Módulo V. Control de Riesgos en la Empresa. ASPECTOS...

ASPECTOS FORMALES DE LA GESTION DEL RIESGO EMPRESARIAL. EIPD

Ponente: Manuel Peña ZafraAbogado. Economista.Miembro de Responsia Compliance, S.L. y Vicepresidente del Grupo de Prevención de Blanqueo de Capitales del Colegio de Abogados de Granada

Módulo V. Control de Riesgos en la Empresa.

II EDICIÓN

2

Todaactividadempresarialsuponeunriesgo.

u Riesgoeconómicou  Interrupcióndelnegociou Catástrofesnaturalesu Riesgoslegalesu Riesgosreputacionalesu  Inherentesalnegociou Riesgospolíticosu Riesgosrelacionadosconelpersonalu Riesgosmedioambientales.u Riesgosdeincendio.

El análisis o evaluación es elestudio de las causas de lasposiblesamenazasyprobableseventos no deseados y losdaños y consecuencias queestospuedenproducir.

“UnagestiónfinancieraeficazhadecuidarseigualdelriesgoquedelosRendimientos”.KaplanyNorton“cuadrodemandoIntegral

3

En el ámbito de la banca y entidades financieras suele considerasemateriasesencialesde“Compliance”laadaptaciónalMIFID,BasileaII, la normativa de Prevención de Blanqueo de Capitales yFinanciacióndelTerrorismo, lanormativasobreproteccióndedatospersonales,normativaqueimpactasobrelosderechosdeclientesyelcumplimientodelcódigoético.

Las amenazas que se derivan del incumplimiento de obligacioneslegalesycontractualesdebentenerseenconsideracióna losefectosdedisponerdeunmapaderiesgoscompleto,asícomodeunsistemade gestión que permita identificarlos, valóralos y gestionarlos deformaadecuada.

Ensectoresregulados,esdondesehaobservadomayordesarrolloenelcontrolde losriesgos legales, loquehadado lugara lafiguradelChiefComplianceOfficer,encargadodevigilarelcumplimientoestrictodel marco regulatorio de la actividad, así como de determinadaspolíticasyprocedimientosinternos.

4

COMORESUMEN:ü  CADA AREA FUNCIONAL, supone un universo con sus propios

riesgoslegales.ü  EXISTEN FOCOS COMUNES, en la practica totalidad de áreas

funcionales.ü  ¿ Delegado de protección de datos, OCI,.., = Oficial de

cumplimiento?

“ La carga regulatoria ha llegado tan lejos que una empresa quequieraejercersuactividadenvariascomunidadesautónomas,puedellegararegirsepormásde700Normaslegales”.

La complejidad del control de riesgos legales no coincide ya con elesquemadocentetradicional,laactividadpropiadeunjuristaexpertoen riesgosde laempresa sin la colaboracióndeunexpertodel áreaeconómica, difícilmente podrá realizar una identificación ydiagnostico inicial de los riesgos, en que se puede ver afectada laorganización, lo que produciría un fuerte desequilibrio en el controljurídicodelosmismosyportantounadescompensaciónenelcontrolderiesgos.

5

LALEGISLACIONEUROPEA:Reglamento(UE)2016/679delParlamentoEuropeoydelConsejo,de27deabril de 2016, relativo a la protección de las personas físicas en lo querespecta al tratamiento de datos personales y a la libre circulación deestosdatosArtículo35.Evaluacióndeimpactorelativaalaproteccióndedatos.1. Cuando sea probable que un tipo de tratamiento, en particular si utilizanuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe unaltoriesgoparalosderechosylibertadesdelaspersonasfísicas,elresponsabledeltratamientorealizará,antesdeltratamiento,unaevaluacióndelimpactodelasoperacionesdetratamientoenlaproteccióndedatospersonales.Unaúnicaevaluaciónpodráabordarunaseriedeoperacionesdetratamientosimilaresqueentrañenaltosriesgossimilares.

