Nuestro Blog

La compraventa de Bases de Datos es ilegal según la LOPD  19-12-2017
Por Vanesa González.

Responsable Departamento de Soporte de Aemol Consulting

Las bases de datos, sean propias o no, sólo pueden utilizarse para aquellas finalidades derivadas de la prestación de servicios concretos que determina la relación entre empresa y cliente, de ahí que la Ley Orgánica de Protección de Datos (LOPD) obligue a los usuarios de bases de datos a decir en cada comunicación de dónde han obtenido dichos datos.

Entre las preguntas más habituales que nos hacemos en relación a una base de datos ¿Puedo comprar una base de datos? ¿Debo pedir permiso para enviar emails? ¿Puedo utilizar emails públicos obtenidos de internet? Pues bien, el uso de las bases de datos tiene sus propias peculiaridades en función de su tipología, características del tratamiento, tipos de soportes y sistemas donde se alojen. La creación de bases de datos exige la aplicación de unas determinadas medidas de seguridad, tanto técnicas como administrativas, variando en función de la mayor o menor sensibilización de los datos que la integran.
Según el artículo 66 del Reglamento (UE) 2016/679, la limitación del tratamiento de los ficheros automatizados debe realizarse, en principio, por medios técnicos, de forma que los datos personales no sean objeto de operaciones de tratamiento ulterior ni puedan modificarse. El hecho de que el tratamiento de los datos personales esté limitado debe indicarse claramente en el sistema.

Nuestras bases de datos no deberían ser un cajón de sastre, sin orden ni sentido, sino una herramienta de gestión empresarial que nos permita conocer y segmentar a nuestro público objetivo a la vez que un activo empresarial. Tener una buena base de datos exige tiempo y dedicación para su actualización, depuración y mantenimiento permanente. Si hace unos años los clientes pasaban por la puerta o el escaparate del negocio; hoy en día, la puerta y la calle son internet, por tanto la forma de comunicación con los clientes ya no es el buzoneo físico o el reparto de folletos, sino estar presente en la red y realizar ciberbuzoneo, telemarketing o mailing con ofertas o propuestas de servicios y que exige para la comunicación personal el manejo continuo de datos que respeten las garantías de la LOPD y de todas las restricciones que impone a la hora de generar, modificar y almacenar bases de datos.
En caso de adquirir una base de datos hemos de tener en cuenta los aspectos: declaración de legalidad de la base de datos y cláusula de exoneración de responsabilidad; plazo de caducidad y actualización de la base de datos; informar en cada comunicación a los destinatarios sobre el origen de los datos, así como los datos del remitente de la publicidad y la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación u oposición; consulta previa de la lista Robinson y atender a los derechos ARCO de los interesados.

El uso y la compraventa de las bases de datos es un tema muy controlado desde la Unión Europea y el mal uso de las mismas sin atender a los factores anteriormente mencionados puede acabar en multas muy importantes, dependiendo de la gravedad de cada caso y las sanciones pueden ser administrativas o económicas variando estas entre los 60.000 y los 300.000€.

En conclusión, no se deben comprar bases de datos, no sólo por razones de fiabilidad de las mismas sino por cuestiones legales de la propia ley LOPD y la LSSI (Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico), así como del Reglamento (UE) 2016/679 que será de obligatorio cumplimiento a partir de mayo de 2018.

Requisitos para poder traducir documentos de patentes o solicitudes de patentes en los procedimientos regulados en los artículos 154.2 Y 169.2 de la Ley 24/2015, de 24 de julio, de Patentes  18-12-2017
En cumplimiento con lo dispuesto en la disposición final quinta del Real Decreto 316/2017, de 31 de marzo, por el que se aprueba el Reglamento para la ejecución de la Ley 24/2015, de 24 de julio, de Patentes (en adelante, Reglamento de Patentes) por la Directora General de la Oficina Española de Patentes y Marcas, se presenta propuesta de orden ministerial sobre los requisitos que debe cumplir un profesional para poder realizar traducciones de los documentos de patentes o de solicitudes de patente europea o de solicitudes internacionales PCT, en los procedimientos regulados en los artículos 154.2 y 169.2 de la Ley de Patentes. Estos requisitos se establecen con la finalidad de garantizar la fidelidad y exactitud de las traducciones y, por tanto, que el alcance de la protección otorgado por la patente o por la solicitud de patente con posterioridad a la traducción se corresponda con el conferido por aquella en el idioma originario.
A los efectos del artículo 133 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas y del artículo 26.6 de la Ley 50/1997, de 27 noviembre, del Gobierno por medio de este anuncio se realiza el trámite de información pública sobre el proyecto de orden ministerial de los requisitos para poder traducir documentos de patentes o solicitudes de patentes en los procedimientos regulados en los en los artículos 154.2 y 169.2 de la Ley 24/2015, de 24 de julio, de Patentes.
Se facilita para su consulta el texto del borrador de norma y se habilita la cuenta de correo electrónico departamento.coord-inter@oepm.es para que los interesados puedan formular las observaciones que estimen oportunas, en el plazo de 15 días hábiles a contar desde el día siguiente a la publicación de esta noticia.

Novedades del nuevo Reglamento Europeo de Protección de Datos y diferencias con la LOPD  18-12-2017
Con la mirada puesta en el 25 de mayo de 2018, las empresas especializadas en LOPD seguimos dando respuesta a las preguntas que nos transmiten clientes, franquicias, colaboradores sobre si ¿Habrá muchos cambios con el nuevo Reglamento?, ¿Cuáles serán?, ¿Estoy obligado a adaptarme?, ¿La LOPD dejará de estar vigente?, ¿Por dónde empiezo?
La aplicación del Reglamento General de la UE de Protección de Datos (RGPD) cambia el panorama de la Protección de Datos, dado que tendrá un alcance general y será obligatorio en todos sus elementos y aplicable directamente en cada Estado miembro. Las disposiciones de la LOPD y su reglamento de desarrollo no serán completamente derogados, podrán aplicarse cuando regulen cuestiones que no estén cubiertas por el Reglamento y en la medida en que no sean contradictorias con éste. La norma esencial de aplicación será el RGPD, que introduce modificaciones y nuevas obligaciones.

Todas las empresas están obligadas a cumplir el Reglamento en materia de protección de datos. A la hora de tratar los datos personales se realizará de manera transparente, proporcionando una mejor información, más completa y sencilla. Asimismo, el consentimiento para poder tratar los datos de carácter personal ha de ser inequívoco, libre y revocable.
Cambios introducidos por el Reglamento General de la UE de Protección de Datos (RGPD)

En cuanto a los cambios, hemos de señalar dos elementos que constituyen la mayor innovación del RGPD para los responsables del tratamiento: uno, el principio de responsabilidad proactiva que exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo. Por ello, el responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas para garantizar y poder demostrar que el tratamiento es conforme con el Reglamento. Y el segundo, el enfoque de riesgo recoge expresamente que las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas.

Derechos que reconoce el RGPD

En cuanto a los derechos, en la LOPD se reconocen derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO). Con el RGPD se mantienen los derechos reconocidos como ARCO, si bien se modifica el procedimiento de los mismos para ejercerlos estableciéndose condiciones concretas, además se regulan nuevos derechos. Partiendo del principio de transparencia, en el RGPD se recalca que el procedimiento debe ser visible, accesible y sencillo. Los responsables tienen la obligación de facilitar y garantizar a las personas interesadas el ejercicio de sus derechos, permitiendo que se puedan presentar solicitudes mediante medios electrónicos. El ejercicio de los derechos será gratuito salvo excepciones de solicitudes infundadas o excesivas. El responsable deberá informar al interesado sobre las actuaciones derivadas de su petición en el plazo de un mes que podría ampliarse hasta dos, si el responsable decidiera no atender una solicitud deberá informar de la negativa en un plazo de un mes. En el derecho de acceso se ha introducido una modificación que valoramos positivamente. Se reconoce el derecho a obtener una copia de los datos personales objeto del tratamiento, antes se facilitaban los datos de base del afectado, pero no copias o documentos (excepto en el caso de la historia clínica).

