Facebook-f X-twitter Linkedin Instagram Rss
Buscar
Cerrar este cuadro de búsqueda.
Buscar
Cerrar este cuadro de búsqueda.

Entradas de la etiqueta: #Autoridad Independiente de Protección al Informante.

Notificación del Responsable del RSII ante la AIPI: claves prácticas

Publicado el 10-02-2026

La Autoridad Independiente de Protección al Informante (AIPI) ha publicado recientemente el formulario oficial para la notificación del nombramiento o cese del Responsable del Sistema Interno de Información (RSII), una obligación relevante en el marco de la normativa sobre protección de las personas informantes.

Plazo para realizar la notificación

El plazo establecido por la propia Autoridad es de dos meses, finalizando el 10 de abril de 2026. El cumplimiento en tiempo y forma de esta obligación resulta esencial para evitar incidencias administrativas y garantizar la correcta implantación del Sistema Interno de Información.

 
Aspectos clave para la correcta cumplimentación del formulario

Para realizar el trámite de forma adecuada, la AIPI señala una serie de requisitos y cuestiones prácticas que conviene tener en cuenta:

  • Es imprescindible disponer de certificado digital y tener instalada la aplicación Autofirma.

  • Cuando se actúe en nombre de un tercero, deberá acreditarse debidamente la representación.

  • Será necesario adjuntar el documento de nombramiento o cese del RSII, en formato PDF y con un tamaño máximo de 2 MB.

  • En el caso de grupos de empresas, la notificación deberá realizarse individualmente por cada sociedad (NIF), incluso aunque exista un único Responsable del Sistema Interno de Información para todo el grupo.

  • Deberán indicarse las URLs requeridas, incluida la correspondiente al canal interno de información. Si la entidad no dispone de página web corporativa, deberá consignarse la mención “Sin url”.

 

 
Advertencia relevante

Es importante destacar que la solicitud presentada no puede modificarse ni eliminarse. En caso de error en la cumplimentación, será necesario presentar una nueva solicitud, con las consecuencias prácticas que ello puede implicar.

 

Documentación de apoyo

Como complemento al formulario, la AIPI ha publicado un Manual de uso , una guía sobre la notificación del RSII y un documento de Preguntas Frecuentes, que resultan de gran utilidad para resolver dudas durante el proceso de notificación.

 

Asesoramiento legal especializado

Desde ARPA Abogados Consultores ponemos a disposición de nuestros clientes nuestro equipo especializado para acompañarles en el cumplimiento de esta obligación, así como en la correcta implantación, revisión y gestión del Sistema Interno de Información, garantizando su adecuación a la normativa vigente y a las particularidades de cada organización.

 

Publicado en Cumplimiento Normativo, Sede-Madrid, Sede-Pamplona, Sede-San Sebastián, Sede-Valladolid | Etiquetado como , , , , , Comentarios desactivados en Notificación del Responsable del RSII ante la AIPI: claves prácticas

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 7 – 2024

Publicado el 20-09-2024
Protección de datos – Seguridad de la Información

 

Cumplimiento normativo

 

Normativa al día

 

Charlas, eventos y novedades

 

 

 

PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN

 

AEPD: Orientaciones sobre el uso de dispositivos móviles en los centros educativos e informe patrones adictivos en el tratamiento de datos personales.

La Agencia Española de Protección de Datos (AEPD) ha dado a conocer unas orientaciones sobre las obligaciones y responsabilidades por el uso de dispositivos móviles en los centros educativos que abarca la enseñanza infantil, primaria y secundaria. Aborda el análisis de diferentes situaciones, como la prohibición del terminal en el centro o limitación de uso del mismo a requerimiento del centro así como los flujos de comunicación que se puedan dar entre el personal docente y el alumnado mediante este tipo de dispositivos, recordando la necesidad que “los tratamientos de datos personales con fines educativos que se basen en la utilización de dispositivos y medios digitales han de superar positivamente el juicio de idoneidad, necesidad y proporcionalidad” concluyendo que “desaconsejan el uso de teléfonos y demás dispositivos digitales móviles en los centros educativos, cuando se disponga de otros recursos que sean más idóneos para conseguir el fin pedagógico pretendido sin poner en riesgo la privacidad” 

También relevante es el informe que analiza cómo los tratamientos de los datos personales de los usuarios en numerosas plataformas, aplicaciones y servicios incluyen patrones adictivos para aumentar su tiempo de conexión. El Comité Europeo de Protección de Datos (CEPD) ya ha abordado estos temas en sus directrices sobre patrones de diseño engañosos en redes sociales, y la AEPD ha revisado la evidencia científica sobre el uso de estos patrones en diferentes plataformas y servicios. El Reglamento de Servicios Digitales (DSA), en su artículo 25, prohíbe el diseño y gestión de interfaces que engañen o manipulen a los usuarios. 

