1

2

1. Alta de la licencia

2. Alta de los tratamientos

3. Análisis de la necesidad

4. Realizar PIA

5. Ciclo de vida

6. Cultura de privacidad y Canal de Denuncias

7. Análisis de riesgos

8. Informe de riesgos

9. Tratamiento de riesgos

10. Informe de controles

11. Cuadro de indicadores e histograma

12. Informe global de tratamientos

13. Registro de Actividades de Tratamiento

14. Contenidos prácticos privacidad

15. Riesgos y controles propios

16. Consulta y descarga de evidencias

17. Personalización de Complylaw

18. Gestión de usuarios

3

Para comenzar, lo primero que debemos hacer al entrar en COMPLYLAW Privacidad es determinar los datos de la organización sobre la que vamos a trabajar. Para ello, pulsaremos sobre la opción y a continuación, incluiremos el NIF de la organización y el nombre descriptivo de la misma como aparece en la pantalla. A continuación pulsaremos el botón guardar. y a continuación, incluiremos el NIF de la organización y el nombre descriptivo de la misma como aparece en la pantalla. A continuación pulsaremos el botón guardar.

Así haremos con cada una de las licencias que hayamos contratado.

Daremos de alta los diferentes tratamientos de datos de carácter personal que se estén produciendo en la organización.

Para ello, pulsaremos sobre la opción Iniciar nuevo-Tratamiento Privacidad, que aparece en la pantalla:

4

En esta misma pantalla, desde el icono que aparece el margen superior derecho veremos el número de licencias que hayamos contratado y cuántas de ellas hemos usado.

En nuestro ejemplo nos indica que hemos utilizado 1 licencia de 1 que tenemos contratada, y por tanto, nos aparece un mensaje de aviso indicándonos que no disponemos de licencias libres.

Cuando pulsamos sobre el icono de “Iniciar nuevo – Tratamiento Privacidad”, accederemos a la siguiente pantalla, donde seleccionaremos la licencia a la que asignaremos el tratamiento (en caso de que tengamos contratada más de una), incluiremos el nombre del tratamiento que vayamos a gestionar, con una pequeña descripción del mismo. Después, guardamos:

Así iremos haciendo con cada uno de los tratamientos de datos de carácter personal que se den en la organización.

Desde el panel general de tratamientos podremos realizar una serie de acciones sobre los tratamientos que demos de alta:

5

Gestionar: trabajar con cada tratamiento.

Editar: modificar los datos relativos al nombre y descripción del tratamiento creado.

Eliminar: se elimina el tratamiento que hayamos seleccionado.

Duplicar: podrá clonar el tratamiento y su contenido dentro de la misma organización. También podrá hacerlo en una organización diferente siempre que haya contratado más de una licencia.

Panel de tareas (solo para clientes de Complylaw versión

Advanced): acceso al panel de control del estado de las tareas ligadas a cada proyecto.

Vincular con Cultura Compliance: para vincular Complylaw con el módulo de contratación independiente de Cultura Compliance.

Gestionar un tratamiento: Desde el panel general de registro de tratamientos, podremos gestionar cualquiera de ellos. Para ello, pulsaremos directamente sobre el nombre del tratamiento sobre el que queramos trabajar, o bien pulsaremos sobre el icono gestionar de cada tratamiento.

Llegaremos a la siguiente pantalla donde se muestran los 8 POSIBLES PASOS a seguir para cada tratamiento. El orden establecido es el orden lógico que se debería seguir, pero no es obligatorio seguirlo, ni tampoco se obliga a pasar por todos. Es una herramienta flexible que permite pasar al siguiente paso sin finalizar el previo, pero sí que es recomendable pasar por todos y en el orden sugerido.

Esta secuencia de fases está alineada con el Reglamento de Protección de Datos, la Ley de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), y con las dos guías publicadas por la Agencia de Protección de Datos, tanto para el análisis de riesgos como para las evaluaciones de impacto, incluyendo por lo tanto las recomendaciones de la Agencia, que aún no siendo vinculantes son las marcadas por la entidad frente a la cual deberemos responder ante posibles sanciones.

