Facebook-f X-twitter Linkedin Instagram Rss
Buscar
Cerrar este cuadro de búsqueda.
Buscar
Cerrar este cuadro de búsqueda.

Entradas de la etiqueta: #compliance

Normativa, IA y Compliance, lo esencial para PYMES que quieren ir por delante

Publicado el 06-11-2025

La Cámara de Comercio de Pamplona acogerá el próximo 12 de noviembre la jornada “Normativa, IA y Compliance: lo esencial para PYMES que quieren ir por delante”, un encuentro dirigido a pequeñas y medianas empresas que buscan anticiparse a los principales cambios legales, fiscales y tecnológicos de 2025.

A lo largo de la mañana, expertos de distintos ámbitos —entre ellos nuestras compañeras Irene Francés (asociada-subdirectora del Dpto. Fiscal de ARPA Abogados Consultores)  y Edurne Lizarraga, (Responsable del Área fiscal y contable de ARPA Accounting) — analizarán los retos normativos y las oportunidades que la Inteligencia Artificial ofrece al tejido empresarial.

 

PROGRAMA

9:00 – 9:30 Recepción de asistentes

9:30 – 9:45 Bienvenida institucional

Javier Taberna, presidente de la Cámara de Comercio, Industria y Servicios de Navarra

 

9:45 – 10:30 Cambios laborales clave que están afectando a la Pyme

Manuel Piquer. Abogado y director de Asesoría Piquer.

    • Nuevas obligaciones en registro salarial y auditorias retributivas (igualdad de género)
    • Últimos cambios en contratos temporales y uso de contratos fijos discontinuos
    • Ley de familias. Nuevos permisos retribuidos y su impacto en la gestión laboral
    • Sanciones más duras por falsos autónomos y uso indebido de becarios
    • Actualización sobre inspección laboral digital
    • Preguntas y dudas

 

10:30 – 11:00 Obligaciones de compliance para Pymes ¿estás cumpliendo con lo básico?

Irene Macéin, consultora independiente en Compliance, seleccionada dentro de los Top 30complianceofficerinSpain

    • Qué es el compliance y por qué también afecta a las pequeñas empresas.
    • Canal de denuncias obligatorio: quién debe tenerlo y cómo implementarlo correctamente
    • Políticas internas básicas: códigos éticos, protección de datos, prevención de delitos.
    • Riesgos reales: multas por incumplimiento en protección de datos, acoso laboral o corrupción interna
    • Preguntas y dudas

 

11:00 – 11:30 Pausa café

 

11:30 – 12:15 Novedades fiscales y contables 2025 para pequeñas empresas y autónomos

Edurne Lizarraga, responsable del área fiscal y contable de Arpa Accounting
Irene Francés, subdirectora del departamento fiscal de Arpa Abogados

    • Realización de actividad: persona física o jurídica.
    • Obligaciones contables y fiscales de los autónomos.
    • Obligaciones contables, fiscales y mercantiles de las personas jurídicas.
    • Incentivos fiscales en Navarra.
    • Obligación de factura electrónica: plazos y pasos según el tamaño de empresa
    • Preguntas y dudas

 

12:15 – 12:50 Cómo puede la IA ayudar a tu pyme ya. Minicamp de Inteligencia Artificial Generativa

Jesús de Pablos, experto en Innovación, IA, Ciberseguridad y emprendimiento

    • El nuevo paradigma: de buscar a generar información
    • Edición avanzada: manipulación total de contenido
    • Personalización extrema: diseña tu propio asistente de IA
    • Notebook LM: la joya de la corona para el estudio y la gestión del conocimiento
    • Generación creativa y herramientas dispersas
    • Consideraciones legales y éticas

5 minutos para preguntas de los asistentes

 

12:50 – 13:00 Preguntas, cierre y conclusiones

 

Si deseas inscribirte, puedes hacerlo en el siguiente enlace:  Business Day Wolters Kluwer – inscripción – Camara Navarra

Publicado en Fiscal, Sede-Pamplona | Etiquetado como , , , , , , , , Comentarios desactivados en Normativa, IA y Compliance, lo esencial para PYMES que quieren ir por delante

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 8- 2025

Publicado el 03-10-2025
Protección de datos y seguridad de la información

 

Cumplimiento normativo

 

 

PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

 

Caso Bosco -Transparencia algorítmica: el Tribunal Supremo reconoce el derecho a conocer el código fuente de los algoritmos públicos 

En una importante e histórica Sentencia, el Tribunal Supremo reconoce a Fundación Civio el derecho de acceso al código fuente y la documentación del algoritmo BOSCO, encargado de decidir la concesión del bono social eléctrico.  En el caso analizado, la Sala pondera los intereses en conflicto y concluye que “el mero riesgo de eventuales perjuicios para el derecho de propiedad intelectual de las Administración pública, con motivo de su uso o explotación no autorizada, como consecuencia del acceso al código fuente, por sí solo, no puede constituir causa de exclusión del derecho de acceso”. Indica que los eventuales perjuicios para la Administración pueden mitigarse “sometiendo el acceso a determinadas cautelas, como, por ejemplo, (…) la imposición de un deber de reserva o confidencialidad respecto de la información consultada”. 

  Para quien esté interesado, al margen de la Sentencia recomendamos la visualización de la grabación de la vista pública del recurso de casación. 

 

Volver al índice

 

Data Act. Actualización de las FAQ. 

El mismo día de la entrada en aplicación de la Ley de Datos o Data Act, la comisión publico una actualización del documento de preguntas frecuentes, importante referencia para entender el alcance, derechos y obligaciones de la nueva norma. 

 

Volver al índice

 

IA – Nueva Consulta Pública sobre incidentes graves. 

La Comisión Europea ha abierto una consulta pública hasta el 7 de noviembre de 2025 sobre el borrador de guía y plantilla de notificación para incidentes graves relativos a sistemas de inteligencia artificial de alto riesgo, con el fin de implementar el nuevo deber de reporte previsto en el artículo 73 del Proyecto de Reglamento de IA que entrará en vigor en agosto de 2026. 

 

Volver al índice

 

Otros 

Ha sido presentado en el congreso el Proyecto de Ley por la que se modifican diversas disposiciones legales para la mejora de la gobernanza democrática en servicios digitales y ordenación de los medios de comunicación.    

   

Volver al índice

 

CUMPLIMIENTO NORMATIVO

 

La AIPI aporta claves sobre la designación del responsable del sistema interno de información 

El presidente de la Autoridad Independiente de Protección del Informante (AIPI), Manuel Villoria, ha ofrecido recientemente una entrevista en la que aborda las principales cuestiones relacionadas con la entrada en funcionamiento de este organismo. Entre ellas, subrayó la obligación de las empresas de designar y comunicar a la AIPI al responsable de su sistema interno de información, cuyo plazo se ha fijado inicialmente hasta el 1 de noviembre de 2025, aunque adelantó que previsiblemente se concederá una prórroga de uno o dos meses. A este respecto, recomendó esperar a que el registro electrónico de la AIPI esté operativo en la web antes de formalizar la notificación. 

Asimismo, indicó que la principal prioridad de la Autoridad será la protección de los informantes, y recalcó la importancia de garantizar la confidencialidad y la protección de datos en los canales de denuncia. En este sentido, advirtió que el uso del correo electrónico como canal de comunicaciones no permite asegurar el anonimato de los denunciantes ni ofrece garantías suficientes de confidencialidad, de conformidad con las exigencias de la Ley 2/2023. 

 

Volver al índice

 

Prisión y multa de 300.000 euros por fraude en subvenciones públicas 

La Audiencia Provincial de Cáceres, en su Sentencia de 10 de junio de 2025 (SAP CC 663/2025), ha confirmado la condena a un empresario agrícola y a su mercantil por un delito de fraude de subvenciones, tras destinar de forma indebida parte de una ayuda pública. La subvención, de 389.229 euros y destinada a la modernización de una planta extractora de orujo, no fue justificada en su totalidad, quedando acreditado que 194.708 euros se aplicaron a finalidades distintas de las previstas. 

