Entradas de la etiqueta: #Boletines

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º1 – 2025

Protección de datos y Seguridad de la Información

 

Cumplimiento normativo

 


 

PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

 

NIS2- Anteproyecto de la nueva ley de ciberseguridad 

El Consejo de Ministros ha aprobado el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, que supone la transposición europea de la Directiva de Seguridad de Red e Información 2 (NIS2). 

Esta norma busca hacer frente a las ciberamenazas, nuevos desafíos y riesgos que requieren respuestas adaptadas, coordinadas e innovadoras, reforzando la protección de las redes y sistemas de información en sectores críticos para el desempeño económico y social del país. 

El anteproyecto precisa las entidades públicas o privadas afectadas por las normas de ciberseguridad que establece, y crea el Centro Nacional de Ciberseguridad, que se encargará de la dirección, impulso y coordinación en la materia, garantizará la cooperación intersectorial y transfronteriza con otras autoridades competentes y será autoridad de gestión de crisis en caso de incidentes de entidad 

El anteproyecto va a ser tramitado por la vía de urgencia para que pueda ser aprobado cuanto antes. 

Volver al índice

 

 

Reglamento de Cibersolidaridad de la Unión Europea 

Publicado el Reglamento de Cibersolidaridad en el que se establecen medidas destinadas a reforzar la solidaridad y las capacidades en la Unión Europa a fin de detectar ciberamenazas e incidentes, prepararse y responder a ellos. 

El Reglamento incluye un Sistema Europeo de Alerta de Ciberseguridad, compuesto por centros de operaciones de seguridad interconectados en toda la UE, para mejorar la detección, el análisis y la respuesta a las ciberamenazas. 

 

Volver al índice

 

Cese de Mar España como directora de la Agencia Española de Protección de Datos y propuestas de nuevos nombramientos 

Mar España, directora de la Agencia Española de Protección de Datos (AEPD), cesó en su cargo mediante un Real Decreto aprobado en el Consejo de Ministros. El cese de la directora de la AEPD, funcionaria del Cuerpo Superior de Administradores Civiles del Estado, coincide con su solicitud de jubilación voluntaria en la Administración.  

El nombramiento de Mar España como directora de la Agencia tuvo lugar el 24 de julio de 2015 con un mandato inicial de cuatro años, continuando en funciones al término de estos. Hasta el momento en el que se produzca el nombramiento de la persona titular de la nueva presidencia, la AEPD continuará ejerciendo las competencias que le son propias de acuerdo con lo dispuesto en el Reglamento General de Protección de Datos y en la Ley Orgánica de Protección de Datos y garantía de derechos digitales.  

En este contexto, el Consejo de Ministros ha propuesto a los catedráticos de Derecho Constitucional Lorenzo Cotino Hueso y Antonio Troncoso Reigada como presidente y adjunto de la AEPD, respectivamente. Asimismo, se ha aprobado el acuerdo para trasladar esta propuesta al Congreso de los Diputados, que examinará a ambos candidatos el próximo miércoles 29 de enero. 

Una vez que el Congreso evalúe y vote a favor de los candidatos, el Consejo de Ministros procederá a formalizar su nombramiento mediante Real Decreto, otorgándoles un mandato de cinco años al frente de la Agencia. 

 

Volver al índice

 

Nuevas directrices sobre seudonimización 

Durante su reunión plenaria de enero de 2025, el Comité Europeo de Protección de Datos (CEPD) ha adoptado directrices sobre la seudonimización. 

En sus directrices, el CEPD aclara la definición y la aplicabilidad de la seudonimización y los datos seudonimizados, así como las ventajas de la seudonimización. 

Las directrices también explican cómo la seudonimización puede ayudar a las organizaciones a cumplir con sus obligaciones relacionadas con la implementación de los principios de protección de datos, la protección de datos desde el diseño y por defecto y la seguridad. 
 
Las directrices estarán sujetas a consulta pública hasta el 28 de febrero de 2025. 

Volver al índice

 

Sancionan a Osasuna con 200.000 euros por implementar el reconocimiento facial en el Sadar 

La Agencia Española de Protección de Datos (AEPD) ha propuesto una sanción de 200.000 euros al Club Atlético Osasuna por el sistema de reconocimiento facial implementado en la temporada 2022-2023 en algunos accesos del estadio de El Sadar.  

El Club ha anunciado que recurrirá ante la Audiencia Nacional porque entiende que la AEPD se refiere en su expediente sancionador a soluciones de reconocimiento facial antiguas y no en la tecnología avanzada que emplea Osasuna. El club emplea un sistema basado en Referencias Biométricas Renovables (RBRs), una tecnología basada en estándares internacionales y que presenta garantías de privacidad y seguridad que han permitido superar los riesgos que presentaban las tecnologías biométricas antiguas. 

Estas soluciones biométricas basadas en RBRs han sido refrendadas recientemente por el Centro Criptológico Nacional (CCN), máximo organismo de ciberseguridad de España, que el pasado mes de diciembre publicó un informe en el que “recomienda para el nivel alto de seguridad el uso de sistemas de control de acceso basados en el uso de plantillas biométricas RBR”. El informe resalta que, en el marco del nuevo Reglamento europeo de Inteligencia Artificial, un sistema como el implantado por Osasuna es “de bajo o nulo riesgo para los derechos fundamentales de las personas”, dado que es una solución que cuenta “con la intervención voluntaria del usuario y en proximidad”. 

