Agencia Española de Proteccion de Datos:¿Y si denuncio a mi jefe?
Agencia Española de Proteccion de Datos:¿Y si denuncio a mi jefe?
Los mecanismos de control dentro de las empresas abren el debate sobre la legalidad de los chivatazos anónimos
Desde hace seis años las empresas son responsables penales. Es decir, pueden ser condenadas por cometer delitos y no sólo multadas en la jurisdicción civil. En fin, que asumen más riesgos en el desarrollo de su actividad. Y para cubrirse las espaldas, especialmente aquellas de una dimensión considerable, están implantando sistemas de prevención, procedimientos internos que velan por que tanto los directivos como los empleados y cualquier agente implicado en la actividad empresarial se manejen de acuerdo a la legalidad vigente. Como siempre, para definir esos sistemas de control se ha adoptado el término anglosajón: ‘compliance’.
Las herramientas son varias y van desde protocolos de actuación hasta sistemas informáticos. Pero el mecanismo de detección fundamental es el clásico, el de siempre, el chivatazo. ‘Whistleblowing’ es el término inglés que define esta técnica. Así que la regulación en este sentido es fundamental. Y tras varios años de desarrollo regulatorio llegamos a un punto determinante: ¿puede ser anónima la denuncia interna? El debate está abierto en entornos jurídicos y desde las fiscalías no parece ofrecer dudas que debería haber posibilidad de iniciar actuaciones internas en la empresa a instancias de una denuncia anónima. De hecho, se acepta esta posibilidad en distintos ámbitos como el tributario y el penal. El problema es que alguna resolución de la Agencia Española de Protección de Datos (AEPD), siempre tan garantista, se pronuncia en contra de esta posibilidad y apunta que la denuncia únicamente debe ser confidencial. Algo bastante difícil en muchas empresas. Porque, ¿quién va a atreverse a chivarse de los manejos innobles de su jefe encabezando una instancia con su nombre y apellido por mucha promesa de confidencialidad que le ofrezca su compañía?
Este es uno de los últimos capítulos de un proceso que se inició en 2010 y sobre el que se ha celebrado una jornada en Alumni Deusto con el título ‘Prevención penal y gestión de riesgos: implantación práctica del control interno en la empresa’. Participó Carmen Adán, fiscal jefe de Bizkaia, y Alejandro Bergaz, socio de Albacus y experto en ‘compliance’. El inicio de toda esta historia se remonta a 2010. Hasta entonces, sólo las personas físicas podían ser condenadas por delitos penales. Así que, a menudo, cuando una empresa cometía un delito, éste quedaba penalmente impune porque era imposible probar quién había tomado la concreta decisión en un océano de departamentos, áreas de gestión y cargos intermedios. Si acaso, la persona jurídica podía ser condenada por la jurisdicción civil a pagar una multa, y hasta ahí llegaba su responsabilidad.
Capacidad para delinquir
Para evitar eso, poner la legislación española en línea con los sistemas más avanzados y dar responsabilidad penal a unas empresas que ya habían probado su capacidad para delinquir, la ley orgánica 5/2010 reformó el Código Penal. Un cambio radical porque si una compañía es condenada como autora de un delito puede no sólo recibir una cuantiosa multa, sino ser obligada a disolverse, ver cerrados sus locales, quedar bajo la batuta de un interventor judicial...
Luego, el año pasado, llegó la ley orgánica 1/2015 para pulir algunas cuestiones. Entre otras, establece que las empresas pueden eludir su responsabilidad penal si tienen programas de control eficaces: códigos de conducta, canales de denuncia adecuados... No se trata de una mera cuestión formal, sino que deben ser mecanismos específicos, «eficaces» e «idóneos» para prevenir delitos. En fin, que un email enviado a toda la plantilla diciendo que debe portarse bien no sirve para eludir una posible responsabilidad penal.
Este escenario, en primer lugar, abre la puerta al negocio de las consultoras que ejecutan planes de control individualizados para las empresas que quieren prevenir delitos en su seno, o evitar cargar con responsabilidades en caso de que se cometan...LEER NOTICIA COMPLETA.
DATAX participa en el IV Congreso Nacional de Privacidad organizado por la APEP
Bajo el título Internet de las cosas. Beneficios y Privacidad.
