Hallan un fallo que permite robar datos en las redes wifi 17-10-2017
Investigadores de la plataforma www.krackattacks.com han publicado una serie de fallos de seguridad en el protocolo wifi WPA2 de los 'router', considerado el más seguro hasta la fecha, que permite acceder a toda la información que se transmite a través de la conexión wifi como números de tarjetas, contraseñas o fotos.
El Instituto Nacional de Ciberseguridad (INCIBE) ha comunicado este lunes este aviso de los expertos de la citada web a través de un comunicado en el que apuntan que la única solución al problema es que los fabricantes de 'routers' y puntos de acceso ofrezcan una actualización del firmware que utilizan.
También que los fabricantes y desarrolladores hagan lo mismo para actualizar el software de dispositivos como teléfonos inteligentes, tabletas o portátiles.
Las primeras investigaciones señalan que están afectados sistemas Android, Linux, Apple, Windows, OpenBSD, MediaTek y Linksys, entre otros.
Para más información sobre productos específicos, el INCIBE recomienda consultar directamente con los fabricantes de los dispositivos para que éstos indiquen si están afectados o no por el problema.
Hasta que los fabricantes y desarrolladores publiquen una actualización de seguridad que corrija los fallos de seguridad que afecta al protocolo WPA2, se recomienda a los usuarios evitar conectarse a redes wifi si no se considera estrictamente necesario, especialmente si se va hacer uso de ella para transacciones que requieran de intercambio de información personal y bancaria.
Además se aconseja utilizar datos móviles (3G/4G) a todos aquellos usuarios que dispongan de ellos, especialmente para la realización de operaciones importantes a través de Internet como compras online, transferencias bancarias o gestionar cuestiones laborales.
También permanecer atentos a las actualizaciones de seguridad que se publiquen para los sistemas operativos de los dispositivos, puesto que debido a la gravedad del problema, es posible que en un periodo corto de tiempo los fabricantes publiquen una solución que será necesario aplicar.
Por último, los expertos recomiendan no deshabilitar por el momento la opción WPA2 del 'router' porque sigue siendo la mejor opción disponible a utilizar.
En cualquier caso, el INCIBE precisa que es importante navegar por páginas bajo el protocolo HTTPS para asegurarse que la información intercambiada viaja cifrada por la red.
El 'compliance' y su importancia para las empresas 17-10-2017
Ya son ocho las sentencias que el Tribunal Supremo ha dictado en materia de responsabilidad procesal penal de las personas jurídicas. La responsabilidad penal colectiva parece ganar terreno, cada vez con mayor intensidad, en los ordenamientos jurídicos contemporáneos. El debate se ha instalado, incluso, en el epicentro judicial de la Unión Europea, como muestra la sentencia del Tribunal de Justicia de 5 de abril de 2017, Massimo Orsi (C217/15) y Luciano Baldetti (C350/15), que, siguiendo las conclusiones del Abogado General, considera que no se infringe el principio de non bis in ídem al incoarse un procedimiento penal contra los administradores de una sociedad por no haberse abonado el IVA pese a que, anteriormente, se le impuso una sanción tributaria a la sociedad por los mismos hechos. Lo esencial es pues, indagar el comportamiento de la propia entidad y, sobre todo, determinar la ausencia de una cultura de respeto al Derecho, como fuente de inspiración de la actuación de su estructura organizativa y presupuesto de su posible responsabilidad penal.
Y es que en el entorno económico en que nos movemos, la tentación de buscar soluciones rápidas a los problemas de las empresas vulnerando la legalidad es, desgraciadamente, una realidad. En este marco, la corrupción -tanto pública como entre particulares-, los acuerdos o prácticas anticompetitivas y la vulneración de los derechos de los trabajadores tienden a aumentar. En muchas empresas existe el Corporate Compliance o cumplimiento del código interno definido como el conjunto de procedimientos y buenas prácticas adoptados por las empresas para identificar y clasificar los riesgos operativos y legales a los que se enfrentan y establecer mecanismos internos de prevención, gestión, formación, detección, minimización y control de los mismos con el fin de garantizar los más altos estándares de integridad.
Así, la determinación del actuar de la persona jurídica, relevante a efectos de la afirmación de su responsabilidad penal ha de establecerse a partir del análisis acerca de si el delito cometido por la persona física en el seno de aquella ha sido posible, o facilitado, por la ausencia de una cultura de respeto al Derecho, como fuente de inspiración de la actuación de su estructura organizativa e independiente de la de cada una de las personas físicas que la integran, que habría de manifestarse en alguna clase de formas concretas de vigilancia y control del comportamiento de sus directivos y subordinados jerárquicos, tendentes a la evitación de la comisión por éstos de los delitos enumerados en el Libro II del Código Penal como posibles antecedentes de esa responsabilidad de la persona jurídica. Y ello más allá de la eventual existencia de modelos de organización y gestión que, cumpliendo las exigencias legales podrían dar lugar, en efecto, a la concurrencia de la eximente.
Y como apunta la reciente Circular de la Fiscalía General del Estado 1/2016, de 22 de Enero, al margen de otras consideraciones cuestionables, hace repetida y expresa mención a la "cultura ética empresarial" o "cultura corporativa de respeto a la Ley"; "cultura de cumplimiento" etc., informadoras de los mecanismos de prevención de la comisión de delitos en su seno, como dato determinante a la hora de establecer la responsabilidad penal de la persona jurídica, independientemente incluso del cumplimiento estricto de los requisitos previstos en el Código Penal de cara a la existencia de la causa de exención de la responsabilidad.
