Skip to content

Curso: Auditoría de Protección de Datos

Afrontar un proceso de auditoria de protección de datos implica dominar normativa muy variada, tener conocimientos técnicos, gestionar un proceso de principio a fin, comunicar decisiones e instrucciones a clientes y terceros. Llegar a buen puerto con un procedimiento bien articulado que haga que las organizaciones detecten sus posibles vulnerabilidades y mejoren su privacidad desde el diseño requiere de profesionales especialmente capacitados.

El nuevo auditor post RGPD y LOPDGDD debe de ser capaz de entender y asimilar un gran abanico de conocimientos jurídicos y técnicos que le permitan adaptarlos en la debida forma en cada caso particular. También debe de ser un excelente gestor de proyectos y personas y un comunicador eficiente. Poder llevar a cabo estos procesos con competencia y capacidad sólo se puede afrontar desde la base de una formación de carácter avanzado, en un entorno profesional, con recursos docentes de gran interacción y participación, más lógicamente varios años de experiencia poniendo todo lo aprendido en buena práctica.

Para el alumno de perfil jurídico, este curso proporciona una base sólida de conocimientos para poder abordar con competencia procesos de auditoria de sistemas de ámbito reducido. Para proyectos de mayor envergadura o implicaciones técnicas más complejas, este curso abre las vías para poder detectar cuándo necesitamos trabajar en equipo con un partner técnico.

Metodología

  • Programa intensivo
  • Ritmo semanal
  • Documentación + webinars + herramientas + uso de estándares técnicos.
  • Caso práctico integrador: un supuesto real sobre el que se realiza una auditoria virtual durante las 8 semanas de curso y se presenta en la ultima semana.
  • Accesibilidad y contacto permanente con los profesores.
  • Foro y comunidad con docentes y profesionales en el aula.
  • Trabajo en equipo.

En el curso simularemos de la manera más aproximada a la realidad cuál es la secuencia temporal y lógica de un proceso de auditoria, las personas implicadas, los flujos de información y responsabilidad en cada etapa del proceso, los entregables y documentables a producir según qué caso, cómo relacionarnos con nuestro cliente y con los terceros involucrados, y por ultimo como afrontar el famoso informe final para que sea un documento dinámico del que todos los intervinientes puedan extraer algo positivo que alimente el círculo virtuoso de mejora de las organizaciones.

¿Cómo lo haremos?

  • Webinars semanales de hora y ½ en horario compatible con la actividad profesional que también se ofrecen en diferido si no puedes asistir pero que te recomendamos encarecidamente que hagas.
  • Documentación de apoyo, recursos enfocados y guías.
  • Enfoque eminentemente práctico de principio a fin: trabajamos con una empresa casi real y avanzamos paso a paso en el proceso.
  • Debate y participación entre profesionales.
  • Evaluación continuada, con micro tests parciales.
  • Aprendizaje por competencias desde una perspectiva y un lenguaje no técnico.
  • Contenidos jurídicos transversales a lo largo del curso.

Programa

UNIDAD 1: ANTES DE COMENZAR  

  1. Funcionamiento del curso y trabajos prácticos
  2. En qué consiste una Auditoria y el proceso de identificación, verificación y valoración del cumplimiento
  3. Qué es un Sistema de Gestión de Seguridad de la Información y su importancia.

 

UNIDAD 2: LA PRE-AUDITORIA

  1. Entender el proceso de elaboración por fases de una Auditoria
  2. Determinar la viabilidad de la Auditoria de acuerdo con los intereses del auditado y la información o situación del mismo
  3. Cómo elaborar un Programa de Auditoria.

UNIDAD 3 : EJECUCIÓN: Cumplimiento normativo

  1. Inicio de la Auditoria
  2. Trabajo de campo
  3. Análisis del cumplimiento normativo del RGPD
  • Control y valoración del grado de cumplimiento de las obligaciones del Responsable.
  • Control y valoración del grado de cumplimiento de la base jurídica del tratamiento.
  • Control y valoración del grado de aplicación de los principios de protección de datos.
  • Control y valoración del grado de cumplimiento del deber de información.
  • Control y valoración del grado de atención y reconocimiento de los derechos de los interesados.
  • Análisis de los escenarios y de la evaluación de riesgos.
  • Control y valoración de la gestión del riesgo para los datos y derechos de terceros.
  • Control y valoración de la aplicación de las medidas de seguridad.

