Curso: Gestión del riesgo y evaluación de impacto en tratamientos de datos personales

Formacion

Un curso único en su especialidad, destinado a adquirir los conocimientos necesarios para la gestión de los riesgos que, para los derechos y libertades de los interesados, implica el hecho de tratar datos personales, independientemente del nivel de riesgo inherente del tratamiento, incluyendo para los casos de tratamientos de alto riesgo los requisitos adicionales en esa gestión de riesgos que implica la evaluación de impacto relativa a la protección de datos (EIPD).

Los contenidos del curso se orientan a que el proceso de gestión de riesgos se lleve a cabo conforme a lo previsto en el Reglamento General de Protección de Datos (RGPD) y en las directrices de las autoridades control, particularmente la guía de “Gestión del riesgo y evaluación de impacto en tratamientos de datos personales” de la Agencia Española de Protección de Datos (junio 2021), que debe ser tenida en cuenta como algo más que una orientación, ya que tal y como dispone la Instrucción 1/2021 de la AEPD, el desarrollo de la documentación de la EIPD deberá contemplar lo señalado en la citada guía.

La regulación parte de la obligación de aplicar medidas técnicas y organizativas que sean apropiadas para garantizar y poder demostrar que el tratamiento es conforme con el Reglamento, para ello, entre otras cuestiones, deberán tenerse en cuenta los riesgos que tienen su origen en las operaciones de tratamiento, que serán de diversa probabilidad y gravedad.

La normativa de protección de datos no concreta cómo deben llevarse a cabo la gestión de riesgos, por ello los contenidos del curso están orientados tanto a proporcionar una amplia base teórica y jurídica de conocimientos, como a acometer directamente los aspectos prácticos de ejecución de las diferentes actividades relacionadas con la gestión de riesgos, incluyendo la EIPD.

Los nuevos tratamientos de datos de carácter personal cada vez son más complejos, sea por el uso de tecnologías emergentes o por el uso de datos sensibles, o por el hecho de que los tratamientos cada vez exponen a mayores riesgos a las personas, por ejemplo, el uso de tecnologías de reconocimiento facial, combinadas con la inteligencia artificial, son cuestiones sobre la que las autoridades europeas han puesto su atención ya que su uso se está generalizando y, por supuesto, requieren de una rigurosa gestión de los riesgos para los derechos y libertades de los interesados, ya que no abordar convenientemente tales riesgos ha acabado en importantes sanciones, además, resulta relevante la iniciativa legislativa de la Unión Europea en materia de inteligencia artificial que, sin duda, deberá ser tenida muy en cuenta cuando se usen datos personales en sistemas de inteligencia artificial.

Aunque ciertos tratamientos son especialmente críticos en lo que respecta a los riesgos que pueden suponer, no debemos olvidar que la gestión de riesgos es una obligación que, sin excepción, aplica a todos los tratamientos, en consecuencia, tratamientos de datos personales que pueden ser menos críticos en cuanto a los riesgos, también están sujetos al proceso de gestión de riesgos, ya que de otro modo estaríamos ante un incumplimiento de la normativa de protección de datos.

El profesional de la protección de datos debe ser capaz de ejecutar el proceso de gestión de riesgos de principio a fin, incluyendo en su caso la evaluación de impacto, aplicando un método de trabajo alineado con las exigencias de la normativa, ya que incluso, a pesar de haber acometido la gestión de riesgos, se podría dar la circunstancia de que el resultado no se considere adecuado a los requisitos de la regulación.

Metodología

Los módulos teórico y práctico son independientes entre sí en cuanto a su realización, si bien para acceder directamente al módulo práctico el alumno debe asegurarse de que dispone de un conocimiento completo de los aspectos teóricos, ya que estos en ningún caso serán abordados por parte de los docentes del segundo módulo, que se centrarán exclusivamente en la parte práctica, a fin de aprovecharla al máximo.

El módulo teórico incluye una prueba de conocimiento y da acceso directo al módulo práctico; se trata de una formación avanzada, por lo que el alumno además debe contar también con una buena base en lo que respecta a la normativa de protección de datos personales.

