Cambio denominación del Instituto Nacional de Seguridad e Higiene en el Trabajo 19-07-2017
Se procede a cambiar la denominación del Instituto Nacional de Seguridad e Higiene en el Trabajo que pasa a denominarse Instituto Nacional de Seguridad, Salud y Bienestar en el Trabajo, O.A., M.P.
Aprobado el borrador de la Norma ISO 45001 19-07-2017
La ISO 45001 establecerá los requisitos para implantar un sistema de gestión de la seguridad y salud en el trabajo.
La publicación de la ISO 45001 no supondrá la desaparición a corto plazo de OHSAS 18001 y las organizaciones certificadas que lo deseen podrán realizar la migración a la ISO 45001.
La participación del trabajador, herramienta clave en Compliance 18-07-2017
Incluso el mejor sistema de gobierno corporativo, dentro del que hay que incluir a Compliance y los demás sistemas de gestión (control interno, gestión del riesgo, etc.), no es infalible. Y eso por supuesto, no desdice la dedicación que se haya puesto en su elaboración ni por tanto, la calidad del mismo. Es otra la variable que está detrás de su falta de seguridad total: el aspecto humano es un factor clave en su desarrollo y ejecución. Y es que, al trabajador se le debe dar un papel activo en el desarrollo del sistema de gestión de Compliance. Debe percibir que lo que aporte, la compañía lo tiene en cuenta, que es de plena utilidad para lo que es la mejora continua, principio por excelencia en Compliance.
Focalizarse en el compromiso
El planteamiento típico cuando se aborda la cuestión de la cultura y los valores de una compañía es focalizarse en el compromiso que tienen que asumir el Consejo y la alta dirección, lo cual sin dejar de ser cierto como comentaremos más adelante, es insuficiente. No se puede obviar la importancia y la responsabilidad que en su fomento tiene la plantilla en su conjunto.
La forma de conseguirlo es promocionando los valores en el seno de la compañía a través de una adecuada política formativa. El trabajador tendrá las habilidades y la confianza de hacer valer su opinión, de forma que seguramente los posibles incumplimientos de Compliance serán abordados en su fase inicial, evitando así que se ponga a funcionar toda la maquinaria correctora con inicio generalmente en el canal de denuncias.
El modo de plantear los programas formativos por tanto, es primordial. Sin perjuicio de que en los prolegómenos se refieran a aspectos teóricos sobre moral, ética y valores, deben incidir específicamente en situaciones y dilemas éticos reales que se puedan plantear en el seno de la propia empresa. Cuestiones como el cómo evitar hacer seguidismo de la mayoría cuando esta obra mal, el modo de saber hacer frente a la intención de un superior de bordear la legalidad, el salir de la presión de lograr objetivos a toda costa, etc., deben ser tratados en toda formación que se precie. Más allá de especular con hipótesis teóricas morales o de prevalencia de valores universales, se debe tocar más la perspectiva real y actual de la compañía, esto es, lo que es el aspecto emocional o sensible para la plantilla.
Cuestiones para el trabajador
Al final de las jornadas de formación el trabajador debe saber responder a cuestiones como: ¿A quién debo dirigirme para plantearle una irregularidad que he advertido? ¿Cómo lo encajará el receptor cuando se lo plantee, o qué me dirá? ¿Qué argumentos puede escuchar el denunciante para justificar la conducta que censura? ¿Qué aducirá él por su parte para mantener su postura? ¿Qué es lo que se pretende conseguir al revelar tal conducta, o, qué se quiere que se rectifique o cambie en la compañía? Si ve que a quien se dirige no es receptivo ¿qué pasos dará a continuación?
El ensayar situaciones que se puedan dar en una compañía es de importancia capital para poder afrontar luego conflictos que se puedan dar en la realidad. De esta forma el trabajador será más proclive a dar el paso y poner de manifiesto a quien corresponda el dilema ético que se le plantea. Además al ensayarse en las jornadas formativas, la empresa está dando la sensación que apoya la participación del trabajador, que lejos de ser una barrera lo fomenta.
Un ambiente adecuado y directivos receptivos
Por supuesto el contexto y las herramientas tienen que partir de los líderes, de la alta dirección, ellos son los que deben propiciar el ambiente adecuado para que lo anterior sea posible. Aquellos directivos que no son receptivos, que no son proclives a dar la voz al empleado fracasarán en conseguir extender la cultura y los valores que la empresa manifiesta tener sobre el papel. Pero incluso los directivos aparentemente mejor intencionados, que públicamente defienden el dar participación a la plantilla, sutilmente pueden dejar un mensaje de que las contribuciones, aportaciones u observaciones que se hagan no son bien recibidas. Si anteriores planteamientos cayeron en saco roto, si incluso ha habido salidas de la organización de personas que en su momento aportaron una idea constructiva, no vale luego que se diga por la dirección que su idea es dar voz a la plantilla. Es a través del comportamiento que el trabajador observe en su empleador como ganará en confianza a la hora de tomar la palabra para poner de manifiesto una irregularidad advertida. Por tanto el reto del liderazgo está en comportarse de modo que cree un ambiente positivo en los trabajadores.
El primer paso, la formación de directivos
Para ello el paso inicial es que Consejo y Alta Dirección sean los primeros en formarse. Los que tengan la iniciativa en que cuando adviertan una irregularidad se ponga en marcha la maquinaria para tomar las acciones correctoras precisas. Que no den la sensación de que cuando les llega alguna cuestión o crítica quieran rápidamente acallarla.
Además los líderes deben desarrollar habilidades para crear un ambiente en el que el trabajador no sea remiso a alzar su voz. Hay que reconocer que esto es muy complicado, pues no solo el líder autoritario carece de estos valores, también los que sin serlo no dan los pasos que la denuncia exige, están dando la misma sensación que aquellos. Un líder que no es accesible, o que no actúa consecuentemente cuando se le plantea una cuestión, lo que está fomentando es el silencio y el dejar estar.