6

Lo primero que debemos realizar es concretar ciertos datos sobre el tratamiento en cuestión (su finalidad, los responsables…), y para ello elegimos el PRIMER PASO: “1. Análisis de la necesidad” de la pantalla que se muestra a continuación:

Cuanta más información incluyamos en la aplicación, más completos serán los informes que se generarán sobre el tratamiento:

1. Tratamiento: describiremos de forma sencilla el tratamiento de datos que va a ser incluido en el registro de actividades de tratamiento (por ejemplo, clientes, candidatos, proveedores…), describiendo igualmente cuál es el objetivo o fin que se persigue con ese tratamiento (por ejemplo, gestionar clientes o candidatos). La aplicación proporciona una serie de ayudas contextuales que facilitan el trabajo, así como un editor de textos, que se podrá utilizar para dar formato (negrita, subrayado…), a la información que se incluya.

7

2. DPO y otras figuras de responsabilidad: responsables implicados en la gestión de ese tratamiento, identificación, en su caso, del Data Protection Officer (DPO), y de cualquier otra figura o responsable (por ejemplo de seguridad, tecnología…), que pudieran ser consultados sobre el tratamiento. Cada campo está además acompañado de la opción de subir evidencias, por ejemplo para demostrar la disponibilidad de un DPO en caso de ser obligatorio.

3. Evaluación objetiva y análisis de la necesidad: es un autodiagnóstico que nos ayudará a determinar si el tratamiento tiene un riesgo potencialmente alto para la organización, en cuyo caso, estaremos obligados a realizar una Evaluación de Impacto o PIA, o si no lo es, en cuyo caso, la PIA no será obligatoria. El autodiagnóstico sigue los pasos establecidos en el RGPD y las indicaciones establecidas en la Guía de la Agencia Española de Protección de Datos con todo detalle. Hemos ido incorporando todas aquellas preguntas que harán que se determine el riesgo. En el momento en que respondamos afirmativamente las preguntas identificadas como de riesgo alto, van a pasar dos cosas:

COMPLYLAW nos va a decir que debemos hacer esa Evaluación de Impacto

Al pasar al análisis de riesgos vamos a ver que el impacto nos va a aparecer ya, por defecto, como alto.

Cuando nos encontremos con tratamientos que supongan riesgos para los derechos y libertades de los ciudadanos (tratamientos de datos realizados con nuevas tecnologías, o de datos sensibles, …) conviene hacer esta evaluación. Podremos averiguar así si estamos obligados a hacer la Evaluación de riesgos completa o al menos al análisis de los derechos y libertades de los ciudadanos (PASO 5). Ya no es suficiente con obtener el documento de seguridad y la descripción de ficheros, se ha pasado a un sistema de proactividad, donde el responsable del tratamiento de los datos debe adoptar una posición de proactividad ACCOUNTABILITY (velando por que los datos de sus tratamientos no atenten contra los derechos y libertades infringiendo las obligaciones del RGPD).

Hecha la autoevaluación, sabremos si debemos hacer la Evaluación de Impacto, si no la necesitamos hacer pero tenemos riesgo, COMPLYLAW nos va a guiar para tenerlo todo trazado y evidenciado como el RGPD nos obliga.

8

Debemos ir justificando, y en su caso acreditando, las contestaciones que vayamos incluyendo.

4. Resultado del análisis: que nos determinará si estamos ante un tratamiento de riesgo

potencialmente alto (según lo contestado en el autodiagnóstico), con la posibilidad de justificar la ausencia de necesidad de realizar una PIA (la Agencia pide justificar tanto la necesidad de hacer una PIA como la de no hacerla).

5. Vulneraciones en materia de Protección de Datos: donde podremos incorporar toda la documentación y comunicaciones que haya realizado el Delegado de Protección de Datos cuando aprecie la existencia de una vulneración relevante en materia de protección de datos, conforme a la LOPDGDD.