6

LALEGISLACIONEUROPEA:

DIRECTIVA(UE)2015/849DELPARLAMENTOEUROPEOYDELCONSEJOde20demayode2015 relativaa laprevenciónde lautilizacióndel sistemafinancieroparaelblanqueodecapitalesolafinanciacióndelterrorismo

SECCIÓN2EvaluaciónderiesgosArtículo 6. La Comisión efectuará una evaluación de los riesgos de blanqueo de capitales y definanciacióndel terrorismoqueafectanalmercado interior yqueguardan relaciónconactividadestransfronterizas.…/…Artículo 7. Cada Estado miembro adoptará las medidas adecuadas para detectar, evaluar,comprender y atenuar los riesgos de blanqueo de capitales y financiación del terrorismo que leafecten, así́ como cualquier problema que se plantee en relación con la protección de datos.Mantendrá́actualizadaestaevaluaciónderiesgos.…/…Articulo 8. Los Estados miembros velarán por que las entidades obligadas adopten medidasadecuadasparadetectaryevaluarsusriesgosdeblanqueodecapitalesyfinanciacióndelterrorismo,teniendoencuentafactoresderiesgo, incluidos losrelativosaclientes,paísesozonasgeográficas,productos, servicios, operaciones o canales de distribución. Estas medidas deberán guardarproporciónconlanaturalezayeltamañodelasentidadesobligadas.

7

EVALUACIONDEIMPACTOENLAPROTECCIONDEDATOSPERSONALES(ENLAPRIVACIDAD).(PIAs)EIPD

Esenesencia,unejerciciodeanálisisdelosriesgosqueundeterminadosistemade información, producto o servicio puede entrañar para el derechofundamental a la protección de datos de los afectados y, tras ese análisis,afrontar lagestióneficazde los riesgos identificadosmediante laadopcióndelasmedidasparaeliminarlosomitigarlos.EJERCICIODETRANSPARECIA

Metodologíaparaevaluarel impactode laprivacidaddeunproyecto,política,programa,servicio,productoocualquier iniciativaqueimpliqueeltratamientode datos personales, y tras haber consultado con todas las parte implicadas,tomarlasmedidasnecesariasparaevitarominimizarlosimpactosnegativos.

UNPROCESO,DONDEEXISTENELEMENTOSCOMUNESQUEFORMANPARTEDELNUCLEODECUALQUIERPROCEDIMIENTO.“COMENZARENLASETAPASMASINICIALESPOSIBLES”.

8

FASESPRINCIPALESDEUNAEVALUACIONDEIMPACTOENPROTECCIONDEDATOS

1.ANALISISDELANECESIDAD

2.-DESCRIPCIÓNDELPROYECTOYDELOSFLUJOSDEINFORMACION

3.-IDENTIFICACIÓNDELOSRIESGOS

5.-ANALISISDECUMPLIMIENTONORMATIVO

6.-INFORMEFINAL

7.-IMPLANTACIONDELASRECOMENDACIONES

8.-REVISIÓNYREALIMENTACION

4.-GESTIONDELOSRIESGOSIDENTIFICADOSCONSULTACONLASPARTESAFECTADAS

9

1.ANALISISDELANECESIDADVALORACIONDELACONVENIENCIA

DELLEVARACABOONOUNAEVALUACIONDEIMPACTOENLA

PROTECCIONDEDATOSPERSONALES

•  SEENRIQUEZCALAINFORMACIONEXISTENTE.•  DATOSDEMENORES.ESPECILAMENTE<14•  EVALUAROPREDECIRASPECTOSPERSONALESRELEVANTES•  GRANDESVOLUMENES,BIGDATE,INTERNETTHETHING,SMARTCITIES•  TECNOLOGIASINVASIVAS,DRONES,MINERIADEDATOS,BIOMETRICA,

GENETICA,GEOLOCALIZACION,ETIQUETASDERADIOFRECUENCIAORFID.•  NUMEROELEVADODEPERSONAS,OACUMULACIONDEDATOS•  SECEDANOCOMUNIQUENDATOSPERSONALESATERCEROSPAISESNODELAUE.•  DATOSPERSONALESNODISOCIADOSONOANONIMIZADOSDEFORMAIRREVERSIBLE,