Como ocurre con los trabajadores, como decimos se trata de habilidades que se pueden enseñar en jornadas formativas, pudiendo mejorar su capacidad de escucha y tolerancia ensayando situaciones y conflictos si no directamente con la plantilla, sí al menos con ciertos directivos y mandos intermedios. Si la alta dirección da la imagen real ante la dirección ordinaria de su receptividad, que van a ser escuchados en sus planteamientos y denuncias de conducta desviada, estos a su vez van a poder trasladarlo bien de palabra o con sus actos a la plantilla en su conjunto.
Es cierto que dar la voz al trabajador requiere un esfuerzo en tiempo, compromiso y dinero por parte de lo que tienen el liderazgo, pero si la empresa ha emprendido el camino de promover los valores éticos es una inversión que merecerá la pena. En última instancia los valores y principios que una empresa dice defender solo se pueden sustentar a través de sus trabajadores. Creando un ambiente de confianza y proporcionando las habilidades necesarias, no cabe duda de que la compañía estará construyendo las bases para que Compliance y el buen gobierno corporativo en su conjunto, discurran por los caminos marcados en la cultura, políticas y objetivos fijados.
La AEPD presenta junto a ENAC su Esquema de certificación de Delegados de Protección de Datos 14-07-2017
El Reglamento General de Protección de Datos (RGPD) , que será aplicable el 25 de mayo de 2018, establece una serie de medidas de responsabilidad activa por parte de aquellos que tratan datos para salvaguardar el derecho fundamental de los ciudadanos. Entre estas medidas se incluye la designación obligatoria de un Delegado de Protección de Datos (DPD) en el caso de autoridades y organismos públicos, entidades que realicen una observación habitual y sistemática de las personas a gran escala, y entidades que tengan entre sus actividades principales el tratamiento, también a gran escala, de datos sensibles. El DPD constituye así uno de los elementos clave de la adaptación al RGPD y un garante del cumplimiento de la normativa de protección de datos en las organizaciones.
La circular 1/2016 sobre compliance en las empresas: la efectividad del soporte digital en la transparencia 14-07-2017
La Circular 1/2016 de la Fiscalía General del Estado sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del código penal efectuada por la ley orgánica 1/2015 establece instrucciones generales para valorar la eficacia de los planes de compliance en las empresas. La misma sienta las bases de lo que se entiende por una gestión transparente y establece los requisitos que deben cumplir los modelos de organización. También ofrece pistas claras sobre los soportes ideales para llevarlos a cabo.
La reforma de 2015 regula los programas de cumplimiento normativo o compliance guides de las empresas. Se recoge, entre otras medidas, que la persona jurídica quedará exenta de responsabilidad si el órgano de administración ha adoptado y ejecutado, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control para prevenir delitos o para reducir el riesgo. En el caso de personas individuales, el objetivo es determinar si se ha cometido el delito eludiendo los modelos de organización y de prevención. Por último, también se toma en cuenta si el órgano de control no ha producido una omisión o un ejercicio insuficiente de sus funciones de supervisión y vigilancia.
El legislador da algunas pistas sobre los modelos de organización y gestión que podrían asegurar la que dicha supervisión ha sido ejercida. La norma recoge que ?la persona jurídica quedará exenta de responsabilidad si, antes de la comisión del delito, ha adoptado y ejecutado un modelo de organización y gestión que resulte adecuado para prevenir delitos (?) o para reducir (?) el riesgo de su comisión?. En este sentido, el programa de compliance debe cumplir los siguientes requisitos:
La primera condición que el legislador impone al órgano de administración es que éste haya ?adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión? que contengan medidas de vigilancia y control. Los requisitos de tales modelos se recogen en el apartado 5 del art. 31 bis., que establece que los programas deben ser claros, precisos y eficaces, además de estar redactados por escrito. La Ley establece que no basta la existencia de un programa de compliance, sino que los modelos de organización y gestión deben estar adaptados a la empresa concreta y a sus riesgos.
Análisis del soporte del programa de compliance: la digitalización como clave del control
¿Cuál es el mejor soporte para diseñar el programa de compliance que responda a estos requisitos? El legislador también nos da una pista cuando dice que ?en las empresas de cierto tamaño, es importante la existencia de aplicaciones informáticas que controlen con la máxima exhaustividad los procesos internos de negocio de la empresa. En general, pues depende del tamaño de la empresa, ningún programa de compliance puede considerarse efectivo si la aplicación central de la compañía no es mínimamente robusta y ha sido debidamente auditada?.
Redactar y aplicar un programa de compliance a través de medios manuales, basados en documentación física, es posible. Sin embargo, su robustez, es decir, su efectividad como instrumento de transparencia y control documental, difícilmente podrá ser la misma que cuando el programa está soportado por una solución tecnológica que permite automatizar los procesos y conservar las pruebas documentales.
Las soluciones de software de cumplimiento normativo deben estar diseñadas de manera que faciliten el trabajo basado en la documentación compartida y la transparencia en la información en el Consejo de Administración. Deben comprender las herramientas necesarias para el cumplimiento de los criterios de buen gobierno, incluyendo el reporte y grabación del proceso de toma de decisiones.
En este sentido, detectamos hay cuatro pasos críticos:
Podemos concluir que la herramienta así concebida responde a los requisitos de la reforma del Código Penal, que introduce como causa de exención de la responsabilidad penal de la persona jurídica la existencia de un programa de cumplimiento normativo que conlleve una reducción del riesgo de comisión de delitos. No cabe olvidar que la información recogida por el software puede constituir un apoyo legal para demostrar el cumplimiento normativo de la legislación relacionada con la transparencia y buen gobierno empresarial.