El código interno de la empresa debe prevenir los riesgos que conllevan consecuencias como el daño reputacional de la misma, la imposición de multas y sanciones, las pérdidas de negocio, licitaciones o de subvenciones públicas. Evitaremos los despedidos si el código interno y las actuaciones de compliance conllevan una formación que garantice que los empleados entienden qué se espera de ellos.
Adigital y la AEPD firman un protocolo para colaborar en materia de Protección de Datos 17-10-2017
El acuerdo respalda iniciativas como el desarrollo de herramientas para el cumplimiento del Reglamento General y la puesta en marcha de un Servicio de Mediación para el ejercicio de derechos por parte de los ciudadanos.
Ambas entidades trabajarán en la adaptación del servicio de exclusión publicitaria Lista Robinson al nuevo Reglamento, consolidando su papel como instrumento al servicio de ciudadanos y empresas.
Madrid, 16 de octubre de 2017. La Asociación Española de la Economía Digital (Adigital) y la Agencia Española de Protección de Datos (AEPD) han firmado hoy un protocolo de actuación para fomentar la cultura de protección de datos en España y facilitar el cumplimiento del nuevo Reglamento General de Protección de Datos —de aplicación efectiva a partir de 25 de mayo de 2018—. Esta iniciativa es fruto del compromiso de ambas entidades por promover una mayor confianza de los ciudadanos en el tratamiento de sus datos personales contribuyendo al mismo tiempo al óptimo desarrollo de la Economía Digital en España.
El Reglamento General de Protección de Datos supone un nuevo marco regulatorio para el uso y tratamiento de los datos personales en Europa y establece, entre otros, la responsabilidad activa de las empresas y entidades que tratan datos personales es decir, les exige que aseguren que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento marca, y determinando nuevas herramientas de control de sus datos para la ciudadanía, como el derecho al olvido o el derecho a la portabilidad.
El protocolo entre AEPD y Adigital permite la puesta en marcha de, entre otras, iniciativas como el desarrollo de herramientas para facilitar a los responsables y encargados del tratamiento de datos el cumplimiento del Reglamento o la definición de un Delegado de Protección de Datos (DPO) a nivel sectorial para la asistencia y ayuda a las empresas.
Ambas entidades se comprometen también a colaborar en la adaptación al Reglamento del servicio de exclusión publicitaria Lista Robinson, gestionado y prestado por Adigital, que cuenta con más de 480.000 ciudadanos inscritos y que permite a los mismos gestionar la publicidad no deseada. Del mismo modo, el acuerdo respalda el trabajo que Adigital está desarrollando para la creación de un Servicio de Mediación voluntario para el ejercicio de derechos en materia de protección de datos que estará a disposición de empresas y ciudadanos en diciembre de este año.
Con este protocolo, la AEPD continúa trabajando para fomentar el cumplimiento de la protección de datos en el sector de la economía digital a través de diversas iniciativas y, en particular, mediante el servicio de Lista Robinson, teniendo en cuenta que nos encontramos en un momento especialmente decisivo por la próxima aplicación del Reglamento europeo, afirma Mar España, Directora de la Agencia Española de Protección de Datos.
Con este acuerdo de colaboración buscamos establecer los mecanismos e instrumentos oportunos para facilitar el cumplimiento de la nueva normativa de protección de datos entre las empresas españolas. Tras una larga experiencia en este ámbito con el desarrollo de iniciativas como Lista Robinson o Confianza Online, creemos que una empresa que es capaz de garantizar el tratamiento adecuado de los datos personales no solo se va a ganar la confianza de la ciudadanía, sino que, al mismo tiempo y como consecuencia directa, aumentará su competitividad, ha asegurado José Luis Zimmermann, Director General de Adigital.
AGENDA DIGITAL: PRIMER CONGRESO EUROPEO DE PRIVACIDAD Y PROTECCIÓN DE DATOS 17-10-2017
Se organiza el primer Congreso de Privacidad y Protección de Datos y se celebrará en el Ateneo de Madrid el martes 17, 18 y 19 de octubre.
Este evento ha surgido de diferentes instituciones que demandaban un congreso sobre esta temática debido a su importancia en el contexto actual. Algunas de estas organizaciones son la Asociación de Usuarios de Internet, Red.es y Adigital. Reunirá a los mejores expertos nacionales e internacionales en la temática, ya sea de las administraciones públicas, de grandes empresas internacionales o de PYMES especializadas.
LA NECESIDAD DE UN CONGRESO INTERNACIONAL EN LA TEMÁTICA DE LA PRIVACIDAD:
Empresas y administraciones deben de adaptarse al nuevo reglamento Europeo (GDPR) EN 2017. Aumentan las responsabilidades a la vez que cambian los modelos de negocio lo cual plantea retos y oportunidades para la innovación y para los profesionales en un entorno cada vez más exigente en materia de privacidad.
Este evento se vuelve necesario tras nuestra constante presencia en la nube, tras varias noticias de ciberataques, y la evidencia de que apenas nos protegemos en el mundo virtual. Ante esta situación, es un tema de total actualidad, debido al ya presenta RGPD (Reglamento General de Protección de Datos).
