Briceño Jiménez Edgar Favián EIPD
Short Description
Download Briceño Jiménez Edgar Favián EIPD...
Description
Clínica Dental Sonrisa - Informe de Evaluación de Impacto en Materia de Protección de Datos
INFORME DE EVALUACIÓN DE IMPACTO EN MATERIA DE PROTECCIÓN DE DATOS
Clínica Dental Sonrisa ADAPTADO AL RGPDUE
22 de mayo de 2017
Página 1 de 13
Clínica Dental Sonrisa - Informe de Evaluación de Impacto en Materia de Protección de Datos
ÍNDICE
1. Identificación del Proyecto ................................................................................... 3 2. Análisis del motivo por el que se realiza la EIPD ................................................ 3 3. Flujos de Datos Personales .................................................................................. 3 3.1. Tratamiento - PROTECCION DE DATOS ........................................................... 4 4. Metodología utilizada ............................................................................................ 5 5. Plan de proyecto .................................................................................................... 5 6. Consultas efectuadas............................................................................................ 6 7. Evaluación de Riesgos .......................................................................................... 6 8. Tratamiento de Riesgos ........................................................................................ 7 9. Conclusiones ....................................................................................................... 13
Página 2 de 13
Clínica Dental Sonrisa - Informe de Evaluación de Impacto en Materia de Protección de Datos
1. Identificación del Proyecto RESPONSABLE DEL TRATAMIENTO Clínica Dental Sonrisa
TÍTULO DE PROYECTO DE EIPD EVALUACIÓN INICIAL - PROTECCIÓN DATOS
NÚMERO DE REGISTRO DE EIPD 001/2017
FECHA EIPD 19 de mayo de 2017 - 15 de julio de 2018
RESPONSABLE/S DEL PROYECTO Favián Briceño Cargo: Gerente Función: Jurídico José Cuenca Cargo: Responsable de los datos. Función: Técnico Luis Miguel Cargo: Responsable de Seguridad Función: DPO
2. Análisis del motivo por el que se realiza la EIPD PARA LOS SIGUIENTES TRATAMIENTOS ES RECOMENDABLE REALIZAR EL EIPD - PROTECCION DE DATOS
3. Flujos de Datos Personales El sistema dispone de la siguiente información relativa a los tratamientos que ha indicado y que van a ser objeto de la EIPD
Página 3 de 13
Clínica Dental Sonrisa - Informe de Evaluación de Impacto en Materia de Protección de Datos
3.1. Tratamiento - PROTECCION DE DATOS FICHEROS CON DATOS ASOCIADOS Pacientes
ARCHIVOS AUTOMATIZADOS Bbdd gestión de clientes, contable, fiscal y administrativa Bbdd historial clínico
CATEGORÍAS DE DATOS PERSONALES CATEGORÍAS DE DATOS DE CARÁCTER IDENTIFICATIVO Marcas físicas Firma (manual o digitalizada) Nº Registro de personal CATEGORÍAS DE DATOS NO SENSIBLES Características personales Detalles del empleo Económicos, financieros y de seguros ORIGEN DE LOS DATOS El propio interesado o su representante legal Entidad privada
COLECTIVOS O CATEGORIAS DE INTERESADOS Pacientes Clientes y usuarios Proveedores
CATEGORIAS DE DESTINATARIOS DE CESIONES Prestaciones de servicios de telecomunicaciones: Se necesita un acceso para poder gestionar la información del fichero.
FINALIDADES Será el encargado de la protección de datos de los pacientes migrados al nuevo cloud. Página 4 de 13
Clínica Dental Sonrisa - Informe de Evaluación de Impacto en Materia de Protección de Datos
4. Metodología utilizada La metodología utilizada parte de la normativa ISO 31000:2009 Gestión del Riesgo-Principios y Directrices y además considera lo establecido en la Guía para una Evaluación de Impacto en la Protección de Datos Personales realizada por la Agencia Española de Protección de Datos.