COMPLIANCE PENAL EN LA EMPRESA: SENTENCIAS QUE CONFIRMAN SU VITAL IMPORTANCIA. 14-07-2017
La importancia de implantar un programa de compliance en la empresa a la luz de las ocho sentencias del Tribunal Supremo sobre responsabilidad penal de la persona jurídica.
Publicación del informe de la Oficina de Propiedad Intelectual de la Unión Europea (EUIPO), "La protección de la innovación a través de los secretos comerciales y las patentes" 13-07-2017
El uso de secretos comerciales es mayor que el uso de patentes en la mayoría de las empresas (aunque es particularmente frecuente entre las PYMEs), en la mayoría de los sectores económicos y en todos los Estados miembros de la UE.
Adoptar medidas correctivas evitará la multa de protección de datos 12-07-2017
La adopción de medidas correctivas permitirá a la empresa evitar la multa por parte de la Agencia Española de Protección de Datos (AEPD) en caso de incumplimiento de la nueva normativa de privacidad. Así, el notable incremento de las sanciones que incorpora el Reglamento General de Protección de Datos (RGPD) se ve compensado por la opción de alanzar una solución amistosa previa que evite el procedimiento sancionador.
El artículo 65.3 del anteproyecto de Ley Orgánica de Protección de Datos (LOPD) dispone que "no procederá la iniciación del procedimiento" cuando el encargado o el responsable del tratamiento, previa advertencia de la AEPD, "haya adoptado las medidas correctivas encaminadas a poner fin al posible incumplimiento de la legislación de protección de datos". Esta solución, no obstante, solo será admisible si no se ha causado un perjuicio al afectado -en caso de infracciones leves- y si el derecho del interesado queda plenamente garantizado con la aplicación de las medidas.
El texto plasma así uno de los criterios en los que viene insistiendo la AEPD: existe un mayor interés en que las organizaciones asuman e implementen la nueva cultura de privacidad, que en avanzar por la vía de la imposición de multas.
El anteproyecto de LOPD desarrolla el régimen sancionador contenido en el RGPD -que prevé multas de hasta 20 millones de euros o el 4 por ciento del volumen de negocio anual- a través de tres amplios catálogos de conductas que tendrán la consideración de infracciones muy graves, graves y leves, estableciendo, además, plazos de prescripción de tres, dos y un año, respectivamente.
Sin embargo, el texto no concreta criterios para la cuantificación de las sanciones, por lo que se mantiene el amplísimo margen que el Reglamento da a la autoridad de control para fijar la multa. Sí se dan elementos que deberán tenerse en cuenta para su fijación.
Esta circunstancia, según señalan los expertos en privacidad, si bien facilita la adaptación de la cuantía a todo tipo de organizaciones e infracciones, potencia, en cambio, cierta inseguridad jurídica y dificulta la capacidad impugnación y de control de la sanción.
Las multas superiores a un millón de euros impuestas a una persona jurídica serán publicadas en el Boletín Oficial del Estado (BOE), identificando al infractor, la infracción cometida y el importe de la sanción impuesta.
Los procedimientos sancionadores podrán iniciarse tanto por reclamación del interesado como por acuerdo de la propia Agencia.
La nueva norma no prevé la posibilidad de que las entidades del sector público puedan ser sancionados económicamente. En caso de que la infracción provenga de una de tales organizaciones, la Agencia de Protección de Datos dictará una resolución sancionando con apercibimiento y dictando las medidas que proceda para que cese la conducta infractora o se corrijan los efectos de la infracción. Asimismo, podrá proponer la iniciación de actuaciones disciplinarias.
La Administración afectada deberá comunicar a la AEPD las resoluciones que recaigan en relación con las medidas y actuaciones que deriven de dicho procedimiento.
Las resoluciones que recaigan sobre el sector público serán publicadas de forma separada.
Cómo evitar que tu pyme sea condenada por un delito 10-07-2017
Contar con un programa de cumplimiento normativo no sólo evita condenas, también facilita hacer negocios con grandes empresas o multinacionales.
El CGPJ y la AEPD colaborarán en las inspecciones de órganos judiciales en materia de protección de datos 07-07-2017
El convenio establece mecanismos de cooperación entre ambas instituciones para el desarrollo de investigaciones por posible infracción de la normativa de protección de datos.
¿Cómo elaborar una matriz de riesgos penales para la prevención de delitos? 06-07-2017
Cabe decir que tanto la práctica como la teoría del compliance han superado con creces las expectativas de los escuetos requisitos que plantea el Código Penal español en el artículo 31 bis y que, en las buenas prácticas de esta disciplina, los programas de cumplimiento deben ir más allá de la mera prevención penal en favor de políticas de cumplimiento mucho más amplias.
Esto no significa que deba obviarse la prevención penal conforme los parámetros de la norma española, todo lo contrario, deben integrarse en los modelos de compliance creando una estructura única capaz de crear a la vez, cultura de cumplimiento y prueba acreditable ante un tribunal.
Por ejemplo, en el caso de una filial de una empresa con matriz en el extranjero, aunque tenga un programa de compliance válido conforme a la matriz, si llega el caso de tener que rendir cuentas ante un Tribunal Penal, no podrá acreditar su exoneración si no cuenta con un documento de identificación de riesgos de delitos tal y como pide el artículo 31 bis del Código Penal.
Este requisito específico del modelo de prevención penal exige la identificación de las ?actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos?, de acuerdo con la pobre definición del Código Penal. Se trata de un documento, matriz, mapa de riesgos o risk assessment, cuya función es analizar y evaluar el riesgo de comisión de delitos en el seno de una determinada organización.
Cada organización debe elaborar su propia matriz de riesgos partiendo de sus propias circunstancias y estructura. La matriz de riesgos penales no puede ser nunca un documento estándar o preconcebido, ni siquiera para empresas de un mismo sector de actividad. Ni tampoco la metodología de elaboración puede ser la misma, por ejemplo, en una empresa con estructuras complejas que una pyme, o en una organización con un modelo de compliance ya implantado que en otra con un bajo nivel de cultura de cumplimiento.
