La nube transforma los servicios 24-05-2017
El mundo de los servicios se ha pasado a la nube. Han sido sobre todo las pymes las que se han lanzado de cabeza a este nuevo modelo. Empezar de forma rápida con un proyecto, hacerlo a bajo coste y po...
El mundo de los servicios se ha pasado a la nube. Han sido sobre todo las pymes las que se han lanzado de cabeza a este nuevo modelo. Empezar de forma rápida con un proyecto, hacerlo a bajo coste y poder desestimarlo en cualquier momento, son algunas de las características de este nuevo modelo. Por Manuel Navarro Ruiz
El principal cambio que está aportando el Cloud Computing es la flexibilidad derivada de la transformación de todo el IT en un servicio. Hasta la irrupción del Cloud Computing, las compañías disfrutaban, en el mejor de los casos, de servicios de IT externalizados a través de contratos de Outsourcing, pero prestados sobre sus propias infraestructuras, lo que permitía cierto grado de flexibilidad. La irrupción del Cloud ha traído consigo la flexibilidad total, permitiendo que los servicios se contraten o no en función del volumen de negocio real. La realidad es que tal y como afirma Alberto Martínez, Director de Soluciones Cloud de HP Enterprise Services para Italia, Francia, España y Portugal, ?En la actualidad, los servicios cloud dan respuesta a la creciente demanda por parte de las empresas de mayor flexibilidad y agilidad en TI, así como de mayor capacidad de respuesta, fiabilidad, seguridad y eficiencia, al mismo tiempo que reducen sus costes. De tal modo, contribuyen a un mejor cumplimiento de los requerimientos empresariales mediante la implementación de nuevas aplicaciones y servicios en plazos más cortos con un menor coste operativo. No hay que olvidar que los servicios cloud ayudan a la reducción de los costes derivados del mantenimiento y de las actualizaciones que consumen una parte importante de los recursos y capital de las empresas, que habría de dedicarse a la incorporación de nuevas tecnologías y proyectos de innovación para modernizar e impulsar la actividad de negocio en las compañías. En definitiva, los servicios cloud ayudan a reducir el coste total de IT a la vez que mejora los ratios de gasto en operación e innovación?. Por su parte, Pedro Prestel, presidente de Eurocloud España cree que para valorar el mundo de los servicios en la nube ?quizás podríamos hablar de democratización en IT. La gran ventaja de Cloud es que todos, tanto grandes como pequeñas empresas, tienen acceso al mismo tipo de tecnología, con igualdad de condiciones. Lo siguiente, quizás, sería la innovación, dada la flexibilidad, la escalabilidad de las plataformas, su disponibilidad y el acceso global, esto da acceso a un mercado potencial enorme. Y eso permite a las empresas, replantearse los procesos de negocio y mejorarlos, así como dirigirse a un mercado global más fácilmente. Lo tercero a remarcar, sería el cambio de modelo de costes, la computación bajo demanda se paga según se utiliza, como la luz o el agua. Se adapta a lo que necesitemos, es flexible?.
La computación y el almacenamiento en la Nube permiten a las compañías, independientemente de su tamaño, la posibilidad de utilizar servicios que si no fuera porque los ofrece un partner tecnológico, difícilmente los podría recibir con las máximas garantías de eficiencia, flexibilidad, disponibilidad y adaptado a las necesidades cambiantes de las empresas. Como señala desde T-Systems, ?los proveedores y consultores tecnológicos nos estamos esforzando día tras día y desarrollamos estrategias para ofrecer a nuestros clientes soluciones adaptadas a su medida y espacio donde almacenar y procesar datos que, de otra manera, conllevaría un gran desembolso, no solo por la inversión en los servidores en sí, sino porque a todo esto hay que añadir mantenimiento, actualizaciones constantes, etc?. Por su parte, Cristian Alonso Aldama, Cloud Business Development de Oracle, afirma que ?la nube está aportando numerosos beneficios a las empresas, independientemente de su tamaño y del sector al que pertenezcan. Además de democratizar el uso de la tecnología por su asequible precio, la utilización de aplicaciones en cloud está contribuyendo a impulsar la transformación de los procesos empresariales, e imprimiendo una nueva visión al talento, uno de los activos más importantes de las organizaciones en nuestros días. En suma, está abriendo vías para la innovación de los negocios y de los procesos?. La realidad es que el cloud computing interesa cada vez más a todo tipo de empresas, en un momento en el que ya se empiezan a superar ciertas reticencias relacionadas con la seguridad de los datos y el control de los sistemas.
Migrar datos
Como hemos dicho, son las pymes las que han apostado con fuerza por el modelo de servicios en cloud. En la gran cuenta esta situación no se produce a la misma velocidad, aunque bien es cierto que cada vez son más las grandes compañías que empiezan a contratar algunos servicios en la nube. La pregunta es por tanto clara: ¿Por qué, a día de hoy todavía existe reticencia a migrar datos a la nube? La nube se ha convertido en el ?new normal? o nueva normalidad, desde el momento en el que empresas de todos los tamaños están desplegando nuevas aplicaciones en la nube por defecto, y preparándose para migrar todas sus aplicaciones tan rápido como sea posible. Para las empresas, la pregunta ya no es “y si”, sino “¿cómo de rápido podemos movernos a la nube?” y “¿qué movemos en primer lugar?” Desde Amzon Web Services se asegura que ?no existe una receta única para aquellas compañías que se están moviendo a la nube. En muchos casos son aplicaciones críticas las que se están moviendo a la nube. Por ejemplo, Conde Nast ha movido todas sus aplicaciones legales, de recursos humanos y financieras a AWS; El Banco Nacional de Holanda ha confirmado que era seguro que las compañías de servicios financieros se ejecuten sobre AWS, y permitió que Robeco, un banco de los Países Bajos, construyera toda su plataforma de banca minorista en AWS; por su parte, News UK estima que ahorrará decenas de millones de dólares al trasladar su sistema SAP ERP a AWS. Otro escenario que nos estamos encontramos es el aumento del número de empresas que están migrando por completo a AWS. Cuando Netflix anunció hace unos años que se movían por completo a AWS, fue una decisión muy audaz y valiente en ese momento. Yo diría que hoy en día no es una decisión tan atrevida; en realidad ya lo hacen muchas empresas. Además de Netflix, se puede ver cómo empresas como Dole o Suncorp se están trasladando a AWS (migrando 2.000 aplicaciones a AWS en los próximos 18 meses)?.
Antonio Rodríguez, Director de Servicios de Cloud en IBM, cree que el problema reside en que ?en el mercado existe una duda razonable sobre la seguridad y privacidad de los datos una vez llevados a Cloud. Nosotros recomendamos que pregunten y entiendan donde se guardaran sus datos, qué medidas de seguridad adopta el proveedor y el cumplimiento con toda la regulación disponible. En el caso de que la información sea sensible, nunca esta de más utilizar servicios de encriptación tanto en las comunicaciones como en el almacenamiento de la información. Desde IBM aplicamos todo nuestro conocimiento y soluciones de seguridad para asegurar que los datos de nuestros clientes están seguros y se mantienen privados?. La realidad es que algunas empresas tienen reticencias a migrar sus datos a servidores en Cloud por el miedo a la seguridad en torno a dichos datos, y en algunos casos por la pérdida de control sobre la gestión, ya que el adoptar un modelo de uso Cloud también implica que es el proveedor del servicio el que se hace cargo del mantenimiento de la plataforma donde residen los datos, las copias de seguridad, el restaurado en caso de problemas. Pero, como apunta Oscar Roncero, Arquitecto soluciones Cloud para SAP EMEA ?la realidad es que las empresas tienen cada vez menos miedo al uso de soluciones Cloud donde se almacenan datos de la compañía, y de hecho una de las áreas de negocio donde más madurez existe en el Cloud es la parte de Ventas (CRM). Y qué información puede ser más delicada para una organización que las oportunidades de negocio donde está trabajando e información de las operaciones comerciales realizadas.Fabricantes y proveedores de servicio como SAP tienen unos niveles de seguridad y calidad en sus centros de datos que poquísimas empresas se podrían permitir. Además estos centros de datos no solamente son continuamente auditados por SAP sino por auditores externos como parte de las múltiples certificaciones existentes?.
La seguridad ha sido el argumento más utilizado por las compañías para justificar su reticencia al Cloud, argumentando que los datacenters en la nube son inseguros. Esta creencia está completamente injustificada, ya que la mayoría de proveedores de Cloud tiene sus plataformas en datacenters certificados Tier III ó IV y los datacenters privados de las compañías suelen consistir en habitaciones mínimamente acondicionadas. Paro hay más. Desde Ibermática se apunta que ?otra razón muy manida, y también alejada de la realidad, ha sido la pérdida de control, cuando los servicios en Cloud ofrecen uno absoluto a través de paneles de control que permiten conocer todo lo que sucede en la plataforma y gestionar los accesos a ella de manera inmediata, mientras que los servicios ?in house? suelen prestarse a través de soluciones sin control y en modalidad ?best effort?. Por último, un aspecto que deben mejorar los proveedores es la migración y el roll-back del viaje a la nube. Los proveedores de Cloud han hecho mucho hincapié en cómo subir las aplicaciones/información a la nube, pero no en lo que pasa con lo que se queda en casa y cómo seguirá funcionando (eso no forma parte del offering estándar de los proveedores), y eso no inspira la confianza necesaria, lo que hace que las decisiones no terminen de tomarse? Además, una vez que se llevan las cosas a la nube, ¿cómo se traen de vuelta en caso de no querer continuar en ella? Los planes de migración, como hemos comentado, con sus matices más o menos están ahí, pero ¿qué hay de los de vuelta? No están nada claros, por lo que el viaje a la nube está percibido por los usuarios como un viaje sin retorno?. Para Manuel López Ordoñez, Responsable del Área de Infraestructuras en Accenture la clave de las reticencias hay qu4e buscarla en ?la falta de percepción de seguridad cuanto el control de las infraestructuras es total. Se tiende a pensar que si uno administra la totalidad de elementos, el grado de control es mayor. Esto no está soportado en sí mismo por ninguna evidencia, pues la seguridad cada día es más compleja y a no ser que se tenga un nivel de madurez operativa muy elevado, la realidad es que la gestión de la seguridad y los procedimientos operativos son mucho más maduros en los proveedores de servicios cloud. Hay mucha tarea de evangelización en este punto y también de convencimiento a los reguladores, que también tienen una visión atrasada de la realidad, pues imponen una regulación muy fuerte a las compañías ya establecidas, mientras que a los nuevos entrantes no se les exige a penas ningún cumplimiento?.
Aplicaciones
Hay estudios que ponen de manifiesto la ignorancia de las empresas sobre qué tipo de aplicaciones en cloud son las más adecuadas para según qué tipo de entorno. ¿Qué se puede hacer para solucionar esta situación? ¿Qué deberían preguntarse las empresas?
Desde Esker se afirma que ?las empresas se preguntan fundamentalmente sobre su negocio, y habría que responderles en esos mismos términos. El primer acercamiento del proveedor debería ser escuchar a su cliente, entender sus necesidades específicas y sus desafíos, y en función de ello determinar qué tipo de nube y qué servicios alojados en ella podrían mejorar su operativa y su satisfacción empresarial, haciéndole además partícipe del proceso de implantación, de manera que pueda ir viendo los beneficios de primera mano?. Por su parte en Gfi consideran que ?el periodo de evangelización en España ya ha pasado. La gran mayoría de las empresas conocen qué es el Cloud y sus distintas alternativas existentes. El modelo híbrido es la solución elegida en el 86% de los casos en los que la empresa da el paso de pasar al Cloud. Las empresas deben buscar un proveedor de servicios en Internet que les facilite paneles de control sobre su infraestructura y que les permita decidir en cada momento el reparto de cargas entre la parte cloud y su CPD propio. Esto debe de poder hacerse bidireccionalmente y sin un proyecto de migración. Asimismo, debe mantenerse la seguridad y la soberanía de los datos (reglas regulatorias)?.