9

Cuando guardemos la información y nos encontremos ante un tratamiento de riesgo potencialmente alto, COMPLYLAW nos avisará con el siguiente mensaje:

Los tratamientos de datos personales que hayan sido pre-evaluados como de riesgo potencialmente alto para la organización, salvo que haya justificación en contra, deberán ser sometidos a una evaluación de impacto o PIA (Privacy Impact Assessment).

Cuando estemos ante un tratamiento de este tipo, COMPLYLAW nos avisará de la obligatoriedad de la realización de la PIA a través del mensaje resaltado en rojo que aparece en la imagen:

Para realizar la PIA, COMPLYLAW ha seguido las recomendaciones dadas por la Guía para una Evaluación de Impacto en la de Protección Datos Personales, de la Agencia Española de Protección de Datos, además de la adecuación a la norma ISO 29134. Elegiremos el SEGUNDO PASO: “2. Realizar PIA”:

10

Iremos contestando a las diferentes cuestiones que COMPLYLAW nos plantea sobre los flujos de la información, implicaciones de uso, equipos y criterios, plan y recursos, comprensión de la evaluación, partes interesadas y, necesidad y proporcionalidad, para ello pulsaremos sobre cada una de las pestañas incluidas en este paso. No es obligatorio responder a todo ni rellenar todas las pestañas.

Para ayudar a contestar a las preguntas, en ocasiones COMPLYLAW mostrará una serie de listas para seleccionar lo que más convenga. Estas listas no tienen carácter limitador, pudiendo el usuario incluir contestaciones que se adapten mejor a su organización, pulsando sobre la opción ngngngn, y a continuación, incluir la respuesta personalizada, como se recoge en el ejemplo:

11

De igual forma, en ocasiones será oportuno subir a la aplicación la documentación que justifique lo que estamos diciendo.

Para ello, bastará con pulsar sobre la opción “Subir un documento” como aparece en la imagen y seleccionar el documento a través de nuestro explorador de archivos.

Este paso es muy importante, tanto, que está recogido en un anexo que se replica tanto en la Guía de Evaluación de Impacto como en la Guía de Análisis de Riesgo.

Debemos distinguir si somos responsables del tratamiento o encargados de tratamientos. Como punto de partida para el conocimiento del tratamiento de datos, es necesario identificar en detalle el ciclo de vida y el flujo de los datos personales. Este punto forma parte del contexto del tratamiento. A través del mismo, describiremos de forma sistemática y detallada cada uno de los elementos que intervienen en el tratamiento, tanto por parte de la organización, como por otras entidades participantes.

Para ello, elegiremos el TERCER PASO: “3. Ciclo de vida”:

Para guardar toda la información que incluyamos en COMPLYLAW será necesario pulsar sobre el botón que aparece al final de cada página

12

A continuación, identificaremos la figura concreta que ejerce como responsable del tratamiento, seleccionando si es el responsable o el encargado. En función de la respuesta completaremos el resto de campos (Campos comunes | Ciclo de vida como responsable del tratamiento –este último solo cuando seleccionemos la figura del responsable–), contestando a las preguntas que se planteen. De igual forma, podremos incorporar las medidas de seguridad, controles ISO 27002 y controles del Esquema Nacional de Seguridad que apliquen al tratamiento.

La privacidad es algo que afecta a toda organización. Se trata de un concepto relacionado con la formación que debemos impartir a nuestros trabajadores en el seno de la organización para que entiendan la importancia del RGPD. Es necesario realizar acciones de formación y concienciación para poder evidenciar que toda la organización conoce las implicaciones en materia de privacidad. COMPLYLAW permite registrar todas estas acciones, y por tanto, evidenciar frente a terceros la realización de las mismas. Además, podrás recoger la

Para guardar toda la información será necesario pulsar sobre el botón que aparece al final de cada página.

13

información sobre el Canal de Denuncias de la Organización. Desde el menú principal, elegimos el CUARTO PASO: 4. Cultura de privacidad y Canal de Denuncias:

En este paso incluiremos una descripción de las acciones formativas llevadas a cabo en materia de privacidad, incorporando evidencias de su planificación (plan de formación) y de su ejecución, pudiendo incluir conclusiones y resultados de las mismas.

