Caso Práctico Clase 2.

Enunciado

—
1 © 201 8 Asturias Corporación Universitaria
 Caso Práctico Clase 2. Enunciado

DOCENTE

Lucas Adolfo Giraldo Ríos

GESTION DE PROYECTOS2

SANDRA VIVIANA PALACIOS CASTILLO

CORPORACIÓN UNIVERSITARIA DE ASTURIAS

PROGRAMA – ESPECIALIZACION EN GERENCIA DE PROYECTOS

CALI, VALLE

2.020

02 ASTURIAS CORPORACIÓN UNIVERSITARIA 2018®

Nota Técnica preparada por Asturias Corporación Universitaria. Su difusión, reproducción o uso total o
parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
 Caso Práctico Clase 2. Enunciado

Enunciado
En España, la Ley Orgánica 15/1999, de 13 de diciembre, de
protección de datos de carácter personal fue desarrollada para
adaptar la Directiva 95/46/CE. Dicha ley tenía por objeto garantizar
y proteger, en lo que concierne al tratamiento de los datos
personales y los derechos fundamentales de las personas físicas,
y especialmente de su honor e intimidad personal y familiar.
La ley sería de aplicación a los datos de carácter personal registrados
en soporte físico, que los hagan susceptibles de tratamiento, y a toda
modalidad de uso posterior de estos datos por los sectores público
y privado. Se regiría por la ley todo tratamiento de datos de carácter
personal cundo el tratamiento sea efectuado en territorio español en el
marco de las actividades de un establecimiento del responsable
del tratamiento.
Después de varias modificaciones de la ley orgánica, la Unión
Europea (UE) desarrolla el nuevo Reglamento (UE) 2016/679 del
Parlamento Europeo y de Consejo, conocido como Reglamento
General de Protección de Datos, el cuál entró en vigor hace ya 18
meses desde hoy pero comenzará a aplicarse exactamente a partir
de 4 meses desde la fecha de hoy, resultando obligatorio para las
organizaciones implementar las nuevas medidas. Este Reglamento
deroga la Directiva 95/46/CE
El Reglamento pretende armonizar en toda los países de la Unión
Europea la protección de las personas físicas en lo que respecta
al tratamiento de datos personales y a la libre circulación de datos.
Además, trata de dar respuesta a la realidad de los datos
personales dentro de la sociedad de la información actual.
Los nuevos requerimientos del Reglamento plantean importantes
retos para todas las entidades debido al elevado volumen de datos
personales que gestionan, convirtiendo la protección de datos
personales en un aspecto crítico que todas las organizaciones
deben tener presente. El Reglamento es una norma
directamente aplicable al ordenamiento jurídico español, no
requiriendo de normas internas específicas ni de desarrollo ni para
su aplicación.
El Reglamento contiene conceptos, principios y mecanismos
similares a los establecidos por la Directiva 95/46. Por ello, las
organizaciones que en la actualidad cumplen con la LOPD tienen

02 ASTURIAS CORPORACIÓN UNIVERSITARIA 2018®

Nota Técnica preparada por Asturias Corporación Universitaria. Su difusión, reproducción o uso total o
parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
 Caso Práctico Clase 2. Enunciado

buena base de partida para evolucionar hacia una correcta

aplicación del nuevo reglamento.
De forma general, las nuevas consideraciones que habrán de
tenerse en cuenta son los siguientes:

02 ASTURIAS CORPORACIÓN UNIVERSITARIA 2018®

Nota Técnica preparada por Asturias Corporación Universitaria. Su difusión, reproducción o uso total o
parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
 Caso Práctico Clase 2. Enunciado

Dos elementos de carácter general constituyen la mayor innovación

del Reglamento para los responsables y se proyectan sobre todas las
obligaciones de las organizaciones:
 Se requiere que las organizaciones analicen qué datos tratan,
con qué finalidades lo hacen y qué tipo de operaciones de
tratamiento llevan a cabo.
 Consentimiento reforzado: el consentimiento debe ser
“inequívoco”, siendo aquél que se ha prestado mediante una
manifestación del interesado o mediante una clara acción
afirmativa. NO se admiten de ningún modo las
formas de consentimiento tácito o por omisión, ya que
se basan en la inacción. Se contemplan situaciones en las
que el consentimiento, además de inequívoco, ha de ser
explícito:
- Tratamiento de datos sensibles.
- Adopción de decisiones automatizadas.
- Transferencias internacionales.
El consentimiento puede ser inequívoco y otorgarse de forma implícita
cuando se deduzca de una acción del interesado, por ejemplo:
cuando el interesado continúa navegando por una web y acepta así
el que se utilicen cookies para monitorizar su navegación.
La información a los interesados, tanto respecto a las condiciones
de los tratamientos que les afecten como en las respuestas
a los ejercicios de derechos, deberá proporcionarse de forma
concisa, transparente, inteligible y de fácil acceso, con un lenguaje
claro y sencillo.
La información a los interesados deberá facilitarse por escrito,
incluidos los medios electrónicos cuando sea apropiado.
 Nuevos derechos como “Derecho al Olvido”: consecuencia
de la aplicación del derecho de borrado de los datos
personales.