El universo de soluciones TI a través de la nube es inmenso. Antes de la explosión del Cloud los proveedores de soluciones no tenían acceso a los clientes y lo hacían a través del canal de distribución (mayoristas e integradores). Con la irrupción del Cloud Computing muchos proveedores han pensado que montando su propia plataforma podrían llegar al mercado de manera directa, olvidándose del canal y de los principios tradicionales del marketing que siguen vigentes, si cabe, más que nunca. La primera solución para este problema es la vuelta al canal, dejarse asesorar por expertos en soluciones de IT que puedan recomendarle lo que de verdad necesita, y sólo lo que de verdad necesita. Para el portavoz de Ibermática, ?las claves en este proceso son: tener claras las necesidades (por ejemplo, contratar un servicio 24×7 suele ser un 50% más caro que un 8×5, que en muchos casos es suficiente), tener claro el offering de los proveedores (es imprescindible saber exactamente saber qué se incluye en aquello que estamos adquiriendo), tener claras las interconexiones de los servicios contratados en el Cloud con otros servicios ?in-house?, y por último conocer las implicaciones legales de contratar productos en la nube según la regulación específica para cada sector de actividad (LOPD, datos financieros, etc?)?. Por su parte desde Accenture ?es necesario abordar un proyecto de definición que permita ?sincronizar? los distintos elementos a tener en cuenta. No sólo por el hecho en sí de tener que decidir en cuanto al mapa de aplicaciones, sino porque las operaciones de negocio deberían simplificarse y hacerse mucho más ligeras. Si simplemente cambiamos las aplicaciones sin aprovechar el rediseño de procesos habremos hecho el camino a medias. Así mismo si no tenemos en cuenta la seguridad o integración podremos encontrarnos más adelante con barreras que dificulten el avance. En general, consideramos que lo adecuado es abordar una etapa de definición que permita revisar tanto las propias aplicaciones, como el impacto de negocio, las infraestructuras, la operación y la seguridad. Es más determinante analizar de modo coordinado las implicaciones en estos planos que profundizar mucho en cualquiera de ellos, sin tener en cuenta el resto?. Por su parte, desde la compañía Colt afirman que ?nuestra recomendación es tener detrás una empresa que conozca el sector y por lo tanto las aplicaciones para que, en todo momento, pueda ofrecer un asesoramiento eficaz a su partner. Las empresas siempre deben preguntarse hacia dónde quieren ir en cada momento y tener en cuenta todo lo que las aplicaciones en cloud pueden proporcionarles para mejorar su negocio. Uno de sus objetivos actuales es el ahorro, y la nube proporciona importantes oportunidades en este sentido, gracias a que te puede asegurar el pago por uso, así como no tener que realizar una inversión mayor, por ejemplo en equipamiento?. Desde T-Systems se centran en que sus servicios dinámicos ponen al alcance del cliente ?la posibilidad de expandir las capacidades de sus propios servidores a infraestructuras Cloud para adaptar las necesidades de su negocio de acuerdo a las fluctuaciones de la demanda. En las grandes empresas, la seguridad puede ser uno de los aspectos que más preocupan porque muchas ven en las amenazas de seguridad el mayor inconveniente del Cloud. Y todo porque el empresario continúa viendo con cierto recelo dejar en manos de un proveedor la gestión de sus datos y aplicaciones. Sin embargo, en la actualidad, la seguridad es un aspecto muy controlado y estudiado a la hora de ofrecer servicios Cloud y el miedo tiene que ver con la falta de confianza. La gran empresa que hace años apostó por CPDs ha de confiar en la posibilidad de reducir costes mediante los servicios Cloud, que a su vez son más seguros por el apoyo de un gigante tecnológico como es Deutsche Telekom, que apuesta por un tipo nube privada y está obligado con sus clientes a aislar los entornos de computación y a optimizar la calidad de servicio en este sentido?
IaaS, SaaS, PaaS,?
El mundo as a service sigue creciendo, pero dentro de él, algunas crecen más que otras y parece que las empresas tienen claro cuáles son las tendencias por las que irá el mercado. Y la gran mayoría de todas ellas paree que van en la línea del IaaS (Infraestructure as a Service). Así desde Ibermática se afirma que la que que tiene mayores visos de crecimiento es ?IaaS porque es el elemento principal de cualquier plataforma de Cloud y donde residen todos los servicios que vayan a desplegarse? De hecho, los principales estudios de mercado le dan al IaaS los mayores ratios de crecimiento (alrededor del 25%). SaaS, porque las pymes directamente quieren acceder a todos sus servicios en modo SaaS y no necesitan la capa de IaaS para la que en muchos casos no tienen el personal y el tiempo necesario para gestionar. Se estima que el 95% de los nuevos despliegues de aplicaciones se harán en pago por uso, aunque todavía quedan muchos servicios on-premise que no van a migrarse al Cloud de manera inmediata?. Y en la misma posición se sitúan Eurocloud en voz de su presidente Pedro Prestel: ?Creo que está claro que el futuro es software, las plataformas IaaS a nivel de proveedores y tecnología tienen un nivel de crecimiento más constante, se nota que la oferta está consolidándose en lo que a proveedores se refiere. Ahora estamos asistiendo a un crecimiento de la oferta PaaS, aunque el crecimiento exponencial lo tiene SaaS, cada vez hay una oferta más amplia de software como servicio, aunque claro, no podría existir sin IaaS, aunque en una misma plataforma IaaS se pueden soportar multitud de soluciones SaaS?. Seguimos preguntando. En HP también apuestan por IaaS: ?Por volumen y por llegar primero las estadísticas demuestran que IaaS sigue siendo líder en este tipo de servicios, pero los crecimientos progresivos de PaaS y SaaS nos indican que en un futuro cercano serán los solicitados quedando IaaS embebido en ambos. En la actualidad, la modalidad IaaS está muy extendida en la nube pública ya que permite mejorar principalmente los procesos de aprovisionamiento y seguir construyendo por encima de dicha plataforma, pero a medida que los departamentos de IT van aumentando su madurez y están menos dedicados a la operación y la dejan en manos de especialistas como HP solicitan servicios PaaS para centrarse en la construcción de los procesos de negocio, y así estar más cerca de sus líneas de negocio; otro gran habilitador de los servicios PaaS esel mundo de la movilidad que desencadena un gran número de aplicaciones que cambian de forma dinámica, día a día. La modalidad SaaS dispone de una demanda segura y en alza. Es un modelo muy demandando por las pymes, pero todavía requiere en cambios importantes en los modelos clásicos de licenciamiento de software hacia modelos de suscripción por parte de los fabricantes de software?.
Y también Esker, aunque en este caso añaden novedades: ?Atendiendo a los estudios que se publican, IDC acaba de vaticinar el crecimiento de IaaS, en concreto que este año va a crecer un 21% la inversión en sistemas cloud en las áreas de servidores, almacenamieno y redes. Por otro lado, observamos que está ganando fuerza el concepto BPaaS (Business Process as a Service) como evolución natural del SaaS. Consiste en la integración del software como servicio en los procesos corporativos a partir de servicios Cloud que incluyan software, plataformas e infraestructuras. Esta tendencia la estamos observando, por ejemplo, en los Centros de Servicios Compartidos de las empresas multinacionales, que concentran en una de las filiales del grupo una o más funciones de gestión ?Recursos Humanos, Compras, Administración? El proceso se externaliza, pero el conocimiento se queda en la empresa?. Otros como es el caso de T-Systems creen que el crecimiento se encontrará en el SaaS porque ?SaaS representa la opción más vendida en el mercado y la que crece más rápido, y esto es debido a que la mayoría de las aplicaciones SaaS pueden ser usadas fácilmente sin necesidad de gestionar o instalar complejas aplicaciones en sistemas locales. IaaS y PaaS irán llegando a niveles de maduración y de consumerización que facilitarán y potenciarán el crecimiento de servicios SaaS. La demanda de servicios SaaS se integra y ajusta perfectamente en las cadenas de aporte de valor de las organizaciones, sobre todo debido a la necesidad de especialización requerida, al alto grado de cambios al que la industria SaaS deberá de dar respuesta y a la inmediatez de aplicación de estas soluciones. Ofertas populares de servicios SaaS pueden incluir herramientas de colaboración, correo, CRM, etc?.
Elegir el proveedor
No todos los proveedores de servicios están preparados 100% para ofrecer servicios cloud de forma óptima. Sin embargo, se constata que existe un creciente interés en lograr una mayor cualificación y capacitación en este campo, ya que supone una extraordinaria oportunidad para el crecimiento y desarrollo del negocio de muchos proveedores. El mercado está listo y con los crecimientos que se ven últimamente se espera que en los próximos meses casi la práctica totalidad de los proveedores estén preparados. Pero a pesar de todo esto es conveniente saber qué hay que hacer para elegir a un proveedor. En este sentido, Alberto Martínez de HP asegura que ?lo que nos consta es que si el proveedor actual del cliente tiene demostrada capacidad cloud, entendiendo ésta como una gestión integral extremo a extremo desde la aplicación hasta la infraestructura, es el mejor partner para empezar con la transformación de su cliente. En caso contrario se tiene que analizar que el proveedor consta con experiencia en cada uno de esas capas y que cloud forma parte de su plan estratégico y de sus inversiones de I+D, vista como una plataforma abierta y no propietaria. En ese sentido HP es el principal contribuidor en OpenStack para hacer realidad el modelo híbrido. Es fundamental contar con un proveedor con un alto conocimiento y experiencia en este mercado. En este sentido, en HP contamos con profesionales con una altísima cualificación, avanzas herramientas y procesos, siendo fabricantes de tecnología (software y hardware), además de disponer del soporte de los líderes del sector en hosting?. Y desde Accenture se afirma que ?Cada vez más, la oferta de calidad se está concentrando alrededor de un conjunto acotado de proveedores globales. La correcta toma de decisiones pasa por tomar un tiempo para llevar a cabo un proyecto de análisis y definición, donde se valoren todas las capacidades de nuestro IT, tanto en el plano de aplicaciones, como de información, como de infraestructura, así como el modelo operativo y las herramientas y métricas de soporte, en el contexto presupuestario deseado. Este mapa debería contrastarse frente a las opciones mercado existentes y ver qué ventajas de eficiencia, velocidad, agilidad puede conllevar un nuevo modelo de IT. A partir de ahí tomar decisiones y elaborar un plan. Como características fundamentales de este proceso, hay que plantearlo de forma pragmática, tiene que ser breve y las oleadas de transformación deberían ser mucho más cortas y con resultados objetivos medibles. El esquema es diferente al de los grandes mega-proyectos del pasado, porque las bases de construcción son distintas y porque la expectativa ha cambiado. Hay que dar respuesta a este plan para poder gobernar este proceso de cambio?. Finalmente Oscar Roncero, de SAP afirma que ?en este punto nuestra recomendación sería contratar a proveedores con demostrada reputación y realizar una transición gradual, quizá empezando con aplicaciones departamentales o procesos menos críticos para el negocio para ir evolucionando y abarcar mayores áreas. Y pocas empresas tecnológicas conocen mejor que SAP las áreas de negocio de las compañías, y tienen la capacidad necesaria de evolución de dichas aplicaciones?.
Jaime Gutiérrez de Mesa. Responsable de la línea de negocio Cloud de Ibermática
Cloud ha dejado de ser algo aislado para entrar a formar parte de la estrategia de IT de las organizaciones. Aparecen en escena nuevos proveedores que no vienen a sustituir a los antiguos, sino a complementarlos, en un nuevo entorno compuesto por un universo de múltiples soluciones específicas para cada necesidad. La simplificación de ese entramado de diferentes nubes es un aspecto fundamental para las empresas. Cada una debe decidir su ?mix? de Cloud más apropiado en función de sus necesidades y requerimientos, uniendo piezas de diferentes proveedores, como si se tratase de una orquesta en la que cada instrumento suma para componer la melodía perfecta.
El mercado de Cloud Computing, sobre el que se empezó a hablar hace 6 ó 7 años, ha continuado su imparable evolución y hoy en día ha alcanzado una fase de madurez suficiente para ser tenido en cuenta por las compañías como un componente más dentro de su estrategia de IT.
Esta madurez se ha concretado en una oferta de servicios muy amplia, donde encontramos soluciones para todas las necesidades, generalmente modulares, para ofrecer cierto grado de flexibilidad. Servicios que son proporcionados por empresas especializadas, que conocen en profundidad el ámbito de sus soluciones y aportan una visión renovada y muy efectiva al mercado, pero que sólo resuelven necesidades concretas.
Este avance progresivo hacia la especialización hace que la mejor solución de Cloud para una compañía sea la suma de soluciones de diferentes proveedores, donde cada una resuelve una parcela de las necesidades, y entre todas forman un entramado de servicios Cloud. Esto es posible gracias a la apertura que predomina en el mundo Cloud, donde todo puede conectarse mediante APIs (Application Programming Interfaces): un conjunto de llamadas que permiten que una aplicación o servicio se comunique con otro y pueda ser gestionado/invocado para poder trabajar unidos e intercambiar información entre componentes que ocupan una posición diferente dentro de la cadena de valor.
