Postgrau en Protecció de Dades i Seguretat de la Informació

• Privacitat i protecció de dades en el panorama internacional.
• La protecció de dades a Europa.
• La protecció de dades a Espanya.
• Estàndards i bones pràctiques.

• Àmbit d'aplicació.
• Definicions.
• Subjectes obligats.

• El binomi dret/deure en la protecció de dades.
• Licitud del tractament.
• Lleialtat i transparència.
• Limitació de la finalitat.
• Minimització de dades.
• Exactitud.

• El consentiment: atorgament i revocació.
• El consentiment informat: finalitat, transparència, conservació, informació i deure de comunicació a l'interessat.
• Consentiment dels nens.
• Categories especials de dades.
• Dades relatives a infraccions i condemnes penals.
• Tractament que no requereix identificació.
• Bases jurídiques diferents del consentiment.

• Transparència i informació jurídica.
• Accés, rectificació, supressió (oblit).
• Oposició.
• Decisions individuals automatitzades.
• Portabilitat.
• Limitació del tractament.
• Excepcions als drets.

• Les polítiques de protecció de dades i la seva transparència.
• Posició jurídica des intervinents. Responsables, corresponsables, encarregats, subencarregat del tractament i els seus representants. Relacions entre ells i formalització.
• El registre d'activitats de tractament: identificació i classificació del tractament de dades.

• Privacitat des del disseny i per defecte. Principis fonamentals.
• Avaluació d'impacte relativa a la protecció de dades i consulta prèvia. Els tractaments d'alt risc.
• Seguretat de les dades personals. Seguretat tècnica i organitzativa.
• Les violacions de la seguretat. Notificació de violacions de seguretat.
• El Delegat de Protecció de Dades (DPD). Marc normatiu.
• Codis de conducta i certificacions.

• Designació. Procés de presa de decisió. Formalitats en el nomenament, renovació i cessament. Anàlisi de conflicte d'interessos.
• Obligacions i responsabilitats. Independència. Identificació i report a la direcció.
• Procediments. Col·laboració, autoritzacions prèvies, relació amb els interessats i gestió de reclamacions.
• Comunicació amb l'autoritat de protecció de dades.
• Competència professional. Negociació. Comunicació. Pressupostos.
• Formació.
• Habilitats personals, treball en equip, lideratge, gestió d'equips.

• El sistema de decisiones de adecuación.
• Transferencias mediante garantías adecuadas.
• Normas Corporativas Vinculantes
• Excepciones.
• Autorización de la autoridad de control.
• Suspensión temporal
• Cláusulas contractuales

• Autoritats de control.
• Potestats.
• Règim sancionador.
• Comitè Europeu de Protecció de Dades.
• Procediments seguits per l'AEPD.
• La tutela jurisdiccional.
• El dret d'indemnització.

• Guies del GT art. 29.
• Opinions del Comitè Europeu de Protecció de Dades.
• Criteris d'òrgans jurisdiccionals.

• Empresa sanitària, farmacèutica, recerca.
• Protecció dels menors.
• Solvència patrimonial.
• Telecomunicacions.
• Videovigilància.
• Assegurances.
• Publicitat, etc.

• LSSI, Llei 34/2002, d'11 de juliol, de serveis de la societat de la informació i de comerç electrònic a Espanya.
• LGT, Llei 9/2014, de 9 de maig, general de telecomunicacions.
• Llei signatura-e, Llei 59/2003, de 19 de desembre, de signatura electrònica.

• Directiva e-Privacy: Directiva 2002/58/CE del Parlament Europeu i del Consell, de 12 de juliol de 2002, relativa al tractament de les dades personals i a la protecció de la intimitat en el sector de les comunicacions electròniques (Directiva sobre privacitat i les comunicacions electròniques) o Reglament e-Privacy quan s'aprovi.
• Directiva 2009/136/CE del Parlament Europeu i del Consell, de 25 de novembre de 2009, pel qual es modifiquen la Directiva 2002/22/CE relativa al servei universal i els drets dels usuaris en relació amb les xarxes i els serveis de comunicacions
• electròniques, la Directiva 2002/58/CE relativa al tractament de les dades personals i a la protecció de la intimitat en el sector de les comunicacions electròniques, i el Reglament (CE) núm. 2006/2004 sobre la cooperació en matèria de protecció dels consumidors.
• Directiva (UE) 2016/680 del Parlament Europeu i del Consell, de 27 d'abril de 2016, relativa a la protecció de les persones físiques pel que fa al tractament de dades personals per part de les autoritats competents per a finalitats de prevenció, recerca, detecció o enjudiciament d'infraccions penals o d'execució de sancions penals, i a la lliure circulació d'aquestes dades i per la qual es deroga la Decisió Marc 2008/977/JAI del Consell.

