El Delegado de Protección de Datos: esquema de certificación, nombramiento, funciones y perfil requerido 13-11-2017
El Reglamento General de Protección de Datos (RGPD) de la Unión Europea dispone que los responsables y encargados de tratamiento deben designar un Delegado de Protección de Datos (DPD) en los supuestos que determina el propio RGPD o en los supuestos que la legislación de los Estados Miembros establezca.
Las funciones del DPD
El papel del DPD en las organizaciones es el de informar, asesorar, supervisar y cooperar con la autoridad de control, así como ser el punto de contacto para los interesados. Para desempeñar sus funciones deberá participar en todas las cuestiones relativas a la protección de datos personales recibiendo el apoyo de los responsables y encargados del tratamiento quienes igualmente le facilitarán los recursos necesarios para abordar sus funciones.
El DPD realizará sus funciones con total independencia, sin instrucciones por parte del responsable o del encargado del tratamiento, quienes garantizarán esta independencia evitando su destitución o sanción por sus decisiones relacionadas con el desempeño de su función de DPD. La posición del DPD será próxima a los niveles jerárquicos más elevados dentro de una organización, de manera que aquellos a quienes reporte tengan capacidad de decisión en calidad de responsables o encargados del tratamiento.
En ningún caso el DPD sustituirá al responsable en la toma de decisiones sobre los fines y alcance de los tratamientos ni deberá asumir la carga de las posibles sanciones en las que pudieran incurrir los responsables como consecuencia de tratamientos de datos no acordes con el RGPD.
Posiblemente el DPD sea el eje principal del principio de responsabilidad activa del RGPD. Es la figura encargada de velar por el derecho de protección de datos en las organizaciones e instituciones. En el sector público velará por la compatibilidad del cumplimiento de las obligaciones de una institución frente al derecho de protección de datos de los interesados y en el entorno privado será la figura encargada de compatibilizar el desarrollo de negocio del responsable frente al derecho de protección de datos de los interesados.
Esta nueva figura es clave para garantizar la confianza de los interesados en los tratamientos y en consecuencia debe significarse como elemento fundamental en la relación con los ciudadanos tanto en las actividades del sector público como del sector privado.
Un perfil multidisciplinar
Desde el punto de vista de la cualificación profesional estamos hablando de un perfil multidisciplinar que no se ajusta a una titulación concreta o a un ámbito académico específico. El DPD requerirá conocimientos jurídicos, técnicos y de negocio para realizar sus funciones, que en muchos casos se articularán entorno a un equipo multidisciplinar. Su papel estará orientado a la coordinación de varios profesionales, mientras que en otros casos, su labor podrá ser la de prestar servicio a varios responsables o encargados.
Las formas en las que se formalizará el desempeño de las funciones del DPD en las organizaciones serán tan variadas como variados pueden ser los tratamientos y las organizaciones, no es posible fijar un modelo único en el que enmarcar las funciones del DPD.
El DPD puede realizar sus funciones con plena dedicación o a tiempo parcial dentro de una misma organización compatibilizando sus funciones con otras que le hayan sido encomendadas por el responsable del tratamiento. En este caso, se prestará especial atención a la posible existencia de conflicto de intereses entre el desempeño de las funciones que pudieran compatibilizarse con el desempeño de su papel como DPD (artículo 38.6 RGPD). Antes de proceder al nombramiento del DPD es conveniente realizar un análisis de los posibles conflictos de intereses que pudieran existir entre las distintas tareas que se espera que realice el posible DPD dentro de una organización.
Nombramiento y certificación del DPD
Además de los supuestos obligatorios para la designación de un DPO previstos en el artículo 37.1 del RGPD y detallados en el artículo 35 del Anteproyecto de LOPD, los responsables y encargados podrán voluntariamente designar un DPO y potenciar el cumplimiento preventivo de sus obligaciones a través de esta figura.
Es importante tener en cuenta que el artículo 65.4 del citado Anteproyecto prevé la posibilidad de que la Agencia remita las reclamaciones al DPO a los efectos previstos en el artículo 38, con el objeto de impulsar la resolución amistosa en el seno de la entidad a través de esta figura clave.
Los responsables y encargados del tratamiento se ven ante el reto y la necesidad de elegir y nombrar con diligencia sus DPD, valorando el nivel de conocimiento, la cualificación profesional y su capacidad para el desempeño de tareas y actividades que implica el cumplimiento de las obligaciones del RGPD. Esta evaluación de cualidades puede suponer un grado de incertidumbre para los responsables en aquellos casos en los que no existe un conocimiento previo del profesional.
El RGPD otorga a los estados miembro, las autoridades de control, al Comité y a la Comisión la posibilidad de crear mecanismos de certificación en protección de datos, aunque no específicamente en el terreno de las cualificaciones profesionales.
Sin embargo, desde la AEPD entendimos el factor de la certificación del DPD como prioritario, de forma que pueda ser un elemento orientador para los responsables a la hora de elegir al DPD. No se trata de establecer un requisito de obligado cumplimiento. Se trata de elaborar un marco de referencia para los responsables y la exigencia o no del requisito de certificación es una opción para el responsable. En ningún caso la certificación será una limitación para el acceso a la profesión de DPD, existen profesionales cualificados para el desempeño de esta profesión con conocimientos y experiencia demostrados que podrán seguir ejerciendo su labor profesional y en el futuro podrá haber otras vías para que los profesionales puedan demostrar su preparación.
La AEPD ha optado por promover un sistema de certificación de profesionales de protección de datos como una herramienta útil a la hora de evaluar que los candidatos a ocupar el puesto de DPD reúnen las cualificaciones profesionales y los conocimientos requeridos. Este esquema de certificación para DPD de la AEPD se estructura en tres partes distintas: la AEPD como propietaria y responsable del esquema, la entidad de acreditación encargada de los requisitos que deben cumplir los certificadores (ENAC) y finalmente las propias entidades de certificación. Desde la AEPD entendemos que esta división en tres partes con funciones independientes es un factor de calidad para el proceso de certificación. Tres entidades distintas con funciones y responsabilidades independientes que establecen una relación de confianza y mutua responsabilidad.
El esquema de certificación contempla todos los ámbitos de cumplimiento del RGPD, incluyendo aspectos como por ejemplo:
Control del cumplimiento por parte del responsable: se ha realizado un exhaustivo detalle de tareas relacionadas con los principios de los tratamientos teniendo en cuenta aspectos como los principios, las bases jurídicas, el principio de información y los derechos de los interesados.
Enfoque de riesgo: incluyendo aspectos relacionados con las evaluaciones de impacto, el análisis y la gestión del riesgo.
Obligaciones del responsable: se ha tenido en cuenta el papel del DPD en la elaboración y mantenimiento del Registro de actividades de tratamiento, sus funciones a la hora de determinar las medidas de seguridad técnicas y organizativas, su implicación en la comunicación de violaciones de seguridad, los factores a tener en cuenta para implantar la protección de datos desde el diseño y por defecto, las funciones de auditoría que deben realizar los responsables, etc.
