El documento describe una solución propuesta por Grupo SIA para ayudar a las organizaciones a planificar adecuadamente el proceso de adaptación al nuevo Reglamento General de Protección de Datos de la UE. La solución implica realizar una evaluación inicial que identifique las áreas que requieren mejora, establezca prioridades y desarrolle un plan de proyectos para lograr el cumplimiento. El proceso incluye entrevistas, un análisis de brechas, la evaluación de variables clave y la definición de una hoja de ruta y plan de

1. Introducción
El pasado 4 de mayo de 2016 se publicó en el Diario Oficial de la Unión
Europea el Reglamento (UE) 2016/679 del Parlamento Europeo y del
Consejo, de 27 de abril de 2016, relativo a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la
libre circulación de estos datos, y por el que se deroga la Directiva
95/46/CE (en adelante, GDPR o Reglamento (UE) 2016/679).
Si bien el citado texto entró en vigor el pasado 25 de mayo de 2016, sus
requisitos no resultarán exigibles hasta el próximo 25 de mayo de 2018.
A pesar del plazo transitorio de 2 años establecido hasta su efectiva
aplicación, las numerosas novedades introducidas por el Reglamento
ha propiciado que las autoridades de control en la materia aconsejen
seguir de manera temprana un enfoque progresivo para la adaptación
de los elementos afectados a los nuevos requisitos.
Reglamento Europeo (UE) 2016/679
¿Por dónde empezar?: Assessment GDPR
Pallars 99, planta 4, oficina 41
08018 Barcelona
Tel.: +34 902 480 580
Fax: +34 934 675 830
www.sia.es
Avda. de Europa, 2
Alcor Plaza - Edificio B - Parque Oeste Alcorcón
28922 Alcorcón - Madrid
Tel.: +34 902 480 580
Fax: +34 913 077 980
Problemática
Las numerosas novedades introducidas por el GDPR, unido a la falta
de concreción o desarrollo de muchos de sus requisitos, dificulta
enormemente que las organizaciones puedan planificar y abordar un
proyecto global de adecuación.
Ello, debido a que, a lo largo de los próximos meses, se espera que
diferentes actores adopten diversos instrumentos a través de los cuales
se concreten y desarrollen distintos aspectos del GDPR, instrumentos
cuya observancia podría implicar, no sólo desvíos en el cumplimiento
de la planificación inicialmente establecida, sino la necesidad de revisar
y adaptar nuevamente actuaciones ya realizadas sobre la base de la
información de que se disponía en el momento de acometerlas, lo que,
sin duda, genera evidentes ineficiencias.
Armonización Protección
Transparencia Burocracia
Objetivos
Transición: establecimiento de
infraestructura, planificación de
actividades y tratamiento de riesgos
Operación, control y seguimiento del
servicio (resolución de peticiones,
actualización del marco normativo,
defensa jurídica, etc.)
Regulación de transferencias
internacionales
Definición de cláusulas y contratos
Evaluación de impacto a la
privacidad (PIA)
Identificación y registro de
tratamientos
Plan de recomendaciones
Definición de normativa interna
(documento seguridad; roles y
responsabilidades;
procedimientos jurídicos)
Definición de contenidos
formativos e impartición de
sesiones
Evaluación de indicadores
clave (KPI)
Definición y diseño de
material y contenidos de
concienciación
Arranque: definición de
Alcance, aspectos
preliminares y ANS
Devolución y finalización
ordenada de actuaciones
Realización de
entrevistas TI y negocio
Comprobaciones in-situ de
sistemas, locales e instalaciones
de tratamiento
Búsqueda de
antecedentes e
información preliminar
Evaluación de
cumplimiento del marco
racionalizado de controles
E
Fase 2
Adecuación
Fase 3
Concienciación
Fase 4
Mantenimiento
(SATEL)
Fase 1
Análisis inicial
Adecuación
Reglamento
(UE) 2016/679
Registro de tratamientos
Consentimiento expreso
Data Privacy Officer Responsabilidad proactivaViolaciones a la seguridad
Portabilidad de los datos
Cuantía de las sancionesDeber de información
Impacto a la privacidad
Enriquecimiento de la
información a facilitar a los
interesados cuando se recaben
sus datos.
