Protección de datos – Seguridad de la Información
Cumplimiento normativo
-
Novedades sobre la Autoridad Independiente de protección al Informante.
-
¿Quién debe probar la eficacia de los sistemas de compliance?
-
Absolución de la periodista de Huelva condenada por revelación de secretos.
Normativa al día
Charlas, eventos y novedades
-
Los próximos días 23 y 26 de septiembre, nuestro compañero Álvaro Abáigar Domínguez intervendrá en el programa de aceleración e incubación en materia de ciberseguridad de CEIN, realizada en colaboración con INCIBE – Instituto Nacional de Ciberseguridad y el Navarra Cybersecurity Center. En concreto, abordará mediante dos sesiones formativas el marco normativo en materia de ciberseguridad, los Sistemas de Gestión de Seguridad de la Información, y cómo abordar un proyecto de certificación bajo la ISO 27001.
-
El próximo 28 de noviembre, Jorge Arellano, Asociado y Responsable del Área de Cumplimiento Normativo de ARPA Abogados Consultores, dirigirá el taller sobre Gobierno Corporativo Compliance Entendiendo y trabajando el pilar buen gobierno y compliance de la sostenibilidad a través del juego de mesa RSE Gob en el Club de Marketing y con el apoyo del Servicio Navarro de Empleo – Nafar Lansare.
PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN
AEPD: Orientaciones sobre el uso de dispositivos móviles en los centros educativos e informe patrones adictivos en el tratamiento de datos personales.
La Agencia Española de Protección de Datos (AEPD) ha dado a conocer unas orientaciones sobre las obligaciones y responsabilidades por el uso de dispositivos móviles en los centros educativos que abarca la enseñanza infantil, primaria y secundaria. Aborda el análisis de diferentes situaciones, como la prohibición del terminal en el centro o limitación de uso del mismo a requerimiento del centro así como los flujos de comunicación que se puedan dar entre el personal docente y el alumnado mediante este tipo de dispositivos, recordando la necesidad que “los tratamientos de datos personales con fines educativos que se basen en la utilización de dispositivos y medios digitales han de superar positivamente el juicio de idoneidad, necesidad y proporcionalidad” concluyendo que “desaconsejan el uso de teléfonos y demás dispositivos digitales móviles en los centros educativos, cuando se disponga de otros recursos que sean más idóneos para conseguir el fin pedagógico pretendido sin poner en riesgo la privacidad”
También relevante es el informe que analiza cómo los tratamientos de los datos personales de los usuarios en numerosas plataformas, aplicaciones y servicios incluyen patrones adictivos para aumentar su tiempo de conexión. El Comité Europeo de Protección de Datos (CEPD) ya ha abordado estos temas en sus directrices sobre patrones de diseño engañosos en redes sociales, y la AEPD ha revisado la evidencia científica sobre el uso de estos patrones en diferentes plataformas y servicios. El Reglamento de Servicios Digitales (DSA), en su artículo 25, prohíbe el diseño y gestión de interfaces que engañen o manipulen a los usuarios.
El informe clasifica los patrones adictivos en tres niveles: alto, medio y bajo. Los patrones de alto nivel son estrategias generales como la acción forzada y la ingeniería social; los de nivel medio explotan vulnerabilidades psicológicas específicas; y los de bajo nivel son ejecuciones específicas contextualizadas. La incorporación de estos patrones plantea importantes desafíos para la protección de datos, incluyendo la responsabilidad proactiva, la transparencia y la minimización de datos. Además, implica riesgos para los derechos y libertades de los usuarios, especialmente para la integridad física y psíquica de menores. En relación con los patrones adictivos, la Comisión Europea tiene abiertos dos procedimientos sancionadores por posible incumplimiento de la citada DSA, contra TikTok y Meta.
Volver al índice
Acceso al correo electrónico de un trabajador
El objeto de la resolución de la AEPD se centra en determinar si el acceso de la empresa al correo corporativo del reclamante es una infracción de la normativa de protección de datos personales.
En el caso objeto de la resolución se analiza si resulta conforme que un superior directo acceda al correo electrónico de un empleado bajo su supervisión, que se encontraba de huelga, teniendo como finalidad dicho acceso el garantizar la continuidad de la actividad comercial. Dicho empleado estaba informado del carácter corporativo del correo electrónico y de la posibilidad de acceso que se reservaba el empresario.
Atendiendo a las mencionadas circunstancias y sin entrar en la licitud, desde el punto de vista laboral, del mencionado acceso, la AEPD entiende que “la empresa reclamada tenía legitimación suficiente (base de licitud) para acceder a la cuenta corporativa del reclamante, sin que se conste una intromisión en la privacidad del reclamante, toda vez que la remisión de estos 3 correos electrónicos se realizó desde un correo corporativo y no personal del empleado, en ejercicio de un interés legítimo de la empresa para continuar su actividad comercial, sin que fuera posible acudir a otro medio menos intrusivo, en ausencia de los 4 trabajadores que podían remitir dicho correo electrónico; y habiéndose cumplido con las garantías previstas en el artículo 87 de la LOPDGDD, dado que el trabajador había sido informado de la posibilidad de utilización de su cuenta de correo corporativo por otros responsables de la empresa, puesto que tal mención consta en la política de seguridad del personal de la empresa”.
Recuerda, no obstante, la AEPD la importancia realizar previamente al acceso, una adecuada ponderación entre la intimidad del trabajador y la facultad de vigilancia y control del cumplimiento de sus obligaciones laborales por la empresa.