Tratamientos transfronterizos: se ha desarrollado una lista detallada de las acciones en las que el DPD podría estar implicado con el objeto de asegurar la legitimidad de los tratamientos transfronterizos.
Códigos de conducta y certificación: el esquema de certificación tiene en cuenta la implicación del DPD en la elaboración de códigos de conducta y certificación que puedan ser asumidos por los responsables y encargados.
Cooperación con la autoridad de control: este es otro de los aspectos claves que han sido incluidos en la elaboración de este esquema de certificación, desde la AEPD entendemos que este es uno de los factores a tener en cuenta para ayudar a garantizar el derecho a la protección de datos.
Además de las cuestiones técnicas o jurídicas, el esquema de certificación tiene en cuenta otras cuestiones claves para el desempeño de las funciones del DPD. Algunas de estas funciones están relacionadas con las relaciones que deberá establecer el DPD en el desempeño de su actividad dentro de una organización, actividades relacionadas con garantizar la buena relación del DPD con los equipos y grupos de trabajo en los que estará implicado. Uno de los aspectos más importantes en el desempeño de las funciones del DPD son sus relaciones y capacidades de negociación para atender y balancear los derechos de los interesados frente a los intereses de negocio de los responsables. Estamos hablando de habilidades personales y características menos tangibles que finalmente harán que el desempeño de las funciones del DPD sean útiles a los responsables y que al mismo tiempo impidan que dichas funciones puedan convertirse en un obstáculo al funcionamiento de la organización.
Desde la AEPD esperamos que este marco de referencia pueda ser de utilidad tanto a los responsables y encargados como a los propios DPD, aportando una relación detallada de tareas y competencias en las que basar sus actividades con relación a los tratamientos.
Aprobado el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal 13-11-2017
El Consejo de Ministros aprobó el pasado viernes el Proyecto de Ley Orgánica de Protección de Datos que adaptará nuestra legislación a las disposiciones del Reglamento UE 2016/679, introduciendo novedades y mejoras en la regulación de este derecho fundamental en nuestro país.
Este Reglamento Europeo que se aplicará a partir del próximo 25 de mayo de 2018, recoge como uno de sus principales objetivos acabar con la fragmentación existente en las distintas normativas de los países comunitarios. Además, persigue la adaptación de las normas de protección de datos a la rápida evolución tecnológica y los fenómenos derivados del desarrollo de la sociedad de la información y la globalización.
En el caso de España, donde la protección de datos es un derecho fundamental protegido por el artículo 18.4 de la Constitución, se recogen novedades tanto en el régimen de consentimiento como en los tratamientos y en la introducción de nuevas figuras y procedimientos.
Adelanta a los 13 años la edad de consentimiento para el tratamiento de datos en consonancia con la normativa de otros países de nuestro entorno. Además, se tomará en cuenta el tratamiento de los datos correspondientes a personas fallecidas en base a la solicitud de sus herederos, se excluye la figura del consentimiento tácito que se sustituye por una acción afirmativa y expresa por parte del afectado y se recoge manifiestamente el deber de confidencialidad. En caso de una inexactitud en los datos personales obtenidos de forma directa, se excluye la imputabilidad del responsable de su tratamiento si éste ha adoptado todas las medidas razonables para su rectificación o supresión.
En las cuestiones relacionadas con el tratamiento de datos, incorpora el principio de transparencia en cuanto al derecho de los afectados a ser informados sobre dicho tratamiento y contempla de forma expresa los derechos de acceso, rectificación, supresión, derecho a la limitación del tratamiento, así como a la portabilidad y oposición.
Para evitar situaciones discriminatorias, se mantiene la prohibición de almacenar datos de especial protección, como ideología, afiliación sindical, religión, orientación sexual, origen racial o étnico y creencias. En estas categorías, el solo consentimiento del interesado no basta para dar viabilidad al tratamiento.
Además, introduce algunos supuestos en los que el legislador contempla como presunción, la prevalencia del interés legítimo del responsable del tratamiento de los datos en cumplimiento de determinados requisitos, como en el caso de los sistemas de información crediticia. Igualmente, regula situaciones en las que se aprecia la existencia de interés público, como los relacionados con la videovigilancia y sistemas de exclusión publicitaria (listas Robinson), la función estadística pública y las denuncias internas en el sector privado.
Entre las novedades, destaca la potenciación de la figura del delegado de protección de datos, persona física o jurídica cuya designación ha de ser comunicada a la autoridad competente, que mantendrá relación con la AEPD (Agencia Española de Protección de Datos). Por su parte, la AEPD se configura como autoridad administrativa independiente cuyas relaciones con el Gobierno se realizan a través del Ministerio de Justicia. Se establece la necesaria cooperación y coordinación con las correspondientes autoridades autonómicas de protección de datos.
En relación con el procedimiento, promueve la existencia de mecanismos de autorregulación tanto en el sector público como en el privado e introduce la obligación de bloqueo que garantiza que los datos queden a disposición de un tribunal, el Ministerio Fiscal u otras autoridades competentes (como la AEPD) para la exigencia de posibles responsabilidades derivadas de su tratamiento, evitando así que se puedan borrar para encubrir el incumplimiento.
En el caso de España, la adaptación de nuestra legislación al Reglamento General de Protección de Datos hace necesaria la elaboración de una nueva Ley Orgánica en sustitución de la actual, cuyas normas y desarrollo deberán ser revisadas y adaptadas para evitar contradicciones. Igualmente, la AEPD deberá desarrollar cuestiones concretas que el reglamento comunitario remite a las autoridades nacionales de control y tendrá que revisar sus tratamientos de datos personales para adaptarlos a esas exigencias.
Este reglamento atiende a nuevas circunstancias provocadas fundamentalmente por el aumento de los flujos transfronterizos de los datos personales como consecuencia de la actividad del mercado interior, teniendo en cuenta que la rápida evolución tecnológica y la globalización han provocado que esos datos sean un recurso fundamental para la sociedad de la información.
Ante esta situación, han aumentado los riesgos inherentes a que las informaciones sobre los individuos se hayan multiplicado de forma exponencial siendo más accesibles y más fáciles de procesar, al tiempo que se ha hecho más difícil el control de su uso y destino.
Publicación de las Directrices de Modelos de Utilidad (Ley 24/2015) 09-11-2017
Se ha publicado la actualización de las Directrices de procedimiento de concesión, oposición, limitación e informe de búsqueda de Modelos de Utilidad. Con la publicación de estas Directrices se pretende clarificar los aspectos operativos afectados por las modificaciones introducidas en la Ley 24/2015. Su principal objetivo es que las resoluciones del Servicio de Modelos se consoliden a través de una práctica uniforme en la tramitación de los expedientes. Las directrices están estructuradas de acuerdo con la secuencia del proceso de tramitación.
