Revisiones de compliance sobre ISO e UNE: tres sugerencias 25-07-2017
El estándar internacional ISO 37001 sobre sistemas de gestión antisoborno se publicó en octubre de 2016, y el estándar nacional UNE 19601 sobre sistemas de gestión de compliance penal vio la luz en ma...
El estándar internacional ISO 37001 sobre sistemas de gestión antisoborno se publicó en octubre de 2016, y el estándar nacional UNE 19601 sobre sistemas de gestión de compliance penal vio la luz en mayo de 2017.
Aun siendo estándares muy novedosos, ya se están ejecutando trabajos de evaluación de la conformidad respecto de sus requisitos.
Estos estándares de compliance permiten evaluar los sistemas de gestión atendiendo a sus requisitos, lo que favorece la homogeneidad de este tipo de revisiones. Como contrapartida, el margen de discrecionalidad del revisor es prácticamente nulo, pues debe ceñirse a contrastar la existencia y efectividad de tales requisitos, sin que pueda ignorarlos. Por lo tanto, un sistema de gestión de compliance que no satisfaga alguno de ellos difícilmente será certificable, por muchos esfuerzos de convencimiento que se viertan sobre el revisor independiente.
Ahora bien, existen algunas prácticas previas a la revisión que facilitan el desarrollo posterior de este tipo de trabajos.
La primera es asegurarse de que el modelo de compliance está alineado con las exigencias de la norma ISO y/o UNE, no dando por hecho que cumple con ellas. Pueden detectarse carencias significativas, dado que estos estándares articulan ?sistemas de gestión? y no ?programas?, tal como expliqué en un post anterior . Esto no significa que necesariamente deba cambiarse el modelo de compliance de la organización, pero tal vez sea preciso modificarlo o completarlo. Desarrollar este ejercicio interno de revisión evitará graves complicaciones posteriores.
En segundo lugar, debemos considerar que el revisor independiente aplicará el principio de escepticismo profesional y, por lo tanto, no validará el cumplimiento de los requisitos exigidos por los estándares si no están adecuadamente soportados. Es más, tanto el estándar ISO como el UNE establecen las características que debe reunir tal documentación, en términos de su creación, actualización y control. Es el concepto de ?información documentada? sin la cual el revisor externo se verá imposibilitado para desarrollar su labor. Los estándares indicados señalan en su articulado los requisitos que deben figurar como información documentada. En particular, el estándar UNE 19601 recopila en su Anexo C la información documentada que viene exigida en diversos apartados de la norma, lo que resulta de gran utilidad para comprobar si realmente disponemos de ella. Por cierto, como el estándar UNE 19601 hereda una gran cantidad de contenidos del estándar ISO 37001, esa misma lista es también útil para formarnos una idea de la información documentada requerida en los sistemas de gestión antisoborno, lógicamente adaptada a ese contexto. No sólo deberemos asegurarnos de disponer de esta documentación, sino también de que reúne las cualidades para merecer el calificativo de información documentada. Hecho este trabajo, veremos que existe información documentada que representa los pilares fundamentales del sistema de gestión (como la Política de compliance penal, por ejemplo), mientras que otra parte constituye evidencia de su aplicación práctica (informes de compliance penal, las actividades de formación o la gestión de incumplimientos o irregularidades, por ejemplo). Ambos tipos de evidencias son necesarios para acreditar que el sistema de gestión de compliance no es una mera formalidad, sino que se aplica en la práctica. Por eso, un modelo bien descrito documentalmente pero no ejecutado no podrá ser objeto de certificación.
En tercer lugar, puesto que el sistema de gestión de compliance se proyecta sobre riesgos de esa naturaleza, deberá prestarse atención a su evaluación (riesgos de compliance penal, en el caso de UNE 19601, y de soborno, en el caso del estándar ISO 37001). Este ejercicio, que debe constar como información documentada, es trascendental ya que condiciona el enfoque del sistema de gestión en su conjunto. Una evaluación inadecuada de riesgos de compliance puede enfocar de manera errónea las prioridades en dicho ámbito. Por eso, un revisor independiente prestará especial atención a la solidez de este ejercicio. Ni la Norma UNE 19601 ni el estándar internacional ISO 37001 obligan a emplear una determinada metodología de evaluación de riesgos, aunque sí establecen algunas directrices esenciales (análisis de probabilidad e impacto de los riesgos) y fijan aspectos importantes que se deben derivar de él. Así, por ejemplo, la Norma UNE 19601 exige aplicar cautelas especiales ante personas especialmente expuestas al riesgo penal, y también sobre socios de negocio que presenten un riesgo penal mayor que bajo. Esto significa que el ejercicio de evaluación de riesgos debe ser también idóneo para identificar inequívocamente a estos colectivos. Una evaluación de riesgos de compliance poco robusta o incompleta se convertirá en un hándicap insalvable.
Visto lo anterior y desde una perspectiva práctica, es útil visualizar cómo se desarrollará el procedimiento de revisión, planificando el modo en que se explicará el sistema de gestión de compliance al revisor y se le facilitará la información documentada relativa a su diseño y nivel de implementación. Se trata de allanar su trabajo y evitar que se vea obligado a interpretar múltiples documentos organizativos sin ayuda, previniendo que incurra en errores de apreciación involuntarios.
Leer Noticia original en su web
Leer más...
4 novedades que trae consigo el anteproyecto de la nueva LOPD 20-07-2017
25 de mayo de 2018. Es la fecha tope para que pymes y autónomos se adapten al Reglamento General de Protección de Datos (RGPD). Pero antes los trabajadores por cuenta propia es la actual Ley de Protec...
25 de mayo de 2018. Es la fecha tope para que pymes y autónomos se adapten al Reglamento General de Protección de Datos (RGPD). Pero antes los trabajadores por cuenta propia es la actual Ley de Protección de Datos (LOPD) la que ha de adaptarse a las disposiciones de la norma europea en menos de un año. El anteproyecto de la nueva LOPD (ALOPD) llegaba hace apenas una semanas para engarzar las disposiciones de la RGPD. ¿Cuáles son los puntos claves de este anteproyecto que afectan a la actividad de tu negocio?
El anteproyecto de lo que pretende ser la sucesora de la actual LOPD 15/1999, aún en tramitación, consta de 78 artículos que incorporan el RGPD al ordenamiento jurídico español. Ayer se cerró el plazo para alegaciones por parte de los expertos en su fase de audiencia y su entrada en vigor se espera en la misma fecha límite para la puesta en marcha de RGPD.
Son numerosas las novedades introducidas en este proyecto que en líneas generales refuerza el control sobre los datos de particulares otorgándoles mayor seguridad en su tratamiento. Entre los cambios que contempla la nueva norma y que debes tener en cuenta para implementarlos en tu negocio destacan:
El nuevo reglamento de Protección de Datos desestima el consentimiento tácito que realiza el cliente para el uso de sus datos y obliga a la revisión de las cláusulas de las empresas para que el consentimiento sea libre, específico, informada e inequívoco como reza la normativa.
El artículo 7 de la ALOPD referido al tratamiento basado en el consentimiento del afectado incorpora y clarifica esta disposición. Por tanto, todos los consentimientos realizados tras el 25 de mayo de 2018 han de ser expresos y revocables.
Además se fija en 13 años y no 14 como actualmente la edad para prestar consentimiento.
En el apartado de políticas informativas para cumplir con el derecho de los afectado a conocer el tratamiento de sus datos , cobra especial importancia el modelo de información por capas mediante el cual debes presentar la información básica detallada en un primer nivel y más detallada en un segundo nivel.
Conforme a las indicaciones de la La Agencia de Protección de Datos estas son las informaciones que debes aportar:
Si hay una figura cuya regulación interesa conocer especialmente a autónomos y pymes esa es la del delegado de protección de datos . El RGPD exige que las empresas que hagan tratamiento de datos a gran escala cuenten con un profesional que haga las veces de auditor interno y, en su papel, identifique los riesgos en la protección de determinados datos y aporte soluciones a la compañía.
Los artículos del 35 al 38 del anteproyecto de la nueva LOPD abordan de forma detallada la designación, la cualificación, la posición y los de casos de intervención de esta figura. Cabe indicar que la norma aclara mediante un listado aquellas empresa obligadas a contar con esta figura. Además, la norma permite un delegado de protección de datos externos facilitando así el cumplimiento a las pymes obligadas .
Las sanciones impuestas sobre infracciones al RGPD son especialmente elevadas yendo desde los 10 millones de euros (o el 2% como máximo del volumen de negocio total anual global) hasta los 20 millones de euros (o el 4% como máximo del volumen de negocio total anual global). ¿Cómo se conjuga esto en el anteproyecto de la nueva LOPD? El texto del anteproyecto, aún no aprobado, dedica todo el capítulo VIII a articular las posibles sanciones en caso de infracción leve, grave o muy grave.
Además el anteproyecto también especifica el tratamiento de los ficheros de morosos, la listas Robinson para salvaguardar el derecho de publicidad no deseada o los sistemas de videovigilancia.