Professors del domini: Antoni Rubí-Puig (1.1, 1.2, 1.3, 1.6, 1.11, 1.13, 1.14), Daniel Urbán (1.7), Carles San José (1.10), Esther Farnós (1.4), Rosa Milà (1.5), Sergi Gálvez (1.8), Daniel Caccamo (1.9), Jorge Monclús (1.12), Arnau Florensa (1.12)
 

• Introducció. Marc general de l'avaluació i gestió de riscos. Conceptes generals.
• Avaluació de riscos. Inventari i valoració d'actius. Inventari i valoració d'amenaces. Salvaguardes existents i valoració de la seva protecció. Risc resultant.
• Gestió de riscos. Conceptes. Implementació. Selecció i assignació de salvaguardes a amenaces. Valoració de la protecció. Risc residual, risc acceptable i risc inassumible.

• El disseny i la implantació del programa de protecció de dades en el context de l'organització.
• Objectius del programa de compliment.
• Accountability: la traçabilitat del model de compliment.

• Marc normatiu. Esquema Nacional de Seguretat i directiva NIS: Directiva (UE) 2016/1148 relativa a les mesures destinades a garantir un elevat nivell comú de seguretat a les xarxes i sistemes d'informació a la Unió. Àmbit d'aplicació, objectius, elements principals, principis bàsics i requisits mínims.
• Ciberseguretat i govern de les dades de caràcter personal. Generalitats, missió, govern efectiu de la Seguretat de la Informació (SI). Conceptes de SI. Abast. Mètriques del govern de la SI. Estat de la SI. Estratègia de SI.
• Posada en pràctica de la data protection. Seguretat des del disseny i per defecte. El cicle de vida dels sistemes d'informació. Integració de la seguretat i la privacitat en el cicle de vida. El control de qualitat dels SI.

• Introducció i fonaments de les AIPD: origen, concepte i característiques de les AIPD. Abast i necessitat. Estàndards.
• Realització d'una avaluació d'impacte. Aspectes preparatoris i organitzatius, anàlisi de la necessitat de portar a terme l'avaluació i consultes prèvies. 

Professor del domini: Genís Margarit (2.1, 2.2, 2.3, 2.4, 2.5).

• El procés d'auditoria. Qüestions generals i aproximació. Característiques bàsiques.
• Elaboració de l'informe d'auditoria. Aspectes bàsics i importància de l'informe del Data Protection Officer.
• Execució i seguiment d'accions correctores.

• La funció de l'auditoria a les xarxes d'informació. Conceptes bàsics. Estàndards i Directrius D25 de SI en un entorn professional.
• Control intern i millora contínua. Bones pràctiques. Integració de la protecció de dades a l'auditoria de SI.
• Planificació, execució i seguiment.

• Esquema Nacional de Seguretat, ISO/IEC 27001:2013 (UNE ISO/IEC 27001:2014: Requisits de Sistemes de Gestió de Seguretat de la Informació, SGSI).
• Gestió de la seguretat dels actius. Seguretat lògica i en els procediments. Seguretat aplicada a les TI i a la documentació.
• Recuperació de desastres i continuïtat del negoci. Protecció dels actius tècnics i documentals. Planificació i gestió de la recuperació del desastres.

• El cloud computing.
• Els smartphones.
• Internet de les coses (IoT).
• Big data i elaboració de perfils.
• Xarxes socials.
• Tecnologies de seguiment d'usuari.
• Blockchain i últimes tecnologies.

Professors del domini: Genís Margarit (3.1, 3.2, 3.3), Ana Maria Freire (3.4), Albert Bel (3.4), Carlos Gómez (3.4).