La presente Obra, trata de proporcionar un instrumento de trabajo práctico y eficaz para aquellos que quieran superar con éxito el Curso de Delegado de Protección de Datos (DPD/DPO).
La rigurosidad con que están concebidas las pruebas, exige una alta preparación por parte del alumno, que debe conocer en profundidad el contenido del programa homologado por la AEPD para el acceso a esta nueva titulación, donde prima el conocimiento exhaustivo de la normativa vigente, y en el que es fundamental, por tanto, el conocimiento del Reglamento General de Protección de datos, de la Ley Orgánica 3/2018, de 5 de diciembre, y de aquellas otras normas de carácter complementario, pero que son muy especializadas en este ámbito de actuación.
En esta Obra, se ha procedido a elaborar aquellas cuestiones que componen el temario del llamado «DOMINIO 3», y en las que en aras de facilitar la tarea de estudio del futuro DPD/DPO, se ha acompañado a las mismas de una documentación básica, que facilita al mismo, el mejor y más práctica comprensión de aquellas cuestiones que integran este «DOMINIO 3».
3. DOMINIO. TÉCNICAS PARA GARANTIZAR EL CUMPLIMIENTO DE LA NORMATIVA DE PROTECCIÓN DE DATOS
3.1. LA AUDITORÍA DE PROTECCIÓN DE DATOS 11
3.1.1. El proceso de auditoría. Cuestiones generales y aproximación a la auditoría. Características básicas de la Auditoría 11
3.1.1.1. Referencias legislativas 11
3.1.1.2. Características básicas 16
3.1.1.3. Otras consideraciones de una auditoría de cumplimiento en protección de datos 17
3.1.1.4. Fases de un proyecto de auditoría 18
3.1.2. Elaboración del informe de auditoría 19
3.1.2.1. Importancia del informe de auditoría 19
3.1.2.2. Aspectos básicos del informe de auditoría 21
a) Inventario. Segunda fase del proyecto 21
b) Verificación. Tercera fase del proyecto 24
c) Contenido. Elaboración del informe final. Cuarta fase del Proyecto 25
d) Criterios orientadores para la evaluación de las medidas correctoras 27
3.1.2.3. Resolución de las lagunas interpretativas 27
a) Aplicación de los principios inspiradores de la reforma 27
b) Ponderación de los principios constitucionales y los bienes jurídicos yuxtapuestos 29
c) Estas técnicas deberán ser aplicadas también respecto de las leyes estatales y otros antecedentes 30
d) Aplicación analógica de otros sectores 30
e) Criterios orientativos de las normas de calidad 31
3.1.3. Ejecución y seguimiento de acciones correctoras 31
3.1.3.1. Introducción 31
3.1.3.2. Propósito 33
3.1.3.3. Correcciones y acciones correctivas 33
3.1.3.3.1. Acción correctiva 33
3.1.3.3.2. No conformidades y correcciones 34
3.1.3.3.3. Acciones correctivas 34
3.1.3.3.4. Aplicación de medidas correctivas 34
3.1.3.4. Validez y gestión documental 35
3.1.3.5. Formulario por cada acción correctiva 36
3.1.3.5.1. Ejemplo de formulario de acción correctiva 36
3.2. Auditoría de sistemas de información 36
3.2.1. La Función de la Auditoría en los Sistemas de información. Conceptos básicos. Estándares y Directrices de Auditoría de SI. 36
3.2.1.1. Introducción 36
3.2.1.2. La Auditoría 37
3.2.1.3. Carácter interdisciplinar de la auditoría informática 38
3.2.1.4. Objetivos 40
3.2.1.5. Pasos para realizar una auditoría informática 41
3.2.1.6. Controles 52
3.2.1.7. Conclusiones 53
3.2.1.8. Anexo 1. Estándares 53
3.2.1.8.1. Ejemplos de diferentes metodologías 53
