GT sobre la implantación del nuevo RGPD
1. Introducción y presentación de la mesa del Grupo de trabajo FEMP (Lluís Sanz)2. Presentación de los resultados de la encuesta de cumplimiento actual a nivel de
Ayuntamientos (Virginia Moreno)3. Interacción normativa del RGPD con otras de reciente aplicación a las AA.LL (Ana Marzo)4. Organización interna, responsabilidades y procedimientos para gobernar con seguridad
jurídica el nuevo marco RGPD en un Ayuntamiento grande (Concepción Campos)5. Hacia una nueva metodología de tratamientos y control de riesgos en la privacidad. Cómo
aprovechamos los sistemas de activos informáticos existentes (Lluís Sanz)6. El enlace de la gestión de riesgos con el ENS: Análisis de medidas y posibles herramientas
(Virginia Moreno)7. Gobernanza en municipios medianos 20.000-50.000 (Javier Peña)
GT: Implantación del nuevo RGPD 1
Objetivos del grupo de trabajo sobre la implantación del nuevo RGPD.
1. La generación de un Itinerario de Trabajo en formato “Guia digital” que permita concienciar a las Administraciones Locales de la relevancia de este cambio legislativo y ayudar a la planificación de sus acciones de adaptación al RGPD, desde las pautas para la organización interna, así como la importancia de las tareas a realizar y los riesgos implicados.
2. Vincular los recursos didácticos ya generados por las Autoridades de control y complementarlo con una acción conjunta con la AEPD, para generar un grupo de herramientas y formación específica para las AA.LL.
3. Compartir ejemplos de buenas prácticas municipales y impulsar FAQ’s y listas de tratamiento específicas entre la FEMP y la AEPD.
GT: Implantación del nuevo RGPD Unicipales 2
Las claves técnicas y legales:
3
D C F I N A L I D A D N T A
T O A N B B E C N P T N T A
A N F G H J I O N E A S R F
B S O H C E R E D N E I A I
B E J U O Q S S N G O Z N J
H N A J U O Q C U A Ñ L S A
C T Y I G A S R I I E Y P Y
O I A S C T I P Z P S O A A
U M E T O D O L O G I A R E
S I O G A C I A Y P D A E O
R E I D E R E C H O S U N I
M N L S N O O R E P O A C L
C T N O I C A M R O F N I N
A O Z P O S E C U R O T A O
GT: Implantación del nuevo RGPD
Decálogo para cumplir el RGPD el 25/05/18 (AALL)
GT: Implantación del nuevo RGPD 4
RGPD
1
FINALIDA-DES Y BASE
JURÍDICA REGISTRO DE
ACTIVIDA-DES
ANALISIS DE RIESGO Y
EIPD
CONSENTI-MIENTO
ADECUA-CION
CLAUSULAS INFORMA-
CION
6
NUEVO MARCO DE DERECHOS
ADECUA-CION
CONTRA-TOS
MEDIDAS DE SEGURIDAD
Y COM. VIOLACIO-
NES
TRANSFE-RENCIAS
INTERNACIONALES
DPDRESPONSA-BLE DE
TRATAMIENTO
RT + TECANL
TECNICO
GESTION INFORMA-
TICA
DPD(Org. Ay)
QUIÉN?
QUÉ?
Gestión de ficheros (Actual LOPD)
LOPD 1999
QUE DP?
FICHEROS
Seguridad informática
Seguridad legal(Declaración Fichero)
Identificativas, nombre, dni, dir,
...
Socio-económicas, infracciones
advas. ...
Salud, religión, vida sexual, ideología, ...
BAJO
MEDIOALTOALTO
MEDIO
BAJO
Cualquier información referente a personasfísicas identificadas o identificables, directa
o indirectamente.
NATURALEZA DE LOS DATOS
FINALIDA-DES Y BASE
JURÍDICA
Gestión de Tratamientos (Nuevo RGPD)
El RGPD, define como tratamiento de datos de carácter personal, cualquier fase del ciclo de vida de la información.
LOPD 1999
RGPD 2016
QUE DP TRATAMOS?
