¿Necesito antivirus en Mac? 28-08-2017
La cifra de archivos maliciosos para ordenadores Mac se ha multiplicado en los últimos años, como va constatando la plataforma de seguridad Carbon Black. Esto se explica por el aumento d...
La cifra de archivos maliciosos para ordenadores Mac se ha multiplicado en los últimos años, como va constatando la plataforma de seguridad Carbon Black. Esto se explica por el aumento de la popularidad de las máquinas de Apple entre los usuarios. "Cuando un ciberdelincuente diseña un programa malicioso, un virus o un troyano, busca normalmente llegar al máximo número de ordenadores", razona Jordi Serra, experto en ciberseguridad y profesor de la Universitat Oberta de Catalunya.
"Antes la cuota de ordenadores Apple era más reducida y por tanto interesaba menos a los ciberdelicuentes", añade Raúl Núñez, miembro del equipo de ciberseguridad de la empresa especializada Trend Micro. Ahora, al haber más usuarios de la marca que hace una década -aunque Windows sigue acaparando algo más del 90% del mercado según datos de NetMarketShare-, se habrían convertido en un objetivo más apetecible, más allá de que el sistema operativo de Apple (OS X) ha sido considerado tradicionalmente entre los usuarios un sistema a salvo de virus. Con todo, los expertos señalan que OS X (basado en Unix, al igual que Linux) es un sistema considerado seguro y poco vulnerable. "Estamos ante un sistema más cerrado y que se presta menos al malware", argumenta Serra.
En todo caso, de forma paralela a los avances en seguridad del software ha aumentado también la sofisticación de los virus y los archivos maliciosos. Por ello, la recomendación es disponer de un antivirus o un antimalware de confianza (los hay gratuitos), pues "siempre supondrá una protección adicional a la que ofrezca el sistema". Pero por encima de ese consejo, los especialistas priorizan el de navegar por internet de forma prudente: no conectarse a redes wifi no seguras, evitar webs que no parezcan fiables, no hacer clic en elementos de sospecha y descargar aplicaciones solamente desde la plataforma oficial.
Aquí va una muestra de algunos de los ataques, que con el tiempo se van multiplicando en número.
2004. RENEPO. El primer malware específicamente escrito para Mac. También conocido como Opener, era un gusano que entre otras cosas desactivaba el cortafuegos del ordenador y descifraba contraseñas.
2006. LEAP-A. Uno de los primeros virus detectados que atacaban a un Mac, un gusano que se expandía a través de mensajería iChat camuflado como un archivo gráfico.
2007. JAHLAV. También conocido como RSPlug, había varias versiones de este malware. Una de la más habitual se camuflaba como un código falso para ver vídeos pornográficos.
2010. BOONANA. Un troyano multiplataforma que atacaba tanto sistemas Mac, Linux como Windows. La amenaza se propagó a través de mensajes en sitios de redes sociales en el que se preguntaba: "¿Es tuyo este vídeo?", un anzuelo para clicar.
2011-12. FLASHBACK. Uno de los ataques que más ordenadores han infectado en la historia de Mac. Se coló como instalador falso para Adobe Flash. Fue diseñado para robar contraseñas y datos bancarios.
2016. BACKDOOR.MAC.ELEANOR. Malware oculto. Se infiltra como un conversor de archivos falsos que es accesible on line en sitios web de confianza, ofreciendo aplicaciones para Mac y software de terceros. Proporciona al atacante un control total del equipo infectado.
Leer Noticia original en su web
Leer más...
El valor de la protección de datos para las empresas 28-08-2017
Los datos personales son un recurso esencial para el avance de la sociedad digital. Por ello, el marco jurídico introducido por el Reglamento General de Protección de Datos, que será de plena aplicaci...
Los datos personales son un recurso esencial para el avance de la sociedad digital. Por ello, el marco jurídico introducido por el Reglamento General de Protección de Datos, que será de plena aplicación a partir de mayo de 2018, persigue introducir la necesaria seguridad jurídica que permita el pleno desarrollo de la economía de datos.
Leer Noticia original en su web
Leer más...
El CGPJ critica la falta de coherencia de algunos aspectos del anteproyecto de LOPD 25-08-2017
El pasado 26 de julio, el Pleno del Consejo General del Poder Judicial emitió el informe solicitado ("con carácter urgente e improrrogable"), por la Secretaría de Estado...
El pasado 26 de julio, el Pleno del Consejo General del Poder Judicial emitió el informe solicitado ("con carácter urgente e improrrogable"), por la Secretaría de Estado de Justicia, sobre el anteproyecto de Ley Orgánica de protección de datos de carácter personal (ALOPD).
En dicho informe el órgano de gobierno de los jueces realiza lo que cabe considerar una severa crítica del proyecto remitido, en el que advierte "una cierta falta de coherencia con la función y finalidad propia de una norma, como la proyectada, que ha delimitarse a adecuar y, en su caso complementar el Reglamento europeo". Además, considera que "en ocasiones, el articulado propuesto traspasa los límites de aquellas funciones para establecer disposiciones más allá de lo que habilital a norma europea", en otros casos, que es "innecesaria y vacía de contenido, habida cuenta del efecto directo del Reglamento, que impide la traslación, sin más, y sin función de adecuación y de complemento del ordenamiento interno, de sus preceptos", en otros supuestos, que es "reiterativa" y, finalmente, que en otras ocasiones "no respeta debidamente la prelación normativa, derivada de la primacía de la norma del Derecho de la Unión y de la eficacia y aplicabilidad directa de los Reglamentos".
La solicitud de informe se refería a los artículos 2.3, 29.2, 43. 45.3, 50, 54, 77.1, la disposición adicional quinta y la disposición final tercera del citado anteproyecto, que son los preceptos del anteproyecto que contienen normas procesales, o que afectan al Consejo General del Poder Judicial. Sin embargo, el informe del CGPJ, del que han sido ponentes los vocales Enrique Lucas Murillo de la Cueva y Álvaro Cuesta Martínez, comienza señalando su discrepancia con esta acotación sobre los artículos que debe informar.
Por un lado, porque entiende que "la regulación proyectada concierne al derecho fundamental a la protección de los datos personales que consagra el artículo 18.4 CE y, por tanto, incide en aspectos jurídico-constitucionales de la tutela de tal derecho". En consecuencia el Consejo considera que el informe "no ha de limitarse a los preceptos señalados sino que debe incluir en su examen a otras disposiciones, además de las indicadas, situadas dentro del marco de su competencia consultiva a la que afecta la preceptividad del dictamen que ha de librar."
Por otra parte, el Consejo considera que "de lo que se trata aquí es de ejercer la competencia de información de los anteproyectos de ley que versen sobre normas procesales o que afecten a aspectos jurídico-constitucionales de la tutela ante los tribunales ordinarios del ejercicio de Derechos Fundamentales. (561.1-6º LOPJ )."
Por ello, el Consejo se reserva la emisión de "un informe posterior sobre otras cuestiones competencia de este órgano de gobierno del Poder Judicial referidas a las autoridades de control autonómicas, al Consejo General del Poder Judicial, a la Disposición adicional quinta y al planteamiento de la cuestión prejudicial de validez ante el Tribunal de Justicia, así como a otros aspectos que afecten a derechos y libertades fundamentales".
Pese a esa limitación del objeto del informe, este se inicia con una referencia crítica a un artículo del anteproyecto que no está incluido en el mismo. Se trata del artículo 1.2 del texto, según el cual «El derecho fundamental de las personas físicas a la protección de datos de carácter personal, amparado por el artículo 18.4 de la Constitución , se ejercerá con arreglo a lo establecido en el Reglamento (UE) 2016/679 y en esta ley orgánica».
Según el CGPJ, este precepto "introduce cierta confusión sobre la naturaleza del RGPD" (apartado 24 del informe, incluido en su capítulo II - Consideraciones generales al anteproyecto).
Parece claro, destaca, "que el RGPD ni es norma de desarrollo del derecho a la protección de datos reconocido en el artículo 18.4 CE , a los efectos del artículo 81.1 CE , ni es ley de regulación de su ejercicio, en el sentido del artículo 53.1 CE".
Por ello, declara, "el artículo 1.2 ALOPD al expresar que el RGPD regula el ejercicio del derecho fundamental reconocido en el artículo 18.4 CE enturbia la clara percepción por los destinatarios del RGPD de su naturaleza de norma de Derecho de la Unión".
Y lo hace, añade "porque la primacía de la Carta y del RGPD sobre el Derecho interno, incluso de rango constitucional, obliga a replantearse en gran medida la articulación entre la ley orgánica y ley ordinaria que resulta de los artículos 81.1. y 53.1 CE para el desarrollo de los preceptos que contienen normas sobre derechos fundamentales (en este caso el artículo 18.4 CE ) y la regulación de su ejercicio, respectivamente y la jurisprudencia constitucional sobre la colaboración entre ambos tipos de leyes".
En definitiva, "la formulación del artículo 1.2 ALOPD es, por tanto, incorrecta y de alguna manera innecesaria. Por ello, se señala la conveniencia de eliminarla".
Por ello, concluye, "de decir algo, sería más correcto aludir a que el ALOPD establece las previsiones legales pertinentes para dar cumplimiento a los mandatos que, de acuerdo con el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea , contiene el RGPD para la protección del derecho fundamental a la protección de datos personales".
En el mismo capítulo de consideraciones generales, el informe critica varias deficiencias de técnica normativa que atribuye al anteproyecto:
- En primer lugar en su apartado 44 indica que "se advierte en el ALOPD una cierta falta de coherencia con la función y finalidad propia de una norma, como la proyectada, que ha de limitarse a adecuar y, en su caso complementar el Reglamento europeo".
