PIA
Páginas: 29 (7162 palabras)
Publicado: 15 de mayo de 2016
PIA (Privacy Impact Assessment o evaluación de impacto de datos personales)
Supuesto de hecho:
Una clínica dental situada en España utiliza determinado software de gestión de pacientes instalado en modo local. La empresa SW SYSTEM S.L. es la proveedora del mismo y a la vez la encargada de efectuar su mantenimiento.
El propietario de la clínica ha decidido cambiar dicho software por el de laempresa NO PROBLEM S.L. que además se entrega en modo Software como Servicio (SaaS), proporcionando ella misma el alojamiento cloud para los datos, siendo la sede física del alojamiento de estos un CPD que se encuentra en España. La denominación social NO PROBLEM S.L. está registrada también en España.
1. Análisis de la necesidad de llevar a cabo o no una evaluación de impacto en la protección dedatos personales:
Luego de detallar el enunciado se observa que se cumplen varios de los requisitos para identificar si se requiere llevar a cabo una EIPD pues se realizará un cambio significativo en la manera de gestionar la información de los pacientes puesto que con antelación se realizaba en un software instalado en medio local y al cambiar a los servicios de la empresa NO PROBLEM S.L. serealizará el manejo de la misma información en alojamiento cloud con sede física en una CPD ubicada en España lo cual proporcionará una manera diferente de acceso a la información que se podría llegar a encontrar disponible para diferentes personas lo que podría comprometer la confidencialidad, la integridad o disponibilidad de los datos personales.
2. Determinación del equipo de trabajo y lostérminos de referencia:
Propuesta:
El cambio de software de la clínica dental ha sido determinado por el propietario de la misma clínica, por lo que podría suponer un riesgo al no consultar o contar con un grupo de personas del ámbito del manejo de la información que puedan apoyar el cambio a realizar.
Esta situación debe ser cubierta tanto porque supone un cambio de tecnología de almacenamiento comoporque también se debe capacitar a los empleados para el cambio de software y se deben realizar las adecuaciones pertinentes para soportar la nueva tecnología y el establecimiento de perfiles.
Se ha cambiado de un software de gestión de pacientes instalado en modo local a un software en modo de servicio con alojamiento cloud proporcionado por la misma empresa y con alojamiento en una CPD enEspaña.
Personal:
Siendo un cambio tan radical en la manera de trabajar los datos de los pacientes es de vital importancia contar también con el siguiente personal para el manejo de la decisión:
Un delegado de la protección de datos quien velará por mantener la protección de la información conforme se había venido llevando y además considerará los nuevos mecanismos de seguridad que se requieren paragarantizar dicha protección.
También se debe agregar un representante del departamento de las TIC quien calificará y evaluará las opciones o formas en que manejará la información y la manera de acceder a ella junto con las medidas de seguridad idóneas para la propuesta.
Además se requiere de un representante de los departamentos que se afecten en este proyecto pues son los usuarios que manejarandirectamente el sistema al ser los que incluyen la información al mismo.
Recursos:
Determinar cantidad que equipos en uso
Sistemas de seguridad física y lógica que protegen la información en la actualidad.
Revisiones y actualizaciones de los sistemas
Vulnerabilidades tanto en software, como en hardware, personal e instalaciones.
3. Descripción del proyecto y de los flujos de información:
FLUJODE LA INFORMACIÓN
Código Identificación
Descripción
Origen Información
Destinatarios Información
Categoría de datos
Finalidad
Causa Legitimadora
1
Datos personales empleados
Empleados – Medio físico y digital
Clínica Dental
Sensible
Administrativos
Derechos ARCO
2
Datos personales afectados
Afectados - medio físico y digital
Clínica Dental
Sensible
Administrativos
Derechos ARCO
3
Datos de...
Supuesto de hecho:
Una clínica dental situada en España utiliza determinado software de gestión de pacientes instalado en modo local. La empresa SW SYSTEM S.L. es la proveedora del mismo y a la vez la encargada de efectuar su mantenimiento.
El propietario de la clínica ha decidido cambiar dicho software por el de laempresa NO PROBLEM S.L. que además se entrega en modo Software como Servicio (SaaS), proporcionando ella misma el alojamiento cloud para los datos, siendo la sede física del alojamiento de estos un CPD que se encuentra en España. La denominación social NO PROBLEM S.L. está registrada también en España.
1. Análisis de la necesidad de llevar a cabo o no una evaluación de impacto en la protección dedatos personales:
Luego de detallar el enunciado se observa que se cumplen varios de los requisitos para identificar si se requiere llevar a cabo una EIPD pues se realizará un cambio significativo en la manera de gestionar la información de los pacientes puesto que con antelación se realizaba en un software instalado en medio local y al cambiar a los servicios de la empresa NO PROBLEM S.L. serealizará el manejo de la misma información en alojamiento cloud con sede física en una CPD ubicada en España lo cual proporcionará una manera diferente de acceso a la información que se podría llegar a encontrar disponible para diferentes personas lo que podría comprometer la confidencialidad, la integridad o disponibilidad de los datos personales.
2. Determinación del equipo de trabajo y lostérminos de referencia:
Propuesta:
El cambio de software de la clínica dental ha sido determinado por el propietario de la misma clínica, por lo que podría suponer un riesgo al no consultar o contar con un grupo de personas del ámbito del manejo de la información que puedan apoyar el cambio a realizar.
Esta situación debe ser cubierta tanto porque supone un cambio de tecnología de almacenamiento comoporque también se debe capacitar a los empleados para el cambio de software y se deben realizar las adecuaciones pertinentes para soportar la nueva tecnología y el establecimiento de perfiles.
Se ha cambiado de un software de gestión de pacientes instalado en modo local a un software en modo de servicio con alojamiento cloud proporcionado por la misma empresa y con alojamiento en una CPD enEspaña.
Personal:
Siendo un cambio tan radical en la manera de trabajar los datos de los pacientes es de vital importancia contar también con el siguiente personal para el manejo de la decisión:
Un delegado de la protección de datos quien velará por mantener la protección de la información conforme se había venido llevando y además considerará los nuevos mecanismos de seguridad que se requieren paragarantizar dicha protección.
También se debe agregar un representante del departamento de las TIC quien calificará y evaluará las opciones o formas en que manejará la información y la manera de acceder a ella junto con las medidas de seguridad idóneas para la propuesta.
Además se requiere de un representante de los departamentos que se afecten en este proyecto pues son los usuarios que manejarandirectamente el sistema al ser los que incluyen la información al mismo.
Recursos:
Determinar cantidad que equipos en uso
Sistemas de seguridad física y lógica que protegen la información en la actualidad.
Revisiones y actualizaciones de los sistemas
Vulnerabilidades tanto en software, como en hardware, personal e instalaciones.
3. Descripción del proyecto y de los flujos de información:
FLUJODE LA INFORMACIÓN
Código Identificación
Descripción
Origen Información
Destinatarios Información
Categoría de datos
Finalidad
Causa Legitimadora
1
Datos personales empleados
Empleados – Medio físico y digital
Clínica Dental
Sensible
Administrativos
Derechos ARCO
2
Datos personales afectados
Afectados - medio físico y digital
Clínica Dental
Sensible
Administrativos
Derechos ARCO
3
Datos de...
Leer documento completo
Regístrate para leer el documento completo.