Nuestro Blog

Más poder del usuario y transparencia con la nueva ley de protección de datos  20-04-2018
A finales de mayo entrará en vigor el Reglamento General de Protección de Datos (RGPD), herramienta fundamental para que los usuarios puedan preservar, controlar y gestionar sus datos personales en manos de las empresas. Una nueva medida que aplauden compañías como la recomendadora tecnológica adaptada al consumidor, Y si…, porque da más poder al ciudadano y plantea un escenario empresarial más transparente.
Por lo general, los internautas no se sienten seguros cuando registran sus datos personales en páginas web o redes sociales. Y existen ejemplos que no ayudan a evitarlo. El último caso en salir a la luz ha sido el de Facebook (Vid. Facebook no ha hecho sus deberes), al que la consultora Cambridge Analytica robó información de 270.000 personas mediante una encuesta en la red supuestamente con fines académicos para después obtener los perfiles de personalidad de más de 50 millones de personas para utilizarlos en la campaña de Donald Trump en su conquista de la Casa Blanca. No es el único. Uber reconoció hace dos años que se produjo la filtración de información de cerca de 57 millones de clientes en su plataforma.

La protección de datos se ha convertido en un asunto de estado en cualquier lugar del mundo. Para proteger la privacidad del usuario, a finales de mayo entrará en vigor el denominado Reglamento General de Protección de Datos (RGPD), que sustituirá en vigencia a la actual Ley Orgánica de Protección de Datos (LOPD).
¿Qué significa esto? Básicamente, Internet va a cambiar porque se modifican las condiciones de servicio entre el usuario y la empresa, afectando esencialmente a las condiciones de uso, la privacidad y la política de cookies.

En cuanto entre en vigor, el consumidor se verá más respaldado gracias al nuevo reglamento. Su principal arma es la introducción del derecho al olvido, es decir, la potestad de solicitar que los datos personales sean suprimidos cuando ya no sean necesarios para la finalidad con la que fueron recogidos, se haya retirado el consentimiento o incluso se hayan recogido de forma ilícita.
A esta jurisprudencia hay que sumarle el derecho a la portabilidad, el derecho al acceso, rectificación, supresión, derecho a la limitación del tratamiento y a la oposición. En definitiva, herramientas que mejoran la capacidad de decisión y control de los internautas sobre los datos personales que confían a terceros.

Fomentará la transparencia empresarial

A partir de finales de mayo, las empresas dejarán de tener impunidad de cara al uso de los datos de sus clientes o usuarios, habrán de ser más cuidadosos con el tratamiento de estos mismos, deberán ser más transparentes de lo que eran hasta ahora y estarán obligados a ceder ante los derechos adquiridos de los usuarios.

Responsabilidades de contratar a un trabajador de la competencia. El Compliance Laboral como solución  19-04-2018
El mundo laboral está en constante movimiento. Empleados de unas y otras empresas cambian de puesto de trabajo y saltan de unas empresas a otras del mismo sector. A veces, son los propios trabajadores los que buscan oportunidades laborales, y, otras, son las empresas las que captan y contratan nuevos empleados. En este contexto es habitual encontrarse con trabajadores que mantienen con las empresas cláusulas de no competencia, mediante las cuales se comprometen, a cambio de una contraprestación abonada por la empresa, a no trabajar para la competencia en un periodo de hasta dos años. Si, finalizada la relación con esa empresa por cualquier motivo, el empleado pasa a prestar sus servicios para la competencia, estas non-compete clauses llevan aparejada una indemnización por daños y perjuicios a favor de la empresa inicial con motivo del incumplimiento por parte del empleado.

Así, en caso de incumplimiento, la Empresa para la que prestaba sus servicios podrá reclamar al trabajador por vía laboral la citada cantidad, pero, ¿es la nueva Empresa responsable de ese incumplimiento? Y si el trabajador ha abandonado la empresa inicial por una oferta de esta nueva empresa, ¿la nueva empresa tiene algún tipo de responsabilidad?

En caso de que la empresa de la que proviene el empleado (en adelante inicial o de origen) demandase a este último por incumplimiento del pacto de no competencia, desde un punto de vista laboral y dentro de esta acción/procedimiento, la nueva empresa contratante (o nueva empresa) a la que se incorpora el Empleado no tendría ningún tipo de responsabilidad, dado que el único responsable titular de la obligación de no competencia es el empleado que la pacta y asume.

Dentro de las conductas de contratación por parte de las empresas de empleados de la competencia, podrán diferenciarse dos situaciones: que la nueva empresa realice una captación y contratación como una maniobra lícita, o que se trate de una conducta de captación y contratación con la finalidad de generar en la empresa competidora graves dificultades económicas o, incluso, su expulsión del mercado. Pues bien, sólo en este último caso nos situaríamos ante la posibilidad de que la empresa de origen pudiese interponer acciones frente a la nueva empresa a la que se incorpora el trabajador: cuando el trabajador sea contratado por la nueva empresa a raíz de una captación de esta, y no por propia iniciativa del empleado, al considerar que con ello se está incurriendo en una conducta ilícita por competencia desleal.

En la práctica, este tipo de reclamaciones tienen lugar en supuestos de captación y/o contratación extremas y ante la concurrencia de una serie de requisitos. En esta materia, la Sentencia de la Audiencia Provincial de las Islas Baleares de 20 de diciembre de 2012 es completamente reveladora. Cuando nos referimos a “supuestos de captación extrema”, se trata, por ejemplo, de la captación conjunta de prácticamente la totalidad de una empresa, o bien la captación por una empresa de la competencia de un alto cargo (director financiero/director general) en el momento inminentemente anterior al cierre por éste de una operación fundamental para la empresa de origen. Y ello, por cuanto en el primer caso, la empresa a la que se incorporan los trabajadores estaría impidiendo el funcionamiento productivo de la nueva empresa al dejarle sin recursos humanos. Y, en el segundo caso, se podría entender que la nueva empresa de la competencia actúa con mala fe, con el ánimo de causar perjuicios graves a la empresa competidora (la de origen) al frustrar una operación que deja fuera de juego a la empresa.

Así, la Sentencia de la Audiencia Provincial de las Islas Baleares de 20 de diciembre de 2012 estableció una serie de criterios que permitirían considerar que existe una conducta de competencia desleal, como son:

Que exista por parte de la empresa (la nueva de destino del empleado) intención de eliminar o debilitar la capacidad competitiva de la competidora a la empresa competidora (en relación al artículo 14.2 de la Ley de Competencia Desleal).
Que la empresa que contrate al empleado se sirva de listados de clientes o documentación de la mercantil de la que proviene el trabajador (es decir, de la empresa de origen), así como la conclusión de operaciones con clientes de la empresa de origen del trabajador.
Que la empresa contratante (la nueva), utilice el engaño para inducir al empleado a terminar la relación laboral con su empresa (la empresa inicial).
Que exista una simultaneidad entre la baja del trabajador y su incorporación en la empresa competidora (la nueva), que deje a la empresa de origen del trabajador sin posibilidades de concurrir en el mismo mercado.
Que se trate de una maniobra planificada frente a la empresa competidora.
Que se trate de una captación masiva o de un trabajador esencial que automáticamente provoque una disfunción en el normal desenvolvimiento de la actividad de la empresa de origen.
Además, ante una acción de competencia desleal de acuerdo al artículo 14.2 de la Ley de Competencia Desleal, también podrá el juzgador considerar que existe una conducta ilícita por la empresa captadora y contratante por ser contraria al principio de buena fe.

¿Qué herramientas tiene una compañía para evitar estas responsabilidades o reducir el riesgo de una posible reclamación? El Compliance laboral es el mejor aliado: permite identificar y analizar los riesgos de incumplimiento que recaen sobre la contratación laboral de la plantilla de la empresa, estableciendo un plan de medidas correctoras y una evaluación o seguimiento periódico (monitoring) del riesgo. Esto se traduce en que, una vez detectado el riesgo en la contratación, se establezcan políticas de contratación para fijar, entre otras medidas, el proceso de búsqueda de empleados, la forma de contacto con el candidato, el desarrollo del proceso de selección o la información a requerir al sujeto, junto con un posterior seguimiento de cada contratación para conocer en qué circunstancias se está desarrollando la nueva contratación, qué número de empleados tiene la empresa provenientes de otras empresas competidoras, así como si estos nuevos empleados tienen reclamaciones por parte de la empresa anterior, eliminando y reduciendo los riesgos de reclamaciones por parte de las empresas de origen de los nuevos empleados incorporados a la Compañía.

Protección de Datos revela que 74 usuarios se aprovecharon del fallo de seguridad en LexNET  11-04-2018
La Agencia Española de Protección de Datos (AEPD) ha hecho públicas sus conclusiones sobre la vulnerabilidad de datos personales tras el fallo de seguridad del sistema LexNET (la plataforma digital de intercambio de información entre órganos judiciales y operadores jurídicos) durante la jornada del pasado 28 de julio.