El informe clasifica los patrones adictivos en tres niveles: alto, medio y bajo. Los patrones de alto nivel son estrategias generales como la acción forzada y la ingeniería social; los de nivel medio explotan vulnerabilidades psicológicas específicas; y los de bajo nivel son ejecuciones específicas contextualizadas. La incorporación de estos patrones plantea importantes desafíos para la protección de datos, incluyendo la responsabilidad proactiva, la transparencia y la minimización de datos. Además, implica riesgos para los derechos y libertades de los usuarios, especialmente para la integridad física y psíquica de menores. En relación con los patrones adictivos, la Comisión Europea tiene abiertos dos procedimientos sancionadores por posible incumplimiento de la citada DSA, contra TikTok y Meta. 

 

Volver al índice

 

 

Acceso al correo electrónico de un trabajador 

El objeto de la resolución de la AEPD se centra en determinar si el acceso de la empresa al correo corporativo del reclamante es una infracción de la normativa de protección de datos personales. 

En el caso objeto de la resolución se analiza si resulta conforme que un superior directo acceda al correo electrónico de un empleado bajo su supervisión, que se encontraba de huelga, teniendo como finalidad dicho acceso el garantizar la continuidad de la actividad comercial. Dicho empleado estaba informado del carácter corporativo del correo electrónico y de la posibilidad de acceso que se reservaba el empresario.  

Atendiendo a las mencionadas circunstancias y sin entrar en la licitud, desde el punto de vista laboral, del mencionado acceso, la AEPD entiende que “la empresa reclamada tenía legitimación suficiente (base de licitud) para acceder a la cuenta corporativa del reclamante, sin que se conste una intromisión en la privacidad del reclamante, toda vez que la remisión de estos 3 correos electrónicos se realizó desde un correo corporativo y no personal del empleado, en ejercicio de un interés legítimo de la empresa para continuar su actividad comercial, sin que fuera posible acudir a otro medio menos intrusivo, en ausencia de los 4 trabajadores que podían remitir dicho correo electrónico; y habiéndose cumplido con las garantías previstas en el artículo 87 de la LOPDGDD, dado que el trabajador había sido informado de la posibilidad de utilización de su cuenta de correo corporativo por otros responsables de la empresa, puesto que tal mención consta en la política de seguridad del personal de la empresa”.

Recuerda, no obstante, la AEPD la importancia realizar previamente al acceso, una adecuada ponderación entre la intimidad del trabajador y la facultad de vigilancia y control del cumplimiento de sus obligaciones laborales por la empresa.  

 

Volver al índice

 

CUMPLIMIENTO NORMATIVO

 

Novedades sobre la Autoridad Independiente de protección al Informante 

El pasado 17 de septiembre el Consejo de Ministros ha anunciado (dentro del Plan de Acción para la Democracia), la creación de la Autoridad Independiente de Protección al Informante (AIPI), entidad con facultades de supervisión y sanción de los incumplimientos de la Ley 2/2023 de 20 de febrero. Tras más de año y medio de la entrada en vigor de la Ley, parece que la creación de la AIPI -previsiblemente a través de Real Decreto- se producirá dentro del último trimestre del año. 

 

Volver al índice

 

¿Quién debe probar la eficacia de los sistemas de compliance? 

La responsabilidad penal de las personas jurídicas ha sido objeto de intenso debate en la última década, centrado principalmente en la atribución de responsabilidad o carga probatoria en la eficacia de los sistemas de compliance. Existen dos modelos en discusión: el de autorresponsabilidad y el de hetero responsabilidad. 

El Tribunal Supremo (sirva de ejemplo STS 668/2017, de 11 de octubre) y diversas Audiencias Provinciales (AP) optaron desde un principio por un sistema de autorresponsabilidad. En base a este modelo, la acusación debe probar la ineficacia de los sistemas de compliance, ya que la falta de implementación de estos sistemas es parte esencial del tipo penal. La carga de probar que un delito se debió a fallos en los mecanismos de prevención recae en la acusación, mientras que la empresa puede demostrar que su sistema cumple con los requisitos del artículo 31 bis del Código Penal. Por tanto, si la defensa no realiza ningún esfuerzo por demostrar la existencia de los sistemas de cumplimiento, habrá que entender que dichos sistemas no existen. 