FINESESTADISTICOS,HISTORICOSOINVESTIGACION•  ESPECIALMENTEPROTEGIDOS

CONFIDENCILIDADINTEGRIDADDISPONIBILIDAD

10

Siempre esun buena practica, llevar acabo una evaluación delimpacto en el tratamiento de datos, enmateria de prevenciónde blanqueo de capitales, etc. y asegurarse que no pasandesapercibidoslosposiblesriesgos:

LegalesEconómicos

ReputacionalesLarealizacióndeunaEPI lapodemosintegrardentrodelametodología del análisis del riesgos y las listas deactividades, de las herramientas de gestión de proyectosexistentes en las organizaciones. ( Modelos de gestión ycontrol)

Seasumecomopreceptivoslosconceptos:•  Privacibydesing•  Privacibydefault


11

•  Privaci by desing: Privacidad desde el diseño, seentiende bajo el respecto de los principios deprivacidadcontenidosenlanormativadeproteccióndedatos desde elmomentomismo en que se diseña unproductooservicio.

•  Privaci by default: Privacidad por defecto, demandaquelaconfiguracióndeprivacidaddelusuariodelbienoservicioproteja losdatospersonalesdelusuariopordefecto,sinqueseanecesarioqueelmismoprocedaarealizarlo.


12

1.  ANALISISDELANECESIDAD.

CONSTITUCIONDELEQUIPODETRABAJO

PLASMARLOENDOCUMENTOFORMALAPROBADOPORLADIRECCIONYELEQUIPODETRABAJO

AlcanceDELAEIPDOrientadaaprocesos

13


2.DESCRIPCIONDELPROYECTOYDELOSFLUJOSDEDATOSPERSONALES

UN RESUMEN DEL PROYECTO CON SUS PRINCIPALESCARACTERISTICAS

ASPECTOS ESPECIALMENTE RELEVANTES PARA LAPRIVACIDADSUSCEPTIBLESDEGENERARMASRIESGOS

UNADESCRIPCIONDETALLADADE:

MEDIOSDETRATAMIENTOYTECNOLOGIASAUTILIZAR

CATEGORIAS DE DATOS , F INAL IDADNECESIDADES DE UTILIZACION Y COLECTIVOSAFECTADOS

QUIENESACCEDERANYMOTIVOS

LOSFLUJOSDEINFORMACION.:Recogida,circulación,cesiones,etcES PRACTICO INCLUIR INFORMACION Y DIAGRAMA

ADICIONALES,controldeacceso,conservación,destrucción,etc

14


2.1MODELOPARADESCRIPCIONDEFLUJOSDEINFORMACION.

EJEMPLODETABLAPARASISTEMIZARLAINFORMACIONSOBREFLUJOS

Códigodeiden*ficaciónDescripción

Origendelainformación

Des*natariosdelainformación

Categoríasdedatos Finalidad Causalegi*madora

1

2

3

4

5

……

15


2.2MODELOPARADESCRIPCIONDEFLUJOSDEINFORMACION.

EJEMPLODETABLAMODELOPARAGESTIONDERIESGOS

Códigodeiden*ficaciónDelriesgo Descripcióndelriesgo

Niveldeimpactosielriesgosematerializa

Probabilidaddequesematerialice

Medidaspropuestas

Impactotrasimplantacióndemedidaspropuestas

Probabilidadtrasimplantaciónmedidaspropuestas

1

2

3

4

5

……

16


2.2.1MODELOPARADESCRIPCIONDEFLUJOSDEINFORMACION.

NIVELESDEIMPACTOENLOSDERECHOSFUNDAMENTALESDELOSAFECTADOSYENLAORGANIZACIÓN.

ESCALANÚMERICA

NIVELDEIMPACTO

9-10 MUYALTO

7-8 ALTO

5-6 MEDIO

3-4 BAJO

1-2 MUYBAJO

17


2.2.2MODELOPARADESCRIPCIONDEFLUJOSDEINFORMACION.

PROBABILIDADDEMATERIALIZACIÓN.