3.2.2. Control interno y mejora continua. Buenas prácticas. Integración de la auditoría de protección de datos en la auditoría de SI 55
3.2.2.1. Introducción 55
3.2.2.2. Importancia del ciclo de mejora continua 55
3.2.2.3. El ciclo de gestión 56
3.2.2.4. Correspondencia entre el sistema de control interno y las fases del modelo PDCA 57
3.2.2.4.1. Fase 1. Plan (Planificar) 57
3.2.2.4.2. Fase 2. Do (Hacer) 57
3.2.2.4.3. Fase 3. Check (Verificar) 58
3.2.2.4.4. Fase 4. Act (Actuar) 58
3.2.2.4.5. Ciclos sucesivos 59
3.2.2.5. La monitorización continua del control 60
3.2.2.5.1. Selección de controles 60
3.2.2.5.2. Diseño de reglas de supervisión automáticas 61
3.2.3. Planificación, ejecución y seguimiento 61
3.2.3.1. Metodología de una auditoría de sistemas 61
3.2.3.1.1. Definición y alcance de los objetivos 62
3.2.3.1.2. Estudio inicial del entorno 62
3.2.3.1.3. Asignación de recursos necesarios 62
3.2.3.1.4. Ejecución de las tareas propias de la auditoría 63
3.2.3.1.5. Elaboración del informe 63
3.2.3.2. Objetivos habituales de una auditoría de sistemas 64
3.2.3.2.1. Análisis de vulnerabilidades 64
3.2.3.2.2. Resolución de las vulnerabilidades 64
3.2.3.2.3. Planificación de respuesta de incidentes 65
3.2.3.2.4. La seguridad como proceso continuo 65
3.3. LA GESTIÓN DE LA SEGURIDAD DE LOS TRATAMIENTOS 65
3.3.1. Esquema Nacional de Seguridad, ISO/IEC 27001:2013 (UNE ISO/IEC 27001:2014: Requisitos de Sistemas de Gestión de Seguridad de la Información, SGSI) 65
3.3.1.1. Esquema Nacional de Seguridad 65
3.3.1.2. Objetivos del ENS 66
3.3.1.3. Contenido del ENS 66
3.3.1.4. Herramientas del ENS 67
3.3.1.5. Sistema de gestión de seguridad de la información 67
3.3.1.6. Objetivos y beneficios de un SGSI 68
3.3.1.7. Plan de implantación del SGSI 68
3.3.1.8. Requisitos y factores de éxito del SGSI 69
3.3.2. Gestión de la Seguridad de los Activos. Seguridad lógica y en los procedimientos. Seguridad aplicada a las TI y a la documentación 70
3.3.2.1. Introducción 70
3.3.2.2. Clasificación de las medidas de seguridad lógicas 70
3.3.2.3. Algunos ejemplos de medidas y procedimientos de seguridad 70
3.3.2.4. Control de Acceso 73
3.3.2.4.1. La gestión de Identidades (IAM) 75
3.3.2.5. Conclusiones 75
3.3.3. Recuperación de desastres y continuidad del negocio. Protección de los activos técnicos y documentales. Planificación y gestión de la Recuperación de Desastres 76
3.3.3.1. Introducción 76
3.3.3.2. Objetivos 76
3.3.3.3. Implementación y mantenimiento-ISO22301 76
3.3.3.4. Contenido de la ISO-22301 77
3.4. OTROS CONOCIMIENTOS 78
3.4.1. El Cloud Computing 78
3.4.1.1. Definición 78
3.4.1.2. Ventajas e inconvenientes 79
3.4.1.3. Tipos de nube 80
3.4.1.3.1. Nube pública 80
3.4.1.3.2. Nube privada 81
3.4.1.3.3. Nube híbrida 81
3.4.1.4. Modalidades de servicio 81
3.4.1.5. Legislación y elementos del contrato 82
3.4.1.6. Cloud Computing y protección de datos 84
3.4.1.7. Situaciones frecuentes 85
3.4.1.7.1. Transferencias internacionales 85
3.4.1.7.2. Calidad de los servicios Cloud 85
3.4.2. Los Smartphones y la protección de datos 88
3.4.2.1. Introducción 88
3.4.2.2. Evolución de los terminales móviles 88
3.4.2.3. La protección de datos en los Smartphones 89
3.4.2.4. Riesgos relativos a la protección de datos en nuestros Smartphones 90
3.4.2.5. Medidas de seguridad aplicables 90
3.4.3. Internet de las cosas (IoT) 92
3.4.3.1. Introducción 92
3.4.3.2. Legislación vigente 92
3.4.3.3. Monitorización y Perfilado 93