El Código Penal contempla la posible responsabilidad penal de las empresas y así como la previsión de su protección a través de los sistemas de Compliance Penal. Más aún a la luz de los nuevos pronunciamientos judiciales, parece que no bastará con desplegar dichos sistemas, sino que las defensas acreditarán en el procedimiento penal la existencia de los programas de cumplimiento penal y que estos son eficaces y cuentan con medidas de prevención (aunque puedan fallar) sobre los delitos imputados. 

Así, tanto la AN en su auto de fecha 4 de marzo 2024 (recurso 42/2017) como la sentencia del Tribunal Supremo 298/2024, 8 de abril, coinciden en que no se ha de presumir que todas las personas jurídicas cuentan con un programa de cumplimiento; sino que éstas deben de aportarlo y demostrar su eficacia. De esta manera, se les concede la posibilidad de acreditar que, pese a la comisión del delito, su programa era eficaz y cumplía los estándares exigidos legalmente. 

En conclusión, se destaca una clara tendencia hacia la no aceptación de contar solamente con un Sistema de Compliance sino que las empresas habrán de implementar las medidas necesarias de prevención, así como probar su eficacia ante el juez como haber dado publicidad al sistema, disponer de actas de aprobación e implementación, haber realizado actividades de formación a los trabajadores, etc.  

 

Volver al índice

 

Absolución de la periodista de Huelva condenada por revelación de secretos 

El Tribunal Superior de Justicia de Andalucía (TSJA) absolvió a la periodista del diario Huelva Información, condenada a dos años de prisión por la Audiencia de Huelva por un supuesto delito de revelación de secretos.  

La condena se basaba en la publicación de informaciones recopiladas del sumario del caso del brutal asesinato de Laura Luelmo en El Campillo. La Audiencia sostuvo que la periodista, dada su profesión, debía conocer que los datos sumariales son de naturaleza reservada, salvo para las partes intervinientes, por lo que necesariamente tuvo que ser consciente de su procedencia ilegítima.  

Sin embargo, la Sala del TSJA argumentó que una cosa es que la periodista conociera la naturaleza reservada de los datos y otra muy diferente es que supiera de la ilicitud en su obtención. Esta distinción no se logró demostrar de manera concluyente en el caso: no se indica la procedencia u origen de la información publicada, tampoco se expresa que la acusada fuera consciente del posible origen ilícito y no se declara que la persona que se apoderó de la información reservada hubiese actuado en perjuicio del titular de los datos o de un tercero. 

 

Volver al índice

 

NORMATIVA AL DÍA

 

NIS2 

El próximo día 17 de octubre finaliza el plazo de transposición de la Directiva NIS2 (DIRECTIVA (UE) 2022/2555 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión). Al efecto indicar que, de un lado, el INCIBE ha elaborado varios materiales de consulta sobre la materia mientras que el Centro Criptológico Nacional ha habilitado un servicio para ayudar a las entidades a cumplir con las medidas técnicas, operativas y de organización de la NIS2. 

 

Volver al índice

 

Entrada en vigor de la Ley de IA de la UE 

A partir del 1 de agosto entró en vigor en la Unión Europea la Ley de Inteligencia Artificial (IA), la primera del mundo para regular sistemas que permiten actuar de manera más precisa y eficiente a los humanos en muchos ámbitos e impulsar la innovación, planteando a la vez importantes riesgos que el nuevo marco común trata de evitar. Dicha Ley se resume en los siguientes puntos fundamentales: clasificación de la IA en función de su riesgo (llegando a prohibir los llamados riesgos inaceptables); obligaciones de los proveedores (y algunos usuarios o implantadores) de sistemas de IA de alto riesgo; y los modelos y sistemas de IA de propósito general (GPAI).  

Será plenamente aplicable 24 meses después de su entrada en vigor, siguiendo la siguiente cronología de plazos de aplicación: (i) 6 meses (febrero 2025) para los sistemas de IA prohibidos; (ii) 12 meses (agosto 2025) para GPAI; (iii) 24 meses (agosto 2026) aplicación del resto de la Ley con excepción del artículo 6(1) y obligaciones correspondientes (una de las categorías de IA de alto riesgo); y (iv) 36 meses (agosto 2027) aplicación del artículo 6(1) y obligaciones correspondientes. 

 

 

Volver al índice

 

Publicado en Circulares, Cumplimiento Normativo, Propiedad Intelectual e Industrial, Protección de Datos | Etiquetado como , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 7 – 2024

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 5 – 2024

Publicado el 03-06-2024
Protección de datos – Seguridad de la Información

 

Publicidad

 

Cumplimiento normativo

 

Normativa al día

 

Charlas, eventos y novedades

 

 

PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN

 

Actualizada la guía sobre el uso de las cookies de la AEPD. 