- También que "en ocasiones, el articulado propuesto traspasa los límites de aquellas funciones para establecer disposiciones más allá de lo que habilita la norma europea". Así sucede, por ejemplo, indica, "al regular, dentro de los principios generales de protección de datos –y de un modo asistemático-, los datos relativos a infracciones y sanciones administrativas (artículo 4 ALOPD), o con el apartado cuarto del artículo 23, relativo al derecho de acceso, que establece las condiciones en las que se podrá considerar repetitivo el ejercicio del derecho de acceso, a los efectos de lo dispuesto en el artículo 12.5 RGPD".
- En otros casos, indica el informe en su apartado 45 "la norma es innecesaria y vacía de contenido, habida cuenta del efecto directo del Reglamento, que impide la traslación, sin más, y sin función de adecuación y de complemento del ordenamiento interno, de sus preceptos". Tal cosa sucede, por ejemplo, "en el artículo 28, que se refiere al derecho de oposición".
- El informe considera también que en otros supuestos, la norma es "reiterativa", como ocurre "con el artículo 43.1, al aludir a las trasferencias internacionales de datos a países u organizaciones que no cuenten con decisión de adecuación de la Comisión Europea o que '[n]o se amparen en alguna de las garantías previstas en el artículo anterior y en el artículo 46.2 del Reglamento (…)', cuando este ya contempla las previstas en el artículo 42 del ALOPJ. 47".
- Finalmente, en otras ocasiones el ALOPD no respeta debidamente la prelación normativa, derivada de la primacía de la norma del Derecho de la Unión y de la eficacia y aplicabilidad directa de los Reglamentos, "como sucede en el artículo 9, referido al tratamiento de datos amparado por la ley, en donde soslaya o desplaza el Derecho de la Unión Europea frente a la norma de producción interna, y en el apartado sexto del artículo 22, relativo al ejercicio de los derechos sujetos a un régimen especial, donde hace lo propio".
El informe considera que la redacción actual de este precepto es confusa, por lo que resulta necesario que el segundo párrafo del artículo 2.3 ALOPD se numere separadamente como apartado 4.
En concreto se indica que el conector "en particular", que relaciona el segundo párrafo de este precepto con el primero da la idea de aquel es una concreción de la regla establecida en éste, lo cual no es cierto, pues un párrafo y otro tienen objetos y disponen reglas distintas (el primero se refiere a los tratamientos no previstos en el RGPD pero incluidos en el ámbito del ALOPD, mientras que el segundo tiene por objeto un tratamiento de datos, el efectuado por los tribunales, que entran dentro del ámbito de aplicación del RGPD y el ALOPD pero respecto del cual es de aplicación preferente la normativa específica contenida en la LOPJ ).
El informe considera que esta previsión se adecúa al RGPD en tanto que medida adecuada y proporcionada, al amparo del artículo 23 RGPD.
Según el CGPJ este precepto se ajusta al contenido de los parámetros establecidos en el RGPD, si bien, añade "convendría manifestar, por una parte, que la claridad del artículo podría resultar incrementada y, por ende, descartar cualquier incertidumbre en su exégesis, si se modificase su redacción en el sentido de reemplazar la expresión 'siempre que los mismos incluyan derechos efectivos y exigibles para los afectados' por 'que incluyan derechos efectivos y exigibles para los interesados' ".
Además, el informe considera que "se observa una discordancia entre el contenido del artículo 43 del ALOPD, que incluye como sujetos que llevarán a cabo la autorización previa a la AEPD o, en su caso, a las autoridades autonómicas de control de datos, y el encabezamiento, en el que únicamente se hace mención a la AEPD".
El informe considera que este mandato de colaboración entre la AEPD y el CGPJ en el ejercicio de sus respectivas competencias "se corresponde con lo previsto en los artículos 236 nonies.2 y 560.1.19 LOPJ".
El informe considera, por una parte, que este principio "es coherente" con la función que le corresponde al CGPJ en materia de protección de datos. Sin embargo añade también que la regulación proyectada "es incorrecta", en la medida en que pretende atribuir un efecto "demasiado expansivo" a la AEPD, al contemplar a ese Consejo Consultivo como un órgano asesor al servicio del Director de la Agencia, "relegando al Consejo General del Poder Judicial o al representante del mismo a un papel subordinado, y convirtiendo a un órgano que debería ser de cooperación interinstitucional en un órgano subordinado a un Director".
Por ello considera que "sería conveniente" que el Consejo Consultivo apareciera en la Ley Orgánica proyectada no como un órgano de asesoramiento del Presidente de la autoridad de control sino como un órgano asesor en el marco de la cooperación y colaboración institucional".
El informe considera que la previsión del artículo 54 ALOPD sobre el alcance de la actividad de investigación de la AEPD cuando se trate de órganos judiciales u Oficinas Judiciales es conforme a la atribución constitucional al CGPJ de la inspección de los tribunales y a la configuración del alcance de la competencia de la AEPD sobre los ficheros no jurisdiccionales derivada del artículo 236 nonies.2 LOPJ .
El GGPJ considera que la medida de apercibimiento prevista en el artículo 77 ALOPD "es compatible con el estatus de independencia propio de los órganos constitucionales dado que su configuración, a pesar de la denominación como sanción, derivada del artículo 58.2.b RGPD, no responde al concepto material de sanción al carecer del carácter punitivo o aflictivo y, en todo caso, de los efectos desfavorables propios del instituto sancionatorio".
Este precepto regula un novedoso mecanismo procedimental a través del cual la AEPD puede solicitar de la Sala de lo contencioso-administrativo de la Audiencia Nacional que declare contraria a Derecho una transferencia internacional de datos que se funde en una decisión de adecuación de la Comisión Europa.
Según el CGPJ resultaría más adecuado que esta disposición contemplara, "en el correcto desarrollo y adaptación del RGPD y en cumplimiento de las exigencias impuestas desde la jurisprudencia europea, y más en particular por la Sentencia Schrems, la completa configuración de un procedimiento judicial [cuyo contenido presenta a continuación] desde el cual se va a entablar el diálogo prejudicial, a raíz de la solicitud de la decisión judicial formulada por la autoridad de control que conoce de la reclamación, y cuya resolución depende de la validez de la decisión de la Comisión".
El CGPJ recomienda también que las previsiones contenidas en esta disposición adicional "tuviesen su reflejo en la LOPJ", y que venieran "acompañadas de la oportuna previsión en ella de la atribución a la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de esta específica competencia". Además, este mecanismo debería proyectarse a los casos "en los que son competentes las autoridades de control autonómicas, y también a los supuestos de competencia de este Consejo General del Poder Judicial, en su función de autoridad de control".
Esta previsión introduce una modificación del artículo 15 bis de la LEC de acuerdo con la cual se adiciona un apartado 3 al precepto en el que se prevé la intervención procesal de la Comisión Europea, la AEPD y las autoridades autonómicas de protección datos cuando el proceso afecte a cuestiones relativas a la aplicación del RGPD.
Según el CGPJ esta extensión de la figura del amicus curiae a los procedimientos civiles en los que se ventilen cuestiones relativas al RGPD, permitiendo la intervención en ellos de la Comisión Europea y las autoridades nacionales de control, merece una favorable acogida, pero, además de efectuar determinadas observaciones adicionales, indica también que deberían modificarse, al menos, los artículos 212 , 404 , 434 , 461 y 465 de la LEC , "para dar cabida en ellos a la intervención en los procesos que afecten a cuestiones relativas a la aplicación del RGPD, junto con todos aquellos preceptos cuya modificación fuere igualmente precisa a tales efectos".
Leer Noticia original en su web
Leer más...
Las empresas españolas, poco preparadas ante la nueva legislación de protección de datos 25-08-2017
Si hay un aspecto que sufra un cambio sustancial respecto a la anterior legislación, ese es el de las sanciones por las infracciones. Si con la anterior normativa, las infracciones muy graves ascendía...
Si hay un aspecto que sufra un cambio sustancial respecto a la anterior legislación, ese es el de las sanciones por las infracciones. Si con la anterior normativa, las infracciones muy graves ascendían a multas de entre 300.001 y 600.000, ahora estas aumentan hasta los 20.000.000 o el 4% del volumen de negocios anual a nivel mundial la empresa.
Leer Noticia original en su web
Leer más...
A vueltas con la responsabilidad penal del chief Compliance Officer 25-08-2017
Como es sabido, con la reforma del Código Penal 2010 (LO 5/2010, de 22 de junio) se erradicó el societas delinquere non potest, tendencia que se amplió en 2015 (LO 1/2015, de 30 de marzo) con la intro...
Como es sabido, con la reforma del Código Penal 2010 (LO 5/2010, de 22 de junio) se erradicó el societas delinquere non potest, tendencia que se amplió en 2015 (LO 1/2015, de 30 de marzo) con la introducción de los Compliance Programs (ex art. 31 bis CP), que han de ser implementados y supervisados por el denominado Chief Compliance Officer (CCO u Oficial de Cumplimiento).
Ubicación del Compliance Officer en nuestro sistema legal
Esta nueva figura, procedente del mundo anglosajón, está suscitando un amplio debate doctrinal, por lo que la Sala Segunda del TS deberá ahondar y perfilar (ante la parquedad regulatoria vigente en nuestra legislación en lo referente a esta materia) sobre las funciones, facultades y responsabilidades inherentes a aquéllos.
Lo que sí parece claro, al menos eso se desprende de la Circular 1/2016 de la Fiscalía General del Estado sobre la responsabilidad penal de las personas jurídicas, es que ?la vigente redacción del CP permite incluir también (?) en la letra a) del art. 31 bis.1 al propio oficial de cumplimiento . Es decir, se equipara al CCO (a los efectos de responsabilidad penal al menos) con los representantes legales de la compañía y con aquéllos autorizados para tomar decisiones en nombre de la misma u ostenten facultades de organización y control en ella.