El tribunal ratifica la pena de un año y nueve meses de prisión y una multa de 300.000 euros para el empresario, así como la misma sanción económica para la sociedad, quedando ambos inhabilitados durante cuatro años para acceder a ayudas públicas y beneficios fiscales. 

 

Volver al índice

 

El órgano notarial contra el blanqueo resuelve 400.000 peticiones de las autoridades 

El Órgano Centralizado de Prevención (OCP) de blanqueo de capitales del Notariado español ha atendido desde su creación en 2005 más de 400.000 requerimientos de información por parte de las autoridades, consolidándose como una herramienta clave en la detección y reporte de operaciones sospechosas de blanqueo de capitales. Este sistema, que se nutre del Índice Único Informatizado Notarial, ha permitido consolidar una de las bases de datos más completas del país, facilitando a jueces, fiscales y al SEPBLAC información clave para la lucha contra el blanqueo y la financiación del terrorismo. 

Según destacó la presidenta del Consejo General del Notariado, Concepción Pilar Barrio del Olmo, el 80% de las comunicaciones que el OCP remite al SEPBLAC terminan en procesos judiciales. Además, el OCP ha desarrollado bases de datos especializadas, como la de Titularidad Real, que permiten conocer en tiempo real la propiedad de sociedades y dificultar el anonimato en transacciones con riesgo de blanqueo de capitales o financiación del terrorismo. 

 

Volver al índice

 

La OCDE actualiza sus Directrices para frenar la colusión en contrataciones públicas 

La Organización para la Cooperación y el Desarrollo Económicos (OCDE) presentó la actualización 2025 de sus Directrices para combatir la colusión en contrataciones públicas, un documento que busca reforzar la transparencia, la eficiencia y la competencia en las licitaciones de gobiernos y organismos públicos. La organización advierte que estas prácticas generan sobrecostos para el Estado, reduce la calidad de los bienes y servicios adquiridos, restringe la oferta y, en última instancia, perjudica a los contribuyentes. 

La nueva guía incluye recomendaciones para blindar las contrataciones públicas frente a la colusión: diseñar licitaciones más competitivas — con un mayor conocimiento del mercado, la atracción de varios oferentes, criterios objetivos y plataformas electrónicas — y advertir con claridad sobre sanciones. También incorpora una lista de señales de alerta para detectar posibles acuerdos ilícitos, como precios inusuales o coincidencias sospechosas entre propuestas, y promueve la cooperación entre autoridades de competencia, contratación pública y fiscalías. La OCDE insta a los países miembros a adaptar sus marcos normativos y de control para proteger un sector que representa en torno al 12% del PIB en las economías de la organización. 

 

Volver al índice

 

 

 

 

Publicado en Circulares, Cumplimiento Normativo, Protección de Datos | Etiquetado como , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 8- 2025

Subvenciones para la financiación de programas de compliance en materia de competencia (País Vasco)

Publicado el 15-07-2025

 

Las pymes y los autónomos también están sujetos al derecho de la competencia. La Autoridad Vasca de la Competencia (LEA/AVC) ha anunciado una convocatoria de subvenciones destinadas a pymes y personas autónomas con actividad económica en la Comunidad Autónoma Vasca para financiar la implantación de su primer programa de compliance en materia de competencia.

Las ayudas cubrirán hasta el 70 % del presupuesto aceptado, con un máximo de 10.000 € por beneficiario. Se concederán por orden de solicitud hasta agotar los 20.000 € disponibles. El abono se realizará en un único pago, previa justificación del diseño del programa y su implementación, antes del 16 de diciembre de 2025.

 

Plazos y requisitos clave:

Presentación de solicitudes: Ya está abierto el plazo para presentar solicitudes, que permanecerá disponible hasta el 30 de septiembre de 2025.

Formato: Pueden presentarse a través de la sede electrónica de la CAE: https://www.euskadi.eus/servicios/1258401.

Requisitos:

      • Los proyectos deberán diseñarse e implantarse durante 2025, y podrán consistir en programas nuevos o subprogramas específicos integrados en sistemas de compliance ya existentes.

      • Que los beneficiarios desarrollen alguna actividad económica en el ámbito territorial de la Comunidad Autónoma de Euskadi.

 

Nuestro equipo de derecho de la competencia está a vuestra disposición para más información y asesoramiento en relación con los programas de compliance.

 

Publicado en Ayudas y subvenciones, Circulares, Sede-San Sebastián | Etiquetado como , , , , , , , , , Comentarios desactivados en Subvenciones para la financiación de programas de compliance en materia de competencia (País Vasco)

Foro de Compliance y Buenas Prácticas en la Industria Pharma

Publicado el 11-02-2025

Desde ARPA Abogados Consultores, en colaboración con Diario de Navarra y AseBio – Asociación Española de Bioempresas, hemos organizado un encuentro clave para la industria farmacéutica.

20 de febrero
Sede de Diario de Navarra (C/ Zapatería 49, Pamplona)
⏰ 9:30 – 11:30 h

Una oportunidad única para debatir sobre compliance, regulación y resolución de controversias legales con expertos de primer nivel. Tendremos el placer de contar con la presencia de destacados expertos en compliance y regulacion en la industria farmacéutica: 

Moderador: Jorge Arellano – Responsable del Área de Cumplimiento Normativo en ARPA Abogados Consultores.

La jornada será presentada por Belén Galindo Lizaldre y contará también con la intervención de nuestro Responsable de Pharma&Healthcare, Miguel Lecumberri, que abordará el panorama y los grandes retos del sector en España.

El compliance en pharma no es solo una exigencia, es una oportunidad para construir un sector más sólido y transparente. Te esperamos el 20 de febrero en Pamplona.

Inscríbete y sé parte del debate: businessevents@diariodenavarra.es

 

 

 

Publicado en Cumplimiento Normativo, Derecho de la Competencia, Farma y Biotecnología, Sede-Madrid, Sede-Pamplona, Sede-San Sebastián, Sobre ARPA | Etiquetado como , , , , , Comentarios desactivados en Foro de Compliance y Buenas Prácticas en la Industria Pharma

Sistemas de compliance en materia de libre competencia: la norma UNE 19603 y su certificación

Publicado el 22-01-2025

Las sanciones que se están imponiendo por vulnerar las prácticas de libre competencia y la labor de las autoridades de las comunidades autónomas en la materia, están adquiriendo una mayor relevancia en el entorno económico actual.

En este marco, se ha publicado recientemente la norma UNE 19603, con la participación activa de la Autoridad Vasca de la Competencia, cuyo objetivo es proporcionar herramientas a las empresas para implementar programas de cumplimiento normativo en materia de competencia que permitan prevenir procedimientos sancionadores.

La implantación de un programa de cumplimiento en este ámbito resulta clave para proteger a las empresas de posibles daños reputacionales y económicos derivados de verse involucrados en investigaciones y sanciones.

Por todo ello, ADEGI ha organizado una jornada que contará con la intervención de nuestra compañera, María González Navarate (Responsable del Área de Derecho de la Competencia de ARPA Abogados Consultores),  Rafael Iturriaga Nieva, vocal del Consejo Vasco de la Competencia (Autoridad Vasca de la Competencia) y  Mayrata Conesa Alagarda, Mánager de ESG, Compliance y Buen Gobierno de AENOR. donde darán a conocer los sistemas de compliance competencia, los aspectos clave de la norma UNE 19603:2023 y la experiencia de la empresa certificadora AENOR.

Dicha sesión tendrá lugar el próximo 14 de febrero de 09:30 a 11:15 h en la sede de ADEGI. 

 

Programa:

  • 9:30h: Presentación.

  • 9:40h: Competencia y actividad económica. Relevancia y ventajas de tener de programas de compliance competencia en nuestras empresas.

