Módulo V. Control de Riesgos en la Empresa....

ASPECTOS FORMALES DE LA GESTION DEL RIESGO EMPRESARIAL. EIPD

Ponente: Manuel Peña ZafraAbogado. Economista.Miembro de Responsia Compliance, S.L. y Vicepresidente del Grupo de Prevención de Blanqueo de Capitales del Colegio de Abogados de Granada

Módulo V. Control de Riesgos en la Empresa.

2

Todaactividadempresarialsuponeunriesgo.

u Riesgoeconómicou  Interrupcióndelnegociou Catástrofesnaturalesu Riesgoslegalesu Riesgosreputacionalesu  Inherentesalnegociou Riesgospolíticosu Riesgosrelacionadosconelpersonalu Riesgosmedioambientales.u Riesgosdeincendio.

El análisis o evaluación es elestudio de las causas de lasposiblesamenazasyprobableseventos no deseados y losdaños y consecuencias queestospuedenproducir.

“UnagestiónfinancieraeficazhadecuidarseigualdelriesgoquedelosRendimientos”.KaplanyNorton“cuadrodemandoIntegral

3

En el ámbito de la banca y entidades financieras suele considerasemateriasesencialesde“Compliance”laadaptaciónalMIFID,BasileaII, la normativa de Prevención de Blanqueo de Capitales yFinanciacióndelTerrorismo, lanormativasobreproteccióndedatospersonales,normativaqueimpactasobrelosderechosdeclientesyelcumplimientodelcódigoético.

Las amenazas que se derivan del incumplimiento de obligacioneslegalesycontractualesdebentenerseenconsideracióna losefectosdedisponerdeunmapaderiesgoscompleto,asícomodeunsistemade gestión que permita identificarlos, valóralos y gestionarlos deformaadecuada.

Ensectoresregulados,esdondesehaobservadomayordesarrolloenelcontrolde losriesgos legales, loquehadado lugara lafiguradelChiefComplianceOfficer,encargadodevigilarelcumplimientoestrictodel marco regulatorio de la actividad, así como de determinadaspolíticasyprocedimientosinternos.

4

COMORESUMEN:ü  CADA AREA FUNCIONAL, supone un universo con sus propios

riesgoslegales.ü  EXISTEN FOCOS COMUNES, en la practica totalidad de áreas

funcionales.ü  ¿ Delegado de protección de datos, OCI,.., = Oficial de

cumplimiento?

“ La carga regulatoria ha llegado tan lejos que una empresa quequieraejercersuactividadenvariascomunidadesautónomas,puedellegararegirsepormásde700Normaslegales”.

La complejidad del control de riesgos legales no coincide ya con elesquemadocentetradicional,laactividadpropiadeunjuristaexpertoen riesgosde laempresa sin la colaboracióndeunexpertodel áreaeconómica, difícilmente podrá realizar una identificación ydiagnostico inicial de los riesgos, en que se puede ver afectada laorganización, lo que produciría un fuerte desequilibrio en el controljurídicodelosmismosyportantounadescompensaciónenelcontrolderiesgos.

5

EVALUACIONDEIMPACTOENLAPROTECCIONDEDATOSPERSONALES(ENLAPRIVACIDAD).(PIAs)EIPD

Esenesencia,unejerciciodeanálisisdelosriesgosqueundeterminadosistemade información, producto o servicio puede entrañar para el derechofundamental a la protección de datos de los afectados y, tras ese análisis,afrontar lagestióneficazde los riesgos identificadosmediante laadopcióndelasmedidasparaeliminarlosomitigarlos.

Metodologíaparaevaluarel impactode laprivacidaddeunproyecto,política,programa,servicio,productoocualquier iniciativaqueimpliqueeltratamientode datos personales, y tras haber consultado con todas las parte implicadas,tomarlasmedidasnecesariasparaevitarominimizarlosimpactosnegativos.

UNPROCESO,DONDEEXISTENELEMENTOSCOMUNESQUEFORMANPARTEDELNUCLEODECUALQUIERPROCEDIMIENTO.

