Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Enunciado
Gestión de la Integración
1
El Reglamento pretende armonizar en todos los países de la Unión Europea la
protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de datos. Además, trata de dar respuesta a la
realidad de los datos personales dentro de la sociedad de la información actual.
Los nuevos requerimientos del Reglamento plantean importantes retos para todas
las entidades debido al elevado volumen de datos personales que gestionan,
convirtiendo la protección de datos personales en un aspecto crítico que todas las
organizaciones deben tener presente.
• Se requiere que las organizaciones analicen qué datos tratan, con qué
finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a
cabo.
2
contemplan situaciones en las que el consentimiento, además de inequívoco, ha de
ser explícito:
- Tratamiento de datos sensibles.
- Adopción de decisiones automatizadas.
- Transferencias internacionales.
La información a los interesados deberá facilitarse por escrito, incluidos los medios
electrónicos cuando sea apropiado.
• Nuevos derechos como “Derecho al Olvido”: consecuencia de la aplicación
del derecho de borrado de los datos personales.
3
facilitando el acceso remoto a un sistema seguro que ofrezca al interesado un
acceso directo a sus datos personales.
• Los datos serán recogidos con fines determinados: si se recogen datos con
una finalidad determinada no se pueden utilizar los datos con una finalidad
diferente.
• Obligación de implantar sistemas de cifrado y doble factor de
autenticación, incluso sobre los datos considerados de nivel básico.
• Determinar, como figura clave, el “Data Protection Officer” (DPO) o
“delegado de Protección de Datos” (DPD), que será obligatorio en:
- Autoridades y organismos públicos.
- Responsables o encargados que tengan entre sus actividades principales las
operaciones de tratamiento que requieran una observación habitual y
sistemática de interesados a gran escala.
- Responsables o encargados que tengan entre sus actividades principales el
tratamiento a gran escala de datos sensibles.
• Notificaciones de “violaciones de seguridad de los datos”. Las violaciones
de seguridad son comúnmente conocidas como “quiebras de seguridad” que incluye
todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita
de datos personales transmitidos, conservados o tratados de otra forma, o la
comunicación o acceso no autorizados a dichos datos. Por ejemplo: la pérdida de
un ordenador portátil, el acceso no autorizado a las bases de datos de una
organización (incluso por su propio personal) o el borrado accidental de algunos
registros, constituyen violaciones de seguridad a tenor del RGPD y deben ser
tratadas adecuadamente. Algunas obligaciones por parte de las
organizaciones son las siguientes:
- Cuando se produzca una violación de la seguridad de los datos, el
responsable debe notificar a la autoridad de protección de datos competente, a
menos que sea improbable que la violación suponga un riesgo para los derechos y
libertades de los afectados.
4
- La notificación de quiebra a las autoridades debe producirse sin dilación
indebida y, ser posible, dentro de las 72 horas siguientes a que el responsable
tenga constancia de ella.
- La notificación ha de incluir un contenido mínimo:
La naturaleza de la violación.
Categorías de datos y de interesados afectados.
Medidas adoptadas por el responsable para solventar la quiebra.
Si procede, las medidas aplicadas para paliar los posibles efectos
negativos sobre los interesados.
- Los responsables deben documentar todas las violaciones de seguridad.
- El RGPD añade a los contenidos de la notificación las recomendaciones sobre
las medidas que pueden tomar los interesados para hacer frente a las
consecuencias de la quiebra.
5
RGPD, las cuales deben quedar implementadas antes de la fecha marcada
por el Reglamento (+4 meses a partir de hoy), bajo posibilidad de incurrir en
sanciones elevadas por su incumplimiento. Los sistemas o herramientas
pueden afectar a cualquier departamento dentro de la organización. El
proyecto es considerado crítico por parte de la organización, cuya estructura
es matricial fuerte, por lo que se le proporciona un nivel de autoridad,
capacidad de decisión y disponibilidad sobre recursos muy elevada. Podrá
solicitar recursos humanos tanto del departamento de sistemas como de
otros departamentos de la organización. Al mismo tiempo, se le ofrece la
posibilidad de contratar a un experto externo si lo considera necesario por no
existir o no estar disponible algún perfil determinado dentro de la
organización. Se le asigna un presupuesto de 200.000€ como máximo.
Teniendo en cuenta la importancia del proyecto, el patrocinador del proyecto
será el director de la oficina de proyectos (PMO).
6
Con la información de la que se dispone, se requiere el desarrollo del ACTA DE
CONSTITUCIÓN para este proyecto.
ACTA DE CONSTITUCIÓN
d. Descripción de alto nivel del proyecto, los límites y los entregables claves.
Los proyectos incluirán modificar, actualizar y crear los sistemas y herramientas necesarios
para regular el funcionamiento de la organización, en todo lo relacionado con el manejo de
datos personales, de acuerdo con la nueva normativa de la organización Europa, de
obligado cumplimiento.
7
e. Riesgo general del proyecto.
Ciberseguridad, incumplimiento del plazo y presupuesto estipulado.
Aversión al cambio de algunos miembros del personal de la organización.
Descoordinación en los departamentos al comenzar a trabajar en base a la nueva
normativa.
j. Criterios de salida del proyecto: condiciones que deben cumplirse para cerrar
una fase.
Para cerrar una fase es necesario que el patrocinador apruebe el resultado de la fase
anterior. Y deberá dejar constancia en un documento por escrito según las políticas de la
organización.