QUE HACEMOS CON ESOS DP?
FICHEROS
MAPA DE TRATAMIENTOS
• Misma finalitat• Misma base jurídica• Misma tecnología de tratamiento• Mismos agentes de tratamiento• Mismos afectados
Seguridad legal
Gestión de riesgos
Alto Riesgo5 reglas para identificar tratamientos de DP:
Seguridad informática
FINALIDA-DES Y BASE
JURÍDICA
DELEGADO DE
PROTECCIÓN DE DATOS
DPD
RESPONSABLE DE
TRATAMIENTO
RT
DELEGADO DE TRATAMIENTO
DT
RESPONSABLE DE SEGURIDAD
RS
RESPONSABLE SECTORIAL IMI
RSEC
ComisiónPlenario
ENCARGADO DE
TRATAMIENTO
ET
SOPORTE LEGAL
SECTORIAL
RESP
ON
SABI
LIDA
DDE
LEG
ACIÓ
N O
PERA
TIVA
TECN
OLO
GIA
CON
TRO
L / S
OPO
RTE
RGPD
Gerencias de Gobierno/ContratosDirecciones/Areas de TratamientoServicio Municipal de Informática
Ayuntamiento
Funciones de Gobierno RGPD (Según tipo Ayto)
CÓMO?
DPD
Procedimientos (Propuestas según tipo Ayto)
CÓMO?
DPD
• Medida de Gobierno o similar de creación de la función.
• Normativa interna i metodologías: Comisión Técnica de Plenario o
Instrucciones de Secretaria.
• Aprovación interna de nuevos tratamientos: Decreto Alcaldia.
• Publicación del Registro de tratamientos y actividades en la sede
electrónica.
• Publicación resumida de evaluaciones de impacto (recomendable)
• Aprovechar los sistemas de configuración de activos informáticos (CMDB)
Análisis de Riesgos: Mapa de tratamientos
riesgos
PIA
ANALISIS DE RIESGO Y
EIPD
Medidas de seguridad según riesgo
ClassificaciónInformación
Seguridad
Autenticidad
Integridad
Confidencialidad
Trazabilidad
Disponibilidad Disponibilidad
ENS RGPD
PRIV
ACIT
AT
Niveles seguridad Conforme: SI/NO
ANALISIS DE RIESGO Y
EIPD
Acountability
Accountability
Protección de Datos des desde el diseñoy por defecto.
Evaluación de impacte en la privacidadde datos personales (EIPD)
Mapa de Tratamientos, Registro y Transparencia Delegado de Protección de Datos
Gestión proactiva de la privacidad ACCOUNTA-BILITY
Lista de FAQ’s específica para los temas locales.
GT: Implantación del nuevo RGPD 12
Padrón de habitantes
Gobierno – Plenario – Actividad
Publicaciones: BOE, Internet, ...
Régimen interrior: RRHH
Policía Local i Videovigilancia
Servicios Sociales
Tributos
2
5
6
4
6
2
1
Adaptación RGPDMedio Ambiente
Inspección/DenunciasMás servicios sociales
....
Debate de nuevos temas
Lista específica para las AA.LL de tratamientos que NO necesiten EIPD
GT: Implantación del nuevo RGPD 13
Gestión de actas de plenario i/o comisiones.Web de información generalPublicación en BO's de resolucionesGestión padronal con el ineSoporte a procesos electoralesConcesión de licencias de obrasGestión de tributos: IBI, IVTMProcesos participativos localesGestión de centros cívicos, deportivos o culturalesGestión de residuosGestión de cementeriosGestión de recursos humanos y nóminas.Soporte a fiestas y actos ciudadanos.Entrada y video vigilancia de locales municipales.Contratación: gestión de proveedores.Registro de entrada de documentos.
PLAN DE FORMACIÓN
Propuesta de Planes de Formación interna en materia de PD
• Gestores jurídicos y RT’s sectoriales (DT’s)• Técnicos TIC• Personal de atención al ciudadano• Organismos autónomos y empresas del Grupo municipal• Equipo DPD• Formación mínima para entidades colaboradoras
GT: Implantación del nuevo RGPD 14