La Agencia Española de Protección de Datos ha actualizado su guía sobre el uso de las cookies incluyendo la Opinión 8/2024 del Comité Europeo de Protección de Datos (CEPD) sobre la modalidad “pay or okay” implementada por grandes plataformas online a la que nos referimos en la anterior newsletter. En este sentido la AEDP señala en la Guía sobre cookies que, si bien la opinión del CEPD se refiere únicamente a grandes plataformas, se espera que en el primer semestre de 2025 se publique una Guía de aplicación general sobre la validez del consentimiento en modelos “pay or okay”.  

 

Volver al índice

 

Publicado Informe del Comité Europeo de Protección de Datos sobre ChatGPT. 

El Comité Europeo de Protección de Datos ha publicado el pasado 27 de mayo un informe sobre las labores de investigación realizadas por el grupo de trabajo de ChatGPT en relación con los tratamientos que realiza OpenAI a través de su solución de IA (Inteligencia Artificial). El informe recoge que aún no han concluido las labores de investigación por lo que se trata de una revisión preliminar en la que se detallan las líneas maestras de dicho análisis a saber: Licitud de dos de los tratamientos realizados, Lealtad del tratamiento, Transparencia y deber de información, Exactitud de los datos y Derechos de los interesados, y otorgan una seria de directrices en relación con dichos elementos.  

 

Volver al índice

 

Opinión del Comité Europeo de Protección de Datos sobre el reconocimiento facial en aeropuertos. 

El pasado 23 de mayo, a petición de la Autoridad de control francesa, el CEPD emitió una opinión relativa al uso de tecnologías reconocimiento facial en los aeropuertos con un alcance muy concreto ya que se analizan momentos (controles de seguridad, entrega de equipajes, embarque y acceso a la sala de pasajeros) y formas de tratamiento concretos en relación con artículos específicos del RGPD (Reglamento General de Protección de Datos) centrados principalmente en la seguridad (artículos 5.1(f) -Integridad y Confidencialidad- 25 – Privacidad desde el diseño y por defecto – y 32 – Seguridad- RGPD), quedando excluido del análisis por no ser objeto de la consulta remitida por la Autoridad francesa, la valoración del consentimiento como base de legitimación para el tratamiento.  

Así, el CEPD analiza las distintas propuestas planteadas y alcanza distintas conclusiones dependiendo de la forma en que se tratan los datos. En este sentido, parece desprenderse del informe que los escenarios descritos que permiten la autenticación de los pasajeros (comparación 1:1) sí que podrían ser eventualmente compatibles con los artículos mencionados, mientras que el CEPD muestra mayor oposición en el caso de los escenarios de identificación de pasajeros (comparación 1:N).  

No obstante, se trata de un análisis específico de determinados artículos correspondiendo a los responsables de tratamiento el tratamiento específico a realizar empleando tecnología biométrica. 

Volver al índice

 

Aprobada la Estrategia Nacional de Inteligencia Artificial. 

El Ministerio para la Transformación Digital y de la Función Pública ha aprobado la Estrategia Nacional de Inteligencia Artificial, con el objetivo de promover una utilización sostenible de la IA. Dicha estrategia ha establecido 6 ejes estratégicos para dar cumplimiento a los objetivos: Impulsar la investigación científica, el desarrollo tecnológico y la innovación en IA;  Promover el desarrollo de capacidades digitales, potenciar el talento nacional y atraer talento global en inteligencia artificial; Desarrollar plataformas de datos e infraestructuras tecnológicas que den soporte a la IA; Integrar la IA en las cadenas de valor para transformar el tejido económico; Potenciar el uso de la IA en la administración pública y en las misiones estratégicas nacionales; y Establecer un marco ético y normativo que refuerce la protección de los derechos individuales y colectivos, a efectos de garantizar la inclusión y el bienestar social. 

 

Volver al índice

 

PUBLICIDAD

 

Publicado el Real Decreto sobre los requisitos para ser “Influencers”.

El pasado 1 de mayo se publicó el Real Decreto 444/2024, que regula las condiciones para ser considerado un usuario de especial relevancia de los servicios de intercambio de vídeos a los efectos de tener que cumplir con las obligaciones previstas en el artículo 94 de la Ley 13/2022, General de Comunicación Audiovisual, debiendo asimismo inscribirse en Registro Estatal previsto en el artículo 39 de la Ley General de Comunicación Audiovisual. 

En este sentido se establece que, para ser usuario de especial relevancia se deberán cumplir los requisitos previstos en el artículo 3 y 4 del Real Decreto 444/2024 que recoge requisitos económicos y de audiencia.  