                       María González, Directora de la oficina de ARPA Abogados Consultores en San Sebastián y, Responsable del Área de Derecho de la Competencia.

  • 10:10h: La norma UNE 19603:2023.

                  Rafael Iturriaga, vocal del Consejo Vasco de la Competencia (Autoridad Vasca de la Competencia.)

  • 10:40h: Los sistemas de gestión de la libre competencia: su certificación.

                  Mayrata Conesa, Mánager de ESG, Compliance y Buen Gobierno. AENOR.

  •  11:00h: Ruegos y preguntas.

  •  11:15h: Cierre jornada.

 

 

Si desea inscribirse, puede hacerlo a través del siguiente enlace.

Publicado en Derecho de la Competencia, Sede-San Sebastián | Etiquetado como , , , , , , , , Comentarios desactivados en Sistemas de compliance en materia de libre competencia: la norma UNE 19603 y su certificación

Estatuto de la Autoridad Independiente de Protección del Informante (AAI)

Publicado el 07-11-2024

A través de la presente comunicación le informamos que el pasado 30 de octubre, se publicó en el Boletín Oficial del Estado (BOE) el Real Decreto 1101/2024, que aprueba el Estatuto de la Autoridad Independiente de Protección del Informante (AAI). Este nuevo marco legal regula la organización, estructura y funcionamiento de la AAI, así como todos los aspectos que sean necesarios para el cumplimiento de sus funciones.

La Autoridad Independiente de Protección del Informante AAI es un ente de Derecho Público dotado de personalidad jurídica propia, que actúa con plena autonomía e independencia de los poderes públicos. A efectos únicamente organizativos y presupuestarios, está adscrita al Ministerio de la Presidencia, Justicia y Relaciones con las Cortes.

El Estatuto establece que la finalidad de la Autoridad se centra garantizar la protección de la persona informante, actuando como pilar institucional en la prevención y la lucha contra el fraude y la corrupción. Entre sus principales funciones destacan, entre otras, las siguientes:

  • La tramitación de las informaciones y comunicaciones que se reciban a través del canal externo.

  • La asunción de la condición de órgano consultivo y de asesoramiento del Gobierno en materia de protección del informante;

  • El inicio, instrucción y resolución de los procedimientos sancionadores e imposición de sanciones por las infracciones previstas en la Ley 2/2023;

  • La elaboración de circulares y recomendaciones donde se establezcan los criterios y prácticas adecuados para el correcto funcionamiento de la AAI.

La aprobación del Estatuto e inminente creación de la Autoridad con facultades sancionadoras implica o refuerza la necesidad de que las empresas con 50 o más trabajadores[1] y que todavía no se hayan adaptado a la normativa procedan de forma urgente a implementar los denominados como Sistemas internos de información.

Respecto a las entidades que ya dispongan de estos Sistemas, deberá tenerse en consideración que se deberá notificar el registro de los Responsables del Sistema (ya sea individuales o como órganos colegiados) en un plazo de dos meses a partir de la fecha de puesta en funcionamiento de dicha Autoridad.

Desde ARPA Abogados Consultores, quedamos a su disposición para cualquier duda o aclaración que pueda necesitar en esta u otras materias.

 

[1]Así como aquellas otras entidades sujetas al ámbito de aplicación de la Ley 2/2023

Publicado en Circulares, Cumplimiento Normativo | Etiquetado como , , , , , , , Comentarios desactivados en Estatuto de la Autoridad Independiente de Protección del Informante (AAI)

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º8 – 2024

Publicado el 25-10-2024
Protección de datos

 

Cumplimiento normativo

 

Normativa al día
 
Charlas, eventos y novedades

El próximo 28 de noviembre, Jorge Arellano, Asociado y Responsable del Área de Cumplimiento Normativo de ARPA Abogados Consultores, dirigirá el taller sobre Gobierno Corporativo Compliance Entendiendo y trabajando el pilar buen gobierno y compliance de la sostenibilidad a través del juego de mesa RSE Gob en el Club de Marketing y con el apoyo del Servicio Navarro de Empleo – Nafar Lansare. 

 

 

 

PROTECCIÓN DE DATOS

 

Verificación de edad en infancia. La AEPD publica una nota técnica. 

La Agencia Española de Protección de Datos (AEPD) ha publicado una nota técnica titulada “Internet seguro por defecto para la infancia y el papel de la verificación de edad”, donde se analiza la necesidad de crear un entorno digital más seguro para los niños, niñas y adolescentes. El documento subraya que es posible proteger de manera efectiva a los menores en Internet sin comprometer la privacidad de los usuarios ni exponer a los menores a nuevos riesgos.  

La AEPD propone un cambio de paradigma en la protección de la infancia en Internet, priorizando la protección preventiva. En lugar de estrategias reactivas que actúan sólo después de que los menores ya han sido expuestos a riesgos, se recomienda aplicar los principios de protección de datos por defecto. Esto implica la creación de espacios en Internet que sean seguros para los menores, respetando sus derechos y libertades.  

Uno de los elementos clave para lograr este entorno seguro es la verificación de edad, que debe ser utilizada como una herramienta que permita limitar el acceso de los menores a contenidos o servicios inapropiados. Esta verificación debe cumplir con el Reglamento General de Protección de Datos y otras normativas que refuerzan la protección de la infancia, evitando generar nuevos riesgos o pérdida de derechos. 

En la nota técnica también se analizan cuatro casos de uso y se sugieren buenas prácticas para proteger a los menores de riesgos como el acceso a contenido inapropiado, el contacto con personas peligrosas, la explotación de sus datos personales o la inducción a comportamientos adictivos. 

 

Volver al índice

 

El Comité Europeo de Protección de Datos adopta un dictamen sobre los encargados del tratamiento y unas directrices sobre el interés legítimo objeto de consulta pública. 

 

En su último pleno, el Comité Europeo de Protección de Datos (CEPD) adoptó un dictamen sobre determinadas obligaciones derivadas de la dependencia de los encargados y subencargados del tratamiento y unas directrices sobre el interés legítimo objeto de consulta pública. 

En primer lugar, el CEPD emitió la Opinión 22/2024 en respuesta a una solicitud de la Autoridad Danesa de Protección de Datos, proporcionando una guía detallada sobre cómo deben los responsables del tratamiento gestionar y supervisar a los encargados y subencargados para garantizar el cumplimiento del RGPD. 

Entre los puntos principales, la Opinión resalta el deber de los responsables de obtener información sobre los encargados y subencargados involucrados en el tratamiento de datos (nombre, dirección, persona de contacto) y mantenerla actualizada. Además, el CEPD señala que los responsables del tratamiento deben evaluar si los encargados proporcionan garantías suficientes, independientemente del nivel de riesgo de la actividad de procesamiento. 

También se establece que, si bien los encargados pueden proponer subencargados, la decisión final recae sobre el responsable de tratamiento, quien debe verificar que los subencargados cumplan con las mismas obligaciones y garantías. Aunque no es necesario revisar sistemáticamente los contratos realizados entre encargados y subencargados, el responsable debe evaluar, en función del riesgo. si es necesario hacerlo para cumplir con el principio de responsabilidad. 

Por otro lado, el Comité adoptó las Directrices 1/20242 sobre el tratamiento de datos personales basado en el interés legítimo, las cuales se encuentran en consulta pública hasta el 20 de noviembre de 2024. 

Estas directrices analizan los criterios establecidos en el artículo 6.1.f) del RGPD que deben cumplir los responsables del tratamiento para que sea lícito sobre la base de un interés legítimo. En este sentido, deben cumplirse tres condiciones acumulativas:  

    • La persecución de un interés legítimo por parte del responsable del tratamiento o de un tercero. 
    • La necesidad de tratar los datos personales para los fines del interés legítimo perseguido. 
    • Los intereses o las libertades y derechos fundamentales de los interesados no prevalecen sobre el interés legítimo del responsable del tratamiento o de un tercero.  