De aprobarse finalmente este anteproyecto, ¿está tu negocio preparado para reforzar tu sistemas de protección de datos?
Leer Noticia original en su web
Leer más...
La nueva campaña exterior de marcas españolas se apoya en las redes sociales 20-07-2017
La nueva campaña para la proyección internacional de las marcas españolas impulsada por el Foro de Marcas Renombradas Españolas gira en torno a la plataforma marcasxelmundo.com y a las redes sociales,...
La nueva campaña para la proyección internacional de las marcas españolas impulsada por el Foro de Marcas Renombradas Españolas gira en torno a la plataforma marcasxelmundo.com y a las redes sociales, y cuenta para su éxito con la participación de los usuarios.
Bajo el nombre "Marcas españolas por el mundo", la iniciativa, realizada junto a Contrapunto BBDO y Clear Channel, busca que las personas residentes en el extranjero compartan fotos y vídeos en la plataforma o en Twitter e Instagram con productos españoles y así entrar en un concurso.
La campaña publicitaria ha sido presentada hoy en Madrid por el presidente del Foro de Marcas Renombradas Españolas y de Freixenet, José Luis Bonet, el presidente de Contrapunto BBDO, David Coral, y el director general de Clear Channel España, Eduardo Ballesteros.
"Consiste en que alguien desde España invite a sus conocidos en el extranjero a compartir fotos o vídeos con marcas españolas en cualquier lugar del mundo", ha explicado David Coral.
La participación se fomenta a través del concurso, disponible hasta el 8 de agosto, en el que los ganadores pueden conseguir un viaje doble para que el usuario visite al amigo que le invitó a participar en la campaña, y que este venga a España a visitarle a él.
La agencia de publicidad Contrapunto BBDO ha realizado la creatividad de la campaña y la empresa de comunicación y publicidad Clear España llevará acabo su exhibición en las calles de Madrid y Barcelona con la instalación de más de 650 soportes de publicidad exterior (mupis digitales).
Eduardo Ballesteros ha apuntado que "hay que dar a conocer que en España hay mucho talento y hay que hacerlo a través de las nuevas formas de comunicación publicitaria basadas en el soporte digital".
"Las pantallas a pie de calle conectan en tiempo real con las redes sociales, son interactivas y creativas", ha añadido Ballesteros.
José Luis Bonet también ha incidido en que hay que convencer a la gente de que hay que estar orgullosos de las marcas españolas y en la importancia para la globalización de visibilizar su presencia en el exterior.
La campaña también cuenta con la colaboración de la Oficina Española de Patentes y Marcas (OEPM) y de la Oficina del Alto Comisionado del Gobierno para la Marca España.
Según el "Atlas de las marcas líderes españolas", el negocio internacional de estas marcas representa de media un 56,72 % de su facturación.
Según el Foro de Marcas Españolas, en España existen unas 3.000 compañías con algún tipo de implantación en el exterior pero existe un gran desconocimiento por parte del público final de la cantidad de empresas españolas internacionalizadas.
Leer Noticia original en su web
Leer más...
Análisis de la UNE 19601: Compliance penal 20-07-2017
La Asociación Española de Normalización (UNE) ha publicado el pasado jueves 18 de mayo de 2017 la norma española ?UNE 19601 Sistemas de gestión de compliance penal.?
La UNE 19601 desarrolla los req...
La Asociación Española de Normalización (UNE) ha publicado el pasado jueves 18 de mayo de 2017 la norma española ?UNE 19601 Sistemas de gestión de compliance penal.?
La UNE 19601 desarrolla los requisitos objetivos del artículo 31 bis del Código Penal (CP), cuya acreditación es necesaria para obtener el beneficio de la exoneración de responsabilidad de la persona jurídica ante la jurisdicción penal.
Los componentes de la Norma UNE se encuadran, principalmente, en sus Capítulos 4 a 10, ambos incluidos. Es allí donde se detallan los aspectos a considerar en el diseño del sistema, y que pretenden generar una cultura de Compliance, fijar sus objetivos, darle soporte y evaluar su desempeño.
De esos contenidos, es importante poder diferenciar aquellos que son deberes, requisitos o especificaciones, es decir, aspectos esenciales sin los cuales resultará imposible emitir un certificado de conformidad, de aquellos otros que son recomendaciones o directrices, y que no condicionan la certificación del sistema de gestión.
Es igualmente importante disponer de los elementos que el estándar califica como información documentada, cuya evidencia documental es igualmente necesaria a efectos de certificación.
La Norma UNE 19601 dispone de seis anexos, de los cuales el Anexo C es normativo (el que relaciona aquellos elementos considerados información documentada) y los anexos A, B, D, E y F son meramente informativos. Estos últimos ayudan a la interpretación del Compliance y a la aplicación de sus contenidos, incluyendo menciones a los procedimientos de diligencia debida, cláusulas contractuales, etc.
El sistema que establece la UNE 19601 presenta la denominada estructura de Alto Nivel[1], con lo que es integrable en otros sistemas de gestión; por ejemplo, en los descritos en la Norma UNE 19600 ?Sistemas de gestión de Compliance?, o en la UNE 37001 ?Sistema de gestión antisoborno.?
La mera implantación de la Norma UNE 19601 no conllevará la exoneración o atenuación automática de la responsabilidad penal de la persona jurídica, pero sí puede constituir un elemento fundamental para acreditar que ésta actuó de forma diligente antes de la comisión del delito y que empleó las mejores prácticas, conforme a modelos estandarizados y consensuados para crear una cultura de prevención que redujera de forma significativa el riesgo de su comisión.
Esta norma será certificable por una tercera parte independiente, con la finalidad de asegurar que se aplica eficazmente. La Circular 1/2016 de la Fiscalía General del Estado sobre la reforma del Código Penal considera que las certificaciones podrán ser valoradas como un elemento adicional de la eficacia de los modelos a la hora de eximir de responsabilidad penal a las personas jurídicas que hayan implantado modelos para la prevención de delitos.
La organización debe seguir una política de cumplimiento que generalmente se establece a través de un código ético, y que debe ir acompañado de un procedimiento sancionador según art. 31 bis 5. 5ª CP. En este sentido la UNE, al igual que la Fiscalía y el Tribunal Supremo, no efectúa un pronunciamiento claro y detallado del alcance y extensión del procedimiento sancionador, lo que deja abierto a interpretación la forma de cumplimentación de dicho requisito.
Otro de los pilares del sistema es el canal de comunicación, que además de ser un requisito del 31 bis 5. 4º CP, sirve para ver si el Compliance funciona y detectar los riesgos de forma precoz. En este punto los operadores jurídicos están de acuerdo en el canal debe ser siempre confidencial, y si es posible también externalizado, pues ello genera más confianza a aquellos que quieran hacer uso del mismo.
La única novedad de la UNE es proponer que dicho canal no sea exclusivo para reportar incumplimientos penales, sino que se utilice para otros fines, con lo que se persigue normalizar su uso. El problema que vemos en utilizar el mismo canal de comunicación para varios procesos distintos es, por una parte, la dificultad de garantizar la confidencialidad, y por otra una mayor, dificultad en su externalización.
Según la UNE, las labores de revisión y verificación si bien deben recaer sobre el responsable de cumplimiento, también deben llegar a los órganos directivos y de administración para obtener un control amplio y adecuado que se extienda por toda la organización de forma regular, programada y continuada.
Respecto al órgano de control, se recoge que ha de ser dotado de medios materiales y humanos. Y si bien se propone un órgano sencillo que puede funcionar en organizaciones de pequeñas dimensiones a través del propio órgano de administración, tanto la UNE como la Fiscalía se posicionan por un sistema mixto de responsable interno con asesoramiento externo. La novedad recae en el énfasis de la norma UNE respecto de la necesidad de acreditar el liderazgo de sus componentes a través de características como habilidades de comunicación, capacidad, prestigio y formación, respaldado por un estatus y autoridad que le debe conferir el órgano de administración para que pueda en todo momento solicitar y recibir la colaboración plena de todos los órganos de la organización.
Este documento está dirigido a todo tipo de organizaciones, independientemente de su tipo, tamaño, naturaleza o actividad y del sector al que pertenezca (privado, público, con o sin ánimo de lucro). Además, puede ser utilizada en otras jurisdicciones distintas a la española y por organizaciones internacionales.
Ésta nueva Norma, junto a la UNE 37001 y a la UNE 19600:2015, cierra el triángulo normativo en torno a la implantación de la Cultura Compliance.
[1] La estructura de alto nivel es el nombre como se conoce el resultado del trabajo del Grupo de Coordinación Técnica en Normas de Sistemas de Gestión de la Organización Internacional de Estándares (ISO), el cual dota de la misma estructura, definiciones y texto fundamentales idénticos a las normas de sistemas de gestión.
Leer Noticia original en su web
Leer más...
¿Qué hacer para que el GDPR no nos pille por sorpresa en mayo de 2018? 18-07-2017
¿Por dónde debe empezar una empresa a abordar su adaptación al Reglamento General de Protección de Datos (GDPR)?