Publicación de las Resoluciones Definitivas de las Ayudas para el Fomento de las solicitudes de Patentes y Modelos de Utilidad. 09-11-2017
El día 08 de noviembre de 2017 se han publicado las Resoluciones Definitivas de las solicitudes de subvención correspondientes a la convocatoria 2017 de Ayudas para el Fomento de las solicitudes de Patentes y Modelos de Utilidad, del programa nacional. Las Resoluciones Definitivas de las solicitudes de subvención correspondientes a la convocatoria 2017 de las Ayudas para el Fomento de las solicitudes de Patentes y Modelos de Utilidad del programa internacional se publicaran en los próximos días.
Pulse en el enlace de CONSULTA DE COMUNICACIONES (pulsando en Acceso al Expediente, y seleccionándolo del desplegable que aparece arriba a la derecha) para ver la Resolución Definitiva.
El plazo para interponer potestativamente recurso de reposición ante el mismo órgano que ha dictado la Resolución es de un mes, contado a partir del día siguiente al de la publicación en la sede electrónica de la OEPM de la Resolución Definitiva. Sin perjuicio de lo anterior, cabrá interponer recurso contencioso-administrativo ante los Juzgados Centrales de lo Contencioso-Administrativo, en el plazo de dos meses a contar desde el día siguiente al de la publicación en la sede electrónica de la OEPM.
Prepárate para el nuevo Reglamento europeo de Protección de Datos 08-11-2017
El 25 de mayo de 2018 entra en vigor el nuevo Reglamento General de Protección de Datos o RGPD (también conocido por sus siglas en inglés GDPR), una norma que tendrán que acatar todas las empresas que trabajan con datos personales de ciudadanos de la Unión Europea. Esta nueva regulación supone nuevas e importantes obligaciones para las empresas en cuanto a la gestión de los datos personales; además, para aquellas que vulneren las normas prevé sanciones severas como, por ejemplo, multas de hasta el 4 % del volumen de negocio global o de 20.000.000 , la cantidad que sea mayor según el caso.
Algunos de los cambios más destacados que introduce este nuevo reglamento son los siguientes: nuevas normas sobre cómo notificar a las autoridades los incumplimientos relacionados con la protección de datos; el derecho a la portabilidad de los datos, es decir, el derecho a solicitar los datos personales para poder transferirlos a otros servicios; el derecho al olvido, que implica que la empresa tiene la obligación de borrar los datos de la persona que así lo solicite; la obligación de las empresas en determinados casos de llevar a cabo evaluaciones de impacto sobre la privacidad antes de tratar datos personales; o la obligación que tienen las empresas que realizan determinados tipos de procesamiento de datos de nombrar un encargado de protección de datos.
A menos de un año de la entrada en vigor del RGPD, hay muchas empresas que todavía no han empezado a prepararse y tendrán que desarrollar e implementar una estrategia específica para cumplir con el nuevo reglamento europeo.
Todas las entidades que tratan con datos personales de ciudadanos de la UE necesitarán diseñar una estrategia a medida que dependerá de varios factores como el tamaño de la empresa, el tipo y la cantidad de datos que tratan y las medidas de seguridad y privacidad que ya tienen implementadas. Se recomienda que las empresas busquen asesoramiento legal para determinar qué medidas son necesarias en cada caso. No obstante, hay varios requisitos sobre cómo tratar los datos personales que son comunes y afectarán a todas las empresas, incluso a las más pequeñas.
Entiende los datos con los que trabajas
El primer paso para cumplir con el RGPD es entender de qué modo se almacenan, tratan, comparten y utilizan los datos personales en tu empresa. Para llevar a cabo un análisis minucioso de la situación, es necesario comparar el modo de proceder actual con los requisitos de la nueva regulación y pensar en los cambios que hay que realizar para poder cumplir con ella adaptándose de la mejor forma a tu empresa. Recuerda que el cumplimiento del RGPD no afecta solo a las políticas y medidas de tu propia entidad, sino que va más allá y se extiende a los proveedores que procesan datos personales en tu nombre.
Decide quién se ocupa de la protección de datos en tu empresa
Algunas empresas tendrán la obligación de nombrar un encargado de tratamiento. En todos los casos será necesario adoptar un programa de cumplimiento de protección de datos. Es probable que tengas que reforzar tu política de protección de datos y organizar sesiones de formación para tu equipo. Solo algunas empresas estarán obligadas a seleccionar un encargado de tratamiento. Resulta esencial hacerlo en aquellas que llevan a cabo dos tipos de trabajo los relacionados con operaciones de tratamiento a gran escala que persiguen tratar diferentes categorías de datos personales o con seguimiento de datos personales a gran escala como, por ejemplo, los anuncios en línea segmentados por comportamiento.
Garantiza que existe una base jurídica en cuanto al tratamiento de datos
A tu empresa le interesa revisar la base jurídica que se utiliza actualmente para tratar distintos tipos de datos personales. Si la base del tratamiento de datos es el consentimiento del usuario, será necesario que te plantees cómo obtenerlo y cómo ser capaz de demostrar de forma clara cuándo se concede.
Entiende qué derechos tienen los propietarios de los datos
Según el RGPD, cualquier persona cuyos datos se traten en tu empresa tiene nuevos derechos, incluyendo el derecho a tener acceso a sus datos personales, a que se corrijan, se borren o se transfieran electrónicamente.
¿En tu empresa podéis encontrar, borrar y trasladar los datos de vuestros clientes fácilmente? ¿Disponéis de los recursos necesarios para responder con rapidez a las consultas relacionadas con los datos personales? ¿Tu empresa, y los terceros con los que trabajáis, guardáis registros de la localización de los datos, de cómo se procesan, de dónde se encuentran y de con quién se comparten?
Protege la privacidad de tu empresa por diseño
De acuerdo con el RGPD, las empresas tienen que tener en cuenta la privacidad por diseño y desde el principio a la hora de desarrollar proyectos, procesos o productos nuevos. La idea que concibe la privacidad por diseño es que si la privacidad se tiene en cuenta desde un principio, los riesgos de privacidad se minimizan. ¿El acceso a los datos personales está protegido y solo tienen acceso a ellos las personas de tu empresa que los necesitan? En algunos casos, es conveniente que realices evaluaciones de impacto sobre la privacidad antes de tratar datos personales.
Prepárate para gestionar los incumplimientos
Será necesario que tu empresa cuente con una política de gestión de incumplimientos de protección de datos y con los procesos correspondientes para hacerlo. Asegúrate de que sabes a qué autoridades tienes que notificar dichos incumplimientos relacionados con la protección de datos y el tiempo que tienes para hacerlo. Las notificaciones que se hagan fuera de plazo, y los incumplimientos en sí, pueden implicar la imposición de multas.
Proporciona la información esencial
El RGPD te obliga a informar a las personas de la base jurídica del tratamiento de datos y de las autoridades a las que pueden dirigirse en caso de que surja algún problema. Asegúrate de que las políticas de privacidad en línea de tu empresa están actualizadas.