 

La evaluación del interés legítimo y, en particular, la ponderación de intereses y derechos contrapuestos requiere la consideración de una serie de factores como la naturaleza y el origen de los intereses legítimos pertinentes, el impacto del tratamiento en el interesado y sus expectativas razonables sobre el tratamiento y la existencia de salvaguardas adicionales que puedan limitar el impacto en el interesado. 

 

Volver al índice

 

Pixel tracking y otras formas de seguimiento. Nuevas directrices sobre el ámbito de aplicación técnico de la Directiva ePrivacy. 

 

El Comité Europeo de Protección de Datos ha adoptado una nueva guía sobre el Alcance Técnico del artículo 5(3) de la Directiva ePrivacy, que aborda la aplicabilidad de dicho artículo a diversas soluciones técnicas y tecnologías emergentes de seguimiento de datos, como por ejemplo el pixel tracking, sensores IoT o identificadores únicos de dispositivos. 

La aparición de nuevos métodos de rastreo que sustituyen a las herramientas de rastreo existentes y la creación de nuevos modelos de negocio, se ha convertido en una preocupación fundamental en materia de protección de datos. De este modo, aunque el artículo 5(3) de la Directiva ePrivacy se aplica a algunas tecnologías de rastreo como las cookies, es necesario abordar las ambigüedades relacionadas con la aplicación de dicha disposición a las nuevas herramientas de rastreo.  

Las Directrices identifican tres elementos clave para la aplicabilidad del precepto, a saber, “información”, “equipo terminal de un usuario” y “acceso y almacenamiento de información”, proporcionando un análisis detallado de cada elemento. Además, se analizan nuevos casos de uso de tecnologías de seguimiento. 

 

Volver al índice

 

El Consejo de Transparencia y Protección de Datos de Andalucía publica la “Guía sobre Protección de datos personales para centros educativos

 

El Consejo de Transparencia y Protección de Datos de Andalucía ha presentado la “Guía sobre Protección de datos personales para centros educativos”. El documento aborda la importancia de la protección de datos en los centros educativos, especialmente para proteger los derechos de los menores. 

La guía tiene tres objetivos principales: garantizar el cumplimiento de la normativa vigente, en especial el Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos; responder a las dudas que puedan surgir en relación con el tratamiento de datos personales; y promover la mejora de protocolos en los centros educativos. 

La Guía se ha desarrollado teniendo muy presente las aportaciones de la comunidad educativa realizadas a través de un cuestionario específico en la materia, y está dividida en dos partes: una descriptiva sobre la normativa y otra práctica, con preguntas y respuestas sobre casos comunes en el ámbito educativo. Además, cubre temas como plataformas digitales, móviles y videovigilancia, y concluye con consejos básicos para garantizar el cumplimiento de la ley. 

 

Volver al índice

 

 

Límites protección programas de ordenador. ¿Es extensible a los datos en memoria? 

 

Después de un largo proceso judicial en el caso de que enfrentaba a Sony contra Datel, el Tribunal de Justicia de la Unión Europea (TJUE) ha dictaminado que la modificación en memoria de variables realizada por un programa de ordenador no constituye una modificación del mismo, y por lo tanto no es contrario a la Directiva del Consejo sobre protección jurídica de programas informáticos. En el caso analizado, DATEL comercializaba un programa que permitía a los usuarios modificar las variables cargadas en memoria por los juegos de Sony en la consola PSP y la cuestión se centraba en ver si el contenido de tales variables está comprendido en el ámbito de aplicación de la protección del derecho de autor o por el contrario era algo ajeno a ella, ya que no se modificaba en ningún momento el código fuente o objeto del videojuego de Sony. Como se ha indicado el Tribunal considera que la protección de la Directiva no alcanza a la protección de los datos variables almacenados por un programa de ordenador protegido en la memoria local utilizados por dicho programa durante su ejecución.

 

Volver al índice

 

CUMPLIMIENTO NORMATIVO

 

Seguros y Compliance

Como es sabido, los sistemas Corporate Compliance penal se configuran como modelos de organización y gestión diseñados para la creación y fomento de una cultura de cumplimiento normativo en la empresa. 

En cualquier caso, y conviene recordarlo, también resulta recomendable reforzar la protección de los sistemas mediante la formalización de seguros, que puedan cubrir contingencias de tipo civil y penal, tanto de la empresa como de los responsables de la gestión del sistema de Compliance.  

Lógicamente, ningún seguro va a cubrir los delitos dolosos, sin embargo, sí que pueden incluir la protección por responsabilidades civiles derivadas faltas cometidas por imprudencia, incumplimientos de empleados, gastos de defensa (también penal) e incluso la presentación y los gastos de constitución de fianzas. 

Por lo tanto, los Compliance Officers y también los Directivos de la empresa no deberían olvidar la importancia de complementar la protección de los sistemas de Compliance con la cobertura de seguros, tanto en materia civil como penal, como se dice coloquialmente, hombre que no previene accidentes tiene…

 

Volver al índice

 

Condenado un hostelero por las molestias y excesivo ruido de la actividad de su pub 

El Tribunal Superior de Justicia de Castilla y León ha ratifica la sentencia de la Audiencia de Zamora contra un hostelero condenado a tres años de prisión por un delito contra el medio ambiente. 

Desde su apertura como pub, pero sobre todo en los últimos años, han sido constantes las quejas y denuncias sucesivas por las continuas y graves molestias a los vecinos por el nivel de ruido y música más elevado de lo permitido hasta altas horas de la madrugada. Además de incumplimiento de los horarios de recogida de la terraza y cierre del establecimiento. 

Para el tribunal, la sentencia de la Audiencia Provincial realiza un “riguroso análisis del material probatorio existente en las actuaciones”, una prueba “suficientemente clara como para dejar acreditado no solo el insufrible ruido que producía el condenado desde su local, sino del conocimiento que él tenía de las importantes molestias que ocasionaba al vecindario”.  

La Sala concluye que “resulta acreditado el riesgo de afectación grave de la salud de estas personas a un nivel de ruidos más elevado de lo tolerable y la, al menos, posible lesión de los bienes jurídicamente protegidos -derecho a la integridad física y moral y a la intimidad personal o familiar- (…) la contaminación acústica fue muy prolongada en el tiempo y durante periodos nocturnos seguidos lo que imposibilitaba o, al menos, dificultaba el descanso nocturno esencial para el ser humano”. 

 

Volver al índice

 

 

Auto: Consideraciones sobre el “defecto estructural” y la complejidad empresarial 

Destacamos el Auto 343/2024 de la Audiencia provincial de Barcelona en materia de responsabilidad penal de las personas jurídicas, en el mismo (sobre el delito de estafa) se recuerda que el fundamento de imputación de la empresa (es decir el delito corporativo) se basa en la existencia del defecto estructural en los mecanismos de prevención y control de la entidad (fundamento de derecho 2º): 

De entre las consideraciones realizadas hasta el momento, nos quedamos en que, para hablar del fundamento de esa responsabilidad exigible a la persona jurídica por su propio delito, es preciso partir de la constatación de algún defecto estructural en los mecanismos de prevención y control que le fueran exigibles por razón de su organización tendentes a los fines a que se orienta su actividad. 

El Auto también destaca que las medidas de control e incluso la propia imputabilidad de la empresa dependerá de su grado de complejidad, abriendo la posibilidad de liberar de responsabilidad a las entidades sin estructura: 

…la responsabilidad penal de la persona jurídica gira en clave de complejidad organizativa, de manera que cabrá hablar de imputabilidad respecto de aquéllas que presenten un cierto grado de complejidad con la consecuencia de que no todas las personas jurídicas serán imputables, sirviendo de apoyo, de alguna manera, para esto que decimos el distinto tratamiento que en orden a las funciones de supervisión se establecen en el propio art. 31 bis CP para las personas jurídicas de pequeñas dimensiones, en comparación con los mecanismos de compliance propios de las de mayor complejidad. 