PROBABILIDAD% NIVELDEMATERIALIZACION

81-100 MUYALTA

61-80 ALTA

41-60 MEDIA

21-40 BAJA

0-20 MUYBAJA

18

3.IDENTIFICACIONYEVALUACIONDERIESGOS

AFECTACIONDRIESGOS:

POSIBLEVIOLACIONDELOSDERECHOS,PERDIDADEINFORMACIONNECESARIAOELDAÑOCAUSADOPORUNAUTILIZACIONILICITAYFRAUDULENTADELOSMISMOS.

.

DEFINICIONRIESGO:

PROBABILIDADDEQUEUNAAMENAZA SEMATERIALICEAPROVECHANDOUNA VULNERABILIDADDELOS SISTEMAS DE INFORMACIÓN , ES DECIR LA PROBABILIDAD DE QUE OCURRA UN INCIDENTE QUECAUSEUNIMPACTOCONUNDETEMINADODAÑOENLOSSISTEMADEINFORMACION.

PERCEPCIONDE FALTADE RESPETOA LA PRIVACIDAD, PUEDE PRODUCIR LA BAJAUTILIZACION DE PRODUCTOS O SERVICIOS AFECTADOS , APARICION Y COSTE DEREDISEÑODELSISTEMA,LAPERDIDADEREPUTACIÓNEIMAGENPUBLICA,ETC.

PERSONAS

ORGANIZACION

RIESGOS:

GENERALESLIGITIMACIONDELTRATAMIENTOYCESIONESDEDATOSPERSONALESTRANSFERENCIASINTERNACIONALESNOTIFICACIONDELOSTRATAMIENTOSTRANSPARENCIADELOSTRATAMIENTOS.CALIDADDELOSDATOS.DATOSESPECIALMENTEPROTEGIDOSDEBERDESECRETOTRATAMIENTOPORENCARGODERECHOSARCOSEGURIDAD

ENESTEMOMENTOCOMIENZAESPECIFICAMENTELAEVALUACIONDELIMPACTO

NOSOLOIDENTIFICARHAYQUECUANTIFICAR=impactoxprobabilidad

19

4.GESTIONDELOSRIESGOSIDENTIFICADOS

DIVERSASOPCIONES

EVITARLO

ELIMINARLO

MITIGARLOTRANSFERIRLO

ACEPTARLO

METODOLOGIA

MageritRiskIToISO27005Iso31000Iso31001sobornoIso31010

Aseguramos:Disponibilidad,integridadyconfidencialidad

impacto

20

5.ANALISISDECUMPLIMIENTONORMATIVO

LEGISLACIONBÁSICA

METODOLOGIA

LEGISLACIONSECTORIAL

EVALUADELAAEPDAUDITORIAINTERNA

LEY15/1999,LOPDRD1702/2007,REGLAMENTOREGLAMENTO.UE679/2016

•  LEYSANIDAD•  TELECOMUNICACIONES•  LSSI•  SOLVENCIAPATRIMONIAL•  ETC.

21

6.REDACCION,PUBLICACIONEINTEGRACIONDELINFORMEFINAL.

PUBLICARENLAWEBCORPORATIVA,BIENTOTALOPARCIAL

q  IDENTIFICACIÓNCLARADELPROYECTO,PERSONASRESPONSABLES,FECHAq  RESUMENCLAROYPRECISODELINFORMECONRESULTADOSESENCIALES.q  DESCRIPCIONDELPROCESODEEVALUACIONq  RESULTADODELANALISISDENECESIDADES,JUSTIFICACIONq  DESCRIPCIONGENERALDELPROYECTO,ALDETALLENECESARIOq  DESCRIPCIONDETALLADADELOSFLUJOSDEDATOSPERSONALESq  RIESGOSIDENTIFICADOSq  IDENTIFICACIONPARTES,EXTERNASEINTERNASINTERESADASq  ANALISISDELCUMPLIMIENTONORMATIVOq  RECOMENDACIONESDELEQUIPORESPONSABLES