Ha de otorgarse mediante un
acto afirmativo que refleje una
manifestación de voluntad
inequívoca. Pérdida de validez
del consentimiento tácito.
Aumento de la cuantía de las
sanciones hasta 20 MM€ o 4%
del volumen de negocio total.
Necesaria evaluación
temprana de los riesgos
asociados a tratamientos de
datos de carácter personal que
pretendan llevarse a cabo.
Facilitar a los interesados la
transferencia directa de sus
datos de un prestador de
servicios a otro.
Mantenimiento de un
inventario interno de
tratamientos, desapareciendo
la obligación formal de
notificación de ficheros.
Obligación de notificación a la
autoridad de control, así como
a los interesados afectados.
Sujeto a plazo.
Obligación de designar un rol
con conocimientos
especializados para el
desempeño de una serie de
funciones.
Existencia de mecanismos que
permitan acreditar el
cumplimiento activo de las
exigencias establecidas.
Principalesnovedades
Reglamento(UE)2016/679

2. www.sia.es
Avda. de Europa, 2
Alcor Plaza - Edificio B
Parque Oeste Alcorcón
28922 Alcorcón - Madrid
Tel.: +34 902 480 580
Fax: +34 913 077 980
Pallars 99
planta 4, oficina 41
08018 Barcelona
Tel.: +34 902 480 580
Fax: +34 934 675 830
Descripción de la solución
Para planificar adecuadamente el proceso de adecuación al Reglamento
(UE) 2016/679, Grupo SIA propone la realización de un Assessment
previo orientado a la consecución de los siguientes objetivos:
• Conocer el impacto del GDPR en los procesos de negocio de la
organización.
• Evaluar el grado de cumplimiento actual de los requisitos
introducidos por el GDPR.
• Identificar el gap de cumplimiento existente entre el “as is” y el “to
be”.
• Identificar y valorar las diferentes variables que contribuyan a
determinar la importancia de los diferentes requisitos.
• Establecer la estrategia más adecuada y eficiente para cumplir el
GDPR, así como el plan de proyectos a acometer.
• Establecer la planificación más idónea en base a las prioridades
identificadas.
Metodológicamente, la solución de Assessment GDPR se articula en
torno a las siguientes fases y actividades:
1.- Revisión preliminar de documentación:
Análisis de la documentación aportada, relativa a la muestra
previamente identificada (documentos, contratos, formularios,
procesos, políticas, normativas, procedimientos, sitios web, entornos
tecnológicos, documento de seguridad, etc.).
2.- Reuniones y entrevistas:
Proceso de toma de información, entendimiento y análisis de las
casuísticas de la organización con áreas corporativas, de negocio, y de
tecnologías de la información en las que recaigan funciones esenciales
en base a los requerimientos del GDPR.
3.- Gap análisis:
Evaluación del cumplimiento actual de la organización con respecto a
los requisitos del GDPR (as is), en comparación con su cumplimiento
ideal (to be).
4.- Estudio de variables:
Identificación, valoración y análisis de las variables relevantes que
contribuyen a priorizar la importancia de los diferentes requisitos
establecidos por el GDPR (probabilidad, impacto, coste, beneficio,
dificultad, esfuerzo, responsabilidad, áreas involucradas, etc.).
5.- Hoja de ruta:
Definición de la mejor estrategia de adecuación al GDPR, tomando
en consideración aspectos como nivel de madurez de la organización
en materia de privacidad y protección de datos, recursos disponibles,
tecnología existente, etc.
6.- Plan de proyectos:
Definición del conjunto de actuaciones (acciones, recomendaciones,
medidas o proyectos) a acometer y/o implantar por la organización
para alcanzar y mantener los niveles de cumplimiento del GDPR. Cada
una de las actuaciones se detalla a través de una ficha independiente
que contiene información relevante asociada (objetivos y alcance,
actividades y tareas, resultados a obtener, planificación, esfuerzo y
costes aproximados, duración, tecnología de apoyo, etc.).
Servicios relacionados
Adecuación
LOPD
Concienciación
Auditoría
LOPD
Adecuación
GDPR
Evaluación de
Impacto a la
Privacidad (PIA)
Data Privacy
Officer (DPO)
Supervisión
Encargados del
Tratamiento
SATEL®
Actuaciones y
procesos AEPD
servicios asociados a la pdcp
Assessment
GDPR