Según la AEPD, en aquel crítico día para decenas de miles de usuarios -procuradores, abogados y graduados sociales fueron los afectados- 284 accedieron a 692 buzones ajenos que no les pertenecían y realizaron 1.438 visualizaciones de mensajes de forma no autorizada. De ellos, 74 accedieron a 79 buzones de terceros y se descargaron 432 documentos sin permiso. Fueron notificaciones judiciales ya practicadas o pendientes y limitadas a los 60 días anteriores al 28 de julio.

Protección de Datos, sin embargo, ha dado por probado que no se pudieron manipular documentos presentados en juzgados, por ejemplo, acceder a comunicaciones que no hubieran sido abiertas previamente por el usuario legítimo ni presentar escritos en nombre de otros participantes. Tampoco pudieron visualizarse mensajes anteriores a los 60 días dado que LexNET borra esos datos de forma automática.

Este problema de seguridad se produjo al solicitar numerosos usuarios (identificados por el Ministerio de Justicia en su auditoria interna) labores de «sustitución legítima» de otros usuarios y de aquellos que tenían distintos roles para que fuese posible acceder a los buzones de los sustituidos sin necesidad de cerrar la sesión. De esta forma, se podrían consultar varios buzones de forma simultánea, a modo de multibuzón.

No obstante, según la Agencia nos encontramos ante un supuesto en el que un mismo hecho deriva en dos infracciones, dándose la circunstancia de que la comisión de una implica necesariamente la comisión de la otra. Esto es, si una documentación que contiene información personal sale del ámbito de la responsable de su confidencialidad (caída de LexNET), se está produciendo un incumplimiento de las medidas de seguridad exigidas al responsable (Ministerio de Justicia).

Mejoras de seguridad
Por lo tanto, aplicando el artículo 29.5 de la Ley de Régimen Jurídico del Sector Público -señala que «cuando de la comisión de una infracción derive necesariamente la comisión de otra u otras se deberá imponer únicamente la sanción correspondiente a la infracción más grave cometida»- se procede subsumir ambas infracciones en una sola.

Dado que, en este caso, se ha producido una vulneración de las medidas de seguridad, calificada como grave por el artículo 44.3.h de la Ley Orgánica de Protección de Datos (LOPD) y también un incumplimiento del deber de guardar secreto, «procede imputar únicamente la infracción del artículo 9 de la LOPD» a la Subdirección General de Nuevas Tecnologías, perteneciente a la Secretaría General de la Administración de Justicia.

En concreto, el incidente afectaba al buzón de correo de los usuarios de LexNET y consistía en que mediante la modificación deliberada de la dirección URL del navegador, cambiando los dígitos de identificación del usuario, se podía acceder a los buzones de terceros. Dicha identificación consta de 10 dígitos, por lo que para acceder a un buzón concreto había que conocer el identificador de dicho usuario.

Desde aquel grave problema de seguridad, el Ministerio de Justicia ha diseñado 69 medidas de mejoras «para mitigar el incidente y evitar situaciones similares en el futuro», de las que 55 ya se han implementado y el resto se encuentra en fase de desarrollo y/o pruebas. Una circunstancia que ha valorado de forma positiva Protección de Datos, que ha remitido sus conclusiones al Defensor del Pueblo.

Cómo afecta a la asistencia sanitaria el nuevo Reglamento General de Protección de Datos  02-04-2018
El próximo 25 de mayo de 2018 será de obligado cumplimiento el Nuevo Reglamento General de Protección de Datos (RGPD), el cual denomina especialmente protegidos a los datos relativos a la salud física o mental de las personas físicas, incluyendo la prestación de servicios de atención sanitaria que revelen información sobre el estado de la salud de las mismas sobre enfermedad, discapacidad, riesgo de padecer enfermedad, historial médico o tratamiento clínico del interesado, independientemente de que la fuente emisora sea el médico, un profesional sanitario o el hospital.
Con la llegada de la nueva normativa, se introducen algunas novedades sobre uno de los principios básicos para el tratamiento de los datos personales: el consentimiento. Desaparece el consentimiento tácito y se exige que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco, requiriendo por tanto una declaración explícita del o de los interesados, o una acción positiva. El RGPD incluye los datos concernientes a la salud entre los datos de naturaleza especial, incluyendo también los datos genéticos y biométricos en esa categoría.
Medidas en función del riesgo

La normativa, aunque no establece medidas de seguridad por niveles, sí prevé que se apliquen medidas en función del riesgo y, para el caso que nos atañe, el tratamiento de datos sobre la salud de las personas físicas, los riesgos son elevados, por lo que las medidas organizativas y de seguridad se diseñarán conforme a dicho riesgo.
Entre las principales medidas a plantear, la Evaluación de Impacto o Análisis de Riesgo, que permitirá a los responsables tomar las medidas adecuadas para reducir dichos riesgos plasmándolos en un documento de seguridad o protocolo. Otra medida será el Registro de Actividades de tratamiento que obliga a los responsables o encargados de forma obligatoria, cuando nos referimos a datos relacionados con la salud, con independencia o no de tener más o menos de 250 empleados, como se exige para otros sectores. Asimismo, es preciso mantener ese Registro de Actividades. Por último, las entidades sanitarias deberán contar con un Delegado de Protección de Datos (DPO). El DPO será el encargado de revisar las políticas de custodia, destrucción de historias clínicas, controlar la cesión de datos a laboratorios o compañías aseguradoras, además de establecer las políticas de seguridad informática.

Los centros sanitarios estarán legalmente obligados al mantenimiento de las historias clínicas de los pacientes durante cinco años, contando desde el alta de cada proceso asistencial, con lo cual tendrán que nombrar un DPO y comunicar este nombramiento a la Agencia Española de Protección de Datos.

Con esta nueva normativa, explican desde Aemol Consulting, los cambios y exigencias necesarias de adaptación en materia de protección de datos, ofrecerán una gran oportunidad a los centros sanitarios para actualizar sus sistemas de información, medidas de seguridad, así como la revisión de sus protocolos en beneficio de sus pacientes quienes verán mejor salvaguardada su intimidad y confidencialidad de sus datos.
Vanesa González
Responsable Departamento de Soporte de Aemol Consulting

Crónica y ponencia de la Jornada sobre novedades legislativas en materia de propiedad industrial y secretos empresariales  19-03-2018
El pasado 14 de marzo tuvo lugar en la sede de la OEPM una Jornada organizada por la asociación LES España - Portugal donde se expusieron dos temas de gran actualidad dentro del campo de la protección de los activos intangibles. Por un lado, la OEPM expuso su experiencia tras los primeros meses desde la puesta en marcha de la nueva Ley de Patentes 24/2015 (para mayor información, puede acceder a la presentación); y, por otro lado, LES EP presentó sus aportaciones en el trámite de consulta pública al anteproyecto de ley sobre secretos empresariales. Respecto de las aportaciones al citado anteproyecto de ley, se comentaron aspectos tales como la concreción del objeto de la ley, esto es, qué debe entenderse por secreto empresarial, englobando tanto los secretos industriales como los comerciales; cómo tratar la información confidencial en procesos judiciales; la regulación de las medidas de comprobación de hechos tal como vienen establecidas en la actual Ley de Patentes; qué debe entenderse por mercancía infractora, incluyendo tanto los bienes como los servicios; los secretos empresariales como objeto de propiedad y su regulación cuando se obtienen en una relación laboral; así como la responsabilidad de terceros adquirentes de buena fe.

WhatsApp y Facebook, multadas por compartir datos de usuarios  16-03-2018
La AEPD impone una sanción de 300.000 euros a cada una por haber incurrido en dos infracciones graves.
La Agencia Española de Protección de Datos (AEPD) ha impuesto sendas sanciones de 300.000 euros a WhatsApp y Facebook por haber incurrido en dos infracciones graves de la Ley Orgánica de Protección de Datos (LOPD). El organismo ha determinado que la primera compañía comunicó datos de usuario a la segunda, que posteriormente los trató para sus propios fines, en ambos casos, sin consentimiento.

La AEPD ha dictado resolución en el procedimiento sancionador iniciado a WhatsApp y Facebook, y ha declarado la existencia de dos infracciones "graves" de la Ley Orgánica de Protección de Datos, como ha anunciado este jueves el organismo en un comunicado. Estas infracciones han sido sancionadas cada una con 300.000 euros.
Según la Agencia Española de Protección de Datos, WhatsApp comunicó datos a Facebook "sin haber obtenido un consentimiento válido de los usuarios", lo que ha derivado en una sanción al servicio de mensajería. Por su parte, Facebook ha sido multado por haber tratado esos datos para sus propios fines "sin consentimiento".

La LOPD se adapta al mundo digital  13-03-2018
Es importante hacernos las siguientes preguntas. ¿Hasta qué punto somos dueños de nuestros datos? ¿Qué uso pueden hacer terceros de nuestra información? Pueden parecer dos preguntas sencillas pero que, sin embargo, tenían una difícil respuesta hasta el día de hoy. Todos conocemos casos en donde empresas, marcas o entidades han tenido grandes dificultades con la legislación de algún país en materia de protección de datos.

El caso más reciente, sirviendo de ejemplo, lo tenemos en Facebook al ser condenado en Alemania por incumplir su ley de protección de datos al utilizar la información de los usuarios sin su consentimiento al actuar al borde de su legislación.