 

Volver al índice

 

CUMPLIMIENTO NORMATIVO

 

Atenuante de la responsabilidad penal de la persona jurídica 

La sentencia 1831/2024 de la Audiencia Provincial de Zaragoza fundamenta las razones por las que se atenuó la responsabilidad penal de una empresa que no contaba con un programa de cumplimiento normativo en el momento en que se cometieron los hechos. 

La empresa fue beneficiada con la aplicación de la circunstancia atenuante “por implantar en el seno de la organización medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurídica.  En concreto los fundamentos de atenuación fueron: 

    • La implementación de un programa de cumplimiento posterior a la comisión del acto delictivo. 
    • La adaptación del Canal de denuncias existente a la ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. 
    • El desarrollo de una auditoria correspondiente a la certificación inicial en la norma UNE 19601:2017 de sistemas de gestión compliance penal. 
    •  
Volver al índice
 

 

 

Nueva versión Norma UNE 19601 “Sistemas de gestión de compliance penal. Requisitos con orientación para su uso.” 

A finales de febrero se publicará la nueva versión de la Norme UNE 19601 “Sistemas de gestión de compliance penal. Requisitos con orientación para su uso.” 

El borrador se encuentra en fase de información pública con fecha límite 18 de febrero. Disponible para consulta y comentarios en el Servicio de Revisión de Proyectos de UNE. 

 

Volver al índice

 

Gobernanza en la ciberseguridad: Perspectiva desde el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad y el Reglamento DORA 

La ciberseguridad y la resiliencia digital se han convertido en elementos clave de la estrategia regulatoria tanto a nivel nacional como europeo. En este contexto, el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad y el Reglamento DORA (Reglamento sobre la resiliencia operativa digital del sector financiero) destacan por el papel que otorgan a los órganos de dirección en la gobernanza de los riesgos cibernéticos.  

En el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad se establece que los órganos de dirección de las entidades esenciales e importantes son responsables de implementar y supervisar las medidas de gestión de riesgos de ciberseguridad. Además, se enfatiza la formación continua de los miembros de los órganos de dirección y se subraya la importancia de extender esta formación periódica a los empleados, reforzando así una cultura organizativa orientada a la ciberseguridad. 

El Reglamento DORA también asigna a los órganos de dirección de las entidades financieras la responsabilidad última en la gestión de riesgos relacionados con las tecnologías de la información y la comunicación (TIC). Entre las principales obligaciones, se incluyen: 

    • Definir, aprobar y supervisar un marco integral de gestión de riesgos relacionados con las TIC. 
    • Establecer políticas que aseguren la confidencialidad, integridad y disponibilidad de los datos. 
    • Aprobar y supervisar estrategias de resiliencia operativa digital, así como planes de continuidad y recuperación ante incidentes TIC. 

Además, establece la obligatoriedad de que los órganos de dirección mantengan conocimientos actualizados sobre los riesgos tecnológicos y sus impactos, mediante formación periódica. 

Ambas normativas reconocen la importancia de que los órganos de dirección asuman un rol activo en la gestión de riesgos tecnológicos. 

 

Volver al índice

 

 

Estatuto de la Autoridad Independiente de Protección del Informante (AAI)

A través de la presente comunicación le informamos que el pasado 30 de octubre, se publicó en el Boletín Oficial del Estado (BOE) el Real Decreto 1101/2024, que aprueba el Estatuto de la Autoridad Independiente de Protección del Informante (AAI). Este nuevo marco legal regula la organización, estructura y funcionamiento de la AAI, así como todos los aspectos que sean necesarios para el cumplimiento de sus funciones.

La Autoridad Independiente de Protección del Informante AAI es un ente de Derecho Público dotado de personalidad jurídica propia, que actúa con plena autonomía e independencia de los poderes públicos. A efectos únicamente organizativos y presupuestarios, está adscrita al Ministerio de la Presidencia, Justicia y Relaciones con las Cortes.

El Estatuto establece que la finalidad de la Autoridad se centra garantizar la protección de la persona informante, actuando como pilar institucional en la prevención y la lucha contra el fraude y la corrupción. Entre sus principales funciones destacan, entre otras, las siguientes:

  • La tramitación de las informaciones y comunicaciones que se reciban a través del canal externo.

  • La asunción de la condición de órgano consultivo y de asesoramiento del Gobierno en materia de protección del informante;

  • El inicio, instrucción y resolución de los procedimientos sancionadores e imposición de sanciones por las infracciones previstas en la Ley 2/2023;

  • La elaboración de circulares y recomendaciones donde se establezcan los criterios y prácticas adecuados para el correcto funcionamiento de la AAI.

La aprobación del Estatuto e inminente creación de la Autoridad con facultades sancionadoras implica o refuerza la necesidad de que las empresas con 50 o más trabajadores[1] y que todavía no se hayan adaptado a la normativa procedan de forma urgente a implementar los denominados como Sistemas internos de información.

Respecto a las entidades que ya dispongan de estos Sistemas, deberá tenerse en consideración que se deberá notificar el registro de los Responsables del Sistema (ya sea individuales o como órganos colegiados) en un plazo de dos meses a partir de la fecha de puesta en funcionamiento de dicha Autoridad.

Desde ARPA Abogados Consultores, quedamos a su disposición para cualquier duda o aclaración que pueda necesitar en esta u otras materias.

 

[1]Así como aquellas otras entidades sujetas al ámbito de aplicación de la Ley 2/2023

Suscríbete a nuestra newsletter

He leído y acepto la Política de Privacidad
X