Volver al índice

 

 

NORMATIVA AL DÍA

 

NIS2: ausencia de transposición y primera normativa de ejecución. 

Si a nivel nacional seguimos sin transponer la directiva NIS2 pese a que el pasado 17 de octubre finalizó el plazo máximo para ello, si que desde la comisión se ha dictado un reglamento de ejecución que viene a establecer los requisitos técnicos y metodológicos de las medidas a que se refiere la Directiva NIS2 con respecto a determinados proveedores (ej.  proveedores de servicios de computación en nube, los proveedores de servicios gestionados o los proveedores de servicios de seguridad gestionados). 

Volver al índice

 

Reglamento relativo a la seguridad general de los productos. 

El próximo día 13 de diciembre de 2024 será de aplicación el  Reglamento (UE) 2023/988 relativo a la seguridad general de los productos. A destacar las obligaciones específicas de los prestadores de mercados en línea relacionadas con la información sobre seguridad de los productos que permitan a los comerciantes que ofrezcan el producto proporcionar. A este efecto, por ejemplo, será necesario informar entre otros del nombre, nombre comercial registrado o marca registrada del fabricante, información que permita identificar el producto, (incluidos una imagen del producto, su modelo y cualquier otro identificador del producto) o cualquier advertencia o información relativa a la seguridad que deba colocarse en el producto o su envase. 

 

Volver al índice
Publicado en Circulares, Nuevas Tecnologías, Propiedad Intelectual e Industrial, Protección de Datos | Etiquetado como , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º8 – 2024

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 7 – 2024

Publicado el 20-09-2024
Protección de datos – Seguridad de la Información

 

Cumplimiento normativo

 

Normativa al día

 

Charlas, eventos y novedades

 

 

 

PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN

 

AEPD: Orientaciones sobre el uso de dispositivos móviles en los centros educativos e informe patrones adictivos en el tratamiento de datos personales.

La Agencia Española de Protección de Datos (AEPD) ha dado a conocer unas orientaciones sobre las obligaciones y responsabilidades por el uso de dispositivos móviles en los centros educativos que abarca la enseñanza infantil, primaria y secundaria. Aborda el análisis de diferentes situaciones, como la prohibición del terminal en el centro o limitación de uso del mismo a requerimiento del centro así como los flujos de comunicación que se puedan dar entre el personal docente y el alumnado mediante este tipo de dispositivos, recordando la necesidad que “los tratamientos de datos personales con fines educativos que se basen en la utilización de dispositivos y medios digitales han de superar positivamente el juicio de idoneidad, necesidad y proporcionalidad” concluyendo que “desaconsejan el uso de teléfonos y demás dispositivos digitales móviles en los centros educativos, cuando se disponga de otros recursos que sean más idóneos para conseguir el fin pedagógico pretendido sin poner en riesgo la privacidad” 

También relevante es el informe que analiza cómo los tratamientos de los datos personales de los usuarios en numerosas plataformas, aplicaciones y servicios incluyen patrones adictivos para aumentar su tiempo de conexión. El Comité Europeo de Protección de Datos (CEPD) ya ha abordado estos temas en sus directrices sobre patrones de diseño engañosos en redes sociales, y la AEPD ha revisado la evidencia científica sobre el uso de estos patrones en diferentes plataformas y servicios. El Reglamento de Servicios Digitales (DSA), en su artículo 25, prohíbe el diseño y gestión de interfaces que engañen o manipulen a los usuarios. 

El informe clasifica los patrones adictivos en tres niveles: alto, medio y bajo. Los patrones de alto nivel son estrategias generales como la acción forzada y la ingeniería social; los de nivel medio explotan vulnerabilidades psicológicas específicas; y los de bajo nivel son ejecuciones específicas contextualizadas. La incorporación de estos patrones plantea importantes desafíos para la protección de datos, incluyendo la responsabilidad proactiva, la transparencia y la minimización de datos. Además, implica riesgos para los derechos y libertades de los usuarios, especialmente para la integridad física y psíquica de menores. En relación con los patrones adictivos, la Comisión Europea tiene abiertos dos procedimientos sancionadores por posible incumplimiento de la citada DSA, contra TikTok y Meta. 

 

Volver al índice

 

 

Acceso al correo electrónico de un trabajador 

El objeto de la resolución de la AEPD se centra en determinar si el acceso de la empresa al correo corporativo del reclamante es una infracción de la normativa de protección de datos personales. 

En el caso objeto de la resolución se analiza si resulta conforme que un superior directo acceda al correo electrónico de un empleado bajo su supervisión, que se encontraba de huelga, teniendo como finalidad dicho acceso el garantizar la continuidad de la actividad comercial. Dicho empleado estaba informado del carácter corporativo del correo electrónico y de la posibilidad de acceso que se reservaba el empresario.  

Atendiendo a las mencionadas circunstancias y sin entrar en la licitud, desde el punto de vista laboral, del mencionado acceso, la AEPD entiende que “la empresa reclamada tenía legitimación suficiente (base de licitud) para acceder a la cuenta corporativa del reclamante, sin que se conste una intromisión en la privacidad del reclamante, toda vez que la remisión de estos 3 correos electrónicos se realizó desde un correo corporativo y no personal del empleado, en ejercicio de un interés legítimo de la empresa para continuar su actividad comercial, sin que fuera posible acudir a otro medio menos intrusivo, en ausencia de los 4 trabajadores que podían remitir dicho correo electrónico; y habiéndose cumplido con las garantías previstas en el artículo 87 de la LOPDGDD, dado que el trabajador había sido informado de la posibilidad de utilización de su cuenta de correo corporativo por otros responsables de la empresa, puesto que tal mención consta en la política de seguridad del personal de la empresa”.

Recuerda, no obstante, la AEPD la importancia realizar previamente al acceso, una adecuada ponderación entre la intimidad del trabajador y la facultad de vigilancia y control del cumplimiento de sus obligaciones laborales por la empresa.  

 

Volver al índice

 

CUMPLIMIENTO NORMATIVO

 

Novedades sobre la Autoridad Independiente de protección al Informante 

El pasado 17 de septiembre el Consejo de Ministros ha anunciado (dentro del Plan de Acción para la Democracia), la creación de la Autoridad Independiente de Protección al Informante (AIPI), entidad con facultades de supervisión y sanción de los incumplimientos de la Ley 2/2023 de 20 de febrero. Tras más de año y medio de la entrada en vigor de la Ley, parece que la creación de la AIPI -previsiblemente a través de Real Decreto- se producirá dentro del último trimestre del año. 

 

Volver al índice

 

¿Quién debe probar la eficacia de los sistemas de compliance? 

La responsabilidad penal de las personas jurídicas ha sido objeto de intenso debate en la última década, centrado principalmente en la atribución de responsabilidad o carga probatoria en la eficacia de los sistemas de compliance. Existen dos modelos en discusión: el de autorresponsabilidad y el de hetero responsabilidad. 

El Tribunal Supremo (sirva de ejemplo STS 668/2017, de 11 de octubre) y diversas Audiencias Provinciales (AP) optaron desde un principio por un sistema de autorresponsabilidad. En base a este modelo, la acusación debe probar la ineficacia de los sistemas de compliance, ya que la falta de implementación de estos sistemas es parte esencial del tipo penal. La carga de probar que un delito se debió a fallos en los mecanismos de prevención recae en la acusación, mientras que la empresa puede demostrar que su sistema cumple con los requisitos del artículo 31 bis del Código Penal. Por tanto, si la defensa no realiza ningún esfuerzo por demostrar la existencia de los sistemas de cumplimiento, habrá que entender que dichos sistemas no existen. 