Durante el módulo práctico se utilizarán todo tipo de recursos de gran dinamismo e interacción alumno-profesor, a fin de construir un escenario práctico lo más real posible, que permita aplicar los conocimientos teóricos y obtener como resultado una gestión de riesgos completa. Según las necesidades de cada módulo, el alumno dispondrá de: materiales de estudio y de consulta, junto con material de apoyo, tutorías en línea, espacios de debate y de acompañamiento, dinámicas de trabajo en grupo, incluida la simulación de interacción con el “cliente” y videos para completar el proceso formativo.

La evaluación seguirá siendo continuada como en las acciones formativas que han sido antecedentes de este curso, en base a tener en cuenta la participación activa de los alumnos en la formación, la realización periódica de pruebas de conocimiento, y los diferentes documentos elaborados para ejecutar el proceso de gestión de riesgos completo sobre el supuesto planteado; además, como ya se ha mencionado, el módulo teórico incorpora una prueba de evaluación al final del mismo.

La dinámica del curso va a requerir de una importante y continuada dedicación por parte del alumno, se trata de un curso avanzado y exigente; conviene disponer de conocimientos previos sobre protección de datos para el módulo teórico, ya que muchos conceptos se darán por conocidos, y respecto del módulo práctico, el alumno deberá contar con conocimientos específicos en materia de gestión de riesgos para los derechos y libertades derivados del tratamiento de datos personales, a fin de aprovechar al máximo las dinámicas que se plantearán durante el módulo práctico.

Sesiones webinar: 2 tutorías en la parte teórica y una sesión semanal (7 en total) en la parte práctica. Todas las sesiones webinar son en directo con opción de visualización de la grabación.

Objetivos académicos

El módulo teórico proporciona a los alumnos una base sólida para llevar a cabo el proceso de gestión de riesgos y evaluaciones de impacto, para ello se usarán diversos recursos formativos, con el necesario acompañamiento de un docente con el que resolver dudas y cuestiones complejas.

El módulo práctico facilita a los alumnos un método de trabajo que les permita llevar a cabo el proceso de gestión de riesgos y evaluaciones de impacto desde una perspectiva profesional, de modo que en base a un único supuesto práctico, se realizarán todas y cada una de las actividades necesarias para gestionar el riesgo del tratamiento planteado, incluyendo los requisitos derivados de la evaluación de impacto.

El alumno, por tanto:

Entenderá los fundamentos, alcance, necesidad y régimen jurídico de la gestión de los riesgos para los derechos y libertades que tienen su origen en el tratamiento de datos personales, incluyendo lo relacionado con las evaluaciones de impacto.
Habrá adquirido los conocimientos prácticos necesarios para llevar a cabo el proceso de gestión de riesgos, según lo previsto en el RGPD y las orientaciones de las autoridades de protección de datos (incluyendo la guía de la AEPD).
Podrá incorporar la gestión de riesgos a sus capacidades profesionales, con aplicación tanto a responsabilidades generales en la gestión de la protección de los datos de carácter personal en las organizaciones (por ejemplo, función de DPD o de soporte al DPD), o como evaluador externo.
Será capaz de adaptar el método propuesto a proyectos concretos o a métodos de trabajo específicos.

Programa

Módulo teórico
Del 4/03 al 24/03 2024

Unidad 1. Introducción y fundamentos del proceso de gestión de riesgos y de las evaluaciones de impacto. Régimen jurídico.

Unidad 2. Aspectos preparatorios y organizativos del proceso de gestión de riesgos. Alto riesgo y valoración de si existe la obligación de incluir la EIPD en el proceso de gestión de riesgos; la detección de los tratamientos de alto riesgo.

Unidad 3. La capacidad de cumplir con la normativa de protección de datos. La descripción de las operaciones de tratamiento. Concretar los objetivos y finalidades del tratamiento, y las bases de licitud. Evaluación de la necesidad y proporcionalidad de las operaciones de tratamiento.

Unidad 4. Gestión del riego: identificación, análisis, valoración y tratamiento del riesgo. Informe de gestión de riesgos. La consulta previa a la autoridad de control. La implementación y supervisión de las medidas previstas en el plan de acción para la mitigación del riesgo.

Módulo práctico
Del 8/04 al 26/05 2024

En este módulo práctico los alumnos tendrán que llevar a cabo el proceso de gestión de riesgos y evaluación de impacto de un tratamiento de datos personales concreto.

Las actividades a llevar a cabo serán las siguientes:

Actividad 1 (semana 1): Valorar si procede la realización de la evaluación de impacto.

Actividad 2 (semana 2): Verificación del cumplimiento normativo.

