Módulo V. Control de Riesgos en la Empresa. ASPECTOS...
Transcript of Módulo V. Control de Riesgos en la Empresa. ASPECTOS...
ASPECTOS FORMALES DE LA GESTION DEL RIESGO EMPRESARIAL. EIPD
Ponente: Manuel Peña ZafraAbogado. Economista.Miembro de Responsia Compliance, S.L. y Vicepresidente del Grupo de Prevención de Blanqueo de Capitales del Colegio de Abogados de Granada
Módulo V. Control de Riesgos en la Empresa.
II EDICIÓN
2
Todaactividadempresarialsuponeunriesgo.
u Riesgoeconómicou Interrupcióndelnegociou Catástrofesnaturalesu Riesgoslegalesu Riesgosreputacionalesu Inherentesalnegociou Riesgospolíticosu Riesgosrelacionadosconelpersonalu Riesgosmedioambientales.u Riesgosdeincendio.
El análisis o evaluación es elestudio de las causas de lasposiblesamenazasyprobableseventos no deseados y losdaños y consecuencias queestospuedenproducir.
“UnagestiónfinancieraeficazhadecuidarseigualdelriesgoquedelosRendimientos”.KaplanyNorton“cuadrodemandoIntegral
3
En el ámbito de la banca y entidades financieras suele considerasemateriasesencialesde“Compliance”laadaptaciónalMIFID,BasileaII, la normativa de Prevención de Blanqueo de Capitales yFinanciacióndelTerrorismo, lanormativasobreproteccióndedatospersonales,normativaqueimpactasobrelosderechosdeclientesyelcumplimientodelcódigoético.
Las amenazas que se derivan del incumplimiento de obligacioneslegalesycontractualesdebentenerseenconsideracióna losefectosdedisponerdeunmapaderiesgoscompleto,asícomodeunsistemade gestión que permita identificarlos, valóralos y gestionarlos deformaadecuada.
Ensectoresregulados,esdondesehaobservadomayordesarrolloenelcontrolde losriesgos legales, loquehadado lugara lafiguradelChiefComplianceOfficer,encargadodevigilarelcumplimientoestrictodel marco regulatorio de la actividad, así como de determinadaspolíticasyprocedimientosinternos.
4
COMORESUMEN:ü CADA AREA FUNCIONAL, supone un universo con sus propios
riesgoslegales.ü EXISTEN FOCOS COMUNES, en la practica totalidad de áreas
funcionales.ü ¿ Delegado de protección de datos, OCI,.., = Oficial de
cumplimiento?
“ La carga regulatoria ha llegado tan lejos que una empresa quequieraejercersuactividadenvariascomunidadesautónomas,puedellegararegirsepormásde700Normaslegales”.
La complejidad del control de riesgos legales no coincide ya con elesquemadocentetradicional,laactividadpropiadeunjuristaexpertoen riesgosde laempresa sin la colaboracióndeunexpertodel áreaeconómica, difícilmente podrá realizar una identificación ydiagnostico inicial de los riesgos, en que se puede ver afectada laorganización, lo que produciría un fuerte desequilibrio en el controljurídicodelosmismosyportantounadescompensaciónenelcontrolderiesgos.
5
LALEGISLACIONEUROPEA:Reglamento(UE)2016/679delParlamentoEuropeoydelConsejo,de27deabril de 2016, relativo a la protección de las personas físicas en lo querespecta al tratamiento de datos personales y a la libre circulación deestosdatosArtículo35.Evaluacióndeimpactorelativaalaproteccióndedatos.1. Cuando sea probable que un tipo de tratamiento, en particular si utilizanuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe unaltoriesgoparalosderechosylibertadesdelaspersonasfísicas,elresponsabledeltratamientorealizará,antesdeltratamiento,unaevaluacióndelimpactodelasoperacionesdetratamientoenlaproteccióndedatospersonales.Unaúnicaevaluaciónpodráabordarunaseriedeoperacionesdetratamientosimilaresqueentrañenaltosriesgossimilares.