Por otra parte, en el RGPD se regulan nuevos derechos: el derecho al olvido, el derecho a la portabilidad de los datos y el derecho a la limitación de tratamiento. El primero de ellos, derecho al olvido, permite al interesado, en determinados casos, obtener sin dilación indebida del Responsable del Tratamiento de Datos (RTD), la supresión de los datos personales que le conciernan, lo que vendría a ser como los derechos de oposición y cancelación reforzados y garantizados en el entorno de Internet. Es la consecuencia de la aplicación del derecho al borrado. Otro derecho, es el derecho a la portabilidad de los datos, permite al interesado recibir los datos personales que le incumban. Además, tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible. Este derecho facilita la contratación electrónica y el cambio de proveedor de servicios, simplificando el traslado de los datos y garantiza que el proveedor anterior no retenga los datos del interesado. El derecho a la limitación de tratamiento, es un nuevo derecho donde aún existen cuestiones inconclusas que se irán perfilando. Este derecho supone que, a petición del interesado, este último tiene la potestad de solicitar y obtener del responsable de tratamiento de datos una limitación del tratamiento de sus datos personales cuando concurran en inexactitud, ilicitud, oposición o reclamación. El responsable de datos informará al interesado cuando deje de aplicar la limitación de datos. No debe confundirse con el bloqueo de datos que existe en la legislación española.

Cambios y obligaciones de control en el seno de las empresas

Con el RGPD, son distintos los cambios y las obligaciones de control que tendrán lugar en el seno de la empresa. Entre ellas, deberán incorporar la figura del Delegado de Protección de Datos, llevar un Registro de Actividades de Tratamiento y realizar una Evaluación de Impacto de Tratamiento de Datos. El Delegado de Protección de Datos será el encargado de asesorar sobre todos los asuntos en materia de protección de datos. Asimismo, supervisará el cumplimiento de la normativa aplicable y, si se diese el caso, cooperar con las autoridades y actuar como punto de contacto en caso de que se plantee alguna cuestión relacionada con la privacidad. Los Registros de Actividades serán realizados tanto por los responsables como por los encargados de tratamiento, se hará por escrito y con información detallada acerca de cada operación de tratamiento de datos que realicen; y, por último, las Evaluaciones de Impacto se llevarán a cabo realizarán en los supuestos en los que un tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas, en especial por el uso de nuevas tecnologías.

El ámbito de aplicación del Reglamento, como hasta ahora, se aplicará a Responsables o Encargados de Tratamiento de datos establecidos en la UE y se amplía a Responsables y Encargados de datos no establecidos en la UE siempre que estos realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión Europea.

Sanciones

Uno de las cuestiones que está generando más debate y controversia es la diferencia exponencial de la cuantía de las sanciones en el Reglamento. No se establecen cuantías mínimas, las máximas son mucho más elevadas, pudiendo alcanzar los 20 millones de euros, en función del artículo que haya sido vulnerado. Las sanciones impuestas sobre infracciones tendrán en cuenta para la aplicación de las mismas el volumen de negocio total anual de la empresa sancionada.

El Reglamento supone un mayor compromiso de las empresas y organizaciones en materia de protección de datos, cambiando por tanto la forma de su gestión. Una labor que resulta compleja y tediosa para la mayoría de las empresas, que desconocen los entresijos y requerimientos en materia de protección de datos y, que por ello demandan nuestros servicios especializados. Por nuestra experiencia, conocemos y sabemos de la sensibilidad de los datos y la reticencia de facilitar esa información por parte de los clientes, de ahí que la confianza y profesionalidad sean imprescindibles. En nuestro caso, más del 90 % de nuestros clientes repite porque ofrecemos servicios de garantía y profesionalidad con soluciones personalizadas y adaptadas a cada empresa, organización, negocio o profesional para que puedan cumplir de manera continua y rigurosa con la normativa.

Autora: Vanesa González

Responsable del Departamento de Soporte de Aemol Consulting.
Consultora experta en materia de Protección de Datos, Corporate Compliance y Prevención de Riesgos Laborales con más de 10 años de experiencia en el Sector y amplia formación específica en el mismo.

Diferencias entre el Encargado de Tratamiento, Responsable de Tratamiento, Responsable de Privacidad y Delegado de Protección de Datos  13-12-2017
En apenas 6 meses el Nuevo Reglamento de Protección de Datos estará presente en todas las
empresas y, a día de hoy, son muchas las dudas y las consultas que recibimos a diario sobre el mismo. En este artículo, queremos centrarnos en diferenciar la figura del Delegado de Protección de Datos (DPO), el Encargado de Tratamiento, el Responsable del Tratamiento y el Responsable de Privacidad.
El Responsable del Tratamiento es la persona física o jurídica, autoridad pública, servicio u otro
organismo que en el ejercicio de su actividad trata datos de carácter personal.
Por ejemplo: EMPRESA, S.L.
El Encargado de Tratamiento es la persona física o jurídica, autoridad pública, servicio u otro
organismo que en el ejercicio de su actividad trata datos de carácter personal que son responsabilidad del responsable del Tratamiento.
Por ejemplo: INFORMÁTICA, S.L. (Empresa que se encarga del mantenimiento informático de EMPRESA, S.L.).
El Responsable de Privacidad es la persona que trabaja en la empresa y que, aparte de su cargo, también es designada para coordinar todos los aspectos relacionados con la adecuación de las actuaciones de la entidad en materia de Protección de Datos.
Por ejemplo: Luís Fernández (Empleado de EMPRESA, S.L.).
En cuanto al Delegado de Protección de Datos... ¿Quién es y qué hace?
El conocido como DPO es un profesional con conocimientos especializados de la normativa y práctica en materia de protección de datos. Sus funciones consisten en ayudar al responsable o al Encargado de Tratamiento. Puede ser interno o externo, y debe estar en condiciones de desempeñar sus funciones de manera independiente. Una vez nombrado, hay que comunicar sus datos a la Agencia Española de Protección de Datos (AGPD).
Por ejemplo: AEMOL CONSULTING.
Es concretamente esta figura la que, por ser la novedad del Reglamento Europeo de Protección de Datos, está siendo la más cuestionada y, por ello, la analizaremos con mayor detalle.
EL DPO no es obligatorio para todas las empresas. Su obligatoriedad es necesaria en 3 supuestos concretos: cuando el tratamiento lo lleva a cabo una Autoridad u Organismo Público; en segundo lugar, si las actividades principales del responsable o el Encargado de Tratamiento consisten en operaciones de tratamiento que requieren el seguimiento regular y sistemático de los interesados a gran escala y, en tercer lugar, cuando las actividades principales del responsable o el Encargado de Tratamiento consisten en el tratamiento a gran escala de categorías especiales de datos o datos personales relacionados con condenas y delitos penales.
Llegados a este punto, las empresas que necesitan DPO son:
• Los colegios profesionales y sus consejos generales
• Los centros docentes
• Las entidades que exploten redes y presten servicios de comunicaciones electrónicas,
incluyéndose las compañías telefónicas y los proveedores de acceso a internet
• Los prestadores de servicios de la sociedad de la Información destacando los operadores de
telecomunicaciones, proveedores de acceso a internet, los portales, motores de búsqueda y
cualquier sujeto que disponga de un sitio en internet
• Las entidades de crédito, incluyendo los bancos, cajas de ahorro, cooperativas de crédito y
el instituto de crédito oficial
• Los establecimientos financieros de crédito y aquellas empresas que, sin tener la
consideración de entidad de crédito y previa autorización del ministerio de Economía y
Competitividad, se dediquen con carácter profesional a la concesión de préstamos y créditos, el arrendamiento financiero o la concesión de avales y garantías.
• Las entidades aseguradoras y reaseguradoras
• Las empresas de servicios de inversión como las sociedades de valores, las agencias de
valores, las sociedades gestoras de carteras y las empresas de asesoramiento financiero
• Los distribuidores y comercializadores de energía eléctrica y de gas natural
• Las entidades responsables de ficheros comunes para la evaluación de la solvencia
patrimonial y crédito de los ficheros comunes para la gestión y prevención del fraude incluyendo
a los responsables de los ficheros regulados por la Ley de Prevención del Blanqueo de Capitales
y Financiación del Terrorismo
• Las entidades que desarrollen actividades de publicidad y prospección comercial, es decir
aquellas empresas de investigación comercial y de Mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos
• Los centros sanitarios
• Las entidades que tengan como uno de sus objetos la emisión de informes comerciales
acerca de personas y empresas
• Los operadores que desarrollen la actividad de juego, siempre que la actividad se realice
través de canales electrónicos, informáticos, telemáticos e interactivos
• Quienes desempeñen las actividades de seguridad privada, incluidos los vigilantes de
seguridad y su especialidad de vigilantes de explosivos, los escoltas privados, los guardas rurales y su especialidad de guardas de caza y guardapescas marítimos, los jefes de seguridad, los directores de seguridad y los detectives privados
• Designación voluntaria por parte de la empresa
Por último, los Responsables y Encargados de Tratamiento, comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos y, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los Delegados de Protección de Datos, tanto en los supuestos en que se encuentre la empresa obligada como en el caso en que la designación sea voluntaria.
Vanesa González
Departamento Soporte Aemol Consulting
Revista Especial Directivos 1723, Nº 1723, 1 de dic. de 2017, Editorial Wolters Kluwer España

14/12/17- Jornada "La importancia de la Propiedad Industrial para las empresas" - Burgos  13-12-2017
El próximo 14 de diciembre de 2017 tendrá lugar una jornada sobre la importancia de la Propiedad Industrial para empresas y emprendedores. La jornada, que forma parte del Proyecto Europeo VIP4SME en el marco del programa H2020 en el que participan la Asociación Nacional de CEEIs (ANCES) y la OEPM, tendrá lugar en el Aula formativa (39) Instalaciones del CEEI Burgos (Avda. de la Innovación s/n 09007 Burgos).

