUCTURA

SOC-AS-A-SERVICEACTIVE DEFENSETHREAT INTELLIGENCESIEM-AS-A-SERVICE

DEVICE MANAGEMENTSECURITY TECHNICAL SUPPORTVULNERABILITY ASSESMENT

Maria Eugenia Sánchez Millán | m.sanchez@necsia.esCISA Lead Auditor & GDPR Compliance consultors en Necsia

Rafael Navarro Sánchez | r.navarro@necsia.esCISA Lead Auditor & GDPR Compliance consultors en Necsia

GDPR: What’s going on?

www.necsia.es

GDPR 360º

¿Cómo afrontar la GDPR?

GDPR360º

ASESORAR DESCUBRIR

GESTIONAR

PROTEGER

REPORTAR

GDPR Product Mapping

Normativas aún vigentes:

‒ Directiva 95/46/CE de octubre de 1995‒ En España: Ley Orgánica 15/1999 de

Protección de Datos de Carácter Personal.

Antecedentes: Adaptarse al desarrollo tecnológico

El nuevo Reglamento viene motivado por lanecesidad de renovar una ley obsoleta frutode una joven UE. El desarrollo tecnológico yevolución de Internet han ocasionado que nosencontremos ante cierta desprotección sobre:

DATOS PERSONALES

DE NAVEGACIÓNDESARROLLO CLOUD REDES SOCIALES

DISPOSITIVOS MÓVILES Y GEOLOCALIZACIÓN

BIG DATA EVOLUCIÓN DEL

E-COMMERCE

Tratamientos

Categorías modificadasLos datos especialmente protegidos por la ley son:

Los datos personales son aquellos que contienen información que permite identificar a una persona inequívocamente.

Afecta a todas las empresas del mundo que procesen datos de residentes de la UE.

LOPD Vs GDPR

En la nueva normativa sólo se habla del concepto tratamiento(incluido en el fichero como un tratamiento más).

Además, se cuenta con una mayor flexibilidad dado que hay quetener los tratamientos a disposición de la Autoridad de Control enlugar de notificar a la Agencia Española.

LOPD Vs GDPR: Sanciones por incumplimiento

Simulación por incumplimiento

*Valores expresados en millones de euros

Simulación empresas IBEX 35

VS

¿Y el riesgo reputacional?

Entrada en vigor

El Reglamento será aplicable a partir del 25 de mayo de 2018.

El Reglamento fue publicado en el Diario Oficial de laUnión Europea el 4 de mayo, y tras los 20 días de supublicación, entró en vigor el día 25 de mayo de 2016.

Obligaciones

PROTECCIÓN DE DATOS DESDE EL DISEÑO Y POR DEFECTO

NOTIFICACIÓN A LA AUTORIDAD DE CONTROL

REGISTRO DE ACTIVIDADES DE TRATAMIENTO

CÓDIGO DE CONDUCTA Y CERTIFICACIONES

• La adhesión al código de conducta

• Mecanismo de certificación, sellos ymarcas de protección de datos

A disposición de la Autoridad de Control. Aplicaa entidades a partir de 250 empleados ocuando:

- Tratamiento sea continuado

- Entraña riesgo a las libertades

- Categorías especiales

- Condena e infracciones penales

• Esta medida debe aplicarse antes,durante y hasta el fin del tratamiento

ELECCIÓN DEL ENCARGADO

EVALUACIÓN DEL NIVEL DE SEGURIDAD

Los Responsables deben aplicar medidas técnicas, legales yorganizativas apropiadas a fin de garantizar el tratamientoconforme el GDPR.

• Este debe ofrecer garantías suficientes paraaplicar las mismas medidas técnicas, legalesy organizativas del Responsable

Derechos de los interesados

Plazo para atender los derechos:

‒ Un mes a partir de la recepción de la solicitud.

‒ Prorrogable otros dos meses en caso necesario según la complejidad y el número desolicitudes.

‒ En caso de no atender la solicitud, el interesado podrá presentar una reclamación a laautoridad de control y ejercitar acciones judiciales.

RECLAMACIÓN ALA AUTORIDAD DECONTROL

RENOVACIÓNDEL CONSENTIMIENTOEXPLÍCITO

Figuras claves en GDPR

RESPONSABLE

DEL TRATAMIENTO

• Establece los plazos de supresión yrevisión de los datos.

• Debe demostrar que el interesado hadado su consentimiento para laoperación del tratamiento.

• Aplica medidas técnicas, legales yorganizativas apropiadas a fin degarantizar y poder demostrar que eltratamiento es conforme.

ENCARGADO

DEL TRATAMIENTO

• Asiste al Responsable de Tratamiento

• Informa de cualquier cambio osustitución de los responsables(terceros).

• Trata los datos en base a lasinstrucciones del Responsable

• Pone a disposición del Responsableel Cumplimiento de las obligacionesestablecidas.

DATA PROTECTION

OFFICER (DPO)

Junto con CIO y CISO, el DPO esla figura que vela por elcumplimiento correcto de lasleyes de la misma forma quetiene la misión principal deadaptar la nueva normativacon la máxima precisión dentrode la compañía. Entre susprincipales responsabilidadesse encuentran:

Nuevas figuras en la empresa:

• Informar, aconsejar, documentar y dar respuesta sobre las obligaciones de la empresa.

Cuando el tratamiento lo realice una autoridad u organismo público (excepto los tribunales)

• Controlar y monitorizar la implementación y aplicación de las políticas así como laformación de la organización en administración de datos.

