1Caso Practico de la unidad #2

Marzo 2021.

Corporación Universitaria de Asturias.

Especialización en Gerencia de Proyectos.
Gestión de Proyectos I

Enunciado
Gestión de la Integración

En España, la Ley Orgánica 15/1999, de 13 de diciembre, de protección

de datos de carácter personal fue desarrollada para adaptar la Directiva
95/46/CE. Dicha ley tenía por objeto garantizar y proteger, en lo que
concierne al tratamiento de los datos personales y los derechos fundamentales
de las personas físicas, y especialmente de su honor e intimidad personal y
familiar.

La ley sería de aplicación a los datos de carácter personal registrados en

soporte físico, que los hagan susceptibles de tratamiento, y a toda modalidad
de uso posterior de estos datos por los sectores público y privado. Se regiría
por la ley todo tratamiento de datos de carácter personal cundo el tratamiento
sea efectuado en territorio español en el marco de las actividades de un
establecimiento del responsable del tratamiento.

Después de varias modificaciones de la ley orgánica, la Unión Europea

(UE) desarrolla el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo
y de Consejo, conocido como Reglamento General de Protección de Datos, el
cuál entró en vigor hace ya 18 meses desde hoy, pero comenzará a aplicarse
exactamente a partir de 4 meses desde la fecha de hoy, resultando obligatorio
para las organizaciones implementar las nuevas medidas. Este Reglamento
deroga la Directiva 95/46/CE

El Reglamento pretende armonizar en todos los países de la Unión

Europea la protección de las personas físicas en lo que respecta al tratamiento
de datos personales y a la libre circulación de datos. Además, trata de dar
respuesta a la realidad de los datos personales dentro de la sociedad de la
información actual.

Los nuevos requerimientos del Reglamento plantean importantes retos

para todas las entidades debido al elevado volumen de datos personales que
gestionan, convirtiendo la protección de datos personales en un aspecto crítico
que todas las organizaciones deben tener presente. El Reglamento es una
norma directamente aplicable al ordenamiento jurídico español, no
requiriendo de normas internas específicas ni de desarrollo ni para su
aplicación.

El Reglamento contiene conceptos, principios y mecanismos similares a

los establecidos por la Directiva 95/46. Por ello, las organizaciones que en la
actualidad cumplen con la LOPD tienen buena base de partida para
evolucionar hacia una correcta aplicación del nuevo reglamento.

De forma general, las nuevas consideraciones que habrán de tenerse en

cuenta son los siguientes:

Dos elementos de carácter general constituyen la mayor innovación del

Reglamento para los responsables y se proyectan sobre todas las obligaciones
de las organizaciones:
 Se requiere que las organizaciones analicen qué datos tratan, con qué
finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a
cabo.
 Consentimiento reforzado: el consentimiento debe ser “inequívoco”,
siendo aquél que se ha prestado mediante una manifestación del
interesado o mediante una clara acción afirmativa. NO se admiten de
ningún modo las formas de consentimiento tácito o por omisión, ya que
se basan en la inacción. Se contemplan situaciones en las que el
consentimiento, además de inequívoco, ha de ser explícito:
- Tratamiento de datos sensibles.
- Adopción de decisiones automatizadas.
- Transferencias internacionales.

El consentimiento puede ser inequívoco y otorgarse de forma implícita

cuando se deduzca de una acción del interesado, por ejemplo: cuando el
interesado continúa navegando por una web y acepta así el que se utilicen
cookies para monitorizar su navegación.

La información a los interesados, tanto respecto a las condiciones de los

tratamientos que les afecten como en las respuestas a los ejercicios de
derechos, deberá proporcionarse de forma concisa, transparente, inteligible y
de fácil acceso, con un lenguaje claro y sencillo.

La información a los interesados deberá facilitarse por escrito, incluidos

los medios electrónicos cuando sea apropiado.