Título: La importancia de la Propiedad Industrial para las empresas
Fecha: 14 de diciembre de 2017
Horario: 18:00 – 20:00h
Lugar: Instalaciones del CEEI Burgos (Avda. de la Innovación s/n 09007 Burgos)
Más información e inscripciones: http://www.ceeiburgos.es/publicaciones/la-importancia-de-la-propiedad-industrial-para-las-empresas

El Esquema Nacional de Seguridad recoge las medidas que debe aplicar el sector público para cumplir con los requisitos del RGPD en este ámbito  13-12-2017
El CCN-CERT y la AEPD establecen un mecanismo de colaboración para ofrecer a las Administraciones Públicas una referencia de cumplimiento normativo en materia de protección de datos y seguridad.

La herramienta PILAR para Administraciones Públicas incluye desde hoy un módulo para facilitar el cumplimiento
El Reglamento General de Protección de Datos (RGPD), que establece nuevos requisitos, será aplicable el 25 de mayo de 2018
(Madrid, 12 de diciembre de 2017). El CCN-CERT y la Agencia Española de Protección de Datos (AEPD) han establecido un mecanismo de colaboración con el objetivo de ofrecer a las Administraciones Públicas una referencia de cumplimiento normativo en materia de protección de datos y seguridad ante la próxima entrada en vigor del Reglamento General de Protección de Datos (RGPD) el 25 de mayo de 2018.

El Esquema Nacional de Seguridad y el RGPD establecen la obligación de que las Administraciones Públicas realicen análisis de riesgos para determinar el posible impacto de los tratamientos de datos sobre los derechos y libertades de las personas y las medidas de seguridad aplicables.

En este sentido, la AEPD ha publicado un documento en el que pone de manifiesto que esas medidas de seguridad −en el caso de las AAPP− estarán marcadas por los criterios establecidos en el Esquema Nacional de Seguridad. El Proyecto de Ley Orgánica de Protección de Datos, actualmente en fase de tramitación, lo recoge de la misma forma en su disposición adicional primera.

Fruto de la colaboración, el CCN-CERT y la AEPD han trabajado de forma conjunta para ofrecer una herramienta a las Administraciones Públicas que les permita evaluar de manera sistemática y objetiva los posibles riesgos en materia de protección de datos y de seguridad de la información. Así, la herramienta PILAR incluye desde hoy un módulo de cumplimiento que permite a las AAPP verificar los requisitos establecidos en el RGPD, facilitando la gestión normativa tanto del Reglamento como del Esquema Nacional de Seguridad.

La obligatoriedad de contar con un registro de actividades de tratamiento, designar un Delegado de Protección de Datos o notificar las quiebras de seguridad en caso de producirse son algunos de los aspectos recogidos en este nuevo módulo.

Aprobado el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal  04-12-2017
Los datos personales son un asunto delicado y la Unión Europea con el nuevo Reglamento General de Protección de Datos le ha dado a este tema la importancia que merece.

Los objetivos principales del Reglamento General de Protección de Datos son homogeneizar la normativa de protección de datos en toda la Unión Europea y actualizarla a las nuevas circunstancias.

Parece que fue ayer cuando el 25 mayo de 2016 entró en vigor el Reglamento General de Protección de Datos y aun teníamos 2 años para adaptarnos hasta que comenzara a aplicarse, pero el 25 de mayo de 2018 ya está a la vuelta de la esquina.

El principal motivo por el que se ha pospuesto la aplicación del RGPD ha sido dar tiempo a empresas, instituciones y países a esta readaptación normativa.

Para las empresas, incluidos autónomos y pymes, este tiempo ha supuesto una ventaja, ya que nos ha sido útil para poder valorar la implantación de las medidas que supone el adaptarse al RGPD y nos ha permitido detectar dificultades e insuficiencias en una fase en la que todavía la nueva normativa no aplica, no es obligatoria.
Las agencias de protección de datos (la española, la catalana, la vasca y las del resto de Estados miembros) junto con el Grupo de Trabajo del artículo 29 (órgano consultivo independiente integrado por las Autoridades de Protección de Datos de todos los Estados miembros, el Supervisor Europeo de Protección de Datos y la Comisión Europea, que será sustituido por el Comité de Europeo de Protección de Datos), han ido concretando cuestiones pendientes sobre la aplicación del RGPD, aunque todavía quedan aspectos por aclarar.

La legislación española también ha tenido que adaptarse y acaba de ser aprobado el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, norma que introduce novedades y mejoras en la regulación de este derecho fundamental en nuestro país.

Y es que durante estos dos años, tanto la Directiva Europea como nuestra LOPD, siguen siendo válidas y aplicables. Es más, aunque debemos ir adaptándonos al nuevo RGPD, debemos hacerlo siempre y cuando las medidas adoptadas no sean contrarias a la actual LOPD.

Y os preguntaréis, ¿pero todo esto me afecta a mí? Nos afecta a todas las empresas que tratamos datos de carácter personal, situadas en España o en cualquier otro Estado miembro y también a las situadas fuera de la UE siempre que traten datos de ciudadanos europeos al ofrecerles bienes o servicios, monitorizar o realizar un seguimiento de su conducta o navegación. Es decir, si haces marketing te afecta, si tienes clientes te afecta, si contratas empleados te afecta…
Para terminar, y sólo con el ánimo de informar, el RGPD establece en caso de incumplimiento la posibilidad de imponer sanciones económicas estructuradas en tres niveles con un importe de entre 0 euros hasta 20 millones de euros o el 4 % del volumen de negocio anual, global, de la empresa.

5 motivos por los que mi PYME necesita un Compliance  04-12-2017
Ninguna empresa, grande o pequeña, está libre de que un administrador o un empleado con exceso de celo, traspasen los límites de la legalidad y la coloquen frente a un problema penal imprevisto, que puede poner en peligro su continuidad.

Pero si la empresa acredita que posee un Programa de Cumplimiento normativo eficaz, quedará liberada de esa responsabilidad, aunque su empleado o ejecutivo sean efectivamente culpables.

Pero no es ésta la única razón por la que cualquier empresa, sea del tamaño que sea, necesita contar con Programa de Cumplimiento normativo, existen otras e importantes razones:

- Se evitan las penas del Código Penal, en especial las económicas.

- Supone una enorme ventaja competitiva y facilita la contratación con cualquier empresa o multinacional.

- Mejora extraordinariamente la imagen corporativa así como la reputación empresarial.

- Supone transparencia y seguridad para el propietario de la empresa.

- Se promueve la cultura de cumplimiento, la ética empresarial.

Publicación del nuevo Estudio de "Tecnologías de Mitigación del Cambio Climático 2005-2016"  01-12-2017
El Servicio de Estadísticas y Estudios de la Oficina Española de Patentes y Marcas (OEPM) ha publicado un nuevo Informe de “Tecnologías de Mitigación del Cambio Climático 2005-2016”. Este estudio pretende analizar las tendencias evolutivas en materia de energías limpias en este periodo temporal siendo continuación de los estudios realizados por la Oficina Española de Patentes y Marcas (OEPM) desde 2015.
En este nuevo estudio se han incorporado las novedades acaecidas en el año 2016 y una actualización de los datos publicados.
El número total de solicitudes publicadas en España en el periodo 2005-2016 dentro de los sectores correspondientes a tecnologías de mitigación del cambio climático ha sido de 2.950, de los cuales 2.202 son patentes y 748 modelos de utilidad nacionales. El porcentaje de invenciones publicadas ha pasado del 2% en el año 2005 al 5% en el año 2016, lo que supone un crecimiento sostenido en este periodo de tiempo del 150%. La tecnología que presenta mayor actividad es la Energía Solar Térmica con 977 solicitudes.
En cuanto al número total de solicitudes de patentes europeas de origen español publicadas en el periodo 2005-2016 (entendiendo por “origen español” aquellas solicitudes presentadas por titulares residentes en España tanto nacionales como extranjeros) ha sido de 692, lo que supone una evolución positiva y de crecimiento sostenido, alcanzando un incremento del 200%. El sector más activo en este grupo ha sido el de la Energía Eólica.
Se ofrecen también datos referidos a Comunidades Autónomas y al tipo de solicitante (empresa, particulares y organismos públicos) tanto en relación a solicitudes nacionales como a solicitudes de patente europea de origen español.