Nuestro país, con la entrada en vigor de la nueva ley de protección de datos, no solo cumple con las obligaciones recogidas en el “Reglamento General de Protección de Datos” (RGPD) publicado en el Diario Oficial de la Unión Europea (UE) el pasado 4 de mayo de 2016, sino que también se culmina el arduo proceso encabezado por la Comisión Europea (CE) para la regulación de la privacidad en toda la UE, derogando a la Directiva 95/46/CE, y en donde sus ciudadanos resultan los más beneficiados gracias a las mejoras que introduce en un intento de adaptarse, esta vez sí, al mundo digital.

La nueva norma introduce varias figuras donde se destaca el concepto de responsabilidad activa en donde empresas y responsables de ficheros deben disponer de una serie de medidas, para que puedan ofrecerse garantías que permitan al consumidor pleno control de los datos que comparte y de su seguridad. Lo que viene a ser que el usuario será ahora y más que nunca dueño de sus datos, sujeto activo del proceso y no una figura pasiva donde ahora el responsable último de la seguridad de los datos será la empresa con la que el cliente contrata el servicio.

Es momento, por tanto, de que empresas e instituciones revisen sus procesos en la manera en que procesan la información personal de sus clientes antes de que comience la cuenta atrás, que finalizará el próximo 25 de mayo con la entrada en vigor de la nueva normativa.

No hacerlo así supone exponernos a cuantiosas multas, ya que la nueva norma establece sanciones que podrán llegar a los 20 millones de euros o al 4% de la facturación global de la compañía. Hay que recordar que hasta el momento la multa máxima en materia de protección de datos en España es, hasta la fecha, 600.000 euros. Es claro por tanto el impacto económico que conlleva la posibilidad de hacer caso omiso y no adaptarse a sus novedades.

Además, un punto importante del nuevo reglamento es que obligará, como principio de transparencia, a las empresas a notificar en 72 horas las brechas de seguridad que sufran y que supongan el robo de información personal de sus clientes. Casos como los robos de información de eBay o el especialmente escandaloso caso de Yahoo, que ocultó un importante robo masivo de contraseñas (más de 500 millones) en 2014 hasta bien entrado 2016, no podrán volver a darse. Para evitarlo las empresas además deberán realizar evaluaciones de Impacto o “EIPD”, para determinar los riesgos en el tratamiento de datos de carácter personal y así poder mitigar o suprimir los mismos.

Es necesario tener en cuenta que a partir de este momento también debemos considerar que toda medida tomada a futuro debe ser diseñada bajo el principio de “privacy by design”, es decir, que cada vez que un usuario o cliente, sin importar su antigüedad, adquiera un nuevo producto o servicio, la privacidad que vendrá por defecto será la más estricta, y no la más laxa, como ocurre muchas veces ahora.

Se exige además que exista un consentimiento libre, informado, específico e inequívoco que requiere una acción positiva del interesado, por lo que no será válido el consentimiento tácito de la misma forma en que se venía entendiendo hasta la fecha, es decir, el que se entendía prestado a partir de una situación de silencio o inacción.

Esto también se aplica en varios derechos que hasta ahora los usuarios venían demandando y que les afectaba especialmente en el mundo digital y que, gracias a la adecuación de la norma, ya son posibles. A todos nos suena el conocido como derecho al olvido. Donde básicamente se resume en el derecho que tiene todo usuario en ser borrado de cualquier base de datos en donde figuren registros sobre el mismo.

Hasta el momento una empresa podía borrar nuestros datos pero mantener un registro oculto a modo de copia de seguridad o al haber “cedido” nuestros datos en algún momento a terceros hacer la tarea de “desaparecer” muy complicada. Esto cambia con la nueva norma, el usuario puede conocer al detalle el tratamiento que se hacen de sus datos, cesión a terceros, etc., siendo la empresa prestadora de servicio la que se hace responsable llegado el momento de facilitar la aplicación del derecho antes citado.

El derecho a la portabilidad, que complementa al derecho de acceso, es por tanto otra de las novedades introducidas que debe ser tenida muy en cuenta, ya que permite a los usuarios obtener los datos que han proporcionado a una entidad/empresa/organización (responsable del tratamiento) en un formato estructurado, de uso común y de lectura mecánica. Lo que posibilita no sólo que los datos puedan ser sean tratados de manera automatizada, mejorando nuestra privacidad, sino también transmitirlos de un proveedor o prestador de servicios a través de su autorización o contrato.

En un escenario tan conectado y complejo como es el entorno digital actual. la introducción de estas novedades, aún como resultado de la adecuación de nuestra legislación a las obligaciones recogidas en el “Reglamento General de Protección de Datos”, es sin duda una respuesta a las demandas más comunes realizadas por consumidores y una gran oportunidad permitirá a empresas mejorar en su oferta de servicios dentro del marco común que representa Unión Europea.

La responsabilidad de los administradores al no instaurar programas de compliance en las PYMES  09-03-2018
Implantación del compliance

A raíz de la reforma del Código Penal del año 2015 se establece un formato de aplicación de sistemas de Compliance y las posibles responsabilidades penales que existen para la Sociedad en el caso de no implantar dichos planes en su estructura empresarial.

Lo que hasta la fecha ha sido un tema sin apenas repercusión es la posibilidad que existe por parte de la sociedad de atenuar e incluso eximir la totalidad de su responsabilidad para así transferir ésta a los administradores de la sociedad, en el caso de que se pruebe la existencia de dolo o negligencia en el ejercicio de sus funciones.
En este sentido el marco legal aplicable sería :

Ley Orgánica 1/2015, de 30 de marzo (reforma del Código Penal)
Circular de la Fiscalía General del Estado 1/2016
Entre los delitos que previene el Compliance Program se encuentran:

Delitos contra el medio ambiente y la salud.
Delitos fiscales.
Delitos societarios.
Delitos contra los consumidores.
Delitos contra la propiedad industrial e intelectual.
Delitos contra el mercado.
Delitos tecnológicos.
Delitos contra los derechos de los trabajadores.
Delitos de cohecho o alzamiento de bienes.
Delitos de estafa.
Delitos urbanísticos.
Delitos entre particulares.

Peculiaridad del compliance officer en la pyme

El compliance officer es la persona encargada de vigilar y velar por el cumplimiento del programa del compliance.

En los supuestos de las PYMEs según nos indica el art. 31 BIS, Apartado 3 se permite que dichas funciones sean desempeñadas por el Órgano de Administración siempre y cuando la empresa presente Cuenta de Pérdidas y Ganancias abreviadas.

Según el art. 258 del Real Decreto Legislativo 1/2010, de 2 de julio, por el que se aprueba el texto refundido de la Ley de Sociedades de Capital, Las personas jurídicas de pequeñas dimensiones:

Podrán formular cuenta de pérdidas y ganancias abreviada las sociedades que durante dos ejercicios consecutivos reúnan, a la fecha de cierre de cada uno de ellos, al menos dos de las circunstancias siguientes:
a) Que el total de las partidas de activo no supere los once millones cuatrocientos mil euros.
b) Que el importe neto de su cifra anual de negocios no supere los veintidós millones ochocientos mil euros.
c) Que el número medio de trabajadores empleados durante el ejercicio no sea superior a doscientos cincuenta.
La principal peculiaridad del compliance para con las Sociedades a raíz de la reforma del Código Renal es que se le responsabilice penalmente a la empresa de manera inmediata al no tener instaurado un programa de compliance, es decir, no cumplir sus deberes de supervisión, vigilancia y control.

Al referirnos a “Sociedades” es necesario hacer una pequeña apreciación que por obvia que pueda parecer es necesaria para aclarar dudas. En una Sociedad independientemente del tipo (limitada o anónima) existen dos órganos totalmente diferenciados:

La junta de accionistas/ socios que son los propietarios de la sociedad.
El órgano de administración, que es el órgano encargado de supervisar el buen funcionamiento de la sociedad.
Esta precisión resulta importante reseñarla porque la finalidad de este artículo versa en distinguir la Sociedad como tal (junta de socios) y el Órgano de Administración. Lo más normal en una S.L. de reducida dimensión es que exista uno o dos accionistas y los mismos coincidan con el Órgano de Administración, principalmente bajo la figura de un administrador único o administradores solidarios.

Una opción poco recomendable para salvaguardar el patrimonio del empresario sin contratar un compliance officer, es que este siga realizando funciones propias de un administrador, pero sería recomendable externalizar la administración de la sociedad y otorgar poderes (teniendo en cuenta la amplitud de los mismos al poder considerarse un administrador de hecho dependiendo de las funciones).

En este sentido la persona jurídica podría evadir toda la responsabilidad al argumentar que por su parte se ha llevado a cabo todas las actuaciones posibles y diligentes para instaurar un programa de compliance. En ese caso el responsable podría ser la persona física autora del tipo penal imputable, es decir, al acreditarse por parte de la sociedad que ha sido el administrador, como encargado de dicha implantación y supervisión el que no ha cumplido con su cometido.