No puede teorizarse sobre un modelo de elaboración del análisis de riesgos que sirva para todos, pero a través de los marcos de referencia de prevención de delitos internacionales (Sentencing Guidlines USA, Bribery Act Guidence UK, Recomendaciones OCDE) y de las estándares nacionales e internacionales (ISO 19600 , ISO 31000 o UNE 19601) y la experiencia del compliance en los últimos años se pueden obtener buenas referencias de trabajo.
La evaluación de riesgos es una tarea interna de la organización que se realiza a través de los órganos de control internos o de función de compliance. Se trata, sin embargo, de un trabajo con diversos vértices y disciplinas que exige entre otros, la intervención de expertos en derecho penal que aportarán el conocimiento de las dinámicas de comisión de delitos en el tráfico empresarial.
Por ejemplo, si se evalúa el riesgo de incurrir en un delito de blanqueo de capitales se puede caer en el error común de pensar que no es un riesgo para los sujetos no obligados por la Ley de Prevención de Blanqueo. Sin embargo, el experto conoce que el delito de blanqueo se puede cometer por imprudencia de cualquier persona física o jurídica, de modo que la organización podría incurrir en un delito de blanqueo imprudente, por ejemplo, en la captación de inversiones procedentes de fondos ilícitos.
El catálogo de delitos que deben ser analizados serán, en principio, aquellos que den lugar a la responsabilidad penal corporativa según el Código Penal que, como se sabe, no son todos. La inclusión de otros posibles delitos en el análisis es decisión de la organización, pero teniendo en cuenta que el objetivo del trabajo es minimizar el riesgo para la empresa es aconsejable ampliar el campo a otros delitos que, aunque no implican responsabilidad penal, pueden suponer responsabilidad civil o daños reputacionales a la empresa. O, incluir algunos delitos claramente empresariales, como los de seguridad laboral, que el legislador ha decidido dejar fuera de la responsabilidad penal empresarial.
Es aconsejable ampliar el campo a otros delitos que, aunque no implican responsabilidad penal, pueden suponer responsabilidad civil o daños reputacionales a la empresa.
También sería un error limitar el catálogo a la normativa local (Código Penal). En este sentido conviene recordar el fuerte carácter extraterritorial o de atracción de jurisdicción que tienen las leyes antisoborno anglosajonas. Tanto la Foreign Corrupt Practices Act USA como la Bribery Act UK, permiten el enjuiciamiento de empresas por actos de soborno cometidos fuera de sus territorios que constituyen un riesgo para empresas de cualquier lugar.
Con el catálogo de delitos en la mano, antes de iniciar el trabajo, la organización debe tener claro el objetivo. Saber por qué se hacen las cosas facilita mucho cómo hacerlas. Eso es lo importante. Si se realiza un análisis de riesgos solo porque lo exige el Código Penal el resultado final será un documento ineficaz. La razón por la que se deben identificar y evaluar los riesgos de comisión de delitos en el seno de una empresa es porque ésta es la manera de aplicar las medidas de prevención de una forma más eficiente, aplicando los recursos económicos y humanos en su justa medida a cada riesgo en función de su importancia y probabilidad de comisión. De esta forma se evita que se dediquen los mismos recursos a riesgos desiguales con la consiguiente pérdida de eficacia.
Por ejemplo, en materia anticorrupción, las políticas de prohibición de regalos y gastos de hospitalidad a terceros están muy bien, pero sería un error destinar el mismo tiempo y recursos a los pagos modestos en la actividad ordinaria que a transacciones decisivas para la empresa con administraciones públicas en el extranjero, que requerirá de controles específicos, autorizaciones de superiores para pagos, etc.
El objeto de análisis es la actividad o actividades de la organización lo que implica un trabajo desde lo genérico a lo específico, desde los riesgos propios del sector de actividad a los riesgos del concreto puesto de trabajo en el cual se pueden ejecutar las conductas constitutivas de delito.
Para la elaboración del mapa de riesgos se debe tener un buen entendimiento de la organización y su contexto, usando como guía la UNE 19601 de compliance penal. Esto implica analizar:
Dicho de otro modo y sin ser exhaustivos, el análisis genérico debe identificar los riesgos delictivos a través del conocimiento de:
Para analizar el riesgo, antes debe delimitarse el concepto mismo de riesgo. Si se establece como riesgo la comisión del hecho tipificado penalmente; por ejemplo, la acción de evadir el pago de impuestos por encima de 120.000 euros en el caso del delito fiscal, la eficacia del modelo de prevención será escasa ya que no podrá actuar ante la aparición de banderas rojas (señales de incumplimiento) previas a la comisión del delito.
En muchos casos, los delitos tienen homólogos más leves y amplios en el derecho administrativo, como es el caso del ejemplo, que permiten definir el riesgo fiscal de una forma más amplia y anticipada. En otros delitos, como la insolvencia punible, no existe referente administrativo, por lo que el riesgo debe identificarse con el valor o bien jurídico que la norma penal pretende cubrir. En el caso de la insolvencia punible se protege el derecho de los acreedores o inversores y terceros, por lo que el riesgo se situaría en las propias transmisiones de activos entre empresas vinculadas, por ejemplo.
En muchos casos, los delitos tienen homólogos más leves y amplios en el derecho administrativo, que permiten definir el riesgo fiscal de una forma más amplia y anticipada.