Trabaja con tus proveedores
Para poder cumplir con las normas del RGPD es necesario que tengas en cuenta la seguridad de tus datos de principio a fin, es decir, también tienes que considerar a los proveedores que tratan datos personales en tu nombre. Trabajar con un proveedor que se encargue del tratamiento de datos no te exime de las obligaciones del RGPD. Debes valorar si la empresa encargada de tratar los datos trabaja con estándares de protección de datos internacionales, si tiene experiencia en gestionar la seguridad de los datos a gran escala y si dispone de herramientas que puedan ayudarte a mejorar la gobernanza de datos y a mitigar los riesgos de incumplimiento. Revisa si tu proveedor cuenta con algún estándar internacional de seguridad y protección de datos como la ISO 27018 y pídele información sobre su seguridad de red y de información (por ejemplo, su técnica de encriptación y sus controles a nivel de aplicación), política de seguridad, evaluación de formación y riesgos, así como medidas de ensayo.
Por otra parte, los servicios TI de terceros también pueden ayudar a las empresas, especialmente a las PYMES, a cumplir con la regulación. Por ejemplo, las empresas pueden optar por soluciones en la nube que se crearon teniendo en cuenta cuestiones de seguridad y privacidad desde el principio. Valora cómo algunos servicios en la nube pueden ayudarte a controlar el acceso a los datos en tu empresa, a responder a las solicitudes de información sobre datos personales y a mejorar la seguridad en tu empresa.
Retos y tendencias del Corporate Compliance: principales cuestiones prácticas 08-11-2017
El Corporate Compliance ha sido calificado como el tema jurídico del año pero, a pesar de ello, subsisten a día de hoy numerosas dudas acerca de cuáles son las best practices en su aplicación: ¿cuáles son las herramientas que las compañías deben poner en marcha para prevenir infracciones y evitar sanciones?; ¿cuál es el verdadero valor de una cultura de cumplimiento y de las certificaciones emitidas por terceros?; ¿cómo deben llevarse a cabo las investigaciones internas?
No cabe duda de que el Compliance requiere una adaptación y revisión constante y ello no sólo por las consecuencias negativas que conlleva su no aplicación (sanciones penales, daño reputacional) sino además por la notable contribución positiva que puede suponer para la organización empresarial.
Rosalina Díaz, presidenta de la Fundación Wolters Kluwer y David Velázquez, profesor de Derecho Penal de ESADE Law School y director del Máster Universitario en Abogacía y moderador de la mesa, darán la bienvenida a los asistentes y presentarán a los participantes en el coloquio, Elisabeth González (directora Legal & Compliance de Morgan Stanley), Carlos Zabala (Counsel Litigation and Dispute Resolution de Clifford Chance) y Lidón Safont (directora de Compliance de Telefónica España).
Al finalizar el evento, se ofrecerá un desayuno a los asistentes.
La mesa tendrá lugar el próximo martes, 21 de noviembre de 9 a 10,30 h, en la sede de ESADE en Madrid, C/ Mateo Inurria, 27.
Para más Información: María Luisa Gárate, Telf.: 913 597 714, marialuisa.garate@esade.edu
Inscripción gratuita en el siguiente enlace. Plazas limitadas.
Multa de 300.000 euros a Google por transmitir datos personales sin permiso 08-11-2017
Google deberá pagar 300.000 euros por tratar sin consentimiento datos personales de los ciudadanos recogidos a través de las redes inalámbricas WiFi con los vehículos empleados en su proyecto Street View, incumpliendo la Ley Orgánica de Protección de Datos.
Así lo ha denunciado hoy la Agencia Española de Protección de Datos (AEDP), tras constatar que el gigante tecnológico captó y almacenó -sin que los afectados lo supieran y aprobaran- información relativa a correos electrónicos, códigos de usuario y contraseñas que permiten el acceso a las cuentas, así como direcciones IP (identificación de la conexión).
A través de redes WiFi abiertas, y utilizando los vehículos pensados para el proyecto de Street View (servicio de panorámicas a nivel de calle), Google también recopiló direcciones MAC de los rúter (dispositivo que canaliza la transmisión de datos) y de los dispositivos conectados a los mismos, además de nombres de redes inalámbricas (SSID) configurados con los datos de su responsable, ha agregado la AEDP.
Toda esta actividad, que se prolongó desde mayo de 2008 a mayo de 2010, según a AEDP, supone una "infracción grave" de la Ley Orgánica de Protección de Datos, que establece que el tratamiento de los datos de carácter personal requiere el "consentimiento inequívoco" del afectado, "salvo determinadas excepciones no aplicables en este caso concreto".
La sanción que la Agencia española ha impuesto a Google, de 300.000 euros, es "la mayor en el caso de las infracciones graves" dado el carácter continuado de la actividad; el "volumen masivo" de datos recogidos y el perjuicio a la privacidad de las personas a causa del sistema de recogida y tratamiento de datos diseñado por la misma compañía, entre los principales motivos que ha declarado la AEDP.
La investigación comenzó en mayo de 2010, pero fue interrumpida por un procedimiento judicial penal abierto que obligó a la AEPD a suspender la tramitación de su procedimiento sancionador en virtud del artículo 7 del Real Decreto 1398/1993, por el que se aprueba el Reglamento del Procedimiento para el Ejercicio de la Potestad Sancionadora, ha recordado este organismo.
Una vez se tuvo conocimiento de la firmeza del auto por el que se acuerda el sobreseimiento provisional y archivo de las diligencias previas, la Agencia reanudó el procedimiento administrativo que ha concluido en la sanción a la compañía, han explicado.
Si haces negocios en Francia, conoce el ABC del compliance 27-10-2017
Si las empresas españolas quieren continuar haciendo negocios con Francia, tendrán que contar y, sobre todo, demostrar que cumplen con ciertos estándares de compliance.
En un mundo globalizado en donde todos los días tienen lugar transacciones internacionales que involucran múltiples jurisdicciones, es necesario conocer las diferentes normativas y regulaciones que nos afectan.
En materia de compliance ya es usual hablar de la Foreign Corrupt Practices Act (FCPA) americana, o la Bribery Act británica. Sin embargo, ahora las empresas españolas con intereses en Francia tendrán que añadir a la lista la Ley Sapin II, que es la Ley de transparencia, lucha contra la corrupción y modernización de la vida económica, cuya entrada en vigor fue el 01 de junio de este año.
La ley, que se enfoca en la corrupción, tráfico de influencias, extorsión, toma ilegal de intereses, malversación de fondos públicos y favoritismo, impone obligaciones a las empresas francesas dependiendo de su tamaño. A las que tengan más de 50 empleados, les exige a contar con un canal de denuncias, y a las que cuenten con una facturación de más de 100 millones de euros y más de 500 empleados les obliga a implementar ocho medidas:
1.Implantación de un código de conducta con aplicación a todos los miembros de la compañía.
2.Implantación de un canal de denuncias para comunicar cualquier incumplimiento.
3.Realización de un análisis o mapa de riesgos.
4.Establecer procedimientos de due diligence con terceros, como clientes, proveedores e intermediarios.