Si se optase por la contratación de un compliance officer y no se llegara a instaurar un programa de compliance ¿quien sería el responsable de implantación del programa de compliance? ¿El administrador o el compliance officer?

Al tratarse de un hecho punible por omisión de funciones, la comisión por omisión se ha de apreciar cuando su deber es de garante y consiste en impedir el resultado, siendo equiparable la actitud omisiva a la del sujeto activo del delito.

Extrapolando este supuesto al ámbito laboral y debido a su similitud de los sistemas de compliance con los planes de prevención de riesgos laborales se puede extraer el criterio del Tribunal Supremo entendiendo este que quien tiene posibilidad fáctica de evitar la situación de peligro y encontrándose jurídico-laboralmente obligado a hacerlo no lo cumple, es el autor del delito.

Dicho esto, si la empresa optase por contratar los servicios de un compliance officer y se determinara que el delito ocasionado dentro de la empresa hubiera surgido a raíz de una negligencia de sus funciones quedando perfectamente delimitada su responsabilidad , sería él el responsable.

En este sentido, de cara a una pyme ¿resulta aconsejable externalizar los servicios de compliance?

A modo de resumen, resultaría aconsejable que la pequeña empresa externalice el servicio, independientemente de que no es obligatorio para una empresa de reducido tamaño el contar con un compliance officer, si es cierto que contaría con los servicios de un profesional independiente que realizaría un estudio de prevención más exhaustivo que un administrador interno. Contando para ello con una formación y experiencia especifica. En este caso el compliance officer debe de contar con todos los medios que estén al alcance de la pyme.

También depende del objeto social de la sociedad y de los posibles riesgos que pueda tener, es por ello que aunque la ley permite a una empresa de reducida dimensión prescindir de un compliance officer, si la naturaleza de su actividad se considera delicada sería recomendable la implantación del mismo para así evitar responsabilidades para sus socios.

La AEPD publica un informe sobre la utilización de aplicaciones que almacenan datos de alumnos en la nube  07-03-2018
El estudio tiene su origen en el fuerte incremento del uso de apps en el entorno escolar por parte de profesores y alumnos, así como el gran volumen de datos personales que se manejan.

El informe destaca que se utilizan apps, almacenamiento en nube, correo electrónico o redes sociales ajenas a las plataformas de los centros y que, en muchos casos, podría existir un riesgo de pérdida de control sobre los datos personales que se aportan
El documento incluye orientaciones y un decálogo de recomendaciones para fomentar la protección de datos a través del buen uso de las aplicaciones en los centros docentes
Entre las conclusiones del estudio destaca el hecho de que en la mayoría de los centros se utilizan estas aplicaciones, y que, en muchos casos, mediante ellas se almacenan datos personales. Asimismo, se ha constatado la gran variedad de aplicaciones que se utilizan por parte de los profesores como, entre otras, los cuadernos de notas y organización de clases, realización de presentaciones, creación y difusión de vídeos y acceso a plataformas de aprendizaje desde terminales móviles.

En este sentido, las aplicaciones que más datos personales de los alumnos pueden llegar a tratar son los cuadernos de notas de los docentes. Dadas las funcionalidades que ofrecen estas aplicaciones y la tipología de los datos que tratan, los tratamientos efectuados podrían incluir la elaboración de perfiles de aprendizaje, preferencias o comportamiento de menores de edad por parte de los responsables de las aplicaciones.

Además, del estudio se infiere el uso mayoritario de sistemas que almacenan datos en la nube con la finalidad de compartir documentos entre profesores y alumnos y de guardar información como listas de asistencia, calificaciones, fotos y vídeos. En relación con la utilización de redes sociales en el entorno escolar, el informe revela que su uso es más moderado tanto por profesores como por alumnos, siendo Facebook la más mencionada, seguida de Twitter e Instagram. Respecto al uso de correos electrónicos, se constata que el correo facilitado por la plataforma educativa no es el único que se utiliza.

La AEPD publica un informe en el que avala que el Reglamento de Protección de Datos facilita el desarrollo de la investigación biomédica  06-03-2018
La Agencia concluye que el RGPD y el Proyecto de LOPD actualmente en tramitación no alteran el marco normativo vigente en España en relación con el tratamiento de datos para investigación biomédica, por lo que la normativa sectorial sanitaria existente se mantiene.

Además, el articulado del RGPD permite una interpretación más flexible de los fines para los que puede darse el consentimiento cuando éste es necesario porque así lo especifica la normativa sectorial
El RGPD también permite una interpretación más amplia de los tratamientos con fines de investigación biomédica cuando la norma exceptúa que sea necesario ese consentimiento, como son los casos de investigaciones de interés general autorizados por los comités de ética de investigación
La aplicación del Reglamento el 25 de mayo de este año, en consecuencia, supone un avance para el desarrollo de la investigación biomédica.
El informe afirma que el RGPD y el Proyecto de Ley Orgánica de Protección de Datos no sólo mantienen inalterado el régimen contenido en la Ley 14/2007 de investigación biomédica y el RD 1090/2015 sobre ensayos clínicos con medicamentos, sino que permiten realizar una interpretación más flexible del alcance que puede darse al consentimiento prestado de conformidad con la misma, superando, a título de ejemplo, la interpretación más restrictiva contenida en el artículo 60 de la Ley de Investigación Biomédica.

En este punto, la Agencia menciona en su texto que a partir de la aplicación del Reglamento no será necesario que la persona preste su consentimiento para una investigación concreta; ni siquiera para la realización de investigaciones en una rama muy delimitada como, por ejemplo, un determinado tipo de cáncer, sino que, teniendo en cuenta la interpretación derivada directamente del RGPD, será suficientemente inequívoco y específico el consentimiento prestado en relación con una rama amplia de investigación como, por ejemplo, la investigación oncológica, o incluso para ámbitos más extensos.

Por otro lado, la Ley 14/2007 también contempla la posibilidad de realizar investigaciones sin consentimiento con un conjunto de garantías entre las que destacan que sean investigaciones de interés general y que las autoricen los comités de Ética de la Investigación. Sobre esta situación, el RGPD permite una interpretación más amplia y flexible de los fines de investigación para los que debe prestarse el consentimiento o de los supuestos en que excepcionalmente la norma no lo exige.

Llegan fechas clave para la protección de datos en España  01-03-2018
Este mes de febrero han empezado, por fin, los trámites parlamentarios para aprobar el Proyecto de Ley Orgánica de Protección de Datos propuesto por el Ministerio de Justicia. A menos de 4 meses para la entrada en vigor del Reglamento General de Protección de Datos(RGPD) — fijada en el 25 de mayo de 2018 — el Ministerio quiere que esta ley sirva para adaptar la actual Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal[3] (LOPD) a las exigencias previstas en el texto europeo y para zanjar cualquier duda entorno a la aplicabilidad del mismo en nuestro país. La única duda que ahora nos queda es:

¿Lograremos aprobar la ley a tiempo?

La necesidad de un texto nacional

Desde que se aprobara la versión definitiva del RGPD en abril de 2014, muchos han sido los movimientos institucionales destinados a aclarar las dudas de aplicabilidad del Reglamento. Desde el ya inoperativo Grupo de Trabajo del Artículo 29[4] hasta el nuevo European Data Protection Supervisor (EDPS)[5] pasando por las autoridades de protección de datos nacionales como la Agencia Española de Protección de Datos[6], han sido varias las publicaciones presentadas para facilitar la interpretación y la aplicación de la norma europea. Sin embargo, había siempre un punto que quedaba en el aire: cómo iban a aplicar las leyes nacionales las exigencias contempladas en el Reglamento europeo.

Mientras en abril de 2017 Alemania promulgaba una ley para modificar su actual Bundesdatenschutzgesetz [Ley federal de Protección de Datos] o, en noviembre de ese mismo año, Italia aprobaba la Ley n. 167/2017[9] para reformar el Codice in materia di protezione dei dati personali [Código sobre la Protección de Datos Personales], países como Francia y España se habían quedado atrás en la modificación de sus leyes de protección de datos y hacían un poco más compleja la adaptación del RGPD. Ello provocaba que, mientras esta pieza del engranaje no se pusiera en marcha, las más de cincuentena referencias al derecho nacional dispuestas a lo largo del RGPD no pudiesen ser interpretadas correctamente en cada Estado Miembro.

Hablamos de referencias del RGPD como podrían ser la edad mínima para otorgar el consentimiento, los poderes de la autoridad nacional de control, el tratamiento de datos en el ámbito laboral, la prestación de servicios médicos o las sanciones a determinadas conductas. Todos ellos aspectos que la normativa europea exigía que fuesen definidos o completados por los Estados Miembros de cara a facilitar su adaptación a cada legislación nacional. No debemos olvidar que, pese a los intentos del Reglamento para alcanzar una uniformidad en materia de protección de datos personales, lo cierto es que la Unión no tiene competencias en todos los sectores que se ven afectados por el texto promulgado. De ahí a que sea más que necesario que todos los Estados Miembros adapten sus actuales legislaciones a aquellos aspectos que el Reglamento les exige.