Además las grandes compañías añaden un elemento más a la ecuación, apostando no sólo por la utilización de las soluciones Cloud basadas en múltiples proveedores de nicho, sino también por las soluciones de Cloud privado para determinadas necesidades que puedan mantener en plataformas internas (por razones de seguridad, financieras, regulatorias y legales, etcétera). Las pequeñas compañías normalmente no apuestan por las soluciones de Cloud privado, ya que no tienen masa crítica suficiente que contrarreste los costes de inversión necesarios para desplegar una plataforma propia, especialmente teniendo la opción de contratarlo todo como un servicio.
Esta aproximación basada en múltiples proveedores hace que no exista una solución de Cloud única que pueda dar respuesta a las necesidades de cualquier compañía, ni siquiera de un sector de actividad o tamaño específico, sino que debe ser cada empresa la que decida su ?mix? de Cloud más apropiado en función de sus propias necesidades y requerimientos, uniendo piezas de diferentes proveedores, como si se tratase de una orquesta en la que cada instrumento suma para componer una melodía perfecta.
Todos los estudios de mercado recientes apuntan a esta tendencia, reflejando el interés de las compañías por el Cloud, cuyas principales ventajas como la elasticidad, autoprovisión, pago por uso, etcétera, son conocidas por todos. De hecho la mayor parte valora el Cloud como un elemento clave dentro de su estrategia de IT.
¿Cómo gestiona el director de orquesta todos los instrumentos?
Ante este nuevo paradigma, el reto que afrontan las compañías es cómo navegar por este entorno de múltiples soluciones entregadas desde múltiples proveedores, cómo elegir las más adecuadas para solventar sus necesidades, y lo que es todavía más importante, una vez decididas cuáles son ?las buenas?, cómo gestionar este entorno heterogéneo a nivel administrativo y operativo, y cómo conseguir que los usuarios accedan a ellas de una manera transparente, simple y sencilla, sin tener que recordar multitud de direcciones web, enlaces, nombres de usuario, contraseñas?.
Llegados a este punto el reto está en la orquestación de esos servicios, en desplegar una capa superior de brokerage que pueda presentar toda la oferta de los diferentes proveedores de servicios corporativos (públicos y privados) en modelo ?catálogo de servicios? y permita que los usuarios accedan a todos ellos desde un único punto, acreditándose sólo una vez en lugar de hacerlo para cada uno de los servicios en un punto diferente y con unas credenciales distintas.
Esta capa de brokerage debe comunicarse con los diferentes servicios a través de las APIs que éstos exponen. Las APIs tienen una metodología similar, pero no son comunes para todos los servicios, puesto que cada una tiene sus propias funcionalidades que deben ser invocadas. De esta manera, la capa de brokerage debe ser capaz de hablarse con cada uno de los servicios orquestados y debe tener llamadas para cada una de las funcionalidades que tienen estos servicios.
Herramientas de orquestación
La elección de una herramienta de orquestación debe hacerse teniendo en cuenta los servicios que quieren orquestarse y qué proveedor ofrece los flujos necesarios para orquestarlos. Las herramientas más potentes del mercado ofrecen ya flujos de orquestación para los principales proveedores, pero para aquellos servicios menos demandados los flujos no suelen estar disponibles y es necesario desarrollarlos.
Las plataformas de orquestación generalmente cuentan con entornos de desarrollo (SDK) donde pueden crearse y probarse los flujos de provisión para nuevos servicios. Aquí los propietarios de servicios Cloud pueden desarrollar las conectores que unen las APIs de sus servicios con las plataformas de orquestación y facilitar así que los usuarios de esa plataforma puedan adoptar su solución con un menor coste (puesto que tendrá menos gastos de implementación que si hay que hacer la integración especifica) y un menor time-to-market.
Pero no todas las tareas de provisión de servicios pueden automatizarse (especialmente para las plataformas de Cloud privado). Puede ser necesaria la intervención humana para algunas tareas, como por ejemplo para autorizar un pedido. En este caso es necesario que los orquestadores incluyan la funcionalidad de lanzar tareas a través de las herramientas de ticketing, por ejemplo, y esperar a que se realice alguna acción concreta para que la tarea avance y el flujo pueda continuar, pero todo dentro de un mismo proceso de provisión, puesto que se trata de una misma tarea dividida en sub-tareas.
Gestión de usuarios
Otro aspecto fundamental de las plataformas de orquestación es la gestión de usuarios. Estas plataformas permiten una política de gestión de usuarios única para todos los servicios, y generalmente se integra con el Directorio Activo, de manera que si un usuario deja la compañía y es eliminado del directorio activo, automáticamente está deshabilitado en todos los servicios Cloud de la compañía.
Los usuarios no son todos iguales, y en las plataformas de orquestación están caracterizados por roles en función de los privilegios que tiene cada uno o los paquetes de servicios que tiene asignados. Además la plataforma debe ser capaz de mostrar al administrador un listado de usuarios y servicios, permitiendo que éste edite los servicios que tiene asociados cada usuario.
El acceso a los servicios por parte de los usuarios debe realizarse mediante Single-Sign-On, permitiendo que una vez que los usuarios estén autenticados en la plataforma puedan acceder a cualquiera de los servicios sin necesidad de volver a hacerlo, evitando así tener que memorizar multitud de credenciales que caducan cada poco tiempo, de manera desacompasada y con formatos muy diferentes.
Por último, el catálogo de servicios unificado permite poner a disposición de los usuarios de una manera sencilla todos los servicios ?corporativos? que pueden ser consumidos e incluir un precio de transferencia para que sean conscientes del coste que tiene cada uno (y que puede ser repercutido a su departamento/unidad de negocio). Este catálogo, unido a la capacidad de automatización de la provisión comentada, permite desarrollar el concepto de autoservicio, que es inherente al Cloud, pero limitado a los servicios que la compañía ha definido como ?corporativos?.
Esta capacidad de autoservicio permite que los propios servicios de IT sean más ágiles, lo que constituye una de las principales demandas que el negocio suele hacer a los departamentos de IT, y contribuye a mitigar el riesgo del Shadow IT (IT en la sombra) que viene motivado por la falta de competitividad de los departamentos de IT internos respecto a los proveedores de Cloud públicos, y que hace que en muchas ocasiones las compañías tengan múltiples servicios fuera de control, desplegados en proveedores de Cloud público directamente por las unidades de negocio, y en muchos casos, asumiendo muchos riesgos en materia de seguridad puesto que las auditorias corporativas no los tienen en cuenta.
Guillem Veiga, AWS Country Manager
El precio es un factor de elección importante, pero no el único. De hecho, lo bueno de la nube es que le da a empresas de cualquier tamaño acceso a almacenamiento, computación, bases de datos y otras tecnologías en un modelo de pago por uso y disponible desde cualquier lugar del mundo y en cualquier momento. Cualquier persona con unos conocimientos básicos de TI, una idea y una tarjeta de crédito, puede ir a aws.amazon.com y acceder a una cantidad casi infinita de computación y almacenamiento de manera instantánea y pagando solo por lo que se usa.
Las ventajas de la nube de Amazon Web Services se pueden resumir en seis puntos principales: No requiere inversiones de capital, permite pagar únicamente por lo que se usa, dispone de capacidad elástica, proporciona gran agilidad, y velocidad en la creación e implementación de aplicaciones, brinda a las empresas la capacidad de centrarse en su negocio, y permite a las empresas desplegarse globalmente en apenas minutos
Leer Noticia original en su web
Leer más...
Cómo EMM ayuda a cumplir con el Reglamento General de Protección de Datos (GDPR) 23-05-2017
Existe una tendencia internacional predominante en el ámbito del cumplimiento de protección de datos, consistente en codificar, en términos legales, el concepto de estándares de seguridad dentro de l...
Existe una tendencia internacional predominante en el ámbito del cumplimiento de protección de datos, consistente en codificar, en términos legales, el concepto de estándares de seguridad dentro de lo razonable y el sentido común. Este cumplimiento se está alejando de lo púramente teórico para convertirse en un reglamento práctico. El Reglamento General de Protección de Datos (GDPR, en inglés), que entró en vigor en abril de 2016 y será de obligado cumplimiento a partir del 25 de mayo de 2018, hará que toda Europa quede bajo un único régimen legal integral de seguridad y privacidad de los datos. El GDPR es aplicable a los controladores de la Unión Europea, así como a los que están ubicados fuera de la UE si la persona cuyos datos personales están siendo procesados está dentro de la Unión Europea. Por «controlador» se entiende la organización o empresa que decide la finalidad y los medios de procesamiento de los datos personales. Cuando hablamos de procesar datos personales de los empleados en lo concerniente a su trabajo, el controlador sería su empleador.
Aunque Europa es líder global especialmente en privacidad de datos, los principios para procesar datos personales de acuerdo con el GDPR son ya conocidos y están basados en estándares (vea aquí el blog EMM y la ley (en inglés):
Al igual que con otros estándares de privacidad y seguridad de datos, el GDPR incluye el concepto de proporcionalidad, es decir, el controlador debe implementar medidas técnicas y organizativas adecuadas para garantizar y demostrar el cumplimiento. Las medidas que tome el controlador deben ser proporcionadas con respecto al procesamiento en cuestión.
La privacidad a medida no es un concepto nuevo, pero su inclusión en el GDPR demuestra que las medidas prácticas basadas en riesgos se están convirtiendo en requisitos legales. La privacidad a medida requiere que el controlador implemente las medidas técnicas y organizativas adecuadas desde la configuración inicial de las operaciones. En otras palabras, la privacidad no se puede improvisar; al contrario, los problemas de privacidad deben tenerse en cuenta y las medidas de seguridad basadas en los riesgos deben tomarse a lo largo del ciclo de vida del proceso, desde el diseño inicial hasta el borrado de datos.
La privacidad predeterminada significa que el controlador debe llevar a la práctica las medidas técnicas y organizativas adecuadas para garantizar que, de forma predeterminada, solo se obtengan y procesen la cantidad necesaria de datos personales. El usuario no tendría por qué facilitar información adicional a la estrictamente necesaria. El controlador no puede recopilar más información «por si acaso» deseara utilizarla después.
Por responsabilidad se entiende la supervisión y el cumplimiento. Los controladores deben ser capaces de demostrar que tienen instauradas medidas de seguridad adecuadas y que el cumplimiento está supervisado. Las multas por no cumplimiento con el GDPR son considerables: las más altas ascienden a 20 millones de euros o el 4 % de los ingresos globales anuales de la empresa.
La solución de gestión de movilidad empresarial (Enterprise Mobility Management, EMM) como la de MobileIron, es un componente imprescindible en cualquier plan desarrollado para el cumplimiento del Reglamento General de Protección de Datos:
El controlador (es decir, la empresa) no tiene razones para creer que está segurizando adecuadamente los datos personales a menos que pueda demostrar que ha implementado los controles y procedimientos adecuados de EMM para garantizar la separación de los datos corporativos y los datos personales en el dispositivo móvil, así como para proteger dichos datos corporativos de las amenazas externas y el uso o divulgación no autorizados. La solución MobileIron proporciona al controlador un sólido marco para el cumplimiento de los principios del Reglamento General de Protección de Datos: minimización de datos, integridad, confidencialidad y responsabilidad así como la actuación inmediata en caso de detectar una posible situación de riesgo.
Leer Noticia original en su web
Leer más...
Asumir la cultura del Compliance supone un beneficio añadido de reputación 16-05-2017
Abogada especialista en Compliance y Prevención Penal - LídeR.ES es una iniciativa de MurciaEconomía.com y de la Cátedra Internacional de RSC de la UCAM
Comprometida con la necesidad de que las o...
Abogada especialista en Compliance y Prevención Penal - LídeR.ES es una iniciativa de MurciaEconomía.com y de la Cátedra Internacional de RSC de la UCAM
Comprometida con la necesidad de que las organizaciones, tanto empresariales como sociales, dispongan de un modelo de prevención penal. Manuela lleva varios años trabajando en dar respuesta a esa necesidad empresarial y, también legal, desde su regulación específica a raíz de la última reforma del Código Penal, en el año 2015: ?Es importante tener en cuenta que el Compliance consiste fundamentalmente en prevención. Y subsidiariamente, y en caso de investigación judicial (antes, imputación), se convierte en un instrumento de defensa. Ya que su implantación en la organización puede suponer la exoneración o atenuación de la responsabilidad penal de la propia organización?, afirma Manuela.