Las tecnologías en materia de datos tienen cada vez más importancia e interés, así como los datos personales que contienen (todo lo relacionado con el internet de las cosas, la inteligencia artificial, la realidad virtual, etc.) Todo esto plantea retos y oportunidades, que se expondrán en el evento. El objetivo es abordar de forma integral la temática, por lo que se tratará desde tres perspectivas: la regulación, los negocios y las tendencias. Por ello, cada día se tratarán estos tres temas. Os recomendamos que veáis de forma detallada el programa del evento, muy prometedor.
INFORMACIÓN DEL CONGRESO EUROPEO DE PRIVACIDAD Y PROTECCIÓN DE DATOS:
¿Qué?: Primer Congreso Europeo de Privacidad y Protección de Datos
¿Dónde?: Ateneo de Madrid. Calle del Prado, 21.
¿Cuándo?: 17, 18 y 19 de octubre del 2017
Coste: Los precios varían desde los 100 (pase de día) a los 400 (pase completo). Hay aforo limitado.
El próximo 31 de octubre concluye el plazo para la presentación de candidaturas a los ‘Premios de Protección de Datos 2017 11-10-2017
Los premios incluyen candidaturas a las categorías de Comunicación, Buenas prácticas educativas y Buenas prácticas para adaptarse al Reglamento General de Protección de Datos.
El Premio Protección de Datos Personales 2017 en la categoría de Comunicación, que incluye un premio de 3.000 euros y un accésit de 1.500 euros, tiene por objeto reconocer los trabajos periodísticos de medios y profesionales de la comunicación que supongan una aportación destacada a la promoción de este derecho fundamental entre los ciudadanos o que contribuyan a fomentar la concienciación de las entidades que tratan información personal.
Pueden optar a este premio trabajos individuales puntualmente dedicados a la materia objeto de la convocatoria −como un editorial, noticia, reportaje, o programa de radio o televisión− o proyectos periodísticos que definan un compromiso editorial con la promoción de la protección de datos −tales como series de noticias o secciones especializadas−. Los trabajos deben haber sido difundidos entre el 1 de noviembre de 2016 y el 31 de octubre de 2017.
En esta edición de los Premios de Comunicación se priorizarán los trabajos que aborden diferentes aspectos del Reglamento General de Protección de Datos, tanto los relativos a los derechos de los ciudadanos como los que hagan referencia a los cambios en las obligaciones que deben cumplir las entidades que tratan datos personales.
El Parlamento Europeo aprueba el nuevo reglamento de la LOPD 06-10-2017
El pleno del Parlamento Europeo ha dado luz verde a la tan necesitada reforma de la normativa europea sobre Protección de Datos, para conseguir así un mayor control sobre los datos personales por parte de los ciudadanos que ven mejorada su privacidad en esta era digital, además de armonizarse las normas a aplicar por los estados miembros, contando todos ellos con una misma una normativa común.
La nueva normativa es fruto de un ardúo y largo trabajo trabajo que consigue, después de cuatro años de discusiones y debates,sustituir a la anterior directiva de Protección de Datos que databa del año 1995 y que había quedado totalmente obsoleta con el auge de las nuevas tecnologías, las redes sociales y los universos 2.0 y 3.0. Este nuevo reglamento tendrá su entrada en vigor 20 días después de su publicación en el Diario Oficial de la UE, y los países que se acogen a sus disposiciones tendrán un plazo de dos años para adecuar sus normativas estatales a las nuevas normas.
De este modo, se reemplaza el actual mosaico de leyes nacionales con un único conjunto de reglas diseñadas para ofrecer a los ciudadanos un mayor control sobre su propia información privada. Este reglamento, también mejorará la seguridad para las empresas, lo que incrementará la innovación y el desarrollo futuro del mercado único digital, además de existir una ventanilla única que reducirá los trámites burocráticos. La Comisión Europea estima unos beneficios probables de 2,3 mil millones de euros al año.
En palabras del parlamentario Jan Albrecht, responsable de la tramitación parlamentaria de la reforma, con este reglamento de protección de datos se consigue un nivel uniforme de protección en toda la UE. Es un gran éxito para el Parlamento y un sí claro a los derechos de los consumidores y a la competencia en la era digital. Los ciudadanos podrán decidir por sí mismos qué información quieren compartir, además se ofrece más claridad y transparencia a las empresas, con una norma única para toda la UE que refuerza la confianza y la seguridad jurídica e impulsa la competencia justa.
Entre otras disposiciones, las nuevas reglas incluyen:
El derecho al olvido, mediante la rectificación o supresión de datos personales.
La necesidad de consentimiento claro y afirmativode la persona concernida al tratamiento de sus datos personales.
La portabilidad, o el derecho a trasladar los datos a otro proveedor de servicios.
El derecho a ser informado si los datos personales han sido pirateados.
Lenguaje claro y comprensible sobre las cláusulas de privacidad.
Multas de hasta el 4% de la facturación global de las empresas en caso de infracción.
Las empresas tendrán que designar a un oficial de protección de datossi están manejando grandes cantidades de datos sensibles o monitorear el comportamiento de muchos consumidores.
Las empresas con sede fuera de Europa tendrá que seguir las mismas reglas que las locales cuando ofrezcan bienes o servicios en el mercado de la UE.
Límites claros al uso de perfiles sociales para conocer datos de los consumidores.