6
LALEGISLACIONEUROPEA:
DIRECTIVA(UE)2015/849DELPARLAMENTOEUROPEOYDELCONSEJOde20demayode2015 relativaa laprevenciónde lautilizacióndel sistemafinancieroparaelblanqueodecapitalesolafinanciacióndelterrorismo
SECCIÓN2EvaluaciónderiesgosArtículo 6. La Comisión efectuará una evaluación de los riesgos de blanqueo de capitales y definanciacióndel terrorismoqueafectanalmercado interior yqueguardan relaciónconactividadestransfronterizas.…/…Artículo 7. Cada Estado miembro adoptará las medidas adecuadas para detectar, evaluar,comprender y atenuar los riesgos de blanqueo de capitales y financiación del terrorismo que leafecten, así́ como cualquier problema que se plantee en relación con la protección de datos.Mantendrá́actualizadaestaevaluaciónderiesgos.…/…Articulo 8. Los Estados miembros velarán por que las entidades obligadas adopten medidasadecuadasparadetectaryevaluarsusriesgosdeblanqueodecapitalesyfinanciacióndelterrorismo,teniendoencuentafactoresderiesgo, incluidos losrelativosaclientes,paísesozonasgeográficas,productos, servicios, operaciones o canales de distribución. Estas medidas deberán guardarproporciónconlanaturalezayeltamañodelasentidadesobligadas.
7
EVALUACIONDEIMPACTOENLAPROTECCIONDEDATOSPERSONALES(ENLAPRIVACIDAD).(PIAs)EIPD
Esenesencia,unejerciciodeanálisisdelosriesgosqueundeterminadosistemade información, producto o servicio puede entrañar para el derechofundamental a la protección de datos de los afectados y, tras ese análisis,afrontar lagestióneficazde los riesgos identificadosmediante laadopcióndelasmedidasparaeliminarlosomitigarlos.EJERCICIODETRANSPARECIA
Metodologíaparaevaluarel impactode laprivacidaddeunproyecto,política,programa,servicio,productoocualquier iniciativaqueimpliqueeltratamientode datos personales, y tras haber consultado con todas las parte implicadas,tomarlasmedidasnecesariasparaevitarominimizarlosimpactosnegativos.
UNPROCESO,DONDEEXISTENELEMENTOSCOMUNESQUEFORMANPARTEDELNUCLEODECUALQUIERPROCEDIMIENTO.“COMENZARENLASETAPASMASINICIALESPOSIBLES”.
8
FASESPRINCIPALESDEUNAEVALUACIONDEIMPACTOENPROTECCIONDEDATOS
1.ANALISISDELANECESIDAD
2.-DESCRIPCIÓNDELPROYECTOYDELOSFLUJOSDEINFORMACION
3.-IDENTIFICACIÓNDELOSRIESGOS
5.-ANALISISDECUMPLIMIENTONORMATIVO
6.-INFORMEFINAL
7.-IMPLANTACIONDELASRECOMENDACIONES
8.-REVISIÓNYREALIMENTACION
4.-GESTIONDELOSRIESGOSIDENTIFICADOSCONSULTACONLASPARTESAFECTADAS
9
1.ANALISISDELANECESIDADVALORACIONDELACONVENIENCIA
DELLEVARACABOONOUNAEVALUACIONDEIMPACTOENLA
PROTECCIONDEDATOSPERSONALES
• SEENRIQUEZCALAINFORMACIONEXISTENTE.• DATOSDEMENORES.ESPECILAMENTE<14• EVALUAROPREDECIRASPECTOSPERSONALESRELEVANTES• GRANDESVOLUMENES,BIGDATE,INTERNETTHETHING,SMARTCITIES• TECNOLOGIASINVASIVAS,DRONES,MINERIADEDATOS,BIOMETRICA,
GENETICA,GEOLOCALIZACION,ETIQUETASDERADIOFRECUENCIAORFID.• NUMEROELEVADODEPERSONAS,OACUMULACIONDEDATOS• SECEDANOCOMUNIQUENDATOSPERSONALESATERCEROSPAISESNODELAUE.• DATOSPERSONALESNODISOCIADOSONOANONIMIZADOSDEFORMAIRREVERSIBLE,
FINESESTADISTICOS,HISTORICOSOINVESTIGACION• ESPECIALMENTEPROTEGIDOS
CONFIDENCILIDADINTEGRIDADDISPONIBILIDAD
10
Siempre esun buena practica, llevar acabo una evaluación delimpacto en el tratamiento de datos, enmateria de prevenciónde blanqueo de capitales, etc. y asegurarse que no pasandesapercibidoslosposiblesriesgos:
LegalesEconómicos
ReputacionalesLarealizacióndeunaEPI lapodemosintegrardentrodelametodología del análisis del riesgos y las listas deactividades, de las herramientas de gestión de proyectosexistentes en las organizaciones. ( Modelos de gestión ycontrol)
Seasumecomopreceptivoslosconceptos:• Privacibydesing• Privacibydefault
1.ANALISISDELANECESIDAD
11
• Privaci by desing: Privacidad desde el diseño, seentiende bajo el respecto de los principios deprivacidadcontenidosenlanormativadeproteccióndedatos desde elmomentomismo en que se diseña unproductooservicio.