Manuela García Rivas es abogada especialista en Compliance y Pevención Penal. Con más de veinticinco años de trayectoria profesional en el ámbito jurídico -fundamentalmente, civil y penal-, decide especializarse en un área en el que ella entendía que, con todas las modificaciones legislativas de los últimos años, existía un vacío que era necesario atender; especialmente, cuando a partir del año 2010 se empieza regular la responsabilidad penal de las organizaciones.
Hasta ese momento, cuando un trabajador cometía un delito en el seno de una empresa en el ejercicio de sus funciones laborales, él era el único responsable penal, es decir, la responsabilidad penal recaía en la persona física como autor del delito. Mientras que la empresa del trabajador que había cometido el delito (persona jurídica) sólo respondía civilmente.
Posteriormente, con la reforma del Código Penal de junio de 2010, comienza a regularse esa responsabilidad penal de la persona jurídica. Pero no será hasta el 1 de julio de 2015, momento en el que entra en vigor la última reforma del Código Penal en esta materia, cuando se refuerza la responsabilidad penal de la persona jurídica, ya que pasa a tratarse de una responsabilidad directa e independiente, que solo puede ser declarada por la comisión de aquellos delitos que estén debidamente tipificados en el Código Penal. Además, la responsabilidad penal de la persona jurídica (organización) es independiente de la responsabilidad penal de la persona física (trabajador): ?Hay que tener en cuenta que la responsabilidad penal del trabajador se puede trasladar a la persona jurídica, es decir, a la propia organización, que se verá obligada a responder penalmente. Y esa responsabilidad se traslada por el mero hecho de no haber ejercido el debido control sobre sus empleados para la prevención de la comisión de delitos. Por ello es tan importante la asunción de la cultura del Compliance por parte de la organización empresarial y social para protegerse frente a la posible comisión de delitos por parte de sus trabajadores?, afirma Manuela García Rivas.
Manuela trabaja para contribuir a que la Región de Murcia sea una de las primeras en tener asumida la cultura del Compliance a través de su implantación en todo el tejido organizacional: ?En nuestra Región, son pocas las empresas que tienen implantado un modelo de prevención penal, básicamente lo tienen las grandes empresas y las que operan a nivel internacional. Respecto a las PYMES, falta mucho camino por recorrer. De hecho, les están costando bastante entender y asumir su implantación. Es necesario que tengan en cuenta que toda organización, por la actividad que desempeña, tiene una serie de riesgos penales. Y es precisamente, esa actividad comercial la que determina la gravedad, frecuencia, etc., de esos riesgos?.
Las empresas de la Región de Murcia no son las únicas que adolecen de no tener asumida la cultura del Compliance. Lo mismo le sucede a las propias organizaciones sociales, aunque es cierto ?asegura Manuela- que están empezando a ser conscientes de la necesidad de disponer de un modelo de prevención penal.
El objetivo del modelo de prevención penal es triple: prevenir la comisión de delitos, detectar las posibles conductas delictivas y reaccionar frente a esas conductas. Y para conseguir esto, es necesario elaborar el mapa de riesgos penales dentro de la organización atendiendo a su actividad, establecer los mecanismos de control de todos y cada uno de esos riesgos penales y determinar un sistema de denuncia y disciplinario, así como verificar periódicamente su cumplimento: ?Es decir que cuando un trabajador comete una de las figuras delictivas reguladas en el Código Penal y es denunciado a través del canal de denuncia habilitado en el seno de la organización, se abre un procedimiento disciplinario-sancionador, donde se investiga si efectivamente el trabajador ha cometido ese delito, y en caso afirmativo, se le imponen las medidas sancionadoras correspondientes. Esto viene a demostrar que la organización tiene asumida la cultura del Compliance. De manera que en el caso de que haya un procedimiento penal contra la organización por un delito cometido por su trabajador, la propia organización podrá alegar en su defensa que ha puesto todo de su parte para que no se cometan delitos en su seno y pueda eximir o atenuar su responsabilidad penal?.
La Responsabilidad Social Corporativa contempla el Compliance como una de las herramientas para el buen gobierno de las organizaciones, ya que da respuesta a los tres principios del Gobierno Corporativo, que toda organización debe tener implementados y que debe asegurar, y que son el control, la transparencia y la accesibilidad a la información: ?De hecho, tener el Compliance implementado supone un beneficio reputacional importante para las organizaciones. E implica un plus en su compromiso con la legalidad frente al mercado y frente a empleados y proveedores?, asegura.
Manuela García Rivas insiste en la necesidad de entender la importancia de implantar un modelo de prevención penal en el seno de la organización: ?Para entendernos, es como por ejemplo tener un seguro del hogar. Si no lo tienes y no ocurre ningún siniestro en tu casa, no pasa nada. Pero si ocurre un siniestro, eres tú el que asume la reparación. Mientras que si tienes el seguro, es el seguro el que la asume. Con el Compliance, viene a suceder lo mismo. Mientras no se cometan delitos, no pasa nada. Pero si de repente, la organización se ve incursa en un proceso penal, y no tiene implantado el modelo de prevención penal, la persona jurídica tendrá que asumir su responsabilidad penal?.
Leer Noticia original en su web
Leer más...
Nueva sentencia contra el registro de jornada obligatorio 15-05-2017
El Tribunal Supremo ha dictado una segunda sentencia que anula la obligación de las empresas de disponer de un sistema de registro de la jornada laboral de los trabajadores. Al tratarse del seg...
El Tribunal Supremo ha dictado una segunda sentencia que anula la obligación de las empresas de disponer de un sistema de registro de la jornada laboral de los trabajadores. Al tratarse del segundo fallo en el mismo sentido sienta jurisprudencia. La resolución está referida a Abanca y resuelve una demanda de los sindicatos contra esta entidad financiera, resultante de la fusión de las cajas de ahorro gallegas. La resolución va en contra del criterio de la Inspección de Trabajo, que venía exigiendo a las empresas el registro horario incluso después de la primera sentencia del Supremo. Contra la opinión del ciado servicio, los magistrados interpretan que el artículo 35.5 del Estatuto de los Trabajadores (ET) "no exige la llevanza de un registro de la jornada diaria efectiva de toda la plantilla", sino que "su finalidad es el control de la realización de horas extraordinarias". Trabajo realizó campañas de inspección específicas con sanciones de hasta 6.000 euros para las empresas que carecían del polémico registro de jornada.
Leer Noticia original en su web
Leer más...
La Norma UNE 19601 favorece la homogeneidad entre sistemas de gestión para la prevención de delitos en las empresas 12-05-2017
El pasado mes de abril vio la luz la Norma UNE 19601 de sistemas de gestión de compliance penal, mediante la que se pretende ayudar a prevenir delitos en las organizaciones. Va a ser la primera norma ...
El pasado mes de abril vio la luz la Norma UNE 19601 de sistemas de gestión de compliance penal, mediante la que se pretende ayudar a prevenir delitos en las organizaciones. Va a ser la primera norma española que incluya requisitos para implantar, mantener y mejorar un sistema de gestión de compliance penal, que permitirá reducir el riesgo penal y prevenir delitos en las organizaciones, tanto del ámbito privado como de la Administración.
La Norma UNE 19601 ofrece una novedad muy relevante, puesto que hasta ahora no existía un estándar oficial que favoreciera la homogeneidad entre sistemas de gestión para la prevención de delitos en las empresas. Cabe destacar que los sistemas de gestión de Compliance operan como si fueran matrioskas, de modo que los aspectos generales quedan cubiertos por los sistemas de gestión de Compliance de coordinación transversal, mientras que los sistemas específicos se limitan entonces a tratar aspectos muy precisos. Así, disponiendo de un sistema de Compliance penal basado en el estándar UNE 19601, se sientan también las bases del sistema de gestión anti-soborno de la Norma ISO 37001.
El nuevo marco normativo dispone de seis anexos, de los cuales uno es normativo y el resto son meramente informativos. Estos últimos ayudan a la interpretación del estándar y a la aplicación práctica de sus contenidos. Por otra parte, los componentes de la Norma UNE se encuadran, principalmente, en sus Capítulos 4 a 10, ambos incluidos, y es allí donde se detallan los aspectos a considerar en el diseño del sistema, para generar una cultura de Compliance, para fijar sus objetivos, darle soporte, operarlo adecuadamente, evaluar su desempeño y mejorarlo.
Thomson Reuters te ofrece el dossier ‘Compliance y Norma UNE 19601’
En apenas dos años, el término Compliance ha pasado de tener un uso restringido a un pequeño círculo de profesionales, a integrarse en el vocabulario común. No es objeto de estas líneas hacer hincapié en la importancia del cumplimiento normativo, de sobra conocida, sino de ofrecer el presente trabajo editorial, que tiene por objeto analizar las principales novedades en la materia.
La principal novedad, tanto por su actualidad como importancia, es la Norma UNE 19601, mediante la que toma cuerpo el primer estándar oficial que favorecerá la homogeneidad entre sistemas de gestión para la prevención de delitos en las empresas. En páginas interiores ofrecemos los aspectos más relevantes de la citada Norma.
Además, de la UNE, el presente dossier analiza otras dos normas de gran importancia: la ISO 37001 Un instrumento clave en la lucha contra el soborno y el Reglamento (UE) 2016/679, de 27 de abril, Aspectos clave de la nueva figura del delegado de protección de datos.
Tan importante como la normativa es la interpretación que de la misma están haciendo nuestros tribunales, motivo por el que la sección Jurisprudencia ofrece y analiza las tres resoluciones más relevantes en el ámbito del Compliance durante el pasado año.
La legislación y la jurisprudencia se complementan con el análisis de los expertos, sección en la que ofrecemos tres trabajos con profundidad doctrinal en materia de compliance que versan sobre: La responsabilidad penal de las personas jurídicas por delito fiscal, de Juan Calvo Vérgez, Responsabilidad penal de los colegios profesionales, El compliance como responsabilidad del consejo de administración,
El dossier se cierra con dos estudios teóricos: El cumplimiento y el órgano de administración social y Estructura para el desarrollo de un sistema para la gestión del cumplimiento.
Leer Noticia original en su web
Leer más...
25 argumentos para directivos incrédulos en materia de compliance 08-05-2017
En 2010, al realizar presentaciones sobre la reforma del Código Penal ante consejos de administración y directivos era habitual encontrar miradas de reticencia e incluso sospechas de que el cumplimie...
En 2010, al realizar presentaciones sobre la reforma del Código Penal ante consejos de administración y directivos era habitual encontrar miradas de reticencia e incluso sospechas de que el cumplimiento normativo podría ser un obstáculo para el negocio: ?Si vamos a 120 km/h en un sector donde todos van a 150, pasaremos de la primera posición a la última.?
Tras siete años, todavía encontramos discrepancias entre la versión oficial que ofrecen los códigos éticos y la actividad diaria de los departamentos comerciales, la forma de influir en el legislador o de contratar con el sector público, por citar algunos ejemplos fáciles.
Los Compliance Officer que son conscientes de estas discrepancias se esfuerzan en crear poco a poco una cultura de cumplimiento en sus empresas, pero a veces tienen que luchar contra la incredulidad y la falta de apoyo de los órganos de gobierno y de los directivos, que son los que más tendrían que defender una posición clara de la empresa a favor del cumplimiento.
En la primera edición del curso de compliance de Thomson Reuters Aranzadi incluimos una presentación con 10 argumentos destinada a sensibilizar a órganos de administración y directivos incrédulos en materia de compliance. Esta presentación ha ido evolucionando con los años y en la actualidad un buen número de Compliance Officers están utilizándola en sus acciones de concienciación.
Concienciar y sensibilizar es una tarea difícil, en especial en algunos sectores, a la que queremos contribuir publicando una selección de los múltiples argumentos que pueden ayudar a acreditar las ventajas del cumplimiento normativo.
Esta lista es una selección de 25 argumentos que serán objeto de desarrollo y ampliación en artículos posteriores, intentando dar un mayor énfasis en los argumentos de negocio, que son los que al final convencen a los directivos.