5. Plan de proyecto
Página 5 de 13
Clínica Dental Sonrisa - Informe de Evaluación de Impacto en Materia de Protección de Datos
6. Consultas efectuadas A continuación se indican los datos de los consultados así como las opiniones manifestadas por estos.
CUESTIÓN Se plantea la consulta del impacto negativo que puede tener el llevar cabo la migración de los datos de los clientes al cloud.
FECHA
19 de mayo de 2017
RESPONSABLE DE DAR RESPUESTA
Luis Miguel (DPO)
ESTADO
Contestada
7. Evaluación de Riesgos El umbral de riesgos determinado como aceptable es el siguiente: Medio Por tanto los riesgos que inicialmente están por encima de dicho nivel y deben ser tratados son los que se listan a continuación
ESCENARIOS DE RIESGOS A TRATAR
RIESGO INICIAL
Utilizar los datos personales para finalidades no especificadas o Muy Alto incompatibles con las declaradas. Garantías insuficientes para el uso de datos personales con fines históricos, Muy Alto científicos o estadísticos Datos personales inexactos o no actualizados
Alto
Deficiencias en la protección de la confidencialidad y la integridad de la Muy Alto información Tratamiento ilícito. No concurrencia de las condiciones previstas por el Muy Alto RGPDUE Carecer de capacidad para demostrar la obtención del consentimiento del Alto titular de los datos personales objeto de tratamiento. Dirigir servicios relacionados con la sociedad de la información a niños Alto menores años. No facilitar al interesado toda la información requerida en el momento de la Alto recogida de sus datos personales. Página 6 de 13
Clínica Dental Sonrisa - Informe de Evaluación de Impacto en Materia de Protección de Datos
En los supuestos en los que no se haya obtenido los datos personales Muy Alto directamente del interesado, no facilitarle la información requerida. Datos personales accesibles, sin intervención de la persona, a un número Alto indeterminado de personas. (Protección de datos desde el diseño y por defecto) No disponer de un registro de las actividades del tratamiento
Medio
El responsable y el encargado del tratamiento no aplican medidas técnicas y Alto organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Comunicación de las violaciones de seguridad pasadas 72 horas, sin Alto indicación de los motivos de la dilación. No consultar a la autoridad de control antes de proceder a un tratamiento, Medio cuando una vez realizada la EIPD, el mismo entrañe un alto riesgosi el responsable no toma medidas para mitigarlo.
8. Tratamiento de Riesgos La forma en que se trata cada riesgo, los controles a adoptar, las personas encargadas, el plazo y el nivel de riesgo residual que se alcanzará una vez adoptados los mismos son los siguientes:
ESCENARIO DE RIESGO Utilizar los datos personales para finalidades no especificadas o incompatibles con las declaradas.
NIVEL DE RIESGO INICIAL
Muy Alto
TRATAMIENTO DEL RIESGO
Mitigar
CONTROLES A ADOPTAR
El tratamiento cumplirá con la siguiente condición para mitigar el riesgo: C.U.E.05.01.b Deberán utilizarse los datos personales conforme las finalidades para las que fueron recabados.