5.Procedimientos de control contable, interno o externo, diseñados para asegurar que los libros, registros y cuentas no se utilicen para ocultar la corrupción o el tráfico de influencias.
6.Dar formación a los empleados más expuestos al riesgo detectado.
7.Establecimiento de procedimientos disciplinarios.
8.Establecimiento de un sistema de evaluación interna de las medidas aplicadas.
Pero, ¿cómo afecta lo anterior a las empresas españolas?
Primeramente a las filiales de las empresas francesas que se encuentren en España, que tendrán que adoptar las políticas de compliance de su matriz. De igual forma afectará a las filiales en Francia de empresas españolas, que tendrán que cumplir con las mencionadas ocho medidas. Todo esto sólo cuando se cumplan con las dimensiones de empleados y facturación que ya se explicaron.
No obstante, creemos que el punto que realmente afectará a las empresas españolas es el establecido en el número 4. Nos referimos a los procedimientos de due diligence que las empresas comenzarán a practicar sobre sus clientes, proveedores e intermediarios.
El impacto será grande pues son innumerables las empresas que de alguna de estas tres formas interactúan con empresas francesas. Es más, de acuerdo con el ICEX, Francia es el primer socio comercial de España, pues las exportaciones a aquel país suponen un 15,1%, mientras que las ventas de Francia son de 11,1% de las importaciones españolas.
Por lo tanto, si las empresas españolas quieren continuar haciendo negocios con Francia, tendrán que contar, y sobre todo, demostrar que cumplen con ciertos estándares de compliance. Y no hay mejor forma de demostrar estos estándares que con un modelo eficaz de prevención de delitos, que si puede estar certificado conforme a la reciente UNE 19601, mejor aún.
Es por ello que hacemos hincapié en la necesidad de contar con sistemas de compliance, ya no sólo para evitar la responsabilidad penal de la empresa, sino como un requisito que se está convirtiendo en indispensable para poder permanecer y competir en el mercado.
El Congreso contempla obligar a las empresas a llevar un registro de la jornada laboral 26-10-2017
El pleno del Congreso de los Diputados ha aprobado este martes una proposición de ley para obligar a las empresas a llevar un registro diario de la jornada laboral de sus trabajadores con el objetivo de evitar el abuso de las horas extraordinarias no pagadas. La medida, propuesta por el PSOE, ha contado con el apoyo de Podemos, PNV y UPN y la abstención de Ciudadanos, con lo que será tramitada para que se le puedan proponer enmiendas pese a la oposición del PP.
La iniciativa propone modificar el Estatuto de los Trabajadores para incluir la obligación de registrar la hora de entrada y salida de cada trabajador. La empresa deberá conservar estos registros durante cuatro años para que estén a disposición de la Inspección de Trabajo y Seguridad Social. También incluye tipificar como infracción graves los abusos en el tiempo de trabajo.
La diputada socialista Rocío de Frutos ha argumentado que es "esencial" para garantizar la calidad del empleo y la conciliación, pero también para mejorar la situación de las arcas de la Seguridad Social, ya que el exceso de horas extras no abonadas también supone una merma en cotizaciones. Los sindicatos calculan que las horas extraordinarias no pagadas crearían más de 26.000 puestos nuevos de trabajo.
El popular Carmelo Romero ha defendido que las mejoras en la calidad del empleo se están debatiendo en la mesa del diálogo social, con sindicatos y patronal.
LA NUEVA LEY DE PROTECCIÓN DE DATOS FACILITARÁ USAR GRABACIONES DE VÍDEO EN DESPIDOS PROCEDENTES 25-10-2017
El anteproyecto de la nueva LOPD (Ley Orgánica de Protección de Datos) determina que podrán grabarte en vídeo durante tu jornada laboral. Deberán informarte de que te están grabando, pero no requiere tu consentimiento en caso de que te capten cometiendo alguna infracción, como ausentarte de tu puesto de trabajo o incumplir tus obligaciones, según recoge el portal Tu empleo.
Ante estos actos ilícitos, la ley se mostraría mucho más flexible con el empresario, de modo que bastaría con colocar carteles de advertencia en un lugar visible.
El principal cambio respecto a lo que se venía haciendo hasta ahora es que de nada servía pillarte in fraganti, si el empleado no estaba al corriente de que estuviera siendo grabado. Cuando el anteproyecto esté aprobado, las imágenes ya podrán utilizarse como prueba para acometer un despido procedente.
Publicación del Informe de la Comisión Europea y la OCDE sobre Estrategias de Propiedad Industrial en la Economía Digital 25-10-2017
El informe sobre Estrategias de Propiedad Industrial en la Economía Digital World Top R&D Investors: Industrial Property Strategies in the Digital Economy, elaborado por la Comisión Europea y la OCDE (Organización para la Cooperación y el Desarrollo Económicos), ofrece una visión general de las actividades de innovación emprendidas por los principales inversores corporativos de I + D a nivel mundial y arroja luz sobre las estrategias de generación de conocimiento que persiguen estos líderes del mercado y la innovación.
En esta edición está especialmente enfocado al ámbito de las tecnologías e industrias TIC y pretende contribuir a una mejor comprensión de la transformación digital y ayudar a la formulación de políticas de innovación. Los resultados del informe sugieren que los principales inversores corporativos de I+D han aceptado plenamente la transformación digital y que las tecnologías digitales representan un pilar esencial de sus comportamientos estratégicos en los mercados de todo el mundo. Analizando las solicitudes presentadas por estas corporaciones entre 2012 y 2014 en las Oficinas de Propiedad Intelectual e Industrial (PI) conocidas como IP5 (Oficina Europea, Oficina Japonesa, Oficina de Corea, Oficina de la República Popular de China, y Oficina de EE.UU), resulta que casi la mitad de las patentes y más de una cuarta parte de las marcas y diseños se relacionan con las TIC. La USPTO, la EPO y la SIPO reciben entre el 60% y el 80% de todas las patentes presentadas por los principales inversores en I + D (hasta más del 90% en el caso de las empresas de TIC).
Otra de las conclusiones del estudio muestra que las empresas de la industria de la informática y la electrónica son, con diferencia, las más dependientes de los derechos de PI y representan alrededor de 1/3 del total de solicitudes presentadas por los principales inversores en I + D. Otras industrias intensivas en PI incluyen 'Transporte', 'Maquinaria' y 'Productos químicos'. Más de la mitad de los principales inversores de I + D basan su estrategia en una combinación de todos los derechos de PI, es decir, patentes, marcas y diseños.
Seminarios de formación de la OEP programados para 2018 25-10-2017
La Oficina Europea de Patentes (OEP) anuncia su programa de seminarios de formación a través de Internet (webinars) sobre Información de Patentes, previstos para 2018. Se trata de seminarios gratuitos impartidos en línea. El listado completo y las fechas previstas puede consultarse en la página de formación de la OEP www.epo.org/pi-training.