• Privaci by default: Privacidad por defecto, demandaquelaconfiguracióndeprivacidaddelusuariodelbienoservicioproteja losdatospersonalesdelusuariopordefecto,sinqueseanecesarioqueelmismoprocedaarealizarlo.
1.ANALISISDELANECESIDAD
12
1. ANALISISDELANECESIDAD.
CONSTITUCIONDELEQUIPODETRABAJO
PLASMARLOENDOCUMENTOFORMALAPROBADOPORLADIRECCIONYELEQUIPODETRABAJO
AlcanceDELAEIPDOrientadaaprocesos
13
2.-DESCRIPCIÓNDELPROYECTOYDELOSFLUJOSDEINFORMACION
2.DESCRIPCIONDELPROYECTOYDELOSFLUJOSDEDATOSPERSONALES
UN RESUMEN DEL PROYECTO CON SUS PRINCIPALESCARACTERISTICAS
ASPECTOS ESPECIALMENTE RELEVANTES PARA LAPRIVACIDADSUSCEPTIBLESDEGENERARMASRIESGOS
UNADESCRIPCIONDETALLADADE:
MEDIOSDETRATAMIENTOYTECNOLOGIASAUTILIZAR
CATEGORIAS DE DATOS , F INAL IDADNECESIDADES DE UTILIZACION Y COLECTIVOSAFECTADOS
QUIENESACCEDERANYMOTIVOS
LOSFLUJOSDEINFORMACION.:Recogida,circulación,cesiones,etcES PRACTICO INCLUIR INFORMACION Y DIAGRAMA
ADICIONALES,controldeacceso,conservación,destrucción,etc
14
2.-DESCRIPCIÓNDELPROYECTOYDELOSFLUJOSDEINFORMACION
2.1MODELOPARADESCRIPCIONDEFLUJOSDEINFORMACION.
EJEMPLODETABLAPARASISTEMIZARLAINFORMACIONSOBREFLUJOS
Códigodeiden*ficaciónDescripción
Origendelainformación
Des*natariosdelainformación
Categoríasdedatos Finalidad Causalegi*madora
1
2
3
4
5
……
15
2.-DESCRIPCIÓNDELPROYECTOYDELOSFLUJOSDEINFORMACION
2.2MODELOPARADESCRIPCIONDEFLUJOSDEINFORMACION.
EJEMPLODETABLAMODELOPARAGESTIONDERIESGOS
Códigodeiden*ficaciónDelriesgo Descripcióndelriesgo
Niveldeimpactosielriesgosematerializa
Probabilidaddequesematerialice
Medidaspropuestas
Impactotrasimplantacióndemedidaspropuestas
Probabilidadtrasimplantaciónmedidaspropuestas
1
2
3
4
5
……
16
2.-DESCRIPCIÓNDELPROYECTOYDELOSFLUJOSDEINFORMACION
2.2.1MODELOPARADESCRIPCIONDEFLUJOSDEINFORMACION.
NIVELESDEIMPACTOENLOSDERECHOSFUNDAMENTALESDELOSAFECTADOSYENLAORGANIZACIÓN.
ESCALANÚMERICA
NIVELDEIMPACTO
9-10 MUYALTO
7-8 ALTO
5-6 MEDIO
3-4 BAJO
1-2 MUYBAJO
17
2.-DESCRIPCIÓNDELPROYECTOYDELOSFLUJOSDEINFORMACION
2.2.2MODELOPARADESCRIPCIONDEFLUJOSDEINFORMACION.
PROBABILIDADDEMATERIALIZACIÓN.