Las aplicaciones, redes sociales, servicios deberán ofrecer determinados niveles de privacidad por diseño o por defecto para proteger los datos personales de sus usuarios.
La normativa también incluye una nueva directiva sobre la transmisión de datos para todas aquellas cuestiones relacionadas con asuntos judiciales y policiales. Se aplicará al intercambio de datos transfronterizos dentro de la UE y establece unos estándares mínimos para el tratamiento de datos en cada país, para, de este modo, intentar proteger a las personas implicadas (víctimas, acusados, testigos) en investigaciones policiales o procesos judiciales, dejando claro sus derechos y estableciendo los límites en la transmisión de datos. Se han incluido salvaguardas para evitar riesgos para la seguridad pública, al tiempo que se facilita una cooperación más rápida y efectiva entre las autoridades policiales y judiciales.
Las pymes incrementan un 25% la demanda de servicios de compliance en 2017 03-10-2017
Las empresas se enfrentan a penas de multas que pueden llegar hasta 9 millones de euros o cinco veces el valor del beneficio obtenido o daño causado (12 veces el daño provocado en el caso de delitos informáticos)hasta la suspensión de actividades o la disolución de la empresa, pasando por la prohibición de contratar con la administración pública, obtener subvenciones o incentivos fiscales.
Entre los más de veinte grupos de delitos que puede cometer la empresa, figuran delitos de todo tipo, como los de insolvencias punibles, delitos contra la Hacienda Pública y la Seguridad Social, blanqueo de capitales, estafa, delitos contra la propiedad intelectual e industrial, o delitos contra la salud pública.
La AEPD presenta los resultados del Plan de inspección sectorial realizado a hospitales públicos 27-09-2017
La AEPD presenta los resultados del Plan de inspección sectorial realizado a hospitales públicos
El informe ofrece un punto de referencia para que el sector sanitario pueda abordar la adaptación de sus sistemas y procedimientos a los requerimientos que impone el nuevo Reglamento General.
Los datos de salud se encuentran en el Reglamento catalogados como categorías especiales, cuyo tratamiento exige garantías reforzadas
Entre las principales conclusiones del informe hay que mencionar una tendencia favorable a la asunción progresiva de la normativa y de los principios y la cultura de protección de datos
(Madrid, 26 de septiembre de 2017). La Agencia Española de Protección de Datos (AEPD) ha hecho público hoy el Plan de inspección sectorial de oficio realizado a hospitales públicos, en el que se recogen los resultados y las conclusiones del análisis realizado por la AEPD sobre el nivel de cumplimiento de las garantías en materia de protección de datos por parte de los hospitales públicos. Los planes de oficio de la AEPD, que se realizan con carácter preventivo, analizan el cumplimiento de la normativa en sectores o áreas específicas para obtener una visión integral y conjunta que permita detectar deficiencias y realizar las recomendaciones correspondientes de manera transversal.
La evaluación publicada hoy se ha realizado en hospitales públicos gestionados de forma directa e indirecta, si bien las conclusiones y las más de 35 recomendaciones extraídas son aplicables a todo tipo de centros sanitarios. En este sentido, hay que destacar que los datos de salud se encuentran incluidos en el Reglamento General de Protección de Datos (RGPD), que será aplicable el 25 de mayo de 2018, entre los catalogados como categorías especiales, cuyo tratamiento exige garantías reforzadas. Con el diagnóstico derivado de este informe, la AEPD −que ya lo ha presentado a las Comunidades Autónomas en el marco de la Subcomisión de Sistemas de Información del Sistema Nacional de Salud− ofrece un punto de referencia para que el sector sanitario pueda abordar la adaptación de sus sistemas y procedimientos a los nuevos requerimientos que impone el RGPD.
El informe está centrado en la auditoría de los aspectos en los que se detectaron carencias en los planes de inspección realizados en 1995 y 2010 y, en concreto, en las medidas de seguridad implementadas. Para ello, se han auditado hospitales que, partiendo de una situación de historia clínica en papel, la han transferido a formato electrónico; hospitales que conservan todavía la historia clínica en papel y que están inmersos en procesos de automatización, y hospitales que cuentan con historia clínica electrónica desde su creación. Entre los servicios hospitalarios inspeccionados se encuentran: Admisión, Urgencias, Consultas Externas, Anatomía Patológica, Unidad de Cuidados Intensivos, Laboratorio de Análisis Clínicos, Farmacia Hospitalaria, Departamento de Informática, Atención al Paciente, Servicios Sociales y Biobanco.
Entre las principales conclusiones del análisis se ha constatado, en líneas generales, una tendencia favorable a la progresiva asunción no sólo de la normativa sino de los principios y la cultura de protección de datos. El informe pone de manifiesto que los errores detectados en el tratamiento de los datos no constituyen comportamientos generales, lo que supone una mejoría en comparación con las situaciones anteriores.
Entre los aspectos que se pueden y deben mejorar hay que destacar los relacionados con la información ofrecida a los pacientes o el refuerzo de las medidas de seguridad. Como ejemplo, respecto al consentimiento, la Agencia recoge en el informe que es necesario recabarlo para saber si el paciente desea que su presencia y ubicación en el hospital sea comunicada a las personas o familiares que pregunten por ello y, si este no se opone, el hospital puede informar de si se encuentra en urgencias o ingresado y el número de habitación, sin indicar datos de salud o la atención médica prestada.