 Nuevos derechos como “Derecho al Olvido”: consecuencia de la

aplicación del derecho de borrado de los datos personales. Nuevos
derechos como la “portabilidad”: implica que los datos personales del
interesado se transmiten directamente de un responsable a otro, sin
necesidad de que sean transmitidos previamente al propio interesado,
 siempre que ello sea técnicamente posible. El derecho de portabilidad es
una forma avanzada del derecho de acceso por el cual la copia que se
proporciona al interesado debe ofrecerse en un formato estructurado, de
uso común y lectura mecánica.
 Derechos de acceso: se reconoce el derecho a obtener una copia de los
datos personales objeto del tratamiento. Los responsables podrán
atender a este derecho facilitando el acceso remoto a un sistema seguro
que ofrezca al interesado un acceso directo a sus datos personales.
 Los datos serán recogidos con fines determinados: si se recogen datos
con una finalidad determinada no se pueden utilizar los datos con una
finalidad diferente.
 Obligación de implantar sistemas de cifrado y doble factor de
autenticación, incluso sobre los datos considerados de nivel básico.
 Determinar, como figura clave, el “Data Protection Officer” (DPO) o
“Delegado de Protección de Datos” (DPD), que será obligatorio en:
- Autoridades y organismos públicos.
- Responsables o encargados que tengan entre sus actividades
principales las operaciones de tratamiento que requieran una
observación habitual y sistemática de interesados a gran escala.
- Responsables o encargados que tengan entre sus actividades
principales el tratamiento a gran escala de datos sensibles.
 Notificaciones de “violaciones de seguridad de los datos”. Las
violaciones de seguridad son comúnmente conocidas como “quiebras de
seguridad” que incluye todo incidente que ocasione la destrucción,
pérdida o alteración accidental o ilícita de datos personales
transmitidos, conservados o tratados de otra forma, o la comunicación o
acceso no autorizados a dichos datos. Por ejemplo: la pérdida de un
ordenador portátil, el acceso no autorizado a las bases de datos de una
organización (incluso por su propio personal) o el borrado accidental de
algunos registros, constituyen violaciones de seguridad a tenor del
RGPD y deben ser tratadas adecuadamente. Algunas obligaciones por
parte de las organizaciones son las siguientes:
- Cuando se produzca una violación de la seguridad de los datos, el
responsable debe notificar a la autoridad de protección de datos
competente, a menos que sea improbable que la violación suponga un
riesgo para los derechos y libertades de los afectados.
- La notificación de quiebra a las autoridades debe producirse sin
dilación indebida y, ser posible, dentro de las 72 horas siguientes a que
el responsable tenga constancia de ella.
- La notificación ha de incluir un contenido mínimo:
  La naturaleza de la violación.
 Categorías de datos y de interesados afectados.
 Medidas adoptadas por el responsable para solventar la quiebra.
 Si procede, las medidas aplicadas para paliar los posibles efectos
negativos sobre los interesados.
- Los responsables deben documentar todas las violaciones de
seguridad.
- El RGPD añade a los contenidos de la notificación las
recomendaciones sobre las medidas que pueden tomar los interesados
para hacer frente a las consecuencias de la quiebra.

¿Qué se solicita en base a la información anterior?

La organización para la que Ud trabaja es una gran empresa de

ingeniería que está compuesta por diversos departamentos como:
 Recursos humanos.
 Financiero.
 Ingeniería eólica.
 Ingeniería hidráulica.
 Ingeniería geotérmica.
 Obra civil
 Legal y tramitaciones.
 Sistemas.
 Oficina de dirección de proyectos (PMO).

Como miembro del Departamento de Sistemas de la organización, eres

designado director del Proyecto para adaptar o modificar los sistemas y
herramientas existentes o crear los sistemas o herramientas necesarios para
implementar todas las medidas anteriormente mencionadas, incluidas en el
RGPD, las cuales deben quedar implementadas antes de la fecha marcada por
el Reglamento (+4 meses a partir de hoy), bajo posibilidad de incurrir en
sanciones elevadas por su incumplimiento. Los sistemas o herramientas
pueden afectar a cualquier departamento dentro de la organización.