6

FASESPRINCIPALESDEUNAEVALUACIONDEIMPACTOENPROTECCIONDEDATOS

1.ANALISISDELANECESIDAD

2.-DESCRIPCIÓNDELPROYECTOYDELOSFLUJOSDEINFORMACION

3.-IDENTIFICACIÓNDELOSRIESGOS

5.-ANALISISDECUMPLIMIENTONORMATIVO

6.-INFORMEFINAL

7.-IMPLANTACIONDELASRECOMENDACIONES

8.-REVISIÓNYREALIMENTACION

4.-GESTIONDELOSRIESGOSIDENTIFICADOSCONSULTACONLASPARTESAFECTADAS

7


VALORACIONDELACONVENIENCIADELLEVARACABOONOUNA

EVALUACIONDEIMPACTOENLAPROTECCIONDEDATOSPERSONALES

SEENRIQUEZCALAINFORMACIONEXISTENTE.DATOSDEMENORES.EVALUAROPREDECIRASPECTOSPERSONALESRELEVANTESGRANDESVOLUMENES,BIGDATE,INTERNETTHETHING,SMARTCITIESTECNOLOGIASINVASIVAS,DRONES,MINERIADEDATOS,BIOMETRICA,GENETICA,GEOLOCALIZACION,ETIQUETASDERADIOFRECUENCIAORFID.NUMEROELEVADODEPERSONASCEDANOCOMUNIQUENDATOSPERSONALESATERCEROSPAISESNODELAUEDATOSPERSONALESNODISOCIADOSONOANONIMIZADOS,FINESESTADISTICOS,HISTORICOSOINVESTIGACION

8

Siempre esun buena practica, llevar acabo una evaluación delimpacto en el tratamiento de datos, enmateria de prevenciónde blanqueo de capitales, etc. y asegurarse que no pasandesapercibidoslosposiblesriesgos:

LegalesEconómicos

ReputacionalesLarealizacióndeunaEPI lapodemosintegrardentrodelametodología del análisis del riesgos y las listas deactividades, de las herramientas de gestión de proyectosexistentes en las organizaciones. ( Modelos de gestión ycontrol)

Seasumecomopreceptivoslosconceptos:•  Privacibydesing•  Privacibydefault


9

•  Privaci by desing: Privacidad desde el diseño, seentiende bajo el respecto de los principios deprivacidadcontenidosenlanormativadeproteccióndedatos desde elmomentomismo en que se diseña unproductooservicio.

•  Privaci by default: Privacidad por defecto, demandaquelaconfiguracióndeprivacidaddelusuariodelbienoservicioproteja losdatospersonalesdelusuariopordefecto,sinqueseanecesarioqueelmismoprocedaarealizarlo.


10

1.  ANALISISDELANECESIDAD.

CONSTITUCIONDELEQUIPODETRABAJO

NOPUEDENFALTAR

DELEGADODEPROTECCIONDEDATOS

UNREPRESENTANTE ELRESPONSABLEDESEGURIDAD,

TIC,s…

PLASMARLOENDOCUMENTOFORMALAPROBADOPORLADIRECCIONYELEQUIPODETRABAJO

AlcanceDELAEIPD

11


2.DESCRIPCIONDELPROYECTOYDELOSFLUJOSDEDATOSPERSONALES

UN RESUMEN DEL PROYECTO CON SUS PRINCIPALESCARACTERISTICAS

ASPECTOS ESPECIALMENTE RELEVANTES PARA LAPRIVACIDADSUSCEPTIBLESDEGENERARMASRIESGOS

UNADESCRIPCIONDETALLADADE:

MEDIOSDETRATAMIENTOYTECNOLOGIAS

CATEGORIAS DE DATOS, F INALIDADNECESIDADES DE UTILIZACION Y COLECTIVOSAFECTADOS

QUIENESACCEDERANYMOTIVOS

LOSFLUJOSDEINFORMACIONES PRACTICO INCLUIR INFORMACION Y DIAGRAMAADICIONALES,controldeacceso,conservación,destrucción,etc

12


2.1MODELOPARADESCRIPCIONDEFLUJOSDEINFORMACION.

EJEMPLODETABLAPARASISTEMIZARLAINFORMACIONSOBREFLUJOS

Códigodeiden*ficación Descripción

Origendelainformación

Des*natariosdelainformación

Categoríasdedatos Finalidad Causalegi*madora

1

2

3

4

5

……

13


2.2MODELOPARADESCRIPCIONDEFLUJOSDEINFORMACION.

EJEMPLODETABLAMODELOPARAGESTIONDERIESGOS

Códigodeiden*ficaciónDelriesgo Descripcióndelriesgo

Niveldeimpactosielriesgosematerializa

Probabilidaddequesematerialice

Medidaspropuestas

Impactotrasimplantacióndemedidaspropuestas

Probabilidadtrasimplantaciónmedidaspropuestas

1

2

3

4

5

……

14


2.2.1MODELOPARADESCRIPCIONDEFLUJOSDEINFORMACION.

