Gestión de riesgos en el RGPD: evaluación y tratamiento

Formacion

El riesgo está presente en cualquier actividad, sea empresarial o personal, conocer los mecanismos para su evaluación y mitigación es imprescindible en cualquier circunstancia.

Cada vez más, la gestión empresarial se rige por decisiones sustentadas en el conocimiento de todos los tipos de riesgos que puedan concurrir, el caso del tratamiento de datos personales es evidente, pero hay otras muchas situaciones donde la toma de decisiones, basada en riesgos, nos va a ser de extrema utilidad.

En el curso se va a abordar la gestión de riesgos tanto en relación al tratamiento de datos personales, como en relación al uso de las tecnologías de la información y la comunicación.

El mero uso de las tecnologías de la información y la comunicación en sí mismo genera riesgos de manera inherente, que deben ser correctamente evaluados a fin de adoptar las decisiones más adecuadas que permitan su mitigación: el objetivo es reducir los riesgos a niveles que sean aceptables.

Objetivos académicos

Curso destinado a formar en la gestión práctica de los riesgos derivados del tratamiento de datos personales. Partiendo de los requisitos del RGPD y de la LOPDGDD y aplicando metodologías estándares de gestión de riesgos, se seguirá un método de trabajo sistemático, que progresivamente irá cubriendo todas las etapas necesarias para evaluar y tratar los riesgos asociados a los derechos y libertades de los interesados.

Con el curso se adquirirán los conocimientos teóricos y prácticos necesarios para llevar a cabo la gestión de riesgos conforme a lo dispuesto en el RGPD y en la LOPDGDD, siendo de aplicación tanto a los tratamientos de alto riesgo, como al resto de tratamientos que no requieren de evaluación de impacto.

Metodología

Durante el desarrollo de todo el curso abordaremos los riesgos desde la perspectiva de un supuesto practico relacionado con el tratamiento de datos personales, pero no exclusivamente, ya que también van a concurrir situaciones derivadas del uso de las tecnologías de la información y la comunicación fuera de sus entornos habituales, como por ejemplo, en situaciones de teletrabajo o de limitación en el acceso a lugares de trabajo.

Competencias

De manera específica, al final del curso, el alumno será capaz de:

Entender los fundamentos, alcance, necesidad y régimen jurídico de la gestión del riesgo en el marco de los tratamientos de datos personales.
Adquirir los conocimientos prácticos necesarios para llevar a cabo los trabajos de evaluación del riesgo: identificación, análisis y valoración.
Adquirir los conocimientos prácticos necesarios para tomar las decisiones y seleccionar los controles que permitan mitigar los riesgos.
Adquirir una base de conocimientos teóricos que le permitan adaptar las propuestas metodológicas existentes a las necesidades profesionales relacionadas con la gestión de riesgos.
Incorporar la gestión de riesgos a sus capacidades profesionales, con aplicación tanto a responsabilidades generales en la gestión de la protección de los datos de carácter personal en las organizaciones (por ejemplo, función de DPD o de soporte al DPD), o como analista de riesgos externo.

Programa

Unidad 1: Introducción: fundamentos y teoría general del riesgo.

Planteamiento del supuesto práctico.

Unidad 2: El riesgo en el RGPD.

Riesgos de incumplimiento normativo: afectación a derechos y libertades
Riesgos para la seguridad de los datos personales: afectación a la confidencialidad, integridad y disponibilidad

Unidad 3: Metodologías base para la gestión de riesgos.

Estándares: UNE/ISO 31000.
MAGERIT.
Propuestas de las autoridades de control: AEPD y CNIL.
Herramientas de apoyo a la gestión de riesgos.

Unidad 4: Evaluación del riesgo (I).

Identificación de amenazas: el catálogo de amenazas
Análisis de los factores de riesgo: capacidad de las fuentes de riesgo y vulnerabilidades

Unidad 5: Evaluación del riesgo (II).

Valoración del riesgo (probabilidad y gravedad).
Métodos de cálculo del riesgo: método CNIL y MOSLER.
Valoración de la eficacia de los controles para mitigar el riesgo

Unidad 6: Tratamiento del riesgo: opciones para la mitigación.

Catálogo de controles
Planes de continuidad del negocio
Políticas del uso de las TIC por parte de los empleados
Los planes de teletrabajo

Unidad 7: Informe de riesgos y plan de acción. Revisión de los riesgos.

Planes de acción y seguimiento de la implementación de los controles
Supervisión y mejora continua
La auditoría de protección de datos

Unidad 8: Introducción a los sistemas de gestión del cumplimiento: la primera línea de defensa frente a los riesgos.

UNE-ISO 19600
ISO 27701
ISO 27001

Fechas del curso

20/04/20 – 14/06/20

Duración

8 semanas / 60 horas

Formato

100% Online

Precios

300€ (asociados) 600€ (no asociados) IVA incluido

Matricularse

Testimonios

“El material del curso es excelente y ha facilitado la implicación en el curso. Buen curso y he aprendido muchísimo, el caso práctico único va enlazando las actividades de todo el curso. Exige bastante compromiso y marca un buen ritmo, pero sin duda merece la pena”.
“Los profesores son exigentes y muy atentos a los foros. No es un curso para descargarse la documentación sino para involucrarse y aprender”.