03 ASTURIAS CORPORACIÓN UNIVERSITARIA 2018®

Nota Técnica preparada por Asturias Corporación Universitaria. Su difusión, reproducción o uso total o
parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
 Caso Práctico Clase 2. Enunciado

 Nuevos derechos como la “portabilidad”: implica que los

datos personales del interesado se transmiten directamente
de un responsable a otro, sin necesidad de que sean
transmitidos previamente al propio interesado, siempre que
ello sea técnicamente posible. El derecho de portabilidad
es una forma avanzada del derecho de acceso por el cual la
copia que se proporciona al interesado debe ofrecerse en un
formato estructurado, de uso común y lectura mecánica.
 Derecho de acceso: se reconoce el derecho a obtener una
copia de los datos personales objeto del tratamiento. Los
responsables podrán atender a este

03 ASTURIAS CORPORACIÓN UNIVERSITARIA 2018®

Nota Técnica preparada por Asturias Corporación Universitaria. Su difusión, reproducción o uso total o
parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
 Caso Práctico Clase 2. Enunciado

derecho facilitando el acceso remoto a un sistema seguro que

ofrezca al interesado un acceso directo a sus datos
personales.
 Los datos serán recogidos con fines determinados: si se
recogen datos con una finalidad determinada no se pueden
utilizar los datos con una finalidad diferente.
 Obligación de implantar sistemas de cifrado y doble factor de
autenticación, incluso sobre los datos considerados de nivel
básico.
 Determinar, como figura clave, el “Data Protection Officer”
(DPO) o “Delegado de Protección de Datos” (DPD), que será
obligatorio en:
- Autoridades y organismos públicos.
- Responsables o encargados que tengan entre sus
actividades principales las operaciones de tratamiento
que requieran una observación habitual y sistemática de
interesados a gran escala.
- Responsables o encargados que tengan entre sus
actividades principales el tratamiento a gran escala de
datos sensibles.
 Notificaciones de “violaciones de seguridad de los datos”.
Las violaciones de seguridad son comúnmente conocidas
como “quiebras de seguridad” que incluye todo incidente que
ocasione la destrucción, pérdida o alteración accidental o
ilícita de datos personales transmitidos, conservados o
tratados de otra forma, o la comunicación o acceso no
autorizados a dichos datos. Por ejemplo: la pérdida de un
ordenador portátil, el acceso no autorizado a las bases de
datos de una organización (incluso por su propio personal) o
el borrado accidental de algunos registros, constituyen
violaciones de seguridad a tenor del RGPD y deben ser
tratadas adecuadamente. Algunas obligaciones por parte

04 ASTURIAS CORPORACIÓN UNIVERSITARIA 2018®

Nota Técnica preparada por Asturias Corporación Universitaria. Su difusión, reproducción o uso total o
parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
 Caso Práctico Clase 2. Enunciado

de las organizaciones son las siguientes:

- Cuando se produzca una violación de la seguridad de los
datos, el responsable debe notificar a la autoridad de
protección de datos competente, a menos que sea
improbable que la violación suponga un riesgo para los
derechos y libertades de los afectados.
- La notificación de quiebra a las autoridades debe
producirse sin dilación indebida y, ser posible, dentro de
las 72 horas siguientes a que el responsable tenga
constancia de ella.
- La notificación ha de incluir un contenido mínimo:
 La naturaleza de la violación.
 Categorías de datos y de interesados afectados.
 Medidas adoptadas por el responsable para
solventar la quiebra.
 Si procede, las medidas aplicadas para paliar los
posibles efectos negativos sobre los interesados.

04 ASTURIAS CORPORACIÓN UNIVERSITARIA 2018®

Nota Técnica preparada por Asturias Corporación Universitaria. Su difusión, reproducción o uso total o
parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
 Caso Práctico Clase 2. Enunciado

- Los responsables deben documentar todas las violaciones de

seguridad.
- El RGPD añade a los contenidos de la notificación las
recomendaciones sobre las medidas que pueden tomar los
interesados para hacer frente a las consecuencias de la
quiebra.

Cuestiones

¿Qué se Solicita en Base a la Información Anterior?