INTERNET DE LAS COSAS: PROTECCION DE DATOS
Un difícil equilibrio, Esther Noda, abogada y socia fundadora de Datax, realizó una exposición el pasado 20 de mayo en la mesa de experiencias de los asociados del IV Congreso Nacional de Privacidad. La ponencia de Noda constituyó una reflexión sobre las implicaciones de la progresiva digitalización del mundo físico, los dilemas éticos que representan el tratamiento masivo de datos y la necesidad de equilibrar los beneficios de la revolución tecnológica con el derecho fundamental de la privacidad.
El congreso, organizado por la Asociación Española de Privacidad (APEP), es un evento de primer orden y cita ineludible en el sector, cuyo principal objetivo es abordar los retos técnicos y jurídicos en materia de Privacidad y Protección de Datos.
Con un aforo completo de expertos, el congreso contó con una gran presencia institucional: la participación de la Comisión Europea y los máximos responsables tanto de la Agencia Española de Protección de Datos (AEPD) como autoridades autonómicas. Se abordaron los distintos desafíos en nuestro sector, siendo el protagonista principal la aplicación del Reglamento Europeo de Protección de Datos, aprobado definitivamente el pasado 14 de abril por parte del Parlamento Europeo para uniformizar el marco normativo en Europa y dar respuesta a la nueva era digital.
Desde Datax agradecen la excelente organización, la calidad de los ponentes y la participación masiva del sector así como felicitan a la nueva junta directiva de la APEP, que preside la Sra. Cecilia Álvarez, de cuyo mensaje se hacen eco: “Los DPO y otros expertos debemos ayudar a crear valor en las empresas desde la privacidad como elemento competitivo. La nueva norma es muy compleja y las empresas tienen que ponerse ya a trabajar para adaptarse al nuevo reglamento con un experto en privacidad de la mano”.
En DATAX seguirán afrontando nuevos retos...LEER NOTICIA COMPLETA
El nuevo delegado de protección de datos, clave para garantizar privacidad.
El nuevo delegado de protección de datos, clave para garantizar privacidad
La figura del delegado de Protección de Datos (DPO), incorporada en el nuevo reglamento de la UE sobre esta materia, será pieza clave para garantizar la confidencialidad en el trato de datos personales por parte de las empresas, ha asegurado a Efefuturo el catedrático José Luis Piñar.
La normativa, que entrará en vigor este miércoles -aunque los Estados miembros tendrán hasta dos años para aplicarla-, se considera un gran avance en el compromiso europeo hacia la protección de la privacidad ciudadana, especialmente porque involucra a todos los países de la Unión, ha añadido el ex director de la Agencia Española de Protección de Datos (AEPD).
La figura del DPO, cuya presencia será obligatoria en todas las Administraciones Públicas y en ciertas empresas privadas según el volumen de información personal que traten, es sólo uno de los muchos criterios que establece.
En concreto, este delegado velará por que se cumpla la normativa de protección de datos en las organizaciones y tendría estrecha relación con las autoridades de Protección de Datos, continúa Piñar, quien además es titular de la Cátedra Google-CEU de Privacidad, Sociedad e Innovación, y director del Máster en Protección de Datos de la Universidad CEU San Pablo.
Este jurista, que ha sido miembro del Comité internacional de expertos que ha asesorado a Google en la aplicación del "derecho al olvido" tras la sentencia europea favorable al mismo, añade que su implantación podría generar más de 50.000 empleos en Europa, según ciertos estudios; de ellos, unos 2.000 en España.
En términos generales, continúa, el reglamento de Protección de Datos de la UE favorecerá al ciudadano no sólo al potenciar la prevención en el trato de datos personales sino al reconocer expresamente derechos como el del olvido e incluir otros como la portabilidad de datos, que se suman a los famosos derechos ARCO (acceso, rectificación, cancelación y oposición).
Aunque algunos criterios sobre protección de datos estaban ya previamente establecidos con directivas o leyes sectoriales y sentencias de tribunales, el reglamento los recoge específicamente.
Piñar ha recordado que uno de los aspectos más controvertidos para la aprobación de esta norma ha sido la ampliación del llamado "ámbito territorial".
Eso significa que la normativa se aplicará no sólo a las empresas asentadas en Europa, sino también a las que tratan datos de ciudadanos europeos desde fuera...LEER NOTICIA COMPLETA.
Permite la eliminación o bloqueo de algunas informaciones
El Parlamento Europeo aprueba una normativa para proteger la ‘imagen digital’ de los médicos
El Parlamento Europeo aprueba una normativa para proteger la ‘imagen digital’ de los médicos
El Parlamento Europeo ha aprobado el Reglamento General de Protección de Datos, que servirá para actualizar la normativa europea existente respecto a la imagen del médico en Internet, que a veces puede verse dañada por antiguas publicaciones que afectan de manera directa a su reputación y suponen una carga de desprestigio.