Posición de garante del CCO
Otra cuestión que no genera poca controversia consiste en la posición de garantía del Compliance Officer en la compañía (igualmente, no regulada en nuestro Ordenamiento Jurídico) y, concretamente, en su posición de garante en la evitación del incumplimiento normativo. En estos casos, se antoja necesario analizar la delegación de funciones expresamente reflejada en el contrato del CCO[1], contrato en el que se habrán de detallar esos deberes y facultades del mismo en relación con las actividades que se tiene en la empresa, y ello para desligar al Oficial de Cumplimiento de cualquier tipo de responsabilidad penal como consecuencia de su actuación u omisión en la compañía.
A tal efecto, el Tribunal Supremo, en su sentencia nº 185/2005 , de 21 de febrero , afirma que ?el mero conocimiento de la comisión del delito y la pasividad ante ello no alcanza a constituir una forma de participación típica en esa comisión, excepto en los concretos supuestos de responsabilidad derivada de la ocupación de una específica posición de garante , legalmente prevista ?.
Un ejemplo de lo anterior se puede asociar a la asignación al CCO de la persona jurídica de un control específico de un área concreta en la compañía (ej., responsable en materia de blanqueo de capitales, competencia o medio ambiente...). Este es el denominado compliance específico o afecto a un sector determinado (abuso de mercado, etc.) en contrapartida al compliance genérico (Compliance Management Systems, regulado en la norma ISO 19600).
En estos casos, al haber una posición de garantía específica expresamente descrita en el contrato de trabajo , sí podría existir responsabilidad penal por dejación de las funciones expresamente acordadas entre la empresa y el CCO.
Esta cuestión no es baladí. Sin ir más lejos, el Juzgado Central de Instrucción número 5 de Madrid está actualmente investigando a diez Compliance Officers de dos de las entidades financieras más relevantes a nivel mundial, y ello como consecuencia de la supuesta comisión de delitos continuados de blanqueo de capitales cometidos en el seno de las aludidas entidades.
En estos casos, según parece, los departamentos de cumplimiento de las referidas entidades financieras tenían encomendadas, entre otras, la gestión de riesgos de cumplimiento en relación con la prevención de blanqueo de capitales (esto es, compliance específico ), con el correspondiente deber de garantía de aquéllos sobre prevención de blanqueo de capitales descrito expresamente en sus contratos de trabajo.
Complicidad omisiva como forma de responsabilidad penal del CCO
De esta forma, en estos casos de posición de garantía concretamente asignada al CCO, sí podrían plantearse casos de complicidad omisiva por parte de éste . A este respecto, el Tribunal Supremo ha indicado (MARCHENA GÓMEZ, Presidente de la Sala Segunda del Alto Tribunal, sentencia nº 797/2010 , de 10 de septiembre ), en lo que se refiere a la realización omisiva de un ilícito penal en los delitos de resultado, que:
?La jurisprudencia de esta Sala, si bien ha reconocido expresamente que la admisibilidad de una participación omisiva es de difícil declaración , ha aceptado ésta , asociando su concurrencia a la de los elementos propios del art. 11 del CP , entre ellos, que el omitente ocupe una posición de garante (STS 1273/2004, 2 de noviembre )?.
?De ahí que sea posible incluso en los delitos de acción, cuando la omisión del deber de actuar del garante haya contribuido, en una causalidad hipotética, a facilitar o favorecer la causación de un resultado propio de un delito de acción o comisión y que podría haberse evitado o dificultado si hubiera actuado como le exigía su posición de garante (cfr. SSTS 19/1998, 12 de enero, 67/1998, 19 de enero, 221/2003, 14 de febrero)?.
A este respecto, el Alto Tribunal expone que se hace necesario , de cara a transferir una posible responsabilidad penal al CCO , ver de qué manera la actuación o dejación en sus funciones facilitó la perpetración del ilícito penal y , además de lo anterior , que esa omisión haya afectado directamente al resultado realizado por el autor .
Además, en nuestra opinión es relevante a estos efectos tener en cuenta que el CCO omita dolosamente la existencia de un delito que se podría impedir, apoyándolo y respaldándolo (omisión dolosa) salvo para los contados casos en que aplique la responsabilidad penal de la persona jurídica en su modalidad imprudente.
En definitiva, el CCO podrá responder penalmente solo cuando:
[1] Esta figura, empero, no ha de confundirse con la del encargado de prevención de riesgos laborales, ya que éste último sí que tiene una posición de garante sobre un bien jurídico concreto (la seguridad de los empleados), facultad de dirección que carece el CCO, quién no puede impedir a un directivo, por ejemplo, que deje de realizar una concreta actividad.
Leer Noticia original en su web
Leer más...
El 50% de pequeñas empresas no cumple la Ley de Cookies, la LSSICE o la LOPD 24-08-2017
Están obligadas al cumplimiento de la normativa vigente en materia de protección de datos todas las personas físicas o jurídicas que, fruto de su actividad profesional, gestionen y/o almacenen datos d...
Están obligadas al cumplimiento de la normativa vigente en materia de protección de datos todas las personas físicas o jurídicas que, fruto de su actividad profesional, gestionen y/o almacenen datos de carácter personal. Se consideran datos personales el nombre, dirección, documento de identidad, teléfono de contacto, correo electrónico, datos de salud, de solvencia patrimonial, ideología, orientación sexual,etc.
Leer Noticia original en su web
Leer más...
Reglamento Europeo de Protección de Datos. Licitud de tratamiento sin consentimiento explícito 24-08-2017
A unos meses de la aplicación efectiva del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 (en adelante Reglamento Europeo), no queda otra opción que adaptarse a t...
A unos meses de la aplicación efectiva del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 (en adelante Reglamento Europeo), no queda otra opción que adaptarse a todos y cada uno de los requisitos legales que impone esta nueva regulación y que suponen un giro de tuerca a la privacidad.
Una de las principales novedades que representa el Reglamento Europeo es la nueva acepción de consentimiento que establece la norma en su artículo 4.11, en el que se indica, que este debe consistir en una manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
La clave se encuentra en la ?clara acción afirmativa?, es decir, exigiendo expresamente una acción positiva y sin dejar lugar a la posibilidad de estatismo. Este precepto es replicado y ampliado en el considerando 32 de la referida norma, concluyendo además con dos afirmaciones recalcables: ?Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento.? Y ?Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos?.
El consentimiento explícito implica novedad en tanto en cuanto el mismo no se exigía en la regulación existente hasta el momento. Recordemos que el artículo 14.2 del Real Decreto 1720/2007 de 21 de diciembre (en adelante RLOPD) recoge la posibilidad de utilizar la vía del consentimiento tácito para el tratamiento de los datos de carácter personal que no tengan la consideración de especialmente protegidos. Este hecho, por otra parte, ya se encontraba consagrado en la jurisprudencia del Tribunal Supremo, y tal es así que en la sentencia del Tribunal Supremo de 26 de mayo de 1986, se entiende que "el consentimiento puede ser tácito cuando del comportamiento de las partes resulta implícita su aquiescencia" a una determinada situación ??.
Con esta nueva regulación, esa línea jurisprudencial desaparece, restando como única posibilidad de aquiescencia el consentimiento explícito del interesado, el cual se encuentra regulado en el artículo 6 del texto, que establece que, para que el tratamiento de datos sea lícito, es necesario que se cumpla cualquiera de los siguientes requisitos:
De la información anterior se desprende que, al contrario de lo estipulado en la Ley Orgánica 15/1999 de 13 de diciembre (en adelante LOPD), en la que algunos de los requisitos establecidos anteriormente se consideraban excepciones al consentimiento (Art. 6.2 LOPD), en el Reglamento Europeo no son ya una excepción al consentimiento, sino que tanto el consentimiento como las restantes bases jurídicas son requisitos equivalentes e independientes para que el tratamiento no resulte ilícito, es decir, ya no existen excepciones, sino únicamente requisitos, siendo el consentimiento un requisito más.
La problemática principal que plantea esta novedad jurídica es precisamente que aquellos consentimientos obtenidos de forma irregular deberán recabarse nuevamente, esto es, en palabras del Reglamento Europeo: ?el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento?.
Un caso típico que se debe incluir en la referida problemática es la famosa excepción establecida en el artículo 2.2 RLOPD; que permitía no aplicar el reglamento de protección de datos a los tratamientos de datos referidos a personas jurídicas, o a personas físicas cuando los datos fuesen únicamente su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.
Es común que dicha excepción se utilice en algunos contratos con prestadores de servicios externos, como por ejemplo en aquellos casos en los que se ha querido evitar volver a pedir un consentimiento adicional a los empleados de la propia compañía cuando se contrate un proveedor que vaya a realizar un mantenimiento de los sistemas (teniendo el proveedor solo acceso a esos datos ?de contacto? y considerando que el tratamiento de esos datos se va ha realizar de forma meramente incidental en una relación business to business como la que regula el Informe de 18 de Febrero de 2008 de la AEPD, siendo el dato del sujeto únicamente el medio para lograr esa finalidad).
Recabar de nuevo todos aquellos consentimientos que no se obtuvieron adecuadamente en el pasado con respecto a la nueva regulación, además de tedioso, puede suponer una pérdida económica, traducida en una pérdida de clientes, ya que si volvemos a contactar con todos nuestros clientes para volver a pedirles todos aquellos consentimientos que no obtuvimos ?como un acción afirmativa?, es probable que no obtengamos respuesta o que nos respondan con una negativa. Es por ello que debemos plantearnos cuáles son los consentimientos imprescindibles de obtener y de cuales se puede prescindir por considerarse amparados por otro precepto legal.
Es claro, evidente y meridiano que si queremos tratar datos relativos a salud o datos relativos a sujetos menores de edad va a ser imprescindible recabar expresamente el consentimiento explícito excepto en casos puntualísimos en los cuales una norma amparase el tratamiento o prevalezca el interés vital del interesado, pero hay numerosos casos que pueden ampararse en una base jurídica y que suponen que el tratamiento es lícito sin necesidad de que medie ese consentimiento afirmativo.
