Adaptación de una pyme al RGPD

Abstract

La nueva normativa relativa a la protección de datos personales para ciudadanos y residentes de la UE está empezando a aplicarse a todas las empresas que procesan datos PII o personales, en la UE. Esta memoria, tratará de adaptar una PYME ficticia, para cumplir con este nuevo Reglamento llamado GDPR. Para ello necesitamos definir primero nuestro tipo de PYME, sus características y principalmente el tipo de datos personales que se deben controlar o procesar. Una vez descrita la empresa a adaptar, analizaremos todos los nuevos requisitos que necesitamos aplicar a nuestra PYME, de acuerdo con el Reglamento, para asegurar su completo cumplimiento. Hemos elegido una empresa que ofrece un servicio con tecnología de vanguardia, que necesita procesar datos personales de clientes, rol de encargado, junto con sus propios datos personales, rol de responsable. Por lo que, hemos diferenciado ambas soluciones de medidas dependiendo de estos roles. Las medidas particulares propuestas para esta PYME irreal, se han elegido teniendo en cuenta siempre las técnicas actuales, más eficientes, en cuanto a la viabilidad técnica, funcional y de implementación, y que cumplan con los requerimientos del RGPD. También hemos agregado otras medidas no obligatorias pero que aportarán ventajas a nuestra pyme. Describiremos todas las medidas, técnicas y organizativas y también intentaremos analizar los posibles impactos que podría sufrir nuestra empresa.

New regulation regarding personal data protection for EU citizens and residents is just starting to apply to all companies processing PII data in EU. This Master's thesis shall try to adapt an unreal SME (Small Medium Enterprise) for being compliant with this new Regulation called GDPR. For that purpose we need to define first our kind of SME, its characteristics and mainly the type of personal data that need to process or control. Then we will analyse all the new requirements we need to apply to our SME, according the Regulation, to be GDPR fully compliant. We have chosen a company offering a state of the art technology service, which needs to process customer personal data as Processor role, together with its own personal data as Controller. So we have differentiate both solutions measures depending these roles. The particular measures proposed for this unreal SME, have been chosen taken into account always the most efficient ones, regarding technical, design viability and implementation to accomplish with GPDR requirements. We have also add others non-mandatory measures in order to improve the compliance and taking advantage of them. We will describe all measures, technical and organizational and also try to review the possible impacts that could suffer our company.

La nova normativa relativa a la protecció de dades personals per a ciutadans i residents de la UE està començant a aplicar-se a totes les empreses que processen dades PII o personals, en la UE. Aquesta memòria, tractarà d'adaptar una PIME fictícia, per complir amb aquest nou Reglament anomenat GDPR. Per a això necessitem definir primer el nostre tipus de PIME, les seves característiques i principalment el tipus de dades personals que s'han de controlar o processar. Una vegada descrita l'empresa a adaptar, analitzarem tots els nous requisits que necessitem aplicar a nostra PIME, d'acord amb el Reglament, per assegurar el seu complet compliment. Hem triat una empresa que ofereix un servei amb tecnologia d'avantguarda, que necessita processar dades personals de clients, rol d'encarregat, juntament amb les seves pròpies dades personals, rol de responsable. Pel que, hem diferenciat ambdues solucions de mesures depenent d'aquests rols. Les mesures particulars propostes per a aquesta PIME irreal, s'han triat tenint en compte sempre les tècniques actuals, més eficients, quant a la viabilitat tècnica, funcional i d'implementació, i que compleixin amb els requeriments del RGPD. També hem agregat altres mesures no obligatòries però que aportaran avantatges a la nostra pime. Descriurem totes les mesures, tècniques i organitzatives i també intentarem analitzar els possibles impactes que podria sofrir la nostra empresa.