La publicación de este Plan de inspección está acompañada de un decálogo básico que recoge los puntos más relevantes de la normativa de protección de datos orientados al personal sanitario y administrativo de los centros, con el objetivo final de elevar el nivel de cumplimiento y generar confianza en las actuaciones de las instituciones sanitarias tanto en el ámbito asistencial como en el de la investigación.
Las Autoridades europeas de Protección de Datos aprueban varias directrices sobre la aplicación del Reglamento 18-09-2017
Las directrices aprobadas hacen referencia al derecho a la portabilidad de datos, los delegados de protección de datos y los criterios de identificación de la 'autoridad líder'.
Condena a una empresa a 200.000 euros de multa por ausencia del debido control 14-09-2017
La Audiencia Porvincial de Pontevedra ha condenado a una empresa a pagar una multa de 200.000 € y la inhabilitación para obtener subvenciones o incentivos fiscales o de la Seguridad Social durante un periodo de dos años por un delito contra la Hacienda Pública. Basa su condena en la ausencia del debido control, dice literalmente la sentencia que se trata de "una obligación tributaria esencial, como es el pago de un impuesto ordinario, cuya ausencia o constatación de pago y cumplimiento de obligaciones fiscales es fácilmente constatable y controlable, por lo que, a priori, se revela una ausencia de un debido control sobre una obligación ordinaria de naturaleza tributaria, que permite concluir en la existencia de responsabilidad criminal ya que nos encontramos en presencia de una obligación tributaria ordinaria, cuyo impago no fue constatado, ni controlado."
La empresa hubiera podido evitar la condena si contara con un plan de prevención de riesgos penales o compliance penal , ya que ello demostraría la existencia del debido control.
Es destacable que esta sentencia aplica la atenuante genérica de dilaciones indebidas a una entidad, cuando del tenor literal del artículo 31 quater CP parece deducirse que a las personas jurídicas sólo se les aplican las recogidas en dicho artículo, entre las que no se encuentra la de dilaciones indebidas.
La misma Audiencia de nuevo alude al debido control, esta vez para absolver, en su sentencia 116/2017, de 30 de junio, ya que considera que no se ha practicado prueba por las acusaciones respecto de la responsabilidad penal de la entidad y respecto de la inexistencia de controles por parte de la misma para prevenir el delito fiscal que se le atribuye.
Facebook, Microsoft y la AEPD ante la protección de datos en Internet 06-09-2017
En el 31º Encuentro de Economía Digital y Telecomunicaciones hemos podido actualizar las posiciones de los principales agentes digitales sobre la privacidad ante la inminente llegada del GDPR.
La protección de datos es una de las materias pendientes de la economía digital y una de las preocupaciones que traen de cabeza a los consumidores de medio mundo. No en vano, en mayo del próximo curso debería entrar en vigor el nuevo reglamento europeo de protección de datos, una medida que . Sin embargo, en torno al 70% de las empresas no se ven capaces de cumplir a tiempo con estas nuevas normas de privacidad, lo cual arroja dudas sobre este ambicioso proceso.
Para arrojar algo de luz al respecto, Facebook, Microsoft y la Agencia Española de Protección de Datos se han congregado en Santander, aprovechando el 31º Encuentro de Economía Digital y Telecomunicaciones. Una mesa redonda donde han desarrollado algunos de los puntos fundamentales en este tema tan candente.
Mar España, directora de la Agencia Española de la Protección de Datos, explica que las nuevas regulaciones de protección de datos obligará a las empresas a “tener en cuenta, desde el minuto uno, qué tipo de información podrá ser compartida y cuál no”. La directiva admite que el GDPR (reglamento europeo de protección de datos) trae consigo “numerosos y complejos cambios” tanto técnicos como de concepción, especialmente a causa del fin del “consentimiento tácito”. Asimismo, España asegura que estamos en un momento clave de esta evolución hacia el nuevo marco jurídico, a la espera de las pertinentes recomendaciones del Consejo de Estado sobre la Ley Orgánica y a expensas del desarrollo del GDPR.
Por su parte, Ricard Martínez, director de la Cátedra de Privacidad y Transformación Digital de Microsoft y la Universitat de Valencia, ha recordado que “la normativa de privacidad de datos siempre se ha producido por causas epidérmicas, entendiendo que era cosa de los informáticos y no de los juristas”. El académico ha sacado pecho de que Microsoft ha invertido más de “1.000 millones de dólares para incluir la privacidad desde el diseño mismo de las aplicaciones”, estableciendo además el GDPR como su “estándar para la protección de datos a escala mundial”.
A su vez, Nicolas de Bouville, director de Política de Privacidad para EMEA de Facebook, defiende el rol que las redes sociales están protagonizando respecto a la protección de los datos de sus usuarios. “La clave es dotar a los consumidores del máximo control sobre el uso de su información y dotar de transparencia al proceso“, afirma el joven directivo. “Pero todavía estamos en un estado algo anticuado, con interfaces poco amigables que impiden el correcto manejo de sus datos y dificultan el entendimiento sobre esta parcela“. De Bouville también ha recordado que este proceso “no es exclusivo de Facebook ni de las grandes empresas”, con lo que exige un “trabajo colaborativo entre todo el ecosistema” para garantizar la máxima privacidad de los internautas.