• Documentar qué son los datos personales, quién los ha recogido dentro de laempresa, dónde, mediante qué entidad o colaborador y qué finalidad.

• Velar por la transacción de los datos dentro o fuera de la UE y definir los límitestemporales de uso.

• Supervisar las fugas y filtraciones de datos y ser el responsable de contacto con laautoridad supervisora.

Data Protection Officer (DPO)

Cuando las actividades del responsable o encargado traten datos personales a gran escala

¿Cómo empezar conGDPR?

¿Cómo empezamos?

ASESORAR DESCUBRIR

GESTIONAR

PROTEGER

REPORTAR

1

2

3

4

5

GDPR360º

¿Cómo Necsia te puede ayudar?

El servicio de Análisis GAP consiste en la realización de una análisis tipo GAP (análisiscomparativo entre una situación actual y una objetivo) en relación a GDPR. Comoresultado del análisis GAP se dispondrá de: una “foto” de la organización con respecto a los objetivos y requerimientos de

GDPR. un plan de acción que permitirá cumplir los objetivos y requisitos de GDPR

¿Cómo Necsia te puede ayudar?

Análisis GAP & GDPR Inventory

Los proyectos de adecuación a adecuación a GDPR consistirán en proyectos deconsultoría en el caso de tratarse de requisitos de carácter organizativo o deproyectos relacionados en la tecnología al tratarse de requisitos de caráctertécnico. Estos últimos consistirán en la implantación de soluciones tecnológicasque permitan la automatización y simplificación de las actividades requeridas porlos requisitos de GDPR, que de otra forma requerirían de un esfuerzo humanosignificativo.

Proyectos de AdecuaciónInventario de Activos – Clasificación de la Información

Roadmap de Análisis

FASE 0: Formación y Concienciación

FASE 1: Análisis GAP

¿Cómo Necsia te puede ayudar?

Oficina de adecuación La oficina de adecuación proporciona a las empresas todos los recursos necesarios para

implementar los objetivos y requisitos establecidos en la norma GDPR. Los requisitos sonde carácter legal, técnico y organizativo.

Dentro de este servicio se distinguen dos modalidades: Empresa con presencia en un solo país (España) y cuyos departamentos/áreas

están gestionados de forma centralizada. Grupo de empresas con presencias en varios países y los departamentos/áreas

están gestionados de forma independiente, p.e. por ubicación física, por empresa. La modalidad “Grupo de empresas con presencias en varios países y los

departamentos/áreas están gestionados de forma independiente” se diferencia en elmodelo que siguen algunas organizaciones consistente en la existencia de una sedecentral encargada de dar las directrices y recursos necesarios al resto de sedes para laimplantación de leyes, regulaciones o sistemas de gestión. Este modelo se caracterizapor la necesidad de una mayor gestión y organización. Asimismo, la documentacióntiene como requisitos ser auto-explicativa y disponer de instrucciones para sucumplimentación y/o uso.

c

¿Cómo Necsia te puede ayudar?

Necsia Academy Curso básico GDPR (presencial o e-learning): es un curso básico de formación y

concienciación en GDPR. El contenido consiste en una descripción del reglamento,explicación de los conceptos clave y ejemplos de situaciones en los que se debe aplicarGDPR. Al final del curso se deberá llevar a cabo un examen de evaluación de loscontenidos del curso. Finalmente se dispondrá de un certificado de aprovechamientodel mismo. La plataforma de e-learning permitirá asegurar la asistencia al cursomediante el registro de los asistentes y los certificados de aprovechamientocorrespondientes.

Cursos específicos GDPR: personal con responsabilidades en la contratación deservicios en los que se trate información personal, área de marketing, área de personasy áreas de ventas. Estos cursos consistirán en cursos adicionales al básico (de menorduración) en los que se tratará de forma específica los conocimientos necesarios delárea/rol en cuestión.

App de FyC de GDPR: la App de formación y concienciación en Seguridad de laInformación que dispone Necsia con contenidos de GDPR.

c

¿Cómo Necsia te puede ayudar?

Data Protection Officer Los servicios profesionales de DPO buscan proporcionar ayuda al cliente la necesidad

de disponer del nuevo rol incluido en GDPR, cuyas responsabilidades son:

Informar, aconsejar, documentar y dar respuesta sobre las obligaciones de la empresa.Controlar y monitorizar la implementación y aplicación de las políticas así como la formación dela organización en administración de datos.Documentar qué son los datos personales, quién los ha recogido dentro de la empresa, dónde,mediante qué entidad o colaborador y qué finalidad.Velar por la transacción de los datos dentro o fuera de la UE y definir los límites temporales deuso.Supervisar las fugas y filtraciones de datos y ser el responsable de contacto con la autoridadsupervisora.

Se dispone de dos modalidades: DPO: los servicios profesionales serán proporcionados por la misma persona con

dedicación al 100% a ese cliente las horas mensuales contratadas. Apoyo al DPO: los servicios profesionales podrán ser prestados por distintas

personas según las necesidades del momento del DPO. Se requiere que laempresa disponga de un DPO certificado y nombrado formalmente. Este servicioes un soporte en las actividades llevadas a cabo por el DPO.

¿Realmente estás preparado?

CONTÁCTENOS¿ALGUNA PREGUNTA?

www.necsia.es

info@necsia.es

932 521 285

914 415 677

BARCELONA

MADRID

LIMA

SANTIAGO DE CHILE

CIUDAD DE MÉXICO

CIUDAD DE PANAMÁ