Teniendo en cuenta que tenemos pendiente una reforma de la Ley Orgánica de Protecció...
¿Por dónde debe empezar una empresa a abordar su adaptación al Reglamento General de Protección de Datos (GDPR)?
Teniendo en cuenta que tenemos pendiente una reforma de la Ley Orgánica de Protección de Datos en los próximos meses, las empresas deben comenzar por cumplir aquellas obligaciones que establece el Reglamento y que difícilmente van a ser modificadas por esta reforma. Entre ellas, sin duda, se debería comenzar por confeccionar el registro de actividades de tratamiento que regula el artículo 30 del Reglamento, ya que de esta manera la empresa será consciente de la tipología de datos que trata, sus finalidades, y las obligaciones que deberá cumplir. Igualmente este registro nos permitirá crear una árbol de dependencias que nos permita conocer los departamentos implicados, las entradas de información, las salidas de información desde un determinado tratamiento, prestadores de servicio, cesiones, transferencias internacionales que puedan existir y cómo no, y no menos importante, los sistemas de información asociados a dichos tratamientos sobre los que deban implementarse medidas de seguridad. Este registro nos permitirá además tener una idea inicial sobre qué tratamientos pudiesen ser susceptibles de necesitar la realización de una evaluación de impacto a la que hace referencia el artículo 35 del Reglamento.
¿Cuáles deberían ser los próximos pasos a seguir para tener en mayo de 2018 todo a punto para cumplir con los requerimientos de la legislación europea?
Una vez realizado el registro de tratamientos, las empresas deberían realizar un análisis comparativo entre la situación en la que se encuentran en la actualidad bajo el amparo de la normativa estatal, y las acciones que deben acometer para cumplir los requerimientos del reglamento, es decir, un plan de acción programado en el que debe incluirse principalmente la realización de análisis de riesgos en dos vertientes principales: por un lado, un análisis de riesgos en aquellos casos donde sea necesaria la realización de evaluaciones de impacto; y, por otro lado, un análisis de riesgos dirigido a implementar medidas de seguridad. Por otro lado, tendrán que abordar ajustes a nivel jurídico u organizativo, entre los que se encuentran la redacción de nuevas cláusulas de consentimiento informado, revisar las relaciones y contratos con sus prestadores de servicio de acuerdo al nuevo principio de responsabilidad activa, implementar procedimientos que aseguren el cumplimiento de nuevos principios como el de minimización de datos y protección de datos desde el diseño de productos o servicios, implementar medidas técnicas para facilitar la portabilidad de datos, así como nuevos procedimientos dirigidos a mitigar y comunicar las brechas de seguridad que puedan acontecer tanto a sus clientes como a las autoridades de control. No podemos olvidarnos tampoco de la figura del DPO, que deberá ser nombrado (de forma interna, o contratado de forma externa) en aquellos casos en los que sea obligatorio, bien por el Reglamento Europeo, bien por la futura reforma de la LOPD.
A nivel legal, ¿cuáles son los principales cambios a abordar por compañías y administraciones?
Quizá el cambio más importante es el cambio en el punto de vista la normativa. Pasamos de un punto de vista ?reactivo? a un punto de vista ?proactivo? según el nuevo principio de "responsabilidad activa". Esto supone que las compañías y administraciones deben ser conscientes del tratamiento que realizan de datos, cumplir con la normativa y poder demostrar que cumplen. Este principio nos lleva a reforzar las cláusulas de consentimiento (que deberá ser expreso en todo caso y concreto para cada tratamiento) y de información (que amplía la información que ha de suministrarse, incluyendo el tiempo de retención de los datos por parte de la empresa o la Administración).
Pasaremos de tener documentos de seguridad prácticamente ?estáticos?, como hasta ahora, a tener procedimientos implementados en las compañías que se asemejen más a sistemas de gestión ya conocidos a través de estándares internacionales y que cubran las obligaciones de la nueva normativa europea. El mantener un registro de tratamientos actualizado supone que este debe estar vivo, y, por tanto, mediante procedimientos eficaces deberemos ser capaces de reaccionar ante la creación de nuevas líneas de negocio de forma rápida para que estas se ajusten en materia de privacidad a los requisitos del reglamento.
Y a nivel tecnológico, ¿qué acciones concretas deberán emprender las compañías?
A nivel tecnológico, el reglamento es totalmente abierto y neutral. Si bien establece en varios apartados la recomendación de anonimizar, disociar y cifrar los datos en la manera de lo posible, no establece obligaciones tasadas como ocurría hasta ahora en nuestro RD 1720/2007 de desarrollo de la LOPD. El reglamento europeo obliga a la empresas a que realicen un análisis de riesgos en base a los tratamientos realizados y los sistemas de información que dependen de estos, y que en base a dicho riesgo se implementen las medidas de seguridad necesarias que aseguren la confidencialidad, integridad, resiliencia y disponibilidad de los datos personales. Es un giro de 180 grados en la filosofía que responde de nuevo a ese principio de ?responsabilidad activa?. Las empresas han de ser conscientes de qué tienen y cómo lo están protegiendo. Una vez más, es un giro que nos acerca a los sistemas de gestión de seguridad de la información.
¿Cree que las empresas e instituciones españoles están a tiempo de tenerlo todo preparado para mayo del próximo año, o cree que los retrasos serán la norma?
Tengo la sensación de que grandes empresas y multinacionales están dando pasos (algunas ya con implementaciones avanzadas) para su adaptación al reglamento. Sin embargo, no tengo esa misma sensación en el resto de entidades (pymes, administraciones públicas, autónomos). Un motivo es la futura reforma de la LOPD, que quizá eche atrás a estos a implementar unas obligaciones que pueden ser modificadas con esta futura reforma. Sin embargo, tras haberse conocido el texto del anteproyecto de ley, se ha podido comprobar que los cambios respecto al reglamento son mínimos, por lo que, a priori, y si el texto final va en la línea, no hay motivo para retrasar la implementación. La adaptación al reglamento es laboriosa, ya que existen numerosas acciones que pueden exigir un esfuerzo importante en tiempo y recursos, por lo que esta adaptación no debería dejarse hasta el último momento. El riesgo de no realizar la adaptación es elevado, al igual que lo son las nuevas sanciones que establece el reglamento, y que pueden alcanzar hasta los 20 millones de euros o el 4% de la facturación global de la entidad.
Leer Noticia original en su web
Leer más...
7 de octubre: celebración del Marcathlon 2017 18-07-2017
La Oficina Española de Patentes y Marcas (OEPM) y la Asociación para la Defensa de la Marca (ANDEMA) organizan el Marcathlon, un evento gratuito, lúdico y educativo donde marcas, asociaciones e instit...
La Oficina Española de Patentes y Marcas (OEPM) y la Asociación para la Defensa de la Marca (ANDEMA) organizan el Marcathlon, un evento gratuito, lúdico y educativo donde marcas, asociaciones e instituciones de muchos sectores se unen para dar a conocer la importancia que tiene la Propiedad Industrial para la economía y la sociedad españolas. Este año se celebrará el sábado 7 de octubre en los Jardines de Azca, Madrid.
Leer Noticia original en su web
Leer más...
Interpretación y aplicación del derecho al olvido en España 14-07-2017
Antonio es un empresario muy conocido en su pueblo que, debido a su buena gestión, está pensando en internacionalizar su negocio. No obstante, se ha dado cuenta de que al teclear su nombre y apellidos...
Antonio es un empresario muy conocido en su pueblo que, debido a su buena gestión, está pensando en internacionalizar su negocio. No obstante, se ha dado cuenta de que al teclear su nombre y apellidos en la página Web www.google.es, hay un enlace que hace referencia a su pasado como violento activista de una organización. En la actualidad, Antonio está totalmente desvinculado de tal organización e incluso está arrepentido de su comportamiento quince años atrás. Desea que desaparezca el enlace de la página Web del buscador, a fin de que su actividad empresarial no se vea afectada.
¿Cuál es el primer paso que ha de dar Antonio para que desaparezca ese enlace?
Antonio debe ejercitar el derecho al olvido de sus datos personales. Para ello, el primer paso que deberá hacer es dirigirse a la sociedad estadounidense Google Inc, la cual gestiona el motor de búsqueda ?Google Search?, solicitando que al teclear su nombre y apellidos desaparezca el enlace que considera perjudicial para sus intereses. La manera en que debe dirigirse es mediante los formularios que Google Inc pone a disposición en su página Web para tal efecto.
En el caso de que Google no le responda dentro de plazo, o la respuesta no fuera conforme a la voluntad de Antonio, ¿qué podría hacer?
Según la normativa actual española, Google quedaría obligado a contestar en el plazo de 10 días a contar desde la recepción de la solicitud de Antonio, si bien se trata de un plazo genérico, tal y como ha interpretado el Tribunal Supremo en diversas ocasiones. En caso de que no respondiera en plazo, o que la respuesta no fuera satisfactoria, Antonio podrá interponer una reclamación de tutela ante la Agencia Española de Protección de Datos (AEPD), acompañando los documentos acreditativos de haberse dirigido previamente al buscador. La Agencia deberá resolver el asunto en un plazo máximo de 6 meses.
