GESTIÓN DEL ALCANCE

PROYECTO DE APLICACIÓN

Lucy Yadnory Martínez Rincón

Héctor Vicente Coy Beltrán

Gestión Social de Proyectos

2022
 Solución al caso práctico

Enunciado

Gestión del Alcance

En España, la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter

personal fue desarrollada para adaptar la Directiva 95/46/CE. Dicha ley tenía por objeto garantizar y

proteger, en lo que concierne al tratamiento de los datos personales y los derechos fundamentales de

las personas físicas, y especialmente de su honor e intimidad personal y familiar.

La ley sería de aplicación a los datos de carácter personal registrados en soporte físico, que los

hagan susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los

sectores público y privado. Se regiría por la ley todo tratamiento de datos de carácter personal

cundo el tratamiento sea efectuado en territorio español en el marco de las actividades de un

establecimiento del responsable del tratamiento.

Después de varias modificaciones de la ley orgánica, la Unión Europea (UE) desarrolla el nuevo

Reglamento (UE) 2016/679 del Parlamento Europeo y de Consejo, conocido como Reglamento

General de Protección de Datos, el cuál entró en vigor hace ya 18 meses desde hoy pero comenzará

a aplicarse exactamente a partir de 4 meses desde la fecha de hoy, resultando obligatorio para las

organizaciones implementar las nuevas medidas. Este Reglamento deroga la Directiva 95/46/CE

El Reglamento pretende armonizar en toda los países de la Unión Europea la protección de las

personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de

datos. Además, trata de dar respuesta a la realidad de los datos personales dentro de la sociedad de

la información actual.

Los nuevos requerimientos del Reglamento plantean importantes retos para todas las entidades

debido al elevado volumen de datos personales que gestionan, convirtiendo la protección de datos
personales en un aspecto crítico que todas las organizaciones deben tener presente. El Reglamento

es una norma directamente aplicable al ordenamiento jurídico español, no requiriendo de normas

internas específicas ni de desarrollo ni para su aplicación.

El Reglamento contiene conceptos, principios y mecanismos similares a los establecidos por la

Directiva 95/46. Por ello, las organizaciones que en la actualidad cumplen con la LOPD tienen

buena base de partida para evolucionar hacia una correcta aplicación del nuevo reglamento.

De forma general, las nuevas consideraciones que habrán de tenerse en cuenta son los siguientes:

Dos elementos de carácter general constituyen la mayor innovación del Reglamento para los

responsables y se proyectan sobre todas las obligaciones de las organizaciones:

 Se requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y

qué tipo de operaciones de tratamiento llevan a cabo.

 Consentimiento reforzado: el consentimiento debe ser “inequívoco”, siendo aquél que se ha

prestado mediante una manifestación del interesado o mediante una clara acción afirmativa.

NO se admiten de ningún modo las formas de consentimiento tácito o por omisión, ya que

se basan en la inacción. Se contemplan situaciones en las que el consentimiento, además de

inequívoco, ha de ser explícito:

 Tratamiento de datos sensibles.

 Adopción de decisiones automatizadas.

 Transferencias internacionales.

El consentimiento puede ser inequívoco y otorgarse de forma implícita cuando se deduzca de una

acción del interesado, por ejemplo: cuando el interesado continúa navegando por una web y acepta

así el que se utilicen cookies para monitorizar su navegación.

La información a los interesados, tanto respecto a las condiciones de los tratamientos que les

afecten como en las respuestas a los ejercicios de derechos, deberá proporcionarse de forma

concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.

La información a los interesados deberá facilitarse por escrito, incluidos los medios electrónicos

cuando sea apropiado.

 Nuevos derechos como “Derecho al Olvido”: consecuencia de la aplicación del derecho de

borrado de los datos personales.

