Coordinació d’Auditoria i Seguretat de la Informació 12 de desembre de 2007

Pla d’Auditoria i Control d’Ofici per a la verificació del compliment del dret

d’informació en la recollida de dades, regulat a l’art. 5 de la Llei 15/1999

Coordinació d’Auditoria i Seguretat de la Informació

12 de desembre de 2007

Pàgina 2Coordinador d’Auditoria i Seguretat de la Informació

Agenda

Presentació: plans d’auditoria i control d’ofici de l’APDCAT

Informació pla d’auditoria i control d’ofici per a la verificació del compliment del dret d’informació en la recollida de dades

Definició de criteris mostrals, disseny i selecció de la mostra d’entitats locals


Control d’ofici

• Llei 5/2002 de l’Agència Catalana de Protecció de Dades

art. 4.1 preveu les competències de:• Registre, control, inspecció, sanció, resolució i

adopció de propostes i instruccions

art. 5.1 a) preveu la funció de:• “Vetllar pel compliment de la legislació vigent sobre

protecció de dades de caràcter personal i controlar-ne l’aplicació ...”


Característiques i objectius mecanisme de control = auditoria

Realització d’auditories planificades:

1. A les entitats i tractaments inclosos a l'àmbit de competències i funcions de l’Agència

2. Verificació i avaluació de les condicions en què són tractades les dades de caràcter personal en relació a la normativa de protecció de dades

3. Caràcter preventiu amb recomanacions finals i orientació respecte de bones pràctiques

Objectius:

1. Fer una aproximació a la situació real dels tractaments en relació al compliment de la normativa

2. Apropar-se a les diferents realitats de les administracions públiques catalanes

3. Facilitar l'adequació a la normativa

4. De forma general, ajudar a un major coneixement i una millor protecció del dret


Procés de control

Detectar Verificar Recomanar Adequar Avaluar Informar Observar

El procés de control s’ordena en ...

“Plans d’Auditoria i Control d’Ofici”


Plans d’Auditoria i Control

La seva execució implica:

1. Dedicar-hi recursos humans especialitzats: auditors de sistemes d’informació de l’equip d’Auditoria i Seguretat de la Informació de l’APDCAT, coordinats amb la resta d’àrees de l’Agència.

2. Determinar un contingut:

a. Objectiu del programab. Tractaments afectats pel control d’oficic. Abast territoriald. Entitats afectadese. Terminis d’execució

3. Aplicar un procediment dissenyat per l’APDCAT


Procediment per fases

1. Preparatòria Disseny i difusió del pla

2. Execució Auditoria i recomanacions individuals d’adaptació, amb terminis d’implementació

3. Revisió Estat de la implantació de les recomanacions

4. Consolidació Conclusions finals del pla i recomanacions generals


Pla d’auditoria i control d’ofici per a la verificació del compliment

del dret d’informació en la recollida de dades


Pla d’Auditoria: dret d’informació

• Objectiu: la finalitat d’aquest pla es verificar la situació de compliment del que preveu l’art. 5.1 de la LOPD respecte al dret d’informació que ha de facilitar el responsable del tractament, a la persona afectada, en el moment de la recollida d’informació.

“Article 5Dret d’informació en la recollida de dades1. Els interessats als quals se sol·licitin dades personals han de ser prèviament informats de manera expressa, precisa i inequívoca:

a) De l’existència d’un fitxer o un tractament de dades de caràcter personal, de la finalitat de la recollida de les dades i dels destinataris de la informació.

b) Del caràcter obligatori o facultatiu de la resposta a les preguntes que els siguin plantejades.c) De les conseqüències de l’obtenció de les dades o de la negativa a subministrar-les.d) De la possibilitat d’exercir els drets d’accés, rectificació, cancel·lació i oposició.e) De la identitat i la direcció del responsable del tractament o, si s’escau,del seu representant.

.../...”