NIVEL DE RIESGO RESIDUAL
Muy Alto
Página 7 de 13
Clínica Dental Sonrisa - Informe de Evaluación de Impacto en Materia de Protección de Datos
ESCENARIO DE RIESGO Garantías insuficientes para el uso de datos personales con fines históricos, científicos o estadísticos
NIVEL DE RIESGO INICIAL
Muy Alto
TRATAMIENTO DEL RIESGO
Mitigar
CONTROLES A ADOPTAR
El tratamiento cumplirá con la siguiente condición para mitigar el riesgo: C.U.E.05.01.b Deberán utilizarse los datos personales conforme las finalidades para las que fueron recabados. NIVEL DE RIESGO RESIDUAL
Muy Alto
ESCENARIO DE RIESGO Datos personales inexactos o no actualizados
NIVEL DE RIESGO INICIAL
Alto
TRATAMIENTO DEL RIESGO
Mitigar
CONTROLES A ADOPTAR
El tratamiento cumplirá con la siguiente condición para mitigar el riesgo: C.U.E.05.01.d Se adoptarán todas las medidas razonables para mantener los datos de carácter personal actualizados, adoptando las medidas razonables para que se supriman o rectifiquen aquellos datos que sean inexactos con respecto a los fines para los que fueron recabados. NIVEL DE RIESGO RESIDUAL
Alto
ESCENARIO DE RIESGO Deficiencias en la protección de la confidencialidad y la integridad de la información
NIVEL DE RIESGO INICIAL
Muy Alto
TRATAMIENTO DEL RIESGO
Mitigar
CONTROLES A ADOPTAR
El tratamiento cumplirá con la siguiente condición para mitigar el riesgo: C.U.E.05.01.f Establecer medidas para garantizar la confidencialidad y la integridad de la información. Página 8 de 13
Clínica Dental Sonrisa - Informe de Evaluación de Impacto en Materia de Protección de Datos
NIVEL DE RIESGO RESIDUAL
Muy Alto
ESCENARIO DE RIESGO Tratamiento ilícito. No concurrencia de las condiciones previstas por el RGPDUE
NIVEL DE RIESGO INICIAL
Muy Alto
TRATAMIENTO DEL RIESGO
Mitigar
CONTROLES A ADOPTAR
El tratamiento cumplirá con la siguiente condición para mitigar el riesgo: C.U.E.06 El tratamiento cumplirá alguna de las siguientes condiciones: a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos; b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento; d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física; e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. NIVEL DE RIESGO RESIDUAL
Muy Alto
ESCENARIO DE RIESGO Carecer de capacidad para demostrar la obtención del consentimiento del titular de los datos personales objeto de tratamiento.
NIVEL DE RIESGO INICIAL
Alto
TRATAMIENTO DEL RIESGO
Mitigar
CONTROLES A ADOPTAR
El tratamiento cumplirá con la siguiente condición para mitigar el riesgo: C.U.E.07.01 Cuando el tratamiento se base en el consentimiento, deberá articularse un procedimiento que permita acreditar su obtención. NIVEL DE RIESGO RESIDUAL
Alto Página 9 de 13
Clínica Dental Sonrisa - Informe de Evaluación de Impacto en Materia de Protección de Datos
ESCENARIO DE RIESGO Dirigir servicios relacionados con la sociedad de la información a niños menores años.
NIVEL DE RIESGO INICIAL
Alto
TRATAMIENTO DEL RIESGO
Mitigar
CONTROLES A ADOPTAR
El tratamiento cumplirá con las siguientes condiciones para mitigar el riesgo: C.U.E.08.01 Deberá velarse porque los servicios de la sociedad de la información vayan dirigidos a niños mayores de 16 años. En caso contrario deberá acreditarse el consentimiento del titular de la patria potestad o tutela sobre el niño. C.U.E.08.02 Garantizar que los servicios de la sociedad de la información van dirigidos a personas mayores de 16 años. En caso contrario deberá acreditarse el consentimiento del titular de la patria potestad o tutela sobre el niño. NIVEL DE RIESGO RESIDUAL
Alto
ESCENARIO DE RIESGO No facilitar al interesado toda la información requerida en el momento de la recogida de sus datos personales.
NIVEL DE RIESGO INICIAL
Alto
TRATAMIENTO DEL RIESGO
Mitigar
CONTROLES A ADOPTAR
El tratamiento cumplirá con la siguiente condición para mitigar el riesgo: C.U.E.13 Establecer un procedimiento de revisión de los formularios de recogida de datos utilizados por la organización. NIVEL DE RIESGO RESIDUAL
Alto
ESCENARIO DE RIESGO En los supuestos en los que no se haya obtenido los datos personales directamente del interesado, no facilitarle la información requerida.
