Project Management Skills, This article contains affiliate links.

10 preguntas GDPR para hacer antes de comenzar un nuevo proyecto


GDPR es una actualización única en una generación de nuestras regulaciones de protección de datos. Y tiene enormes implicaciones para las personas que administran proyectos que almacenan, capturan o procesan datos personales. Los proyectos de GDPR abundan en este momento; usted podría estar involucrado en uno usted mismo. Pero más allá de la configuración de los principios de GDPR en su negocio, ¿cómo se ve GDPR para la gestión de proyectos?

En este artículo veré 10 preguntas que los gerentes deben hacerse antes de comenzar un nuevo proyecto.

Pero primero, cubramos lo básico.

Debe saber que no soy abogado y que este artículo no constituye en modo alguno asesoramiento legal o asesoramiento empresarial. Solo soy alguien que ha investigado mucho sobre GDPR. Me complace recomendar Suzanne Dibble's GDPR Documentation Pack que utilizo en mi propio negocio (más sobre esto en la parte inferior del artículo). Siempre tome el consejo de su equipo legal.

¿Qué es GDPR?

Es muy probable que haya oído hablar de GDPR, el Reglamento General de Protección de Datos que entra en vigor el 25 de mayo de 2018 en toda Europa. En el Reino Unido, la Oficina del Comisionado de Información (ICO) está llevando a cabo campañas para crear conciencia y ayudar a las empresas a cumplir. Su orientación es muy útil.

A menos que su equipo de gestión haya vivido bajo una roca, habrán estado trabajando para que su organización cumpla con las nuevas reglamentaciones porque las implicaciones de no son ​​significativas.

GDPR es relevante incluso si usted no está en Europa

Oh sí, esta es la gran cosa.

Incluso si usted personalmente no está en Europa, y no está trabajando para una empresa europea, usted aún debe cumplir con los principios de GDPR si almacena o procesa los datos de individuos europeos .

El ejemplo más simple es si su empresa crea un nuevo software. Si lo hace disponible para comprar en Internet y permite que personas de todos los países lo compren, entonces GDPR se aplica a la forma en que procesa los datos de sus clientes europeos.

Francamente, me parece más fácil aplicar una buena protección de datos principios para todos sus clientes. La vida es demasiado corta para intentar implementar procesos duales y tratar a las personas no europeas y europeas de forma diferente. Las obligaciones no son onerosas, sinceramente.

¿Qué son los datos personales?

La ICO define los datos personales como:

cualquier información relacionada con una persona identificable que pueda identificarse directa o indirectamente, en particular, por referencia a un identificador.

Eso es bastante amplio y abarca cosas como:

  • Nombre
  • Dirección
  • Datos de nacimiento
  • Datos de ubicación recopilados del historial del navegador
  • Número de identificación, como un número de referencia del cliente , siempre que pueda vincularse a una persona
  • Identificador en línea, como un nombre de usuario de medios sociales.

Muchos, muchos proyectos almacenan, tocan, capturan o procesan datos personales, porque las empresas tienen enormes cantidades de datos sobre los clientes y el personal.

Aquí hay 10 cosas que los gerentes de proyecto necesitan saber sobre GDPR antes de comenzar un nuevo proyecto.

1. ¿Quién es su Oficial de Protección de Datos?

Es muy probable que su compañía tenga un Oficial de Protección de Datos (DPO). Esta persona será responsable de todos los problemas de protección de datos dentro de la organización. Son su primer punto de llamada si tiene una consulta de datos.

Es bueno saber quiénes son. Se convierten en uno de los expertos en la materia que luego puede aprovechar durante el proyecto en caso de que tenga preguntas sobre la protección de datos o sobre cualquiera de los derechos de los sujetos de los datos bajo GDPR.

2. ¿Qué es una evaluación de impacto de la privacidad de datos?

¿Su proyecto maneja datos personales? Si es así, deberá completar una Evaluación de Impacto sobre la Privacidad de los Datos (DPIA).

Una DPIA es básicamente una revisión de los datos personales que se manejan como parte del proyecto. Hay muchas preguntas para responder, y al final se hace una idea del alcance y la escala del riesgo.

La DPIA analiza:

  • El alcance, contexto y propósito del procesamiento requerido
  • Si es necesario procesar los datos
  • Qué medidas de cumplimiento están / estarán vigentes
  • Los riesgos para las personas (sus sujetos de datos)
  • Las medidas que puede tomar para mitigar esos riesgos.