¿Debe pagar una empresa por usar la marca 'Black Friday'?  28-11-2017
La marca Black Friday está registrada en la oficina española de patentes y marcas desde mayo de 2014, una fecha en la que este día de grandes rebajas era apenas un desconocido en nuestro país. "El hecho de tener una marca inscrita no da inmediatamente un monopolio absoluto", subraya Carles Prat, socio de derecho de propiedad industrial y de la competencia en Baker McKenzie en Barcelona, quien insiste en que si la distintividad de una marca es muy débil sólo debería oponerse cuando se trate de una copia idéntica o casi idéntica de la misma.

En este sentido, el experto recuerda el artículo 37 de la ley de marcas, que señala que "el derecho conferido por la marca no permitirá a su titular prohibir a terceros el uso en el tráfico económico, siempre que se haga conforme a las prácticas leales en materia industrial o comercial". Es decir, no utilizar Black Friday es, a su juicio, como prohibir poner campaña de Navidad en un escaparate.
Éste no es el único punto de la normativa que podría justificar no aceptar los requerimientos. Aunque el término está legalmente registrado, el artículo 5.1 "prohibe registrar como marca aquéllas que se compongan exclusivamente de signos o indicaciones que se hayan convertido en habituales para designar los productos o los servicios en el lenguaje común o en las costumbres leales y constantes del comercio". Por este motivo, un juez podría llegar a calificar como no válido ese registro y anular dicha marca por vulgarización.

El socio de Baker McKenzie también recuerda el imperativo de disponibilidad, es decir, que todo el mundo pueda usar Black Friday, que se ha vuelto genérico y conocido por todos los ciudadanos. Y es que cuando se aprobó en 2014 su registro ante la ausencia de oposiciones, la oficina española no solía oponerse a términos en inglés, ya que no eran de uso común por los españoles. En 2017 y con muchos comercios jugándose salir de números rojos (de ahí el peculiar nombre), parece que el término ha pasado claramente a ser de uso general por parte de los consumidores.
Para evitar estos problemas, algunas compañías ya se han puesto en marcha y han empezado a registrar sus nombres asociados a este día de grandes rebajas. Así, El Corte Inglés lo tiene en la oficina europea, mientras que Leroy Merlin, en la española.

La AEPD publica un documento que recoge las obligaciones del Reglamento de Protección de Datos para Administraciones Locales  28-11-2017
‘El nuevo RGPD y su impacto sobre las actividades de las Administraciones Locales’ aborda en 15 puntos las modificaciones que serán exigibles a partir del 25 de mayo de 2018.
El documento ‘El nuevo RGPD y su impacto sobre las actividades de las Administraciones Locales’ aborda en 15 puntos las principales modificaciones que deberán realizar estas entidades para alinear su actividad a las exigencias del Reglamento. En muchos casos, los efectos del RGPD van a ser los mismos que para cualquier otro responsable o encargado pero, en algunas áreas, se dan especificidades que las Administraciones Locales deben tener en consideración.

En el documento se recogen, entre otros aspectos, la necesidad de identificar con nitidez las finalidades y la base jurídica de los tratamientos que se llevan a cabo; adecuar la información que se ofrece a los interesados cuando se recogen sus datos; establecer mecanismos visibles, accesibles y sencillos para que los ciudadanos puedan ejercer sus derechos, así como procedimientos que permitan responder a los ejercicios de derechos en el plazo que marca el RGPD.

Asimismo, se plantea la necesidad de efectuar análisis de riesgos de los tratamientos que se realicen; establecer tanto un registro de actividades como mecanismos para identificar con rapidez la existencia de brechas de seguridad y reaccionar ante ellas, y designar un Delegado de Protección de Datos (DPD). En este último caso, y dado que las dimensiones de las AALL no siempre hacen viable contar con un DPD integrado en plantilla, la Agencia recuerda que entre las posibles opciones se encuentra que las Diputaciones Provinciales ofrezcan a los municipios estos servicios o la contratación común de esta figura por varias entidades.

Los 7 mandamientos del GDPR  23-11-2017
Todas las empresas españolas estarán obligadas a cumplir con el Reglamento General de Protección de Datos de la UE, que será aplicable de forma directa, a diferencia de las Directivas, sobre todos los sujetos obligados tanto públicos como privados. Por Vanesa González, Aemol Consulting.

Desde Aemol Consulting y a través del presente artículo tratamos de acercar la nueva normativa a las empresas tecnológicas reparando en los siguientes aspectos esenciales que, a nuestro juicio, tendrán que tener en cuenta las empresas a partir del 25 de mayo de 2018 y que son:

1. Auditorías Inicial: Es importante que antes de iniciar la adaptación al Reglamento (UE) 2016/679, actualizar las políticas, protocolos y textos relativos a la protección de datos, realizar una auditoría en la empresa que permita valorar los cambios necesarios y en qué punto se encuentra la empresa en cuanto al cumplimiento con la nueva normativa. Estas auditorías deberán llevarse a cabo por profesionales jurídicos expertos en protección de datos y por profesionales informáticos con conocimientos en ciberseguridad.

2. Deber de información: El Real Decreto de protección de datos amplía la información que debe ser comunicada en el caso de los datos personales, y además de los derechos ARCO de acceso a la rectificación, cancelación y oposición añade otros nuevos como son la limitación o portabilidad.
3. Análisis del riesgo: las empresas estarán obligadas a analizar las vulnerabilidades informáticas y posibles brechas de seguridad con el objetivo de impedir, bloquear o neutralizar los delitos informáticos. Este análisis requiere revisiones periódicas y siempre que cambien las circunstancias tecnológicas en la empresa o en el sector informático y teniendo en cuenta el estado de la técnica (art. 25 RGPD).

4. Se establecerá la figura del DPO (Delegado de Protección de Datos), de obligatoria creación para las empresas que realicen tratamientos que requieran una observación regular y sistemática de los interesados a gran escala o cuando se lleve a cabo un tratamiento a gran escala de datos especiales o datos relacionados con delitos penales. El DPO podrá ser interno o externo y deberá ser designado atendiendo a las cualidades profesionales, conocimientos y práctica en materia de protección de datos.

5. Refuerza el derecho de transparencia, por el que se obliga a proporcionar más información con carácter previo a la recogida de los datos y el derecho al olvido para solicitar que los datos personales sean suprimidos en determinadas circunstancias.

6. Introduce la obligación de notificación a la Agencia Española de Protección de Datos (AEDP) y al interesado, dependiendo de la gravedad, aquellas brechas de seguridad (plazo máximo de 72 horas) que se produzcan y que supongan riesgo de daños y perjuicios físicos, materiales o inmateriales para las personas físicas.

7. Impone la obligación de realizar evaluaciones de impacto en protección de datos (EIPD), siempre que sea probable que las operaciones de tratamiento, especialmente cuando se utilicen nuevas tecnologías, entrañen un alto riesgo para los derechos y libertades de las personas físicas; y prevé multas millonarias que pueden alcanzar los 20 millones de euros o hasta un 4% de la facturación anual, la cifra de mayor cuantía.

La publicidad digital, en vilo ante el nuevo reglamento de e-privacy  22-11-2017
A partir del 25 de mayo del año que viene nada será igual en la industria publicitaria digital y para los medios de comunicación online.

Ese día está previsto que entre en vigor el Reglamento General de Protección de Datos (RGPD). Normativa que afectará a todas las empresas -establecidas o no en la Unión Europea- que tratan datos personales de personas residentes en el viejo continente.
En lo que se refiere a las implicaciones concretas para la publicidad digital y los medios online, actualmente la Unión Europea está dando forma al Reglamento de e-privacy, todavía en trámites de aprobación.

En este terreno, hay que tener en cuenta que pasan a considerarse datos de carácter personal las ID de cookie o la dirección IP. Esta información de navegación de los usuarios es clave para que los anunciantes impacten a su público objetivo de forma certera.