¿Y si Antonio tampoco estuviese conforme con la resolución que la Agencia Española de Protección de Datos dictase?
Dado que la resolución de la AEPD es un acto administrativo, Antonio deberá interponer recurso en vía Contencioso-Administrativo, en este caso, ante la Audiencia Nacional. Contra ella cabría asimismo recurso de Casación ante el Tribunal Supremo, tanto por Antonio como por Google Inc.
En nuestro caso, Google Inc no respondió de manera satisfactoria a la solicitud de Antonio. Por ello, Antonio interpuso una reclamación ante la Agencia Española de Protección de Datos, la cual, tras 6 meses de estudio, resolvió a su favor. Google Inc no formuló alegaciones, y procedió a retirar el enlace objeto de la disputa. No obstante, un año después de que fuera retirado, dicho enlace ha vuelto a ser incluido en la lista de resultados del buscador ?Google Search? y ahora Antonio se plantea demandar al buscador ante los Tribunales.
¿Cómo debe actuar Antonio?
Dado que Antonio ejercitó previamente el derecho de oposición al tratamiento de sus datos personales (explicado anteriormente), podrá interponer una demanda basada en la protección al honor, intimidad y sus datos personales. En este caso, la demanda deberá interponerse ante los Tribunales españoles siguiendo la vía Civil, siendo la sociedad demandada en este caso Google Spain, SL. y no Google Inc.
Leer Noticia original en su web
Leer más...
Los Sistemas de Gestión de Compliance y su contribución a la cultura de la organización 13-07-2017
Compliance o cumplimiento normativo es un término de máxima actualidad por el interés que está despertando en cada vez más empresas y organizaciones. Genera una doble aportación de valor: por una part...
Compliance o cumplimiento normativo es un término de máxima actualidad por el interés que está despertando en cada vez más empresas y organizaciones. Genera una doble aportación de valor: por una parte, es garantía de respeto a la legalidad y de confianza en sus grupos de interés y, por otra, como mecanismo de exoneración o atenuación de la responsabilidad penal de la persona jurídica, en caso de comisión de determinados delitos por miembros de la organización.
En el año 2010 se introdujo en el Código Penal español la figura de la persona jurídica como sujeto penalmente responsable de determinados delitos que se cometieran en su seno. Constituyó un cambio relevante a nivel legal, dado que hasta entonces sólo las personas físicas podían cometer delitos. En el año 2015 se revisó el Código Penal en este sentido para estructurar este ámbito adecuadamente y se asentó la culpabilidad de la persona jurídica basada en la ausencia de voluntad para prevenir determinados delitos en la organización (ver art. 31 bis del CP).
La manifestación de dicha voluntad se materializa en el desarrollo e implementación de modelos de organización y gestión para la prevención y control del riesgo de delito, cuyas características se detallan en el Código Penal. Para unificar las diferentes opciones de diseño de modelos susceptibles de ser aplicados, se elaboró la norma española UNE 19601 “Sistemas de gestión de compliance penal”, la cual ha sido recientemente publicada en Mayo de 2017 y cuya aplicación e implementación por parte de las empresas está teniendo una mayoritaria aceptación y progresiva utilización. Tiene la ventaja adicional de ser una norma de requisitos para el sistema de gestión de una organización que lo hace susceptible de evaluación y reconocimiento externo de su cumplimiento por una entidad de certificación independiente, de modo que aporta un elemento diferenciador de confianza a los grupos de interés de la empresa.
Un elemento clave para la consecución del objetivo de respeto a la ley es lograr la creación de una cultura apropiada en la organización que sirva de patrón para el comportamiento adecuado de todo su personal. Este importante aspecto ha sido remarcado por las sentencias del Tribunal Supremo indicando que la implementación de un modelo de prevención del delito es reveladora de la cultura y compromiso de la organización con el cumplimiento del Derecho apoyado en la vigilancia y control del comportamiento de sus miembros.
De este modo, la jurisprudencia ha ido definiendo la responsabilidad penal de las personas jurídicas sobre la base de la propia culpabilidad de la entidad debido a la ausencia de una cultura de cumplimiento evidenciada, habitualmente, por la falta de controles internos efectivos destinados a prevenir la comisión de delitos.
El refuerzo del liderazgo de la alta dirección y de la formación y concienciación del personal de la organización como instrumento para alcanzar la cultura deseada y, por ende, un comportamiento adecuado frente a los riesgos de conducta inapropiada en todos los niveles queda ampliamente establecido en los requisitos de la norma UNE 19601:2017.
En este sentido, la norma requiere que la alta dirección demuestre liderazgo y compromiso con respecto al sistema de gestión de compliance penal garantizando, cumpliendo y haciendo cumplir, dirigiendo, apoyando, promoviendo y fomentando una serie de acciones, procesos y recursos explícitamente establecidos por la norma UNE 19601:2017. Entre ellos se encuentran los requisitos de fomentar el uso de procedimientos para la puesta en conocimiento de conductas potencialmente delictivas que puedan afectar a la organización y sus actividades, o garantizar que ningún miembro de la organización es objeto de represalia, discriminación o sanción disciplinaria por comunicar de buena fe hechos, o sospechas fundadas de situaciones, que manifiesten un incumplimiento de la política de compliance penal, o por rehusar participar en actuaciones delictivas, incluso si ello conduce a una pérdida de negocio de la organización.
La política de compliance penal ha de imponer la obligación a todo el personal de informar sobre hechos o conductas sospechosas relativas a riesgos penales, garantizando que el informante no sufrirá represalias, así como exponer las consecuencias de no cumplir los propios requisitos de la política, sistema de gestión y códigos de conducta de la organización. Se establece la responsabilidad por parte de los miembros de la organización de comprender, observar y aplicar los requisitos del sistema de gestión en lo concerniente a su rol o función y a los mandos intermedios de hacer cumplir y observar dichos requisitos por el personal a su cargo.
Tanto el Código Penal en su artículo 31 bis, como la norma UNE 19601:2017, obligan a establecer un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo o sistema de gestión de compliance penal. En este sentido, una sentencia de un tribunal superior de justicia de febrero de 2017 ha amparado el despido disciplinario aplicado por una empresa tomando en consideración la violación del código de conducta de la organización por un hecho considerado como falta grave en el convenio colectivo aplicable.
La aplicación de un sistema de gestión de compliance penal conforme a UNE 19601 constituye un instrumento eficaz para que toda la organización, en sus diferentes niveles y posiciones, conozca explícitamente sus funciones y responsabilidades. Además, desarrollará sus actividades conforme a unos procedimientos específicos establecidos para prevenir el riesgo de comisión de delitos, lo cual redunda en la generación de una cultura y confianza adecuada de respeto al cumplimiento normativo, contribuyendo de esta manera al desarrollo sostenible del negocio de la empresa.
*Si te ha resultado interesante este artículo, te animamos a seguirnos en TWITTER y a suscribirte a nuestra NEWSLETTER DIARIA.
RRHHDigital
Leer Noticia original en su web
Leer más...
El nuevo reglamento europeo de protección de datos dará más poder al ciudadano 12-07-2017
La directora de la Agencia Española de Protección de Datos (AEPD), Mar España, ha apuntado hoy que el nuevo reglamento europeo, que será aplicable a partir de mayo, "cambia sustancialmente el sistema ...
La directora de la Agencia Española de Protección de Datos (AEPD), Mar España, ha apuntado hoy que el nuevo reglamento europeo, que será aplicable a partir de mayo, "cambia sustancialmente el sistema de protección de datos", y ofrece a los ciudadanos mucho más poder en el control de la información y de la huella digital.
España, que ha inaugurado en la Universidad Internacional Menéndez Pelayo en Cuenca un curso sobre este nuevo documento con la conferencia "El Reglamento General de Protección de Datos (RGPD): instrumento para la protección de datos en las sociedades digitales", ha destacado que dicho Reglamento supone también un "cambio radical" para los profesionales.
En declaraciones a EFE antes del inicio del curso, España ha reconocido que "lo ideal sería" que la nueva ley orgánica, que suplirá a la de 1999 y que ahora mismo está en exposición pública tras su elaboración por el Ministerio de Justicia, esté aprobada en el momento en que el reglamento entre en vigor, el 25 de mayo de 2018, aunque reconoce que dependerá de la "tramitación parlamentaria".
Con este nuevo reglamento, España ha explicado que los ciudadanos tendrán mayor control sobre su información y, "por primera vez, se recoge en una norma en la Unión Europea el derecho al olvido, que permite borrar el acceso a la búsqueda por tu nombre si la información es falsa, inexacta o ha quedado desfasada".