    • Requisito económico: Deberá tener ingresos derivados exclusivamente de su actividad de “influencer” (pagos realizados por las plataformas, los ingresos publicitarios, los pagos abonados por la audiencia, las aportaciones de entidades públicas y cualquier otro ingreso derivado de su actividad) iguales o superiores a 300.000 euros.   
    • Requisitos de audiencia: Habrá de haber tenido en algún momento del año natural anterior un número de seguidores igual o superior a 1.000.000 en un único servicio de intercambio de vídeos a través de plataforma; o un número de seguidores igual o superior a 2.000.000, de forma agregada.   

Deberá haber publicado al menos 24 vídeos en el último año, independientemente de la duración de los mismos.  

 

Volver al índice

 

CUMPLIMIENTO NORMATIVO

 

Publicado el texto del proyecto del Real Decreto del Estatuto de la Autoridad Independiente de Protección al Informante. 

El pasado 21 de mayo ha finalizado el trámite de consulta pública del Proyecto del Real Decreto del Estatuto de la Autoridad Independiente de Protección al Informante , el proceso de aprobación del texto se gestionará a través de tramitación urgente. 

La Autoridad Independiente de Protección al Informante (AIPI) será un ente con autonomía e independencia funcional vinculada al Ministerio de la Presidencia, Justicia y Relaciones con las Cortes, cuyas funciones serán las de actuar como canal externo de comunicaciones, elaborar circulares, así como iniciar, instruir y resolver procedimientos sancionadores por las infracciones previstas en la Ley 2/2023. La AIPI contará con la figura de la Presidencia (a propuesta del ministro de la Presidencia, Justicia y Relaciones con las Cortes), Comisión Consultiva, así como del Departamento de Protección al Informante, Departamento de Seguimiento y Régimen Sancionador y Gerencia.  

 

Volver al índice

 

Nueva Directiva penal medioambiental. 

El Consejo Europeo adoptó el pasado 26 de marzo la Directiva sobre la protección del medio ambiente mediante el derecho penal, que sustituirá a las Directivas 2008/99/CE y 2009/123/CE. La Directiva pretende fomentar en los Estados Miembros el uso del Derecho Penal para disuadir de la comisión de conductas perjudiciales para el medio ambiente. En este sentido se armonizan las definiciones de los delitos, y se amplían las conductas tipificadas como delito.  

 

Volver al índice

 

NORMATIVA AL DÍA

 

Reglamento de Inteligencia Artificial. 

A falta de su publicación en el Diario Oficial de la Unión Europea el texto final del Reglamento en materia de Inteligencia Artificial ha sido aprobado por el Parlamento y el Consejo Europeo poniendo punto y final al proceso legislativo. Así, se espera que en los próximos días se proceda a su publicación.  

 

Volver al índice

 

Creación de la Oficina Europea de IA 

La Comisión Europea comunicó el pasado 29 de mayo la creación de la Oficina de IA de la Unión Europea cuya finalidad será entre otros objetivos, garantizar una aplicación coherente de la Ley de IA.  

 

Volver al índice

 

Guía de Seguridad de las TIC CCN-STIC 892. Anexo I. Categoría del Sistema determinada por la Postura de Seguridad (PCE-NIS2) 

Se publica por el Centro criptológico nacional el Anexo I se la Guía de Seguridad de las TIC de forma que “pase a formar parte del conjunto documental del sistema de información que soporta los servicios prestados por entidades esenciales y entidades importantes, según las define la Directiva NIS2” 

 

Volver al índice

 

CHARLAS, EVENTOS Y NOVEDADES

 

IAbility Day 

El próximo 11 de junio, tendrá lugar una nueva edición del IAbility Day, en la que Álvaro Abáigar socio-director del Dpto. de Nuevas Tecnologías y Cumplimiento Normativo de ARPA Abogados Consultores abordará junto con otros expertos en la materia las problemáticas derivadas del impacto socioeconómico, de la ética y el marco regulatorio de la Inteligencia Artificial. 

 

Volver al índice

 

Publicado en Circulares, Cumplimiento Normativo, Nuevas Tecnologías, Protección de Datos | Etiquetado como , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 5 – 2024
Suscríbete a nuestra newsletter

Información sobre protección de datos: ARPA tratará tus datos con el fin de remitirte periódicamente nuestro boletín, con información tanto de ARPA A&C S.L. como de Fundación ARPA y ARPA Accounting S.L. Tienes la posibilidad de ejercitar los derechos de acceso, rectificación, supresión, portabilidad, limitación u oposición del tratamiento de tus datos. Puedes consultar una versión ampliada de esta política aquí.
He leído y acepto la Política de Privacidad
X