El proyecto es considerado crítico por parte de la organización, cuya

estructura es matricial fuerte, por lo que se le proporciona un nivel de
autoridad, capacidad de decisión y disponibilidad sobre recursos muy elevada.
Podrá solicitar recursos humanos tanto del departamento de sistemas como de
otros departamentos de la organización. Al mismo tiempo, se le ofrece la
posibilidad de contratar a un experto externo si lo considera necesario por no
existir o no estar disponible algún perfil determinado dentro de la
organización. Se le asigna un presupuesto de 200.000€ como máximo.
Teniendo en cuenta la importancia del proyecto, el patrocinador del proyecto
será el director de la oficina de proyectos (PMO).

Habrá que tener en consideración los siguientes supuestos para

desarrollar adecuadamente los análisis posteriores:
 Su organización cumple en su totalidad la normativa previa existente
en relación a la protección de datos (LOPD 15/1999).
 A la fecha de hoy, su organización aún no ha comenzado a adaptar
sus sistemas y herramientas a las consideraciones del nuevo
Reglamento de Protección de Datos (RGPD), por lo que Usted debe
comenzar desde cero.
 Su organización cuenta con procesos, procedimientos y políticas que
deben ser respetadas y como, por ejemplo, las siguientes:
- Política de control y gestión de riesgos.
- Política de Compliance.
- Política de Ciberseguridad.
 Cualquier otro dato o información no incluida en este documento
será supuesto para el director del Proyecto.

Con la información de la que se dispone, se requiere el desarrollo del

ACTA DE CONSTITUCIÓN para este proyecto.

Desarrollo:

Con la información de la que se dispone, se requiere el desarrollo del

ACTA DE CONSTITUCIÓN para este proyecto.

PROPOSITO DEL PROYECTO:

adaptar o modificar los sistemas y herramientas existentes o crear los
sistemas o herramientas necesarios para implementar todas las medidas
incluidas en el RGPD, las cuales deben quedar implementadas antes de 4
MESES.
 OBJETIVOS MEDIBLES
1- Determinar, como figura clave, el “Data Protection Officer”
(DPO) o “Delegado de Protección de Datos”
2- Documentar violaciones de seguridad en los datos manejados
3- implantar sistemas de cifrado y doble factor de autenticación,
incluso sobre los datos considerados de nivel básico.
4- Analizar los datos tratados y qué tipo de operaciones de
tratamiento llevan a cabo.
5- Implementar derechos de portabilidad
6- Determinar el uso de los datos para la finalidad recaudada
7- convertir la protección de datos personales en un aspecto crítico
de la organización.
REQUISITOS DE ALTO NIVEL
1- protección de datos (LOPD 15/1999).
2- Estructura matricial fuerte
3- nivel de autoridad, capacidad de decisión y disponibilidad sobre
recursos muy elevada.

DESCRIPCION DE ALTO NIVEL DEL PROYECTO

De forma general, las nuevas consideraciones que habrán de tenerse en
cuenta son los siguientes: Dos elementos de carácter general constituyen la
mayor innovación del Reglamento para los responsables y se proyectan sobre
todas las obligaciones de las organizaciones:
• Se requiere que las organizaciones analicen qué datos tratan, con qué
finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo.
• Consentimiento reforzado: el consentimiento debe ser “inequívoco”,
siendo aquél que se ha prestado mediante una manifestación del interesado o
mediante una clara acción afirmativa. NO se admiten de ningún modo las
formas de consentimiento tácito o por omisión, ya que se basan en la inacción.
Se contemplan situaciones en las que el consentimiento, además de
inequívoco, ha de ser explícito:
- Tratamiento de datos sensibles.
- Adopción de decisiones automatizadas.
- Transferencias internacionales.
El consentimiento puede ser inequívoco y otorgarse de forma implícita
cuando se deduzca de una acción del interesado, por ejemplo: cuando el
interesado continúa navegando por una web y acepta así el que se utilicen
cookies para monitorizar su navegación. La información a los interesados,
tanto respecto a las condiciones de los tratamientos que les afecten como en
las respuestas a los ejercicios de derechos, deberá proporcionarse de forma
concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y
sencillo. La información a los interesados deberá facilitarse por escrito,
incluidos los medios electrónicos cuando sea apropiado.
• Nuevos derechos como “Derecho al Olvido”: consecuencia de la
aplicación del derecho de borrado de los datos personales.
• Nuevos derechos como la “portabilidad”: implica que los datos
personales del interesado se transmiten directamente de un responsable a otro,
sin necesidad de que sean transmitidos previamente al propio interesado,
siempre que ello sea técnicamente posible.
El derecho de portabilidad es una forma avanzada del derecho de
acceso por el cual la copia que se proporciona al interesado debe ofrecerse en
un formato estructurado, de uso común y lectura mecánica.
Derecho de acceso: se reconoce el derecho a obtener una copia de los
datos personales objeto del tratamiento. Los responsables podrán atender a
este derecho facilitando el acceso remoto a un sistema seguro que ofrezca al
interesado un acceso directo a sus datos personales.
• Los datos serán recogidos con fines determinados: si se recogen datos
con una finalidad determinada no se pueden utilizar los datos con una
finalidad diferente.
• Obligación de implantar sistemas de cifrado y doble factor de
autenticación, incluso sobre los datos considerados de nivel básico.
• Determinar, como figura clave, el “Data Protection Officer” (DPO) o
“Delegado de Protección de Datos” (DPD), que será obligatorio en: -
Autoridades y organismos públicos. - Responsables o encargados que tengan
entre sus actividades principales las operaciones de tratamiento que requieran
una observación habitual y sistemática de interesados a gran escala. -
Responsables o encargados que tengan entre sus actividades principales el
tratamiento a gran escala de datos sensibles.

