Adaptación de una pyme a la normativa del RGPD

Abstract

La normativa actual en Protección de datos obliga a las organizaciones a realizar un esfuerzo para adaptarse a los requerimientos que el marco legal le impone, RGPD y LOPDGDD. La finalidad de este proyecto es mostrar cómo afecta la normativa aplicable en materia de protección de datos, a un sector empresarial muy concreto como son las pymes. Con el fin de acotar en lo posible el ámbito de actuación se ha utilizado una empresa ficticia con unas características específicas que ha permitido tener una visión práctica de la aplicación de la normativa. Para dar cumplimiento al RGPD, la empresa deberá aplicar medidas organizativas, legales y técnicas, y para ello será necesario recopilar material y recursos que ayuden a las pymes de manera clara, sencilla y al menor coste a realizar la adecuación. Por otro lado, con el objetivo de que el empresario entienda las obligaciones que debe cumplir, será necesario trasladar las normas a un lenguaje cercano y claro, fácilmente comprensible por el colectivo de pequeños empresarios y alejarlos de los miedos que puedan surgir fruto del desconocimiento. El proyecto ha sido abordado utilizando la metodología PDCA por sus sinergias con los SGSI, delimitando el desarrollo del proyecto a las dos primeras fases el Plan y el DO y quedando fuera del alcance del proyecto las otras dos el Check y el Act, así como las continuas mejoras. Como resultado del proyecto se obtendrá en la fase de Plan la identificación de tratamientos, roles y el análisis de los riesgos y en la fase de do los controles organizativos, las cláusulas y contratos y las medidas técnicas que la pyme deberá implantar para lograr su adaptación al RGPD.

The current regulations in Data Protection require organizations to make an effort to adapt to the requirements imposed by the legal framework, GDPR and LOPDGDD. The purpose of this project is to show how the applicable data protection regulations affect a very specific business sector such as SMEs. In order to limit as far as possible, the scope of action has been used a fictitious company with specific characteristics that has made it possible to have a practical vision of the application of the rules. To comply with the RGPD, the enterprise should apply organizational measures, legal and technical, and it will be necessary to collect material and resources to assist SMES in a clear, simple and at the lowest cost to perform the adequacy. On the other hand, in order for the employer to understand the obligations to be fulfilled it will be necessary to transfer the rules to a close and clear language, easily understood by the collective of small entrepreneurs and to distance them from the fears that may arise from ignorance. The project has been addressed using the PDCA methodology for its synergies with ISMS, delimiting the development of the project to step Plan and step Do and being beyond the scope of the project the other two Check and Act as well as the continuous improvement. As a result of the project, the identification of treatments, roles and risk analysis will be obtained in the Plan step and in the Do phase of the organizational controls, clauses and contracts and the technical measures that the SME will have to implement to achieve its GDPR adaptation.

La normativa actual en Protecció de dades obliga les organitzacions a realitzar un esforç per a adaptar-se als requeriments que el marc legal li imposa, RGPD i LOPDGDD. La finalitat d'aquest projecte és mostrar com afecta la normativa aplicable en matèria de protecció de dades, a un sector empresarial molt concret com són les pimes. Amb la finalitat de fitar en la mesura del possible l'àmbit d'actuació s'ha utilitzat una empresa fictícia amb unes característiques específiques que ha permès tenir una visió pràctica de l'aplicació de la normativa. Per a donar compliment al RGPD, l'empresa haurà d'aplicar mesures organitzatives, legals i tècniques, i per a això serà necessari recopilar material i recursos que ajudin a les pimes de manera clara, senzilla i al menor cost a realitzar l'adequació. D'altra banda, amb l'objectiu que l'empresari entengui les obligacions que ha de complir, serà necessari traslladar les normes a un llenguatge pròxim i clar, fàcilment comprensible pel col·lectiu de petits empresaris i allunyar-los de les pors que puguin sorgir fruit del desconeixement. El projecte ha estat abordat utilitzant la metodologia PDCA per les seves sinergies amb els SGSI, delimitant el desenvolupament del projecte a les dues primeres fases el Pla i el DO i quedant fora de l'abast del projecte les altres dues el Check i el Act, així com les contínues millores.