Cumpla los requisitos del Reglamento Europeo de Protección de Datos (GDPR) con la ayuda de ADONIS y ADOIT

El GDPR (General Data Protection Regulation) se determinó en el Parlamento Europeo en mayo de 2016. El período de ejecución ha sido de dos años, lo que significa que este Reglamento entrará en vigor a finales de mayo de 2018.

 

Regula el tratamiento de datos personales por parte de empresas privadas y entidades públicas de manera uniforme en toda la Unión Europea y se aplica directamente en todos los Estados miembros sin tener que ser transpuesto en la legislación nacional.

Aunque todavía no se han resuelto por completo algunas cuestiones detalladas, ya se han decidido los siguientes cambios importantes en las disposiciones legales vigentes:

 

  • Aumento de los requisitos de información sobre el uso de datos
  • Obligación de preservar el derecho de divulgación de datos
  • Nombramiento obligatorio de un oficial de protección de datos
  • Obligación de enviar una notificación de violación de datos a las partes afectadas y a la autoridad en caso de incumplimiento de la seguridad de los datos
  • Aumento significativo del margen de penalización: hasta el 4% del volumen de negocios anual

 

Debido a esto y a otros cambios similares, las empresas deben tomar medidas para garantizar el cumplimiento del GDPR hasta su entrada en vigor.

 

Por esta razón, hemos desarrollado posibilidades para conocer y probar fácilmente diversos aspectos del GDPR usando ADONIS o ADOIT.

 

En este artículo, examinaremos los detalles de los requisitos y presentaremos propuestas de implementación con nuestras herramientas de gestión de procesos y de arquitectura empresarial.

Información básica sobre GDPR (EU)

Desde el punto de vista del procesamiento electrónico de datos, los siguientes aspectos de los datos y su procesamiento son primordiales en la GDPR de la UE:

 

  • Datos personales: Toda la información relativa a una persona física identificada o identificable.
  • Datos sensibles (datos particularmente importantes): datos de personas naturales en cuanto a origen racial y étnico, opinión política, etc.
  • Tratamiento: Una operación realizada con o sin la ayuda de procedimientos automatizados o cualquier serie de operaciones relacionadas con datos personales tales como recolección, organización, clasificación, almacenamiento, adaptación o modificación, lectura, recuperación, uso, divulgación por transmisión, difusión o cualquier otra forma de provisión, reconciliación o vinculación, limitación, supresión o destrucción.
  • Perfiles: Cualquier tipo de tratamiento automatizado de datos personales consistente en utilizar estos datos personales para evaluar determinados aspectos personales relacionados con una persona física, en particular aspectos relacionados con el rendimiento laboral, la situación económica, la salud, las preferencias personales, los intereses, ubicación o ubicación de dicha persona natural.

 

En el curso del procesamiento de diferentes tipos de datos, también se distinguen los siguientes actores:

 

  • Personas afectadas: Tener interés en la protección de sus datos personales o sensibles.
  • Personas responsables: Decidir sobre el tipo de procesamiento de datos.
  • Procesadores de pedidos: Procesar datos según las instrucciones de las personas responsables.

 

Las tareas esenciales que deben ser dirigidas a las empresas de procesamiento de datos incluyen, por ejemplo, lo siguiente:

  • Creación y mantenimiento de la lista de todas las actividades de transformación (artículo 30 del GDPR de la UE),
  • Aplicación de medidas técnicas y organizativas (artículo 21 del GDPR de la UE),
  • Cumplimiento de los plazos reglamentarios (Art. 17 UE GDPR) y su normalización, y
  • Evaluaciones de seguimiento (artículo 35 del GDPR de la UE).

 

Mediante las funciones y evaluaciones existentes (como la contextualización básica de la información, el monitoreo de las medidas o las evaluaciones de riesgos), así como por un método simple y una herramienta intuitiva, BOC Group puede apoyarle a usted y a su empresa de manera excelente.

Enfoque: Lista de actividades de procesamiento

El principal objetivo del presente trabajo es la lista obligatoria de actividades de transformación: La obligación de presentar la documentación se refiere, por tanto, a las personas responsables y al encargado del tratamiento. El contenido de esta lista es la información esencial sobre las actividades de tratamiento de datos, en particular la información sobre la finalidad del tratamiento, la descripción de las categorías de datos personales, la descripción de las personas afectadas y de los destinatarios. Este directorio debe incluir los siguientes detalles:

 

  • El nombre y los datos de contacto de la persona responsable y, en su caso, de la persona a cargo, del representante de la persona responsable y de cualquier funcionario de protección de datos.
  • El propósito del procesamiento.
  • Una descripción de las categorías de personas afectadas y de las categorías de datos personales.
  • Las categorías de beneficiarios a los cuales se han revelado o divulgado los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
  • Cuando proceda, las transferencias de datos personales a un tercer país o a una organización internacional, incluido el nombre del tercer país u organización internacional de que se trate.
  • Si es posible, los plazos para eliminar las distintas categorías de datos
  • Si es posible, una descripción general de las medidas técnicas y organizativas.