Ahora bien, mientras en Francia ya tienen su Project de Loi relatif à la protection des données personnelles [Proyecto de ley relativo a la protección de los datos personales] debatiéndose en el Senado y están cerca de terminar con el trámite legislativo, en España justo acabamos de iniciar el primer debate en las Cortes.

¿Qué está sucediendo en España con la nueva LOPD?

A propuesta del Ministro de Justicia Rafael Catalá, el pasado 10 de noviembre de 2017[12] el Consejo de Ministros aprobó el primer Anteproyecto de Ley Orgánica de Protección de Datos con el objetivo de adaptar a nuestra legislación vigente a las disposiciones del RGPD. Un Anteproyecto de ley que, después de obtener los informes de impacto y el correspondiente Dictamen del Consejo de Estado, se convertiría en el actual Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal[16]. Un Proyecto que sería presentado en el Congreso el pasado el 14 de noviembre de 2017, momento en el que empezó su tramitación parlamentaria. Sin embargo, tras tres meses de “inactividad” por un período para la presentación de enmiendas postergado, no fue hasta el pasado día 15 de febrero cuando pudimos presenciar la primera sesión de debate en el Congreso de los Diputados. Una sesión parlamentaria que, eso sí, sirvió tanto empezar a visualizar las distintas posturas de cada grupo político en relación con el Proyecto, como para para debatir sobre la enmienda a la totalidad presentada por el Grupo Parlamentario Mixto (en este caso el PDeCAT).

Pese a estar claramente marcada por los últimos acontecimientos políticos de nuestro país y por el clima político habitual en las Cortes, podríamos decir que fue un debate que giró entorno a dos grandes ejes: el papel de las agencias autonómicas de protección de datos y la tardanza en el inicio del proyecto. Así, mientras los Diputados del PDeCAT y del Grupo Parlamentario de EAJ-PNV defendían que la ley no respetaba la distribución de competencias y otorgaba mucho más poder a la Agencia Española de Protección de Datos que a las agencias autonómicas, los diputados de Ciudadanos, el grupo Socialista y de grupo parlamentario confederal de Unidos Podemos-En Comú Podem-En Marea le recriminaban al Gobierno que hubiese presentado el Proyecto de ley a menos de seis meses para la aplicación del RGPD lo que limitaba los plazos temporales para la actividad parlamentaria. Y es precisamente este último aspecto el, en mi opinión, es el más preocupante de todos.

Mientras la enmienda a la totalidad fue rechazada por 318 votos en contra y 16 a favor[18]porque los grupos entendieron que esta no tenía muchos fundamentos, los grupos parlamentarios “amenazaron” con presentar enmiendas parciales y llamar a expertos de distinto tipo para proseguir con los trámites habituales y necesarios para la aprobación de este tipo de ley. O, dicho en otras palabras, a casi un trimestre para la entrada en vigor del RGPD muchos diputados dejaban entrever que este iba a ser una tramitación larga y que difícilmente llegaríamos a tiempo para la entrada en vigor del Reglamento.

Dudas en el aire

Esperando a la aprobación de la Proposición, son muchos los aspectos que quedan en el aire a la espera de solución legal. Si bien gran parte del texto propuesto desarrolla aspectos “nuevos” (por ejemplo, presenta una nueva regulación para los ficheros de morosos, temas de videovigilancia o la eliminación del consentimiento tácito) lo cierto es que muchos de ellos aún podrían ser resueltos con la actual LOPD o con la aplicación directa del RGPD. No obstante, en casos podría ser más problemático dar una solución. Este sería el caso de la figura del Delegado de Protección de Datos (DPD), no prevista en la actual LOPD y no del todo regulada en el texto europeo, donde no disponer de una regulación específica podría hacer muy difícil la aplicación de la figura.

Y esto es algo que también se está viendo reflejado en las Cortes, puesto que de forma paralela a la tramitación del proyecto de ley, algunos diputados han registrado preguntas oficiales dirigidas al Gobierno y relacionadas con los requisitos exigidos para ser DPD o derivados de los fundamentos legales de la Certificación provisional otorgada por la AEPD. Dudas que, aparentemente, ya deberían estar solucionadas a estas alturas de año.

En definitiva, estamos en un proceso parlamentario para la modificación de la Ley Orgánica de Protección de Datos que ha empezado tarde y que se prevé largo y complejo. Veremos como van avanzando los trámites y qué reformas termina sufriendo el Proyecto presentado.

La mitad de las pymes no conoce bien la RGPD. Quedan 100 días para su implantación  26-02-2018
Más de la mitad de las pequeñas y medianas empresas en España no están familiarizadas con la RGPD, o ni siquiera han oído hablar de esta norma europea de Protección de Datos. El problema que tienen por delante es que quedan menos de 100 días para su su implementación.
Los datos han sido aportados por la compañía Sage en España, tras un análisis sobre esta cuestión. Más concretamente, el 52% de las pymes no está familiarizada o desconoce su existencia. Existen más datos para la preocupación, puesto que más de una de cada tres compañías de este tamaño reconoce que no tendrán listos los requerimientos necesarios para cumplir con la RGPD para el 25 de mayo, fecha limite para su implantación. Un 22% reconoce, además, que no tiene recursos suficienes para llevar a cabo la adaptación, según las cifras aportadas por la compañía de soluciones de gestión empresarial en la nube.
Una normativa que afecta también a los autónomos

La nueva norma afecta a cualquier empresa u organización incluidos los profesionales por cuenta propia, siempre y cuando recopilen o utilicen datos personales de personas física de cualquier parte de la Unión Europea. Una normativa que establece las responsabilidades de las empresas relativas a la recopilación, uso, divulgación, retención y protección de datos personales. También rige los procesos que las empresas utilizan para gestionar esos datos personales. En definitiva, un asunto relevante pero difícil de comprender e implantar en la pyme, según ellas mismas recocen. El 37% de las compañías encuestadas asegura que no entiende bien el efecto que tendrá en su negocio.
Otra demostración de la falta de conocimiento de la norma es la importante figura del DPO (Data PRotection Officer) o Responsable de Protección de Datos. Las pymes no saben cómo deben adaptar esta figura a sus procesos, cuando es una de las claves de la nueva norma. En concreto, el 60% no sabe si realmente necesita o no esta figura en su negocio.

El desconocimiento, en general, es amplio. Y, sin embargo, el informe pone de manifiesto que las mismas compañías sí son conscientes de los riesgos que corren.El 61% de las pmes sometidas a análisis por Sage aesgura que están preocupadas por las posibles sanciones que puede acarrear el incumplimiento de la RGPD.

La importancia de contar con un plan de ‘compliance’  20-02-2018
Tener un programa de compliance ha dejado de ser una moda para convertirse en una necesidad”. Así de rotundo se mostró el director del servicio jurídico de El Corte Inglés y exfiscal de la Audiencia Nacional, Juan del Moral, durante la jornada Aspectos prácticos de Compliance Penal en grandes empresas españolas celebrada esta semana en Deusto Business School (Madrid).
Las políticas de compliance, o de prevención de riesgos legales, son una práctica cada vez más frecuente en las empresas para curarse en salud. “Cuando empezamos a hablar de esto nos tachaban de locos. Ahora que se han dado cuenta de la mala imagen que da que un juez llame a declarar a una persona jurídica, han visto que no lo estábamos”, continuó Del Moral, para quien estas directrices deben estar dentro de algo más amplio como es el buen gobierno corporativo.
El directivo hizo hincapié en que la negación, pensar que es algo que no puede llegar a pasar, es un error. “El objetivo del compliance es darse cuenta de que hay un problema y actuar rápidamente”, aclaró. Las empresas no deben desentenderse de los posibles problemas porque, más allá de la responsabilidad legal, es una cuestión de imagen. Del Moral aseguró durante su ponencia que es muy difícil separar la responsabilidad penal del prestigio: “No se puede hablar de compromiso y ocultar los errores o eludir el coste reputacional de las acciones, pues al final este acabará siendo mucho mayor”.
Por su parte, el director corporativo de servicio jurídicos de Repsol, Enrique Hernández, insistió en que “las políticas de compliance son la forma en la que las empresas cumplen con la sociedad”, ya que esta “acaba expulsando a las compañías que no cumplen”. Los expertos presentes en Deusto Business School coincidieron en que este tipo de directrices van más allá del ámbito jurídico para examinar la empresa desde otros puntos de vista. “Hay una obligación, no solo legal sino también ética de hacer todo lo posible para que la ley se cumpla”, sentenció el presidente de Aena, Jaime García. Y recalcó que “aunque cualquiera debe cumplir con las normas, una sociedad mercantil estatal, como es Aena, mucho más, pues no se entendería que una empresa con participación mayoritariamente pública no cumpliese con los más altos niveles de responsabilidad”.
Un asunto en el que la comunicación resulta clave ya que, como recordó el ex fiscal, “de nada serviría tener un plan de compliance si luego nos olvidamos todos de ello y no transmitimos constantemente su importancia a toda la plantilla”. Un aviso que debe ir de arriba hacia abajo en las organizaciones. “La mayor responsabilidad la tiene el consejo de administración porque es el que debe responder ante los dueños, que son los accionistas”, reconoció el presidente de Aena.