 Nuevos derechos como la “portabilidad”: implica que los datos personales del interesado se

transmiten directamente de un responsable a otro, sin necesidad de que sean transmitidos

previamente al propio interesado, siempre que ello sea técnicamente posible. El derecho de

portabilidad es una forma avanzada del derecho de acceso por el cual la copia que se

proporciona al interesado debe ofrecerse en un formato estructurado, de uso común y

lectura mecánica

 Derecho de acceso: se reconoce el derecho a obtener una copia de los datos personales

objeto del tratamiento. Los responsables podrán atender a este derecho facilitando el acceso

remoto a un sistema seguro que ofrezca al interesado un acceso directo a sus datos

personales.

 Los datos serán recogidos con fines determinados: si se recogen datos con una finalidad

determinada no se pueden utilizar los datos con una finalidad diferente.

 Obligación de implantar sistemas de cifrado y doble factor de autenticación, incluso sobre

los datos considerados de nivel básico.

 Determinar, como figura clave, el “Data Protection Officer” (DPO) o “Delegado de

Protección de Datos” (DPD), que será obligatorio en:

o Autoridades y organismos públicos.

 o Responsables o encargados que tengan entre sus actividades principales las

operaciones de tratamiento que requieran una observación habitual y sistemática de

interesados a gran escala.

o Responsables o encargados que tengan entre sus actividades principales el

tratamiento a gran escala de datos sensibles.

 Notificaciones de “violaciones de seguridad de los datos”. Las violaciones de seguridad son

comúnmente conocidas como “quiebras de seguridad” que incluye todo incidente que

ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales

transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no

autorizados a dichos datos. Por ejemplo: la pérdida de un ordenador portátil, el acceso no

autorizado a las bases de datos de una organización (incluso por su propio personal) o el

borrado accidental de algunos registros, constituyen violaciones de seguridad a tenor del

RGPD y deben ser tratadas adecuadamente. Algunas obligaciones por parte de las

organizaciones son las siguientes:

o Cuando se produzca una violación de la seguridad de los datos, el responsable debe

notificar a la autoridad de protección de datos competente, a menos que sea

improbable que la violación suponga un riesgo para los derechos y libertades de los

afectados.

o La notificación de quiebra a las autoridades debe producirse sin dilación indebida

y, ser posible, dentro de las 72 horas siguientes a que el responsable tenga

constancia de ella.

o La notificación ha de incluir un contenido mínimo:

o La naturaleza de la violación.

o Categorías de datos y de interesados afectados.

o Medidas adoptadas por el responsable para solventar la quiebra.

 o Si procede, las medidas aplicadas para paliar los posibles efectos negativos sobre

los interesados.

 Los responsables deben documentar todas las violaciones de seguridad.

 El RGPD añade a los contenidos de la notificación las recomendaciones sobre las medidas

que pueden tomar los interesados para hacer frente a las consecuencias de la quiebra

CUESTIÓN

¿Qué se solicita en base a la información anterior?

La organización para la que Ud trabaja es una gran empresa de ingeniería que está compuesta por

diversos departamentos como:

 Recursos humanos.

 Financiero.

 Ingeniería eólica.

 Ingeniería hidráulica.

 Ingeniería geotérmica.

 Obra civil

 Legal y tramitaciones.

 Sistemas.

 Oficina de dirección de proyectos (PMO).

Como miembro del Departamento de Sistemas de la organización, eres designado Director del

Proyecto para adaptar o modificar los sistemas y herramientas existentes o crear los sistemas o

herramientas necesarios para implementar todas las medidas anteriormente mencionadas, incluidas

en el RGPD, las cuales deben quedar implementadas antes de la fecha marcada por el Reglamento
(+4 meses a partir de hoy), bajo posibilidad de incurrir en sanciones elevadas por su

incumplimiento. Los sistemas o herramientas pueden afectar a cualquier departamento dentro de la

organización.

El proyecto es considerado crítico por parte de la organización, cuya estructura es matricial fuerte,

por lo que se le proporciona un nivel de autoridad, capacidad de decisión y disponibilidad sobre

recursos muy elevada. Podrá solicitar recursos humanos tanto del departamento de sistemas como

de otros departamentos de la organización. Al mismo tiempo, se le ofrece la posibilidad de contratar

a un experto externo si lo considera necesario por no existir o no estar disponible algún perfil

determinado dentro de la organización. Se le asigna un presupuesto de 200.000€ como máximo.