Nuevo esquema de acreditación de ENAC para certificar el 'compliance' penal 29-08-2017
ENAC ha desarrollado un esquema para la acreditación de certificadores de sistemas de gestión que quieran ofrecer al mercado una certificación fiable de los modelos de prevención del delito penal adoptados por las personas jurídicas, de acuerdo a lo establecido en la norma UNE 19601:2017 Sistemas de gestión de compliance penal. Requisitos con orientación para su uso.
La Ley Orgánica 1/2015 de reforma del Código Penal ampliaba la responsabilidad penal de las personas jurídicas y considera que la adopción y ejecución eficaz de un modelo de organización y gestión de la prevención del delito ajustado a los requisitos mínimos se constituye, dado su carácter de mecanismo de autorregulación de la propia organización, en un elemento exoneratorio o atenuador de dicha responsabilidad.
Una de las opciones con que cuenta una organización a la hora de definir su modelo de prevención del delito es desarrollarlo a partir de normas elaboradas por los organismos de normalización nacionales o internacionales, que posteriormente sea certificado por una entidad de certificación acreditada.
Con este fin, UNE publicó la norma UNE 19601:2017 Sistemas de gestión de compliance penal. Requisitos con orientación para su uso, que viene a establecer un marco de referencia completo que permite disponer de sistemas de gestión de compliance penal alineados con las exigencias del Código Penal español y aptos para ser certificados.
La implantación de estos sistemas cumple un doble objetivo: prevenir determinados delitos por parte de las personas jurídicas y aportar la necesaria confianza a todas las partes interesadas en que esto es así. Y para ello es imprescindible que la implantación de estos sistemas y su eficacia esté sujeta a revisión por una organización independiente, explican en nota de prensa desde ENAC.
Y es esa revisión la que es realizada por las entidades de certificación que, para que su labor aporte el nivel de confianza que estos sistemas requieren, es imprescindible que estén acreditadas ya que solo las entidades de certificación acreditadas han demostrado ser técnicamente competentes e independientes de acuerdo a estándares internacionales y estar sujetas a la evaluación y supervisión de ENAC, el organismo nacional de acreditación.
Dada la trascendencia que este tipo de certificación puede tener y su novedad, ENAC ha desarrollado un esquema de acreditación que ajusta y particulariza los requisitos generales de la norma UNE EN-ISO/IEC 17021 a este tipo de certificación particular.
El esquema ha sido desarrollado en un grupo de trabajo en el que han participado expertos de diferentes partes interesadas provenientes tanto del Comité Técnico de Normalización, que elaboró la norma, como del Comité Técnico Asesor de Certificación de ENAC.
Como resultado de este trabajo se ha aprobado el documento CEA-ENAC-23 que incluye los criterios específicos para este esquema y que complementa tanto a la norma de acreditación UNE-EN ISO/IEC 17021-1 como al CGA-ENAC-CSG, que recoge los criterios generales de acreditación de entidades de certificación de sistemas de gestión establecidos a nivel internacional.
Con fecha 7 de agosto de 2017 se ha publicado en el BOE el Anuncio de la Resolución de la Oficina Española de Patentes y Marcas por la que se modifica la convocatoria de concesión de las subvenciones 09-08-2017
Resolución: http://www.oepm.es/export/sites/oepm/comun/documentos_relacionados/Ayudas/Ayudas_2017_resolucion_modificacion.pdf
La AEPD premiará las iniciativas del sector público y privado para adaptarse al Reglamento General de Protección de Datos 07-08-2017
La Agencia quiere reconocer las buenas prácticas realizadas por las organizaciones, así como fomentar el conocimiento de la nueva normativa.
La ley consagra el derecho a impedir el 'spam' publicitario 07-08-2017
Las llamadas a la hora de comer para ofrecer un cambio de compañía de teléfono o los emails publicitarios -o spam- que inundan la bandeja de entrada de nuestro correo electrónico no son penalidades inevitables. De hecho, una vez entre en vigor la nueva Ley Orgánica de Protección de Datos (LOPD), quedará consagrado en una norma de rango legal el derecho del usuario a impedir que las empresas puedan atosigarle para que contrate sus productos o sus servicios.
La nueva norma, que está previsto que esté aprobada antes de mayo de 2018 -fecha en que el nuevo Reglamento General de Protección de Datos será plenamente aplicable- impone a las empresas que quieran realizar tratamientos relacionados con la publicidad o la prospección comercial que consulten previamente "los sistemas de exclusión publicitaria que pudieran afectar a su actuación, excluyendo del tratamiento los datos de los afectados que hubieran manifestado su oposición o negativa al mismo".
Los sistemas de exclusión publicitaria, también conocidos como Listas Robinson, son ficheros en los que los consumidores y usuarios pueden inscribirse de forma gratuita y voluntaria para evitar o reducir la recepción de comunicaciones comerciales.
La regulación de estos ficheros y sus efectos ha sido una de las materias que algunos especialistas han criticado que omita el Reglamento europeo; sin embargo, en España, se ha optado por su inclusión en la futura LOPD.
Hasta ahora, su ordenación se contenía en el Reglamento que desarrollaba la anterior Ley de Protección de Datos de 1999. Con su elevación a un texto de rango legal, se dota a una categoría superior tanto a su regulación como a las garantías que ofrece a los usuarios.