¿Cómo acredito que cumplo con el RGPD? ¿Evidencias? ¿Pruebas?  13-02-2018
El próximo 25 de mayo, como todos sabrán, entra en vigor el Reglamento Europeo de Protección de Datos 2016/679, conocido por sus sigas RGPD o GDPR. Desde esa fecha todas las empresas que traten datos de carácter personal, sea en calidad de responsables o de encargados del tratamiento, para cumplir con el principio de Responsabilidad Proactiva o Accountability, deberán aplicar “las medidas técnicas y organizativas apropiadas para garantizar y poder demostrar que el tratamiento es conforme al presente Reglamento”.
Tendremos que tener la capacidad de poder demostrar que cumplimos con la norma. Esta obligación no es solo para con la Agencia Española de Protección de Datos. La contratación de los encargados del tratamiento se deberá realizar con aquellos que garanticen que cumplen con, por lo que tendremos que acreditarlo también ante aquellos que nos vayan a contratar para prestar un servicio que implique acceso a datos.
¿Cómo acredito que cumplo con los requisitos del Reglamento General de Protección de Datos?

El propio Reglamento determina que podrán utilizarse como elemento de demostración del cumplimiento la adhesión a Códigos de Conducta, siempre que se hayan aprobado conforme a los criterios del art. 40 del RGPD o mediante los mecanismos de certificación aprobados con arreglo al artículo 42.

Dado que estos medios no son obligatorios, la acreditación también se puede hacer mediante la documentación que se haya generado para determinar las medidas destinadas a cumplir con las obligaciones del Reglamento, así como las evidencias del correcto funcionamiento de las mismas, lo que en el argot de los Sistemas de Gestión son medidas y controles.

Esta forma de demostrar o acreditar el cumplimiento en base a la documentación interna y las evidencias no resultará muy complicada, dado que tenemos la obligación de guardar las pruebas que demuestren, por ejemplo, que hemos informado correctamente o que aplicamos unas determinadas medidas de índole técnico u organizativo para cumplir con el principio de seguridad. Esto se traduce en que tendremos un montón de documentación sobre el Reglamento como: procedimientos o protocolos internos, cláusulas de información, contratos de encargado del tratamiento, registro de actividades del tratamiento, evaluaciones de impacto sobre la protección de datos, análisis de riesgo, etc. Por tanto, entregando toda esta documentación se demostraría que nuestra empresa cumple con el Reglamento, aunque…
¿Debo entregar TODA la documentación interna sobre el cumplimiento?

Si nos encontramos en una auditoría, no facilitar cierta documentación al equipo auditor resultaría perjudicial para nuestra empresa, dado que la imagen que se generaría sería sesgada o distorsionada sobre el nivel de cumplimiento.

En cambio, si pretendemos acreditar ante un tercero que en nuestra organización el tratamiento de datos se realiza conforme al Reglamento para que contrate nuestros servicios, tenemos que tener en cuenta que en esa documentación puede haber mucha información sensible sobre nuestra organización, como sería la información sobre los Sistemas Informáticos que utilizamos lo que podría comprometer la seguridad de los mismos o si facilitamos todos los folios de un contrato con uno de nuestro proveedores, podrá conocer todas las condiciones económicas que pueden ser confidenciales. Es decir, muchos de los documentos que acrediten el cumplimiento también contendrán información que no debemos compartir a la ligera porque pueden ser datos de carácter personal, puede ser información confidencial o que contenga información comercial que no queramos que pueda ser utilizada por los competidores.
Entonces, ¿qué documentación debo usar para acreditar el cumplimiento?

Dentro del Reglamento encontramos cierta documentación que debe estar a disposición de la Agencia Española de Protección de Datos, la cual no debería contener más información que aquella que acredite que el tratamiento es conforme a la norma y además ha sido generada exprofeso para cumplir con el Reglamento, como por ejemplo el Registro de Actividades del Tratamiento o las Evaluaciones de Impacto sobre la Protección de Datos. Parece que esta documentación sería idónea para este fin.

También todas las evidencias que comentábamos antes, contratos, medidas, controles, etc., se podrían utilizar, aunque restringiendo cierta información. Por ejemplo, si queremos demostrar que tenemos regulada la relación con un tercero, podremos remitir la cláusula de encargado del tratamiento que tenemos firmada sin que se envíe la información sobre el precio o condiciones del servicio, que no aportan nada al fin que perseguimos.
¿Y si un externo me audita o certifica?

Todas las auditorías y las certificaciones, siempre que se trate de una certificación NO oficial, es decir que no haya sido aprobada conforme al art. 42 del RGPD, no valdrá como una presunción de cumplimiento, aunque SÍ nos servirá para demostrar nuestra diligencia en el cumplimiento. Además, si podemos sustentar esa información con evidencias nos servirá para demostrar el cumplimiento.

¿Valdría con una declaración responsable?

La declaración responsable es un documento, regulado en la Ley 39/2015, que pretende agilizar los procesos administrativos, en el que el interesado manifiesta que cumple con unos requisitos normativos y que dispone de la documentación que acredita ese cumplimiento.

Partiendo de este concepto, en el sector público la demostración del cumplimiento del RGPD se podrá realizar primero mediante una declaración responsable, aunque posteriormente se tendrá que acreditar que efectivamente se cumple con los requisitos. Por lo tanto, también tendremos que guardar evidencias que demuestren que nuestros tratamientos son conforme al Reglamento, mientras que en el ámbito privado el documento tendrá el mismo valor que los certificados privados, es decir aquellos que no sean conforme al art. 42, el que nosotros personalmente demos al nombre de quien lo firme.
¿Y ante la Agencia Española de Protección de Datos?

Obviamente, si la Agencia nos requiere documentación, se deberá entregar toda la documentación que nos soliciten y aquella que consideremos oportuna para demostrar que el tratamiento de datos se realiza conforme a las estipulaciones del Reglamento y de las normas que resulten de aplicación, como podría ser la LOPD, su Reglamento de Desarrollo, la nueva LOPD cuando se apruebe, la LSSI, etc.

Día de Protección de Datos, en plena cuenta atrás para el nuevo reglamento  09-02-2018
El nuevo reglamento GDPR de la UE amenaza con multas del 4% de la facturación a partir de junio del 2018 si no se aplica la normativa.
La conmemoración este domingo del Día Internacional de la Protección de Datos se produce en plena cuenta atrás para que la nueva norma europea, que prevé millonarias multas para las empresas que la incumplan, sea de obligado cumplimiento, y en España ya han avisado de que no habrá prórrogas en su aplicación.
El Reglamento General de Protección de Datos (RGPD) entró en vigor el 25 de mayo de 2016, pero será a partir de este año cuando comience a aplicarse, ya que este periodo de dos años ha servido para que empresas y organizaciones que tratan datos personales vayan preparándose y adaptándose.
Pero una vez que llegue el día D, la norma se aplicará desde el "minuto uno", sin "régimen transitorio", ni plazos, ni prórrogas, han advertido desde la Agencia Española de Protección de Datos (AEPD), organismo que velará en España por su cumplimiento.

Consulta pública de la Comisión Europea sobre la futura "Lista de vigilancia de la piratería y la falsificación"  02-02-2018
La Comisión Europea ha convocado una consulta pública para crear su primera "Lista de vigilancia de la falsificación y la piratería" de ámbito mundial.
El objetivo es identificar los mercados fuera de la UE donde la falsificación, la piratería u otras formas de abuso de propiedad intelectual son prácticas comunes. La iniciativa forma parte de la estrategia de la Comisión anunciada en la Comunicación de 2017 "Un sistema equilibrado de aplicación de la propiedad intelectual que responda a los desafíos sociales de la actualidad". Con las aportaciones de las partes interesadas, la futura lista de vigilancia ayudará a crear conciencia sobre los consumidores que pudieran estar comprando productos en esos mercados, alentando a sus operadores y propietarios a tomar medidas enérgicas contra el abuso de la Propiedad Intelectual. La Comisión también supervisará las medidas adoptadas por las autoridades locales, para reducir la disponibilidad de bienes y servicios que infrinjan los derechos de Propiedad Intelectual en los mercados identificados.
Las infracciones de la Propiedad Intelectual son una lacra para la industria europea y obstaculizan la inversión y el empleo en industrias que dependen de la creatividad y la innovación. Según la Oficina de Propiedad Intelectual de la Unión Europea (EUIPO) y la OCDE, el comercio de productos pirateados y falsificados asciende a alrededor 338.000 millones de euros en todo el mundo. La Unión Europea se ve particularmente afectada, con productos falsificados y pirateados que representan alrededor del 5% de todas las importaciones, con un valor equivalente de 85.000 millones de euros anuales.
Las contribuciones a la consulta pública deberán enviarse antes del 31 de marzo de 2018.

La nueva LOPD  01-02-2018
Las principales novedades de la nueva LOPD:
Esta ley viene a sustituir a la LOPD vigente y en ella encontramos una serie de cambios que afectan a la mayoría de empresas de nuestro país. Por eso es importante conocer punto por punto las principales novedades.