Consentimiento e interés legítimo

Fundamentalmente, la nueva normativa recoge que el tratamiento de datos sólo será lícito en el caso de exista consentimiento y el interés legítimo, entre otros criterios.

En lo que se refiere al consentimiento, este tiene que ser libre, específico, informado e inequívoco. Debe consistir en una declaración o una clara acción afirmativa, con lo que no se admite un consentimiento tácito. No valdrán, por tanto, los avisos genéricos de las webs en los que se alerta al usuario de que el sitio utiliza cookies. Tampoco bastará con las casillas previamente marcadas, también conocidos como modelos de exclusión voluntaria.
Además, el interesado tendrá derecho a retirar su consentimiento en cualquier momento.

Los medios de comunicación, agencias y anunciantes también encontrarán dificultades con la necesidad de que el usuario tenga que configurar su navegador de Internet para que se instalen las cookies, ya que por defecto este habrá de estar preparado para no recibirlas.

Asimismo, la normativa exigiría a los anunciantes obtener el consentimiento explícito para cada cookie, lo que golpea directamente al retargeting.
En cuanto al interés legítimo para el tratamiento de los datos, la normativa ampara el marketing directo, la publicidad dirigida, la medición de audiencias, el seguimiento de campañas o el análisis del post-click. En duda está si bajo este manto estará la compra programática o la segmentación por comportamiento.

De no cumplir estas normas, las empresas infractoras se enfrentan a importantes multas de hasta un 4% de la facturación global anual o 20 millones de euros.

Aemol Consulting: La compraventa de Bases de datos es ilegal en función de la LOPD  14-11-2017
La LOPD obliga a los usuarios de bases de datos a decir en cada comunicación de dónde han obtenido dichos datos, de ahí que las preguntas más habituales que nos hacemos en relación a una base de datos ¿Puedo comprar una base de datos? ¿Debo pedir permiso para enviar emails? ¿Puedo utilizar emails públicos obtenidos de internet? Pues bien, el uso de las bases de datos tiene sus propias peculiaridades en función de su tipología, características del tratamiento, tipos de soportes y sistemas donde se alojen, de ahí que desde Aemol Consulting nos recuerden que existen tres tipos de base de datos:

Propias: son aquellas que tiene una empresa con los datos de sus proveedores, clientes o contactos profesionales, y que se han ido forjando año tras año. Estas bases de datos pueden ser complementadas con datos obtenidos a través de redes sociales, medios de comunicación y cuentas personales.
Genéricas: son aquellas de uso público y se pueden acceder a las mismas a través de la web para generar listados.
Corregistros: son las bases de datos generadas con el permiso expreso de los suscriptores que provienen de campaña de grandes empresas o campaña promocionales.
Nuestras bases de datos no deberían ser un cajón de sastre, sin orden ni sentido, sino una herramienta de gestión empresarial que nos permita conocer y segmentar a nuestro público objetivo a la vez que un activo empresarial. Tener una buena base de datos exige tiempo y dedicación para su actualización, depuración y mantenimiento permanente. Si hace unos años los clientes pasaban por la puerta o el escaparate del negocio; hoy en día, la puerta y la calle son internet, por tanto la forma de comunicación con los clientes ya no es el buzoneo físico o el reparto de folletos, sino estar presente en la red y realizar ciberbuzoneo, telemarketing o mailing con ofertas o propuestas de servicios y que exige para la comunicación personal el manejo continuo de datos que respeten las garantías de la ley de Protección de Datos de Carácter Personal (LOPD) y de todas las restricciones que impone a la hora de generar, modificar y almacenar bases de datos, así como la obligación del registro de las mismas en la Agencia Española de Protección de Datos (AEPD) o los ficheros que incluyan datos personales o de empresas.

La creación de bases de datos nos explican desde Aemol Consulting “exige la aplicación de unas determinadas medidas de seguridad, tanto técnicas como administrativas, y que varían en función de la mayor o menor sensibilización de los datos que la integran”, entre estas medidas de seguridad, continúan desde la consultora “hemos de elaborar un documento de seguridad en el que se recojan las medidas de índole técnico y organizativas acorde con la normativa vigente y registrar los ficheros en la AEPD”.

La obligación de registrar los ficheros en al AEPD, como nos han expresado desde Aemol Consulting, la recoge la LOPD en su artículo 26 y establece como requisito obligatorio, carácter previo a la creación de fichero de datos, la comunicación al Registro de la Agencia Española de Protección de Datos, la apertura de la Base de Datos en la que guardaremos los datos de carácter personal que vayamos generando, lo cual significa según la consultora, “que antes de crear la Base de Datos, (digamos, la lista de correo de suscriptores a los que luego les enviaremos nuestras newsletters, ofertas de cursos…), tenemos que inscribir dicho fichero en el registro de la Agencia porque la ley lo exige”.

Estas reflexiones nos ayudan en parte a contestar con propiedad a las preguntas planteadas anteriormente. No se deben comprar bases de datos, además de por la fiabilidad de las mismas por cuestiones legales de la propia ley LOPD y la LSSI (Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico) de comunicaciones comerciales a través de medios electrónicos a destinatarios que no han dado su consentimiento previo.

Las tecnologías ante el Reglamento General de Protección de Datos  13-11-2017
Todas las empresas españolas estarán obligadas a cumplir con el Reglamento General de Protección de Datos de la UE, que será de obligatorio cumplimiento a partir del 25 de mayo de 2018. De hecho, no hemos de olvidar que la normativa está en vigor en la actualidad y que será aplicable de forma directa, a diferencia de las Directivas, sobre todos los sujetos obligados tanto públicos como privados.

Desde Aemol Consulting nos ayudan a acercar la nueva normativa a las empresas tecnológicas reparando en los siguientes aspectos esenciales que, dado que a nuestro juicio:

– Refuerza el derecho de transparencia, por el que se obliga a proporcionar más información con carácter previo a la recogida de los datos y el derecho al olvido para solicitar que los datos personales sean suprimidos en determinadas circunstancias.
– Introduce la obligación de notificación a la Agencia Española de Protección de Datos (AEDP) y al interesado, dependiendo de la gravedad, aquellas brechas de seguridad (plazo máximo de 72 horas) que se produzcan y que supongan riesgo de daños y perjuicios físicos, materiales o inmateriales para las personas físicas.
– Impone la obligación de realizar evaluaciones de impacto en protección de datos (EIPD), siempre que sea probable que las operaciones de tratamiento, especialmente cuando se utilicen nuevas tecnologías, entrañen un alto riesgo para los derechos y libertades de las personas físicas; y
– Prevé multas millonarias que pueden alcanzar los 20 millones de euros o hasta un 4% de la facturación anual, la cifra de mayor cuantía.

Además de estas cuestiones analizadas, desde Aemol Consulting consideran que las empresas tecnológicas también tendrán que tener en cuenta los siguientes aspectos esenciales a la hora de adaptarse a la la nueva normativa con respecto a la anterior, y que son:

1.- Auditorías Iniciales: Es importante, antes de iniciar la adaptación al Reglamento (UE) 2016/679, actualizar las políticas, protocolos y textos relativos a la protección de datos, realizar una auditoría en la empresa que permita valorar los cambios necesarios y en qué punto se encuentra la empresa en cuanto al cumplimiento con la nueva normativa. Estas auditorías deberán llevarse a cabo por profesionales jurídicos expertos en protección de datos y por profesionales informáticos con conocimientos en ciberseguridad.
2.-Deber de información: El Real Decreto de protección de datos amplía la información que debe ser comunicada en el caso de los datos personales, y además de los derechos ARCO de acceso a la rectificación, cancelación y oposición añade otros nuevos como son la limitación o portabilidad.
3.- Análisis del riesgo: las empresas estarán obligadas a analizar las vulnerabilidades informáticas y posibles brechas de seguridad con el objetivo de impedir, bloquear o neutralizar los delitos informáticos. Este análisis requiere revisiones periódicas y siempre que cambien las circunstancias tecnológicas en la empresa o en el sector informático y teniendo en cuenta el estado de la técnica (art. 25 RGPD).
4.- Se establecerá la figura del DPO (Delegado de Protección de Datos), de obligatoria creación para las empresas que realicen tratamientos que requieran una observación regular y sistemática de los interesados a gran escala o cuando se lleve a cabo un tratamiento a gran escala de datos especiales o datos relacionados con delitos penales. El DPO podrá ser interno o externo y deberá ser designado atendiendo a las cualidades profesionales, conocimientos y práctica en materia de protección de datos.

Como vemos son muchas las novedades que nos trae este Reglamento, con lo que debemos ir trabajando en su incorporación siempre y cuando no sean contradictorias con la normativa que sigue vigente hasta mayo de 2018.