Los videos de la mayor parte de los seminarios estarán disponibles en www.epo.org/pi-videos hasta un mes después de su celebración.
Más información para el usuario con el reglamento de protección de datos europeo 24-10-2017
La nueva legislación de la UE obligará a que las políticas de privacidad lleguen a los clientes de forma concisa e inteligible.
El 25 de mayo de 2018 entra en vigor el nuevo reglamento general de protección de datos (General Data Protection Regulation). Esta normativa introduce algunos importantes cambios, tanto para empresas como, sobre todo, para los ciudadanos. Además de las grandes multas económicas a las que se enfrentan las empresas, el GDPR conlleva derechos que todos los ciudadanos debemos conocer.
El Reglamento General de Protección de Datos de la UE (GDPR) es la normativa por la que se regirá, desde el próximo año, la recogida, uso, procesamiento y transferencia de los datos personales de los ciudadanos de la Unión Europea. Se aplica a todos los Estados miembros de la Unión Europea, pero, además (y es una de sus principales novedades), a cualquier entidad (pública o privada) que haga uso de los datos personales de los europeos, independientemente de dónde residan y se trate esta información. Incluso cuando se transfieran los datos personales fuera de la Unión Europea.
Hasta ahora, los ciudadanos teníamos derecho a saber si nuestros datos iban a ser recogidos, almacenados y tratados por una empresa y con qué fin. Pero el nuevo Reglamento General de Protección de Datos (RGPD) da más importancia a la información que se nos debe ofrecer. Además, a partir de ahora será obligatorio que esta información nos llegue de forma concisa, inteligible y con un lenguaje claro y sencillo. Es decir, se acabó el tener que leerse párrafos y párrafos de las políticas de privacidad sin que, quizá, hayamos tenido del todo claro para qué quieren nuestros datos y qué uso van a hacer de ellos.
El reglamento pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco. Para ser así, el reglamento exige que los interesados den fe de que están de acuerdo o tomen una acción que indique que las personas están de acuerdo. Es decir, que el consentimiento no puede deducirse del silencio o la inacción de los ciudadanos.
Las empresas deberían revisar la forma en la que obtienen y registran este visto bueno de los ciudadanos. Es decir, que algunas de las prácticas que se venían dando hasta ahora y que suponían un consentimiento tácito dejarán de ser aceptadas cuando entre en vigor este nuevo reglamento.
Además, este nuevo reglamento afecta a todas aquellas empresas que ofrezcan productos y servicios a los ciudadanos europeos. Es decir, que todos los negocios que guarden y traten datos nuestros deberán tener un representante en la Unión Europea, que actuará como punto de contacto de las Autoridades de supervisión.
Ampliado hasta el 10 de diciembre el plazo para presentar candidaturas a los Premios de ‘Buenas prácticas educativas’ y ‘Adaptación al nuevo Reglamento’ 24-10-2017
El 'Premio a las buenas prácticas educativas en privacidad y protección de datos para un uso seguro de internet' reconoce el trabajo tanto de los centros educativos como de las personas o entidades que hayan destacado por difundir el uso seguro de internet entre los menores.
El Premio a las buenas prácticas sobre iniciativas para adaptarse al Reglamento se convoca en dos modalidades: empresas privadas, asociaciones y fundaciones, y entidades del sector público.
Madrid, 23 de octubre de 2017. La Agencia Española de Protección de Datos (AEPD) ha ampliado hasta el 10 de diciembre el plazo para presentar candidaturas tanto al ‘Premio a las buenas prácticas educativas en privacidad y protección de datos para un uso seguro de internet’ como al ‘Premio a las buenas prácticas en privacidad y protección de datos sobre iniciativas para adaptarse al Reglamento europeo de Protección de Datos’.
El Premio a las Buenas prácticas educativas en privacidad y protección de datos para un uso seguro de internet (resolución de ampliación de plazo) tiene por objeto premiar la adopción de buenas prácticas que promuevan el conocimiento del derecho fundamental a la protección de datos entre los alumnos de Educación Primaria, Secundaria, Bachillerato y Formación Profesional, y que contribuyan a concienciar a los alumnos sobre el valor de la privacidad y el uso responsable de la información personal que comparten en internet, tanto propia como de terceros.
El premio −al que pueden presentarse proyectos técnicos, organizativos, métodos, acciones de promoción y concienciación, talleres, simulacros o materiales de difusión, entre otros− se convoca en dos modalidades:
Modalidad A. Tiene por objeto premiar las buenas prácticas llevadas a cabo por centros educativos públicos, concertados y privados de Educación Primaria, Secundaria, Bachillerato y Formación Profesional. Pueden concurrir al premio aquellos proyectos que los centros educativos hayan desarrollado durante el curso escolar 2016-2017 o que vayan a poner en marcha en el curso 2017-2018. El premio consistirá en una mención honorífica, la difusión de las buenas prácticas puestas en marcha o previstas y una dotación de material escolar por valor de 3.000 euros.
Modalidad B. El premio reconoce el compromiso de personas, instituciones, organizaciones y asociaciones, públicas o privadas, que se hayan distinguido de manera destacada en el impulso y la difusión entre los menores de edad del uso seguro de internet, relacionado fundamentalmente con la información personal y con el valor de la privacidad. Este galardón es honorífico.
El Premio a las buenas prácticas en privacidad y protección de datos sobre iniciativas para adaptarse al Reglamento europeo de Protección de Datos (resolución de ampliación de plazo), recogido en las actuaciones previstas en el Plan Estratégico 2015-2019 de la AEPD, tiene por objeto premiar las buenas prácticas sobre iniciativas tanto de empresas, asociaciones y fundaciones del sector privado como de entidades del sector público que promuevan la adaptación al nuevo Reglamento General de Protección de Datos (RGPD), así como reconocer aquellas que contribuyan a garantizar el derecho fundamental a la protección de datos personales.
El premio al que pueden optar, entre otros, proyectos técnicos, organizativos, métodos, acciones de promoción y materiales de difusión- se convoca en dos modalidades:
Modalidad A. Premia las buenas prácticas sobre iniciativas puestas en marcha por empresas del sector privado, asociaciones y fundaciones para adaptarse al RGPD.
Modalidad B. Reconoce las buenas prácticas sobre iniciativas para adaptarse al Reglamento llevadas a cabo por las entidades que configuran el sector público.
Ambas modalidades consistirán en una mención honorífica y la difusión de las buenas prácticas. En los proyectos presentados se valorarán aspectos como su adecuación, innovación, el grado de implantación de los mismos y aquellos casos en que dicha implantación revista una especial complejidad.
Plazo de presentación
Los trabajos deben dirigirse a la Secretaría General de la Agencia Española de Protección de Datos, y podrán presentarse hasta el próximo 10 de diciembre de 2017 en el Registro General de la AEPD (C/ Jorge Juan, 6 28001, Madrid), o en cualquiera de los registros u oficinas previstos en el artículo 38.4 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, haciendo constar en el sobre la misma dirección.