Pingback: ARGUMENTO 01 – Reducción de la vulnerabilidad de la empresa derivada de la progresiva precariedad de los círculos de confianza. | Xavier Ribas
Pingback: ARGUMENTO 02 – Reducción de la vulnerabilidad de la empresa derivada del progresivo incremento de los programas de clemencia y de recompensa a confidentes | Xavier Ribas
Pingback: ARGUMENTO 03 – Mayor conocimiento de la empresa y de las actividades y riesgos de cada departamento | Xavier Ribas
Pingback: ARGUMENTO 04 – Eficiencia operativa derivada de la mejora de procesos y de la menor dedicación a la reparación de incumplimientos | Xavier Ribas
Pingback: ARGUMENTO 05 – Ahorro de costes derivados de pleitos, sanciones, indemnizaciones, pérdida de facturación y contratos públicos | Xavier Ribas
Pingback: ARGUMENTO 06 – Reducción de las sanciones en materia de competencia, protección de datos y otras infracciones administrativas | Xavier Ribas
Pingback: ARGUMENTO 07 – Efecto disuasorio de la percepción del control, de acuerdo con la teoría de las ventanas rotas | Xavier Ribas
Pingback: ARGUMENTO 08 – Mayor descentralización y eficacia del control | Xavier Ribas
Pingback: ARGUMENTO 09 – Distribución de responsabilidades coherente con el criterio de proximidad del riesgo | Xavier Ribas
Pingback: ARGUMENTO 10 – Incremento de la coordinación entre departamentos eliminando controles solapados y esfuerzos antagónicos | Xavier Ribas
Pingback: ARGUMENTO 11 – Ampliación del perímetro de control y mejora del control de proveedores y socios comerciales | Xavier Ribas
Pingback: ARGUMENTO 12 – Aseguramiento de que ningún control quede sin asignar a un responsable | Xavier Ribas
Pingback: ARGUMENTO 13 – Creación de cortafuegos que ayuden a aislar la responsabilidad en los verdaderos autores del incumplimiento | Xavier Ribas
Pingback: ARGUMENTO 14 – Estrategia de defensa basada en pruebas preconstituidas, ordenadas, centralizadas y con sello de tiempo (Defense file) | Xavier Ribas
Interesante enfoque.
Quedamos a la espera de los detalles de cada punto.
Saludos
Pingback: ARGUMENTO 15 – Prevención del riesgo reputacional derivado de la implicación de la empresa en tramas de corrupción y otros delitos | Xavier Ribas
Pingback: ARGUMENTO 16 – Exigencia de inversores, accionistas y fondos activistas | Xavier Ribas
Introduce tus datos o haz clic en un icono para iniciar sesión:
Estás comentando usando tu cuenta de WordPress.com. ( Cerrar sesión / Cambiar )
Estás comentando usando tu cuenta de Twitter. ( Cerrar sesión / Cambiar )
Estás comentando usando tu cuenta de Facebook. ( Cerrar sesión / Cambiar )
Estás comentando usando tu cuenta de Google+. ( Cerrar sesión / Cambiar )
Conectando a %s
Notificarme los nuevos comentarios por correo electrónico.
Recibir nuevas entradas por email.
Leer Noticia original en su web
Leer más...
Trabajo seguirá pidiendo el registro de jornada, contra el criterio del Supremo 08-05-2017
La Inspección de Trabajo seguirá exigiendo a las empresas que lleven un registro diario de la jornada de todos sus trabajadores. Y lo hará contra el criterio fijado el mes pasado por el Tribunal Supre...
La Inspección de Trabajo seguirá exigiendo a las empresas que lleven un registro diario de la jornada de todos sus trabajadores. Y lo hará contra el criterio fijado el mes pasado por el Tribunal Supremo, que corrigió a la Audiencia Nacional al eximir a Bankia -uno de los tres bancos que habían sido condenados a implantar un sistema de control horario- de esa obligación formal, para limitarla solo al ámbito de las horas extras, haciendo una interpretación más laxa de lo dispuesto en el Estatuto de los Trabajadores.
Una sentencia que no solo choca con las dictadas hasta entonces por la Audiencia Nacional, sino también con las actuaciones de la Inspección, que el año pasado intensificó el control sobre las horas extras no declaradas, que suponen una vía de agua en los ingresos de la Seguridad Social. Dentro de su campaña especial de comprobación, centrada en las pymes (el objetivo era visitar 5.600 en toda España, 290 en Galicia), uno de los puntos que los inspectores debían comprobar era si la empresa llevaba al día el registro diario de jornada. En caso de que la firma no cumpliese con esa obligación, se le levantaba un acta por una infracción grave, castigada con una multa de hasta 6.250 euros.
Por eso, el cambio de criterio del Supremo generó confusión en gestorías y despachos de abogados y asesores laborales, que estos días se han puesto en contacto con la autoridad laboral para aclarar cuál será el criterio que seguirá a partir de esa sentencia. Y la respuesta que han obtenido es que «la Inspección de Trabajo y Seguridad Social seguirá exigiendo a las empresas el registro de la jornada diaria, porque para comprobar con exactitud la realización o no de horas extraordinarias debe conocer la jornada ordinaria diaria de cada trabajador, puesto que de lo contrario se produce una indefensión del empleado en tanto la prueba del exceso de jornada dependa en exclusiva del empresario», reza la réplica a una de las consultas.
Consciente del choque que se produce con el criterio del Supremo, el organismo inspector se justifica en que, al haber solo una sentencia, esta «no crea jurisprudencia aún», aunque reconoce que en caso de que el alto tribunal dictase un nuevo fallo en el mismo sentido sí deberán revisar la instrucción dictada para exigir en sus controles el registro de jornada.
«El problema es que, después de saltar la sentencia, hubo quien interpretó que ya no era necesario mantener el control horario y se informó mal a las empresas», explica Catarina Capeáns, especialista del área laboral de Vento Abogados y Asesores, que recomienda seguir llevando el registro de jornada hasta que el Supremo se pronuncie de nuevo, para evitar una sanción. «Como alternativa, en las empresas en las que sea difícil hacer ese seguimiento diario, se podría poner en las nóminas que no se han realizado horas extras», apunta.
Pero si hasta ese momento se produce una inspección y se levanta acta de infracción (con la correspondiente multa), la recomendación de Carlos del Pino, socio de Pin & Del Pino Abogados y Asesores Tributarios, es recurrirla hasta llegar, si es preciso, a los tribunales, donde la lógica indica que debería prevalecer el criterio del Supremo.
El plan de inspección laboral coordinado entre la Xunta y el Ministerio de Empleo prevé realizar este año 75.000 actuaciones de control en empresas gallegas, según detalló ayer el Gobierno gallego tras la reunión mantenida por el conselleiro de Emprego, Francisco Conde, con el nuevo director de la Inspección en Galicia, Demetrio Fernández. El año pasado, el plan permitió la conversión en indefinidos de casi 3.000 contratos temporales.
Leer Noticia original en su web
Leer más...
La importancia de los programas de compliance en el sector financiero español 03-05-2017
El 16 de abril de 2014 el Parlamento Europeo aprobó la Directiva MIFID II, que en España entrará en vigor en enero de 2018, lo que va a suponer un cambio en el modelo de detección y gestión del riesgo...
El 16 de abril de 2014 el Parlamento Europeo aprobó la Directiva MIFID II, que en España entrará en vigor en enero de 2018, lo que va a suponer un cambio en el modelo de detección y gestión del riesgo.
Leer Noticia original en su web
Leer más...
Compliance, algo más que ética empresarial 26-04-2017
No disponer de compliance, regulado en España por la Ley Orgánica Número 5/2010 y obligatorio para todas las sociedades desde 2015, puede llevar incluso al cierre de la sociedad y la cárcel para su ad...
No disponer de compliance, regulado en España por la Ley Orgánica Número 5/2010 y obligatorio para todas las sociedades desde 2015, puede llevar incluso al cierre de la sociedad y la cárcel para su administrador.
Leer Noticia original en su web
Leer más...
¿Qué es una evaluación de impacto en protección de datos? 19-04-2017
Hasta que se publicó el Reglamento General de Protección de Datos[1] (RGPD), la normativa europea no hacía mención expresa alguna a las evaluaciones de impacto en protección de datos o a las evaluacio...
Hasta que se publicó el Reglamento General de Protección de Datos[1] (RGPD), la normativa europea no hacía mención expresa alguna a las evaluaciones de impacto en protección de datos o a las evaluaciones de impacto de privacidad. El mencionado Reglamento las regula por primera vez y, si bien en otros países existe más conocimiento y desarrollo de esta figura, en España podemos decir que estamos en una etapa algo temprana al respecto.
Sin embargo, tal y como ha indicado la Agencia Española de Protección de Datos (AEPD), conviene aprovechar el tiempo que queda hasta la efectiva aplicación del RGPD, en mayo de 2018, para ir adaptándose a este nuevo marco legal, a fin de que, llegado ese momento, las organizaciones se encuentren en el mayor grado posible de cumplimiento.
Bajo mi punto de vista, junto con la privacidad por defecto y desde el diseño, las evaluaciones de impacto en protección de datos es una de las herramientas que, bien aplicada y sobre todo en aquellos supuestos en que resulte obligatorio realizarlas, contribuye en gran medida a acreditar que la entidad cumple con el principio de responsabilidad proactiva (accountability) que exige el Reglamento.
El principal objetivo de toda EIPD es reducir los riesgos para la protección de los datos personales y para otros derechos que puedan verse afectados como consecuencia del tratamiento de los datos de carácter personal. En consecuencia, el análisis de los riesgos y la medición de éstos, es una parte importante de toda evaluación de impacto. Sin embargo, no es la única y, además, en el caso de las EIPD, el análisis de riesgos debe llevarse a cabo con ciertas particularidades que lo distinguen de otro tipo de análisis de riesgos que puede convenir realizar también en la organización.
A su vez, con una EIPD se pueden obtener otros beneficios o ventajas como, por ejemplo, entender mejor lo que implica la protección de datos, conseguir una gestión más eficaz de los activos y procesos de la entidad, ayuda a la continuidad del negocio y, entre otras cosas, facilita también el cumplimiento de otras muchas obligaciones requeridas por el RGPD.
Ahora bien, las evaluaciones de impacto en protección de datos no son únicamente una herramienta muy útil y conveniente, sino que resultan obligatorias para organizaciones que lleven a cabo determinadas operaciones de tratamiento de datos. Los supuestos que el Reglamento contempla como obligatorios son aquellos en que se produzcan:
a) decisiones automatizadas, que originen efectos jurídicos hacia el interesado (persona a quien corresponden los datos personales) o le afecte significativamente,
b) tratamientos a gran escala de categorías especiales de datos o de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas,
c) observación sistemática a gran escala de una zona de acceso público,
d) operaciones que, a criterio de la autoridad de control competente, impliquen un alto riesgo para los derechos de los interesados y
e) cualquier tratamiento de datos que, por su naturaleza, alcance, contexto o fines, implique un alto riesgo para los derechos y libertades de las personas físicas, y en particular si utiliza nuevas tecnologías.
El RGPD no nos ofrece muchas pistas sobre cómo llevar a cabo estas evaluaciones de impacto, y las guías y metodologías existentes hasta ahora eran pre-reglamento. Por tanto, se hace necesario abordar una metodología que abarque todas las fases necesarias y, dentro de cada una de éstas, los pasos a dar para que, cumpliendo con las exigencias del Reglamento, se pueda, en definitiva y resumen:
[1] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
Leer Noticia original en su web
Leer más...
8 datos clave sobre el Reglamento General de Protección de Datos (GDPR) 18-04-2017
Para que conozcas todos los aspectos importantes, preparamos esta explicación sencilla donde respondemos a las preguntas principales....
Para que conozcas todos los aspectos importantes, preparamos esta explicación sencilla donde respondemos a las preguntas principales.
Leer Noticia original en su web
Leer más...
Las novedades del reglamento general europeo de protección de datos 05-04-2017
1. Como se aplica el reglamento en los países miembros: ámbito material y territorial
2. Los principios relativos al tratamiento de datos. Qué condiciones son exigibles para la licitud del tratami...
1. Como se aplica el reglamento en los países miembros: ámbito material y territorial
2. Los principios relativos al tratamiento de datos. Qué condiciones son exigibles para la licitud del tratamiento.
2.1. Principios relativos al tratamiento
2.2. Condiciones para la licitud del tratamiento
2.3. Condiciones para la licitud del tratamiento de categorías especiales de datos personales
2.4. Condiciones para la licitud del tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas
3. El Cumplimiento normativo sobre protección de datos. Cuales son y cómo deben cumplirse las obligaciones generales de los responsables y encargados
3.1. Obligaciones y responsabilidades del responsable y el encargado
3.2. Elección por el responsable de un encargado del tratamiento
4. Como se podrán ejercer en la práctica los derechos individuales de los interesados
4.1. Mención al principio de transparencia
4.2. Los derechos individuales de los interesados
5. La práctica legal de las transferencias internacionales de datos: opciones y soluciones
6. El Data Protection Officer / Delegado de Protección de Datos como garante del cumplimiento de la protección de datos y del aseguramiento de la seguridad de datos
7. Qué medidas de seguridad técnicas y organizativas deben aplicarse y como deben aplicarse para garantizar el nivel de seguridad adecuado al riesgo
1. Como se aplica el reglamento en los países miembros: ámbito material y territorial
El RGPDUE[1] constituye la norma fundamental de la Unión Europea en materia de protección de datos personales y de la libre circulación de los datos aplicable al territorio de la UE y de los ciudadanos que residan en la UE siempre que exista una oferta de bienes o servicios o algún tipo de control de su comportamiento. Protege su derecho a la protección de los datos personales y, en general, sus derechos y libertades fundamentales.