ANALISISCOSTE-BENEFICIOPARALAORGANIZACION

Elinformedebedehacersepublico,serclaroytransparente

22


(1)IdentificacióndelproyectoI.CódigoII.DescripciónIII.Responsable(s)delproyectoydatosdecontactoIV.FechadelinformeV.Versióndelinforme(2)ResumenejecutivoI.DescripciónsucintadelproyectoII.PrincipalesriesgosidentificadosIII.Resumendelasmedidasmásimportantesdemitigaciónpropuestas(3)AnálisisdenecesidaddelaEvaluaciónI.ResultadodelanálisisII.MotivacióndelanecesidaddelarealizacióndelaEIPD

23


(4)DescripcióndetalladadelproyectoI.Inclusióndetodalainformaciónrelevantesobreelmismo(sepuedenincluircomoanexoslosdocumentosdelproyectoquesejuzguenoportunos)II.Descripcióndetalladadelosflujosdedatospersonales(5)ResultadodelprocesodeconsultasI.Identificacióndelaspartesinteresadas(internasyexternas)oalasqueafectaelproyectoII.Contribucionesdelaspartesconsultadas(sepuedenincluircomoanexosalinforme)III. Resumen de los riesgos más importantes puestos demanifiestoenlaconsulta

24


(6)IdentificaciónygestiónderiesgosI.IdentificacióndetalladaderiesgosII.ImpactoyprobabilidaddecadariesgoidentificadoIII.Gestióndelosriesgos:decisiónadoptadaparacadariesgo,objetivosdecontrol,controlesymedidaspropuestas(7)AnálisisdecumplimientonormativoI.ResumengeneraldecumplimientoII.Deficienciasdetectadasypropuestasdesolución(8).ConclusionesI.AnálisisfinalII.RecomendacionesdelequiporesponsabledelaEIPDIII.Medidas técnicasquedebenadoptarseeneldiseñodelproyectoparaeliminaroevitar,mitigar,transferiroaceptarlosriesgosparalaprivacidadIV.Medidasorganizativasquedebenadoptarseenel diseñodelproyectopara eliminar o evitar, mitigar, transferir o aceptar los riesgos para laprivacidad(9).Anexo.Introducciónydescripcióngeneraldelprocesodeevaluación

25

7.IMPLANTACIONDELASRECOMENDACIONES.

ALTADIRECCION

7.IMPLANTACIONDELASRECOMENDACIONES.

8.REVISIONDELOSRESULTADOSYREALIMENTACIONDELAEVALUACIONDELIMPACTO.

DEFINIR Y TOMAR LAS DECISIONESNECESARIAS PARA PONER EN MARCHALOSCAMBIOSOMEJORASQUEDEBENDESERINTRODUCIDAS.

DESIGNAR LA PERSONA O UNIDADRESPONSABLES DE COORDINAR QUE SEIMPLANTELASMEJORASEINVESTIRLADELANECESARIAAUTORIDAD

MEDIDASAADOPTACONPROVEEDOREST E R C E R O S ( T E C N O L O G I C A S ,ORGANIZATIVAS,CONTRACTUALES

ESQUEMACLASICODELARUEDA CICLODEDEMING

Implantar

VerificarActuar

Planificar

26

6.RESUMEN.

ESUNAHERRAMIENTANUEVAENESPAÑA,PEROYACONAMPLIOALCANCE

FORMA PARTE ESENCIAL DE LAS NUEVASHERRAMIENTASENEVALUACIONDERIESGOS

PERMITENDEMOSTRARELCOMPROMISOCONLASOBLIGACIONESLEGALES,DILIGENCIA,ETCACCOUNTABILTY

ARTICULO35.DELNUEVOREGLAMENTOEUROPEOOBLIGAALAEVALUACIONDELIMPACTO.

LA4ªDIRECCTIVAENMATERIADEPREVENCIONDEBLANQUEO DE CAPITALES OBLIGA A LAEVALUACIONDELIMPACTODELRIESGO.

EL LEGISLADOR EUROPEO RECOMIENDA A LOSGOBIERNOS LA IMPORTANCIA DEL ENFOQUEBASADO EN EL RIESGO Y LA NECESIDAD DEREALIZAR LA EVALUACION DEL IMPACTO DELRIESGO.

Módulo V. Control de Riesgos en la Empresa. ASPECTOS...

Documents

Transcript of Módulo V. Control de Riesgos en la Empresa. ASPECTOS...