Del análisis genérico del riesgo se pasa al análisis concreto de actividades o, si se prefiere al análisis interno para lo cual, al menos, deberá tenerse en cuenta:
El análisis del riesgo se puede hacer por departamentos atendiendo en una primera aproximación a los riesgos que son propios de la actividad del departamento para alcanzar un nivel más profundo mediante la realización de entrevistas, test, o fórmulas similares de obtener información exhaustiva. En esta parte final es especialmente relevante la intervención del analista que es conveniente, como se ha dicho al principio, que conozca las dinámicas delictivas para incidir en aquellos aspectos de riesgo que la propia organización no es capaz de ver. La opinión de los responsables altos o medios, también aporta una valiosa información.
En el análisis del riesgo se establece la diferencia entre riesgo inherente y riesgo residual. El riesgo inherente es el que existiría si la empresa no aplica ninguna medida de prevención. El riesgo residual es el resultado de descontar el efecto de las medidas de prevención al riesgo inherente. En organizaciones de baja cultura de cumplimiento es preferible prescindir del riesgo inherente. En las empresas con modelos de compliance desarrollados es conveniente medir de alguna forma ambos parámetros con la finalidad de avanzar y mejorar en el modelo, siempre y cuando se acredite que los controles son eficaces.
Cómo se ha dicho al principio, el objetivo de elaborar un mapa de riesgos es tener un documento que permita guiar la eficacia de las medidas de prevención dedicando mayores esfuerzos a los riesgos más graves. Por ello, la elaboración del mapa exige que se determine la prioridad de actuación sobre los riesgos detectados. De nuevo, la metodología es variada y cada organización debe elegir la más apropiada. Se pueden tener en cuenta diversos factores (algunos de ellos ineludibles):
La realización de una tabla o gráfica combinando los factores más relevantes para la empresa, por ejemplo, probabilidad e importancia para la sociedad del valor protegido, dará un listado de prioridades que puede establecerse por numeración, valores de importancia siguiendo el criterio más razonable.
Este es un trabajo, dinámico no estático, por lo que se debe revisar regularmente ya que tanto la organización, como la normativa varían y porque conforme la organización madura en cumplimiento, la percepción del riesgo también madura.
La tecnología y el nuevo Reglamento General de Protección de Datos 05-07-2017
El 25 de mayo de 2018 entrará en vigor el nuevo Reglamento General de Protección de Datos y representará el mayor cambio de una ley de protección de datos en tres décadas.
Por un lado, actualiza la ley anterior, previa a la emergencia de Facebook, LinkedIn y la nube, y por otro unifica la legislación de protección de datos a través de los 28 estados miembros. Asimismo incrementa los requisitos de seguridad y de aquellas otras actividades ligadas al tratamiento de datos personales susceptibles de conllevar riesgo. Es importante destacar que el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) es un reglamento, no una directiva, lo que significa que aplica de igual manera a los 28 estados miembros sin necesidad de transformarse en una ley a nivel nacional.
La directiva de protección de datos existente se aprobó en 1995 y no es adecuada para la protección de los datos personales de los individuos en un mundo en que el almacenamiento e intercambio online de información de carácter personal es cosa habitual. El GDPR representa, por tanto, un gran paso adelante en la homogeneización y modernización de la ley de protección de datos en Europa.
La definición de datos de carácter personal es muy amplia: incluye toda aquella información que puede o podría permitir la identificación directa o indirecta de un individuo. Esto incluye los identificadores obvios como nombre o número de identificación, pero también los datos de ubicación o dirección IP, así como la información biométrica o genética. Es importante destacar que entre los datos de carácter personal figuran tanto los de los empleados de una empresa como los de sus clientes.
El GPDR otorga idénticos derechos a los datos de los empleados que a los de los clientes. Esto significa que se incrementan las obligaciones de la compañía con respecto a la protección de sus datos de RR.HH., que se refuerzan los derechos de acceso, rectificación y anulación de los datos por parte de los empleados, y que las consecuencias del no cumplimiento son graves. Sin embargo, los departamentos de RR.HH. no están solo limitados por el entorno relacionado con el GDPR y la privacidad de los datos. El número de reglamentos que han de cumplir, propios de cada país es un desafío en sí mismo.
Las organizaciones piden cada vez más a sus departamentos de RR.HH. que sean proactivos y se involucren en toda clase de "riesgos relacionados con las personas". Dichos riesgos son aún más complejos para las organizaciones que trabajan en diferentes jurisdicciones, con filiales o matrices en diferentes ubicaciones. Lo importante aquí es entender que el cumplimiento en el ámbito de RR.HH. se debe ver como una función general de gestión del riesgo que también potencia la agenda de recursos humanos.
Los servicios cloud constituyen en esencia una forma de externalización. Como para cualquier actividad de externalización, se debe proceder con la auditoría del proveedor. Los tratamientos de RR.HH. basados en la nube deben por tanto someterse al mismo nivel contractual de auditoría. Sin embargo, la nube es diferente en términos de la multiplicidad de factores involucrados. Las empresas han de abordar la auditoría de manera práctica mediante diversas preguntas sobre el nivel de seguridad y los procesos de protección de datos existentes, y mediante el análisis de informes de auditoría, incluyendo los informes independientes de terceros, posiblemente facilitados por el proveedor de servicios cloud.
Resulta crítico, por ejemplo, entender la seguridad física del centro de datos en que se alojan los datos de carácter personal. Las normas corporativas vinculantes están emergiendo como la forma más sólida de garantía jurídica para abordar las transferencias de datos. No existe por tanto ningún impedimento legal ni técnico para el almacenamiento de datos de recursos humanos en la nube. Algunas empresas pueden optar por una configuración con un centro de datos ubicado en la UE con certificaciones probadas de seguridad física y seguridad lógica. Además, el acceso a los datos de la UE se debe producir únicamente desde el interior de la UE: el acceso desde el exterior constituiría una transferencia de datos (efectuado por datos en tránsito) y disminuiría la eficacia de los centros de datos de la UE.