 

El siguiente gráfico muestra una posible configuración, estructura y contenido de un directorio para el procesamiento de actividades:

Extensiones de producto en ADONIS y ADOIT

Tanto para nuestra herramienta ADONIS de gestión de procesos de negocio como para ADOIT, hemos desarrollado extensiones de productos para el GDPR de la UE. Esto permite una simple expansión de la documentación y evaluación para los clientes existentes, mientras que los nuevos clientes potenciales también pueden atender los requisitos del GDPR.

 

  • Desde el punto de vista de la documentación GDPR impulsada por procesos, ADONIS le apoya detallando el directorio de procesamiento. El punto de partida es el mapa y los diagramas de procesos documentados. A partir de ahí, se describen las actividades de procesamiento y se identifican las categorías de datos relevantes.
  • Si está siguiendo un enfoque basado en TI, ADOIT puede ayudarle a capturar las actividades de procesamiento desde el punto de vista de su mapa de aplicación ya su vez asignarles los artefactos correspondientes.

 

Para habilitar estos dos enfoques, ampliamos nuestros productos con un nuevo artefacto, la “actividad de procesamiento”. La figura siguiente muestra cómo el artefacto está incrustado en el meta-modelo de ADOIT. La extensión se realiza del mismo modo en ADONIS.

Procedimiento de recogida, preparación y evaluación

La extensión de su documentación se complementa con un modelo de procedimiento adecuado y eficientemente cortado. Aquí, el foco está en la actividad de procesamiento correspondiente (por ejemplo, la creación de un nuevo cliente en el curso de un proceso de solicitud de seguro). A continuación indicamos un posible procedimiento de ejemplo para el enfoque de IT en ADOIT:

1

Identificar categorías de tipos de datos

 

Se clasifican y documentan los datos relevantes (datos personales y sensibles por medio de objetos de negocio o entidades. Pueden utilizarse los repositorios de ADOIT y ADONIS para reutilizar los esquemas predefinidos apropiados.

2

Identificar las personas afectadas

 

Para cada objeto o entidad comercial, se identifican los tipos de personas afectadas en base a categorías de datos y se describen como roles o actores externos en el repositorio ADONIS o ADOIT.

3

Catalogar/actualizar aplicaciones

 

En el paso siguiente, se graban o actualizan las aplicaciones de procesamiento de datos. En muchos casos, esto se hace desde un entorno de aplicación existente.

4

Identificar y documentar la actividad de procesamiento

 

Se considera que la actividad de procesamiento es el punto crucial para enlazar toda esta información. Las actividades de procesamiento se registran y enlazan con los objetos o entidades empresariales que les conciernen. Se asignan a las personas afectadas como roles o actores y se asignan a las aplicaciones y procesos de procesamiento (en el mapa o nivel de detalle).

5

Identificar y asignar receptores

 

Se catalogan los receptores de datos relevantes como unidades organizativas o actores externos (por ejemplo, proveedores de la nube) y se asignan a las actividades de procesamiento.

6

Identificar y asignar riesgos y controles

 

Después de haber analizado los datos maestros para las actividades de procesamiento, se pueden introducir y asignar los riesgos pertinentes, así como realizar una evaluación inicial del riesgo con respecto a la probabilidad y extensión del daño en caso de ocurrencia. Los controles necesarios también se pueden documentar de manera integrada. Esta evaluación y asignación iniciales sirven de base para la evaluación del riesgo. La asignación y evaluación del riesgo debe actualizarse a intervalos determinados.

Esta adquisición de información estructurada permite generar informes y evaluaciones necesarias. Con este fin, BOC Group proporciona informes de muestra específicos y evaluaciones contenidos en el módulo de extensión. La siguiente figura muestra algunos ejemplos de informes y evaluaciones contenidas en el módulo adicional de ADOIT para el GDPR de la UE:

 

 

¿Interesado?


Esta es nuestra oferta para usted.

La implementación con éxito de los requisitos de la GDPR de la UE no sólo presenta un desafío global en relación con la documentación, sino también con respecto a la provisión de pruebas y la actualización sostenible. ADONIS y ADOIT le ofrecen mecanismos probados para ahorrar un esfuerzo considerable y evitar los riesgos de sistemas de gestión inconsistentes. Con los módulos complementarios para ADONIS y ADOIT, cursos y talleres de nuestros consultores experimentados, y coaching extendido, usted se preparará a tiempo. Regístrese hoy y organice una reunión sin compromiso.

Contactenos

?

PREGUNTAS?

David Orensanz

T +34-91-781 18 80
F +34-91-781 11 63
E info@boc-es.com