Ha mencionado también el derecho a la portabilidad, para portar los datos de una red social a otra, y ha añadido que será un cambio profundo para los profesionales, "porque implica que, desde el primer minuto en que se está poniendo en el mercado un servicio o un producto, sea obligatorio establecer la privacidad por defecto o la privacidad por diseño".
El curso inaugurado por la directora de la AEPD será clausurado mañana por el ministro de Justicia, Rafael Catalá, y cuenta durante dos días con la aportación de expertos de la Agencia, juristas, técnicos del Ministerio de Justicia y un magistrado de la Audiencia Nacional.
Leer Noticia original en su web
Leer más...
Transparencia Internacional publica su guía para evaluar el 'compliance' 12-07-2017
Transparencia Internacional (TI) España presentó ayer su Guía Práctica de Autodiagnóstico y Reporting en cumplimiento normativo, buen gobierno corporativo y prevención de la corrupción, una herramient...
Transparencia Internacional (TI) España presentó ayer su Guía Práctica de Autodiagnóstico y Reporting en cumplimiento normativo, buen gobierno corporativo y prevención de la corrupción, una herramienta con la que pretende asistir a las empresas en la evaluación de la calidad sus programas de prevención de delitos -o compliance-, así como de otros estándares de transparencia, integridad y buenas prácticas.
El documento -que, además, estará disponible en modo app después del verano- contiene más de 270 ítems a través de los cuales la organización puede examinar sus políticas en cuatro áreas clave: el cumplimiento normativo, el gobierno corporativo, la prevención de la corrupción y el reporting público país por país. Su destinatario principal son las empresas españolas cotizadas.
Tras la evaluación, la organización podrá obtener un informe de autodiagnóstico que le permitirá, además de realizar una evaluación interna, trasladarla a sus socios, inversores o consumidores para acreditar su compromiso con una cultura de integridad.
"En Estados Unidos impera la idea de que todo lo que se mide, mejora y lo que no se mide no mejora. En España, sin embargo, no medimos. Somos más de decir: más o menos", aseveró Antonio Garrigues Walker, presidente de la fundación Garrigues y fundador de TI-España, que manifestó que la guía será una herramienta muy útil para las empresas en la mejora de su sistema compliance. "El autodiagnóstico va a jugar un papel fundamental, y cada vez más, porque las obligaciones van a ir aumentando cada vez más".
La disposición 9.1.6 de la norma UNE 19601 -que contiene los requisitos para certificar el sistema de gestión del compliance- establece que las organizaciones deben desarrollar un conjunto de indicadores medibles para evaluar sus sistemas de cumplimento. Y, precisamente, a esa necesidad responde la guía.
"Es un primer punto de partida para las empresas que fortalecen estas áreas y además mantienen una comunicación veraz, eficiente y útil con sus grupos de interés, creando una verdadera confianza entre las partes", subrayó David Martínez, investigador del Proyecto Integridad de TI-España y coautor de la guía.
Dentro de las cuatro áreas evaluadas, la guía establece tres niveles de cumplimiento: moderado, medio y máximo. Los parámetros evaluados corresponden a exigencias legales, indicadores de cumplimiento voluntario -cuyo origen se encuentra en el soft-law- y recomendaciones de TI.
"Va a permitir la creación de valor a las empresas a través de tres vías: la protección de la competencia leal, la protección de los inversores y la protección de los consumidores", concluyó Silvina Bacigalupo, catedrática de Derecho Penal y coautora de la guía.
El poder judicial es la vanguardia de la revolución bolivariana en España.
Leer Noticia original en su web
Leer más...
Cómo deben cumplir las empresas con la nueva normativa europea de ciberseguridad 10-07-2017
El Reglamento General de Protección de Datos (GDPR) de la Unión Europea entrará en vigor de mayo de 2018. Esta ley ha generado importantes dudas entre empresas de numerosos sectores sobre los cambios ...
El Reglamento General de Protección de Datos (GDPR) de la Unión Europea entrará en vigor de mayo de 2018. Esta ley ha generado importantes dudas entre empresas de numerosos sectores sobre los cambios que deberá implementar para garantizar su cumplimiento. El proveedor de ciberseguridad Check Point ha resumido en un comunicado algunas de las principales medidas que deben empezar a tomar las compañías para cumplir la normativa.
Cualquier empresa que controle datos sobre ciudadanos de la UE, aunque no tenga presencia en ella, está obligada a cumplir esta ley, que obliga a las organizaciones a implementar procesos y procedimientos completamente nuevos en torno a la recopilación y al almacenamiento de información personal identificable --PII, por sus siglas en inglés--.
Esto se refiere a cualquier dato relacionado con la vida privada, profesional o pública de un residente de la UE: dirección IP, información bancaria, direcciones de correo electrónico, usuarios de redes sociales... El objetivo del GDPR es asegurar que la PII se almacena con el permiso de una persona y que se utiliza para el propósito especificado para el que se obtuvo, y solo durante un tiempo limitado.
Las organizaciones que incumplan el GDPR se enfrentarán a fuertes multas: 20 millones de euros o el 4% de sus ingresos globales por cada incidente. Esto podría significar millones, o incluso miles de millones de dólares en multas para las grandes empresas.
CUATRO CONSEJOS
La nueva normativa ha ocasionado que una gran cantidad de abogados, expertos y proveedores de servicios proporcionen consejos basados en las tecnologías y las actividades de la empresa. Sin embargo, no hablan de los pasos básicos que deben tomarse antes de pensar en cómo les afecta el GDPR. Por esta razón, Check Point ha reunido cuatro consejos:
1) Concienciar y educar: Nadie en la empresa va a ayudar a cumplir con el GDPR si no sabe lo que es. Por esta razón, es indispensable formar a los empleados en cuestiones como qué requiere la ley, por qué es relevante para la compañía, cuáles son las sanciones, y qué aplicaciones tienen probabilidades de incumplimiento. La educación básica es vital, recuerda Check Point, no solo para concienciar a la gente de la nueva regulación, sino también para comenzar a pensar en cómo asignar personal y recursos financieros para tratarla.
2) Monitorizar toda la información: Aún no se sabe cómo evolucionará y como se aplicará el GDPR. Los responsables del cumplimiento de la normativa deben leer sobre el tema todo lo posible para conocer todas las novedades, así como, al menos, algunos puntos de la regulación en sí. También es necesario saber que varios organismos de la UE están tratando de aclarar cómo se aplicará la ley, y publican periódicamente las explicaciones. Por lo tanto, es necesario reservar algo de tiempo para ver si hay actualizaciones.
3) Localizar los datos: Encontrar los datos alojados en los entornos TI es clave para evaluar el esfuerzo que se debe hacer con respecto a la normativa. Los sistemas de clasificación de datos pueden automatizar este proceso.
4) Establecer y verificar un sistema de identificación seguro: Todos los regímenes de cumplimiento establecen el registro como un sistema de control esencial, y el GDPR no será diferente. Por lo tanto, un primer paso lógico será revisar y verificar las actividades de identificación en las aplicaciones clave y en la infraestructura de soporte. También se deben implementar controles automáticos o manuales que revisen periódicamente los historiales, y busquen actividades no autorizadas o maliciosas. Por último, se deben incluir las actividades del administrador en la infraestructura crítica.
Leer Noticia original en su web
Leer más...
El Gobierno estudia la nueva Ley Orgánica de Protección de Datos 07-07-2017
El Ministerio de Justicia presentó ayer en el Consejo de Ministros el primer informe sobre el anteproyecto de la nueva Ley Orgánica de Protección de Datos (LOPD), una reforma que debe adaptar la legis...
El Ministerio de Justicia presentó ayer en el Consejo de Ministros el primer informe sobre el anteproyecto de la nueva Ley Orgánica de Protección de Datos (LOPD), una reforma que debe adaptar la legislación española al Reglamento General de Protección de Datos (RGPD). La norma europea supone una auténtica revolución en la concepción de la privacidad, y exige a las empresas y Administraciones que traten datos multitud de cambios en sus procedimientos internos.
El Reglamento, que será de plena aplicación el 25 de mayo de 2018, tiene efecto directo. Es decir, sus disposiciones no requieren ser transpuestas para que sean exigibles. Por ello, resulta vital que la reforma de la LOPD llegue a tiempo y se evite la vigencia de dos normas discordantes. Sin embargo, y a pesar de que Justicia insiste en que la norma estará aprobada en plazo, existen serias dudas de que dé tiempo a completar el trámite parlamentario antes de mayo del año que viene.
Según avanzó ayer Justicia, la reforma de la LOPD regulará el tratamiento de datos de personas fallecidas por parte de sus herederos teniendo en cuenta las instrucciones aportadas por las mismas. También se suprime el consentimiento tácito, exigiendo que sea expreso y afirmativo; y se establece la presunción de exactitud y actualización de los datos obtenidos directamente del interesado.
Asimismo, se rebaja de 14 a 13 años la edad para poder otorgar consentimiento para el tratamiento de datos -tal y como impone el RGPD- y se desarrollan los derechos a la portabilidad y al olvido, este último reconocido por la Justicia pero no plasmado en la legislación.