NIVEL DE RIESGO INICIAL
Muy Alto
TRATAMIENTO DEL RIESGO
Mitigar
Página 10 de 13
Clínica Dental Sonrisa - Informe de Evaluación de Impacto en Materia de Protección de Datos
CONTROLES A ADOPTAR
El tratamiento cumplirá con las siguientes condiciones para mitigar el riesgo: C.U.E.13 Establecer un procedimiento de revisión de los formularios de recogida de datos utilizados por la organización. C.U.E.14 Garantizar el cumplimiento del deber de información respecto al interesado cuando sus datos no hayan sido suministrados por el mismo. NIVEL DE RIESGO RESIDUAL
Muy Alto
ESCENARIO DE RIESGO Datos personales accesibles, sin intervención de la persona, a un número indeterminado de personas. (Protección de datos desde el diseño y por defecto)
NIVEL DE RIESGO INICIAL
Alto
TRATAMIENTO DEL RIESGO
Mitigar
CONTROLES A ADOPTAR
El tratamiento cumplirá con las siguientes condiciones para mitigar el riesgo: C.U.E.25 Garantizar que por defecto, los datos personales no son accesibles, sin la intervención de la persona, a un número indeterminado de personas. C.U.E.25.02 Aplicar las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, sólo sean de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. NIVEL DE RIESGO RESIDUAL
Alto
ESCENARIO DE RIESGO No disponer de un registro de las actividades del tratamiento
NIVEL DE RIESGO INICIAL
Medio
TRATAMIENTO DEL RIESGO
Mitigar
CONTROLES A ADOPTAR
El tratamiento cumplirá con la siguiente condición para mitigar el riesgo: C.U.E.30 Disponer de un registro de las actividades del tratamiento efectuadas. NIVEL DE RIESGO RESIDUAL
Medio
Página 11 de 13
Clínica Dental Sonrisa - Informe de Evaluación de Impacto en Materia de Protección de Datos
ESCENARIO DE RIESGO El responsable y el encargado del tratamiento no aplican medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
NIVEL DE RIESGO INICIAL
Alto
TRATAMIENTO DEL RIESGO
Mitigar
CONTROLES A ADOPTAR
El tratamiento cumplirá con la siguiente condición para mitigar el riesgo: C.U.E.32.01 Aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. NIVEL DE RIESGO RESIDUAL
Alto
ESCENARIO DE RIESGO Comunicación de las violaciones de seguridad pasadas 72 horas, sin indicación de los motivos de la dilación.
NIVEL DE RIESGO INICIAL
Alto
TRATAMIENTO DEL RIESGO
Mitigar
CONTROLES A ADOPTAR
El tratamiento cumplirá con la siguiente condición para mitigar el riesgo: C.U.E.33.02 Establecer un procedimiento de actuación para las comunicaciones de violaciones de la seguridad de los datos personales a la autoridad de control competente transcurridas 72 horas. NIVEL DE RIESGO RESIDUAL
Alto
ESCENARIO DE RIESGO No consultar a la autoridad de control antes de proceder a un tratamiento, cuando una vez realizada la EIPD, el mismo entrañe un alto riesgos el responsable no toma medidas para mitigarlo.
NIVEL DE RIESGO INICIAL
Medio
TRATAMIENTO DEL RIESGO
Mitigar
Página 12 de 13
Clínica Dental Sonrisa - Informe de Evaluación de Impacto en Materia de Protección de Datos
CONTROLES A ADOPTAR
El tratamiento cumplirá con la siguiente condición para mitigar el riesgo: C.U.E.36 Establecer un procedimiento de consultas a la autoridad de control antes de proceder a un tratamiento, cuando una vez realizada la EIPD, el mismo entrañe un alto riesgo si el responsable no toma medidas para mitigarlo. NIVEL DE RIESGO RESIDUAL
Medio
9. Conclusiones Riesgo final ACEPTABLE. De la EIPD realizada se concluye que el RIESGO FINAL es ACEPTABLE y por tanto la organización será capaz de rebajar el nivel de riesgo del tratamiento a un nivel aceptable y que no entrañe un nivel de riesgo elevado en el derecho a la protección de los datos de los interesados.
Página 13 de 13
View more...
Comments