Cultura compliance Wolters Kluwer: acceso a los informes relativos a los cursos de formación que Wolters Kluwer ofrece sobre Protección de Datos Personales, introduciendo el código de verificación para que se carguen todos esos informes. Para más información sobre este servicio contáctenos en el teléfono 902 250 500 o en clientes@wolterskluwer.com

14

Canal de Denuncias: descripción del procedimiento que la organización tiene implementado para recoger los posibles incumplimientos e irregularidades, así como la explicación de cómo se realiza la investigación de los mismos, con la posibilidad de incorporar la documentación explicativa correspondiente.

Se trata de un paso considerado muy importante por el Reglamento y la LOPDGDD, y así lo ha ratificado la Agencia, que incluso ha emitido una Guía para el análisis de riesgos que nos muestra cómo cumplirlo.

Nos va a permitir generar unos checklist que nos van a servir para no olvidar nada de lo que debemos cumplir.

En todos los tratamientos es necesario hacer un análisis de los posibles riesgos que les pueden aplicar, debiendo priorizar su actuación, en función de la criticidad de los mismos, analizando para ello la PROBABILIDAD de su ocurrencia y el IMPACTO que puedan tener para la organización y para las personas cuyos datos personales se gestionan.

15

Para realizar este análisis, desde la pantalla principal elegiremos el QUINTO PASO: 5. Análisis de riesgos.

En este paso se presenta la lista de posibles riesgos, de forma agrupada, que pueden afectar a cualquier tratamiento. Para acceder al detalle de los mismos, bastará con seleccionar cualquiera de las agrupaciones:

Es necesario establecer un nivel de riesgo (ver columna a la derecha del todo), que se obtiene de la combinación entre la probabilidad y el impacto, para cada uno de los posibles riesgos. Para ello, lo primero es establecer la PROBABILIDAD (posibilidades de que pasen en el seno de nuestra organización) de que ocurran, además de determinar el IMPACTO, que serían las consecuencias negativas que tendrían en nuestra organización, en caso de producirse.

Los niveles de riesgo se establecen sobre una escala de 0 a 100 puntos, estableciéndose tres tipos de niveles: riesgo ALTO (más de 66 puntos), riesgo MEDIO (entre 33 y 65 puntos) y riesgo BAJO (por debajo de 33 puntos).

La probabilidad de que se produzcan los riesgos ligados a las obligaciones que se muestran en el listado, es en general ALTA o MUY ALTA (salvo en los siguientes 4 supuestos que pueden no darse: obligaciones relativas a transferencias internacionales, Delegado de Protección de Datos, Evaluaciones de Impacto y consultas previas).

16

Para fijar la PROBABILIDAD de la ocurrencia del supuesto de riesgo, desplegaremos la opción de probabilidad, y la seleccionaremos, tal y como aparece en la imagen. En caso de que estimemos que ese riesgo no se va a dar en la organización, elegiremos la opción “No aplica”:

Fijada la probabilidad, determinaremos el IMPACTO que causaría en la organización en caso de producirse:

17

Para mitigar el nivel de riesgo, debemos implantar controles o medidas, priorizando los señalados en naranja y rojo, que son los medios y altos. Se recomienda que cada vez que la probabilidad o impacto sean altos, vayamos a través del icono de la línea de cada riesgo, especificando qué riesgos hemos detectado, qué amenazas suponen, y subiendo archivos para evidenciar con documentos y dejar traza de todo lo que nos permita demostrar nuestra proactividad:

Para reducir el nivel de riesgo vamos implementando controles a través del asistente que sigue la metodología PDCA (Plan | Do | Check | Act) = Planificar | Hacer | Revisar | Mejorar. Conforme se vayan completando, el riesgo se mitigará.

18

Desde los iconos que encontramos al final de cada pregunta de PDCA, accederemos a la pantalla que nos permite gestionar cada control, donde vamos a reportar qué vamos a hacer para que ese riesgo desaparezca. Más adelante se ofrece mayor detalle de esta gestión.

