El reto
Nuestro cliente nos solicita una propuesta de colaboración orientada a completar los trabajos de análisis y diseño como soporte a la unidad de privacidad y al DPO (Data Protection Officer) de la compañía.
Cómo ayudamos
Ayudamos a diseñar e implementar el modelo de gobierno del cliente y a su operativización, para asegurar su adecuación a los requerimientos del RGPD y la nueva LOPD, de una manera ágil y fluida.
Para ello, diseñamos y pusimos en marcha una metodología entorno al modelo de gobierno de la privacidad que se tradujo en varios avances como:
- Una estandarización de los órganos de gobierno a nivel del grupo.
- La mejora de la efectividad sancionadora de los órganos de gobierno.
- La reducción de los tiempos de análisis de riesgo en cuestión de privacidad de las distintas iniciativas con impacto sobre datos de carácter personal.
- Una concienciación sobre la importancia del RGPD, midiendo y dando visibilidad de la actividad relacionada con este ámbito (ejercicio de derechos, atención a los requerimientos de la agencia, identificación y comunicación de brechas de seguridad, buzón DPO para atender a clientes y a miembros de la organización).
Adicionalmente, ante la carencia de herramientas de mercado que aportaran una solución global, el equipo de Axis Corporate definió, junto a los expertos en privacidad del cliente, unos requerimientos funcionales para desarrollar una herramienta que permitiera gestionar las PIAs, desde la identificación del caso a analizar (cuestionario), pasando por todo el flujo de análisis y gobierno sancionador, para finalmente identificar medidas mitigadoras del riesgo inherente que desembocan en el riesgo residual final que asume la organización al aceptar el tratamiento de datos asociado.
Impacto
El equipo de Axis Corporate dotó a la organización de una estructura sostenible y eficaz que permitía llevar a la práctica las políticas y procedimientos definidos por la unidad de privacidad y el DPO del cliente, todo de forma corporativa, homogénea y aumentando la concienciación de la materia en cuestión a todos los niveles de la organización.
Los principales beneficios de la implantación de este modelo han sido:
- Homogenización del modelo de gobierno de privacidad y concienciación a todos los niveles.
- Consolidación de la figura corporativa del DPO en grandes compañías o grupos.
- Eficiencia y detección de mejoras en los procesos actuales que dan respuesta al reglamento.
- Ejecución de planes de transformación para adecuar los modelos existentes a la nueva LOPD.
- Definición de entornos de controles basados en un risk assessment.
Desde un punto de vista cuantitativo, la implantación de mejoras en el proceso de la gestión de PIAs y el governance del comité privacidad ha permitido medir el impacto en diversos ámbitos:
- Impacto en la gestión de entrada de cuestionarios PIAs.
- Las formaciones realizadas fomentan la concienciación sobre RGPD en la organización incrementando en 4 meses un 155% la entrada de cuestionarios (respecto al promedio habitual).
- Las acciones correctivas realizadas han permitido reducir un 67% la entrada de cuestionarios no susceptibles de PIAs reduciendo en (respecto al promedio habitual)
- Impacto sobre la gestión del stock PIAs.
- Durante el proyecto, se ha reducido un 78% la edad del stock por mes de entrada (113 días vs 25 días) así como un 41% el acumulado (133 días vs 72 días).
- Desde el inicio del proyecto, se ha reducido un 91% los días que se tardaba a asignar un cuestionario (79 días vs 7 días).
- Del mismo modo, se ha reducido en un 67% los días que se tardaba en resolver una PIA (54 días vs 18 días).
- Impacto sobre los órganos de gobierno (Actividad comité PIA).
- Se ha duplicado la actividad de los comités tras la ejecución del proyecto, siendo el dato sostenido tras el traspaso de la gestión del servicio a AJ Privacidad.
- La superación de la curva de aprendizaje por parte de AJ privacidad y el alineamiento previo de la resolución de la PIA antes de la subida a comité ha mejorado el índice de efectividad situándolo entorno al 90% promedio.