PROBABILIDAD% NIVELDEMATERIALIZACION
81-100 MUYALTA
61-80 ALTA
41-60 MEDIA
21-40 BAJA
0-20 MUYBAJA
18
3.IDENTIFICACIONYEVALUACIONDERIESGOS
AFECTACIONDRIESGOS:
POSIBLEVIOLACIONDELOSDERECHOS,PERDIDADEINFORMACIONNECESARIAOELDAÑOCAUSADOPORUNAUTILIZACIONILICITAYFRAUDULENTADELOSMISMOS.
.
DEFINICIONRIESGO:
PROBABILIDADDEQUEUNAAMENAZA SEMATERIALICEAPROVECHANDOUNA VULNERABILIDADDELOS SISTEMAS DE INFORMACIÓN , ES DECIR LA PROBABILIDAD DE QUE OCURRA UN INCIDENTE QUECAUSEUNIMPACTOCONUNDETEMINADODAÑOENLOSSISTEMADEINFORMACION.
PERCEPCIONDE FALTADE RESPETOA LA PRIVACIDAD, PUEDE PRODUCIR LA BAJAUTILIZACION DE PRODUCTOS O SERVICIOS AFECTADOS , APARICION Y COSTE DEREDISEÑODELSISTEMA,LAPERDIDADEREPUTACIÓNEIMAGENPUBLICA,ETC.
PERSONAS
ORGANIZACION
RIESGOS:
GENERALESLIGITIMACIONDELTRATAMIENTOYCESIONESDEDATOSPERSONALESTRANSFERENCIASINTERNACIONALESNOTIFICACIONDELOSTRATAMIENTOSTRANSPARENCIADELOSTRATAMIENTOS.CALIDADDELOSDATOS.DATOSESPECIALMENTEPROTEGIDOSDEBERDESECRETOTRATAMIENTOPORENCARGODERECHOSARCOSEGURIDAD
ENESTEMOMENTOCOMIENZAESPECIFICAMENTELAEVALUACIONDELIMPACTO
NOSOLOIDENTIFICARHAYQUECUANTIFICAR=impactoxprobabilidad
19
4.GESTIONDELOSRIESGOSIDENTIFICADOS
DIVERSASOPCIONES
EVITARLO
ELIMINARLO
MITIGARLOTRANSFERIRLO
ACEPTARLO
METODOLOGIA
MageritRiskIToISO27005Iso31000Iso31001sobornoIso31010
Aseguramos:Disponibilidad,integridadyconfidencialidad
impacto
20
5.ANALISISDECUMPLIMIENTONORMATIVO
LEGISLACIONBÁSICA
METODOLOGIA
LEGISLACIONSECTORIAL
EVALUADELAAEPDAUDITORIAINTERNA
LEY15/1999,LOPDRD1702/2007,REGLAMENTOREGLAMENTO.UE679/2016
• LEYSANIDAD• TELECOMUNICACIONES• LSSI• SOLVENCIAPATRIMONIAL• ETC.
21
6.REDACCION,PUBLICACIONEINTEGRACIONDELINFORMEFINAL.
PUBLICARENLAWEBCORPORATIVA,BIENTOTALOPARCIAL
q IDENTIFICACIÓNCLARADELPROYECTO,PERSONASRESPONSABLES,FECHAq RESUMENCLAROYPRECISODELINFORMECONRESULTADOSESENCIALES.q DESCRIPCIONDELPROCESODEEVALUACIONq RESULTADODELANALISISDENECESIDADES,JUSTIFICACIONq DESCRIPCIONGENERALDELPROYECTO,ALDETALLENECESARIOq DESCRIPCIONDETALLADADELOSFLUJOSDEDATOSPERSONALESq RIESGOSIDENTIFICADOSq IDENTIFICACIONPARTES,EXTERNASEINTERNASINTERESADASq ANALISISDELCUMPLIMIENTONORMATIVOq RECOMENDACIONESDELEQUIPORESPONSABLES
ANALISISCOSTE-BENEFICIOPARALAORGANIZACION
Elinformedebedehacersepublico,serclaroytransparente
22
6.REDACCION,PUBLICACIONEINTEGRACIONDELINFORMEFINAL.