Algunos de los casos más reseñables son los siguientes:
Videovigilancia
El Tribunal Constitucional ya en 2016 se pronunció sobre un caso que hasta el momento requería el consentimiento expreso y que supuso en ese momento un cambio en la línea jurisprudencial. Hablamos del famoso caso Bershka, en el que una empleada de la reconocida tienda de ropa intentó apropiarse de una cantidad de dinero de la caja. En este caso, el Tribunal Constitucional admitió como prueba válida y lícita, las grabaciones que se habían realizado de tal suceso en el establecimiento, las cuales se hicieron sin informar directamente a la trabajadora ni obtener el consentimiento de la misma para tal fin. Y es que el propio tribunal entendió que la medida fue proporcionada, necesaria e idónea para confirmar las sospechas sobre los posibles actos ilícitos de la trabajadora. Asimismo, entendió que al existir un cartel visible de ?Zona Videovigilada? la empresa cumplió con el deber de información que establece la LOPD, con lo cual, es posible decir que aunque evadir el deber de informar es un tema arduo y complejo, lo que sí es cierto es que en éste caso el consentimiento no fue necesario. Cuestión que parece que la AEPD ha debido de tener en cuenta, ya en la última versión de la que disponemos del ANTEPROYECTO DE LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL (en adelante el Anteproyecto), establece el artículo 15.5 en el Capítulo II Disposiciones aplicables a tratamientos concretos que:
5. ?Los empleadores podrán tratar los datos obtenidos a través de sistemas de cámaras o videocámaras para el ejercicio de las funciones de control de los trabajadores previstas en el artículo 20.3 del Estatuto de los Trabajadores siempre que les hubieran informado acerca de esta medida?.
Con lo cual, siguiendo esta línea, queda definida una base jurídica que perfectamente puede suplir el consentimiento cuando cumpla con los requisitos establecidos anteriormente.
Datos de contacto
Como señalábamos anteriormente, es cierto que con la nueva regulación desaparece la excepción que se establecía en el artículo 2.2 RLOPD; hecho que fue constatado en la última sesión anual que realizó la AEPD (9ª Sesión Anual Abierta de la AEPD. Centro de Conferencias Fundación Pablo VI. 25 de mayo de 2017). En la misma, se indicó claramente que éste artículo quedaría sin efecto, en relación a lo dispuesto en el Reglamento Europeo, aunque también se indicó que sí sería posible y recomendable, buscar otro tipo de fundamento en otra causa de legitimación. Hecho que, por otra parte, parece tener bastante sentido, puesto que sería absurdo recabar el consentimiento de meros datos de contacto que son necesarios para desarrollar la actividad o el servicio, pero que son accesorios a la finalidad que se pretende conseguir. Es por ello, que el Anteproyecto, dedica exclusivamente un artículo que servirá como base jurídica para el tratamiento. El artículo 12 viene a decir que se considerará dentro de la base jurídica del interés legítimo (Art. 6.1.f del Reglamento Europeo) el tratamiento los datos profesionales mínimos para la localización de la persona, siempre que tenga como única finalidad la de mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.
Asimismo, añade que el mismo amparo legal tendrá el tratamiento de los datos relativos a los empresarios individuales cuando se refieran a ellos en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.
Tratamiento de datos manifiestamente públicos
Otro supuesto que llama especialmente la atención, es el que recoge el artículo 13 del Anteproyecto; es el caso de aquellos datos que el interesado hubiese hecho manifiestamente públicos anteriormente al tratamiento de los mismos. Tratamiento que el referido texto legal advierte lícito, siempre que no se trate de personas discapacitadas para las que se hubiesen establecido medidas de apoyo y aquellos referidos a menores de edad.
En este sentido, es posible que el legislador haya querido hacer referencia a la Sentencia del Tribunal Supremo 91/2017, de 15 de febrero, en la cual se plantea un conflicto entre la libertad de información y el derecho a la intimidad personal y familiar, y a la propia imagen.
Un medio de comunicación de Zamora, utilizó para un reportaje, la fotografía del demandante, herido por un disparo de su hermano, quien después acabó suicidándose. Para obtener la fotografía, el medio de comunicación no optó por recabar el consentimiento del demandante, sino que simplemente utilizó una de las fotos que pudo extraer de su perfil en una conocida red social.
En relación a este asunto, el TS determinó que una fotografía publicada en una red social y que es accesible a un público general, no autoriza a terceros a reproducirla en los medios de comunicación, y por tanto, entiende que las redes sociales no son fuentes accesibles al público. Asimismo, se entendió que no se trataba de una persona de relevancia pública y que además no se trataba de una fotografía meramente accesoria (esto es, que la persona aparezca de forma accidental en la foto sin ser el objeto principal de la misma), considerando por ello el tribunal que nos encontrábamos antes un supuesto de vulneración del derecho fundamental a la propia imagen, consagrado en el artículo 8.1 de la Ley Orgánica 1/1982.
Por tanto, puede que este sea uno de los grandes giros a la línea legal ya establecida, siendo un supuesto absolutamente novedoso y que aún está por definir.
Tratamiento de datos con fines de defensa judicial
Tampoco será necesario pedir el consentimiento explícito del interesado cuando vayan a tratarse los datos exclusivamente para la defensa ante un procedimiento judicial o administrativo.
Así el Considerando 52 del Reglamento Europeo establece:
?Debe autorizarse asimismo a título excepcional el tratamiento de dichos datos personales cuando sea necesario para la formulación, el ejercicio o la defensa de reclamaciones, ya sea por un procedimiento judicial o un procedimiento administrativo o extrajudicial?.
Otros tratamientos
Adicionalmente, el Reglamento Europeo en su Considerando 47 hace algunas otras menciones al interés legítimo en el tratamiento de datos, cuando dicho tratamiento se realiza con fines de Marketing Directo, Prevención del Fraude, transmisiones de datos dentro del Grupo Empresarial, transmisiones de datos para garantizar la seguridad de las redes, etc.
Esta relación de tratamientos, amparados por el interés legítimo, se encuentra en el dictamen sobre el concepto de interés legítimo del responsable de tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE/ que ya realizó el Grupo del Artículo 29 (Dictamen 06/2014 sobre el concepto de interés legítimo)
Asimismo, algunos de estos tratamientos también se encontraban exceptuados de la obligación de recabar el consentimiento según el criterio de la AEPD, por ejemplo la Prevención del Fraude, la cual se encuentra amparada por un precepto legal, el artículo 49.2 de la Ley 16/2009, de 13 de noviembre, de servicios de medios de pago, que establece:
?No será necesario el consentimiento del interesado para el tratamiento por parte de los sistemas de pago y los proveedores de servicios de pago de los datos de carácter personal que resulten necesarios para garantizar la prevención, investigación y descubrimiento del fraude en los pagos.
Asimismo, los sujetos a los que se refiere el párrafo anterior podrán intercambiar entre sí, sin precisar el consentimiento del interesado, la información que resulte necesaria para el cumplimiento de los citados fines.?
Por lo que el consentimiento no es requerido si los datos personales van a ser tratados por parte de proveedores de medios de pago, siempre y cuando el tratamiento tenga como finalidad principal o accesoria la prevención del fraude. Hecho que confirma además la AEPD en su Informe 0468/2010.
Otros tratamientos, como los referidos a la Mercadotecnia Directa, suponen moverse en aguas más turbulentas, puesto que en palabras de la propia AEPD aunque el considerando 47 reconoce que el tratamiento con fines de mercadotecnia directa puede considerarse realizado por interés legítimo, deberá ponderarse ese interés con la posible intrusión en el derecho fundamental. En este caso, habrá que realizar una evaluación de cada uno de los supuestos y finalidades del tratamiento, teniendo en cuenta que como indica el propio Reglamento Europeo, Tal interés legítimo podría darse, por ejemplo, cuando existe una relación pertinente y apropiada entre el interesado y el responsable, como en situaciones en las que el interesado es cliente o está al servicio del responsable. Por tanto, el supuesto de hecho habilitante para el tratamiento podría ser el envío de ofertas sobre el producto previamente contratado por el cliente, por ejemplo una compañía de telecomunicaciones que oferte al usuario por el paquete de telefonía y televisión contratado, una ampliación de canales, o cuando se refiera a productos o servicios semejantes a los ya contratados, así lo expresa el Considerando 32 del futuro Reglamento E-Privacy que regula la privacidad en el marco de las comunicaciones electrónicas:
It is therefore justified to require that consent of the end-user is obtained before commercial electronic communications for direct marketing purposes (?) However, it is reasonable to allow the use of e-mail contact details within the context of an existing customer relationship for the offering of similar products or services. Such possibility should only apply to the same company that has obtained the electronic contact details in accordance with Regulation (EU) 2016/679.
Sin embargo, no olvidemos que también el propio Reglamento Europeo expresa que cuando el tratamiento tenga fines adicionales, se necesitará un consentimiento adicional, haciendo hincapié especialmente en lo que se refiere a la elaboración de perfiles, por ello, deberán observarse cada uno de los supuestos con lupa, para determinar en cuáles de ellos es posible alegar éste interés legítimo como base para habilitar el tratamiento y en cuales es innegable la necesidad de recabar el consentimiento afirmativo de los afectados.
Adicionalmente, existen otro tipo de excepciones, como la establecida en el Considerando 112 del Reglamento Europeo, es decir, transferencias de datos requeridas por razones de interés público ?en caso de intercambios internacionales de datos entre autoridades en el ámbito de la competencia, administraciones fiscales o aduaneras, entre autoridades de supervisión financiera, entre servicios competentes en materia de seguridad social o de sanidad pública (?)?.
Por todo ello, será imprescindible revisar caso por caso, atendiendo en todo caso al juicio de proporcionalidad (Tribunal Constitucional Sentencia 207/1996) en relación a determinar la base más adecuada para un tratamiento de datos lícito.
Leer Noticia original en su web
Leer más...
Reglamento Europeo de Protección de Datos. Licitud de tratamiento sin consentimiento explícito 24-08-2017
A unos meses de la aplicación efectiva del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 (en adelante Reglamento Europeo), no queda otra opción que adaptarse a t...
A unos meses de la aplicación efectiva del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 (en adelante Reglamento Europeo), no queda otra opción que adaptarse a todos y cada uno de los requisitos legales que impone esta nueva regulación y que suponen un giro de tuerca a la privacidad.
Una de las principales novedades que representa el Reglamento Europeo es la nueva acepción de consentimiento que establece la norma en su artículo 4.11, en el que se indica, que este debe consistir en una manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
La clave se encuentra en la ?clara acción afirmativa?, es decir, exigiendo expresamente una acción positiva y sin dejar lugar a la posibilidad de estatismo. Este precepto es replicado y ampliado en el considerando 32 de la referida norma, concluyendo además con dos afirmaciones recalcables: ?Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento.? Y ?Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos?.
El consentimiento explícito implica novedad en tanto en cuanto el mismo no se exigía en la regulación existente hasta el momento. Recordemos que el artículo 14.2 del Real Decreto 1720/2007 de 21 de diciembre (en adelante RLOPD) recoge la posibilidad de utilizar la vía del consentimiento tácito para el tratamiento de los datos de carácter personal que no tengan la consideración de especialmente protegidos. Este hecho, por otra parte, ya se encontraba consagrado en la jurisprudencia del Tribunal Supremo, y tal es así que en la sentencia del Tribunal Supremo de 26 de mayo de 1986, se entiende que "el consentimiento puede ser tácito cuando del comportamiento de las partes resulta implícita su aquiescencia" a una determinada situación ??.
Con esta nueva regulación, esa línea jurisprudencial desaparece, restando como única posibilidad de aquiescencia el consentimiento explícito del interesado, el cual se encuentra regulado en el artículo 6 del texto, que establece que, para que el tratamiento de datos sea lícito, es necesario que se cumpla cualquiera de los siguientes requisitos:
De la información anterior se desprende que, al contrario de lo estipulado en la Ley Orgánica 15/1999 de 13 de diciembre (en adelante LOPD), en la que algunos de los requisitos establecidos anteriormente se consideraban excepciones al consentimiento (Art. 6.2 LOPD), en el Reglamento Europeo no son ya una excepción al consentimiento, sino que tanto el consentimiento como las restantes bases jurídicas son requisitos equivalentes e independientes para que el tratamiento no resulte ilícito, es decir, ya no existen excepciones, sino únicamente requisitos, siendo el consentimiento un requisito más.
La problemática principal que plantea esta novedad jurídica es precisamente que aquellos consentimientos obtenidos de forma irregular deberán recabarse nuevamente, esto es, en palabras del Reglamento Europeo: ?el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento?.
Un caso típico que se debe incluir en la referida problemática es la famosa excepción establecida en el artículo 2.2 RLOPD; que permitía no aplicar el reglamento de protección de datos a los tratamientos de datos referidos a personas jurídicas, o a personas físicas cuando los datos fuesen únicamente su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.
Es común que dicha excepción se utilice en algunos contratos con prestadores de servicios externos, como por ejemplo en aquellos casos en los que se ha querido evitar volver a pedir un consentimiento adicional a los empleados de la propia compañía cuando se contrate un proveedor que vaya a realizar un mantenimiento de los sistemas (teniendo el proveedor solo acceso a esos datos ?de contacto? y considerando que el tratamiento de esos datos se va ha realizar de forma meramente incidental en una relación business to business como la que regula el Informe de 18 de Febrero de 2008 de la AEPD, siendo el dato del sujeto únicamente el medio para lograr esa finalidad).
Recabar de nuevo todos aquellos consentimientos que no se obtuvieron adecuadamente en el pasado con respecto a la nueva regulación, además de tedioso, puede suponer una pérdida económica, traducida en una pérdida de clientes, ya que si volvemos a contactar con todos nuestros clientes para volver a pedirles todos aquellos consentimientos que no obtuvimos ?como un acción afirmativa?, es probable que no obtengamos respuesta o que nos respondan con una negativa. Es por ello que debemos plantearnos cuáles son los consentimientos imprescindibles de obtener y de cuales se puede prescindir por considerarse amparados por otro precepto legal.
Es claro, evidente y meridiano que si queremos tratar datos relativos a salud o datos relativos a sujetos menores de edad va a ser imprescindible recabar expresamente el consentimiento explícito excepto en casos puntualísimos en los cuales una norma amparase el tratamiento o prevalezca el interés vital del interesado, pero hay numerosos casos que pueden ampararse en una base jurídica y que suponen que el tratamiento es lícito sin necesidad de que medie ese consentimiento afirmativo.
Algunos de los casos más reseñables son los siguientes:
Videovigilancia
El Tribunal Constitucional ya en 2016 se pronunció sobre un caso que hasta el momento requería el consentimiento expreso y que supuso en ese momento un cambio en la línea jurisprudencial. Hablamos del famoso caso Bershka, en el que una empleada de la reconocida tienda de ropa intentó apropiarse de una cantidad de dinero de la caja. En este caso, el Tribunal Constitucional admitió como prueba válida y lícita, las grabaciones que se habían realizado de tal suceso en el establecimiento, las cuales se hicieron sin informar directamente a la trabajadora ni obtener el consentimiento de la misma para tal fin. Y es que el propio tribunal entendió que la medida fue proporcionada, necesaria e idónea para confirmar las sospechas sobre los posibles actos ilícitos de la trabajadora. Asimismo, entendió que al existir un cartel visible de ?Zona Videovigilada? la empresa cumplió con el deber de información que establece la LOPD, con lo cual, es posible decir que aunque evadir el deber de informar es un tema arduo y complejo, lo que sí es cierto es que en éste caso el consentimiento no fue necesario. Cuestión que parece que la AEPD ha debido de tener en cuenta, ya en la última versión de la que disponemos del ANTEPROYECTO DE LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL (en adelante el Anteproyecto), establece el artículo 15.5 en el Capítulo II Disposiciones aplicables a tratamientos concretos que:
5. ?Los empleadores podrán tratar los datos obtenidos a través de sistemas de cámaras o videocámaras para el ejercicio de las funciones de control de los trabajadores previstas en el artículo 20.3 del Estatuto de los Trabajadores siempre que les hubieran informado acerca de esta medida?.
Con lo cual, siguiendo esta línea, queda definida una base jurídica que perfectamente puede suplir el consentimiento cuando cumpla con los requisitos establecidos anteriormente.
Datos de contacto
Como señalábamos anteriormente, es cierto que con la nueva regulación desaparece la excepción que se establecía en el artículo 2.2 RLOPD; hecho que fue constatado en la última sesión anual que realizó la AEPD (9ª Sesión Anual Abierta de la AEPD. Centro de Conferencias Fundación Pablo VI. 25 de mayo de 2017). En la misma, se indicó claramente que éste artículo quedaría sin efecto, en relación a lo dispuesto en el Reglamento Europeo, aunque también se indicó que sí sería posible y recomendable, buscar otro tipo de fundamento en otra causa de legitimación. Hecho que, por otra parte, parece tener bastante sentido, puesto que sería absurdo recabar el consentimiento de meros datos de contacto que son necesarios para desarrollar la actividad o el servicio, pero que son accesorios a la finalidad que se pretende conseguir. Es por ello, que el Anteproyecto, dedica exclusivamente un artículo que servirá como base jurídica para el tratamiento. El artículo 12 viene a decir que se considerará dentro de la base jurídica del interés legítimo (Art. 6.1.f del Reglamento Europeo) el tratamiento los datos profesionales mínimos para la localización de la persona, siempre que tenga como única finalidad la de mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.
Asimismo, añade que el mismo amparo legal tendrá el tratamiento de los datos relativos a los empresarios individuales cuando se refieran a ellos en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.
Tratamiento de datos manifiestamente públicos
Otro supuesto que llama especialmente la atención, es el que recoge el artículo 13 del Anteproyecto; es el caso de aquellos datos que el interesado hubiese hecho manifiestamente públicos anteriormente al tratamiento de los mismos. Tratamiento que el referido texto legal advierte lícito, siempre que no se trate de personas discapacitadas para las que se hubiesen establecido medidas de apoyo y aquellos referidos a menores de edad.
En este sentido, es posible que el legislador haya querido hacer referencia a la Sentencia del Tribunal Supremo 91/2017, de 15 de febrero, en la cual se plantea un conflicto entre la libertad de información y el derecho a la intimidad personal y familiar, y a la propia imagen.
Un medio de comunicación de Zamora, utilizó para un reportaje, la fotografía del demandante, herido por un disparo de su hermano, quien después acabó suicidándose. Para obtener la fotografía, el medio de comunicación no optó por recabar el consentimiento del demandante, sino que simplemente utilizó una de las fotos que pudo extraer de su perfil en una conocida red social.
En relación a este asunto, el TS determinó que una fotografía publicada en una red social y que es accesible a un público general, no autoriza a terceros a reproducirla en los medios de comunicación, y por tanto, entiende que las redes sociales no son fuentes accesibles al público. Asimismo, se entendió que no se trataba de una persona de relevancia pública y que además no se trataba de una fotografía meramente accesoria (esto es, que la persona aparezca de forma accidental en la foto sin ser el objeto principal de la misma), considerando por ello el tribunal que nos encontrábamos antes un supuesto de vulneración del derecho fundamental a la propia imagen, consagrado en el artículo 8.1 de la Ley Orgánica 1/1982.
Por tanto, puede que este sea uno de los grandes giros a la línea legal ya establecida, siendo un supuesto absolutamente novedoso y que aún está por definir.
Tratamiento de datos con fines de defensa judicial
Tampoco será necesario pedir el consentimiento explícito del interesado cuando vayan a tratarse los datos exclusivamente para la defensa ante un procedimiento judicial o administrativo.
Así el Considerando 52 del Reglamento Europeo establece:
?Debe autorizarse asimismo a título excepcional el tratamiento de dichos datos personales cuando sea necesario para la formulación, el ejercicio o la defensa de reclamaciones, ya sea por un procedimiento judicial o un procedimiento administrativo o extrajudicial?.
Otros tratamientos
Adicionalmente, el Reglamento Europeo en su Considerando 47 hace algunas otras menciones al interés legítimo en el tratamiento de datos, cuando dicho tratamiento se realiza con fines de Marketing Directo, Prevención del Fraude, transmisiones de datos dentro del Grupo Empresarial, transmisiones de datos para garantizar la seguridad de las redes, etc.
Esta relación de tratamientos, amparados por el interés legítimo, se encuentra en el dictamen sobre el concepto de interés legítimo del responsable de tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE/ que ya realizó el Grupo del Artículo 29 (Dictamen 06/2014 sobre el concepto de interés legítimo)
Asimismo, algunos de estos tratamientos también se encontraban exceptuados de la obligación de recabar el consentimiento según el criterio de la AEPD, por ejemplo la Prevención del Fraude, la cual se encuentra amparada por un precepto legal, el artículo 49.2 de la Ley 16/2009, de 13 de noviembre, de servicios de medios de pago, que establece:
?No será necesario el consentimiento del interesado para el tratamiento por parte de los sistemas de pago y los proveedores de servicios de pago de los datos de carácter personal que resulten necesarios para garantizar la prevención, investigación y descubrimiento del fraude en los pagos.
Asimismo, los sujetos a los que se refiere el párrafo anterior podrán intercambiar entre sí, sin precisar el consentimiento del interesado, la información que resulte necesaria para el cumplimiento de los citados fines.?
Por lo que el consentimiento no es requerido si los datos personales van a ser tratados por parte de proveedores de medios de pago, siempre y cuando el tratamiento tenga como finalidad principal o accesoria la prevención del fraude. Hecho que confirma además la AEPD en su Informe 0468/2010.
Otros tratamientos, como los referidos a la Mercadotecnia Directa, suponen moverse en aguas más turbulentas, puesto que en palabras de la propia AEPD aunque el considerando 47 reconoce que el tratamiento con fines de mercadotecnia directa puede considerarse realizado por interés legítimo, deberá ponderarse ese interés con la posible intrusión en el derecho fundamental. En este caso, habrá que realizar una evaluación de cada uno de los supuestos y finalidades del tratamiento, teniendo en cuenta que como indica el propio Reglamento Europeo, Tal interés legítimo podría darse, por ejemplo, cuando existe una relación pertinente y apropiada entre el interesado y el responsable, como en situaciones en las que el interesado es cliente o está al servicio del responsable. Por tanto, el supuesto de hecho habilitante para el tratamiento podría ser el envío de ofertas sobre el producto previamente contratado por el cliente, por ejemplo una compañía de telecomunicaciones que oferte al usuario por el paquete de telefonía y televisión contratado, una ampliación de canales, o cuando se refiera a productos o servicios semejantes a los ya contratados, así lo expresa el Considerando 32 del futuro Reglamento E-Privacy que regula la privacidad en el marco de las comunicaciones electrónicas:
It is therefore justified to require that consent of the end-user is obtained before commercial electronic communications for direct marketing purposes (?) However, it is reasonable to allow the use of e-mail contact details within the context of an existing customer relationship for the offering of similar products or services. Such possibility should only apply to the same company that has obtained the electronic contact details in accordance with Regulation (EU) 2016/679.
Sin embargo, no olvidemos que también el propio Reglamento Europeo expresa que cuando el tratamiento tenga fines adicionales, se necesitará un consentimiento adicional, haciendo hincapié especialmente en lo que se refiere a la elaboración de perfiles, por ello, deberán observarse cada uno de los supuestos con lupa, para determinar en cuáles de ellos es posible alegar éste interés legítimo como base para habilitar el tratamiento y en cuales es innegable la necesidad de recabar el consentimiento afirmativo de los afectados.
Adicionalmente, existen otro tipo de excepciones, como la establecida en el Considerando 112 del Reglamento Europeo, es decir, transferencias de datos requeridas por razones de interés público ?en caso de intercambios internacionales de datos entre autoridades en el ámbito de la competencia, administraciones fiscales o aduaneras, entre autoridades de supervisión financiera, entre servicios competentes en materia de seguridad social o de sanidad pública (?)?.
Por todo ello, será imprescindible revisar caso por caso, atendiendo en todo caso al juicio de proporcionalidad (Tribunal Constitucional Sentencia 207/1996) en relación a determinar la base más adecuada para un tratamiento de datos lícito.
Leer Noticia original en su web
Leer más...
Subvenciones dirigidas a empresas de base tecnológica en el Principado de Asturias 24-08-2017
Entre los conceptos subvencionables se encuentran los gastos asociados a la protección y registro de propiedad industrial de los resultados del proyecto.
El plazo para la presentación de solicitu...
Entre los conceptos subvencionables se encuentran los gastos asociados a la protección y registro de propiedad industrial de los resultados del proyecto.
El plazo para la presentación de solicitudes finaliza el 25 de septiembre de 2017.
Leer Noticia original en su web
Leer más...
Los expertos rechazan la responsabilidad del 'compliance officer' 09-08-2017
Los especialistas rechazan que, de modo general, pueda atribuirse a los oficiales de cumplimiento (o compliance officers), una posición de garante respecto de los delitos que puedan cometerse en el se...
Los especialistas rechazan que, de modo general, pueda atribuirse a los oficiales de cumplimiento (o compliance officers), una posición de garante respecto de los delitos que puedan cometerse en el seno de la persona jurídica. Un debate que ha resurgido con fuerza después de que se conociera la citación como investigados de 10 de estos responsables de dos bancos.
La posición de garante es una cualidad que atribuye el Derecho penal a determinados sujetos, según la cual tienen el deber de proteger un bien jurídico. Si alguien delinque contra ese bien, el garante puede ser considerado responsable en comisión por omisión.
Ser garante, en consecuencia, es una condición indispensable para que quepa atribuir a un sujeto responsabilidad delito en comisión por omisión. "Esa posición, en las empresas, la ostentan los integrantes del órgano de Administración", asevera Francisco Bonatti, miembro de la Junta Directiva de la Asociación Española de Compliance (Ascom).
Una opinión que comparte Juan Antonio García Jabaloy, of counsel de DLA Pipper para quien el compliance officer es "un instrumento de los administradores para prevenir, mitigar o sancionar las posibles irregularidades dentro de la compañía", sin que el Consejo de Administración pueda delegar en él la posición de garante.
Algún matiz introduce Bernardo del Rosal, abogado de UM&DR y catedrático de Derecho Penal. "Respecto de los delitos de inminente comisión o que se están cometiendo, si el compliance officer no cumple su función de reportar el hecho o si tiene atribuidas funciones de impedir su comisión, de forma que se pueda entender que su inactividad ha permitido el hecho delictivo, sí puede tener responsabilidad", explica.
¿Pueden las condiciones laborales pactadas entre profesional y empresa determinar su posible responsabilidad? Mariana Ladaga, asociada del Área de Penal-Económico y Compliance de Rousaud Costas Duran lo rechaza, "pese a la posibilidad de que los deberes de vigilancia y control propios de la administración de la entidad puedan ser parcialmente delegados en él", sostiene.
Del Rosal, sin embargo, razona que las empresas "tienen un amplio margen de soberanía", por lo que sí cabe atender a la posición o las responsabilidades pactadas. En la misma línea, Bonatti también aprecia que puede existir una delegación contractual de la posición de garante al compliance officer, lo que no exime de responsabilidad al administrador, sino que ésta se extendería a ambos.
Todos los expertos consultados coinciden en que no cabe exigir al compliance officer la obligación de denunciar en caso de que tenga conocimiento de un delito. "Sus obligaciones están previstas para con la empresa", manifiesta García Jabaloy. Del Rosal y Ladaga, por su parte, admiten la opción de que contractualmente se introduzca el deber de denunciar, pero sin que exista una obligación inherente e implícita del responsable de cumplimiento.
Por último, Bonatti alerta de que, en plena implantación del sistema de responsabilidad penal de las personas jurídicas, del alto riesgo que tienen noticias como la imputación de los oficiales de cumplimiento. "¿Quién iba a aceptar un trabajo en el que cualquier error podría suponer una pena de cárcel?", se pregunta.
Leer Noticia original en su web
Leer más...
Expertos destacan las reformas normativas como "medidas necesarias" para luchar contra el blanqueo de capitales 09-08-2017
Así, en el marco de la inauguración del congreso que se celebra este jueves y viernes en la Escola Galega de Administración Pública en Santiago de Compostela, la directora de la EGAP, Sonia Rodríguez-...
Así, en el marco de la inauguración del congreso que se celebra este jueves y viernes en la Escola Galega de Administración Pública en Santiago de Compostela, la directora de la EGAP, Sonia Rodríguez-Campos, ha destacado que las reformas normativas "son medidas necesarias para combatir uno de los delitos que en mayor medida minan los sistemas e instituciones financieras".
Además, ha señalado que "lamentablemente, peores consecuencias tiene para la seguridad de los ciudadanos y para su confianza en el funcionamiento de las instituciones".
"Vivimos en un tiempo en el que términos como paraísos fiscales, sociedades opacas y corrupción son habituales en los medios de comunicación y no debemos rendirnos ni dar pos supuesta esta realidad", ha recalcado.
Por su parte, el director xeral de Xustiza, Juan José Martín, ha hecho hincapié en que la puesta en marcha de este quinto congreso sobre prevención y represión del blanqueo de dinero "significa un compromiso para tratar esta materia, que lleva presente desde hace muchos años en la comunidad debido a la lacra del narcotráfico".
EVOLUCIÓN
Asimismo, el director xeral ha manifestado que la normativa en torno a esta temática ha experimentado numerosas modificaciones legislativas en los últimos años, por lo que la celebración de esta actividad "cobra aún más importancia", ha abundado.
Este V Congreso sobre prevención y represión del blanqueo cuenta con la participación de destacados expertos en Derecho y Economía, que abordarán, entre otros temas, la evolución del delito de blanqueo de capitales durante los últimos años en España y la incidencia de estas últimas reformas llevadas a cabo para combatirlo en el marco de la economía y la sociedad digital.
Leer Noticia original en su web
Leer más...
Preceptos incluidos en el anteproyecto de la Ley orgánica de protección de datos 09-08-2017
El informe al anteproyecto de la Ley orgánica de protección de datos de carácter personal, ha sido aprobado por el Pleno del Consejo General del Poder Judicial para adaptar el ordenamiento jurídico es...
El informe al anteproyecto de la Ley orgánica de protección de datos de carácter personal, ha sido aprobado por el Pleno del Consejo General del Poder Judicial para adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679, en lo relativo a la protección de datos de las personas físicas, del Parlamento Europeo y del Consejo de 27 de Abril de 2016, y a la libre circulación de estos, que entrará en vigor, por todo, el próximo 25 de mayo de 2018.
Ya hace diecisiete años de la entrada en vigor de la Ley de Protección de Datos, que nació con el objetivo de hacer frente a los riesgos que para los derechos de la personalidad pueden suponer el acopio, tratamiento y utilización de datos personales, y garantizar y proteger los derechos de los ciudadanos.
Enrique Lucas (abogado) y Álvaro Cuesta (político y abogado), han analizado diversos preceptos de este anteproyecto de Ley orgánica de protección de datos, en concreto, siete artículos, una disposición adicional y una disposición final que afectan a esta Ley orgánica de protección de datos, cuyos textos contienen normas procesales y afectan al CGPJ, en virtud de la atribución y la relación jurisdiccional o en su calidad de órgano constitucional para observar la normativa en materia de protección de datos personales.
En el documento, ambos ponentes apuntan, que dado que la regulación proyectada concierne al derecho fundamental a la protección de los datos personales que consagra el artículo 18.4 de la Constitución y, por tanto, incide en aspectos jurídico-constitucionales de la tutela de tal derecho, el informe no debería limitarse a los preceptos señalados, y anuncian que el CGPJ se pronunciará sobre el resto en cuanto le sea posible y antes de la aplicación prevista para el 2018.
El punto central del informe es el relativo a la disposición adicional quinta del anteproyecto de Ley orgánica de protección de datos, relativa a la autorización judicial en materia de transferencias internacionales de datos, que prevé el trámite que se dará a la reclamación que un afectado cuyos datos personales hayan sido o pudieran ser transferidos a un tercer país ?no comunitario, pero que haya sido declarado con nivel adecuado de protección por la Comisión Europea- presente ante la Agencia Española de Protección de Datos (AEPD) por considerar que el tratamiento de datos personales infringe el Reglamento 2016/679.
El anteproyecto prevé que, en caso de que la AEPD considere fundada la reclamación, por un tercero, deberá dirigirse a la Sala de lo Contencioso-Administrativo de la Audiencia Nacional pidiendo autorización para declarar contraria a Derecho la transferencia internacional de datos. La Audiencia Nacional plantearía entonces una cuestión prejudicial de validez ante el Tribunal de Justicia de la Unión Europea, que podría declarar inválida la decisión de la Comisión Europea.
El CGPJ, en su informe, sugiere mejoras técnicas en línea con el derecho alemán y considera que sería más adecuado que la Ley Orgánica contemplara ?la completa configuración de un procedimiento judicial desde el cual se va a entablar el diálogo prejudicial, a raíz de la solicitud de la decisión judicial formulada por la autoridad de control que conoce de la reclamación, y cuya resolución depende de la validez de la decisión de la Comisión?.
Así, y teniendo en cuenta el modelo que ofrece la ley alemana, ese procedimiento trasladaría al tribunal nacional la decisión positiva de la validez de la decisión de la Comisión o, en caso de que considerara justificadas las dudas acerca de su conciliación con el Derecho de la Unión, el planteamiento de la cuestión prejudicial de validez.
La configuración legal del procedimiento, que se tramitaría por la vía contencioso-administrativa, debería contemplar la legitimación de la autoridad de control ?la AEPD- para formular la solicitud ante el órgano judicial; la forma en que debe deducirse la solicitud y los efectos de la misma en el procedimiento seguido ante la AEPD, teniendo esta la condición de parte actora de la AEPD, además de intervenir en el procedimiento todos los interesados y de la Comisión Europea cuya decisión de adecuación está en cuestión.
La disposición deberá ir acompañada de la atribución competencial al correspondiente órgano jurisdiccional que podría recaer en la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.
En el informe aprobado el pasado miércoles, se concluye que este mecanismo procedimental se acomoda en todo a la jurisprudencia del Tribunal de Justicia de la Unión Europea ajustándose a los requerimientos que derivan de la sentencia Schrems, que abordó la cuestión relativa a las facultades de las autoridades nacionales de control ante una decisión de la Comisión, siendo por tanto el modelo a seguir por el prelegislador.
El texto añade una alternativa, que sería, ?articular un mecanismo de remisión prejudicial directa desde la autoridad de control ?en España la AEPD-, en el marco del procedimiento en el que examina la reclamación formulada por el titular de los datos personales cuyo derecho se ha visto afectado por la transferencia internacional?.
Por este motivo se debería dotar a la autoridad de control ?o a un órgano dentro de la misma creado a ese fin- de una configuración tal que permita reconocer en ella de forma indubitada e indiscutible los rasgos que, conforme a la jurisprudencia europea, caracterizan el concepto autónomo de ?órgano jurisdiccional? con arreglo al cual se confiere la legitimación para abrir el diálogo prejudicial.
?Se posibilitaría, de ese modo, una tutela más directa y rápida del derecho fundamental, sin necesidad de configurar un procedimiento jurisdiccional ?ad hoc?, ni de dotar de la correspondiente competencia a la Sala de lo Contencioso-Administrativa de la Audiencia Nacional mediante la imprescindible modificación de la Ley Orgánica del Poder Judicial?, concluye el informe.
Leer Noticia original en su web
Leer más...
La AEPD convoca los Premios Protección de Datos 2017 de 'Comunicación' y de 'Buenas prácticas educativas para un uso seguro de internet' 07-08-2017
Esta edición prioriza los trabajos periodísticos que aborden diferentes aspectos del Reglamento General de Protección de Datos ...
Esta edición prioriza los trabajos periodísticos que aborden diferentes aspectos del Reglamento General de Protección de Datos
Leer Noticia original en su web
Leer más...
¿Preparado para una Inspección de Prevención de Riesgos Laborales? 07-08-2017
Cualquier día de estos pueden llamar a tu puerta y encontrarte, así sin esperarlo, con una inspección de trabajo por sorpresa en materia de Prevención de Riesgos Laborales (PRL). Sí, tú, aunque te pa...
Cualquier día de estos pueden llamar a tu puerta y encontrarte, así sin esperarlo, con una inspección de trabajo por sorpresa en materia de Prevención de Riesgos Laborales (PRL). Sí, tú, aunque te parezca una posibilidad remota debes estar preparado cuando se produzca. No tienes por qué haber hecho nada malo, tampoco significa que alguien te haya denunciado.
Debes tener muy en cuenta que tanto autónomos como empresas están obligados aplicar medidas de seguridad para en prevención de riesgos y accidentes laborales. Con el objetivo garantizar el cumplimiento de la ley 31/1995 y evitar infracciones , Trabajo realiza inspecciones rutinarias o bien con motivo aparente para las que debes estar preparado.
Como ya hemos comentado en el punto anterior en algunas ocasiones no existe ningún detonante para recibir una inspección de trabajo que evalúe la seguridad y salud laboral en tu negocio sino que puede tratarse de un procedimiento rutinario. Si la tuya es una empresa cuya actividad conlleve un mayor riesgo de accidente estate atento porque puedes recibir una visita sorpresa en cualquier momento.
Cuando el inspector de trabajo se presenta en tu empresa es probable que reclame el el acompañamiento durante la visita de quien asume la gestión de la PRL y la presentación de determinada documentación. Es importante que aportes únicamente la información requerida durante la inspección. Algunos de los documentos que quizá te soliciten relacionados con esta materia son:
El 19,24% de las actuaciones totales realizadas por la Inspección de Trabajo en 2015 fueron en materia de Prevención de Riesgos Laborales. Más de 69.928 visitas realizadas que recaudaron 40.215.142,77? por sanciones de PRL.
Las infracciones en materia de prevención de riesgos laborales, según establecen los artículos 11,12 y 13 del Real Decreto Legislativo 5/2000, pueden ser leves,con multas de 40 a 2.045?, graves, con sanciones de 2.046? a 40.985?, y muy graves, de 40.986 hasta 819.780?.
Como puedes comprobar las cuantías de las multas por una una infracción en PRL pueden llegar a ser muy elevadas. Por ello es fundamental que te empapes de los protocolos de actuación de tu negocio. Como ya sabes, es mejor prevenir que curar.
Leer Noticia original en su web
Leer más...
¿Qué inventan más los españoles? 01-08-2017
La Oficina de Patentes y Marcas recibió el año pasado 2.849 instancias: ingeniería, medicina y transporte, los sectores más populares....
La Oficina de Patentes y Marcas recibió el año pasado 2.849 instancias: ingeniería, medicina y transporte, los sectores más populares.
Leer Noticia original en su web
Leer más...
Nuevas incorporaciones al programa GPPH 28-07-2017
La utilización de este sistema no está sujeta a ninguna tasa adicional y es el propio solicitante quien expresamente debe pedirlo....
La utilización de este sistema no está sujeta a ninguna tasa adicional y es el propio solicitante quien expresamente debe pedirlo.
Leer Noticia original en su web
Leer más...
Latinoamérica sigue los pasos de España en protección de datos 28-07-2017
Argentina y México toman como modelo de referencia la legislación española....
Leer más...
El Anteproyecto de la LOPD 27-07-2017
El reglamento general de protección de datos supone la revisión de las bases legales del modelo europeo de protección de datos más allá de una mera actualización de la vigente normativa....
El reglamento general de protección de datos supone la revisión de las bases legales del modelo europeo de protección de datos más allá de una mera actualización de la vigente normativa.
Leer Noticia original en su web
Leer más...
Avances en la gestión del compliance penal: la publicación de la norma une 19601 26-07-2017
Los sistemas de compliance penal devienen las mayores herramientas de gestión de riesgos penales en el seno de las personas jurídicas. A raíz de esta afirmación, ha crecido en los últimos tiempos la n...
Los sistemas de compliance penal devienen las mayores herramientas de gestión de riesgos penales en el seno de las personas jurídicas. A raíz de esta afirmación, ha crecido en los últimos tiempos la necesidad de una proliferación y estandarización de dichos sistemas de gestión en aras a garantizar la posibilidad de una eficiente autoprotección de las entidades jurídicas frente a la comisión de ilícitos penales en su seno que les repercuten de forma fulminante. Por este motivo se han adoptado en los últimos años las Normas ISO y UNE. La última de ellas, la UNE 19601, de 18 de mayo de 2017, ha producido grandes avances en materia de corporate compliance a nivel estatal.
SUMARIO
3.1. Los requisitos y directrices que impone la norma
3.2. Ventajas de la adopción de la UNE 19601
La Asociación Española de Normalización y Certificación (UNE) publicó el pasado 18 de mayo la nueva Norma UNE 19601, que se encarga de establecer los requisitos para la mejora del sistema de compliance penal en empresas. Esta Norma ha sido elaborada dentro del subcomité técnico de Normalización de UNE, el CTN 307/SC1 Sistemas de gestión del cumplimiento y sistemas de gestión anticorrupción, en el que han participado 36 vocales, expertos representativos de los diferentes grupos de interés del ámbito del compliance penal[1]. La publicación de esta nueva Norma es desconcertante, y su implementación novedosa para todos sus futuros receptores. Es por ello que se celebrarán -el 15 de junio de 2017 una de ellas- jornadas integrales a nivel nacional para la comprensión teórica y práctica de la UNE 19601 para todos los expertos en compliance, con motivo de conocer el desarrollo del futuro del corporate compliance en España.
La reforma del Código penal del año 2010 introdujo por primera vez la responsabilidad penal de las personas jurídicas en el ordenamiento jurídico español, y con la reforma de 2015 se ratificó la imperiosa necesidad de su regulación en el marco jurídico-penal, indicando también que las personas jurídicas que hayan implantado modelos de prevención de delitos y cumplan una serie de requisitos pueden llegar a ser eximidas de responsabilidad penal. Así, el artículo 31 bis CP contempla esta novedosa conducta, además de prever, a sensu contrario, los supuestos en que dicha responsabilidad penal quedará extinguida.
De este modo, la normativa penal estatal ampara la exención de responsabilidad penal de las personas jurídicas en el supuesto en que aquélla hubiese implementado modelos de prevención de riesgos penales, cumpliendo asimismo una serie de requisitos. No obstante, la legislación penal adolece de une pormenorizada explicación de los requisitos necesarios para implementar un sistema de gestión de compliance penal con el objetivo de prevenir la comisión de delitos en el seno de las personas jurídicas. Nace de aquí la Norma UNE 19601.
La UNE 19601 deviene la primera norma específica en materia de prevención de delitos que se implanta en el Estado español tras la compleja actividad legislativa tendente a confeccionar el artículo 31 bis CP, en que se contempla la exención de responsabilidad penal de las personas jurídicas aludida supra. Su predecesora en la normalización internacional, ISO 19600 de 2014 (y posterior UNE-ISO 19600 de 2015), se limitaba a establecer meras recomendaciones, mientras que la nueva Norma da un paso más, constituyendo verdaderos requisitos y directrices a seguir para la implementación de un adecuado programa de corporate compliance. Así, la UNE 19601 es la regulación complementaria del artículo 31 bis CP, que desarrolla la correcta constitución de los modelos de compliance penal como medida extintiva de responsabilidad penal, supliendo la indeterminación del legislador español sobre estos extremos.
Leer Noticia original en su web
Leer más...
Abierto el plazo de presentación de candidaturas al Premio al Inventor Europeo del año 2018 26-07-2017
Los inventores candidatos deben haber obtenido al menos una patente europea por la Oficina Europea de Patentes. La patente europea debe estar en vigor en al menos un Estado miembro de la Organización ...
Los inventores candidatos deben haber obtenido al menos una patente europea por la Oficina Europea de Patentes. La patente europea debe estar en vigor en al menos un Estado miembro de la Organización Europea de Patentes. La fecha límite para el envío de candidaturas es el 16 de octubre de 2017.
Leer Noticia original en su web
Leer más...
Revisiones de compliance sobre ISO e UNE: tres sugerencias 25-07-2017
El estándar internacional ISO 37001 sobre sistemas de gestión antisoborno se publicó en octubre de 2016, y el estándar nacional UNE 19601 sobre sistemas de gestión de compliance penal vio la luz en ma...
El estándar internacional ISO 37001 sobre sistemas de gestión antisoborno se publicó en octubre de 2016, y el estándar nacional UNE 19601 sobre sistemas de gestión de compliance penal vio la luz en mayo de 2017.
Aun siendo estándares muy novedosos, ya se están ejecutando trabajos de evaluación de la conformidad respecto de sus requisitos.
Estos estándares de compliance permiten evaluar los sistemas de gestión atendiendo a sus requisitos, lo que favorece la homogeneidad de este tipo de revisiones. Como contrapartida, el margen de discrecionalidad del revisor es prácticamente nulo, pues debe ceñirse a contrastar la existencia y efectividad de tales requisitos, sin que pueda ignorarlos. Por lo tanto, un sistema de gestión de compliance que no satisfaga alguno de ellos difícilmente será certificable, por muchos esfuerzos de convencimiento que se viertan sobre el revisor independiente.
Ahora bien, existen algunas prácticas previas a la revisión que facilitan el desarrollo posterior de este tipo de trabajos.
La primera es asegurarse de que el modelo de compliance está alineado con las exigencias de la norma ISO y/o UNE, no dando por hecho que cumple con ellas. Pueden detectarse carencias significativas, dado que estos estándares articulan ?sistemas de gestión? y no ?programas?, tal como expliqué en un post anterior . Esto no significa que necesariamente deba cambiarse el modelo de compliance de la organización, pero tal vez sea preciso modificarlo o completarlo. Desarrollar este ejercicio interno de revisión evitará graves complicaciones posteriores.
En segundo lugar, debemos considerar que el revisor independiente aplicará el principio de escepticismo profesional y, por lo tanto, no validará el cumplimiento de los requisitos exigidos por los estándares si no están adecuadamente soportados. Es más, tanto el estándar ISO como el UNE establecen las características que debe reunir tal documentación, en términos de su creación, actualización y control. Es el concepto de ?información documentada? sin la cual el revisor externo se verá imposibilitado para desarrollar su labor. Los estándares indicados señalan en su articulado los requisitos que deben figurar como información documentada. En particular, el estándar UNE 19601 recopila en su Anexo C la información documentada que viene exigida en diversos apartados de la norma, lo que resulta de gran utilidad para comprobar si realmente disponemos de ella. Por cierto, como el estándar UNE 19601 hereda una gran cantidad de contenidos del estándar ISO 37001, esa misma lista es también útil para formarnos una idea de la información documentada requerida en los sistemas de gestión antisoborno, lógicamente adaptada a ese contexto. No sólo deberemos asegurarnos de disponer de esta documentación, sino también de que reúne las cualidades para merecer el calificativo de información documentada. Hecho este trabajo, veremos que existe información documentada que representa los pilares fundamentales del sistema de gestión (como la Política de compliance penal, por ejemplo), mientras que otra parte constituye evidencia de su aplicación práctica (informes de compliance penal, las actividades de formación o la gestión de incumplimientos o irregularidades, por ejemplo). Ambos tipos de evidencias son necesarios para acreditar que el sistema de gestión de compliance no es una mera formalidad, sino que se aplica en la práctica. Por eso, un modelo bien descrito documentalmente pero no ejecutado no podrá ser objeto de certificación.
En tercer lugar, puesto que el sistema de gestión de compliance se proyecta sobre riesgos de esa naturaleza, deberá prestarse atención a su evaluación (riesgos de compliance penal, en el caso de UNE 19601, y de soborno, en el caso del estándar ISO 37001). Este ejercicio, que debe constar como información documentada, es trascendental ya que condiciona el enfoque del sistema de gestión en su conjunto. Una evaluación inadecuada de riesgos de compliance puede enfocar de manera errónea las prioridades en dicho ámbito. Por eso, un revisor independiente prestará especial atención a la solidez de este ejercicio. Ni la Norma UNE 19601 ni el estándar internacional ISO 37001 obligan a emplear una determinada metodología de evaluación de riesgos, aunque sí establecen algunas directrices esenciales (análisis de probabilidad e impacto de los riesgos) y fijan aspectos importantes que se deben derivar de él. Así, por ejemplo, la Norma UNE 19601 exige aplicar cautelas especiales ante personas especialmente expuestas al riesgo penal, y también sobre socios de negocio que presenten un riesgo penal mayor que bajo. Esto significa que el ejercicio de evaluación de riesgos debe ser también idóneo para identificar inequívocamente a estos colectivos. Una evaluación de riesgos de compliance poco robusta o incompleta se convertirá en un hándicap insalvable.
Visto lo anterior y desde una perspectiva práctica, es útil visualizar cómo se desarrollará el procedimiento de revisión, planificando el modo en que se explicará el sistema de gestión de compliance al revisor y se le facilitará la información documentada relativa a su diseño y nivel de implementación. Se trata de allanar su trabajo y evitar que se vea obligado a interpretar múltiples documentos organizativos sin ayuda, previniendo que incurra en errores de apreciación involuntarios.
Leer Noticia original en su web
Leer más...