Teniendo en cuenta la importancia del proyecto, el patrocinador del proyecto será el director de la

oficina de proyectos (PMO).

Habrá que tener en consideración los siguientes supuestos para desarrollar adecuadamente los

análisis posteriores:

 Su organización cumple en su totalidad la normativa previa existente en relación a la

protección de datos (LOPD 15/1999).

 A la fecha de hoy, su organización aún no ha comenzado a adaptar sus sistemas y

herramientas a las consideraciones del nuevo Reglamento de Protección de Datos (RGPD),

por lo que Usted debe comenzar desde cero.

 Su organización cuenta con procesos, procedimientos y políticas que deben ser respetadas y

como, por ejemplo, las siguientes:

 Política de control y gestión de riesgos.

 Política de Compliance.

 Política de Ciberseguridad.
 Cualquier otro dato o información no incluida en este documento será supuesto para el Director

del Proyecto.

Con la información de la que se dispone, se requiere el desarrollo de la Estructura de desglose del

trabajo para este proyecto. Hasta el nivel que cada uno considere.

SOLUCIÓN AL CASO PRÁCTICO

Para crear la Estructura de Desglose del Trabajo se debe ir descomponiendo en componentes más

pequeños y más fáciles de manejar hasta llegar a un nivel de detalle claro y entendible.

Este último nivel de la EDT se le conoce como Paquete de Trabajo y es el nivel donde se van a

mostrar los entregables que tendrá el proyecto. Pese que la implementación del REGLAMENTO

GENERAL DEL PROTECCION DE DATOS, es bastante complejo y el proyecto se considera

critico ya que solo cuenta con 4 meses para implementar el sistema y las herramientas requeridas,

la ejecución de estos, se hace más fácil cuando se estructura el proyecto general y se realiza una

adecuada estructura de desglose de trabajo.

A continuación, se presenta la ESTRUCTURA DE TRABAJO Y DE DESGLOSE DE TRABAJO,

propuesta para la implantación del REGLAMENTO GENERAL DE PROTECCION DE DATOS

(RGPD):
ESTRUCTURA DE TRABAJO Y DE DESGLOSE DE TRABAJO

PROYECTO DE
IMPLEMENTACIÓN
DEL RGPD

INFORMACIÓN
GESTIÓN DE SOLICITADA Y CUMPLIMIENTO DE OPERACIÓN DEL
REQUERIMIENTO DISEÑO IMPLEMENTACIÓN
PROYECTO GARANTIAS POLITICAS PROYECTO
BRINDADAS

POLITICA DE
PROCESO DE CONSENTIMIENTO DISEÑO DEL DERECHO AL CONTROL Y PRUEBA DE
ANÁLISIS LIDERAZGO
INICIACIÓN REFORZADO SISTEMA OLVIDO GESTIÓN DEL SISTEMAS
RIESGO

PROCESO DE TRATAMIENTO DE DISEÑO DE LA DERECHO A LA POLITICA DE PRUEBA DE LAS

DATOS A TRATAR GESTIÓN
PLANIFICACIÓN DATOS SENSIBLES HERRAMIENTA PORTABILIDAD COMPLIANCE HERRAMIENTAS

PUESTA EN
PROCESO DE DECISIONES DERECHO AL POLITICA DE
FINALIDADES MARCHA DEL
EJECUCIÓN AUTOMATIZADAS ACCESO CIBERSEGURIDAD
SISTEMA

PROCESO DE RECOLECCIÓN DE
TIPO DE TRANSPARENCIA
SEGUIMIENTO Y DATOS CON FINES
OPERACIONES INTERNACIONAL
CONTROL DETERMINATIVOS

IMPLEMENTACIÓN DEL
PROCESO DE SISTEMA DE CIFRADO Y
CIERRE DOBLE FACTOR DE
AUTENTICACIÓN

DPO O DPD

VALORACIONES DE
SEGURIDAD
 Aplicación Práctica del Conocimiento

El éxito o fracaso de un proyecto, es un factor impredecible, por ello es imprescindible reducir el

riesgo de fracaso y ello se logra con una buena dirección.