La norma española también incide en los derechos de acceso, rectificación, supresión y limitación del tratamiento, e introduce la obligación de bloqueo que garantiza que los datos queden a disposición de un tribunal, el Ministerio Fiscal u otras autoridades competentes -como la Agencia de Protección de Datos- para la exigencia de responsabilidades derivadas de su tratamiento, evitando que pueda borrarse la información para encubrir un incumplimiento.
Finalmente, se adopta el principio de transparencia en el tratamiento de datos, y se regulan los sistemas de información crediticia, videovigilancia, los sistemas de exclusión publicitaria -las listas Robinson-, la función estadística pública y las denuncias internas del sector privado.
Además de reforzar el derecho fundamental a la privacidad de los datos en el nuevo escenario tecnológico, el Reglamento pretende establecer un marco común y uniforme en todos los Estados de la UE para favorecer a las empresas que se sirven de los datos en su modelo de negocio.
Leer Noticia original en su web
Leer más...
Radiografía de la nueva Ley Orgánica de Protección de Datos 07-07-2017
Falta menos de un año para que sea exigible el cumplimiento del nuevo Reglamento Europeo 2016/679 de Protección de Datos, que regulará la protección de los datos de carácter personal de manera uniform...
Falta menos de un año para que sea exigible el cumplimiento del nuevo Reglamento Europeo 2016/679 de Protección de Datos, que regulará la protección de los datos de carácter personal de manera uniforme en toda la Unión Europea. Una normativa que se caracteriza, además, porque será de aplicación directa, es decir, no requerirá su transposición al derecho nacional.
No obstante, el Reglamento Europeo deja en manos de los Estados miembros la capacidad para adaptar determinadas materias, según sus principios y su tradición jurídica en el ámbito de la privacidad, siempre y cuando se respete la existencia de este régimen uniforme recogido en el texto comunitario.
Con ese afán, el legislador español ha elaborado un borrador de Anteproyecto de Ley Orgánica de Protección de Datos, que derogará la actual Ley 15/1999, donde recoge entre sus 78 artículos, aspectos como: el estatuto jurídico del Delegado de Protección de Datos; la edad mínima para prestar el consentimiento; las obligaciones generales del Responsable y Encargado del tratamiento; así como varias de las recomendaciones que publicó el Grupo de Trabajo del Artículo 29 (órgano consultivo independiente formado por las autoridades de protección de datos de la UE) y de las guías publicadas por la Agencia Española de Protección de Datos.
Con respecto a la forma de recabar el consentimiento, el Anteproyecto difiere de la actual Ley Orgánica de Protección de Datos en relación a la forma de recabar el consentimiento para su utilización: elimina la posibilidad de que éste pueda ser tácito y exige una declaración o una acción clara afirmativa del afectado, en línea con el Reglamento Europeo.
Asimismo, prevé que, en el marco de un proceso de negociación o formalización de un contrato, la inclusión de una casilla específica (sin marcar) sea suficiente para garantizar el requisito de consentimiento expreso, aun cuando la finalidad del tratamiento de datos no guarde relación directa con la relación contractual.
El anteproyecto también matiza las obligaciones de información con respecto a los datos obtenidos mediante redes de comunicaciones electrónicas o en el contexto de la prestación de un servicio de la sociedad de la información.
Se permite que el responsable del tratamiento cumpla el citado deber facilitando determinada información básica al afectado, como la identidad del responsable, la finalidad del tratamiento y el modo de ejercitar sus derechos, quedando asimismo obligado a proporcionar al interesado una dirección de correo electrónico que permita el fácil acceso a su información.
Resulta destacable que el anteproyecto ajusta a nuestro ordenamiento el principio de transparencia en el tratamiento. Este incluye el sistema de "información por capas", similar al que se viene utilizando en la instalación de cookies.
Respecto al tratamiento de datos de menores de edad, la nueva LOPD, establece en 13 años la edad en la que éstos pueden prestar su consentimiento para el tratamiento de sus datos. De esta forma, el legislador busca acercar nuestro sistema al de Estados de nuestro entorno.
Bajo un esquema de análisis y ponderación de riesgo para la privacidad de los ciudadanos, consumidores y usuarios, establece nuevas obligaciones para el responsable y el encargado del tratamiento, quienes, tras valorar los riesgos que entraña el tratamiento para la protección de los datos del afectado, determinarán qué medidas aplicar.
En este sentido, el borrador de texto normativo, enumera diferentes situaciones que comportan especial riesgo (como la creación o utilización de perfiles personales mediante el análisis o la predicción de aspectos referidos a su situación económica, salud, preferencias o intereses personales). Sin embargo, no se introducen novedades con respecto al Reglamento europeo en lo relativo a las Evaluaciones de Impacto (PIAs).
También se incorporan precisiones sobre el ejercicio de derechos de los interesados, matizando el derecho de rectificación previsto por el reglamento, al establecer que el afectado debe incluir con la solicitud a qué datos se refiere y su correspondiente corrección.
Con respecto al ejercicio del derecho a la portabilidad, aclara que tan solo se prevé para los datos facilitados directamente al responsable por el afectado y no a los inferidos por el responsable, tal y como avanzaba el Grupo de Trabajo del Artículo 29.
Asimismo, el anteproyecto regula los datos de personas fallecidas, permitiendo a los herederos el ejercicio de los derechos de acceso, rectificación o supresión, conforme hubiera dispuesto el fallecido.
También se permite en el marco de los canales de denuncias internas que éstas sean cursadas anónimamente, estableciendo plazos de conservación e imponiendo obligaciones respecto a la confidencialidad de los datos.
Finalmente, la figura del Delegado de Protección de Datos, ve reforzada su protección al no poder ser removido ni sancionado por el responsable o encargado por el desempeño de sus funciones, salvo que incurriese en dolo o negligencia grave.
Se permite que sea persona física o jurídica, que se integre o no en la organización del responsable o encargado del tratamiento. Y, aunque se mantiene su carácter obligatorio o voluntario, el Anteproyecto enumera algunos supuestos en que la figura del Delegado es necesaria (colegios profesionales, establecimientos financieros de crédito, etc.).
Leer Noticia original en su web
Leer más...
La Junta de Andalucía ayudará a los comercios en prevención de riesgos laborales 06-07-2017
La delegación municipal de Comercio ha informado de que se encuentra abierto el plazo para solicitar las ayudas para la realización de proyectos en prevención de riesgos laborales...
La delegación municipal de Comercio ha informado de que se encuentra abierto el plazo para solicitar las ayudas para la realización de proyectos en prevención de riesgos laborales de la Consejería de Empleo, Empresa y Comercio.
Según ha explicado la concejal del área, Isabel Mª Barriga, estas subvenciones, que pueden ir desde 1.500 hasta los 1.8000 euros por cada proyecto, están destinadas a PYMES y autónomos para la realización de proyectos e inversiones en materia de prevención de riesgos laborales, incluyendo la compra o renovación de los equipos de seguridad laboral.
La convocatoria se publicó en el Boletín Oficial de la Junta de Andalucía el pasado 27 de junio y las solicitudes se pueden presentar hasta el próximo 27 de julio (incluido). Deberá ser presentada preferentemente por vía electrónica en el Registro Electrónico de la Administración de la Junta de Andalucía. Los que opten por formular su solicitud de manera presencial, podrán hacerlo en la Delegación Territorial de Economía, Innovación, Ciencia y Empleo de la provincia donde se vaya a realizar el proyecto.
Ha añadido que se establecen como prioritarios aquellos proyectos que implanten medidas colectivas de protección del riesgo de exposición a sílice y agentes carcinógenos, mutágenos y teratógenos, los que establezcan control del ruido de la industria de la madera, los que incorporen dispositivos para prevenir el vuelco de la maquinaria, los que conlleven ergonomía participativa y los que desarrollen una mejora ergonómica en la industria agroalimentaria.
Barriga ha dado a conocer que todos los proyectos tienen que estar integrados en la actividad preventiva de la empresa, ser viables desde el punto de vista técnico, económico y financiero y los plazos máximos para ejecutar las actividades subvencionables serán de 9 a 12 meses, dependiendo de la modalidad.
Uno de los requisitos es que la actividad económica de los beneficiarios se encuadre dentro de agricultura, ganadería, silvicultura y pesca; de la industria manufacturera; de la construcción; o del transporte y almacenamiento. En el caso de las empresas pertenecientes al sector de la construcción deben estar inscritas en el Registro de Empresas Acreditadas como Contratistas o Subcontratistas del Sector de la Construcción de la Comunidad Autónoma de Andalucía.
Además, para obtener la subvención, tanto las empresas como los trabajadores autónomos deben tener su domicilio social y fiscal en Andalucía, y los beneficios que se le reconozcan revertirán en centros de trabajos ubicados en el ámbito geográfico andaluz.
La delegada ha explicado que La convocatoria comprende cuatro líneas de proyectos que conllevan un 75% máximo de la inversión:
- La primera línea, con una ayuda de entre 2000 y 18000 euros, estará destinada a los que mejoren la estructura preventiva propia de la empresa, como por ejemplo formación en seguridad laboral o gastos de contratación de técnicos de seguridad.