Actividad 3 (semana 3): Evaluación de la necesidad y proporcionalidad de las operaciones de tratamiento y descripción sistemática del tratamiento objeto de EIPD.

Actividad 4 (semanas 4 y 5): Evaluación del nivel de riesgo de las operaciones de tratamiento previstas.

Actividad 5 (semanas 6 y 7): Elaboración del informe de evaluación de impacto y plan de acción.

Los alumnos dispondrán de materiales de apoyo para llevar a cabo el proceso de gestión de riesgos y de evaluación de impacto.

Competencias

En la formación APEP siempre desarrollamos competencias a la vez que incorporamos conocimientos. El alumno que sigue el programa con aprovechamiento desarrollará las siguientes competencias específicas de la privacidad y la protección de datos:

C6 Capacidad para analizar procesos de implementación del cumplimiento de las normas sobre protección de datos y otras normas sectoriales conexas.

C7 Capacidad para gestionar y supervisar la creación y mantenimiento del registro de actividades de tratamiento.

C8 Capacidad para identificar tratamientos y flujos de información sujetos a la legislación y diseñar proyectos de adecuación.

C9 Capacidad para evaluar la proporcionalidad, legalidad y viabilidad de los tratamientos de datos personales conforme a la legalidad vigente.

C10 Capacidad para informar al responsable o al encargado del tratamiento de las obligaciones que les incumben y documentar esta actividad.

C11 Capacidad para valorar prestaciones de servicios con acceso a datos personales y supervisar contratos de “encargado del tratamiento”.

C13 Capacidad para implementar modelos para cumplir con las obligaciones en materia de protección de datos (responsabilidad proactiva o accountability).

C14 Ser capaz de aplicar metodologías de protección de datos desde el diseño y protección de datos por defecto.

C15 Ser capaz de implementar modelos de gestión documental del cumplimiento de las obligaciones en materia de protección de datos (accountability).

C16 Capacidad para aplicar los principios de la evaluación de impacto de protección de datos.

C18 Capacidad para gestionar el diseño de procesos de recogida y tratamiento de datos personales en cualquier circunstancia (entrevista, formulario, formulario online, o proveniente de terceros).

C19 Capacidad para aplicar un procedimiento de trabajo en el ámbito de la protección de datos personales.

C22 Capacidad para detectar la necesidad de realizar consulta a la autoridad de protección de datos competente, de asesorar e informar al responsable respecto de las mismas y de elaborar y gestionar las consultas.

C23 Conocimiento de metodologías de análisis y gestión del riesgo, verificando las necesidades de seguridad en función del conjunto de amenazas que hay que considerar por su impacto en la protección de datos.

C25 Ser capaz de implementar los requerimientos de seguridad exigibles, realizar evaluaciones de impacto relativas a la protección de datos, gestionar violaciones de la seguridad de los datos.

C32 Capacidad para proponer metodologías de protección de datos desde el diseño y por defecto y, metodologías de análisis de impacto en la protección de datos en el desarrollo e implementación de proyectos.

C54 Conocimiento profundo de la legislación aplicable en materia de privacidad, incluyendo documentos elaborados por Autoridades de Control

Fechas del curso

4/03 – 24/03 (modulo teórico) 8/04 – 26/05 (modulo práctico)

Duración

10 semanas / 80 horas (2 módulos)

Formato

100% Online

FUNDAE

Bonificable

Precios

475€ (asociados) 950€ (no asociados) IVA incluido

Matricularse

Nuevo curso

En este nuevo programa se han unificado 2 cursos previos: el de Gestión de Riesgos y el de EIPD, que se impartían por separado. Se trata de una renovada edición de ambas acciones formativas, que se ha dividido en 2 módulos, una primera parte teórica de 3 semanas de duración que incluye los contenidos teóricos del curso, con acceso a documentación, vídeos, consulta vía foros de dudas y tutoría, y una segunda parte, exclusivamente práctica de 7 semanas de duración que ofrece la oportunidad de aplicar lo aprendido, mediante un Taller de ejecución ágil de las actividades necesarias para identificar, analizar, evaluar y tratar los riesgos derivados del tratamiento de datos personales, que el alumno podrá realizar de principio a fin, con la dedicación y dificultades que ello conlleva, siempre con la asistencia de los docentes y trabajando en grupo con sus compañeros

Profesorado

Ramón Miralles López

Actualmente socio profesional en Ecix, como Director de Calidad; previamente, durante más de catorce años Coordinador de Auditoria y Seguridad de la Información en la Autoridad Catalana de Protección de Datos de la Generalitat de Cataluña, responsable de la elaboración de la guía práctica sobre la evaluación de impacto relativa a la protección de datos (enero de 2018).