Volver al índice
CUMPLIMIENTO NORMATIVO
Novedades sobre la Autoridad Independiente de protección al Informante
El pasado 17 de septiembre el Consejo de Ministros ha anunciado (dentro del Plan de Acción para la Democracia), la creación de la Autoridad Independiente de Protección al Informante (AIPI), entidad con facultades de supervisión y sanción de los incumplimientos de la Ley 2/2023 de 20 de febrero. Tras más de año y medio de la entrada en vigor de la Ley, parece que la creación de la AIPI -previsiblemente a través de Real Decreto- se producirá dentro del último trimestre del año.
Volver al índice
¿Quién debe probar la eficacia de los sistemas de compliance?
La responsabilidad penal de las personas jurídicas ha sido objeto de intenso debate en la última década, centrado principalmente en la atribución de responsabilidad o carga probatoria en la eficacia de los sistemas de compliance. Existen dos modelos en discusión: el de autorresponsabilidad y el de hetero responsabilidad.
El Tribunal Supremo (sirva de ejemplo STS 668/2017, de 11 de octubre) y diversas Audiencias Provinciales (AP) optaron desde un principio por un sistema de autorresponsabilidad. En base a este modelo, la acusación debe probar la ineficacia de los sistemas de compliance, ya que la falta de implementación de estos sistemas es parte esencial del tipo penal. La carga de probar que un delito se debió a fallos en los mecanismos de prevención recae en la acusación, mientras que la empresa puede demostrar que su sistema cumple con los requisitos del artículo 31 bis del Código Penal. Por tanto, si la defensa no realiza ningún esfuerzo por demostrar la existencia de los sistemas de cumplimiento, habrá que entender que dichos sistemas no existen.
El Código Penal contempla la posible responsabilidad penal de las empresas y así como la previsión de su protección a través de los sistemas de Compliance Penal. Más aún a la luz de los nuevos pronunciamientos judiciales, parece que no bastará con desplegar dichos sistemas, sino que las defensas acreditarán en el procedimiento penal la existencia de los programas de cumplimiento penal y que estos son eficaces y cuentan con medidas de prevención (aunque puedan fallar) sobre los delitos imputados.
Así, tanto la AN en su auto de fecha 4 de marzo 2024 (recurso 42/2017) como la sentencia del Tribunal Supremo 298/2024, 8 de abril, coinciden en que no se ha de presumir que todas las personas jurídicas cuentan con un programa de cumplimiento; sino que éstas deben de aportarlo y demostrar su eficacia. De esta manera, se les concede la posibilidad de acreditar que, pese a la comisión del delito, su programa era eficaz y cumplía los estándares exigidos legalmente.
En conclusión, se destaca una clara tendencia hacia la no aceptación de contar solamente con un Sistema de Compliance sino que las empresas habrán de implementar las medidas necesarias de prevención, así como probar su eficacia ante el juez como haber dado publicidad al sistema, disponer de actas de aprobación e implementación, haber realizado actividades de formación a los trabajadores, etc.
Volver al índice
Absolución de la periodista de Huelva condenada por revelación de secretos
El Tribunal Superior de Justicia de Andalucía (TSJA) absolvió a la periodista del diario Huelva Información, condenada a dos años de prisión por la Audiencia de Huelva por un supuesto delito de revelación de secretos.
La condena se basaba en la publicación de informaciones recopiladas del sumario del caso del brutal asesinato de Laura Luelmo en El Campillo. La Audiencia sostuvo que la periodista, dada su profesión, debía conocer que los datos sumariales son de naturaleza reservada, salvo para las partes intervinientes, por lo que necesariamente tuvo que ser consciente de su procedencia ilegítima.
Sin embargo, la Sala del TSJA argumentó que una cosa es que la periodista conociera la naturaleza reservada de los datos y otra muy diferente es que supiera de la ilicitud en su obtención. Esta distinción no se logró demostrar de manera concluyente en el caso: no se indica la procedencia u origen de la información publicada, tampoco se expresa que la acusada fuera consciente del posible origen ilícito y no se declara que la persona que se apoderó de la información reservada hubiese actuado en perjuicio del titular de los datos o de un tercero.
Volver al índice
NORMATIVA AL DÍA
El próximo día 17 de octubre finaliza el plazo de transposición de la Directiva NIS2 (DIRECTIVA (UE) 2022/2555 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión). Al efecto indicar que, de un lado, el INCIBE ha elaborado varios materiales de consulta sobre la materia mientras que el Centro Criptológico Nacional ha habilitado un servicio para ayudar a las entidades a cumplir con las medidas técnicas, operativas y de organización de la NIS2.
Volver al índice
Entrada en vigor de la Ley de IA de la UE
A partir del 1 de agosto entró en vigor en la Unión Europea la Ley de Inteligencia Artificial (IA), la primera del mundo para regular sistemas que permiten actuar de manera más precisa y eficiente a los humanos en muchos ámbitos e impulsar la innovación, planteando a la vez importantes riesgos que el nuevo marco común trata de evitar. Dicha Ley se resume en los siguientes puntos fundamentales: clasificación de la IA en función de su riesgo (llegando a prohibir los llamados riesgos inaceptables); obligaciones de los proveedores (y algunos usuarios o implantadores) de sistemas de IA de alto riesgo; y los modelos y sistemas de IA de propósito general (GPAI).
Será plenamente aplicable 24 meses después de su entrada en vigor, siguiendo la siguiente cronología de plazos de aplicación: (i) 6 meses (febrero 2025) para los sistemas de IA prohibidos; (ii) 12 meses (agosto 2025) para GPAI; (iii) 24 meses (agosto 2026) aplicación del resto de la Ley con excepción del artículo 6(1) y obligaciones correspondientes (una de las categorías de IA de alto riesgo); y (iv) 36 meses (agosto 2027) aplicación del artículo 6(1) y obligaciones correspondientes.
Volver al índice