El Código Penal contempla la posible responsabilidad penal de las empresas y así como la previsión de su protección a través de los sistemas de Compliance Penal. Más aún a la luz de los nuevos pronunciamientos judiciales, parece que no bastará con desplegar dichos sistemas, sino que las defensas acreditarán en el procedimiento penal la existencia de los programas de cumplimiento penal y que estos son eficaces y cuentan con medidas de prevención (aunque puedan fallar) sobre los delitos imputados. 

Así, tanto la AN en su auto de fecha 4 de marzo 2024 (recurso 42/2017) como la sentencia del Tribunal Supremo 298/2024, 8 de abril, coinciden en que no se ha de presumir que todas las personas jurídicas cuentan con un programa de cumplimiento; sino que éstas deben de aportarlo y demostrar su eficacia. De esta manera, se les concede la posibilidad de acreditar que, pese a la comisión del delito, su programa era eficaz y cumplía los estándares exigidos legalmente. 

En conclusión, se destaca una clara tendencia hacia la no aceptación de contar solamente con un Sistema de Compliance sino que las empresas habrán de implementar las medidas necesarias de prevención, así como probar su eficacia ante el juez como haber dado publicidad al sistema, disponer de actas de aprobación e implementación, haber realizado actividades de formación a los trabajadores, etc.  

 

Volver al índice

 

Absolución de la periodista de Huelva condenada por revelación de secretos 

El Tribunal Superior de Justicia de Andalucía (TSJA) absolvió a la periodista del diario Huelva Información, condenada a dos años de prisión por la Audiencia de Huelva por un supuesto delito de revelación de secretos.  

La condena se basaba en la publicación de informaciones recopiladas del sumario del caso del brutal asesinato de Laura Luelmo en El Campillo. La Audiencia sostuvo que la periodista, dada su profesión, debía conocer que los datos sumariales son de naturaleza reservada, salvo para las partes intervinientes, por lo que necesariamente tuvo que ser consciente de su procedencia ilegítima.  

Sin embargo, la Sala del TSJA argumentó que una cosa es que la periodista conociera la naturaleza reservada de los datos y otra muy diferente es que supiera de la ilicitud en su obtención. Esta distinción no se logró demostrar de manera concluyente en el caso: no se indica la procedencia u origen de la información publicada, tampoco se expresa que la acusada fuera consciente del posible origen ilícito y no se declara que la persona que se apoderó de la información reservada hubiese actuado en perjuicio del titular de los datos o de un tercero. 

 

Volver al índice

 

NORMATIVA AL DÍA

 

NIS2 

El próximo día 17 de octubre finaliza el plazo de transposición de la Directiva NIS2 (DIRECTIVA (UE) 2022/2555 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión). Al efecto indicar que, de un lado, el INCIBE ha elaborado varios materiales de consulta sobre la materia mientras que el Centro Criptológico Nacional ha habilitado un servicio para ayudar a las entidades a cumplir con las medidas técnicas, operativas y de organización de la NIS2. 

 

Volver al índice

 

Entrada en vigor de la Ley de IA de la UE 

A partir del 1 de agosto entró en vigor en la Unión Europea la Ley de Inteligencia Artificial (IA), la primera del mundo para regular sistemas que permiten actuar de manera más precisa y eficiente a los humanos en muchos ámbitos e impulsar la innovación, planteando a la vez importantes riesgos que el nuevo marco común trata de evitar. Dicha Ley se resume en los siguientes puntos fundamentales: clasificación de la IA en función de su riesgo (llegando a prohibir los llamados riesgos inaceptables); obligaciones de los proveedores (y algunos usuarios o implantadores) de sistemas de IA de alto riesgo; y los modelos y sistemas de IA de propósito general (GPAI).  

Será plenamente aplicable 24 meses después de su entrada en vigor, siguiendo la siguiente cronología de plazos de aplicación: (i) 6 meses (febrero 2025) para los sistemas de IA prohibidos; (ii) 12 meses (agosto 2025) para GPAI; (iii) 24 meses (agosto 2026) aplicación del resto de la Ley con excepción del artículo 6(1) y obligaciones correspondientes (una de las categorías de IA de alto riesgo); y (iv) 36 meses (agosto 2027) aplicación del artículo 6(1) y obligaciones correspondientes. 

 

 

Volver al índice

 

Publicado en Circulares, Cumplimiento Normativo, Propiedad Intelectual e Industrial, Protección de Datos | Etiquetado como , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 7 – 2024

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 1 – 2024

Publicado el 30-01-2024
Propiedad Intelectual e Industrial

 

Protección de datos – Seguridad de la Información

 

Compliance

 

Normativa al día

 

 

PROPIEDAD INTELECTUAL E INDUSTRIAL

 

Límites al uso de marcas de terceros con motivo de una acción promocional. 

Tras conocerse la opinión del Abogado General de Justicia de la Unión Europea, el Tribunal de Justicia de la Unión Europea ha resuelto la cuestión prejudicial planteada por el Tribunal Supremo en el caso de uso de la marca Zara por Buongiorno Myalert en relación con una acción promocional en la que esta última regalaba tarjetas regalo de Zara. Acto que Inditex entendía, constituía un acto de competencia desleal. 

Tras ser desestimadas las pretensiones de Inditex por parte de un Juzgado de lo Mercantil de Madrid, así como por la Audiencia Nacional, se recurrió ante el Tribunal Supremo, que planteó cuestión prejudicial al TJUE solicitando aclaración sobre si el concepto de “límite referencial” previsto por el artículo 6.1.c) de la Directiva 2008/95 aplicable en el momento de los hechos, es más o menos amplio que el de la Directiva 2015/2436, aplicable en la actualidad. 

En este contexto, el TJUE aclara que el límite solo se refiere al uso en el tráfico económico de la marca, cuando la misma sea requerida para determinar el destino de un producto. Aclarado el alcance, corresponde al Tribunal Supremo determinar si la campaña que lanzó Buongiorno se adecua o no a derecho. 

 

Volver al índice

 

El Tribunal Supremo pone punto final a la guerra entre Kukuxumuxu y sus antiguos dibujantes. 

La Sala de lo Civil del Tribunal Supremo ha desestimado el recurso planteado por la entidad Kukuxumusu Ideas, S.L a la sentencia de segunda instancia.  La sentencia analiza si la cesión de derechos de explotación sobre los dibujos acordada entre la mercantil y los autores de los mismos alcanza cualquier nuevo dibujo en el que puedan aparecer los personajes representados en los dibujos cedidos o si, por el contrario, los personajes pueden ser reproducidos en otras escenas, situaciones o peripecias.  

El Supremo, ha determinado, que los autores podrán realizar nuevos dibujos de los personajes, siempre que sean lo suficientemente distintos para no poder considerarse plagio de los dibujos cedidos a Kukuxumusu Ideas, S.L y siempre que la transformación que se pueda hacer de los mismo esté dentro del marco contractual acordado, en su momento, entre las partes.  

 

Volver al índice

 

PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN

 

Nueva Guía sobre el Uso de cookies para herramientas de medición de audiencia. 

La Agencia Española de Protección de Datos ha publicado la “Guía sobre el uso de cookies para herramientas de medición de audiencia”.  

En dicha guía se establece la posibilidad de usar cookies estadísticas de tráfico o rendimiento sin consentimiento, siempre y cuando se limite únicamente a medir la audiencia, de manera anónima. En este sentido, dichas cookies no deberán permitir el seguimiento agregado a través de diferentes páginas web, y no se deberán compartir con terceros.  

No obstante, se permitirá recoger datos como el tipo de dispositivo, o el navegador mediante el que se accede a la página, siempre que se informe en la política de privacidad, y se limite la duración de las cookies a 13 meses, y la conservación de los datos a 25 meses.  

 

Volver al índice

 

Sanción en Francia en materia de cookies. 