Motius

La recollida de dades es situa a l’inici del tractament i és essencial que les garanties ja hi siguin presents. El titular de les dades pren consciència dels drets que es generen al proporcionar la seva informació personal

El responsable del tractament ha de ser conscient que la recollida de dades implica ja l’inici del tractament de dades personals i, per tant, que ha de donar resposta a uns drets i assumir unes obligacions que impliquen protegir la informació personal que li ha estat confiada


Verificacions

• A grans trets, la verificació s’adreçarà a:

1.Comprovar si en els processos de recollida d’informació es proporciona, o no, la informació prevista a l’art. 5

2.Analitzar si la informació que es proporciona compleix amb els continguts i característiques previstos a l’art. 5.


Tractaments afectats

En el programa s’inclouen totes les tipologies de processos de recollida de dades:

processos de caràcter electrònic (formularis electrònics i / o pàgines web, correus electrònics, mòbils, etc.)

processos manuals (presencial, formularis en paper, correu postal, fax, telèfon, etc.)

S’exclouen els drets d’informació vinculats a la recollida de dades de caràcter personal que es realitzin, per exemple, mitjançant càmeres de videovigilància, és a dir que nomes afectarà a dades que puguin ser susceptibles d’una transcripció textual o alfanumèrica. Se n’exclouen per tant les imatges, però s’hi inclouen, per exemple, les que es puguin derivar de la veu (serveis d’atenció telefònica).


Entitats incloses en aquest pla

1. Tots els departaments que formen l’Administració de la Generalitat de Catalunya

2. Les 4 diputacions i una tria de consells comarcals i d’ajuntaments de Catalunya, basada en criteris mostrals segons la metodologia i amb la col·laboració de l’Equip d’Estudis d’Administració Pública del Departament de Ciències Polítiques i Socials de la Universitat Pompeu Fabra

3. Totes les universitats que integren el sistema universitari català


Pla d’actuació (1/2)1. Fer públic l’inici del pla

2. Contactar amb les entitats seleccionades i sol·licitar un interlocutor per participar en tot el pla d’auditoria

3. Demanar a l’interlocutor que identifiqui els processos de recollida de dades de caràcter personal que realitza l’entitat

4. L’APDCAT seleccionarà els processos de recollida de dades que de cada entitat seran objecte d’auditoria (de 3 a 4):

a. 1 procés comúb. 1 procés molt repetitiuc. 1 procés amb dades d’especial sensibilitatd. 1 d’altres (excepcional)

5. Sol·licitar a l’interlocutor la tramesa d’informació detallada dels mecanismes relacionats amb els processos de recollida seleccionats


Pla d’actuació (2/2)

6. S’analitzarà la informació rebuda per verificar i avaluar els aspectes previstos al pla

7. S’elaborarà un informe per a cada entitat sobre la situació i recomanacions per a l’adequació, amb un període per realitzar-la

8. Una vegada elaborats i tramesos tots els informes individuals, s’elaborarà i farà públic un informe global de situació i recomanacions

9. Una vegada finalitzat el període d’adaptació, es verificarà quin ha estat el grau de compliment i dificultats per atendre les recomanacions realitzades

10. S’analitzarà la informació referida al procés d’adaptació a les recomanacions i s’elaborarà i publicarà un informe final de conclusions del pla, amb especial èmfasi en la situació trobada inicialment, les mesures correctores proposades, les dificultats i el nivell de compliment de les recomanacions, i amb dades quantitatives i qualitatives sobre la situació abans i desprès de l’actuació


Calendari

I, per últim, els terminis:

Comunicació pública del pla: 12/12/2007

Inici de contactes amb les entitats seleccionades:

15/1/2008

Informe de situació i recomanació:

juliol de 2008

Informe final de conclusions: desembre de 2008


Ramón Martín Miralles LópezCoordinador d’Auditoriai Seguretat de la Informació

e-mail: [email protected]:// www.apd.cat

Informació sobre els Plans d’Auditoria i Control d’Ofici

Tel.: 93.551.19.00

[email protected]

Coordinació d’Auditoria i Seguretat de la Informació 12 de desembre de 2007

Documents

Transcript of Coordinació d’Auditoria i Seguretat de la Informació 12 de desembre de 2007