Encuesta valoración 2019

Ramón Miralles López

En la actualidad socio profesional y Director de Calidad en Ecix Group, anteriormente Coordinador de Auditoria y Seguridad de la Información en la Autoridad Catalana de Protección de Datos.

Licenciado en Derecho por la Universidad de Barcelona, miembro del Ilustre Colegio de Abogados de Barcelona, con una experiencia profesional de más de 30 años en el sector de las TIC, dedicados fundamentalmente a dirigir proyectos de modernización e innovación en las administraciones públicas, un perfil profesional entre la gestión, la tecnología y el derecho.

Auditor Certificado de Sistemas de Información por la “Information Systems Audit and Control Association” (CISA-ISACA, 2007-2012), “European Certificate on Cybercrime and Electronic Evidence” (ECCE, 2010), CLSP (Certified Lean Service Professional, 2010), curso de especialización en Gestión de la Seguridad Pública de la UOC (2011), y de mayo de 2012 a mayo de 2015 experto para ENISA (European Network and Information Security Agency) en Cyber-ejercicios y planes nacionales de contingencia, privacidad y protección de datos, y derecho relacionado con las TIC, en especial en materia de seguridad de la información.

Miembro de la junta directiva del capítulo de Barcelona de ISACA entre 2008 y 2012, y actualmente desde 2018, así como cofundador del capítulo español de la “Cloud Security Alliance” y miembro de la actual junta directiva desde 2010, fundador y miembro de la junta directiva de la “Asociación de Expertos Nacionales de la Abogacía TIC” (ENATIC) desde 2012, miembro de la red del “Brussels Laboratory for Data Protection & Privacy Impact Assessments” (d.pia.lab), colaborador como consultor en el programa “Eurosocial” de la Comisión Europea y miembro activo en diferentes grupos de trabajo, incluyendo la Comisión de Transformación Digital del ICAB.

Actualmente docente y coordinador en diferentes másters universitarios y cursos relacionados con el derecho de las tecnologías de la información y la comunicación, a destacar: “School of Continuing Education” de la Universidad de Barcelona, ESADE (facultad de derecho), Universidad de Salamanca, “Online Business School”, Universidad Internacional de Cataluña, Ilustre Colegio de la Abogacía de Barcelona, APEP y DPI-ISMS Forum; así como autor de artículos y obras colectivas. Conferenciante habitual en eventos relacionados con el derecho y las TIC, en especial sobre la seguridad de la información y la protección de los datos de carácter personal.

Linkedin: https://es.linkedin.com/in/ramonmiralles

Beatriz Esquivel Jiménez

Jurista especializada en protección de datos, ciberseguridad y en gestión de riesgos. En la actualidad, Consultora de Ecix Group, especialista en materia de gestión de riesgos y evaluaciones de impacto (EIPD). Anteriormente Responsable del servicio de Marco Normativo del Centro de Seguridad de la Información de Cataluña (CESICAT). Ha desarrollado la mayor parte de su carrera profesional en la Autoridad Catalana de Protección de Datos realizando actividades de consultoría y en el Registro de Protección de Datos de Cataluña.

Máster en Abogacía Digital y Nuevas Tecnologías por la Universidad de Salamanca (USAL) y Graduada en Derecho por la Universitat Oberta de Catalunya (UOC), complementando su formación con cursos de análisis y gestión de riesgos en el Centro Criptológico Nacional (CNI-CCN) y en la Universidad Politécnica de Cataluña (UPC). Un perfil profesional entre el derecho y la tecnología.

Cuenta con una amplia experiencia en protección de datos y recientemente ha participado de manera activa en el desarrollo e implantación de una metodología de gestión de riesgos derivados del tratamiento de datos de carácter personal y la elaboración de EIPDs.

Es miembro de la Asociación Profesional Española de Privacidad (APEP) y miembro de la Asociación de Expertos Nacionales de la Abogacía TIC (ENATIC).

LinkedIn: https://linkedin.com/in/beatriz-esquivel-1488b5141

Jacopo Edoardo Cortinovis

Abogado especializado en protección de datos, en gestión de riesgos y compliance. En la actualidad, Abogado/consultor de Ecix Group, especialista en materia de gestión de riesgos y evaluaciones de impacto (EIPD) y compliance. Anteriormente Abogado en Bufete Escura, área de compliance y protección de datos. Miembro del Ilustre Colegio de Abogados de Barcelona.

Licenciado en Derecho por la Università degli Studi di Milano (Italia), homologación de la licenciatura en la Universidad Abat CEU, Máster en abogacía de la Universidad Abat Oliba CEU, Postgrado en Compliance en la Universidad Pompeu Fabra, así como cursos de especialización en materia de protección de datos.

Colaborador en revistas jurídicas italianas de compliance y protección de datos y miembro de Comité Técnico de UNI (Asociación italiana de Normalización).

Linkedin: http://linkedin.com/in/jacopo-cortinovis-2066a237/