La organización para la que Ud trabaja es una gran empresa de
ingeniería que está compuesta por diversos departamentos como:
 Recursos humanos.
 Financiero.
 Ingeniería eólica.
 Ingeniería hidráulica.
 Ingeniería geotérmica.
 Obra civil
 Legal y tramitaciones.
 Sistemas.
 Oficina de dirección de proyectos (PMO).
Como miembro del Departamento de Sistemas de la organización, eres
designado Director del Proyecto para adaptar o modificar los sistemas y
herramientas existentes o crear los sistemas o herramientas necesarios
para implementar todas las medidas anteriormente mencionadas,
incluidas en el RGPD, las cuales deben quedar implementadas antes de
la fecha marcada por el Reglamento (+4 meses a partir de hoy), bajo
posibilidad de incurrir en sanciones elevadas por su incumplimiento.
Los sistemas o herramientas pueden afectar a cualquier departamento
dentro de la organización.
El proyecto es considerado crítico por parte de la organización, cuya

06 ASTURIAS CORPORACIÓN UNIVERSITARIA 2018®

Nota Técnica preparada por Asturias Corporación Universitaria. Su difusión, reproducción o uso total o
parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
 Caso Práctico Clase 2. Enunciado
estructura es matricial fuerte, por lo que se le proporciona un nivel de
autoridad, capacidad de decisión y disponibilidad sobre recursos muy
elevada. Podrá solicitar recursos humanos tanto del departamento de
sistemas como de otros departamentos de la organización. Al mismo
tiempo, se le ofrece la posibilidad de contratar a un experto externo si lo
considera necesario por no existir o no estar disponible algún perfil
determinado dentro de la organización. Se le asigna un presupuesto de
200.000€ como máximo. Teniendo en cuenta la importancia del
proyecto, el patrocinador del proyecto será el director de la oficina de
proyectos (PMO).
Habrá que tener en consideración los siguientes supuestos para desarrollar
adecuadamente los análisis posteriores:
 Su organización cumple en su totalidad la normativa previa
existente en relación a la protección de datos (LOPD 15/1999).
 A la fecha de hoy, su organización aún no ha comenzado a adaptar
sus sistemas y herramientas a las consideraciones del nuevo
Reglamento de Protección de Datos (RGPD), por lo que Usted
debe comenzar desde cero.
 Su organización cuenta con procesos, procedimientos y políticas
que deben ser respetadas y como, por ejemplo, las siguientes:
- Política de control y gestión de riesgos.
- Política de Compliance.
- Política de Ciberseguridad.
 Cualquier otro dato o información no incluida en este documento será
supuesto para el Director del Proyecto.
Con la información de la que se dispone, se requiere el desarrollo de la
DIAGRAMA DE FLUJO DEL PROCESO DE GESTIÓN DE
CAMBIOS para este proyecto. Los diagramas de flujo se consideran
herramientas de planificación de calidad, puesto que son la
representación gráfica de un proceso que incluye los siguientes
puntos: los pasos o actividades que hay que completar, el orden de
procesamiento (definido por el sentido de la flecha), nodos de decisión
(¿Sí? ¿No?) y caminos paralelos.

06 ASTURIAS CORPORACIÓN UNIVERSITARIA 2018®

Nota Técnica preparada por Asturias Corporación Universitaria. Su difusión, reproducción o uso total o
parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
 Caso Práctico Clase 2. Enunciado

SOLUCION DEL CASO

Teniendo en cuenta que para este caso tenemos ya la constitución del acta
de inicio del proyecto donde se tenía el mismo presupuesto para la ejecución
y de donde se habían discriminado ciertos recursos ´para la fase inicial se
puede llevar a cabo u desglose acorde a las decisiones que tome el director
del proyecto designado para las dos fases en mención teniendo en cuenta
los siguientes criterios: Cronograma del proyecto. Documentación legalizada.
Crear una matriz dafo Factores ambientales Diagramas estipulados. Y
demás factores que son de vital importancia para la consolidación de un
proyecto tan importante como este que trata la protección de datos
personales y que esta planamente legalizado con las normas de la Ley
Orgánica 15/1999, de 13 de diciembre ley España de protección de datos.

06 ASTURIAS CORPORACIÓN UNIVERSITARIA 2018®

Nota Técnica preparada por Asturias Corporación Universitaria. Su difusión, reproducción o uso total o
parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
 Caso Práctico Clase 2. Enunciado

Conclusión: cuando se desarrolla una estructura de desglose de

presupuesto cada director del PMO puede adoptar múltiples formas de
realizarlo de acuerdo a sus consideraciones y beneficios que vea mejor para
un buen desarrollo del proyecto tratando de llevar una forma coordinada de
trabajar y que genere confianza a las personas que son participes del mismo

Bibliografía

https://www.centrovirtual.com/recursos/biblioteca/pdf/dgp_direccion_proyectos_p
mi_i/clase1_pdf1.pdf

06 ASTURIAS CORPORACIÓN UNIVERSITARIA 2018®

Nota Técnica preparada por Asturias Corporación Universitaria. Su difusión, reproducción o uso total o
parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.