UNIDAD 4: EJECUCIÓN: Seguridad de la Información y MEDIDAS TÉCNICAS

  1. Problemas de Seguridad de la información
  2. La familia de normas ISO 27001 y al Esquema Nacional de Seguridad (ENS)
  3. Niveles de Seguridad (capas de cebolla)
  4. Medidas Técnicas generales descritas por una norma
  5. Qué pedir si existe un SGSI en la organización
  6. Análisis de Riesgos
  • Análisis de medidas de seguridad
  • Necesidad de análisis de riesgos de Datos Personales
  • Ejemplo de un SGSI y su documentación

7. Medidas técnicas. Medidas Organizativas de Seguridad

  • Para generar y garantizar el SGSI
  • Clasificación, uso e intercambio de la Información
  • Concienciación y Formación
  • Previsión de amenazas
  • Autorizaciones y revisiones
  • Proveedores
  • Gestión de Incidentes y Tareas

8. Generalidades sobre las medidas técnicas de seguridad

  • Virtualización
  • Criptografía
  • Configuración de Seguridad de sistemas

9. Seguridad en las comunicaciones

  • Continuidad
  • Seudonimización y Anonimización
  • Monitorización
  • Copias de Seguridad

UNIDAD 5: AUDITORIA DE UN COMPONENTE IA

  1. Definición y análisis de riesgos. Identificación y transparencia
  2. Propósito: finalidades, contexto, análisis de proporcionalidad, destinatarios, limitación de la conservación de datos.
  3. Si es necesaria la evaluación de impacto y las consecuencias para las categorías de interesados
  4. Identificación de los fundamentos del componente IA
  5. Gestión de los datos. Preparación de los datos personales
  6. Verificación y validación del componente IA: rendimiento, coherencia, Estabilidad, Trazabilidad y Seguridad

 UNIDAD 6: EL INFORME. 

  1. Elaboración del informe final
  2. Plan de implementación de medidas y garantías para gestionar las disconformidades de la auditoria.

 

Advertencia:

El Curso de Auditoria de Protección de Datos es un curso avanzado en privacidad y no conviene realizarlo sin conocimientos o experiencia previa en la materia. Se recomienda realizar los cursos introductorios y en particular Seguridad del Tratamiento: Aspectos Técnicos (para perfil no informático) salvo que el alumno tenga una base de conocimientos técnicos mínimos.

Objetivos académicos

  • Entender los fundamentos, alcance y necesidad de las auditorías de protección de datos.
  • Destreza para detectar deficiencias en una auditoría.
  • Ser capaz de auditar las necesidades de protección de datos de una organización teniendo en cuenta el ordenamiento sectorial.
  • Conocimiento profundo de la legislación aplicable en materia de protección de datos.
  • Ser capaz de crear un procedimiento propio de auditoría.
  • Ser capaz de redactar un informe de auditoría.
  • Ser capaz de verificar el grado de cumplimiento normativo en materia de protección de datos de una organización.
  • Ser capaz de trabajar en equipos multidisciplinares.
  • Ser capaz de identificar tratamientos responsables y encargados, tratamientos y flujos de información sujetos a la misma.
  • Informar y asesorar al responsable o al encargado del tratamiento de las obligaciones que les incumben.
  • Ser capaz de evaluar y verificar el cumplimiento de los objetivos de seguridad definidos por el RGPD y la normativa nacional.
  • Capacidad para planificar, concebir, desplegar y dirigir proyectos de auditoria de seguridad para evaluar las necesidades de protección de datos de una organización teniendo en cuenta el ordenamiento sectorial.
  • Informar y asesorar al responsable o al encargado del tratamiento de las obligaciones que les incumben y documentar esta actividad.
  • Capacidad para evaluar las necesidades sectoriales de protección de datos interpretando de modo sistemático las necesidades del negocio o ámbito de gestión.
  • Saber comunicar sus conclusiones y los conocimientos y razones últimas que las sustentan a públicos especializados y no especializados de un modo claro y sin ambigüedades
  • Liderazgo, orientación a la calidad
  • Planificación y organización
  • Compromiso con la organización
  • Iniciativa, capacidad de trabajo independiente

Competencias

Al finalizar el programa, el alumno desarrollará las competencias necesarias para comprender, desde un ámbito inicial a este tipo de prácticas, los fundamentos y principales conceptos relacionados con las auditorías de los sistemas de información, así como afrontar de manera solvente el proceso de la auditoria, desde la planificación hasta la comunicación del informe final.