Se dice a menudo que las empresas pueden externalizar el tratamiento, pero jamás la responsabilidad. En lo que se refiere al GDPR esto sigue siendo válido pero la ampliación de la responsabilidad para incluir a los responsables del tratamiento implica que al menos parte de la responsabilidad del cumplimiento se pueda trasladar a un tercero, proveedor de tratamiento de datos. Pero el principal requisito para el responsable del tratamiento de los datos es que sea capaz de implementar las medidas, tanto a nivel técnico como a nivel organizativo, acordadas con un controlador. También se enfrenta a las mismas sanciones por incumplimiento. Esto plantea la siguiente pregunta: ¿cómo puede saber un controlador que el responsable del tratamiento es capaz de cumplir este requisito?
Los líderes de RR.HH. se enfrentan al desafío de los enfoques tradicionales relativos al tratamiento de los datos de los empleados. Este puede variar de manera significativa entre la central y las filiales, por una combinación de factores como el uso de diferentes aplicaciones de software, proveedores de servicios de externalización y centros de datos distribuidos. Asimismo, la adopción generalizada de la nube (cloud) supone una presión aún mayor desde el punto de vista de las normas de seguridad. Un factor determinante para obtener el retorno esperado de estas iniciativas es trabajar con un proveedor de tecnología de RR.HH. que pueda garantizar una integración consistente entre la política de protección de datos y el cumplimiento normativo dentro de sus servicios y ofertas de software.
Según una encuesta de Gestión de Capital Humano realizada por IDC en 2016, el 33 % de los responsables de RR. HH. se preocupa por la protección de datos y el GDPR. Las empresas no pueden acabar con los riesgos pero escoger un proveedor fiable es un buen paso para mitigarlos. Según IDC, pocos proveedores de externalización de RR. HH. consiguen ser eficientes en organizaciones con varios empleadores mediante las operaciones a escala a la vez que demuestran conocer las leyes y prácticas laborales locales. Así, muchas empresas usarán servicios en la nube o externalizarán el procesamiento de datos de RR. HH. y otras funciones para reducir los riesgos, garantizar una protección de datos coherente y cumplir con las obligaciones legales.
A la luz del GDPR, las empresas están encontrando dificultades para entender y dar respuesta a los cambios regulatorios a medida que se van produciendo. Los costes y los riesgos de no conformidad pueden ser significativos. La nube, siempre y cuando esté correctamente implementada, puede mitigar los riesgos de no conformidad con el GDPR y con las leyes laborales locales. Pero un proveedor de servicios de externalización de recursos humanos deberá tener un sólido plan de acción, mapas de flujo de datos, planes de conservación de datos, robustas plataformas de seguridad y programas de transferencia de datos, todo ello con el soporte de la Oficina de Protección de Datos (Data Protection Office, DPO).
Ahora que el reloj ya ha empezado la cuenta atrás hacia el 25 de mayo de 2018 es importante que las empresas no ignoren el GDPR ni los cambios sustanciales que conlleva. El ámbito técnico y jurídico del GDPR es amplio y la mayoría de las organizaciones tendrán dificultades para implementarlo en su totalidad para la fecha de su entrada en vigor. Si las organizaciones no han comenzado aún a analizar el impacto del GDPR, deberían empezar inmediatamente.
Para comentar o valorar, por favor inicie sesión
Empieza el artículo con un error grave. El Reglamento ya ha entrado en vigor a los 20 días de su publicación y lo que ocurre en mayo de 2018 es que finaliza el período de adaptación a esta norma de las empresas y entidades que siguieran utilizando la antigua norma. Las nuevas empresas deben cumplir el reglamento desde el primer momento.
Abierta la consulta pública de la nueva ley de protección de datos 04-07-2017
El Ministerio de Justicia ha abierto el trámite de consulta pública para adaptar la normativa española al Reglamento (UE) 2016/679 -conocido como el Reglamento General de Protección de Datos-. El texto, que entra en vigor el 25 de mayo de 2018, exige una reforma completa de la Ley Orgánica de Protección de Datos (LOPD) y, de forma transversal, la de otras normas que contienen cuestiones relativas al tratamiento de información personal.
El Reglamento europeo, que será de aplicación directa en todos los Estados una vez se encuentre vigente, eleva las exigencias a las empresas y organizaciones que traten datos -adaptándolas al nuevo entorno digital- y, a su vez, armoniza la protección de este derecho en todos los Estados.
El objetivo de la nueva regulación sobre privacidad es doble. Por un lado, pretende garantizar a los consumidores un tratamiento seguro uniforme en toda la UE y, por otro, persigue establecer un marco claro para la actividad empresarial y la circulación de trasnfronteriza de datos personales.
La consulta pública es una fase que se abre antes de comenzar la redacción del proyecto de Ley. Durante la misma, los ciudadanos, organizaciones y asociaciones potencialmente afectados pueden aportar tu visión sobre los problemas que pretende solucionar y las mejores soluciones para ello.
El plazo para realizar aportaciones está abierto hasta el próximo 28 de febrero a través del buzón sg_politica.legislativa@mjusticia.es.
Al tratarse de una Ley orgánica, la tramitación parlamentaria exige que el proyecto de la futura LOPD no se demore. De hecho, el objetivo de Justicia era tenerlo aprobado durante el primestre de este año.
Mar España, directora de la Agencia Española de Protección de Datos (AEPD), manifestó recientemente su satisfacción porque España sea uno de los países "más avanzados" en la adaptación de su legislación al Reglamento.
Junto con la adaptación legislativa, la AEPD está publicando guías y formularios para facilitar a las pymes cumplir con las nuevas obligaciones que les impone la norma europea.
Nuevo folleto divulgativo "CÓMO PROTEGER LA ARTESANIA. Patentes, Marcas y Patentes" 04-07-2017
Su finalidad es concienciar a artesanos y empresas del sector de la artesanía de la importancia de proteger sus creaciones y que cada vez sea mayor la utilización de la Propiedad Industrial como parte de su estrategia empresarial, lo que redundará en su mayor competitividad, importancia económica y prestigio.