RIESGO GENERAL
• Notificaciones de “violaciones de seguridad de los datos”. Las
violaciones de seguridad son comúnmente conocidas como “quiebras de
seguridad” que incluye todo incidente que ocasione la destrucción, pérdida o
alteración accidental o ilícita de datos personales transmitidos, conservados o
tratados de otra forma, o la comunicación o acceso no autorizados a dichos
datos. Por ejemplo: la pérdida de un ordenador portátil, el acceso no
autorizado a las bases de datos de una organización (incluso por su propio
personal) o el borrado accidental de algunos registros, constituyen violaciones
de seguridad a tenor del RGPD y deben ser tratadas adecuadamente. Algunas
obligaciones por parte de las organizaciones son las siguientes:
- Cuando se produzca una violación de la seguridad de los datos, el
responsable debe notificar a la autoridad de protección de datos competente, a
menos que sea improbable que la violación suponga un riesgo para los
derechos y libertades de los afectados. - La notificación de quiebra a las
autoridades debe producirse sin dilación indebida y, ser posible, dentro de las
72 horas siguientes a que el responsable tenga constancia de ella. - La
notificación ha de incluir un contenido mínimo
- La naturaleza de la violación.
- Categorías de datos y de interesados afectados.
- Medidas adoptadas por el responsable para solventar la quiebra.
- Si procede, las medidas aplicadas para paliar los posibles efectos
negativos sobre los interesados.
- Los responsables deben documentar todas las violaciones de
seguridad. - El RGPD añade a los contenidos de la notificación las
recomendaciones sobre las medidas que pueden tomar los interesados para
hacer frente a las consecuencias de la quiebra.

RESUMEN DEL CRONOGRAMA DE HITOS

Mes 1
1- Recolección de datos enfocados en: Tratamiento de datos sensibles.,
adopción de decisiones automatizadas, transferencias internacionales.
2-contratación de un tercero experto en el tema de protección de datos
Mes 2
1- asignación de tareas para cada uno de los departamentos
2- asignación de responsables de entregar informes
3- recolección de informes de cada departamento
Mes 3
1-consolidacion de informes de los diferentes deptos.
2-revicion de conceptos para implementar todas las medidas incluidas
en el RGPD, que se ajusten adecuadamente.
Mes 4
1- Entrega
2- socialización con todos los deptos.
3- Implementación