En la formación APEP siempre desarrollamos competencias a la vez que incorporamos conocimientos. El alumno que sigue el programa con aprovechamiento desarrollará las siguientes competencias específicas de la privacidad y la protección de datos:

C4      Ser capaz de definir el ámbito de aplicación de la legislación vigente, identificar tratamientos y flujos de información sujetos a la misma.C46       Ser capaz de auditar las necesidades de privacidad de una organización teniendo en cuenta el ordenamiento sectorial.

C8      Capacidad para identificar tratamientos y flujos de información sujetos a la legislación y diseñar proyectos de adecuación.

C13    Capacidad para implementar modelos para cumplir con las obligaciones en materia de protección de datos (responsabilidad proactiva o accountability).

C14    Ser capaz de aplicar metodologías de protección de datos desde el diseño y protección de datos por defecto.

C15    Ser capaz de implementar modelos de gestión documental del cumplimiento de las obligaciones en materia de protección de datos (accountability).

C23    Conocimiento de metodologías de análisis y gestión del riesgo, verificando las necesidades de seguridad en función del conjunto de amenazas que hay que considerar por su impacto en la protección de datos.

C28    Conocimiento de los estándares internacionales y de tecnologías en materia de la seguridad de la información.

C47    Planificar, concebir, desplegar y dirigir proyectos de auditoria

C48    Destreza para detectar deficiencias en todo tipo de organizaciones

C49    Ser capaz de elaborar un informe de auditoria, conclusiones y recomendaciones de adaptación

C50    Conocimiento de los estándares internacionales de auditoría de sistemas de gestión y técnicas de auditoría.

C51    Capacidad para aplicar un procedimiento de trabajo en el ámbito de la protección de datos personales.

Fechas del curso

Del 20 de mayo al 14 de julio 2024

Duración

8 semanas / 80 horas

 

Formato

100% Online

FUNDAE

Bonificable

Precios

450€ (asociados) 900€ (no asociados) IVA incluido

Lo que dicen nuestros alumnos

“Se trata de un curso eminentemente práctico, dividido en auditoría normativa y técnica, aunque confluyendo finalmente. Los docentes son profesionales con gran experiencia, altamente capacitados y con facilidad de comunicación de sus conocimientos. Un curso completo en el que, a pesar de no existir sistemas estandarizados, se consigue asimilar la metodología. Altamente recomendable”

“Valoro muy positivamente el curso realizado, empezando por los profesores que han estado en todo momento muy pendientes de los alumnos hasta la plataforma, que entiendo que es un mecanismo apropiado para impartir las clases y compartir contenidos”

Encuesta de valoración 2020

Júlia Bacaria Gea

Abogada especializada en derecho en entornos digitales con más de diez años de experiencia en protección de datos.
CEO de Global Legal Data.
Vicepresidenta de la Sección de Derecho de la Sociedad de la Información del Colegio de la Abogacía de Barcelona.
Delegada de Protección de Datos certificada por ISMS Forum y EIPA.
Legal Expert by European Privacy Seal (EuroPriSe).
Profesora en diversos másters en el marco del derecho de la privacidad y la protección de datos.

LinkedIn

Ricardo Sánchez Berbegal

Ricardo Sánchez Berbegal es Ingeniero Técnico en Informática, Máster Oficial en Software Libre y tiene diversos postgrados con el título de Experto Universitario en Seguridad de la Información, Comercio electrónico, Desarrollo de Aplicaciones y Virtualización y Computación en la Nube. En Seguridad de la Información añade también cursos sobre Hacking Ético y Protección de Datos personales. Además, es Auditor Jefe de la ISO 27001 por AENOR.

Ricardo lleva trabajando desde 1988 como informático en diversas facetas de los ambientes de desarrollo de aplicaciones y sistemas para empresas de servicios. Desde el 2012 centra su labor profesional como consultor, formador y auditor en las normas ISO 27001, ISO 22301 y Esquema Nacional de Seguridad respecto a la Seguridad de la Información, en la norma ISO 20000-1 respecto a la Gestión de Procesos TIC y en la Gestión de Proyectos Ágiles con SCRUM.

LinkedIn

Luis alberto Fantini
Volver arriba