NIVELESDEIMPACTOENLOSDERECHOSFUNDAMENTALESDELOSAFECTADOSYENLAORGANIZACIÓN.

ESCALANÚMERICA

NIVELDEIMPACTO

9-10 MUYALTO

7-8 ALTO

5-6 MEDIO

3-4 BAJO

1-2 MUYBAJO

15


2.2.2MODELOPARADESCRIPCIONDEFLUJOSDEINFORMACION.

PROBABILIDADDEMATERIALIZACIÓN.

PROBABILIDAD% NIVELDEMATERIALIZACION

81-100 MUYALTA

61-80 ALTA

41-60 MEDIA

21-40 BAJA

0-20 MUYBAJA

16

3.IDENTIFICACIONYEVALUACIONDERIESGOS

RIESGOS:

POSIBLEVIOLACIONDELOSDERECHOS,PERDIDADEINFORMACIONNECESARIAOELDAÑOCAUSADOPORUNAUTILIZACIONILICITAYFRAUDULENTADELOSMISMOS.

.

DEFINICIONRIESGO:

PROBABILIDADDEQUEUNAAMENAZA SEMATERIALICEAPROVECHANDOUNA VULNERABILIDADDELOS SISTEMAS DE INFORMACIÓN , ES DECIR LA PROBABILIDAD DE QUE OCURRA UN INCIDENTE QUECAUSEUNIMPACTOCONUNDETEMINADODAÑOENLOSSISTEMADEINFORMACION.

PERCEPCIONDE FALTADE RESPETOA LA PRIVACIDAD, PUEDE PRODUCIR LA BAJAUTILIZACION DE PRODUCTOS O SERVICIOS AFECTADOS , APARICION Y COSTE DEREDISEÑODELSISTEMA,LAPERDIDADEREPUTACIÓNEIMAGENPUBLICA,ETC.

PERSONAS

ORGANIZACION

RIESGOS:

GENERALESLIGITIMACIONDELTRATAMIENTOYCESIONESDEDATOSPERSONALESTRANSFERENCIASINTERNACIONALESNOTIFICACIONDELOSTRATAMIENTOSTRANSPARENCIADELOSTRATAMIENTOS.CALIDADDELOSDATOS.DATOSESPECIALMENTEPROTEGIDOSDEBERDESECRETOTRATAMIENTOPORENCARGODERECHOSARCOSEGURIDAD

17

4.GESTIONDELOSRIESGOSIDENTIFICADOS

DIVERSASOPCIONES

EVITARLO

ELIMINARLO

MITIGARLOTRANSFERIRLO

ACEPTARLO

METODOLOGIA

MageritRiskIToISO27005Iso31000Iso31010

Aseguramos:Disponibilidad,integridadyconfidencialidad

impacto

18

5.ANALISISDECUMPLIMIENTONORMATIVO

LEGISLACIONBÁSICA

METODOLOGIA

LEGISLACIONSECTORIAL

EVALUADELAAEPDAUDITORIAINTERNA

LEY15/1999,LOPDRD1702/2007,REGLAMENTOREGLAMENTO.UE679/2016

•  LEYSANIDAD•  TELECOMUNICACIONES•  LSSI•  SOLVENCIAPATRIMONIAL•  ETC.

19

6.REDACCION,PUBLICACIONEINTEGRACIONDELINFORMEFINAL.

PUBLICARENLAWEBCORPORATIVA,BIENTOTALOPARCIAL

q  IDENTIFICACIÓNCLARADELPROYECTO,PERSONASRESPONSABLES,FECHAq  RESUMENCLAROYPRECISODELINFORMECONRESULTADOSESENCIALES.q  DESCRIPCIONDELPROCESODEEVALUACIONq  RESULTADODELANALISISDENECESIDADES,JUSTIFICACIONq  DESCRIPCIONGENERALDELPROYECTO,ALDETALLENECESARIOq  DESCRIPCIONDETALLADADELOSFLUJOSDEDATOSPERSONALESq  RIESGOSIDENTIFICADOSq  IDENTIFICACIONPARTES,EXTERNASEINTERNASINTERESADASq  ANALISISDELCUMPLIMIENTONORMATIVOq  RECOMENDACIONESDELEQUIPORESPONSABLES