Su PMO debería tener una plantilla DPIA y cualquier proyecto que toque datos personales deben ser completados. Esto es algo en lo que su Administrador de Gobernanza de la Información o DPO puede ayudar.

Luego puede planificar adecuadamente los controles y las acciones requeridas para avanzar el proyecto.

3. ¿Transfiere datos fuera de la UE?

¿Su proyecto implica la transferencia de datos fuera de la UE?

De ser así, deberá prestar especial atención a cómo se ve ese requisito. También puede tener que enfrentar la realidad de que es posible que no pueda hacerlo. Si la empresa a la que desea realizar la transferencia no cuenta con los controles de datos adecuados, sería mejor que busque una solución alternativa que no requiera la transferencia de datos fuera de la UE.

Esta es un área en la que deseará aproveche la experiencia de su DPO y los abogados de su negocio.

4. ¿Qué dice su aviso de privacidad?

Ha leído el aviso de privacidad de su empresa, ¿no? Probablemente tengan uno para el personal y otro para los clientes.

Incluso si nunca se ha molestado en mirarlo antes, si está ejecutando un proyecto que utiliza o captura datos personales, entonces vale la pena echarle un vistazo. Debe asegurarse de que su proyecto cumpla con los estándares establecidos en el aviso de privacidad. Por ejemplo, si no hay nada allí acerca de contactar a los clientes a través de un mensaje SMS, entonces no puede ponerse en contacto con los clientes a través de un mensaje SMS, incluso si el patrocinador de su proyecto cree que es una idea genial. Necesita obtener el consentimiento para comercializar a las personas a través de SMS, y si no lo tiene, no puede hacerlo.

También puede escuchar el aviso de privacidad denominado Aviso de procesamiento justo.

5 . ¿Cuál es la política de retención de datos?

Los proyectos crean una gran cantidad de datos. Si está configurando listas de personal para una planta de eliminación de residuos o capturando datos de clientes en su nueva aplicación, está recopilando datos. Y parte de esto será información "personal": información sobre personas vivas.

Debe saber por cuánto tiempo se espera que conserve los datos durante los períodos de retención de datos de su empresa. Entonces necesita poder destruirlo.

Para su proyecto, esto significa comprender cuáles son las políticas de retención y asegurarse de que su proyecto cumpla con ellas. Por ejemplo, puede ser que tenga que etiquetar cada nueva entrada en la base de datos con una fecha de destrucción, calculada automáticamente a partir de la fecha de registro del usuario. O puede que tenga que diseñar un nuevo informe mensual que indique qué datos pueden destruirse de manera segura.

GDPR se centra en datos personales, pero nunca es una mala idea incluir la destrucción de datos no personales en los requisitos de su proyecto también. Entonces nunca retendrá demasiado nada y se mantendrá en conformidad con los requisitos más amplios de la organización.

6. ¿Qué impacto tiene el derecho a la portabilidad?

GDPR confiere varios derechos a los sujetos de datos (es decir, personas) y uno de ellos es el derecho a la portabilidad.

Piense en su contrato con su empresa de servicios públicos. Usted los paga mensualmente por su agua, gas o electricidad. Quieres mudarte a otro proveedor. El derecho a la portabilidad le da derecho a tener los datos de sus clientes de una manera que le facilite cambiar de proveedor. En este ejemplo súper simple, podrían ser los detalles de las últimas lecturas de 5 metros, de modo que su nuevo proveedor pueda hacerse una idea de cuánta electricidad usa habitualmente su hogar a lo largo del tiempo.

Su proyecto debe asegurarse de que lo que sea que esté construir aún puede cumplir con el derecho de alguien para transferir los datos a otra parte. Considere eso en sus requisitos para que la primera vez que se le pregunte pueda cumplir con sus necesidades.

7. ¿Su proyecto depende de los perfiles?

"Usemos Facebook para apuntar a las personas que quieran comprar nuestro nuevo helado".

Si bien eso suena como una gran herramienta de marketing (y para quienes no les gustaría trabajar en un hielo ¿proyecto de crema?), los gerentes deben saber que GDPR requiere que sea transparente con respecto a los perfiles y la toma de decisiones automática. Es necesario que la gente sepa qué lógica se utiliza para procesar sus datos.