(1)IdentificacióndelproyectoI.CódigoII.DescripciónIII.Responsable(s)delproyectoydatosdecontactoIV.FechadelinformeV.Versióndelinforme(2)ResumenejecutivoI.DescripciónsucintadelproyectoII.PrincipalesriesgosidentificadosIII.Resumendelasmedidasmásimportantesdemitigaciónpropuestas(3)AnálisisdenecesidaddelaEvaluaciónI.ResultadodelanálisisII.MotivacióndelanecesidaddelarealizacióndelaEIPD
23
6.REDACCION,PUBLICACIONEINTEGRACIONDELINFORMEFINAL.
(4)DescripcióndetalladadelproyectoI.Inclusióndetodalainformaciónrelevantesobreelmismo(sepuedenincluircomoanexoslosdocumentosdelproyectoquesejuzguenoportunos)II.Descripcióndetalladadelosflujosdedatospersonales(5)ResultadodelprocesodeconsultasI.Identificacióndelaspartesinteresadas(internasyexternas)oalasqueafectaelproyectoII.Contribucionesdelaspartesconsultadas(sepuedenincluircomoanexosalinforme)III. Resumen de los riesgos más importantes puestos demanifiestoenlaconsulta
24
6.REDACCION,PUBLICACIONEINTEGRACIONDELINFORMEFINAL.
(6)IdentificaciónygestiónderiesgosI.IdentificacióndetalladaderiesgosII.ImpactoyprobabilidaddecadariesgoidentificadoIII.Gestióndelosriesgos:decisiónadoptadaparacadariesgo,objetivosdecontrol,controlesymedidaspropuestas(7)AnálisisdecumplimientonormativoI.ResumengeneraldecumplimientoII.Deficienciasdetectadasypropuestasdesolución(8).ConclusionesI.AnálisisfinalII.RecomendacionesdelequiporesponsabledelaEIPDIII.Medidas técnicasquedebenadoptarseeneldiseñodelproyectoparaeliminaroevitar,mitigar,transferiroaceptarlosriesgosparalaprivacidadIV.Medidasorganizativasquedebenadoptarseenel diseñodelproyectopara eliminar o evitar, mitigar, transferir o aceptar los riesgos para laprivacidad(9).Anexo.Introducciónydescripcióngeneraldelprocesodeevaluación
25
7.IMPLANTACIONDELASRECOMENDACIONES.
ALTADIRECCION
7.IMPLANTACIONDELASRECOMENDACIONES.
8.REVISIONDELOSRESULTADOSYREALIMENTACIONDELAEVALUACIONDELIMPACTO.
DEFINIR Y TOMAR LAS DECISIONESNECESARIAS PARA PONER EN MARCHALOSCAMBIOSOMEJORASQUEDEBENDESERINTRODUCIDAS.
DESIGNAR LA PERSONA O UNIDADRESPONSABLES DE COORDINAR QUE SEIMPLANTELASMEJORASEINVESTIRLADELANECESARIAAUTORIDAD
MEDIDASAADOPTACONPROVEEDOREST E R C E R O S ( T E C N O L O G I C A S ,ORGANIZATIVAS,CONTRACTUALES
ESQUEMACLASICODELARUEDA CICLODEDEMING
Implantar
VerificarActuar
Planificar
26
6.RESUMEN.
ESUNAHERRAMIENTANUEVAENESPAÑA,PEROYACONAMPLIOALCANCE
FORMA PARTE ESENCIAL DE LAS NUEVASHERRAMIENTASENEVALUACIONDERIESGOS
PERMITENDEMOSTRARELCOMPROMISOCONLASOBLIGACIONESLEGALES,DILIGENCIA,ETCACCOUNTABILTY
ARTICULO35.DELNUEVOREGLAMENTOEUROPEOOBLIGAALAEVALUACIONDELIMPACTO.
LA4ªDIRECCTIVAENMATERIADEPREVENCIONDEBLANQUEO DE CAPITALES OBLIGA A LAEVALUACIONDELIMPACTODELRIESGO.
EL LEGISLADOR EUROPEO RECOMIENDA A LOSGOBIERNOS LA IMPORTANCIA DEL ENFOQUEBASADO EN EL RIESGO Y LA NECESIDAD DEREALIZAR LA EVALUACION DEL IMPACTO DELRIESGO.
27