Sinopsis

La presente Obra, trata de proporcionar un instrumento de trabajo práctico y eficaz para aquellos que quieran superar con éxito el Curso de Delegado de Protección de Datos (DPD/DPO). La rigurosidad con que están concebidas las pruebas, exige una alta preparación por parte del alumno, que debe conocer
en profundidad el contenido del programa homologado por la AEPD para el acceso a esta nueva titulación, donde prima el conocimiento exhaustivo de la normativa vigente, y en el que es fundamental, por tanto, el conocimiento del Reglamento General de Protección de datos, de la Ley Orgánica 3/2018, de
5 de diciembre, y de aquellas otras normas de carácter complementario, pero que son muy especializadas en este ámbito de actuación.
En esta Obra, se ha procedido a desarrollar aquellas cuestiones que componen el temario de los llamados "DOMINIO 2" y "DOMINIO 3", a los efectos de facilitar al profesional interesado en la protección de datos personales y al futuro DPD/DPO, la mejor y más práctica comprensión de aquellas cuestiones que integran ambos "DOMINIOS".

Índice

Dominio II
Responsabilidad activa
Análisis y gestión de riesgos de los tratamientos de datos personales 15
1. Introducción. Marco general de la evaluación y gestión de riesgos. Conceptos generales 15
2. Evaluación de riesgos. Inventario y valoración de activos. Inventario y valoración amenazas. Salvaguardas existentes y valoración de su protección. Riesgo resultante 20
3. Gestión de los riesgos. Conceptos. Implementación. Selección y asignación de salvaguardas a amenazas. Valoración de la protección. Riesgo residual, riesgo aceptable y riesgo inasumible 21
3.1. ¿Cómo se lleva a cabo esta gestión de riesgos? 23
3.2. La identificación de riesgos 23
3.3. El análisis de los riesgos: Definición 27
Las metodologías de análisis y gestión de riesgos 37
1. Introducción 37
2. Las metodologías de análisis y gestión de riesgos 41
3. Posibles escenarios de Riesgo del Reglamento (UE) 2016/679 55
El programa de cumplimiento de protección de datos y seguridad en una organización. Introducción al cumplimiento normativo: El Código Penal Español y la Ley Orgánica 1/2015 61
1. El Diseño y la implantación del programa de protección de datos en el contexto de la organización 66
2. Objetivos del programa de cumplimiento 85
3. La Accountability: La trazabilidad del modelo de cumplimiento 86
La seguridad de la información 91
1. Marco normativo. Esquema Nacional de Seguridad y directiva NIS: Directiva (UE) 2016/1148 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión. Ámbito de aplicación, objetivos, elementos principales, principios básicos y requisitos mínimos 91
1.1. Esquema nacional de seguridad 92
1.1.1. Relación con el Esquema Nacional de Interoperabilidad 94
1.1.2. Sujetos a los que se aplica 94
1.1.3. CCN-STIC: normas, instrucciones, guías y recomendaciones del CCN-CERT 95
1.1.4. Principios básicos y requisitos mínimos 95
1.1.5. Categorización 101
1.1.6. Las medidas de seguridad 102
1.1.7. Plan de Adecuación 103
1.2. Directiva NIS (UE) 2016/1148 104
1.3. Real Decreto-Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información 125
2. Ciberseguridad y gobierno de la seguridad de la información. Generalidades. Misión, y gobierno efectivo de la Seguridad de la Información (SI). Conceptos de SI. Alcance. Métricas del gobierno de la SI. Estado de la SI. Estrategia de SI 127
2.1. Gobierno efectivo de la Seguridad de la Información 128
2.2. Las métricas IT 132
3. Puesta en práctica de la seguridad de la información. Seguridad desde el diseño y por defecto. El ciclo de vida de los Sistemas de Información. Integración de la seguridad y la privacidad en el ciclo de vida. El control de calidad de los SI 132
Evaluación de Impacto de Protección de Datos “EIPD” 139
1. Introducción y fundamentos de las EIPD: Origen, concepto y características de las EIPD. Alcance y necesidad. Estándares 139
2. Breve referencia a la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de derechos digitales 150
3. Realización de una evaluación de impacto. Aspectos preparatorios y organizativos. Análisis de la necesidad de llevar a cabo la evaluación y consultas previas 153
La gestión de riesgos 165
Dominio III
técnicas para garantizar el cumplimiento de la normativa de protección de datos
LA AUDITORÍA DE PROTECCIÓN DE DATOS 173
1. El proceso de auditoría. Cuestiones generales y aproximación a la auditoría. Características básicas de la Auditoría. Referencias legislativas 173
2. Las características básicas de una auditoría 177
3. Otras consideraciones de una auditoría de cumplimiento en protección datos 178
4. Las fases de un proyecto de auditoría 179
5. La importancia del informe de auditoría 180
6. Aspectos básicos del informe de auditoría 181
6.1. Inventario 181
6.2. Verificación 183
6.3. Contenido. Elaboración del informe final. Cuarta fase del Proyecto 184
LOS CRITERIOS ORIENTADORES PARA EVALUACIÓN DE LAS MEDIDAS CORRECTORAS 187
1. La aplicación de los principios inspiradores de la reforma 187
2. La ponderación de los principios constitucionales y los bienes jurídicos yuxtapuestos 189
3. Estas técnicas deberán ser aplicadas también respecto de las leyes estatales y otros antecedentes 190
4. La aplicación analógica de otros sectores 190