Recientemente se ha conocido una sanción de 10 millones de euros impuesta por parte de la Autoridad de control francesa (CNIL) a la empresa Yahoo por distintos incumplimientos en materia de cookies. En concreto, la sanción impuesta el pasado 29 de diciembre de 2023, se basa en dos infracciones:  

    • La persistencia en la instalación de cookies publicitarias una vez el usuario desactivaba las mismas en el panel de configuración.   
    • Las consecuencias derivadas de la retirada del consentimiento a la instalación de cookies: se detecta que al retirarse el consentimiento dado en el panel de configuración de la página “Yahoo! Mail”, se informaba al interesado de que ya no podría acceder a los servicios ofrecidos por la empresa, y que se le negaría el acceso a mensajería, lo cual se opone al derecho de libertad de retirada del consentimiento.  

 

Volver al índice

 

El coche como dato identificativo 

Nos hacemos eco de una resolución de la Agencia Española de Protección de datos (AEPD), en la que se ha apercibido a la Policía Foral de Navarra por publicar en RRSS una imagen de un coche en un control rutinario de drogas, en agosto de 2023.  En la imagen aparecía: el coche de la infractora, el rostro de la infractora reflejado en el retrovisor derecho y a su perro asomado por la ventanilla, todo ello junto a las drogas y armas blancas incautadas en el control. La imagen se hizo viral e implicó que la dueña del coche perdiera su puesto de trabajo.  

La AEPD señala que la Policía Foral de Navarra no utilizó los medios corporativos, ni los mecanismos suficientes para no hacer identificable a la persona de la fotografía publicada por lo que apercibe a dicha institución.  

 

Volver al índice

 

La autoridad de protección de datos de Reino Unido analiza la legalidad de las pruebas de IA generativa. 

Ante una serie de consultas, la ICO -homólogo a la Agencia Española de Protección de Datos en Reino Unido- se ha pronunciado a cerca de las bases legales para realizar el web scraping con la finalidad de entrenar modelos de IA generativa. La consulta se centra en la base legal para extraer o procesar datos de la web para este propósito, y ha entendido que, para cumplir con el principio de licitud de protección de los datos, los desarrolladores deberán asegurarse que los tratamientos no infringen ninguna ley y que disponen de interés legítimo para realizar el tratamiento. De cara a poder concluir que efectivamente se dispone de interés legítimo recuerda la ICO la necesidad de realizar el análisis de la existencia del mismo.  

 

Volver al índice

 

La Comisión Europea permite el flujo de datos con once terceros países. 

La Comisión Europea concluyó el pasado 15 de enero de 2024, que la transferencia de datos personales desde la Unión Europea a once terceros países, sigue siendo adecuada. En concreto, dichos países son Andorra, Argentina, Canadá, Islas Feroe, Guernsey, Isla de Man, Israel, Jersey, Nueva Zelanda, Suiza y Uruguay. Por tanto, los datos podrán continuar fluyendo libremente a dichos terceros países, por cuanto han fortalecido la protección de datos en sus jurisdicciones, convergiendo dentro del marco de la Unión Europea.  

 

Volver al índice

 

COMPLIANCE

Nuevo Registro de Responsables del Sistema Interno de Información Oficina de Buenas Prácticas y Anticorrupción de la Comunidad Foral de Navarra (OANA). 

El pasado 2 de diciembre de 2023 entró en vigor la Resolución por la que se creó el Registro de Responsables del Sistema Interno de Información, de la Oficina de Buenas Prácticas y Anticorrupción de la Comunidad Foral de Navarra (OANA).  

De acuerdo con dicha resolución, se deberán inscribir en el Registro tanto los nombramientos, como los ceses de los Responsables de los Sistemas de Información de las entidades que se encuentren comprendidas dentro del ámbito de actuación de la OANA, tales como Empresas públicas, Fundaciones, o partidos políticos, entre otros. Si bien en principio las Sociedades privadas no tienen la obligación de registrar a sus responsables, se ha tenido conocimiento de sociedades que lo han hecho. 

 

Volver al índice

 

 NORMATIVA AL DÍA  

 

Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos  

El pasado día 4 de enero de 2024, entró en vigor la Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos, que reemplaza el régimen contenido en la normativa anterior, de 2004. Dicha Ley supone el cambio de la institución vasca de Agencia a Autoridad, y tiene por objeto actualizar la normativa autonómica.  

 

Volver al índice

 

Nuevo sistema de verificación de edad propuesto por la AEPD.  

El pasado 14 de diciembre de 2023 la Agencia Española de Protección de Datos presentó una propuesta de sistema de verificación de edad en internet, ante el acceso de menores de edad a contenidos para adultos.   

Dicha propuesta se compone de un Decálogo que recoge los principios que debe cumplir un sistema de verificación de edad, una nota técnica con los detalles del proyecto y tres vídeos prácticos que demuestran cómo funciona el sistema en diferentes dispositivos, todo ello complementado por un gráfico que recoge los riesgos de los sistemas utilizados en la actualidad. Con ello, todas las páginas que se encuentren obligadas o voluntariamente verifiquen la edad de sus usuarios deberán cumplir con las condiciones mínimas establecidas en el sistema, protegiendo el interés superior del menor y los derechos fundamentales de todos los ciudadanos. 

 

Volver al índice

 

Nuevo informe de Comité Europeo de Protección de Datos sobre los Delegados de Protección de Datos. 

El Comité Europeo de Protección de Datos ha emitido un informe sobre la designación y cargo de los delegados de protección de datos. Dicho informe, publicado el pasado 17 de enero de 2024, supone la conclusión de una acción coordinada de refuerzo con las autoridades nacionales, que ha analizado en profundidad los desafíos a los que se enfrentan los delegados de protección de datos y las organizaciones. En concreto, se ha evaluado si los DPD tienen, en sus organizaciones, el cargo requerido en los artículos 37 a 39 del RGPD, y los recursos para llevar a cabo sus tareas.  

Del informe se obtiene que, si bien los DPD desempeñan papeles importantes a la hora de proteger los datos de los interesados, existen riesgos relativos a la falta de recursos asignados a esta figura, a conocimientos insuficientes en la materia y a riesgos de conflictos de interés. Del mismo modo, el informe describe el trabajo realizado por las autoridades supervisoras a efectos de abordar los incumplimientos normativos. 

 

Volver al índice

 

El procedimiento de nulidad y caducidad de signos distintivos cumple un año en la vía administrativa. 

Hasta el pasado 14 de enero de 2023, los procedimientos de nulidad y caducidad de signos distintivos españoles se realizaban en la vía judicial. No obstante, tal día entró en vigor la última modificación de la Ley de Marcas, que derivó dichos procedimientos a la vía administrativa. Desde entonces, la Oficina Española de Patentes y Marcas es el órgano encargado de declarar la nulidad y caducidad de los signos distintivos españoles, cumpliéndose el pasado 14 de enero, un año desde el inicio de dicho procedimiento. 

 

Volver al índice

 

Publicado en Circulares, Cumplimiento Normativo, Nuevas Tecnologías, Propiedad Intelectual e Industrial, Protección de Datos | Etiquetado como , , , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 1 – 2024

Canal de Denuncias: Adaptación a la Ley 2/2023 de 20 de febrero

Publicado el 20-09-2023

Con la entrada en vigor de la Ley 2/2023, las organizaciones de más de 50 trabajadores deberán contar con Sistemas Internos de Información que permitan comunicar infracciones normativas de forma segura, confidencial e incluso anónima antes del próximo 1 de diciembre.

Con esta nueva obligación, se deberán establecer canales internos de comunicación seguros, documentar procedimientos adecuados y nombrar responsables del sistema. De no hacerlo de forma adecuada, las entidades obligadas y sus órganos de gobierno se exponen a posibles sanciones de hasta 1.000.000 de euros.

Con la finalidad de ofrecer información útil sobre cómo adaptarse a este nuevo marco normativo, ARPA Abogados Consultores impartirá el próximo 3 de octubre a las 10:00 h, de la mano de Whistleblower Software, un webinar sobre aspectos clave y principales cuestiones técnicas y prácticas a tomar en consideración en la adecuación a la Ley 2/2023.