ANALISISCOSTE-BENEFICIOPARALAORGANIZACION

Elinformedebedehacersepublico,serclaroytransparente

20


(1)IdentificacióndelproyectoI.CódigoII.DescripciónIII.Responsable(s)delproyectoydatosdecontactoIV.FechadelinformeV.Versióndelinforme(2)ResumenejecutivoI.DescripciónsucintadelproyectoII.PrincipalesriesgosidentificadosIII.Resumendelasmedidasmásimportantesdemitigaciónpropuestas(3)AnálisisdenecesidaddelaEvaluaciónI.ResultadodelanálisisII.MotivacióndelanecesidaddelarealizacióndelaEIPD

21


(4)DescripcióndetalladadelproyectoI.Inclusióndetodalainformaciónrelevantesobreelmismo(sepuedenincluircomoanexoslosdocumentosdelproyectoquesejuzguenoportunos)II.Descripcióndetalladadelosflujosdedatospersonales(5)ResultadodelprocesodeconsultasI.Identificacióndelaspartesinteresadas(internasyexternas)oalasqueafectaelproyectoII.Contribucionesdelaspartesconsultadas(sepuedenincluircomoanexosalinforme)III. Resumen de los riesgos más importantes puestos demanifiestoenlaconsulta

22


(6)IdentificaciónygestiónderiesgosI.IdentificacióndetalladaderiesgosII.ImpactoyprobabilidaddecadariesgoidentificadoIII.Gestióndelosriesgos:decisiónadoptadaparacadariesgo,objetivosdecontrol,controlesymedidaspropuestas(7)AnálisisdecumplimientonormativoI.ResumengeneraldecumplimientoII.Deficienciasdetectadasypropuestasdesolución(8).ConclusionesI.AnálisisfinalII.RecomendacionesdelequiporesponsabledelaEIPDIII.Medidas técnicasquedebenadoptarseeneldiseñodelproyectoparaeliminaroevitar,mitigar,transferiroaceptarlosriesgosparalaprivacidadIV.Medidasorganizativasquedebenadoptarseenel diseñodelproyectopara eliminar o evitar, mitigar, transferir o aceptar los riesgos para laprivacidad(9).Anexo.Introducciónydescripcióngeneraldelprocesodeevaluación

23

7.IMPLANTACIONDELASRECOMENDACIONES.

ALTADIRECCION

7.IMPLANTACIONDELASRECOMENDACIONES.

8.REVISIONDELOSRESULTADOSYREALIMENTACIONDELAEVALUACIONDELIMPACTO.

DEFINIR Y TOMAR LAS DECISIONESNECESARIAS PARA PONER EN MARCHALOSCAMBIOSOMEJORASQUEDEBENDESERINTRODUCIDAS.

DESIGNAR LA PERSONA O UNIDADRESPONSABLES DE COORDINAR QUE SEIMPLANTELASMEJORASEINVESTIRLADELANECESARIAAUTORIDAD

MEDIDASAADOPTACONPROVEEDOREST E R C E R O S ( T E C N O L O G I C A S ,ORGANIZATIVAS,CONTRACTUALES

ESQUEMACLASICODELARUEDA CICLODEDEMING

Implantar

VerificarActuar

Planificar

24

6.RESUMEN.

ESUNAHERRAMIENTANUEVAENESPAÑA,PEROYACONAMPLIOALCANCE

FORMA PARTE ESENCIAL DE LAS NUEVASHERRAMIENTASENEVALUACIONDERIESGOS

PERMITENDEMOSTRARELCOMPROMISOCONLASOBLIGACIONESLEGALES,DILIGENCIA,ETCACCOUNTABILTY

ARTICULO35.DELNUEVOREGLAMENTOEUROPEOOBLIGAALAEVALUACIONDELIMPACTO.

LA4ªDIRECCTIVAENMATERIADEPREVENCIONDEBLANQUEO DE CAPITALES OBLIGA A LAEVALUACIONDELIMPACTODELRIESGO.

EL LEGISLADOR EUROPEO RECOMIENDA A LOSGOBIERNOS LA IMPORTANCIA DEL ENFOQUEBASADO EN EL RIESGO Y LA NECESIDAD DEREALIZAR LA EVALUACION DEL IMPACTO DELRIESGO.

Módulo V. Control de Riesgos en la Empresa....

Documents

Transcript of Módulo V. Control de Riesgos en la Empresa....