5. Los criterios orientativos de las normas de calidad 190
6. La ejecución y seguimiento de acciones correctoras 191
6.1. Introducción 191
6.2. Propósito 192
6.3. Correcciones y acciones correctivas 192
6.3.1. No conformidades y correcciones 192
6.3.2. Acciones correctivas 193
6.3.3. La aplicación de medidas correctivas 193
6.3.4. La validez y gestión documental 194
6.3.5. Formulario por cada acción correctiva 194
LA AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN 195
1. Introducción a la función de la auditoría en los sistemas de información. Conceptos básicos. Estándares y directrices de auditoría de los Sistemas de Información 195
2. La Auditoría 196
3. El carácter interdisciplinar de la auditorÍa informática 197
4. Objetivos 198
5. Pasos para realizar en una auditorÍa informática 199
6. Controles 208
7. Conclusiones 208
8. Catálogo de Estándares 209
9. Introducción al control interno y mejora continua. Buenas prácticas. Integración de la auditoría de protección de datos en la auditoría de un sistema de información 210
10. La importancia del ciclo de mejora continua 210
11. El ciclo de gestión 211
12. La correspondencia entre el sistema de control interno y las fases del modelo PDCA 212
12.1. La fase 1. Plan (Planificar) 212
12.2. La fase 2. Do (Hacer) 212
12.3. La fase 3. Check (Verificar) 213
12.4. La fase 4. Act (Actuar) 213
13. Los ciclos sucesivos 214
14. La monitorización continua del control 214
15. La selección de controles 215
16. El diseño de reglas de supervisión automáticas 215
17. La metodología de una auditoría de sistemas 216
17.1. La definición y alcance de los objetivos 216
17.2. El estudio inicial del entorno 216
17.3. La asignación de recursos necesarios 217
17.4. La planificación de la auditoría 217
17.5. La ejecución de las tareas propias de la auditoría 217
17.6. La elaboración del informe 218
18. Los objetivos habituales de una auditoría de sistemas 218
18.1. Los análisis de vulnerabilidades 218
18.2. La resolución de las vulnerabilidades encontradas 219
18.3. La planificación de respuesta de incidentes 219
18.4. La seguridad como proceso continuo 219
LA GESTIÓN DE LA SEGURIDAD DE LOS TRATAMIENTOS 221
1. El Esquema Nacional de Seguridad 221
1.1. Los objetivos del ENS 223
1.2. El contenido del ENS 224
1.3. Las herramientas del ENS 225
2. El sistema de gestión de seguridad de la información 225
2.1. Los objetivos y beneficios de un SGSI 225
2.2. El plan de implantación del SGSI 226
2.3. Los requisitos y factores de éxito del SGSI 227
3. La introducción a la gestión de la Seguridad de los Activos. Seguridad lógica y en los procedimientos. Seguridad aplicada a las TI y a la documentación 227
3.1. La clasificación de las medidas de seguridad lógicas 227
3.2. Algunos ejemplos de medidas y procedimientos de seguridad 228
3.3. El control de Acceso 230
3.4. La gestión de Identidades (IAM) 232
3.5. Conclusiones 232
4. Introducción a la recuperación de desastres y continuidad del negocio. Protección de los activos técnicos y documentales. Planificación y gestión de la recuperación del desastres 233
4.1. Objetivos 233
4.2. La implementación y mantenimiento – ISO 22301 233
4.3. El contenido de la ISO-22301 234
5. Otros conocimientos: el Cloud Computing 235
5.1. El Cloud Computing. Definición 235
5.2. Ventajas e inconvenientes del procesamiento en la nube 237
5.3. Tipos de nube 240
5.3.1. Nube pública 240
5.3.2. Nube privada 240
5.3.3. Nube híbrida 241
5.4. Las modalidades de servicio 241
5.5. Las aplicaciones y servicios en la nube. 241
5.6. La normativa y los elementos del contrato aplicables a Cloud Computing. 242
5.7. Cloud Computing y protección de datos 244
5.8. Cloud Computing y las transferencias internacionales de datos 245
5.9. La calidad de los servicios de Cloud Computing 245
6. Otros conocimientos: los smartphones y la protección de datos 247
6.1. Introducción a los smartphones 248
6.2. La evolución de los terminales móviles 248
6.3. La protección de datos en los smartphones 249
6.4. Los riesgos relativos a la protección de datos en nuestros smartphones 249
6.5. Las medidas de seguridad aplicables 250
7. El internet de las cosas (IoT) 251
7.1. Introducción a internet de las cosas 252
7.2. La legislación vigente aplicable a internet de las cosas. 253
7.3. La monitorización y el perfilado en internet de las cosas 253
7.4. El Reglamento (UE) 2016/679 e Internet de las Cosas (IoT) 254
8. Big Data y elaboración de perfiles 254
8.1. ¿Qué es Big Data? 255
8.2. Las ventajas, inconvenientes y características de Big Data 256
8.3. La legislación aplicable a Big Data, y los elementos del contrato 257
9. Otros conocimientos: las redes sociales 259
9.1. Introducción a las redes sociales 259
9.2. La protección de datos en las Redes Sociales 260
10. Otros conocimientos: las tecnologías de seguimiento de usuario 261
10.1. Introducción a las tecnologías de seguimiento del usuario 261
10.2. La normativa aplicable a las tecnologías de seguimiento del usuario 263
10.3. Los requisitos y procedimientos aplicables a dichas tecnologías 264
11. Otros conocimientos: Blockchain y últimas tecnologías 264
11.1. Introducción a la técnica Blockchain 264
11.2. ¿Qué es el Blockchain, cómo funciona y qué ventajas trae consigo? 265
11.3. El Blockchain vs el Reglamento (UE) 2016/679 266