3.4.3.4. RGPD e IoT 93
3.4.4. Big Data y elaboración de perfiles 94
3.4.4.1. Definición 94
3.4.4.1.1. Ventajas, inconvenientes y características 95
3.4.4.1.2. Legislación y elementos del contrato 96
3.4.5. Redes sociales 98
3.4.5.1. Introducción 98
3.4.5.2. Protección de datos en las Redes Sociales 98
3.4.6. Tecnologías de seguimiento de usuario 99
3.4.6.1. Introducción 99
3.4.6.2. Las tecnologías de seguimiento 100
3.4.6.3. Requisitos y procedimientos 100
3.4.7. Blockchain y últimas tecnologías 101
3.4.7.1. Introducción 101
3.4.7.2. Qué es el Blockchain, funcionamiento y ventajas 101
3.4.7.3. El Blockchain vs el RGPD 102
ANEXO
01. Cloud Computing: retos y Oportunidades. ONTSI 107
02. Opinion 05/2012 on Cloud Computing. Grupo de Trabajo del Artículo 29.
Directiva 95/46/CE 451
03. Opinion 2/2015 on C-SIG Code Of Conduct on Cloud Computing 481
04. Guidelines of the use of cloud computing service by de European instituons and bodies 495
05. Los dispositivos móviles 551
06. Dispositivos móviles personales para uso profesional (BYOD). Una guía de aproximación para el empresario. INCIBE 557
07. El Instituto Nacional de Ciberseguridad recuerda que los dispositivos móviles también están en el punto de mira de los ciberdelincuentes. INCIBE 565
08. Guía para proteger y usar de forma segura su móvil. INTECO 569
09. “Del Internet de las cosas al Internet de los cuerpos”. Javier Puyol. Confilegal 591
10. Opinion 8/2014 on the on Recent Developments on the Internet of Things. Grupo de Trabajo del Artículo 29 Directiva 95/46/CE 599
11. CCN-CERT BP/05. Internet de las cosas 625
12. Si usas Big Data que sea respetando la privacidad de tus clientes. INCIBE 651
13. Minería de datos, Big Data y Seguridad. INCIBE 657
14. Thinking in Big (Data) y la seguridad industrial. INCIBE 663
15. WP 251 Guidelines on Automated individual decisión-making and Profiling for the purposes of Regulation 2016/679 669
16. Riesgos de la utilización de redes sociales en la organización. INCIBE 705
17. Ciberseguridad y la identidad online de tu empresa. INCIBE 711
18. Web tracking e identificación de usuarios en Internet. INCIBE 715
19. Construyendo comunicaciones seguras. Blockchain en la industria 4.0. INCIBE 727
20. ¿Protege blockchain mi información personal?. Jesús Díaz Vico. INCIBE 733
21. ¿Qué son los “smart contracts”: cinco preguntas clave. BBVA 739
22. Guía sobre el uso de las Cookies aepd 747
RAMIRO MARTÍNEZ, JR. is Professor in the School of Criminology and Criminal Justice and the Department of Sociology and Anthropology at Northeastern University, USA. In 2011, he was the recipient of American Society of Criminology DPCC’s Lifetime Achievement for outstanding scholarship in the area of race, crime, and justice.
MEGHAN E. HOLLIS is Assistant Professor in the School of Criminal Justice at Texas State University, USA. She has published in numerous academic journals, including Sociological Focus; Crime, Law, and Social Change; Journal of Experimental Criminology; Security Journal; and Journal of Community Psychology.
JACOB I. STOWELL is Associate Professor in the School of Criminology and Criminal Justice at Northeastern University, USA. He received his Ph.D. in sociology from the University at Albany–SUNY. His published work has appeared in Criminology, Law and Society Review, and The Annals of the American Academy of Political and Social Science.