El director del proyecto tiene un rol determinante, donde cada una de las decisiones debe ser

exitosa, por ello es importante que como Director de un proyecto se tenga un perfil con habilidades

en técnicas de dirección de proyectos, estrategia, negocios y liderazgo; para el caso práctico

que se trabajó se necesita mayor dedicación del director de proyecto, ya que, al considerarse el

proyecto como crítico, la estructura es matricial fuertes por lo tanto el nivel de autoridad del

director es alto.

En el proceso de desarrollo y la estructura de desglose de trabajo, para la implementación

del REGLAMENTO GENERAL DEL PROTECCION DE DATOS, se evidencia la

importancia del grado de autoridad que tenga el director del proyecto, ya que, si el nivel es

alto, este puede tomar decisiones y ejecutarlas a la menor brevedad posible. Además, se evidencia

que, entre mayor nivel de detalle de la estructura de desglose de trabajo, facilita la ejecución de las

cantidades y la toma de decisiones del director del proyecto.

Teniendo en cuenta lo anterior y como futura directora de proyectos llevaré a la consecución de los

objetivos fijados según el presupuesto, los plazos y los requisitos de calidad, así como de la gestión

del equipo del proyecto.

 Referencias

EMEX. (2018). Informe.

Cuidad México, México:
Archivo PDF.
PEMEX, (2018). Informe de
sostenibilidad 2018 Sitio web:
https://www.pemex.com/
etica_y_transparencia/
transparencia/informes/
Documents/inf_su
stentabilidad_2018_esp.pdf
Asturias. (21 de 08 de 2021).
Análisis de las Opciones
Estrategias Ofensivas –
Defensivas. Obtenido
de Análisis de las Opciones
Estrategias Ofensivas –
Defensivas: https://www.centro-
virtual.com/recursos/biblioteca/
pdf/estrategia_competitiva/
unidad3_pdf1.pdf
Asturias. (21 de 08 de 2021).
Medir para Mejorar. Obtenido de
Medir para Mejorar:
https://www.centro-
virtual.com/recursos/biblioteca/
pdf/estrategia_competitiva/
unidad3_pdf2.pdf
Asturias. (21 de 08 de 2021).
Visión Holística de todo.
Obtenido de Visión Holística de
todo:
https://www.centro-
virtual.com/recursos/biblioteca/
pdf/estrategia_competitiva/
unidad3_pdf3.pdf
Asturias. (2022). Inducción a la dirección de proyectos. Obtenido de https://www.centro-

virtual.com/recursos/biblioteca/pdf/gestión de proyectos I/unidad1_pdf1.pdf

Asturias. (2022). El entorno en el que operan los proyectos. Obtenido de https://www.centro-

virtual.com/recursos/biblioteca/pdf/gestión de proyectos I/unidad1_pdf2.pdf

Asturias. (2022). El Rol del Director de Proyecto Obtenido de

https://www.centro-virtual.com/recursos/biblioteca/pdf/gestión de proyectos

I/unidad2_pdf1.pdf

Asturias. (2022). Gestión de la Integración. Obtenido de

https://www.centro-virtual.com/recursos/biblioteca/pdf/gestión de proyectos

I/unidad2_pdf2.pdf

Asturias. (2022). Gestión del Alcance. Obtenido de

https://www.centro-virtual.com/recursos/biblioteca/pdf/gestión de proyectos

I/unidad3_pdf1.pdf

Asturias. (2022). Gestión del Cronograma. Obtenido de

https://www.centro-virtual.com/recursos/biblioteca/pdf/gestión de proyectos

I/unidad3_pdf2.pdf