Artículo escrito por Vanesa González, del departamento Soporte Aemol Consulting, para WWWhatsnew.com

El Delegado de Protección de Datos: esquema de certificación, nombramiento, funciones y perfil requerido  13-11-2017
El Reglamento General de Protección de Datos (RGPD) de la Unión Europea dispone que los responsables y encargados de tratamiento deben designar un Delegado de Protección de Datos (DPD) en los supuestos que determina el propio RGPD o en los supuestos que la legislación de los Estados Miembros establezca.

Las funciones del DPD
El papel del DPD en las organizaciones es el de informar, asesorar, supervisar y cooperar con la autoridad de control, así como ser el punto de contacto para los interesados. Para desempeñar sus funciones deberá participar en todas las cuestiones relativas a la protección de datos personales recibiendo el apoyo de los responsables y encargados del tratamiento quienes igualmente le facilitarán los recursos necesarios para abordar sus funciones.

El DPD realizará sus funciones con total independencia, sin instrucciones por parte del responsable o del encargado del tratamiento, quienes garantizarán esta independencia evitando su destitución o sanción por sus decisiones relacionadas con el desempeño de su función de DPD. La posición del DPD será próxima a los niveles jerárquicos más elevados dentro de una organización, de manera que aquellos a quienes reporte tengan capacidad de decisión en calidad de responsables o encargados del tratamiento.

En ningún caso el DPD sustituirá al responsable en la toma de decisiones sobre los fines y alcance de los tratamientos ni deberá asumir la carga de las posibles sanciones en las que pudieran incurrir los responsables como consecuencia de tratamientos de datos no acordes con el RGPD.

Posiblemente el DPD sea el eje principal del principio de responsabilidad activa del RGPD. Es la figura encargada de velar por el derecho de protección de datos en las organizaciones e instituciones. En el sector público velará por la compatibilidad del cumplimiento de las obligaciones de una institución frente al derecho de protección de datos de los interesados y en el entorno privado será la figura encargada de compatibilizar el desarrollo de negocio del responsable frente al derecho de protección de datos de los interesados.

Esta nueva figura es clave para garantizar la confianza de los interesados en los tratamientos y en consecuencia debe significarse como elemento fundamental en la relación con los ciudadanos tanto en las actividades del sector público como del sector privado.

Un perfil multidisciplinar
Desde el punto de vista de la cualificación profesional estamos hablando de un perfil multidisciplinar que no se ajusta a una titulación concreta o a un ámbito académico específico. El DPD requerirá conocimientos jurídicos, técnicos y de negocio para realizar sus funciones, que en muchos casos se articularán entorno a un equipo multidisciplinar. Su papel estará orientado a la coordinación de varios profesionales, mientras que en otros casos, su labor podrá ser la de prestar servicio a varios responsables o encargados.

Las formas en las que se formalizará el desempeño de las funciones del DPD en las organizaciones serán tan variadas como variados pueden ser los tratamientos y las organizaciones, no es posible fijar un modelo único en el que enmarcar las funciones del DPD.

El DPD puede realizar sus funciones con plena dedicación o a tiempo parcial dentro de una misma organización compatibilizando sus funciones con otras que le hayan sido encomendadas por el responsable del tratamiento. En este caso, se prestará especial atención a la posible existencia de conflicto de intereses entre el desempeño de las funciones que pudieran compatibilizarse con el desempeño de su papel como DPD (artículo 38.6 RGPD). Antes de proceder al nombramiento del DPD es conveniente realizar un análisis de los posibles conflictos de intereses que pudieran existir entre las distintas tareas que se espera que realice el posible DPD dentro de una organización.

Nombramiento y certificación del DPD
Además de los supuestos obligatorios para la designación de un DPO previstos en el artículo 37.1 del RGPD y detallados en el artículo 35 del Anteproyecto de LOPD, los responsables y encargados podrán voluntariamente designar un DPO y potenciar el cumplimiento preventivo de sus obligaciones a través de esta figura.

Es importante tener en cuenta que el artículo 65.4 del citado Anteproyecto prevé la posibilidad de que la Agencia remita las reclamaciones al DPO a los efectos previstos en el artículo 38, con el objeto de impulsar la resolución amistosa en el seno de la entidad a través de esta figura clave.

Los responsables y encargados del tratamiento se ven ante el reto y la necesidad de elegir y nombrar con diligencia sus DPD, valorando el nivel de conocimiento, la cualificación profesional y su capacidad para el desempeño de tareas y actividades que implica el cumplimiento de las obligaciones del RGPD. Esta evaluación de cualidades puede suponer un grado de incertidumbre para los responsables en aquellos casos en los que no existe un conocimiento previo del profesional.

El RGPD otorga a los estados miembro, las autoridades de control, al Comité y a la Comisión la posibilidad de crear mecanismos de certificación en protección de datos, aunque no específicamente en el terreno de las cualificaciones profesionales.

Sin embargo, desde la AEPD entendimos el factor de la certificación del DPD como prioritario, de forma que pueda ser un elemento orientador para los responsables a la hora de elegir al DPD. No se trata de establecer un requisito de obligado cumplimiento. Se trata de elaborar un marco de referencia para los responsables y la exigencia o no del requisito de certificación es una opción para el responsable. En ningún caso la certificación será una limitación para el acceso a la profesión de DPD, existen profesionales cualificados para el desempeño de esta profesión con conocimientos y experiencia demostrados que podrán seguir ejerciendo su labor profesional y en el futuro podrá haber otras vías para que los profesionales puedan demostrar su preparación.

La AEPD ha optado por promover un sistema de certificación de profesionales de protección de datos como una herramienta útil a la hora de evaluar que los candidatos a ocupar el puesto de DPD reúnen las cualificaciones profesionales y los conocimientos requeridos. Este esquema de certificación para DPD de la AEPD se estructura en tres partes distintas: la AEPD como propietaria y responsable del esquema, la entidad de acreditación encargada de los requisitos que deben cumplir los certificadores (ENAC) y finalmente las propias entidades de certificación. Desde la AEPD entendemos que esta división en tres partes con funciones independientes es un factor de calidad para el proceso de certificación. Tres entidades distintas con funciones y responsabilidades independientes que establecen una relación de confianza y mutua responsabilidad.

El esquema de certificación contempla todos los ámbitos de cumplimiento del RGPD, incluyendo aspectos como por ejemplo:

Control del cumplimiento por parte del responsable: se ha realizado un exhaustivo detalle de tareas relacionadas con los principios de los tratamientos teniendo en cuenta aspectos como los principios, las bases jurídicas, el principio de información y los derechos de los interesados.
Enfoque de riesgo: incluyendo aspectos relacionados con las evaluaciones de impacto, el análisis y la gestión del riesgo.
Obligaciones del responsable: se ha tenido en cuenta el papel del DPD en la elaboración y mantenimiento del Registro de actividades de tratamiento, sus funciones a la hora de determinar las medidas de seguridad técnicas y organizativas, su implicación en la comunicación de violaciones de seguridad, los factores a tener en cuenta para implantar la protección de datos desde el diseño y por defecto, las funciones de auditoría que deben realizar los responsables, etc.
Tratamientos transfronterizos: se ha desarrollado una lista detallada de las acciones en las que el DPD podría estar implicado con el objeto de asegurar la legitimidad de los tratamientos transfronterizos.
Códigos de conducta y certificación: el esquema de certificación tiene en cuenta la implicación del DPD en la elaboración de códigos de conducta y certificación que puedan ser asumidos por los responsables y encargados.
Cooperación con la autoridad de control: este es otro de los aspectos claves que han sido incluidos en la elaboración de este esquema de certificación, desde la AEPD entendemos que este es uno de los factores a tener en cuenta para ayudar a garantizar el derecho a la protección de datos.
Además de las cuestiones técnicas o jurídicas, el esquema de certificación tiene en cuenta otras cuestiones claves para el desempeño de las funciones del DPD. Algunas de estas funciones están relacionadas con las relaciones que deberá establecer el DPD en el desempeño de su actividad dentro de una organización, actividades relacionadas con garantizar la buena relación del DPD con los equipos y grupos de trabajo en los que estará implicado. Uno de los aspectos más importantes en el desempeño de las funciones del DPD son sus relaciones y capacidades de negociación para atender y balancear los derechos de los interesados frente a los intereses de negocio de los responsables. Estamos hablando de habilidades personales y características menos tangibles que finalmente harán que el desempeño de las funciones del DPD sean útiles a los responsables y que al mismo tiempo impidan que dichas funciones puedan convertirse en un obstáculo al funcionamiento de la organización.