RECURSOS FINANCIEROS PREAPROBADOS

presupuesto de 200.000€ como máximo
 LISTA DE INTERESADOS CLAVE
los actores interesados del proyecto o stakeholders son personas y
organizaciones como clientes, patrocinadores, la organización ejecutante y el
público que está activamente involucrado en el proyecto. También aquellos
cuyos intereses pueden ser afectados, positiva o negativamente por la
ejecución o la terminación del proyecto. Por otro lado, los que pueden ejercer
influencias sobre el proyecto y sus entregables. Los interesados del proyecto
podrían estar a niveles diferentes dentro de la organización y pueden poseer
niveles de autoridad diferentes. Además, poder ser externos al proyecto
incluso de fuera de la organización ejecutante.
Para efectos de este caso práctico identificamos la siguiente lista:
1-deptos. De la empresa entre los cuales tenemos Recursos humanos,
Financiero. Ingeniería eólica. Ingeniería hidráulica. Ingeniería geotérmica.
Obra civil
Legal y tramitaciones. Sistemas. Oficina de dirección de proyectos
(PMO).
2- grupo de clientes atendidos, de los cuales poseemos sus datos
3-proveedores de la empresa
4-organismos legales de control

REQUISITOS DE APROBACION DEL PROYECTO

director de proyecto asignado: Diana Puentes
responsabilidad y nivel de autoridad: responsabilidad alta y nivel de
autoridad bajo entre departamentos, pero si en toma de decisiones
Nombre y nivel de autoridad del patrocinador: el patrocinador del
proyecto será el director de la oficina de proyectos (PMO).
Nivel de autoridad:
• Aprobación del Acta de Constitución del Proyecto, y del Plan de
Dirección del Proyecto.
• Todos los aspectos relacionados a la gestión Financiera del
proyecto respecto al presupuesto definido, garantizar liquidez para afrontar los
gastos y contrataciones del proyecto en el momento en que sean requeridos.
• Garantizar la disponibilidad de los recursos necesarios para el
proyecto, de acuerdo a la línea base de tiempo (cronograma) del Plan de
Dirección del Proyecto
• Aprobación del uso del 100% de la reserva de gestión, de acuerdo
a los posibles riesgos no identificados que surjan a lo largo del ciclo de vida
del proyecto.
 • Toma de decisiones sobre incidencias y solicitud de cambios
escalados por el Director del Proyecto o al patrocinador, cuando sobrepase lo
estipulado en las Líneas Base de alcance, tiempo y coste del Plan de Gestión
del Proyecto.

CRITERIOS DE SALIDA DEL PROYECTO:

1- Máxima duración del proyecto 4 meses
2- Se presenta esta acta de constitución
3- Política de control y gestión de riesgos.
4- Política de Compliance. - Política de Ciberseguridad

DIRECTOR DEL PROYECTO ASIGNADO:

RESPONSABILIDAD Y NIVEL DE AUTORIDAD
proyecto es considerado crítico por parte de la organización, cuya
estructura es matricial fuerte, por lo que se le proporciona un nivel de
autoridad, capacidad de decisión y disponibilidad sobre recursos muy elevada.
Podrá solicitar recursos humanos tanto del departamento de sistemas como de
otros departamentos de la organización. Al mismo tiempo, se le ofrece la
posibilidad de contratar a un experto externo si lo considera necesario por no
existir o no estar disponible algún perfil determinado dentro de la
organización.

NOMBRE Y NIVEL DE AUTORIDAD DEL PATROCINADOR

el patrocinador del proyecto será el director de la oficina de proyectos
(PMO). Habrá que tener en consideración los siguientes supuestos para
desarrollar adecuadamente los análisis posteriores:
• Su organización cumple en su totalidad la normativa previa existente
en relación a la protección de datos (LOPD 15/1999).
• A la fecha de hoy, su organización aún no ha comenzado a adaptar sus
sistemas y herramientas a las consideraciones del nuevo Reglamento de
Protección de Datos (RGPD), por lo que Usted debe comenzar desde cero.

Referencias:
 Corporación Universitaria Asturias (2018). El rol de director de
proyectos. Nota técnica.
https://www.centrovirtual.com/recursos/biblioteca/pdf/aseguramient
o_calidad/unidad1_pdf2.pdf.
 Corporación Universitaria Asturias (2018). Gestión de la integración.
Nota técnica.
https://www.centrovirtual.com/recursos/biblioteca/pdf/aseguramient
o_calidad/unidad1_pdf2.pdf.