Licenciado en Derecho por la Universidad de Barcelona, colegiado del Ilustre Colegio de la Abogacía de Barcelona, con una experiencia profesional de más de 30 años en el sector de las TIC, con un perfil profesional entre la tecnología y el derecho, especializado en la gestión de riesgos de origen legal y tecnológico.

Los últimos 20 años dedicados a la auditoria y seguridad de las TIC con especial atención a todo lo relacionado con la privacidad y la protección de datos; ha obtenido diversas certificaciones Auditor de Sistemas de Información por la “Information Systems Audit and Control Association” (CISA-ISACA), “European Certificate on Cybercrime and Electronic Evidence” (ECCE), CLSP (Certified Lean Service Professional), y de mayo de 2012 a mayo de 2015 experto para ENISA (European Network and Information Security Agency) en Cyber-ejercicios y planes nacionales de contingencia, privacidad y protección de datos, y derecho relacionado con las TIC, en especial en materia de seguridad de la información.

Actualmente miembro de la junta directiva del capítulo de Barcelona de ISACA, así como cofundador del capítulo español de la “Cloud Security Alliance” y miembro de la actual junta directiva desde 2010, fundador y miembro de la junta directiva de la “Asociación de Expertos Nacionales de la Abogacía TIC” (ENATIC), miembro asimismo del Brussels Laboratory for Data Protection & Privacy Impact Assessments, y vocal de la Comisión de Transformación Digital del Ilustre Colegio de Abogados de Barcelona (2018).

Formador en diferentes cursos para la obtención de la certificación de delegado de protección de datos según el esquema de la Agencia Española de Protección de Datos y en titulaciones universitarias relacionadas con la tecnología y el derecho.

Beatriz Esquivel Jiménez

Jurista especializada en protección de datos, ciberseguridad y en gestión de riesgos. En la actualidad, Gerente en Ecix Group, especialista en materia de gestión de riesgos y evaluaciones de impacto (EIPD). Anteriormente Responsable del servicio de Marco Normativo de la Agencia de Ciberseguridad de Cataluña. Ha desarrollado la mayor parte de su carrera profesional en la Autoridad Catalana de Protección de Datos realizando actividades de consultoría y en el Registro de Protección de Datos de Cataluña.

Máster en Abogacía Digital y Nuevas Tecnologías por la Universidad de Salamanca (USAL) y Graduada en Derecho por la Universitat Oberta de Catalunya (UOC), complementando su formación con cursos de análisis y gestión de riesgos en el Centro Criptológico Nacional (CNI-CCN) y en la Universidad Politécnica de Cataluña (UPC). Un perfil profesional entre el derecho y la tecnología.

Cuenta con una amplia experiencia en protección de datos y recientemente ha participado de manera activa en el desarrollo e implantación de una metodología de gestión de riesgos derivados del tratamiento de datos de carácter personal y la elaboración de EIPDs.

Es miembro de la Asociación Profesional Española de Privacidad (APEP) y miembro de la Asociación de Expertos Nacionales de la Abogacía TIC (ENATIC), y ponente en titulación universitaria relacionada con la tecnología y el derecho.

LinkedIn:

Jacopo Edoardo Cortinovis

Abogado especializado en protección de datos, en gestión de riesgos y compliance. En la actualidad, Gerente en Ecix Group, especialista en materia de gestión de riesgos y evaluaciones de impacto (EIPD) y compliance. Anteriormente Abogado en Bufete Escura, área de compliance y protección de datos. Miembro del Ilustre Colegio de Abogados de Barcelona.

Licenciado en Derecho por la Università degli Studi di Milano (Italia), homologación de la licenciatura en la Universidad Abat CEU, Máster en abogacía de la Universidad Abat Oliba CEU, Postgrado en Compliance en la Universidad Pompeu Fabra, Lead Auditor ISO 27001 certificado IQNET – AENOR, así como cursos de especialización en materia de protección de datos y sistemas de gestión de seguridad de la información protección de datos.

Docente en máster y cursos de protección de datos y seguridad de la información.

Linkedin