- La segunda línea, también con una ayuda de entre 2000 y 18000 euros, financiará aquellos proyectos que faciliten el cumplimento de la normativa en materia de seguridad laboral, como por ejemplo programas de actuaciones específicos para prevenir accidentes que haya sufrido la empresa o los diagnósticos de riesgos emergentes.
- La tercera línea, igualmente entre 2000 y 18000 euros, es para implantar nuevos equipos y medidas de seguridad. Desde la adaptación hasta la compra de equipos de seguridad. Por ejemplo, en el sector de la construcción sustituir andamios viejos por aquellos que se ajusten a la normativa europea.
- La cuarta línea, con incentivos entre 1500 y 12000 euros, se destinará a promover el diseño de proyectos innovadores y el desarrollo e intercambio de buenas prácticas preventivas entre las empresas.
Toda la información, tanto de las bases como del trámite de solicitud, se puede encontrar en la página web de la Consejería de Empleo, Empresa y Comercio. La concejal ha finalizado manifestando que es estas ayudas significan un paso importante para las empresas que deben regularse en esta materia ya que están obligadas por ley.
Leer Noticia original en su web
Leer más...
El compliance officer, ¿quién es? 05-07-2017
La International Compliance Association define al ‘compliance officer’ como el profesional que debe identificar los riesgos a los que se enfrenta una organización, diseñar e implementar co...
La International Compliance Association define al ‘compliance officer’ como el profesional que debe identificar los riesgos a los que se enfrenta una organización, diseñar e implementar controles para protegerla de esos riesgos, supervisar e informar sobre su eficacia en la gestión de la exposición a los riesgos, resolver las dificultades de cumplimiento a medida que ocurren y asesorar al negocio todo lo que respecta tanto a normativa vigente como a las verificaciones que son necesarias para monitorar el desarrollo empresarial. Sus funciones van desde el establecimiento y la revisión de los estándares para comunicaciones internas y externas hasta examinar las instalaciones de la empresa con el fin de asegurarse su accesibilidad y seguridad.
Arturo Mendoza, Socio Director Ejecutivo de Dret
En los últimos años, el ambiente de trabajo interno de las empresas ha evolucionado positivamente a lo largo de la curva de madurez de todo lo relacionado con el Compliance o ?cumplimiento normativo?. Se nota en el modo de actuar empresarial, en las descripciones de los puestos vacantes de las empresas, en la cautela cuando se procede a los concursos para las contrataciones públicas o del sector privado: el cumplimiento ya es la forma de proceder normal de los agentes económicos. Incluso se está apostando por ampliar los modelos básicos de Compliance para ofrecer ese ?algo más? a los agentes económicos del mercado y resultar más atractivos a los operadores nacionales e internacionales. Uno de los pasos esenciales antes de implementar un modelo de Compliance y el respectivo profesional encargado, es analizar la naturaleza de las operaciones que lleva a cabo la empresa, así como su diversidad; la complejidad y la escala del negocio, el volumen de las transacciones, y su tamaño.
El papel del compliance officer es asegurarse de que una empresa está desarrollando su negocio en un marco de cumplimiento pleno de las leyes nacionales e internacionales que le afectan y constriñen, así como las diversas recomendaciones de su actividad, los estándares, las mejores prácticas y las normas de comportamiento interno. En el trabajo del compliance officer no sólo hay un componente objetivo, de vigilancia de respeto a las leyes, sino también más difuso, que consiste en crear un ambiente proclive a evitar las situaciones de riesgo, la conservación de la buena fama, evitando la litigiosidad en la empresa.
Cada vez más empresas están viendo un mayor retorno en la inversión en programas de cumplimiento, ya que no sólo previenen las infracciones, sino que también pueden servir para mitigar las multas si se ha llegado a cometer la infracción.
Un programa de cumplimiento a la medida, dirigido a las áreas de riesgo del negocio, es importante para ayudar a las empresas a superar las dificultades, sin imponer restricciones innecesarias. En esta perspectiva, el compliance officer se convierte en un agente esencial en la política de cumplimiento de la empresa, que supervisa y tiene en su poder procedimientos de notificación internos de riesgo de infracciones.
Incorporar a la cultura de la empresa las políticas de cumplimiento requiere la implementación de medidas prácticas de las que se responsabiliza el compliance officer. De éstas, una de las principales es capacitar a los empleados en las normas que les incumben y cómo hay que desarrollar el trabajo para entrar dentro de los criterios.
Profesionales con un perfil ético indudable, que se une al conocimiento de los objetivos económicos de la empresa y la industria a la que pertenece. Su remuneración varía dependiendo de la empresa y la exigencia y la especialidad que se requiera, y hay que comprender que se les paga no sólo para mantener impecable la actividad de la empresa frente a las diferentes normativas, sino para educar a toda la empresa e instituir prácticas que garanticen el nivel más alto posible de cumplimiento.
La profesión de compliance officer es relativamente nueva en nuestro país, y no siempre se está entiende como se debería, incluso están encargando estas funciones a personas que pudiesen no están capacitadas, o que no conocen bien la dimensión de su trabajo y la importancia de que lo cumplan al completo. Se trata de un perfil profesional que las empresas han de ver como una gran ventaja, incluso a nivel competitivo; ya que se trata de una persona independiente que va a monitorizar el trabajo de los demás. Avanzar por la senda del cumplimiento de todas las normas que afectan a una actividad o a una industria no hace más que mejorar el posicionamiento en el mercado y, a medio plazo, incrementar los resultados. Apostemos por esta figura, para contribuir a un ambiente de fair play también en el mundo de la empresa.
Leer Noticia original en su web
Leer más...
Fundación Inade debate sobre el control horario a los empleados 03-07-2017
Todos coincidieron en señalar que el control de horarios es la mejor forma para evitar problemas a los empresarios y mejorar la eficiencia de las empresas....
Todos coincidieron en señalar que el control de horarios es la mejor forma para evitar problemas a los empresarios y mejorar la eficiencia de las empresas.
Leer Noticia original en su web
Leer más...
'Compliance' e investigaciones internas. ¿Hacia la privatización del derecho penal? 21-06-2017
La empresa que afronta una investigación interna carece, obviamente, de potestad jurisdiccional.
La progresiva incorporación por las empresas españolas de los programas de prevención penal, a part...
La empresa que afronta una investigación interna carece, obviamente, de potestad jurisdiccional.
La progresiva incorporación por las empresas españolas de los programas de prevención penal, a partir de la ley Orgánica 1/2015 que modificó el Código Penal, da carta de naturaleza, entre otras cosas, a la puesta en funcionamiento de los llamados canales de denuncia o buzones éticos, donde cualquier empleado, o en determinados casos, un subcontratista o proveedor, puede dar cuenta, de forma anónima o confidencial, de actuaciones contrarias al Código de Conducta de la empresa y, eventualmente, de hechos delictivos, de los que tenga conocimiento.
Estas denuncias han de ser investigadas internamente, hasta reunir los elementos de prueba que permitan conocer lo ocurrido y, en su caso, tomar una decisión. Por ejemplo, si se trata de un hecho que puede acarrear responsabilidad para la empresa por fallos de control, denunciarlo o colaborar con la fiscalía, para buscar una reducción de su responsabilidad. También, claro, puede la empresa, guardar silencio.
En realidad todo el sistema de Responsabilidad Penal de las Personas Jurídicas se construye en torno a una cierta transferencia del Estado a la empresa, de la función de prevenir los delitos y, también, de investigarlos y de facilitar su castigo. En el fondo, y fundamentos doctrinales aparte, en esta transferencia subyace una razón evidente de orden práctico. Los Estados no pueden con las multinacionales en una investigación penal tradicional. Menos aún si se trata de hechos complejos y cometidos total o parcialmente en otros países.
Lo que sí pueden hacer los estados, y fácilmente, es poner a las empresas en la tesitura de prevenir los delitos y de colaborar en la investigación/sanción de los que se produzcan en ellas, bajo la amenaza de fuertes sanciones penales, fundamentalmente multas, que, además de su propia trascendencia económica, acarrean un devastador daño reputacional. Por eso el sistema las libera o atenúa su responsabilidad, si se acredita que contaban con un buen sistema de prevención penal y/o, si, una vez cometido un delito, colaboran en la búsqueda del culpable dentro de su propia organización y aportan pruebas de cargo decisivas a la Administración de Justicia.
Pero estas investigaciones internas, que tienen su origen como casi todo lo que se relaciona con el compliance, en Estados Unidos, plantean sugestivas cuestiones jurídicas, que están por resolver.
La empresa que afronta una investigación interna carece, obviamente, de potestad jurisdiccional. Cuando interroga a alguno de sus empleados, lo hace a una persona unida a ella por una relación laboral. El empleado investigado tiene la obligación (laboral) de colaborar y dar a explicaciones a su empleador sobre cualquier cuestión relacionada con el trabajo o con presuntas irregularidades en el mismo, y de facilitar cualquier dato o documento que se le solicite.