La AEPD analizará el cumplimiento de la protección de datos en servicios financieros y en la contratación telefónica y por internet 03-07-2017
La finalidad de las inspecciones de oficio realizadas por la AEPD es elevar el nivel de protección de los ciudadanos analizando para ello cómo tratan sus datos las organizaciones.
La inserción indebida en ficheros de morosidad y la contratación irregular concentran más del 65% de las sanciones impuestas por la AEPD 03-07-2017
En lo relativo a transferencias internacionales de datos, en 2016 tuvo lugar la sentencia del Tribunal de Justicia de la Unión Europea que declaró inválida la Decisión de Puerto Seguro. Como consecuencia ello, se produjo un importante incremento de las solicitudes de autorización basadas en la aportación de garantías contractuales, recibiéndose 737 solicitudes durante 2016 frente a las 128 que se registraron en 2015, un incremento de un 475%.
El 'compliance', tema jurídico del año 03-07-2017
El diseño e implementación de sistemas de cumplimiento normativo en la estructura de la empresa figura, junto al Brexit, como los asuntos prioritarios en la agenda legal de las compañías españolas y, por tanto, también de sus abogados externos.
Conozca la opinión de los socios directores
Compliance es la palabra de moda entre los secretarios del consejo y los directores de las asesorías legales de las compañías y, por tanto, el tema jurídico del año. Aunque han pasado ya dos ejercicios completos desde la entrada en vigor de la última reforma del Código Penal y siete desde que se introdujo en el ordenamiento español la responsabilidad penal de las empresas, el cumplimiento normativo está de máxima actualidad.
Ésta es una de las principales conclusiones de una encuesta realizada entre los miembros del jurado que se reunieron el pasado 29 de mayo para elegir a los ganadores de la segunda edición de los Premios Expansión Jurídico a la Excelencia en la Práctica del Derecho de los Negocios, cuyo patrocinador principal es Banco Santander. También cuentan con el apoyo de Lefebvre-El Derecho y Signium (patrocinadores) e IE Law School (asesoría técnica).
Este nutrido grupo de expertos ha llegado a la conclusión de que el compliance y la conducta de las empresas y los directivos es el tema jurídico del año, con un 12% de los votos. Su importancia es aún mayor si se tiene en cuenta que el tercer, cuarto y sexto aspecto más valorados fueron las prácticas de buen gobierno, los deberes del consejo de administración y sus comisiones y la responsabilidad penal de las personas jurídicas, asuntos vinculados directamente con el cumplimiento normativo.
Aunque las compañías llevan años analizando cómo adaptarse a estos cambios, es ahora cuando los temas de cumplimiento normativo centran la atención de los responsables legales de las empresas y, por tanto, también de sus asesores externos.
Este protagonismo en la agenda de los abogados de negocios se debe no sólo al impacto que las reformas del Código Penal tienen en las compañías, sino a que en los últimos meses se han empezado a despejar las incertidumbres que sobrevolaban en torno a la aplicación de los sistemas de cumplimiento normativo para evitar la responsabilidad penal en caso de que un empleado cometa un delito. Aunque todavía son pocas, ya han llegado algunas sentencias al respecto. Además, se acaban de definir los primeros modelos de certificación e incluso la Fiscalía se ha pronunciado sobre el tema.
Las firmas del Ibex 35 son las más avanzadas en esta materia, pero los abogados reconocen que todavía queda mucho trabajo por hacer y centrará gran parte de la actividad jurídica de las compañías los próximo meses.
Sin embargo, éste no es el único frente legal en el mundo de los negocios y los abogados corporativos tienen que repartir su atención. El Brexit es, con un 11% de los votos, el segundo gran bloque temático del año. El reto que supone la salida de Reino Unido de la Unión Europea desde un punto de vista normativo es incuestionable y tendrá un impacto directo en la actividad y la cuenta de resultados de las compañías desde diferentes ángulos, desde el laboral hasta el fiscal, pasando por el mercantil o el cierre de transacciones corporativas.
Aun así, los socios directores de los grandes bufetes españoles consideran que, a corto plazo, el impacto en las empresas es limitado, sobre todo hasta que no queden claros los términos en que se produzca el Brexit (ver página siguiente).
En su opinión, los directivos se han acostumbrado a gestionar las empresas en un entorno de incertidumbre geopolítica. De hecho, la elección de Donald Trump como presidente de Estados Unidos y el giro regulatorio de este país es uno de los temas que menos preocupa a corto plazo a los abogados de las empresas, junto a otros de política nacional, como el desafío soberanista de Cataluña o la reforma de la Constitución.
¿Puede una empresa exigir a un empleado su huella dactilar? 03-07-2017
Con el objetivo de proteger el derecho a la intimidad de los trabajadores, las compañías sólo pueden recabar datos biométricos siempre que sea necesaria esta medida para el desarrollo de la actividad.
Entrar en un edificio de alta seguridad mientras que una cámara escanea el iris parece el argumento inicial de una película de ciencia ficción. Sin embargo, este tipo de sistemas que utilizan datos biométricos es ya una realidad en, por ejemplo, ciertos teléfonos móviles de alta gama que permiten su desbloqueo a través de este revolucionario método.
Aunque el análisis ocular parece, de momento, reservado para ciertos organismos como el FBI, hay otros sistemas un poco más sencillos, como el escaneo de las huellas dactilares o el reconocimiento de voz, que están empezando a implantarse en algunos centros de trabajo. "La evolución técnica actual es mucho más rápida que la normativa, por lo que se plantean muchos interrogantes en el seno de las empresas respecto a la idoneidad de estos sistemas", afirma Valentín García, socio del departamento de laboral de Cuatrecasas.