El RGPDUE entiende por dato personal la información relativa a una persona física identificada o identificable; cuando los datos personales están seudonimizados, deben considerarse información sobre una persona física identificable.[2]
Es una norma de efecto directo que no requiere transposición al derecho interno, y que por tanto armoniza las legislaciones existentes hasta ahora en los estados miembros; deroga la Directiva 95/46/CE y desplaza las legislaciones actuales de los Estados Miembros en las materias reguladas por el reglamento. Asimismo, pueden existir regulaciones sectoriales a los estados miembros, siempre que el RGPDUE contenga habilitaciones expresas de aplicación o desarrollo.
2. Los principios relativos al tratamiento de datos. Qué condiciones son exigibles para la licitud del tratamiento
2.1. Principios relativos al tratamiento
Los principios relativos al tratamiento de datos personales no difieren excesivamente de los actuales principios que recoge la Ley 15/1999, sobre protección de datos personales. No obstante, nos tenemos que referir a una novedad que informa el espíritu del reglamento: el principio de transparencia en el tratamiento de los datos personales por los responsables [3] , así como al principio de minimización de datos que parece un principio desglosada – y reforzado – del principio de calidad del dato.
Todo ello, en el marco de una exigencia de responsabilidad proactiva del responsable del tratamiento que será responsable del cumplimiento de la aplicación de estos principios y además deberá ser capaz de demostrarlo.
2.2. Condiciones para la licitud del tratamiento
2.2.1. El consentimiento del interesado
En relación a las condiciones para la licitud del tratamiento, el reglamento, aunque con más claridad, [4] continúa exigiendo el consentimiento libre e informado del interesado como una base jurídica para el tratamiento de sus datos personales, para uno o varios fines específicos; se entiende por consentimiento informado, el conocimiento por el interesado, como mínimo, de la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales. En la línea de responsabilidad proactiva que promueve el reglamento, el responsable deberá ser capaz de demostrar que el interesado consintió el tratamiento de sus datos personales.
2.2.2. Otros fundamentos jurídicos
En cuanto al resto de bases legítimas para la licitud del tratamiento establecidas por el reglamento, estas no difieren de las que contempla actualmente la LOPD, manteniendo
Que el interés legítimo de un responsable del tratamiento, incluso el de un responsable al que se puedan comunicar datos personales, o de un tercero, puede constituir una base jurídica para el tratamiento y especificando que el tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por interés legítimo.
Respecto a las condiciones aplicables al consentimiento del niño en relación con la oferta directa a niños de servicios de la sociedad de la información, el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años.
El responsable del tratamiento hará esfuerzos razonables para verificar que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible.
2.3. Condiciones para la licitud del tratamiento de categorías especiales de datos personales[5]
El RGPDUE prohíbe el tratamiento de categorías especiales de datos personales, excepto si el interesado ha dado su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados.
Del resto de bases jurídicas que constituyen una condición de licitud del tratamiento, cabe destacar cuando el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos; como podría ser el caso, especialmente, de opiniones políticas, religiosas o filosóficas, afiliación sindical, datos relativos a la salud o datos relativos las orientaciones sexuales.
2.4. Condiciones para la licitud del tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas
El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas en los que concurra alguna bese jurídica para la licitud del tratamiento, sólo podrá llevarse a cabo:
– Bajo la supervisión de las autoridades públicas
– Cuando lo autorice el Derecho de la Unión o de los Estados miembros que establezca garantías adecuadas para los derechos y libertades de los interesados
3. El Cumplimiento normativo sobre protección de datos. Cuales son y cómo deben cumplirse las obligaciones generales de los responsables y encargados
3.1. Obligaciones y responsabilidades del responsable y el encargado
En el marco de una responsabilidad activa del responsable, el reglamento establece un nuevo modelo de cumplimiento normativo basado en la transparencia, en la autoregulación y en la rendición de cuentas (capacidad del responsable de demostrar el cumplimiento del RGPDUE).
El RGPDUE estructura el cumplimiento el responsable en tres grupos de obligaciones:
– Obligaciones generales para garantizar y demostrar el cumplimiento del RGPDUE
– Obligaciones de seguridad para garantizar un nivel de seguridad adecuado a los factores de riesgo.
– Obligaciones en supuestos específicos para garantizar el cumplimiento mediante la aplicación de instrumentos como el registro de actividades de tratamiento, la evaluación de impacto sobre protección de datos, la consulta previa a la Autoridad de Control antes de proceder al tratamiento, la privacidad desde el diseño y la designación de un Delegado de Protección de Datos.
3.2. Elección por el responsable de un encargado del tratamiento
En la elección del encargado, el RGPDUE también exige al responsable una posición proactiva, garantizando el cumplimiento de las disposiciones del RGPDUE respecto del tratamiento que lleve a cabo el encargado por cuenta del responsable.
En este sentido, el responsable debe encomendar actividades de tratamiento únicamente a encargados que ofrezcan suficientes garantías, con la finalidad de aplicación de medidas técnicas y organizativas y de seguridad del tratamiento que cumplan los requisitos del Reglamento.
4. Como se podrán ejercer en la práctica los derechos individuales de los interesados
4.1. Mención al principio de transparencia
El Reglamento Europeo regula los derechos de los interesados y su ejercicio en el ámbito de lo que denomina ?Principio de transparencia?, y los incluye en el Capítulo de los (Derechos de los interesados), el cual incorpora una sección previa referida a ?Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado?.
Leer Noticia original en su web
Leer más...
"Sin el compromiso de la alta dirección, el compliance no será eficaz ni eficiente" 05-04-2017
La forma de gestionar la empresa ha evolucionado mucho en el siglo XXI. La incorporación de conceptos como el buen gobierno o incluso los Códigos de Conducta han puesto de manifiesto la necesidad de c...
La forma de gestionar la empresa ha evolucionado mucho en el siglo XXI. La incorporación de conceptos como el buen gobierno o incluso los Códigos de Conducta han puesto de manifiesto la necesidad de controlar que el mundo empresarial actúa de forma responsable. En este sentido, un concepto reciente en alza es el Compliance y la figura del compliance officer. Sobre todo ello hablamos en esta entrevista con José Carlos Alonso, presidente de GRM Audit.
¿Cómo están relacionadas la introducción del concepto de ?Buen Gobierno? con la implantación de la figura del Compliance en las empresas?
Buen gobierno o gobernanza es una legislación que ha entrado en vigor con anterioridad a la reforma del Código Penal. Están muy relacionados entre ambos, puesto que configuran un cambio en la cultura empresarial que se basa en el cumplimento penal y la Responsabilidad Social Corporativa.
¿En qué consiste la figura del Compliance y cuál es su labor en el ámbito empresarial?
El compliance Officer es la piedra angular del sistema de gestión de compliance, su labor consiste en planificar, dirigir e implantar el sistema de gestión de compliance en la empresa que le ha designado para tal cargo.
¿Cuáles son las ventajas de establecer un sistema de prevención de riesgos penales?
Fundamentalmente, frente a la responsabilidad penal de la persona jurídica es obtener la Eximente de cualquier delito que se haya cometido en el seno de la empresa si el sistema de gestión de compliance está bien implantado. Si no fuera Eximente plena podría tener la consideración de un atenuante. Y en términos generales, el sistema de prevención mejora el control de la gestión y a través del código de conducta ética se comunica los valores de esa compañía a sus empleados y al mercado en el que opera.
¿Cuáles son las consecuencias y riesgos penales para las empresas que puede haber de no aplicar el protocolo de prevención de delitos, es decir, política de Compliance?
Los principales riesgos penales que van a ser perseguidos por la Fiscalía General del Estado van a afectar a las insolvencias punibles, delitos contra recursos naturales y medio ambiente, blanqueo de capitales y financiación de terrorismo. Otro tipo de delitos generaran fundamentalmente sanciones administrativas o mercantiles.
¿Qué puntos clave deben tener en cuenta las empresas a la hora de implantar este Manual?
Se pueden aglutinar en punto clave principal: el liderazgo y el compromiso firme del órgano de gobierno y la alta dirección en la implantación del sistema de Gestión de compliance en la empresa. Sin ese compromiso, el resultado de la implantación no será ni eficaz ni eficiente.
En su opinión, ¿cómo han acogido por lo general las empresas españolas la reforma del Código penal, que influye en la responsabilidad penal de la persona jurídica y en la RSC de la empresa?
Las grandes empresas ya lo tienen implantado desde hace varios ejercicios, pero las pymes están en un proceso de asimilación del cambio normativo y el impacto que tiene para las mismas.
¿Cuál es la situación legal actual en España de la figura o cargo de ?Compliance Officer??
La Asociación CUMPLEN ha emitido un documento muy interesante, que se puede descargar de forma gratuita, que es el Estatuto del Compliance Officer. El perfil idóneo para este puesto debe ser multidisciplinar, tiene que tener conocimientos legales, económicos y de psicología empresarial, para felicitar la implantación en los distintos departamentos de la organización.
Leer Noticia original en su web
Leer más...
Expertos reclaman una regulación positiva del compliance como atenuante de la responsabilidad administrativa 31-03-2017
La Universitat Abat Oliba CEU, en colaboración con la Asociación de Profesionales de Cumplimiento Normativo (CUMPLEN), ha celebrado la jornada ?El compliance, a debate?, diseñada para debatir cuestion...
La Universitat Abat Oliba CEU, en colaboración con la Asociación de Profesionales de Cumplimiento Normativo (CUMPLEN), ha celebrado la jornada ?El compliance, a debate?, diseñada para debatir cuestiones de actualidad en la práctica del compliance.
La primera de las dos mesas redondas previstas, que llevaba por título ?Compliance y Administración Pública. De la contratación al proceso sancionador?, se ha abierto con una referencia directa al Proyecto de Ley de Contratación del Sector Público. Concretamente, se ha reflexionado sobre la parte de este texto legislativo en la que la presentación de un programa de compliance aparece como forma de evitar o alzar una prohibición de contratación derivada de haber incurrido en alguna de las causas previstas por la propia Ley. Una cuestión que, ?no es baladí?, según ha expresado el socio de Tornos Abogados, Antonio Sala, y que, en sí misma, supone un ?alzamiento? de la prohibición de contratar, ha matizado el abogado asociado de Molins & Pares y coordinador del curso de Especialización en Compliance de la UAO CEU, Daniel Benítez, que ha moderado el coloquio
Al hilo de la discusión, se ha planteado el asunto de si, de forma análoga a como sucede en el ámbito penal, la implantación efectiva de un programa de compliance podría ser considerada una circunstancia atenuante de la responsabilidad administrativa. Los expertos han reclamado una traslación de este principio a la regulación positiva, toda vez que en la actualidad no se contempla de forma expresa tal posibilidad. ?Nos alegraría que se regulara de forma expresa?, ha subrayado la legal compliance de Abertis Infraestructuras, Anabel Casahuga. En esta línea, el propio Antonio Sala ha afirmado que, ?si no está claramente regulada la atenuación, no cabe esperar que un juez la aprecie por analogía?. Este abogado se ha mostrado optimista con la posibilidad de que se incorpore esta causa de atenuación, ya que este tipo de previsiones ?no son cerradas y están abiertas a evolución?.
Otro de los temas que se ha abordado es el de si la existencia de programas de compliance se puede establecer como requisito para la licitación. Asunto que, a juicio del abogado asociado de Tornos Abogados, Francesc Valdivia, ?plantea problemas?. Así, habría que tener ?cuidado con no restringir la concurrencia?, determinar quién valora el programa de compliance y ponderar si las pequeñas empresas tienen estructura bastante para asumir el coste de un programa de compliance. Aspecto, este último, que también afecta a la relación del contratista con sus proveedores, según ha descrito la Iberia and LatAm Regional Compliance de Allianz, Carlota Balet: ?como empresa privada, contratamos con muchos proveedores de diverso tamaño y riesgo?. A su juicio, ?establecer la existencia de un programa de compliance como requisito previo plantea el problema de quién lo valorará?, especialmente en el caso de los proveedores.