COMPLYLAW facilita esta tarea proporcionando para cada supuesto, la información necesaria, cuyo acceso se realiza a través de una serie de iconos con el siguiente contenido:

Acceso a la información legal (RGPD y normativa complementaria), donde se regulan cada uno de los supuestos de hecho.

Pulsando sobre cualquier referencia, accederemos al texto referenciado (en este ejemplo, art. 7 del RGPD):

19

Acceso a documentos y formularios que ayudan a gestionar el supuesto de riesgo concreto:

Además de acceder a cualquier formulario, podremos guardarlo y adjuntarlo en COMPLYLAW:

20

A medida que vayamos completando los diferentes controles, el nivel de riesgo se irá mitigando, tal y como se muestra en la siguiente secuencia de imágenes:

Llegado a este punto, ya podemos seguir con el siguiente paso.

21

Hecho el análisis de riesgos, podemos obtener nuestro informe de riesgos, con todo lo generado hasta el momento. COMPLYLAW permite la generación de diferentes informes que ayudan a evidenciar, desde el punto de vista tanto interno externo, todas las acciones que hemos llevado a cabo dentro de la organización.

Desde la pantalla inicial, accederemos a este informe eligiendo el PASO 6. Informe de riesgos:

En este informe se resumen los riesgos analizados detallando su probabilidad, impacto y nivel de riesgo, mostrando, en su caso, la información sobre la PIA, el estado de evolución de su gestión, la aportación de evidencias y las conclusiones obtenidas.

Se podrá personalizar incorporando el logo de la Organización, e incluyendo además las conclusiones que se estimen oportunas.

22

Incluimos las conclusiones que consideremos oportunas en el campo habilitado para ello:

El informe podrá generarse tanto en formato html como en pdf. Con la generación en formato html solo se podrá ver a modo de vista previa, pero no se queda registrado ni guardado en la aplicación. Es el informe generado en formato pdf el que queda guardado.

Se irán guardando tantos informes como vayamos generando, dejando traza de los mismos. Además, cada mes COMPLYLAW generará un informe por cada uno de los tratamientos de forma automática que se irá almacenando en la herramienta, y del que nos llegará aviso por email a modo de alerta.

En el informe veremos el contenido de todo lo que hemos ido rellenando en cada paso y sus fases, trasladado de forma muy visual y sistematizada, demostrando el trabajo realizado. Al final nos aparece un resumen ejecutivo con el nivel de riesgo, que se corresponde con el nivel de control que tenemos siempre accesible en la página de inicio.

23

A través de este apartado, se realiza la implantación de controles y tareas, desde donde se podrán designar responsables de controles y de tareas, para así poder mitigar los niveles de riesgo evaluados. Se accede a través del PASO 7 Tratamiento de riesgos:

Se llega a una pantalla desde la que podremos gestionar la implantación de controles y de las tareas asociadas a los mismos.

Este módulo, junto con el siguiente denominado “Informe de controles”, es de acceso exclusivo para clientes de COMPLYLAW PRIVACIDAD ADVANCED

24

Filtros: Filtraremos la información que aparece, seleccionando los campos con la información sobre la que queramos trabajar. Son muy útiles cuanto mayor es el grado de madurez del tratamiento conforme vayamos avanzando en la implantación de controles y tareas, en la designación de responsables, … y así poder trabajar con los que nos interese en cada momento.

Importancia de los controles: pulsando el icono que aparece en cada control, podremos designar aquéllos controles que consideramos más importantes para la Organización.

Controles y tareas: ligados a cada uno de los riesgos que son de aplicación, se proponen una serie de controles según la metodología PDCA:

25

Pulsando sobre cualquiera de estos controles podremos gestionar su implantación en la organización:

Desde ahí podremos hacer las siguientes acciones:

Establecer el estado del control (no implantado, implantado, no conformidad).

Establecer la importancia del control (normal o alta).

Establecer la fecha límite en la que el control debe estar implantado.

Establecer el responsable del control (cualquier persona sea o no usuario de COMPLYLAW).