La Agencia Española de Protección de Datos (AEPD) considera que la información biométrica tiene la condición de carácter personal, por lo que su tratamiento debe ajustarse a la Ley Orgánica de Protección de Datos hasta que el 25 de mayo de 2018 entre en vigor el reglamento de la Unión Europea de protección de datos, que reforzará estas medidas, según explica Sergio Sanfulgencio, asociado principal del área de propiedad intelectual de Cuatrecasas. Y es que esta información está íntimamente ligada a cada persona, ya que no es posible alterarla y permite, en principio, una identificación sin errores, aunque ya hay hackers que están trabajando para falsificarla.
La AEPD y diferentes tribunales, entre ellos el Supremo, han confirmado la posibilidad del uso de datos biométricos por las empresas siempre y cuando cumplan ciertos requisitos. En este sentido, los abogados de Cuatrecasas recuerdan la regla del triple juicio: idoneidad, justificación y necesidad. "La medida que adopte una compañía que requiera el uso de cualquier dato biométrico tiene que ser necesaria para el buen funcionamiento de la firma y siempre al menos igual de eficaz que cualquier otra", comenta García, que recomienda a las empresas que elaboren un informe que justifique estos sistemas para protegerse ante posibles negativas y denuncias de los trabajadores o sus representantes legales.
Y es que los expertos tienen claro que, por ejemplo, solicitar la huella digital para entrar en un centro de trabajo cumple el requisito de proporcionalidad que exige el Tribunal Constitucional, una medida que no se entiende para acceder a otros lugares en los que sólo se presta un servicio comercial a los clientes, como puede ser un gimnasio. Tanto es así, que el grupo de autoridades europeas de protección de datos calificó de "desproporcionado" los controles de acceso mediante lectura por huella digital para cualquier comercio.
El artículo 4.1 de la Ley Orgánica de Protección de Datos lo explica claramente: "Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido".
Uno de los derechos básicos de los empleados es, según el artículo 4 del Estatuto de los Trabajadores, contar en sus centros de trabajo con una adecuada política de prevención de riesgos laborales. A pesar de ello, estas medidas pueden atentar contra el derecho a la intimidad, por lo que es clave valorar su uso y su impacto real en la salud de la plantilla. Uno de los gadgets que más interés están despertando también en el entorno laboral son los relojes inteligentes que miden ciertas constantes vitales. El uso en ciertas profesiones de riesgo podría alertar de un peligro y permitir, de esta manera, que un trabajador cese su actividad cuando supere estos límites. Sin embargo, obligar a su uso a los trabajadores es algo sobre lo que no se han pronunciado los tribunales. "Los wearables podrían ser una herramienta de prevención de riesgos laborales muy útil, pero es claramente intrusiva, por lo que hay que explicar a los trabajadores sus beneficios y recabar su consentimiento", explica Valentín García, socio del departamento de laboral de Cuatrecasas.
Publicado el Anteproyecto de la nueva Ley Orgánica de Protección de Datos de Carácter Personal 03-07-2017
El 25 de mayo de 2018 entrará en vigor el Reglamento europeo de protección de datos, Reglamento UE 2016/679, por lo que, antes de esta fecha, nuestra legislación debe adaptarse a la nueva regulación comunitaria. Por ello el Gobierno ha impulsado este Anteproyecto de Ley Orgánica, que sustituirá a la actual LOPD y adaptará nuestro sistema al de los países del entorno.
Precisamente la nueva normativa marco de la Unión Europea busca un equilibrio entre los derechos de los ciudadanos a la protección de sus datos personales y la libre circulación de los mismos, e intenta lograr una regulación más uniforme del derecho fundamental a la protección de datos en el marco de una sociedad cada vez más globalizada y tecnológica en el que no existen límites al intercambio transfronterizo de información.
Esta ley orgánica, cuyo anteproyecto ya se ha publicado, consta de setenta y ocho artículos estructurados en ocho títulos, trece disposiciones adicionales, cinco disposiciones transitorias, una disposición derogatoria única y cuatro disposiciones finales.
La nueva ley orgánica parte del régimen uniforme establecido en el Reglamento General de Protección de Datos, pero teniendo en cuenta la propia tradición jurídica derivada de una regulación de más de veinticinco años de vigencia y de una abundante doctrina judicial generada a lo largo de ese período, tanto en el ámbito interno como en el de la Unión Europea
En consonancia con la norma europea de referencia regula una serie de derechos de protección de los ciudadanos en relación con el tratamiento de datos personales y a la libre circulación de estos datos.
Puedes consultar el texto completo del Anteproyecto de LOPD publicado por el Ministerio en este ENLACE.
El nuevo reglamento configura el derecho a la protección de datos como un compendio de facultades, regulándose detalladamente los derechos de Transparencia (art. 12), Información (arts. 13 a 14), Acceso (art. 15), Rectificación (Art. 16), Supresión o derecho al olvido (art. 17), Limitación del tratamiento (art. 18), Portabilidad de datos (art. 20) y Oposición (art. 21).
Puesta en producción de PROTEGEO, nueva plataforma de Solicitudes Web 22-06-2017
Se ha puesto en producción PROTEGEO, la nueva plataforma de Solicitudes Web. Esta primera versión incluye el trámite de solicitud de marcas. La siguiente versión, prevista para finales de junio, contará con otros trámites adicionales, tales como la solicitud de renovación, contestación de suspenso de forma y fondo, y presentación de oposiciones.
Nueva versión de la Base de Datos de Consulta de Expedientes CEO 22-06-2017
Desde el jueves 22 de junio estará disponible una nueva versión de la Base de Datos de Consulta de Expedientes CEO que lleva consigo una serie de mejoras. Entre otras destacan: la información más detallada de los actos de tramitación de los expedientes; las mejoras en la visualización de las imágenes de los expedientes signos distintivos y diseños y las mejoras en los mensajes de ayuda de la aplicación.
