170 likes | 271 Views
Pla d’Auditoria i Control d’Ofici per a la verificació del compliment del dret d’informació en la recollida de dades, regulat a l’art. 5 de la Llei 15/1999. Coordinació d’Auditoria i Seguretat de la Informació 12 de desembre de 2007. Presentació: plans d’auditoria i control d’ofici de l’APDCAT
E N D
Pla d’Auditoria i Control d’Ofici per a la verificació del compliment del dret d’informació en la recollida de dades, regulat a l’art. 5 de la Llei 15/1999 Coordinació d’Auditoria i Seguretat de la Informació 12 de desembre de 2007
Presentació: plans d’auditoria i control d’ofici de l’APDCAT Informació pla d’auditoria i control d’ofici per a la verificació del compliment del dret d’informació en la recollida de dades Definició de criteris mostrals, disseny i selecció de la mostra d’entitats locals Agenda
Llei 5/2002 de l’Agència Catalana de Protecció de Dades art. 4.1 preveu les competències de: Registre, control, inspecció, sanció, resolució i adopció de propostes i instruccions art. 5.1 a) preveu la funció de: “Vetllar pel compliment de la legislació vigent sobre protecció de dades de caràcter personal i controlar-ne l’aplicació ...” Control d’ofici
mecanisme de control = auditoria Realització d’auditories planificades: A les entitats i tractaments inclosos a l'àmbit de competències i funcions de l’Agència Verificació i avaluació de lescondicions en què són tractades les dades de caràcter personal en relació a la normativa de protecció de dades Caràcter preventiu amb recomanacions finals i orientació respecte de bones pràctiques Objectius: Fer una aproximació a la situació real dels tractaments en relació al compliment de la normativa Apropar-se a les diferents realitats de les administracions públiques catalanes Facilitar l'adequació a la normativa De forma general, ajudar a un major coneixement i una millor protecció del dret Característiques i objectius
Procés de control Detectar Avaluar Informar Observar Verificar Recomanar Adequar El procés de control s’ordena en ... “Plans d’Auditoria i Control d’Ofici”
Plans d’Auditoria i Control • La seva execució implica: • Dedicar-hi recursos humans especialitzats: auditors de sistemes d’informació de l’equip d’Auditoria i Seguretat de la Informació de l’APDCAT, coordinats amb la resta d’àrees de l’Agència. • Determinar un contingut: • Objectiu del programa • Tractaments afectats pel control d’ofici • Abast territorial • Entitats afectades • Terminis d’execució • Aplicar un procediment dissenyat per l’APDCAT
Procediment per fases • Preparatòria • Disseny i difusió del pla • Execució • Auditoria i recomanacions individuals d’adaptació, amb terminis d’implementació • Revisió • Estat de la implantació de les recomanacions • Consolidació • Conclusions finals del pla i recomanacions generals
Pla d’auditoria i control d’ofici per a la verificació del compliment del dret d’informació en la recollida de dades
Objectiu: la finalitat d’aquest pla es verificar la situació de compliment del que preveu l’art. 5.1 de la LOPD respecte al dret d’informació que ha de facilitar el responsable del tractament, a la persona afectada, en el moment de la recollida d’informació. “Article 5 Dret d’informació en la recollida de dades 1. Els interessats als quals se sol·licitin dades personals han de ser prèviament informats de manera expressa, precisa i inequívoca: a) De l’existència d’un fitxer o un tractament de dades de caràcter personal, de la finalitat de la recollida de les dades i dels destinataris de la informació. b) Del caràcter obligatori o facultatiu de la resposta a les preguntes que els siguin plantejades. c) De les conseqüències de l’obtenció de les dades o de la negativa a subministrar-les. d) De la possibilitat d’exercir els drets d’accés, rectificació, cancel·lació i oposició. e) De la identitat i la direcció del responsable del tractament o, si s’escau, del seu representant. .../...” Pla d’Auditoria: dret d’informació
La recollida de dades es situa a l’inici del tractament i és essencial que les garanties ja hi siguin presents. El titular de les dades pren consciència dels drets que es generen al proporcionar la seva informació personal El responsable del tractament ha de ser conscient que la recollida de dades implica ja l’inici del tractament de dades personals i, per tant, que ha de donar resposta a uns drets i assumir unes obligacions que impliquen protegir la informació personal que li ha estat confiada Motius
A grans trets, la verificació s’adreçarà a: Comprovar si en els processos de recollida d’informació es proporciona, o no, la informació prevista a l’art. 5 Analitzar si la informació que es proporciona compleix amb els continguts i característiques previstos a l’art. 5. Verificacions
Tractaments afectats • En el programa s’inclouen totes les tipologies de processos de recollida de dades: • processos de caràcter electrònic (formularis electrònics i / o pàgines web, correus electrònics, mòbils, etc.) • processos manuals (presencial, formularis en paper, correu postal, fax, telèfon, etc.) S’exclouen els drets d’informació vinculats a la recollida de dades de caràcter personal que es realitzin, per exemple, mitjançant càmeres de videovigilància, és a dir que nomes afectarà a dades que puguin ser susceptibles d’una transcripció textual o alfanumèrica. Se n’exclouen per tant les imatges, però s’hi inclouen, per exemple, les que es puguin derivar de la veu (serveis d’atenció telefònica).
Entitats incloses en aquest pla • Tots els departaments que formen l’Administració de la Generalitat de Catalunya • Les 4 diputacions i una tria de consells comarcals i d’ajuntamentsde Catalunya, basada en criteris mostrals segons la metodologia i amb la col·laboració de l’Equip d’Estudis d’Administració Pública del Departament de Ciències Polítiques i Socials de la Universitat Pompeu Fabra • Totes les universitats que integren el sistema universitari català
Pla d’actuació (1/2) • Fer públic l’inici del pla • Contactar amb les entitats seleccionades i sol·licitar un interlocutor per participar en tot el pla d’auditoria • Demanar a l’interlocutor que identifiqui els processos de recollida de dades de caràcter personal que realitza l’entitat • L’APDCAT seleccionarà els processos de recollida de dades que de cada entitat seran objecte d’auditoria (de 3 a 4): • 1 procés comú • 1 procés molt repetitiu • 1 procés amb dades d’especial sensibilitat • 1 d’altres (excepcional) • Sol·licitar a l’interlocutor la tramesa d’informació detallada dels mecanismes relacionats amb els processos de recollida seleccionats
Pla d’actuació (2/2) • S’analitzarà la informació rebuda per verificar i avaluar els aspectes previstos al pla • S’elaborarà un informe per a cada entitat sobre la situació i recomanacions per a l’adequació, amb un període per realitzar-la • Una vegada elaborats i tramesos tots els informes individuals, s’elaborarà i farà públic un informe global de situació i recomanacions • Una vegada finalitzat el període d’adaptació, es verificarà quin ha estat el grau de compliment i dificultats per atendre les recomanacions realitzades • S’analitzarà la informació referida al procés d’adaptació a les recomanacions i s’elaborarà i publicarà un informe final de conclusions del pla, amb especial èmfasi en la situació trobada inicialment, les mesures correctores proposades, les dificultats i el nivell de compliment de les recomanacions, i amb dades quantitatives i qualitatives sobre la situació abans i desprès de l’actuació
Calendari • I, per últim, els terminis:
Ramón Martín Miralles López Coordinador d’Auditoria i Seguretat de la Informació e-mail: ramon.miralles@gencat.cat http:// www.apd.cat Informació sobre els Plans d’Auditoria i Control d’Ofici Tel.: 93.551.19.00 auditoria.apdcat@gencat.cat