Incorporar notas y documentos relativos al control.

26

Para dar de alta al responsable del control, bastará con indicar un correo electrónico y el nombre del designado como responsable:

Al guardar estos datos, el usuario designado responsable de ese control, recibirá un mensaje informándole de que ha sido nombrado responsable de implantar ese control, junto con un link que le dará acceso a la plataforma:

27

Accediendo a la herramienta desde ese enlace, el usuario responsable del control podrá gestionar el control, adjuntar notas, documentos…, así como establecer tareas y responsables de las mismas (sin necesidad de incluir nombres de usuario y contraseñas):

Tareas base: COMPLYLAW para cada control proporciona una serie de tareas que servirán para completar cada uno de los controles.

28

Para cada tarea, también podremos designar responsable que la lleve a cabo, y al igual que los responsables de control, también accederán a la aplicación desde el correo electrónico que reciban, con la misma facultad para incluir notas, documentos y evidencias, y para cambiar el estado de la tarea concreta para la que haya sido designado responsable:

Tareas propias: cualquier usuario podrá completar o sustituir las tareas base que COMPLYLAW propone para llevar a cabo la implantación de los controles, incluyendo tareas propias. Para ello, accedemos al listado de tareas ligado a un control, y hacemos click sobre la opción “nueva tarea” como se refleja en la siguiente imagen:

29

A continuación, podremos dar de alta una tarea propia, describiéndola, designando un responsable para la misma, incluyendo un plazo para su implantación y en su caso, el resto de elementos que se solicitan en la siguiente ‘pantalla:

A medida que vayamos implementando los controles, los podremos ir incorporando en el listado de controles. Al clicar en cada check, ligado a cada control, podremos seleccionar el estado que corresponda en cada control, tal y como resaltamos en la siguiente imagen. Se debe seguir el orden secuencial de controles: 1º P 2º D 3º C 4º A

A medida que vayamos implantando los controles, el nivel de riesgo previsto para cada delito, irá disminuyendo.

30

COMPLYLAW permite generar informes del estado de detección de riesgo y aplicación de controles, con su nivel de riesgo y conclusiones.

Vamos desde la pantalla principal al PASO 6. Informe de controles:

El informe se podrá personalizar incorporando el logo de la Organización, y las conclusiones que se estimen oportunas. Se puede generar de forma completa, o de forma parcial usando los filtros disponibles:

31

Los informes se podrán generar tanto en formato html como en pdf, pudiendo hacerse con más o menos detalle en función de lo que se desee. En el listado de informes quedarán guardados en formato pdf.

Desde la página de inicio, siempre disponible podremos encontrar el panel de control, que además es navegable. Veremos el riesgo medio agrupado por niveles ALTO, MEDIO y BAJO, y con ello, nos ayudará a priorizar el destino de los recursos existentes en la organización sobre lo que más nos interesa en cada momento tratar:

32

Desde ahí podemos acceder a la zona de riesgos y a la zona de controles

A través del histograma que se presenta en esta pantalla, podremos observar la evolución del riesgo medio del tratamiento concreto a lo largo del tiempo:

Desde la pantalla inicial dónde se registran y dan de alta los diferentes tratamientos de datos personales, prodremos acceder al informe global de tratamientos, que nos permitirá acceder a un informe donde se resume la situación global de los diferentes tratamientos que se estén gestionando en una organización.

Para acceder al mismo, pulsaremos sobre la opción “Informe global de tratamientos” que aparece en la parte superior derecha de la imagen:

El informe podrá ser personalizado incluyendo el logo de la organización, así como las conclusiones que sean oportunas.

33

Los informes se podrán previsualizar en formato html, y se guardarán en la aplicación en formato pdf.

Desde la pantalla inicial también podremos generar el Registro de Actividades de Tratamiento de la organización, cumpliendo con ello con lo establecido en el artículo 30 del Reglamento de Protección de Datos. Para generarlo pulsaremos sobre la opción “Registro de Actividades de tratamiento” que aparece en la parte superior derecha de la imagen:

Podremos generar el Registro tanto desde el punto de vista de responsable como de encargado del tratamiento, seleccionando sobre la opción mostrada a continuación:

34

El registro podrá ser personalizado incluyendo el logo de la organización, así como las conclusiones que sean oportunas.