La llegada de la “era Internet” provocó que el Tribunal de Justicia de la Unión Europea tuviera que adaptar algunas de sus normativas; en este caso, el Reglamento General de Protección de Datos, que databa de 1995. Hasta el momento era frecuente que los facultativos sufrieran la llamada “pena de banquillo”, en la que se ven sometidos a un juicio en el que, ganen o no, salen perdiendo puesto que se pone en duda su labor y su trayectoria queda en entredicho a pesar de salir absueltos en los juzgados. Ahora, con esta actualización, puede pedirse la eliminación o el bloqueo de algunas informaciones que por el paso del tiempo pierden interés.
El socio-director del Área de Nuevas Tecnologías de De Lorenzo Abogados, Ricardo De Lorenzo Aparici, señala que el punto de inflexión del “derecho al olvido” fue en 2014. Entonces, el abogado español Mario Costeja denunció al buscador Google por publicar información desfasada sobre él, que remitía a dos páginas del diario La Vanguardia del año 1998, en las que aparecía la información de un anuncio de una subasta de inmuebles por deudas a la Seguridad Social, que el demandante había resuelto hace años.
En este punto, la pretensión de Costeja pasaba por tratar de que esta información no apareciera más en los motores de búsqueda, pero el buscador seguía tratando información que no era adecuada ni pertinente sobre su persona, según el abogado. En ese momento arrancó una batalla legal, que derivó en el pronunciamiento de la justicia europea contra Google, confirmando así la resolución previa de la Agencia Española de Protección de Datos, que ya le había dado la razón.
Ricardo De Lorenzo Aparici reconoce que hasta ese momento este procedimiento estaba “muy verde”.
Además, “está habiendo una divergencia de criterios por parte de los tribunales que dificultan estos trámites”, incide.
Sin embargo, en abril el Parlamento Europeo aprobó el Reglamento General de Protección de Datos, que servirá para actualizar la normativa europea existente, y que clarifica situaciones como la de Costeja....LEER NOTICIA COMPLETA.
Protección de Datos abre una investigación por la filtración sobre los mossos
Protección de Datos abre una investigación por la filtración sobre los mossos
La agencia estatal tiene competencias porque el ataque ha sido a un sindicato
La Agencia Española de Protección de Datos (AEPD) ha abierto "actuaciones previas de investigación" por la filtración de datos personales de agentes de los Mossos d'Esquadra tras el ataque informático a la web del Sindicat de Mossos d'Esquadra (AME).
La entidad pública estatal es quien tiene competencias por tratarse de la web de un sindicato, ya que su homólogo autonómico, la Autoritat Catalana de Protecció de Dades, solo tiene competencias sobre el tratamiento de datos que realizan los organismos de la Generalitat, según explicaron varios juristas a este diario.
La AEPD investigará de oficio "el acceso indebido a ficheros que son responsabilidad del Sindicat de Mossos d'Esquadra y su posterior difusión en internet", según explicó un portavoz. La filtración incluye número de agente, nombre y apeliidos, domicilio personal, teléfonos y cuenta bancaria de más de 5.600 policías que han tenido relación con el sindicato desde la creación de la web.
Si la investigación oficial concluyera que hubo negligencia en la custodia del fichero, que estaba correctamente registrado en la AEPD como exige la legislación española, podría imponerle multas de hasta 60.000 euros, como ya apuntó el pasado miércoles el 'conseller' de Interior Jordi Jané, aludiendo al límite previsto para una sanción leve. La máxima sanción que puede imponer la agencia llega, sin embargo, a los 600.000 euros, cuando el infractor se hubiera negado repetidamente a resolver el fallo. La página atacada dejó de estar operativa pocas horas después del ataque informático, que se produjo de madrugada.
DATOS DE ESPECIAL PROTECCIÓN
La cuantía de las sanciones que impone la agencia española tienen en cuenta tanto el daño causado como las circunstancias en las que se produce la filtración, pero también diversos atenuantes en la consideración de la gravedad del caso. Los datos de afiliación sindical están considerados, por sí mismos, de especial protección.
Los supuestos autores del ataque informático han divulgado este jueves un vídeo en varias redes sociales con todos los pasos que siguieron para infiltrarse en el servidor de la web atacada...LEER NOTICIA COMPLETA.