Un ejemplo más realista es comprar un seguro. Si configura el motor de su software de seguro de la empresa para rechazar automáticamente a las personas que disparan varios factores desencadenantes durante el proceso de compra, debe asegurarse de que eso quede claro para las personas.

La forma de hacerlo sería en el aviso de privacidad de la organización, asegúrese de que si está presentando nuevas herramientas automáticas de toma de decisiones o creación de perfiles (piense: AI y bots), entonces su equipo legal también está actualizando su aviso de privacidad.

8. ¿Está utilizando Opt In Forms?

Conforme a GDPR, el consentimiento debe ser transparente y otorgado libremente. Eso significa que no hay más casillas de consentimiento previamente marcadas en el sitio web para optar por formularios. La gente tiene que marcar la casilla (en lugar de desmarcarla, si no quieren la información).

Su equipo de Marketing probablemente ya esté al tanto de esto, pero asegúrese de estar siguiendo las mejores prácticas para dar su consentimiento a las personas que llegue a su sitio web, si su proyecto tiene un elemento en línea.

9. ¿Puede encontrar datos en su nuevo software?

Muchos proyectos presentan nuevos software y sistemas de TI. Cuando agrega una nueva herramienta a su patrimonio informático, debe poder buscarse.

Esto se debe a que bajo GDPR, las personas tienen derecho a solicitar sus datos. Necesita poder encontrarlo.

En el Reino Unido, hemos tenido Solicitudes de acceso al sujeto por algún tiempo, por lo que este requisito no es totalmente nuevo. El proceso le da a las personas la posibilidad de solicitar copias de sus datos. Las organizaciones tienen un cierto período de tiempo para responder.

El requisito GDPR en realidad no hace que esto sea muy diferente, aunque el período de tiempo ahora es más corto. Sin embargo, lo que vale la pena considerar es cuán buenos eran sus sistemas en primer lugar. Cuando alguien solicitó copias de sus registros, ya sea un empleado o un cliente, ¿realmente pudo darles todo en el archivo? GDPR obliga a las empresas a reconsiderar el proceso, así que considere qué posibilidades de búsqueda tendrán sus nuevas herramientas.

10. ¿Cuál es el riesgo de GDPR?

Si su proyecto expone al negocio a un riesgo significativo en cualquiera de estas áreas, entonces debe aumentarlo. Las multas por falta de cumplimiento son enormes, lo que automáticamente haría que los riesgos del proyecto relacionados con la protección de datos se conviertan en riesgos del programa o más.

Además de las sanciones financieras, existe un riesgo reputacional para las empresas que no tratan los datos del cliente de forma segura ¿Desea que su proyecto sea responsable de que su empleador salpique las noticias como el próximo escándalo de los grandes datos? Los proyectos de GDPR en Europa analizarán las implicaciones generales de este riesgo para la organización, pero ¿qué pasa específicamente con su nuevo proyecto?

Agregue cualquier riesgo al registro de riesgos corporativo a través de la ruta correcta, y no se vaya simplemente ellos en el registro de riesgos del proyecto.

Lo que estoy haciendo para cumplir GDPR

Voy a actualizar mi blog aquí con un nuevo aviso de privacidad y cumplir con las nuevas regulaciones sobre la suscripción a mi boletín de noticias. Estoy en proceso de revisar mis sistemas de software para asegurarme de que solo utilizo compañías compatibles. A todos los efectos, probablemente no se dará cuenta de que es muy diferente, pero estoy trabajando para garantizar que los datos personales que me confíe se procesen de acuerdo con las directrices de GDPR.

Si tiene un blog, consulte 10 Cosas que los bloggers deben saber sobre GDPR.

Si dirige una pequeña empresa, recomiendo encarecidamente el paquete GDPR de Suzanne Dibble. Incluye una lista de verificación de preparación, documentación de muestra y más, todo para que cumpla con los requisitos en el menor tiempo posible y es muy rentable.

Pin para lectura posterior:

 Proyectos de GDPR [19659003]  Gerente de proyecto de gdpr

Las 10 preguntas de GDPR posteriores a comenzar antes de comenzar un nuevo proyecto aparecieron primero en la Guía de gestión de proyectos de Girl's.

You Might Also Like

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Powered by themekiller.com