Pero, en realidad, lo que reconozca o aporte, podrá ser utilizado contra él en un posterior proceso judicial, penal. Cuando ese proceso llegue, el empleado sospechoso tendrá derecho a no declarar, ni colaborar, ni reconocer ni aportar, nada que pueda redundar en su contra. Pero a ese proceso, para entonces, podrán aportarse por la empresa las declaraciones y datos proporcionados por él mismo en la investigación.
Otra interesante cuestión es la relativa a los correos electrónicos del empleado. La Jurisprudencia Laboral de la última década, con el refrendo rotundo del Tribunal Constitucional ha terminado por autorizar ampliamente, y cada vez con menos matices, la monitorización de los correos electrónicos del empleado, en razón a las facultades de dirección y control que la relación laboral atribuye al empresario, y pese a su aparente colisión con derechos del empleado, tales como la intimidad o el secreto de las comunicaciones. Pero aún está por ver la validez que dará la Jurisdicción Penal a ese material probatorio, fruto del control empresarial, legítimo, pero obtenido sin autorización de la Jurisdicción Penal, especialmente en materia de secreto de las comunicaciones
Otra cuestión que merece reflexión es la posibilidad de que la obtención de las pruebas (por ejemplo, la extracción de un disco duro o de los correos electrónicos antes mencionados) pueda hacerse por la empresa torpemente, sin garantías que acrediten su autenticidad o que cumplan con los exigentes cánones de constitucionalidad que requiere la prueba de cargo ante la jurisdicción penal. El sistema va a premiar a la empresa que investigue y aporte pruebas nuevas y decisivas. Esto, naturalmente, parece excluir las pruebas mal obtenidas, carentes de una cadena de custodia creíble, y que, en definitiva, no puedan ser utilizadas válidamente en el juicio penal.
Muchas empresas han establecido ya reglamentos internos para estas investigaciones, intentando dotarlas de seguridad jurídica, y buscando que investigadores e investigados sepan a qué atenerse. Es un buen avance, pero los problemas jurídicos que rodean a estas investigaciones, nacen de esa difícil conversión de lo que son simples facultades de control laboral en una especie de pre-jurisdicción penal privada. Qué decir si, en vez de los empleados, han de investigarse conductas de proveedores (por ejemplo en cuestiones de corrupción privada, sobornos etc) vinculados a la empresa investigadora por una simple relación mercantil
En los próximos años, los tribunales tendrán que ir marcado el camino. Las investigaciones internas están llamadas a ser una pieza esencial en la persecución de los delitos empresariales, pero es evidente que requieren de un marco jurídico claro.
Leer Noticia original en su web
Leer más...
La flexibilidad laboral debe acompañarse de mecanismos de control 21-06-2017
La obligatoriedad del control de horarios de los trabajadores fue el tema de debate del último ?Diálogos 2020?, organizado por la Cátedra Fundación Inade-UDC y que contó con las intervenciones de Deme...
La obligatoriedad del control de horarios de los trabajadores fue el tema de debate del último ?Diálogos 2020?, organizado por la Cátedra Fundación Inade-UDC y que contó con las intervenciones de Demetrio Ángel Fernández, director territorial de Inspección de Trabajo y Seguridad Social en Galicia del Ministerio de Empleo y Seguridad Social, y Ricardo Ron, magistrado de la Sala de lo Social del Tribunal Superior de Justicia de Galicia.
Redacción, 7 junio 2017
El primero destacó que, aunque las empresas necesitan flexibilidad para la organización de la jornada laboral, ?esta debe acompañarse de mecanismos de control ya que, en caso contrario la flexibilidad se convierte en arbitrariedad?. Recomendó a las empresas que continúen llevando el registro de la jornada laboral, entre otros motivos, porque ?ese registro le puede servir a la propia empresa para acreditar, ante la inspección o los tribunales, las horas realmente trabajadas por sus empleados, ante eventuales demandas excesivas provenientes de miembros de la plantilla?, expuso.
Pese a la reciente sentencia del Tribunal Supremo que determina los criterios para la no obligatoriedad del registro de la jornada de los trabajadores, también Ron aconsejó a llevarlo cabo esta medida.
Acceda gratis durante 30 días.
Leer Noticia original en su web
Leer más...
El Colegio de Oviedo impartirá el título Experto en Compliance Penal Corporativo 19-06-2017
Se impartirá bajo la modalidad semipresencial entre enero y mayo del próximo año....
Leer más...
El Compliance como sistema para mejorar la imagen de calidad de la empresa 19-06-2017
En el acto de inauguración de la Jornada, el presidente del Grupo CEF.- UDIMA, Roque de las Heras, valoró del Compliance su capacidad de aglutinar conceptos tan determinantes para la buena imagen de u...
En el acto de inauguración de la Jornada, el presidente del Grupo CEF.- UDIMA, Roque de las Heras, valoró del Compliance su capacidad de aglutinar conceptos tan determinantes para la buena imagen de una empresa como la calidad, la responsabilidad social corporativa o la prevención de acciones delictivas.
Por su parte, la directora general de la Entidad Nacional de Acreditación (ENAC), Beatriz Rivera, reconoció, pero en sentido positivo, que la puesta en marcha del Compliance como nuevo sistema de gestión supone ?un reto para todos?, para la empresa que lo implanta y para el organismo que velará por su cumplimiento, con el fin último de que esta norma ?represente el máximo nivel de confianza a la sociedad?.
La Norma UNE 19601
La presidenta de la Asociación Española de Compliance (ASCOM), Sylvia Enseñat, que ejerció de primera ponente de la Jornada, detalló el proceso de debate, redacción y aprobación de la normativa sobre Compliance en el ámbito nacional. Una norma que, destacó, ?nace del consenso? de las partes implicadas, que es lo que, a su juicio, ?le da verdadero valor? y lo que ha permitido que al final sea una norma ?completa y adecuada?.
Carlos Saiz, socio director de Risk & Compliance ECIX GROUP y presidente de CUMPLEN, subrayó que la Norma UNE 19601 ?dota de seguridad jurídica a muchas empresas?, así como a aquellas que trabajen con otras tantas, bien nacionales, bien extranjeras: ?Muchas empresas que trabajan con otras empresas?, afirmó, ?valorarán que estén acreditadas en la norma, en particular si son de otros países?. Al respecto, incidió en que trabajar con proveedores certificados en Compliance será, además, una garantía para la compañía base.
Saiz defendió la norma especialmente porque con su desarrollo ?se genera una cultura democrática? en el seno de cada empresa; además, agregó, disponer de este mecanismo permitirá prevenir eventuales irregularidades ?y aunque luego tengamos algún tipo de fallo técnico en su aplicación?, lo relevante de todo el proceso es que ?se crea esta cultura democrática de Compliance?, que, remachó, ?es fundamental que siempre se aplique tanto arriba como abajo?.
Los requerimientos del Sistema Compliance
Por su parte, Francisco Bonatti, abogado y consultor, y socio director de la Red Bonatti Compliance, significó que el órgano competente de velar por el cumplimiento de la norma en la empresa siempre deba disponer de los medios adecuados para operar. En este contexto advirtió que debe garantizarse la independencia y la eficacia de quien ha de velar por el buen funcionamiento de la empresa, de modo que el Compliance ?no sea solo ?maquillaje ante las autoridades, sino que el órgano de gobierno ejecute y garantice que todo funcione?.
Junto a eso, remarcó Bonatti, el órgano de gobierno ?debe velar y asumir el rol de tranquilidad de que las personas que integran la empresa no tengan miedo a denunciar por temor a una represalia?. La compañía debe abanderar el desarrollo de una norma en la que ?ha de creer?, pues, en caso contrario, el sistema de Compliance no funcionará nunca?.
En un ámbito más técnico, para el abogado y consultor Alain Casanovas, responsable de los servicios de Compliance de KPMG, el diseño de un sistema de Compliance no es el problema principal, ?sino la dedicación y la planificación?. ?Compliance?, dijo, ?es una función que debe tener una gran visibilidad e interactuar con otras funciones?, razón por la que debe evitarse a toda costa que nadie en la empresa ?termine por preguntarse qué es y qué hacen los de Compliance?.
Leer Noticia original en su web
Leer más...
La AEPD testa con varias organizaciones un cuestionario para que las pymes se adapten al Reglamento Europeo 15-06-2017
La Agencia Española de Protección de Datos (AEPD) ha presentado una herramienta de ayuda que está preparando y que está orientada a empresas y profesionales que realicen tratamientos de datos personal...
La Agencia Española de Protección de Datos (AEPD) ha presentado una herramienta de ayuda que está preparando y que está orientada a empresas y profesionales que realicen tratamientos de datos personales de escaso riesgo, de cara al cumplimiento del Reglamento Europeo de Protección de Datos que será aplicable el 25 de mayo de 2018.
Leer Noticia original en su web
Leer más...