El registro podrá previsualizar en formato html, y se guardarán en la aplicación en formato pdf.

COMPLYLAW PRIVACIDAD proporciona una serie de contenidos prácticos que complementan el uso de la aplicación. Se accede a ellos desde la opción “Contenidos prácticos” tal y como se muestra en la siguiente imagen:

Estos son los contenidos que se encontrarán:

Guías prácticas: de forma muy práctica, se abordan diferentes cuestiones relacionadas con la aplicación del RGPD y demás normativa de aplicación.

Formularios: acceso a modelos, plantillas y formularios (cláusulas informativas y tratamientos, derecho de los ciudadanos, avisos legales y contratos, brechas de seguridad…), que nos ayudan a gestionar las diferentes obligaciones relativas a la gestión de los datos personales que se haga en cada Organización.

Legislación: acceso a los textos legales que son de interés en materia de privacidad, incluidas las resoluciones e instrucciones de la Agencia Española de Protección de Datos.

Jurisprudencia: acceso a los textos de las sentencias más destacadas relativas a privacidad.

Para generar correctamente el Registro deberán cumplimentarse los diferentes campos de

los tratamientos de la organización que se encuentran marcados con el símbolo .

35

COMPLYLAW permite personalizar la aplicación incorporando riesgos y controles que sean propios de la Organización, y que podrán convivir con los que la propia aplicación proponga.

Para incorporar estos riesgos y controles propios iremos al menú principal, seleccionaremos la opción “Configuración” y pulsaremos sobre “Elementos de mi cuenta”, tal y como aparece en la imagen:

A continuación seleccionaremos “Gestión de riesgos” (para incluir riesgos propios) o “Gestión de controles de seguridad” (para incluir controles propios).

Podremos incluir nuevos riesgos, dentro de los grupos de riesgos que COMPLYLAW propone o bien crear un nuevo grupo de riesgo propio de la Organización, donde incluiremos los riesgos propios que se determinen.

Con respecto a los controles propios, crearemos el control concreto y lo asignaremos al riesgo concreto.

En caso de tener más de una licencia, tenga en cuenta que los nuevos riesgos y controles propios que cree, aparecerán en todas las licencias que tuviera activas.

36

COMPLYLAW permite consultar directamente los documentos que hayamos incluido en

cada tratamiento de datos personales que estemos gestionando. Además, también

permite la descarga de cada documento. Para ello, accederemos al menú de la

aplicación y desde “Cuenta”, accederemos a “Evidencias”, tal y como muestra la imagen:

Para visualizar los documentos: iremos desplegando las diferentes carpetas que se nos

presentan hasta acceder al documento deseado. Pulsando sobre él, se abrirá.

Para descargar todos los documentos asociados a la cuenta: bastará con pulsar sobre

el icono y a continuación, COMPLYLAW generará un archivo en formato Zip que

podrá guardar en la ruta que desee.

Podrá personalizar COMPLYLAW incluyendo el logotipo de su Organización en la pantalla inicial:

37

Para incluir el logotipo: desde el Menú, elegir “Configuración” y pulsar sobre “Cuentas”, a continuación pulsar sobre la opción e incluir el logotipo desde “Establecer logotipo para la cuenta”, pulsando sobre el icono azul que aparece en la imagen:

En caso de que la Organización requiera que haya más de una persona que maneje la aplicación, desde COMPLYLAW se podrá dar de alta por cada licencia contratada, un número máximo de dos nuevos usuarios (además del principal), que tendrán derecho a usar la aplicación sin limitación alguna.

Para dar de alta a estos nuevos usuarios: desde el menú vamos a “Configuración” y seleccionamos “Usuarios”. Elegimos la opción “Nuevo usuario” y le damos de alta:

Rellenando los datos que aparecen en pantalla: