Compliance en la empresa: ¿coste o inversión?

Aunque últimamente se oye hablar mucho de Compliance y cómo integrar un programa de Compliance en el día a día de la empresa, bajo mi punto de vista queda un largo camino por andar. Por desgracia, existe a día de hoy todavía una cantidad elevada de nuestro tejido empresarial, PYMES y no tan PYMES, en las que o bien su Dirección desconoce la materia y la importancia de esta, o directamente no le presta la debida atención.

Es habitual escuchar el término Compliance para referirse a múltiples contextos, tal vez porque suena bien o porque le da más empaque a la frase. Sin embargo, ello puede derivar en confusiones de concepto sobre lo que realmente significa.

En la gran mayoría de las ocasiones, los interlocutores con los que he tenido el gusto de hablar se referían al cumplimiento en materia penal, no obstante, este término también se emplea en otros ámbitos no relacionados con el comúnmente conocido como “Corporate Compliance”, como por ejemplo el “Tax Compliance”.

[Read more…]

Sanciones de protección de datos en 2020

En este artículo hemos querido recopilar las principales sanciones que ha resuelto la Agencia Española de Protección de Datos (AEPD) en el año 2020 y las hemos analizado.

¿Cuánto sanciona la Agencia Española de Protección de Datos?

En el año 2020, la Agencia Española de Protección de Datos ha resuelto 391 procedimientos sancionadores, de los cuales 316 han terminado en sanción y 75 han sido archivados, recaudando casi nueve millones de euros (8.865.239€). [Read more…]

Marco Europeo de Ciberseguridad

En los últimos tiempos, la Unión Europea está reforzando el marco regulatorio sobre ciberseguridad para hacer frente a la creciente amenaza que nos plantean los ciberataques. Para ello está dotando a los Estados miembros de un marco común especialmente focalizado en la ciberseguridad dirigido a garantizar la ciberresiliencia de los procesos que dan soporte a diferentes servicios esenciales para la sociedad.

La Directiva NIS o Directiva (UE) 2016/1148 fue la primera ley de ciberseguridad de la Unión Europea y ofrecía un marco común para mejorar la resiliencia de las redes y los sistemas de información de la Unión frente a los riesgos de ciberseguridad. Ha demostrado ser una Directiva útil, pero que con el paso de los años también ha evidenciado sus limitaciones ante el incremento de las ciberamenazas y la cada vez mayor dependencia de las soluciones digitales.

Es por ello que, a final del año pasado, la Comisión Europea presentó la nueva estrategia de ciberseguridad de la UE basada en tres aspectos principales: [Read more…]

¿Tienes un dron y no sabes si lo que haces con él está permitido?

¿Quién no ha paseado en Madrid por el Retiro y se ha encontrado con un dron sobrevolando su cabeza? Seguro que situaciones como ésta habéis tenido en algún momento, incluso puede que alguno de vosotros haya realizado esta misma actividad con su dron dentro de la ciudad.

Aunque sea una actividad lúdica que realizamos como hobby y no con fines comerciales o profesionales, debemos tener en consideración diversos aspectos.

¿Al tratamiento de datos de carácter personal que realizamos con nuestro dron, le aplica el RGPD y, la Ley 3/2018 de Protección de Datos de Carácter Personal y Garantía de los Derechos Digitales?

Hoy en día hasta el dron más básico dispone de una cámara y/o un GPS, por lo que captar la imagen de terceras personas es muy sencillo. No obstante, si nos ceñimos a lo que establece el RGPD en su artículo 2.2 c) éste no será de aplicación a aquel tratamiento de datos personales efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas, es decir las grabaciones de imágenes que podamos obtener no estarían sometidas a la normativa en materia de protección de datos. [Read more…]

¿Quién asume las responsabilidades ante errores cometidos por robots inteligentes?

Como bien sabemos todos los que tenemos cierto interés en este sector, la robótica representa uno de los grandes progresos tecnológicos del S.XXI. No obstante, para que este avance se realice con garantías debe ir acompañado de un marco normativo transparente y dinámico que unifique y clarifique todas aquellas incertidumbres que la robótica genera. Sin embargo, nos encontramos con que hoy día no existe un marco normativo de estas características ni a nivel nacional,  ni europeo o internacional.

No obstante, sí hay dos referencias que vale la pena tener en cuenta.

En primer lugar, la recomendación del Parlamento Europeo [1] para el establecimiento de una serie de normas en materia de responsabilidad.  Al encontrarnos ante una posible “nueva revolución industrial” en la que la sociedad se ve abocada a una era de robots, bots, androides y otras formas de IA más avanzadas, resulta imprescindible que el legislador tenga en consideración las consecuencias que pueden originar el uso e implantación de dichos aparatos en nuestra vida cotidiana.

También, partiendo de la base de que no existe regulación alguna para este nicho de mercado, hemos de mencionar la norma ISO 13482, restringida al ámbito de los robots de cuidado personal. No obstante, este estándar no regula ningún tipo de responsabilidad, ni plantea cuestiones sobre el impacto que puede implicar en los derechos fundamentales el uso de los robots de cuidado personal. [Read more…]

Pasito a pasito: Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales

Seguimos avanzado en el trámite parlamentario para que el ordenamiento jurídico español tenga su nueva ley en materia de protección de datos. El pasado día 9 de octubre se presentaba el Informe emitido por la Ponencia sobre el proyecto de ley de protección de datos en la Comisión de Justicia del Congreso de los Diputados. Hoy, 17 de octubre, se publica el Dictamen de la Comisión que eleva a la Presidencia de las Cortes el recién rebautizado Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales.

Tras este dictamen de la Comisión de Justicia, el proyecto de ley está muy encarrilado para ser aprobado definitivamente, si todo va bien, en los próximos meses. Poniendo el énfasis en los cambios respecto al texto inicial del proyecto de ley presentado a finales del año pasado, cabe destacar la inclusión del Título X relativo a distintos derechos digitales, que más allá de la controversia suscitada, puede llegar a ser una garantía para la protección de los datos en Internet, la educación respecto a la seguridad de la información en colegios y universidades, y la garantía del cumplimiento del derecho al honor y a la intimidad personal y familiar, tal como se establece en el artículo 18.4 de la Constitución. [Read more…]

Videovigilancia y RGPD

https://www.aepd.es

Han pasado más cuatro meses desde la entrada en aplicación del Reglamento General de Protección de Datos (RGPD) y aún hay responsables de tratamiento dándose de golpes contra la pared. Especialmente los responsables de tratar datos obtenidos a través de grabaciones de videovigilancia.

Llama especialmente la atención porque a diferencia del resto de tratamientos, a priori la información es mucho más accesible (por eso de la “cultura” heredada de la LOPD de poner el cartel informativo en un lugar visible). Últimamente no dejo de fijarme en los carteles, y aunque son pocos los actualizados a la normativa europea, los que lo están, en su mayoría, están mal.

Es destacable la parte referida a los derechos de los afectados y a la legitimación del tratamiento. En la inmensa mayoría de carteles, incluidas empresas multinacionales con inversiones en adecuación al RGPD no despreciables, figuran los seis derechos tipo del reglamento: acceso, rectificación, supresión, oposición, portabilidad, limitación del tratamiento.
[Read more…]

Aprobación de medidas urgentes en materia de protección de datos

Todos estábamos pendientes del Proyecto de Ley Orgánica de Protección de Datos (podéis ver el seguimiento de la iniciativa parlamentaria pinchando aquí), que este Real Decreto-ley que vamos a comentar nos ha pillado casi por sorpresa.

El pasado martes saltaba la noticia [1] [2] de que el gobierno modificaría con urgencia el régimen sancionador de la Ley de protección de datos. El pasado viernes día 27, el Consejo de Ministros aprobaba el Real Decreto Ley que finalmente ha sido hoy publicado en el Boletín Oficial del Estado (BOE). El Real Decreto Ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos adapta aquellos preceptos en los que el Reglamento General de Protección de Datos (en adelante, RGPD) remitía su desarrollo a los Estados miembros, y que no requieren rango de ley orgánica. Este Real Decreto Ley entra en vigor el 31 de julio de 2018. La vigencia de esta norma queda supeditada a la aprobación de la nueva legislación orgánica de protección de datos que tenga por objeto adaptar el ordenamiento jurídico español al RGPD, y completar sus disposiciones.

La norma recientemente aprobada regula los siguientes aspectos: [Read more…]

He descubierto un delito… ¿y ahora qué?

Imaginemos que María es una analista forense que está trabajando en un caso de espionaje corporativo. Mientras está analizando unos ficheros comprimidos con unos nombres extraños, descubre horrorizada que están repletos de imágenes de pornografía infantil.

Imaginemos que Pepe es un pentester que tiene como objetivo hacerse con el control de un servidor de correo, teniendo que presentar como prueba correos de media docena de altos cargos. Una vez logrado su objetivo extrae varios correos al azar de las cuentas de correo, pero comprueba con indignación que contienen información sobre el soborno a un funcionario para la concesión de una importante contratación pública.

Tanto María como Pepe han firmado un estricto acuerdo de confidencialidad con la empresa en la que trabajan, en el que se especifica claramente que “toda la información de la que tengan conocimiento durante su actividad laboral debe ser mantenida en el más estricto secreto”. [Read more…]

El RGPD no es cosa de un día

Por fin ha llegado el día 25 de mayo. El día D donde todos los datos personales pasan a estar protegidos. Donde ya no se van a producir incidentes de seguridad. Donde todos los tratamientos de datos personales pasan a ser legítimos. Donde los datos ya no van a ser conservados sine díe. Donde los usuarios tenemos todo el control de nuestros datos. Donde el derecho al olvido es una realidad. Donde todo el mundo ha sido informado de que todas las políticas de privacidad del planeta han sido actualizadas (sí, la nuestra también). El día más esperado ha llegado. Y una vez llegado a este grado de regocijo, ¿y ahora qué?

Pues siento deciros que el RGPD no es cosa de un día. Hoy, 25 de mayo de 2018, entra en aplicación el Reglamento General de Protección de Datos, conocido por RGPD o GDPR por sus siglas en inglés. Pero que entre hoy en aplicación (lleva en vigor desde 2016) no quiere decir que todo lo que no hayamos hecho no hace falta hacerlo, o que si ya hemos hecho una adecuación no tengamos que hacer nada más. ¿Por qué?
[Read more…]