Desde la AEPD esperamos que este marco de referencia pueda ser de utilidad tanto a los responsables y encargados como a los propios DPD, aportando una relación detallada de tareas y competencias en las que basar sus actividades con relación a los tratamientos.

Aprobado el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal  13-11-2017
El Consejo de Ministros aprobó el pasado viernes el Proyecto de Ley Orgánica de Protección de Datos que adaptará nuestra legislación a las disposiciones del Reglamento UE 2016/679, introduciendo novedades y mejoras en la regulación de este derecho fundamental en nuestro país.
Este Reglamento Europeo que se aplicará a partir del próximo 25 de mayo de 2018, recoge como uno de sus principales objetivos acabar con la fragmentación existente en las distintas normativas de los países comunitarios. Además, persigue la adaptación de las normas de protección de datos a la rápida evolución tecnológica y los fenómenos derivados del desarrollo de la sociedad de la información y la globalización.

En el caso de España, donde la protección de datos es un derecho fundamental protegido por el artículo 18.4 de la Constitución, se recogen novedades tanto en el régimen de consentimiento como en los tratamientos y en la introducción de nuevas figuras y procedimientos.

Adelanta a los 13 años la edad de consentimiento para el tratamiento de datos en consonancia con la normativa de otros países de nuestro entorno. Además, se tomará en cuenta el tratamiento de los datos correspondientes a personas fallecidas en base a la solicitud de sus herederos, se excluye la figura del consentimiento tácito que se sustituye por una acción afirmativa y expresa por parte del afectado y se recoge manifiestamente el deber de confidencialidad. En caso de una inexactitud en los datos personales obtenidos de forma directa, se excluye la imputabilidad del responsable de su tratamiento si éste ha adoptado todas las medidas razonables para su rectificación o supresión.

En las cuestiones relacionadas con el tratamiento de datos, incorpora el principio de transparencia en cuanto al derecho de los afectados a ser informados sobre dicho tratamiento y contempla de forma expresa los derechos de acceso, rectificación, supresión, derecho a la limitación del tratamiento, así como a la portabilidad y oposición.

Para evitar situaciones discriminatorias, se mantiene la prohibición de almacenar datos de especial protección, como ideología, afiliación sindical, religión, orientación sexual, origen racial o étnico y creencias. En estas categorías, el solo consentimiento del interesado no basta para dar viabilidad al tratamiento.

Además, introduce algunos supuestos en los que el legislador contempla como presunción, la prevalencia del interés legítimo del responsable del tratamiento de los datos en cumplimiento de determinados requisitos, como en el caso de los sistemas de información crediticia. Igualmente, regula situaciones en las que se aprecia la existencia de interés público, como los relacionados con la videovigilancia y sistemas de exclusión publicitaria (listas Robinson), la función estadística pública y las denuncias internas en el sector privado.

Entre las novedades, destaca la potenciación de la figura del delegado de protección de datos, persona física o jurídica cuya designación ha de ser comunicada a la autoridad competente, que mantendrá relación con la AEPD (Agencia Española de Protección de Datos). Por su parte, la AEPD se configura como autoridad administrativa independiente cuyas relaciones con el Gobierno se realizan a través del Ministerio de Justicia. Se establece la necesaria cooperación y coordinación con las correspondientes autoridades autonómicas de protección de datos.

En relación con el procedimiento, promueve la existencia de mecanismos de autorregulación tanto en el sector público como en el privado e introduce la obligación de bloqueo que garantiza que los datos queden a disposición de un tribunal, el Ministerio Fiscal u otras autoridades competentes (como la AEPD) para la exigencia de posibles responsabilidades derivadas de su tratamiento, evitando así que se puedan borrar para encubrir el incumplimiento.

En el caso de España, la adaptación de nuestra legislación al Reglamento General de Protección de Datos hace necesaria la elaboración de una nueva Ley Orgánica en sustitución de la actual, cuyas normas y desarrollo deberán ser revisadas y adaptadas para evitar contradicciones. Igualmente, la AEPD deberá desarrollar cuestiones concretas que el reglamento comunitario remite a las autoridades nacionales de control y tendrá que revisar sus tratamientos de datos personales para adaptarlos a esas exigencias.

Este reglamento atiende a nuevas circunstancias provocadas fundamentalmente por el aumento de los flujos transfronterizos de los datos personales como consecuencia de la actividad del mercado interior, teniendo en cuenta que la rápida evolución tecnológica y la globalización han provocado que esos datos sean un recurso fundamental para la sociedad de la información.

Ante esta situación, han aumentado los riesgos inherentes a que las informaciones sobre los individuos se hayan multiplicado de forma exponencial siendo más accesibles y más fáciles de procesar, al tiempo que se ha hecho más difícil el control de su uso y destino.

Publicación de las Directrices de Modelos de Utilidad (Ley 24/2015)  09-11-2017
Se ha publicado la actualización de las Directrices de procedimiento de concesión, oposición, limitación e informe de búsqueda de Modelos de Utilidad. Con la publicación de estas Directrices se pretende clarificar los aspectos operativos afectados por las modificaciones introducidas en la Ley 24/2015. Su principal objetivo es que las resoluciones del Servicio de Modelos se consoliden a través de una práctica uniforme en la tramitación de los expedientes. Las directrices están estructuradas de acuerdo con la secuencia del proceso de tramitación.

Publicación de las Resoluciones Definitivas de las Ayudas para el Fomento de las solicitudes de Patentes y Modelos de Utilidad.  09-11-2017
El día 08 de noviembre de 2017 se han publicado las Resoluciones Definitivas de las solicitudes de subvención correspondientes a la convocatoria 2017 de Ayudas para el Fomento de las solicitudes de Patentes y Modelos de Utilidad, del programa nacional. Las Resoluciones Definitivas de las solicitudes de subvención correspondientes a la convocatoria 2017 de las Ayudas para el Fomento de las solicitudes de Patentes y Modelos de Utilidad del programa internacional se publicaran en los próximos días.

Pulse en el enlace de CONSULTA DE COMUNICACIONES (pulsando en Acceso al Expediente, y seleccionándolo del desplegable que aparece arriba a la derecha) para ver la Resolución Definitiva.
El plazo para interponer potestativamente recurso de reposición ante el mismo órgano que ha dictado la Resolución es de un mes, contado a partir del día siguiente al de la publicación en la sede electrónica de la OEPM de la Resolución Definitiva. Sin perjuicio de lo anterior, cabrá interponer recurso contencioso-administrativo ante los Juzgados Centrales de lo Contencioso-Administrativo, en el plazo de dos meses a contar desde el día siguiente al de la publicación en la sede electrónica de la OEPM.

Prepárate para el nuevo Reglamento europeo de Protección de Datos  08-11-2017
El 25 de mayo de 2018 entra en vigor el nuevo Reglamento General de Protección de Datos o RGPD (también conocido por sus siglas en inglés “GDPR”), una norma que tendrán que acatar todas las empresas que trabajan con datos personales de ciudadanos de la Unión Europea. Esta nueva regulación supone nuevas e importantes obligaciones para las empresas en cuanto a la gestión de los datos personales; además, para aquellas que vulneren las normas prevé sanciones severas como, por ejemplo, multas de hasta el 4 % del volumen de negocio global o de 20.000.000 €, la cantidad que sea mayor según el caso.
Algunos de los cambios más destacados que introduce este nuevo reglamento son los siguientes: nuevas normas sobre cómo notificar a las autoridades los incumplimientos relacionados con la protección de datos; el derecho a la portabilidad de los datos, es decir, el derecho a solicitar los datos personales para poder transferirlos a otros servicios; el derecho al olvido, que implica que la empresa tiene la obligación de borrar los datos de la persona que así lo solicite; la obligación de las empresas en determinados casos de llevar a cabo evaluaciones de impacto sobre la privacidad antes de tratar datos personales; o la obligación que tienen las empresas que realizan determinados tipos de procesamiento de datos de nombrar un encargado de protección de datos.

A menos de un año de la entrada en vigor del RGPD, hay muchas empresas que todavía no han empezado a prepararse y tendrán que desarrollar e implementar una estrategia específica para cumplir con el nuevo reglamento europeo.

Todas las entidades que tratan con datos personales de ciudadanos de la UE necesitarán diseñar una estrategia a medida que dependerá de varios factores como el tamaño de la empresa, el tipo y la cantidad de datos que tratan y las medidas de seguridad y privacidad que ya tienen implementadas. Se recomienda que las empresas busquen asesoramiento legal para determinar qué medidas son necesarias en cada caso. No obstante, hay varios requisitos sobre cómo tratar los datos personales que son comunes y afectarán a todas las empresas, incluso a las más pequeñas.