Son muchas las empresas que están empezando a realizar los trámites pertinentes para adaptarse a los nuevos cambios y a las exigencias de dicha ley. Por eso es importante mencionar las novedades más importantes de la nueva LOPD. Las detallamos a continuación.

Consentimiento e interés legítimo

Se elimina el concepto de consentimiento tácito y se refuerza convirtiéndose en una acción más positiva y expresa. La nueva LOPD quiere asegurar que el consentimiento de las personas para el tratamiento de los datos derive de una declaración o acción clara.

El consentimiento explícito debe ser verificable, es decir, la entidad debe poder acreditar que el consentimiento se ha obtenido respetando las directrices legales. Además, el tratamiento de datos debe basarse siempre en un consentimiento previo, pero se podrá realizar en caso de que exista un interés legítimo.
Los menores pueden prestar consentimiento a los 13 años

Los menores de edad podrán prestar consentimiento para el tratamiento de datos a los 13 años de edad, cuando anteriormente era a los 14 años.

Riesgos

Con la era digital han aumentado los riesgos de que los datos personales de los individuos circulen por Internet sin la protección necesaria. Las empresas deberán proteger los datos de sus clientes y en ningún momento compartirlos o filtrarlos sin su consentimiento. Deberán utilizar un cifrado fuerte para su protección, dejando atrás cualquier tipo de cifrado obsoleto. El objetivo será el de garantizar de forma jurídica la protección privilegiada de los datos personales y particulares.

Delegado de Protección de datos

En la nueva LOPD se crea la figura del Delegado de Protección de Datos. Es lo que se conoce como el Data Protector Officer (DPO). Se trata de una persona física o jurídica cuya asignación debe ser comunicada a la Agencia Española de Protección de datos (AEPD). Es obligatorio para las empresas contar con su figura o con la formación necesaria. En caso contrario, la norma menciona varias infracciones graves.

Principio de transparencia

El principio de transparencia se recoge en la nueva LOPD. Se refiere a que los usuarios deberán ser informados del tratamiento de los datos, siempre que les afecte. Y que deberán ser informados de forma clara y precisa para que sean conscientes, con un lenguaje natural y claramente entendible.

Limitación del tratamiento o portabilidad

Se nombran nuevos derechos que se unen a los que ya teníamos de acceso, rectificación, oposición o cancelación. Hablamos de los nuevos derechos de limitación del tratamiento o portabilidad. Es una ampliación de los conocidos “derechos ARCO”.
Se incluye además, el principio de exclusión de la imputabilidad del responsable en caso de que haya tomado las medidas razonables para la supresión o rectificación de datos. Así lo recoge la nueva LOPD.

Procedimientos

La nueva ley también promueve la existencia de mecanismos de autorregulación en el sector público y privado. También introduce la obligación de bloqueo, para garantizar que los datos queden a disposición de las autoridades (AEPD), un tribunal o el Ministerio Fiscal frente a responsabilidades derivadas del tratamiento. El objetivo es evitar que se puedan borrar para encubrir un posible incumplimiento.

En cuanto a los procedimientos administrativos, AEPD deberá desarrollar y revistar los tratamientos de datos personales para adaptarnos a las nuevas exigencias.

Listas Robinson

Las listas de exclusión publicitaria, conocidas como Listas Robinson, son ficheros que han sido creados para tratar el acoso publicitario mediante SPAM, ya sea vía teléfono, emails, mensajes de texto, correo postal, etc. La nueva LOPD afirma que será lícito tratar datos de carácter personal. El objetivo es que los usuarios que han manifestado su oposición, dejen de recibir este tipo de comunicaciones comerciales. La nueva ley también regula otras situaciones, como por ejemplo los sistemas de videovigilancia.

Estas son las principales novedades que encontramos en la nueva LOPD que entrará en vigor el próximo año. Así están las cosas a falta del trámite parlamentario, donde seguramente se realice alguna que otra modificación.

Una nueva LOPD que afecta principalmente a las pequeñas y medianas empresas.

Las empresas deberán asegurarse de que cumplen con la nueva LOPD en todos los puntos, porque de no hacerlo, podrían enfrentarse a importantes sanciones.

El ejercicio eficaz del derecho al olvido  01-02-2018
Mucho se ha escrito y se ha hablado, sobre todo en medios de comunicación, del famoso “Derecho al Olvido”, por lo tanto resulta curioso que en el Anteproyecto de Ley Orgánica de Protección de Datos, que pretende adaptar el Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) cuando es innecesario dado que el mismo es de aplicación directa, no mencione en ningún momento el Derecho al Olvido, aunque tampoco es que en el RGPD se mencione especialmente.
El “derecho al olvido” no deja de ser la actualización al mundo globalizado de los clásicos derechos de cancelación y oposición, aunque aplicado de forma concreta a los buscadores, los cuales ofrecen una falsa apariencia de veracidad y de actualidad en los resultados que puede dar situaciones, como las que ya se han dado, de que se asocie a nuestra persona información desactualizada. Para evitarlo, tenemos la posibilidad de limitar la difusión de nuestra información cuando la misma esté obsoleta, no sea relevante o contravenga la normativa., aunque en su origen fuese legítima o estuviese amparada en el derecho a la libertad de expresión.
Este derecho al olvido parte de la base de que los motores y robots utilizados por los buscadores, como Google, Yahoo! o Bing, realizan un tratamiento de datos personales aunque no se puede ejercer frente a ellos los derechos de cancelación u oposición dado que no tienen posibilidad de modificar la información contenida en una página web cuya dirección muestran al realizar una búsqueda, la solución reconocida consiste en la no indexación de un determinado contenido al buscar el nombre del interesado.

Es decir, la información que se aloja en la web, por ejemplo de un periódico, no se modificará ni se eliminará de internet, esta seguirá siendo pública, pero una vez ejercido el derecho los motores de búsqueda no indexarán esa información a nuestro nombre, de tal forma que cuando alguien busque la página no será visible y por tanto no aparecerá en los resultados de búsqueda, aunque en la fuente original si aparecerá la información o noticia, al igual que aparecerá en los resultados cuando se busque el suceso o la información, solo se “romperᔠel nexo entre nuestro nombre y la información.

Una vez que conocemos el derecho solo nos quedaría pendiente ejercerlo, para lo cual encontramos dos opciones:
La primera, ejercer nuestro derecho frente al buscador para evitar que los buscadores indexe la URL del resultado respecto de una determinada búsqueda, aunque el buscador te aplicará sus propias normas internas, que establecen los términos para retirar información de su buscador. Por ejemplo Google (Rey de los buscadores a nivel mundial), tiene muy tasadas las categorías de datos que retirará, en su propia Política de Retirada de Información incluyen una relación de información que suelen retirar:
Número de Identificación Nacional.
Número de cuentas bancarias.
Número de tarjetas de crédito.
Imágenes de firmas.
Imágenes sexualmente explícitas o de desnudos subidas o compartidas sin consentimiento.
Historiales médicos confidenciales.
También advierten de que no suelen retirar fechas de nacimiento, direcciones o número de teléfono.

La segunda, solicitar el uso de las etiquetas “noindex” o “noarchive” lo cual podemos solicitar directamente al editor del contenido, como ha reconocido la jurisprudencia del Tribunal de Justicia de la Unión Europea, de esta forma cuando los buscadores encuentren la URL en la búsqueda sabrán que no pueden indexarla.
Analizando ambas posibilidades de ejercicio de derecho al olvido, personalmente me decantaría por dirigirme primero contra la página web que aloja el dominio por dos razones:

Ejercer el derecho al olvido ante un buscador solo evita las búsquedas usando ese buscador, hay que tener en cuenta que aunque ser Google el más utilizado en el mundo existen múltiples buscadores como Yahoo!, Bing, Yandex o Baidu son solo unos ejemplos y un ejercicio completo supondría tener que dirigirnos a cada uno de los buscadores.
Si la web que aloja el contenido está ubicada en España o en Europa, podremos dirigirnos a ella con mayor accesibilidad que si lo hacemos frente a un buscador que se encuentra ubicado en un país no comunitario, como podría ser China, en el caso del buscador Baidu, lo que nos facilitaría la comunicación, la solicitud y, en caso de no estar satisfechos, la posibilidad de recurrir a la AEPD que tendrá mayor eficacia frente a un prestador de servicios de la sociedad de la información ubicado en España o en Europa que ante un buscador extranjero.

El Reglamento europeo de Protección de Datos refuerza los derechos de los ciudadanos sobre sus datos personales  29-01-2018
La normativa europea, que será aplicable el próximo 25 de mayo, también otorga a los ciudadanos una mayor protección ante empresas ubicadas fuera de la Unión Europea

El derecho a la portabilidad, el derecho a la supresión de la información personal o el de limitar el tratamiento que se hace de los datos complementan a los tradicionales derechos ARCO.
La Agencia Española de Protección de Datos (AEPD) ha publicado una infografía con los nuevos derechos que tendrá el ciudadano a partir del 25 mayo, y que complementan a los tradicionales derechos ARCO (Acceso, Rectificación, Cancelación y Oposición). Uno de ellos es el nuevo derecho a la portabilidad, por el que una persona que haya proporcionado sus datos a un proveedor de servicios podrá solicitar la recuperación y traslado de esos datos a otra plataforma cuando sea técnicamente posible.