Los Premios Protección de Datos Personales serán concedidos por un jurado compuesto por el Consejo Consultivo de la Agencia Española de Protección de Datos, bajo la presidencia de su directora.
La AEPD entrega los premios a las buenas prácticas educativas en privacidad y protección de datos para un uso seguro de internet 20-10-2017
La Agencia concede el galardón al Colegio Sagrado Corazón Hijas de Jesús de Salamanca en la modalidad de centros escolares y premia a título póstumo a Emilio Aced Félez por su trayectoria y compromiso con la difusión de la protección de datos entre los menores.
La AEPD recuerda que se encuentra abierto el plazo para presentar candidaturas a la segunda edición del premio de Buenas prácticas educativas en privacidad y protección de datos para un uso seguro de internet, tanto en la modalidad de centros escolares, como en la que reconoce el compromiso de personas, instituciones, organizaciones y asociaciones.
Las bases del premio, cuyo plazo ha sido prorrogado hasta el próximo día 10 de diciembre, están disponibles en la web tudecideseninternet.es.
Corporate Compliance: ¿Puede la compañía matriz ser responsable penalmente de los ilícitos penales cometidos en su filial? 20-10-2017
El art. 31 bis CP establece la responsabilidad penal de la personas jurídicas (i) por los delitos cometidos por sus administradores de hecho o de derecho o por sus representantes legales, siempre que exista un beneficio directo o indirecto para la empresa, y (ii) cuando no se haya ejercido por parte de éstos el debido control sobre sus subordinados (es decir, aquéllos sobre los que se posea un deber de dirección, supervisión, vigilancia o control (art. 31 bis 1 b CP).
1.- El término de beneficio directo o indirecto engloba cualquier clase de ventaja (no solo económica) a través de la cual se pueda lucrar la persona jurídica.
2.- Se podría producir una transferencia de responsabilidad penal a la matriz por los delitos cometidos por sus sociedades dependientes (sin perjuicio de la responsabilidad propia de éstas) si las últimas estuvieran sometidas al deber de control de la primera y ese control no fue ejercido correctamente.
3.- Además de lo anterior, la matriz debe haberse beneficiado directa o indirectamente del delito cometido en su filial.
4.- Especial atención se habrá de poner en la llevanza de negocios internacionales en países como EEUU y UK, ya que el carácter extraterritorial de sus leyes podría generar responsabilidad penal en empresas nacionales de estos países que cuenten con filiales en el extranjero, así como en empresas foráneas con presencia en estos Estados.
La AEPD presenta nuevos recursos de ayuda orientados a centros docentes y familias para fomentar la privacidad y la protección de datos 20-10-2017
La guía ‘Protección de datos en centros educativos’, la serie de vídeos ‘Tú controlas en internet’ y el taller para familias ‘Los menores y su cibermundo’ completan los contenidos incluidos en el proyecto ‘Tú decides’.
Estos materiales se han presentado en colaboración con el Ministerio de Educación, Cultura y Deporte en virtud del convenio suscrito por ambas entidades para impulsar la formación de los menores en materia de privacidad y protección de datos, en especial en internet
(Madrid, 19 de octubre de 2017). La Agencia Española de Protección de Datos (AEPD) ha presentado junto con el Ministerio de Educación, Cultura y Deporte nuevos recursos y materiales de ayuda para fomentar la privacidad y la protección de datos de los menores. Este objetivo se ha plasmado en tres proyectos orientados tanto a los centros docentes y el profesorado como al entorno familiar. Así, la Agencia ha presentado la guía ‘Protección de datos para centros educativos’, en la que se ofrece respuesta directa a las dudas más frecuentes planteadas por la comunidad educativa; los vídeos ‘Tú controlas internet’, orientados a concienciar a los menores sobre algunas situaciones de riesgo; y el taller para familias ‘Los menores y su cibermundo’, con consejos sobre cómo acompañar a los hijos en su utilización de las nuevas tecnologías.
La guía Protección de datos en centros educativos surge de la necesidad de dar respuesta a las dudas más habituales que plantean ante el Canal Joven de la Agencia tanto centros docentes como profesores, AMPAs o las propias familias, sumando además las aportaciones de la comunidad educativa. El resultado es una guía práctica que, además de los conceptos y principios básicos sobre protección de datos, incluye la respuesta directa a más de 80 preguntas, muchas de ellas relacionadas con la expansión de las nuevas tecnologías. ¿Puede un centro educativo acceder al contenido de dispositivos electrónicos de los alumnos?, ¿pueden los profesores crear grupos con alumnos utilizando aplicaciones de mensajería instantánea?, o ¿pueden publicarse en la web del centro fotografías o vídeos de los alumnos? son algunas de las cuestiones recogidas en el documento.
La guía incluye además un Decálogo simplificado con los aspectos más relevantes para realizar un uso adecuado de los datos personales en los centros educativos así como una sección específica de los cambios que producirá la aplicación del nuevo Reglamento General de Protección de Datos el 25 de mayo de 2018.
La Agencia también ha presentado la serie Tú controlas internet, cuatro vídeos que pueden ser visionados tanto en el aula como en familia y que abordan situaciones como el ciberacoso (En este partido nos la jugamos), el grooming (Planazo de fin de semana), el sexting (Un vídeo muy especial) o la dependencia tecnológica (Un crack del BMX). La Agencia considera que la distribución de estos materiales a través de las aulas es imprescindible para llegar a los más de 8 millones de alumnos escolarizados, por lo que solicita la colaboración de todos los actores implicados en la educación de los menores para que contribuyan a prevenir y concienciar de estos peligros. Según un informe reciente de la OCDE, casi una cuarta parte de los chicos y chicas de 15 años pasa más de seis horas al día en internet cuando sale de clase y el 17% de los estudiantes empezó a utilizar internet cuando tenían 6 años o menos.
La finalidad de estos vídeos es que sean utilizados como herramienta para fomentar la educación digital de los menores, contribuyendo a evitar que puedan verse involucrados en situaciones de riesgo que, en ocasiones, producen un daño difícil de reparar debido al efecto multiplicador de redes sociales o mensajería instantánea. La AEPD se ha decantado por utilizar en estos vídeos la técnica visual thinking considerando el dibujo como una herramienta útil para captar la atención y facilitar la comprensión de estos conceptos en grupos de diferentes edades.
El tercer proyecto que ha presentado la Agencia es el taller para familias Los menores y su cibermundo, conducido por el experto Ángel-Pablo Avilés, autor de El blog de Angelucho. El taller, que incluye orientaciones y pautas, está compuesto por nueve vídeos de entre dos y diez minutos de duración en los que se abordan temas de interés para los padres a la hora acompañar a sus hijos en su relación con las nuevas tecnologías. El funcionamiento de las aplicaciones más utilizadas por los jóvenes y los riesgos más comunes asociadas a las mismas son algunos de los contenidos tratados. De hecho, según datos del CIS, un 36,6% considera que el riesgo más habitual al que se exponen los menores es la difusión de fotos o vídeos comprometidos, seguido de dar a conocer demasiada información sobre ellos mismos a gente que no conoce (24,3%).