En este último aspecto, el de la valoración, tanto Francesc Valdivia como Anabel Casahuga han coincidido en que lo idóneo sería limitarse a comprobar la existencia del programa en fase de licitación y entrar a hacer valoraciones materiales en caso de que surja algún problema durante la ejecución del contrato. En este punto, hay que tener en cuenta que ?los requisitos documentales se están reduciendo y cada vez más son más frecuentes las declaraciones responsables?, ha apuntado Valdivia.
En la segunda mesa redonda, se ha tratado el tema ?La responsabilidad del órgano de cumplimiento? y ha estado conducida por el managing partner de Fortuny Legal, Miquel Fortuny. En este coloquio, han participado el fiscal de Delitos Económicos de la Fiscalía Provincial de Barcelona, Óscar Serrano, el magistrado del Juzgado núm. 10 de lo Mercantil de Barcelona, Manuel Ruiz de Lara, y el socio de Molins&Parés y director del citado curso, Marc Molins.
La jornada ha servido también para presentar el nuevo curso de especialización en compliance que impartirá la UAO CEU a partir del próximo curso.
Leer Noticia original en su web
Leer más...
Europa quiere abrir una puerta trasera en tu WhatsApp 30-03-2017
Amber Rudd lo pidió, WhatsApp mantuvo silencio y la Unión Europea, dos días después, habló. La ministra de Interior británica quiere tener acceso a los ...
Amber Rudd lo pidió, WhatsApp mantuvo silencio y la Unión Europea, dos días después, habló. La ministra de Interior británica quiere tener acceso a los mensajes que sus ciudadanos escriban en el popular servicio de mensajería, algo ahora mismo impensable para la compañía. Es política de empresa: "Solo tú y el receptor podéis leer lo que se envía. Ni siquiera WhatsApp lo puede hacer", explica la firma de Jan Koum, propiedad de Facebook.
Pero siempre puede haber excepciones. Y por eso la Comisión Europea estudia ponerle una puerta trasera a WhatsApp y a otras apps similares. Esta vez será para "garantizar la seguridad de los europeos", dicen.
¿Cuándo? En junio. Pero por allí no entrará todo el mundo. Solo los gobiernos – es decir, la policía y los cuerpos y fuerzas de seguridad del Estado – de los países miembros. Vera Jourova, la comisaria de Justicia de la UE, explicó que anunciará "tres o cuatro opciones" que incluirán, en algunos casos, leyes de obligado cumplimiento; y en otros, acuerdos voluntarios con las compañías.
Las medidas confluirán con el nuevo Reglamento General de Protección de Datos que se aprobó en abril del año pasado y que entrará en vigor en el mismo mes de 2018. Será esa la fecha en la que la Ley Orgánica de Protección de Datos (LOPD) deje de aplicarse en España, que pasará a regirse bajo la normativa europea.
Jourova adelantó que mantienen "muy intensas" conversaciones con las grandes compañías de Internet acerca de cómo saltarse el cifrado de los datos para proporcionar acceso a la policía. Khalid Masood, el autor del atentado de Londres, utilizó su WhatsApp tres minutos antes de arrollar con su coche a los viandantes que se encontraban en el puente de Westminster el pasado miércoles. La ministra de Interior británica calificó de "inaceptable" que la compañía de mensajería no permitiese a los servicios de inteligencia leer los mensajes del terrorista. "Es absurdo tener una situación donde los terroristas hablan unos con otros en una plataforma cotidiana y no poder acceder a ella", dijo la política tory.
Reino Unido no ha sido el único país que ha presionado a Europa para que revise el acceso de las autoridades a los mensajes cifrados. El lunes, el homólogo de Rudd en Alemania, Thomas de Maizière, y el francés, Matthias Fekl, se sumaron a la petición británica y exigieron que la policía tenga el mismo derecho legal para acceder a estos servicios como lo tienen a la hora de recopilar información de una llamada de las compañías telefónicas.
La Comisaria europea de justicia, Vera Jourova EFE
"La pregunta es, ¿puedes abrir una puerta trasera solo para la Europol -la Oficina Europea de Policía- o eso crearía, al mismo tiempo, una puerta abierta para la mafia rusa o los espías de terceros países?", decía Gilles de Kerchove, coordinador contra el terrorismo de la UE, al portal Euractiv.
Recordemos que hace poco más de un año, el FBI pidió a Apple crear una backdoor en sus iPhone para saltarse el bloqueo del terminal del terrorista Syed Farook y, de paso, el de millones de dispositivos. Entonces, las empresas de tecnología de Silicon Valley se pusieron del lado de Apple en su defensa de la privacidad de los usuarios.
"Si construyes una puerta trasera, esta se queda ahí para todo el que quiera entrar. Y si almacena los datos que recoge, incluso de una forma cifrada, ¿cómo de segura es?", se pregunta Tony Anscombe, portavoz de la firma de ciberseguridad Avast, en The Guardian. Las intenciones de la Comisión Europea pasan por crear una legislación que obligue a las compañías a proporcionar los mensajes de los sospechosos que los estados crean conveniente.
La idea rompe por completo la premisa del cifrado de extremo a extremo que implantó WhatsApp en abril del año pasado. Bajo este paraguas, WhatsApp asegura que ni ellos mismos pueden acceder a una conversación entre usuarios ya que el mensaje se cifra en el teléfono del emisor con una llave pública y una privada y viaja cifrado hasta que el receptor lo descifra, de nuevo con la llave pública y su propia clave privada.
A pesar de todo, Reino Unido podría acceder a los mensajes de Masood si quisiera. El año pasado se aprobó el Investigatory Powers Act (Ley de Poderes de Investigación), una ley que impulsó sobre todo la entonces ministra del Interior Theresa May –hoy primera ministra– y que muchos apodan sarcásticamente como "la ley de los fisgones". Otorga plenos poderes al gobierno para interceptar comunicaciones y hackear teléfonos, así como para obligar a las empresas de telecomunicaciones a eliminar "la protección electrónica aplicada (...) a cualquier comunicación de datos".
En España, hasta que entre en vigor en abril del 2018 el nuevo marco regulatorio europeo, la LOPD sigue vigente. La Agencia Española de Protección de Datos evita de momento hacer valoraciones, por lo menos hasta junio, sobre este nuevo golpe a la privacidad de los usuarios en Europa.
Leer Noticia original en su web
Leer más...
Cuatro consejos para abrir un eCommerce en España 30-03-2017
La tendencia al alza del sector eCommerce en España es más que evidente, de hecho, según datos del Observatorio eCommerce, más del 80% de los eCommerces españoles miran al futuro con optimismo y tiene...
La tendencia al alza del sector eCommerce en España es más que evidente, de hecho, según datos del Observatorio eCommerce, más del 80% de los eCommerces españoles miran al futuro con optimismo y tienen la esperanza de crecer. Sin duda, parece innegable que los próximos años serán muy positivos para el mercado online. Aprovechando esta tendencia, Mustafa Ucar, Director de Comunicación de Trusted Shops, el sello de calidad líder en Europa, comparte algunos requisitos que debe cumplir todo emprendedor a la hora de poner en marcha su propia tienda online.
? Diseñar la página web . Al contrario de lo que piensa mucha gente, crear la página web donde vas a vender tus productos no es el único paso necesario. Sí es uno de los más importantes. El diseño debe ser profesional y atractivo a la par que accesible. De las facilidades de manejo que la web ofrezca dependerá, en gran medida, el número de ventas.
? Publicitar el eCommerce . Las acciones de marketing online serán de vital importancia para que los usuarios lleguen hasta el eCommerce y aumenten así las ventas. Hay diversas formas de hacer esto posible: SEO, SEM, redes sociales, email marketing, etc. Establecer una estrategia de marketing clara y aplicar las mejores técnicas para conseguir tráfico en la web es básico para tener una tienda online exitosa.
? Adaptar las mejoras tecnológicas . Todo parece indicar que el sector está encaminado hacia el mCommerce y cada vez son más los usuarios que hacen sus compras a través de su teléfono móvil. Es por ello que el eCommerce debe adecuar su negocio a las necesidades de los consumidores y proporcionarle una visión móvil de la web e incluso una app que instalarse en su Smartphone. El objetivo siempre debe ser brindar aún mayor accesibilidad al comercio online.
? Establecer las bases legales . El emprendedor debe ser consciente de cuáles son los requerimientos legales antes de poner en marcha un negocio online:
?No podemos decir que sea un proceso extremadamente complicado, pero sí tiene su dificultad. Por supuesto, antes de decidirse a poner en marcha un negocio, sean cuales sean sus características, el empresario debe conocer en profundidad tanto el mercado como la competencia?, afirma Mustafa Ucar, Director de Comunicación de Trusted Shops.
Leer Noticia original en su web
Leer más...
Los riesgos del juego '¿A qué famoso te pareces?' 28-03-2017
Se trata de una de las aplicaciones que está arrasando ahora mismo en redes sociales. Pero tiene sus contrapartidas. El juego ´¿A qué famoso te pareces?´, compartido por muchos us...
Se trata de una de las aplicaciones que está arrasando ahora mismo en redes sociales. Pero tiene sus contrapartidas. El juego ´¿A qué famoso te pareces?´, compartido por muchos usuarios en Facebook, utiliza una evolución de imágenes de la persona para hacer su conclusión de las similitudes de ésta con un personaje conocido. Pero al hacer uso de ella, la app recopila toda la información personal del usuario, como su correo electrónico y sus fotografías.
Detrás de esta aplicación se encuentra una plataforma de Corea del Sur llamada Von Von, que reconoce que emplea esos datos, aunque matiza que los utiliza para fines publicitarios. La aplicación está disponible en 14 idiomas distintos.
Leer Noticia original en su web
Leer más...
¿Cómo habrá que adaptar la nueva LOPD al Reglamento Europeo de Protección de Datos? 28-03-2017
En unas semanas los trabajos de la Agencia Española de Protección de Datos (AEPD) y la sección de derecho público de la Comisión General de Codificación del Ministerio de Justicia cristalizarán en un ...
En unas semanas los trabajos de la Agencia Española de Protección de Datos (AEPD) y la sección de derecho público de la Comisión General de Codificación del Ministerio de Justicia cristalizarán en un primer borrador del anteproyecto de ley de modificación de la Ley Orgánica de Protección de Datos (LOPD), un cambio necesario ante la entrada en vigor del próximo Reglamento Europeo de Protección de Datos en mayo del año que viene.
El objetivo es que el Parlamento haya aprobado la modificación de la Ley en mayo de 2018, cuando el reglamento europeo de protección de datos será de aplicación directa. Por este motivo, hemos pedido a diferentes operadores del sector implicados su opinión sobre esa reforma y su contenido. Aquí hay opiniones de IABSPain, patronal digital de la publicidad, Asociacion de Internautas, APEP, Asociación de Expertos en Privacidad y la Asociación Española para el Fomento de la Seguridad en la Información (ISMS Forúm)
Paula Ortiz, es la directora jurídica y de relaciones institucionales de IABSpain, patronal de la publicidad digital, un sector que en 2015 facturó en inversión 1288 millones de euros, una cifra que sigue crece año a año. ?La LOPD y toda la normativa sectorial que afecta de manera directa o indirecta a la protección de datos debe adaptarse al Reglamento. La nueva norma debería proporcionar la máxima seguridad jurídica posible y contribuir a la vez al desarrollo de la economía basada en datos, garantizando la claridad, la transparencia y el poder de control sobre sus datos de los ciudadanos?.
La nueva norma debería proporcionar la máxima seguridad jurídica posible y contribuir a la vez al desarrollo de la economía basada en datos
Sobre la nueva LOPD y aspectos que debe tener en cuenta, Ortiz destaca que ?es indudable la necesidad de aumentar la confianza en el tratamiento de datos, pero no debemos olvidar que el Tribunal Constitucional ha dictaminado que ningún derecho es absoluto y estos tienen que ser considerados con respecto a su función en la sociedad?.
Paula Ortiz, directora jurídica y de relaciones institucionales de IABSpain.
Nuestra interlocutora señala que ?en la consulta pública llevada a cabo por el Ministerio de Justicia, en IAB ya trasladamos las preocupaciones del sector publicitario digital. Nos referíamos en nuestra respuesta a la necesidad de clarificar qué se considera finalidad principal y accesoria y cómo pueden interactuar de cara a legitimar tratamientos, la edad para prestar el consentimiento de los menores, la necesidad de definir qué se consideran efectos legales significativos en la elaboración de perfiles?.