También hay que mencionar el llamado derecho de supresión, que sustituye y amplía el actual derecho de cancelación; el derecho a la limitación en el tratamiento de los datos personales, o que cuando se deba pedir consentimiento al ciudadano para tratar sus datos éste deba darlo de forma inequívoca, excluyendo el consentimiento tácito. Además, se amplía la información que hay que ofrecer al ciudadano indicando, entre otros puntos, quién recoge los datos, para qué los va a utilizar, durante cuánto tiempo, si los va a ceder a terceros o si se van a tomar decisiones automatizadas o elaborar perfiles, así como sus consecuencias.

En un mundo en el que la tecnología tiene un papel protagonista, también otorga a los ciudadanos una mayor protección ante empresas ubicadas fuera de la Unión Europea cuando el tratamiento de los datos personales se derive de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento. Esta novedad supone una garantía adicional a los ciudadanos europeos ya que, en la actualidad, para ofrecer servicios y tratar datos no es necesario mantener una presencia física en un territorio.

¿Está preparada su empresa para el nuevo Reglamento de Protección de Datos?  18-01-2018
La normativa europea empezará a aplicarse el 25 de mayo. A pesar de los dos años de margen para adecuarse a las nuevas obligaciones, muchas empresas todavía no han adaptado sus estructuras.
El Reglamento General de Protección de Datos (RGPD) es uno de los cambios normativos más importantes llevado a cabo por la Unión Europea. Esta legislación, de obligado cumplimiento a partir del 25 de mayo de 2018, otorgará un mayor grado de control a los ciudadanos sobre su información privada en el mundo 2.0, pero también impondrá cambios radicales para las empresas y éstas deberían llevar dos años adaptando sus protocolos y estructuras si no quieren ser sancionadas.

Pero, ¿están preparadas las empresas españolas ante la próxima aplicación de este nuevo marco legal? Rafael García, jefe del área de internacional de la Agencia Española de Protección de Datos (AEPD), resume la situación actual afirmando que "no estamos ni tan bien como deberíamos, ni tan mal como podríamos. El margen de tiempo de adaptación otorgado por la UE -dos años- ha sido un periodo razonable y muchas empresas ya han hecho los deberes. Otras, sin embargo, están dejando esta labor para el último momento, lo que les puede acarrear ciertos problemas".

Para Rosa Rodríguez, directora de la asesoría jurídica de Securitas Direct, la gran ventaja de España y sus compañías es que nuestro país "tiene un mayor grado de madurez que otros estados respecto al tratamiento de datos, puesto que la Ley Orgánica de Protección de Datos era muy fiel a la directiva y la AEPD siempre se ha mostrado muy estricta en su cumplimiento". La letrada, sin embargo, afirma que el RGPD impone cambios muy relevantes, por lo que es esencial contar con el apoyo de la cúpula directiva, realizar cambios en el proceso de organización y abrazar nuevas metodologías.

Camino por recorrer

Algo que corrobora Paola Redecilla, compliance officer de Experian, que asegura que en su firma, a pesar de haber iniciado los cambios desde el primer momento y así haber logrado una buena adaptación, todavía queda mucho por hacer. "Sólo existe una manera de avanzar en la buena dirección y ésa es contar con la implicación de todos los departamentos de la compañía -de arriba a abajo-, puesto que esta normativa afecta a todas las divisiones".

La complicidad de todos las áreas de las empresas es uno de los asuntos más relevantes para Francesc Vallès, responsable de regulatorio y asuntos públicos de Hill+Knowlton Strategies. El experto también destaca que el RGPD trata de buscar un equilibrio entre los datos y su flujo dentro de la actividad económica mediante una serie de obligaciones, pero es esencial "encontrar la manera de convertir esas imposiciones en un valor añadido para cualquier compañía".

En ese mismo sentido se expresa Raúl Pérez García, global presales manager de Panda Security, que asegura que "el que vea el RGPD como un obstáculo se está equivocando y simplemente no lo quiere aplicar. Existe un claro descontrol, los datos están desperdigados y el RGPD cuenta con herramientas para tratar de aunarlos y minimizarlos".

Justamente, para García, una de las oportunidades que brinda el reglamento a las compañías es que éstas, aplicando las obligaciones de la nueva norma, lograrán conocer en profundidad los datos de que disponen y encontrar un nuevo valor a este tipo de información.

Uno de los aspectos que más preocupación genera, y que consigue la unanimidad entre todos los expertos, es que el RGPD, que empezará a aplicarse en menos de cuatro meses, sigue generando muchas dudas. "Si el regulador europeo ha querido ser vago y no precisar ciertos aspectos es por voluntad propia", explica el jefe del área de internacional de la AEPD. García insiste en que, en este sentido, no tiene duda de que el nuevo Comité Europeo de Protección de Datos -organismo integrado por los directores de todas las autoridades de protección de datos de la UE- "tendrá un papel protagonista en la interpretación y aclaración de muchas de esas incógnitas".

Sanciones

Otro tema que preocupa, y mucho, a las compañías es el de las sanciones aplicables en caso de incumplimiento del reglamento europeo. "El sistema sancionador del RGPD es brutal, incomparable con otras normas, y genera un nerviosismo elevado porque se desconoce cuál será el criterio empleado para multar, teniendo en cuenta la ambigüedad del texto legal", comenta Redecilla. Algo semejante apunta Rodríguez, que asegura que "es necesario ampliar los conocimientos sobre el nuevo marco legal, puesto que hay muchos asuntos interpretables y que podrían acarrear serias sanciones".

Frente a esta última afirmación, García reconoce que el RGPD no es exhaustivo en la explicación de las infracciones y sus posibles castigos. Sin embargo, también explica que aunque esta norma cuenta con multas muy elevadas, está convencido de que "para determinar la sanción aplicable se tendrán en cuenta aspectos como la cooperación de la compañía durante la investigación, el nivel de aplicación de las obligaciones del RGPD, así como la actividad proactiva de la empresa para proteger los datos personales de los usuarios y clientes. Nuestro sistema sancionador es muy estricto y no deja espacio a la interpretación. Este nuevo marco jurídico es, en ese sentido, más flexible".

Cambios más importantes

El Reglamento General de Protección de Datos ha impuesto importantes cambios a las compañías y éstas deberán implementarlas antes del próximo 25 de mayo.

Consentimiento. No se permite el consentimiento tácito, lo que obliga a todas las empresas a revisar el conjunto de cláusulas y rehacerlas. Además, este consentimiento debe ser revocable en cualquier momento. Las compañías deben asegurarse de que los datos sólo están siendo empleados para los fines para los que fueron recabados.
Comunicación de fallos. El responsable de tratamiento deberá notificar los fallos de seguridad a la Agencia Española de Protección de Datos (AEPD) en un plazo de 72 horas. Este experto tendrá que contar con un sistema efectivo para realizar el reporte o para comunicar el fallo a los afectados, si existiera algún riesgo para sus derechos.
DPO. El 'data protection officer' o delegado de protección de datos es una figura esencial en el nuevo reglamento europeo. Éste tendrá que identificar todos los posibles riesgos y buscar soluciones para solventarlos.

La OEPM cierra el año ofreciendo como dato más positivo el aumento del 3,3% en solicitudes de Signos Distintivos  17-01-2018
Los datos provisionales de la OEPM correspondientes al ejercicio 2017 ofrecen como dato más positivo el incremento de solicitudes de Signos Distintivos, que han aumentado un 3,34% con respecto a 2016, pasando de 59.491 a 61.478 solicitudes. Si se hace distinción entre Marcas y Nombres Comerciales podemos observar que las primeras se mantienen estables (pasando de 52.103 a 52.029, un 0,14% menos) frente a un aumento del 27,9% en Nombres Comerciales (de 7.388 a 9.449 solicitudes).
En lo que respecta a Diseños Industriales, durante 2017 la OEPM ha recibido 1.884 expedientes, un 10,11% menos que el año anterior (en 2016 se tramitaron 2.096 expedientes). Sin embargo, si lo que tenemos en cuenta es el número de diseños (no expedientes), ha habido un incremento del 22,3% (del 18.035 a 22.064, datos todavía no publicados).
Respecto a invenciones, sufren un descenso del 10,92%. La OEPM ha recibido en 2017 4.700 solicitudes, frente a 5.276 en 2016. Este descenso se debe fundamentalmente a la bajada en las solicitudes de patente, que ha pasado de 2.849 a 2.285 solicitudes (un 19,8% menos). Los Modelos de Utilidad, por el contrario, se han mantenido prácticamente estables, pasando de 2.427 a 2.415 en 2017 (ligero descenso del 0,5%).
Se desmarcan de estos datos negativos las Comunidades Autónomas de La Rioja, Islas Baleares, Navarra, Aragón y Castilla y León, con aumentos del 41,18%, 22,22%, 18,37%, 4,79% y 1,12% respectivamente en el número de solicitudes de patente en 2017.


Ir a la pagina... 1  2  3  4  5  6  7  8  9  10  11  12  Pág. siguiente (2)