Actualmente, en España, existe una única Lista Robinson, gestionada por la Asociación Española de Economía Digital (Adigital). Al inscribirse en ella, el usuario o consumidor puede elegir el medio o el canal de comunicación a través del cual puede elegir no recibir publicidad -correo postal, llamadas telefónicas, email, etc.-.
La inscripción, tal y como explica una guía publicada recientemente por la Agencia Española de Protección de Datos sobre cómo evitar la publicidad no deseada, es plenamente eficaz a partir del tercer mes desde la fecha de registro de los datos, por lo que hasta ese momento aún puede producirse alguna comunicación comercial.
La futura LOPD, en su artículo 16, declara lícito el tratamiento de datos de carácter personal si tiene por objeto el envío de comunicaciones comerciales "a quienes hubiesen manifestado su negativa u oposición a recibirlas". No obstante, exige que en estas listas sólo se incluyan "los datos imprescindibles" para identificar al afectado.
Asimismo, todas las empresas que traten datos, cuando un consumidor les comunique su deseo de que sus datos no se empleen para que se les envíe publicidad, deberán informarle de la existencia de los sistemas de exclusión publicitaria, identificando además a su responsable.
Las entidades que gestionen las Listas Robinson deberán comunicar a la AEPD su creación, así como su carácter general o sectorial y el modo en que los afectados pueden incorporarse a la misma. La Agencia, según exige la ley, deberá hacer pública tal información.
Otro de los elementos determinantes que modifica el Reglamento a efectos de comunicaciones comerciales es el fin del consentimiento tácito. A partir de mayo del año que viene, cualquier tratamiento de datos exige que el afectado lo haya aceptado de forma expresa, clara e inequívoca, por lo que las empresas ya no podrán enviar publicidad empleando al fórmula de indicar al consumidor que, si no responde o no se opone, habrá dado su consentimiento. Asimismo, tampoco serán válidos los consentimientos dados antes de la fecha de plena vigencia de la norma, por lo que deberán que volver a recabarlos.
La AEPD lanza un espacio web con consejos para evitar recibir publicidad no deseada 01-08-2017
Inscribirse en la Lista Robinson, retirar el consentimiento, ejercer ante las empresas los derechos de oposición o cancelación, o solicitar la exclusión de las guías telefónicas son algunas de las recomendaciones prácticas que se incluyen.
Las denuncias por el canal interno podrán ser anónimas 28-07-2017
Es una de las cuestiones más controvertidas en la regulación de los sistemas de prevención de delitos (o programas de compliance) de las empresas, pero la futura Ley Orgánica de Protección de Datos (LOPD), de aprobarse tal y como consta en el anteproyecto, zanja la cuestión. Así, las denuncias que se presenten a través de los canales internos de denuncia (o mecanismos de whistleblowing) que tienen que implantar las compañías, podrán ser anónimas.
El debate planteado era si era admisible el anonimato, es decir, que el autor de la denuncia podía presentarla sin identificarse, o si, por el contrario, sólo cabía admitir la confidencialidad. Esto es, que el denunciante tiene que proporcionar algún dato, pero éstos permanecerían reservados, limitando el acceso a los mismos.
La problemática es la siguiente. No admitir el anonimato puede frenar a muchos denunciantes a comunicar las irregularidades o los ilícitos de los que tengan conocimiento, con lo cual se merma la efectividad del canal de denuncias y del propio sistema de compliance.
En el otro extremo, la denuncia anónima libera de toda responsabilidad al denunciante, dejándole amplio margen para que comunique hechos falsos, inexactos o con los que pretende perjudicar al denunciado. Asimismo, prohibir la investigación de denuncias anónimas puede tener el efecto perverso de proporcionar al infractor un medio para blindarse de que puedan indagarse sus hechos.
El artículo 17 del texto opta por reforzar la efectividad del programa de compliance y determina que "será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad privada, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable".
El artículo 31 bis del Código Penal, que regula la responsabilidad penal de las personas jurídicas, configura los canales de denuncia como un requisito fundamental para apreciar la eficacia de los sistemas de compliance. De tal modo que exige a las organizaciones que impongan "la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención".
La polémica en relación con la posibilidad de que las denuncias sean anónimas proviene del Informe Jurídico 128/2007 de la Agencia de Protección de Datos que, tras analizar la creación de los sistemas de denuncias internas, afirmó que lo que debería garantizarse es "el tratamiento confidencial de las denuncias presentadas [...] de forma que se evite la existencia de denuncias anónimas, garantizándose la exactitud e integridad de la información contenida en dichos sistemas".
Más recientemente, la norma UNE 19601 -de la Asociación Española de Normalización-, que contiene los requisitos de certificación de los sistemas de compliance, admitía también la opción de que las comunicaciones que se realicen a través de los procedimientos internos de la organización para tener conocimiento de irregularidades o incumplimientos sean anónimas.
El artículo 17 del anteproyecto de LOPD exige que se informe a los empleados y a terceros de la existencia de canales internos. El acceso a los datos contenidos en el mismo quedará limitado exclusivamente al personal que lleva a cabo las funciones de "control interno y de cumplimiento y, sólo cuando procediera la adopción de medidas disciplinarias contra un trabajador, al personal con funciones de gestión y control de recursos humanos".
La futura norma también impone a la organización el deber de preservar la identidad y garantizar la confidencialidad del denunciante -cuando no opte por el anonimato- y ordena que los datos se conserven en el sistema únicamente el tiempo imprescindible para la averiguación de los hechos denunciados, con un límite de tres meses desde su introducción en el canal.