Proyecto global de concienciación
Estos recursos se incorporan a la web de la Agencia Tú decides en internet, un proyecto global que incluye varias líneas de actuación y que apuesta por la prevención y la concienciación como herramientas imprescindibles. Además, la AEPD dispone del Canal Joven, que incluye correo electrónico (canaljoven@agpd.es), teléfono (901 233 144) y WhatsApp (616 172 204) para informar y asesorar sobre cuestiones relacionadas con la privacidad y la protección de datos de los menores. Los nuevos contenidos se enmarcan en las actuaciones previstas en el Plan Estratégico 2015-2019 de la Agencia y se han presentado en colaboración con el Ministerio de Educación, Cultura y Deporte en virtud del convenio suscrito por ambas entidades para para impulsar la formación de los menores en materia de privacidad y protección de datos, en especial en internet.
Nuevo informe del ICEX "Estrategias de entrada en mercados internacionales: El papel de la marca" 19-10-2017
ICEX España Exportación e Inversiones ha participado, en colaboración con el Foro de Marcas Renombradas Españolas (FMRN), IESE Business School, la firma de consultoría Auxadi y la Oficina Española de Patentes y Marcas (OEPM), en la elaboración del informe Estrategias de entrada en mercados internacionales: El papel de la marca, en el que se detallan los diversos modos de entrada y estrategias ejecutadas por las compañías nacionales a la hora de abordar los mercados internacionales, así como el papel que desempeña la marca en la selección de dichas plazas.
El informe resalta que la marca y las distintas acciones emprendidas para su desarrollo desempeña un rol estratégico a la hora de entrar y afianzarse en los mercados exteriores, contribuyendo a fortalecer el reconocimiento, el posicionamiento y la apreciación de la oferta española de calidad.
"Todas las personas jurídicas están obligadas a implantar el Compliance" 18-10-2017
¿Qué es el Compliance?
Podríamos definirlo como el conjunto de normas internas, modelos de organización, gestión y protocolos que debe implantar una empresa para garantizar el respeto a la normativa aplicable.
Cuando hablamos de normativa en vigor, nos estamos refiriendo básicamente al vigente Código Penal y a la clarificadora Circular 1/2016, sobre la responsabilidad penal de las personas jurídicas, de la Fiscalía General del Estado.
Las personas jurídicas pasan a ser responsables de los actos delictivos que cometan sus trabajadores si "incumplen gravemente los deberes de supervisión, vigilancia y control".
La responsabilidad de la persona jurídica será plena pese a la existencia de circunstancias que afecten a la culpabilidad del acusado o agraven su responsabilidad, incluso aunque haya fallecido o se haya sustraído a la acción de la justicia.
Si la persona jurídica ha adoptado y ejecutado previamente a la comisión del delito un correcto plan de prevención penal, quedará exonerada.
¿Quiénes están obligados a tener un programa de prevención penal o Compliance?
Todas las personas jurídicas, con independencia de su tamaño son penalmente responsables, por lo que deben implantar dicho programa.
Las diferencias van a venir marcadas por los puntos de riesgo y las medidas de control específico, que como es obvio, en las empresas de cierta envergadura serán más exhaustivas. Pero todas ellas deberán acreditar su cultura de cumplimiento normativo, en coherencia con sus obligaciones.
Recordemos en este punto que aparte de evitar la sanción penal, los programas de organización y gestión tienen como fin último promover una verdadera cultura ética corporativa.
¿Qué les puede suceder a las empresas si no implantan el Compliance?
Estamos hablando no sólo del daño reputacional o la imposición de multas y sanciones que pueden alcanzar la friolera de varios millones de euros. Puede conllevar, asimismo, la pérdida de negocio o la exclusión de subvenciones públicas o procesos de contratación, ya que las Administraciones Públicas están incluyendo en sus pliegos este requisito.
Publicación del Real Decreto de adscripción de la OEPM al Ministerio de Energía, Turismo y Agenda Digital 17-10-2017
El sábado 14 de octubre de 2017, se ha publicado en el Boletín Oficial del Estado el Real Decreto 903/2017, de 13 de octubre, por el que se desarrolla la estructura orgánica básica del Ministerio de Energía, Turismo y Agenda Digital (MINETAD). En el mismo figura la Oficina Española de Patentes y Marcas (OEPM) como Organismo Autónomo adscrito a dicho Ministerio, correspondiendo la presidencia de su Consejo de Dirección al titular de la Subsecretaría. En consecuencia, se modifica la redacción del artículo 1 del Real Decreto 1270/1997, de 24 de julio, por el que se regula la OEPM, adaptándola a la nueva adscripción ministerial.
Hallan un fallo que permite robar datos en las redes wifi 17-10-2017
Investigadores de la plataforma www.krackattacks.com han publicado una serie de fallos de seguridad en el protocolo wifi WPA2 de los 'router', considerado el más seguro hasta la fecha, que permite acceder a toda la información que se transmite a través de la conexión wifi como números de tarjetas, contraseñas o fotos.
El Instituto Nacional de Ciberseguridad (INCIBE) ha comunicado este lunes este aviso de los expertos de la citada web a través de un comunicado en el que apuntan que la única solución al problema es que los fabricantes de 'routers' y puntos de acceso ofrezcan una actualización del firmware que utilizan.
También que los fabricantes y desarrolladores hagan lo mismo para actualizar el software de dispositivos como teléfonos inteligentes, tabletas o portátiles.
Las primeras investigaciones señalan que están afectados sistemas Android, Linux, Apple, Windows, OpenBSD, MediaTek y Linksys, entre otros.
Para más información sobre productos específicos, el INCIBE recomienda consultar directamente con los fabricantes de los dispositivos para que éstos indiquen si están afectados o no por el problema.
Hasta que los fabricantes y desarrolladores publiquen una actualización de seguridad que corrija los fallos de seguridad que afecta al protocolo WPA2, se recomienda a los usuarios evitar conectarse a redes wifi si no se considera estrictamente necesario, especialmente si se va hacer uso de ella para transacciones que requieran de intercambio de información personal y bancaria.
Además se aconseja utilizar datos móviles (3G/4G) a todos aquellos usuarios que dispongan de ellos, especialmente para la realización de operaciones importantes a través de Internet como compras online, transferencias bancarias o gestionar cuestiones laborales.
También permanecer atentos a las actualizaciones de seguridad que se publiquen para los sistemas operativos de los dispositivos, puesto que debido a la gravedad del problema, es posible que en un periodo corto de tiempo los fabricantes publiquen una solución que será necesario aplicar.
Por último, los expertos recomiendan no deshabilitar por el momento la opción WPA2 del 'router' porque sigue siendo la mejor opción disponible a utilizar.
En cualquier caso, el INCIBE precisa que es importante navegar por páginas bajo el protocolo HTTPS para asegurarse que la información intercambiada viaja cifrada por la red.