Al mismo tiempo, otras cuestiones que preocupan al sector digital tienen que ver con ?cómo se va a aterrizar el derecho a la portabilidad de datos, por ejemplo aclarando que los datos inferidos no sean objeto de este derecho, si no solo a aquellos que se han aportado activamente por el usuario, ya que puede suponer trasladar todo el know how de la empresa, cómo se va a llevar a cabo realmente el derecho de supresión, y su ámbito territorial o el reconocimiento de la ventanilla única en la legislación española?.
Para Paula Ortiz, ?uno de los elementos que me resultan más preocupantes es la imposibilidad de seguir tratando datos que se han recogido de manera legal con la actual legislación, y en concreto con el consentimiento. En ese sentido, la nueva ley debería recoger formas que, con las garantías adecuadas, permitan continuar tratando datos basados en el consentimiento cuando se ha recabado de forma tácita, algo legítimo bajo el actual régimen normativo?.
A su juicio, ?en caso contrario, puede darse un incumplimiento masivo y sobrevenido, con unas posibles consecuencias económicas significativas, lo que puede suponer un serio riesgo para la viabilidad de un sector tan importante para la economía digital como el de la publicidad. Además, también habría que aclarar los límites entre el consentimiento expreso e inequívoco?.
Desde su perspectiva ?el interés legítimo debería tener un importante papel en la nueva norma, configurándose como la base jurídica fundamental para el tratamiento de datos. El legislador español debería articular el texto normativo de forma que se mantenga el espíritu del RGPD en su literalidad y se puedan aplicar de forma flexible los criterios, y pudiendo usar el interés legítimo como base para el tratamiento tras un análisis equilibrado de su utilización frente a los intereses o los derechos y libertades fundamentales?.
Desde la Asociación de Internautas, su directora jurídica, Ofelia Tejerina aclara que ?acabamos de conocer que actualmente, según el barómetro del Centro de Investigaciones Sociológicas (CIS), más del 70% de los españoles están preocupados por el uso que otros hacen de sus datos personales?.
Ofelia Tejerina, directora jurídica de la Asociación de Internautas.
Su valoración de este dato es la siguiente ?esto demuestra por fin que cada vez somos más conscientes de los riesgos que implica, aunque no creo que sea tanto por mérito del sistema educativo, o por la creación de nuevas leyes con imposición de sanciones económicas (que también lo es, por supuesto), sino más bien por experiencias negativas en carne propia o de terceros cercanos?.
Y advierte que el día a dia tiene que ver con ?las estafas en Internet, el spam en nuestro correo y aplicaciones móviles, la vida al descubierto en las redes sociales, el ciberacoso, etc. Yo no sólo lo vemos en las noticias, casi todos conocemos a alguien que en mayor o menor medida ha sufrido algún daño por el mal uso de sus datos personales. Sin embargo, parece que aún hay un 61,8% que ?nunca o rara vez lee las políticas de privacidad de las páginas que visita?.
En su opinión, ?actualizar la Ley de Protección de Datos es necesario, pero más lo sería actualizar los programas educativos. Lo era ya hace 10 años, que aunque había normas que nos protegían, ni sabíamos cómo enfrentarnos a este derecho. Nuestra LOPD fue ?renovada? con el Reglamento de desarrollo en 2007, pero a la vista de cómo el nuevo Reglamento europeo se adapta a los cambios del comportamiento humano ?digital?, no queda más remedio que plantearse un proceso legislativo de actualización?.
Lo deseable es que se permita el debate social y que tengamos al final un resultado jurídicamente sensato con las circunstancias actuales
Sobre dicha actualización cree nuestra interlocutora que quizás debe ser menos ?formalista, tal vez más flexible con resolución de conflictos por vías alternativas, tipo arbitral o de mediación, o dirigida a la prevención e información diligente de supuestos de ?crisis?, a la distinción clara entre imprudencia y culpa, a la restauración efectiva de derechos y el resarcimiento (real) de quien se haya visto lesionado?.
También en esa actualización indica que debería ?justificar la nueva figura del DPO y su relación con el responsable de seguridad y del fichero, que delimite la correspondencia del ?derecho al olvido? o supresión con los derechos transparencia, información, acceso, rectificación, limitación del tratamiento, portabilidad de datos y oposición, que exija la privacidad desde el diseño, que ordene el sistema de ventanilla única, etc.?
Sobre la normativa Tejerina indica que ? el PSOE ha dado un primer paso con su proposición no de ley, pero confío en que no se quiera tramitar a lo loco . Lo deseable es que se permita el debate social y que tengamos al final un resultado jurídicamente sensato con las circunstancias actuales, pero también con vocación de subsistencia ante cambios que puedan surgir corto o medio plazo?.
Cecilia Álvarez, presidenta de Asociación de Profesionales Expertos en Privacidad (APEP) indica que esta entidad representa los intereses de los profesionales de la privacidad, ?que son quienes están en la primera línea de aplicación práctica de las normas de protección de datos (y su interrelación con otras), al asesorar a responsables y encargados de tratamiento y estando llamados muchos de ellos a desempeñar el futuro rol de Delegados de Protección de Datos (DPD), internos o externos?.
Cecilia Álvarez, presidenta de Asociación de Profesionales Expertos en Privacidad (APEP).
Alvarez recuerda que APEP sometió sus comentarios a la consulta pública abierta por el Ministerio de Justicia el pasado 7 de febrero sobre distintos aspectos a tener en cuenta en la norma, destacando los siguientes: En primer lugar destaca la necesidad de poner en valor a los profesionales de la privacidad ? numerosos aspectos que no están claros, sobre la figura del Delgado de Proteccion de Datos (DPO) tal y como pusimos de manifiesto en los comentarios preparados en el seno de CEDPO (Confederation of European Data Protection Organisations)?.
En su opinión ? siendo fundamental el papel del DPD en el Reglamento europeo y obligatorio en el sector público y en aquellos tratamientos que se han considerado de mayor riesgo, la voz de los profesionales de la privacidad, a través de sus asociaciones representativas, debe estar presente en el Consejo Asesor de la AEPD así como en las normas que afecten a la protección de datos personales o en la elaboración de modelos o guías de protección de datos que las autoridades de control de protección de datos u otras instituciones del gobierno produzcan?.
La nueva norma debe no fragmentar el mercado interior y regular únicamente al aquello que sea imprescindible para que el Reglamento europeo pueda aplicarse en España
Sobre la norma señala que debe procurar no fragmentar el mercado interior y regular ?únicamente al aquello que sea imprescindible para que el Reglamento europeo pueda aplicarse en España, como las bases legales del tratamiento vinculadas a las leyes nacionales y de contar con una norma flexible para adaptarse a la evolución de las tecnologías y prácticas (lo que es incompatible con una ley de carácter orgánico que debe limitarse a regular sólo lo que esté vinculado al carácter esencial del derecho fundamental)?.
Otra cuestión que la presidenta de APEP plantea es la necesidad de derogar la LOPD y su normativa de desarrollo, identificando qué previsiones han sido útiles y cómo pueden encajar en el Reglamento europeo, sin distorsionar el mercado interior. Y recuerda que ?además de la LOPD, hay otras normas sectoriales que inciden en materia de protección de datos y que requerirán ser modificadas, en particular, en aquellos casos en que se regula el mismo bien protegido de forma distinta (p.e., marketing directo o el derecho a la intimidad y la propia imagen) o han quedado desactualizados (Código penal)?.
Desde el ISMS Forum se articula el Data Privacy Institute entidad que también se preocupa por el estudio de la ciberseguridad. Carlos Sáiz es su presidente quien también valora lo que puede ser la nueva LOPD ?.Lo importante será que, ésta nueva Ley no establezca criterios diferentes a los que regula el Reglamento con carácter general y que puedan impedir a las organizaciones establecer marcos de control homogéneos?.
Carlos Sáiz, presidente de Data Privacy Institute.
Sobre los aspectos que habrá que modificar destacar señala ?algunas cuestiones relativas al procedimiento sancionador, así como también que tratamiento van a tener los datos de contacto de personas jurídicas, los datos de empresarios y profesionales, cuya regulación estaba ya un poco más clara en España gracias a diversas resoluciones y sentencias porque el Reglamento Europeo no establece nada específico sobre ello?. También cree habrá que regular algunas realidades como lo son algunos ficheros de morosidad que tampoco tienen ningún tipo de mención dentro del Reglamento Europeo.
Sáiz reconoce que los profesionales están ?expectantes para conocer el borrador de texto ya que, los profesionales estamos trabajando ayudando a las organizaciones a adecuarse al Reglamento Europeo y por supuesto, sería muy importante conocer qué cuestiones habrá que considerar dentro de ésta Ley Española si finalmente sale a la luz para considerarlo dentro de los controles y de la implantación de las nuevas políticas de cara a la nueva Normativa Europea?.
La futura LOPD debe aclarar la figura del DPO en las organizaciones, figura que debe profesionalizarse de forma gradual
Un tema que este experto considera que se debe aclarar es la figura del DPO en las organizaciones ?Bajo nuestro punto de vista se tiene que intentar profesionalizar ésta función, es algo que llevamos haciendo desde el Data Privacy Institute desde hace seis años y entendemos que esa debe ser un poco la línea. Creemos que hay muy buenos profesionales en España tanto para ser DPOs como para ser abogados, consultores y auditores en materia de privacidad con una gran experiencia.
Leer Noticia original en su web
Leer más...
Información sobre la caída de aplicaciones informáticas de la OEPM 24-03-2017
En el supuesto de vencimiento de trámites que afecten a terceros, podrán efectuarse en papel descargándose los formularios correspondientes de la página web www.oepm.es o bien, una vez restaurada la n...
En el supuesto de vencimiento de trámites que afecten a terceros, podrán efectuarse en papel descargándose los formularios correspondientes de la página web www.oepm.es o bien, una vez restaurada la normalidad, podrá presentarse el consiguiente escrito alegando fuerza mayor.
Leer Noticia original en su web
Leer más...
Fallo en el sistema informático de la OEPM 23-03-2017
Se ha producido un fallo en el sistema informático de la OEPM, que impide el correcto funcionamiento de los servicios de consulta, presentación electrónica y tramitación electrónica de solicitudes....
Se ha producido un fallo en el sistema informático de la OEPM, que impide el correcto funcionamiento de los servicios de consulta, presentación electrónica y tramitación electrónica de solicitudes.
Leer Noticia original en su web
Leer más...
Las empresas de Palencia podrán disponer de un sistema de control de horarios de sus trabajadores 20-03-2017
En la sede de la Confederación Palentina de Organizaciones Empresariales se ha firmado, en la mañana de este martes, un convenio de colaboración entre CONTROL LABORAL y dicha confederación. El o...
En la sede de la Confederación Palentina de Organizaciones Empresariales se ha firmado, en la mañana de este martes, un convenio de colaboración entre CONTROL LABORAL y dicha confederación. El objeto de este convenio, es poner a disposición de las empresas una herramienta que permita tener establecido un sistema de control de horarios y poseer unos informes de registros de jornadas para trabajadores a tiempo completo y parcial, de este modo toda la plantilla podrá cumplir con la normativa laboral en función de sus condiciones de jornada y convenios colectivos.
Se trata de un sistema pionero, pensado para Pymes y Autónomos, que permite crear en pocos minutos todos los usuarios -los empleados- de una forma rápida con el sistema de creación ?XLS POWER?. Se trata de una solución práctica y económica a la que podrán tener acceso los asociados de CPOE con una serie de ventajas económicas. Como una gran parte de los empresarios de Palencia conocerán, a raíz de una sentencia de la Sala de lo Social de la Audiencia Nacional de 4 de diciembre de 2015, se exige realizar un control diario de la entrada y salida de los trabajadores, con la finalidad de determinar las horas que hacen realmente. Esta exigencia se fundamenta en la interpretación del art. 35.5 del Estatuto de los Trabajadores, así, en base a su redacción, se determina la obligación del empresario de llevar un registro diario de la jornada de trabajo, con independencia de la realización de horas extraordinarias, y se deberá entregar una copia resumen mensual a cada uno de los trabajadores y a sus representantes, si es que les hubiera.
El registro diario constituye un medio de prueba, a través del cual, tanto los trabajadores como la Inspección de Trabajo, pueden acreditar la existencia de horas extraordinarias. El registro deberá contener la hora de entrada y de salida del trabajador, para poder determinar las horas realmente realizadas. El tipo de registro deberá ser el que libremente determine la empresa, siempre que se garantice la veracidad e invariabilidad de los datos. Esta obligación, afecta a todas las empresas, con independencia de la forma de su actividad, jornada o forma de prestar sus servicios.
Leer Noticia original en su web
Leer más...