¿Cómo deben prepararse las empresas ante el nuevo reglamento de la UE de protección de datos? 28-07-2017
La norma incluye novedades relativas al deber de información, ya que se amplía la que el responsable debe facilitar previamente al tratamiento de los datos. En relación con la solicitud de consentimiento, como base legal para el tratamiento de los datos, será más clara y rigurosa. No se permitirá el consentimiento tácito o por omisión'. Las empresas, por tanto, deben revisar sus procesos de solicitud de consentimiento para comprobar si se adecuan a los nuevos requisitos del reglamento.
La empresa podrá controlar al empleado con videovigilancia 27-07-2017
La nueva Ley Orgánica de Protección de Datos (LOPD), de aprobarse tal y como se ha redactado el anteproyecto, permitirá a los empresarios utilizar las cámaras de seguridad de los centros de trabajo para funciones de control a los empleados, más allá de la meras razones de seguridad. Así, la videovigilancia podrá emplearse, entre otras finalidades, para ver si los trabajadores cumplen con sus labores, si respetan el horario de trabajo y para vigilar sus ausencias. El único requisito que se exigirá es que se informe de que las imágenes captadas pueden emplearse para tal fin.
El artículo 15 del texto asevera que "los empleadores podrán tratar los datos obtenidos a través de sistemas de cámaras o videocámaras para el ejercicio de las funciones de control de los trabajadores [...] siempre que les hubieran informado acerca de esta medida".
Si las imágenes captan la comisión flagrante de un acto ilícito por parte de algún trabajador, la norma rebaja la exigencia de información por parte del empresario. Bastará con que el dispositivo de grabación se encuentre en un lugar "suficientemente visible, identificando, al menos, la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos previstos" en el nuevo Reglamento europeo de protección de datos.
La nueva LOPD, que está previsto que entre en vigor en mayo de 2018, se pronuncia sobre una materia controvertida, sobre la que el Tribunal Supremo (TS) y el Tribunal Constitucional (TC) habían introducido nuevos criterios recientemente.
En una sentencia de 3 de marzo de 2016, el TC estableció que para admitir la validez como prueba de las imágenes grabadas por el empresario, no se requería el consentimiento del trabajador, sino que bastaba con que éste tuviera o pudiera tener conocimiento de la instalación de las cámaras.
En el supuesto se admitió como válido que la compañía hubiera colocado en la entrada de uno de sus establecimientos el distintivo informativo de Zona videovigilada para dar por cumplida la obligación de informar al empleado, de acuerdo con la Instrucción 1/2006 de la Agencia Española de Protección de Datos (AEPD).
El Supremo, por su parte, en una sentencia de 31 de enero de 2017, introdujo algún matiz en la doctrina constitucional.
En el supuesto enjuiciado, la empresa había despedido a un trabajador al que las cámaras habían grabado hurtando dinero. La resolución consideró que, en la medida en que el sistema de videovigilancia del centro alertaba de que se encontraba instalado "por motivos de seguridad", éste fin también incluía la vigilancia de actos ilícitos cometidos por los propios empleados.
Con este razonamiento y sin que haya habido un pronunciamiento posterior que ofreciera luz sobre el asunto, el TS parecía excluir otras funciones relacionadas con el control laboral que no tuvieran que ver con la seguridad. Una limitación que, según el nuevo texto legal, quedará descartada siempre que se cumpla la condición de que se informe de los fines para los que se van a tratar las imágenes.
El artículo 15 de la futura LOPD se sitúa dentro del capítulo dedicado a la regulación de tratamientos especiales. En él se autoriza a las personas físicas o jurídicas a tratar imágenes a través de los sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de personas y bienes, así como de sus instalaciones. Las imágenes de la vía pública sólo podrán captarse "en la medida en que resulte imprescindible" para esa finalidad.
Tras su captación, el texto establece que los datos deberán suprimirse en un plazo máximo de tres meses, salvo cuando hubieran de ser conservadas para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones.
Asimismo, se considera excluido del ámbito de aplicación de este artículo el tratamiento de imágenes grabadas por una persona física en su propio domicilio.
En el caso de nuestra empresa y de los que trabajan en la oficina, consideramos que esto puede ser hasta abusivo, de modo que no tengas momento ni para respirar. Este tipo de prácticas, tanto para cerrajeros como para los informáticos de otras empresas que apliquen este método, lo que conseguirán es que el maneje todo esto, cada vez estará más pegado a la pantalla.
Aprobación de los Estándares de Protección de Datos para los Estados Iberoamericanos 25-07-2017
Los Estándares de Protección de Datos para los Estados Iberoamericanos son el resultado de una pretensión largamente anhelada por la RIPD para dotarse de unas directrices que sirvan de referencia a futuras regulaciones o para la revisión de las ya vigentes, contribuyendo a la armonización de unos esquemas regulatorios que deben hacer frente a los desafíos derivados de la rápida evolución tecnológica.
Cambio denominación del Instituto Nacional de Seguridad e Higiene en el Trabajo 19-07-2017
Se procede a cambiar la denominación del Instituto Nacional de Seguridad e Higiene en el Trabajo que pasa a denominarse Instituto Nacional de Seguridad, Salud y Bienestar en el Trabajo, O.A., M.P.