Entiende los datos con los que trabajas
El primer paso para cumplir con el RGPD es entender de qué modo se almacenan, tratan, comparten y utilizan los datos personales en tu empresa. Para llevar a cabo un análisis minucioso de la situación, es necesario comparar el modo de proceder actual con los requisitos de la nueva regulación y pensar en los cambios que hay que realizar para poder cumplir con ella adaptándose de la mejor forma a tu empresa. Recuerda que el cumplimiento del RGPD no afecta solo a las políticas y medidas de tu propia entidad, sino que va más allá y se extiende a los proveedores que procesan datos personales en tu nombre.

Decide quién se ocupa de la protección de datos en tu empresa
Algunas empresas tendrán la obligación de nombrar un encargado de tratamiento. En todos los casos será necesario adoptar un programa de cumplimiento de protección de datos. Es probable que tengas que reforzar tu política de protección de datos y organizar sesiones de formación para tu equipo. Solo algunas empresas estarán obligadas a seleccionar un encargado de tratamiento. Resulta esencial hacerlo en aquellas que llevan a cabo dos tipos de trabajo – los relacionados con operaciones de tratamiento a gran escala que persiguen tratar diferentes categorías de datos personales o con seguimiento de datos personales a gran escala– como, por ejemplo, los anuncios en línea segmentados por comportamiento.

Garantiza que existe una base jurídica en cuanto al tratamiento de datos
A tu empresa le interesa revisar la base jurídica que se utiliza actualmente para tratar distintos tipos de datos personales. Si la base del tratamiento de datos es el consentimiento del usuario, será necesario que te plantees cómo obtenerlo y cómo ser capaz de demostrar de forma clara cuándo se concede.

Entiende qué derechos tienen los propietarios de los datos
Según el RGPD, cualquier persona cuyos datos se traten en tu empresa tiene nuevos derechos, incluyendo el derecho a tener acceso a sus datos personales, a que se corrijan, se borren o se transfieran electrónicamente.

¿En tu empresa podéis encontrar, borrar y trasladar los datos de vuestros clientes fácilmente? ¿Disponéis de los recursos necesarios para responder con rapidez a las consultas relacionadas con los datos personales? ¿Tu empresa, y los terceros con los que trabajáis, guardáis registros de la localización de los datos, de cómo se procesan, de dónde se encuentran y de con quién se comparten?

Protege la privacidad de tu empresa por diseño
De acuerdo con el RGPD, las empresas tienen que tener en cuenta la privacidad por diseño y desde el principio a la hora de desarrollar proyectos, procesos o productos nuevos. La idea que concibe la privacidad por diseño es que si la privacidad se tiene en cuenta desde un principio, los riesgos de privacidad se minimizan. ¿El acceso a los datos personales está protegido y solo tienen acceso a ellos las personas de tu empresa que los necesitan? En algunos casos, es conveniente que realices evaluaciones de impacto sobre la privacidad antes de tratar datos personales.

Prepárate para gestionar los incumplimientos
Será necesario que tu empresa cuente con una política de gestión de incumplimientos de protección de datos y con los procesos correspondientes para hacerlo. Asegúrate de que sabes a qué autoridades tienes que notificar dichos incumplimientos relacionados con la protección de datos y el tiempo que tienes para hacerlo. Las notificaciones que se hagan fuera de plazo, y los incumplimientos en sí, pueden implicar la imposición de multas.

Proporciona la información esencial
El RGPD te obliga a informar a las personas de la base jurídica del tratamiento de datos y de las autoridades a las que pueden dirigirse en caso de que surja algún problema. Asegúrate de que las políticas de privacidad en línea de tu empresa están actualizadas.

Trabaja con tus proveedores
Para poder cumplir con las normas del RGPD es necesario que tengas en cuenta la seguridad de tus datos de principio a fin, es decir, también tienes que considerar a los proveedores que tratan datos personales en tu nombre. Trabajar con un proveedor que se encargue del tratamiento de datos no te exime de las obligaciones del RGPD. Debes valorar si la empresa encargada de tratar los datos trabaja con estándares de protección de datos internacionales, si tiene experiencia en gestionar la seguridad de los datos a gran escala y si dispone de herramientas que puedan ayudarte a mejorar la gobernanza de datos y a mitigar los riesgos de incumplimiento. Revisa si tu proveedor cuenta con algún estándar internacional de seguridad y protección de datos como la ISO 27018 y pídele información sobre su seguridad de red y de información (por ejemplo, su técnica de encriptación y sus controles a nivel de aplicación), política de seguridad, evaluación de formación y riesgos, así como medidas de ensayo.

Por otra parte, los servicios TI de terceros también pueden ayudar a las empresas, especialmente a las PYMES, a cumplir con la regulación. Por ejemplo, las empresas pueden optar por soluciones en la nube que se crearon teniendo en cuenta cuestiones de seguridad y privacidad desde el principio. Valora cómo algunos servicios en la nube pueden ayudarte a controlar el acceso a los datos en tu empresa, a responder a las solicitudes de información sobre datos personales y a mejorar la seguridad en tu empresa.

Retos y tendencias del Corporate Compliance: principales cuestiones prácticas  08-11-2017
El Corporate Compliance ha sido calificado como “el tema jurídico del año” pero, a pesar de ello, subsisten a día de hoy numerosas dudas acerca de cuáles son las best practices en su aplicación: ¿cuáles son las herramientas que las compañías deben poner en marcha para prevenir infracciones y evitar sanciones?; ¿cuál es el verdadero valor de una “cultura de cumplimiento” y de las certificaciones emitidas por terceros?; ¿cómo deben llevarse a cabo las investigaciones internas?
No cabe duda de que el Compliance requiere una adaptación y revisión constante y ello no sólo por las consecuencias negativas que conlleva su no aplicación (sanciones penales, daño reputacional) sino además por la notable contribución positiva que puede suponer para la organización empresarial.
Rosalina Díaz, presidenta de la Fundación Wolters Kluwer y David Velázquez, profesor de Derecho Penal de ESADE Law School y director del Máster Universitario en Abogacía y moderador de la mesa, darán la bienvenida a los asistentes y presentarán a los participantes en el coloquio, Elisabeth González (directora Legal & Compliance de Morgan Stanley), Carlos Zabala (Counsel Litigation and Dispute Resolution de Clifford Chance) y Lidón Safont (directora de Compliance de Telefónica España).
Al finalizar el evento, se ofrecerá un desayuno a los asistentes.
La mesa tendrá lugar el próximo martes, 21 de noviembre de 9 a 10,30 h, en la sede de ESADE en Madrid, C/ Mateo Inurria, 27.
Para más Información: María Luisa Gárate, Telf.: 913 597 714, marialuisa.garate@esade.edu
Inscripción gratuita en el siguiente enlace. Plazas limitadas.

Pág. anterior (2) 
Ir a la pagina... 1  2  3  4  5  6  7  8  9  10  11  12  13  Pág. siguiente (4)

© 2002-2017 Aemol Consulting® · No te espiamos: no usamos cookies propias ni de terceros, pero puedes consultar nuestros avisos legales más abajo. En algunas páginas pueden contener cookies exclusivamente de navegación. No existen cookies de terceros ni se almacena dato alguno ajeno a esta sesión.
Consulta nuestro Código de Conducta 
Avisos Legales:
En virtud de la legislación vigente en España, le informamos de nuestros datos mercantiles: Aemol Consulting®, empresa domiciliada en Madrid con número de identificación Fiscal B87434148, registrada en el Registro Mercantil de Madrid Tomo 34195, Folio 10, Hoja M-615107. En el servidor donde se encuentra alojado este sitio no se almacena información alguna de los visitantes ni de los clientes. De cualquier forma, a través del correo electrónico, puede ejercitar sus derechos y acceder, modificar o dar de baja los datos personales que en virtud de nuestras relaciones comerciales pudieran existir en nuestros ficheros, todos ellos registrados en la Agencia española de Protección de Datos. Se reconoce la propiedad intelectual de las marcas mencionadas en este sitio web, a cada uno de sus respectivos propietarios. Toda la información gráfica como escrita recopilada en este sitio web pertenece y está ampara por copyright a favor de Aemol Consulting®. Aemol Consulting® no asume responsabilidad, y la declina explícitamente, alguna por los contenidos que puedan existir en otros sitios web que pudieran aparecer aquí vinculados o mencionados.