  • Características de los Sistemas Internos de Información.

  • Contenido de las políticas y procedimientos asociados al Sistema.

  • Nombramiento y funciones del Responsable del Sistema Interno de Información.

  • Sanciones por incumplimiento.

  • Características y garantías de los canales internos de información.

  • Ejemplo práctico con la plataforma Whistleblower Software.

Ponentes confirmados:

 

Si quieres apuntarte, debes cumplimentar el siguiente formulario.

 

 

Publicado en Circulares, Cumplimiento Normativo, Sede-Madrid, Sede-Pamplona, Sede-San Sebastián, Sede-Valladolid | Etiquetado como , , , , , , , Comentarios desactivados en Canal de Denuncias: Adaptación a la Ley 2/2023 de 20 de febrero

ARPA incorpora a Miguel Lecumberri para impulsar el área de Pharma & Healthcare

Publicado el 06-09-2023

La nueva incorporación cuenta con amplia experiencia corporativa, comercial y transaccional en el sector Farmacéutico y de Atención Sanitaria, así como en operaciones de comercio internacional y Compliance.

ARPA Abogados Consultores da un impulso importante a su plan de crecimiento y especialización sectorial, y lo hace reforzando su equipo de Pharma & Healthcare con la incorporación de Miguel Lecumberri Blanco.

Miguel Lecumberri, que cuenta con una amplia experiencia corporativa, comercial y transaccional en el sector Farmacéutico y de Atención Sanitaria, así como en operaciones de comercio internacional y Compliance, tiene formación de abogado y desarrollador de negocios internacionales en diversas universidades, tanto en Europa como en EE.UU. y México.

Cuenta con más de 15 años de experiencia prestando servicios de asesoría jurídica y de estructuración negocios internacionales para grandes empresas farmacéuticas tales como Astellas, Astra-Zeneca y Novartis, a través de importantes firmas internacionales como las estadounidenses Foley (anteriormente Gardere) o ArentFox, o la mexicana Olivares.

Del mismo modo, ha prestado servicios a empresas e iniciativas en etapas de desarrollo e investigación en los sectores de Biotech y Medtech, asesorándoles en las mejores estrategias, tanto corporativas como transaccionales, para conducir ensayos clínicos y hasta obtener la autorización de comercialización de sus productos.

Desde su práctica legal, se ha dedicado a diseñar operaciones de financiamiento de empresas en sus fases de I+D a través de diversos fondos de capital privado, y a estructurar esquemas de licenciamiento de PI, tanto para empresas farmacéuticas como para fabricantes de dispositivos médicos.

En la etapa más reciente de su carrera profesional, Miguel Lecumberri ejerció como responsable legal y de cumplimiento para Pila Pharma AB, un grupo de empresas biotech de Dinamarca y Suecia dedicadas a la investigación y desarrollo de medicamentos para tratar diabetes tipo 2, entre otras indicaciones terapéuticas.

Su incorporación a ARPA se enmarca en la apuesta del despacho por prestar servicios legales de alto nivel y calidad al sector pharma y healthcare.

ARPA Abogados Consultores es un despacho con más de 30 años de trayectoria y con sedes en Pamplona, Madrid, San Sebastián y Valladolid. Asimismo, forma parte de las redes Latiam y Eurojuris International que permiten ofrecer cobertura jurídica en más de 60 países. En la actualidad, el Despacho navarro cuenta con una plantilla de más de 80 profesionales para acompañar a las empresas en sus proyectos, ofreciendo un asesoramiento integral, jurídico, económico y fiscal, aportando valor, confianza, compromiso y seguridad a sus clientes.

 

Asimismo, le dejamos el enlace en los distintos medios de comunicación:

 

Publicado en Circulares | Etiquetado como , , , , , , , , Comentarios desactivados en ARPA incorpora a Miguel Lecumberri para impulsar el área de Pharma & Healthcare

Actualidad de Nuevas Tecnologías, Propiedad Intelectual e Industrial y Compliance. N.º 07 – 2023

Publicado el 04-09-2023
Protección de datos – Seguridad de la Información

 

Propiedad Intelectual e Industrial

 

Compliance
 
NORMATIVA AL DÍA: Normas, guías y códigos  

 

________________________________________________________________________________________________________________

 

PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN

 

Biometría para el control de jornada de trabajadores.Nuevos pronunciamientos de diferentes autoridades de protección de datos.

Nos hacemos eco de nuevos pronunciamientos de autoridades de protección de datos sobre uso de soluciones de biometría para el control de jornada, en este caso, de los dictámenes del Consejo de Transparencia y Protección de Datos de Andalucía, y de la Autoridad Catalana de Protección de Datos, ambos del 28 de julio de 2023. A destacar de ambos pronunciamientos la gran seguridad jurídica que otorgan en cuanto que se establecen claramente los requisitos que hay que cumplir en estas situaciones. 

Consideran los dictámenes que, dado que se tratan datos biométricos para la identificación, será necesario en primera instancia acudir a los convenios colectivos (en caso de personal laboral) o a los acuerdos con el personal funcionario, en el marco de la negociación colectiva, para analizar si es posible llevar a cabo este tratamiento. En defecto de convenio o pacto, se podrán emplear estos sistemas cuando concurra el consentimiento explícito del interesado. En tal caso, deberá disponerse de una alternativa de libre elección para cumplir el control del horario. También deberá cumplirse con el resto de principios y obligaciones, destacando el principio de minimización del art. 5.1.c) del RGPD.  

En todo caso, es importante recordar la necesidad de realizar una evaluación de impacto previo al tratamiento de los datos que analice y documente todas estas cuestiones, en cuanto que de lo contrario, la organización se expone a una sanción y a la paralización del tratamiento hasta cumplir con las obligaciones (sin ir más lejos, este ha sido el caso de la Diputación de Cuenca, ya que  la Agencia Española de Protección de Datos, en una resolución la ha sancionado a por utilizar lectores de huellas para controlar los horarios sin otorgar información a los trabajadores sobre el tratamiento de sus datos, y sin realizar la Evaluación de Impacto correspondiente). 

 

Volver al índice

 

La AEPD prohíbe a la Mancomunidad de la Comarca de Pamplona recopilar datos de apertura de contenedores vinculados a domicilios. 

La AEPD ha publicado una resolución, en agosto de 2023, mediante la cual ha establecido que la Mancomunidad de la Comarca de Pamplona carece de legitimación para recoger el número de veces que un domicilio abre la tapa de los contenedores orgánicos o de resto, mediante el sistema de tarjeta de apertura vinculada a los domicilios.  

Dichos contenedores seguirán abriéndose mediante el sistema de tarjetas, pero la información que se obtenga será encriptada para no poder utilizarse, tal y como ha señalado el presidente de la MCP en una rueda de prensa. 

 

Volver al índice

 

Sanciones a dos importantes organizaciones por incumplimientos en materia de Cookies. 

 La AEPD ha emitido dos resoluciones este mes de agosto contra dos empresas de ámbito nacional. En la primera resolución, la sanción se ha fundamentado en que, en el panel de control sobre cookies, si se seleccionaba el botón de “rechazar todas”, la web seguía utilizando cookies de terceros de Google, sin consentimiento del usuario. En el caso de la segunda resolución, la sanción viene fundada en la falta de inclusión en el banner, de un acceso al panel de control que permitiera revocar el consentimiento, o rechazar las cookies aceptadas previamente.  

 R. 23 de agosto: https://www.aepd.es/es/documento/ps-00132-2023.pdf

R. 25 de agosto: https://www.aepd.es/es/documento/ps-00051-2023.pdf

 

Volver al índice

 

Conservación de documentación de identidad tras verificación de identidad. La Comisión de Protección de Datos de Irlanda sanciona a AirBNB 

El pasado 21 de junio de 2023, la Comisión de Protección de Datos de Irlanda emitió una resolución mediante la cual se estableció que la retención por parte de una empresa de una copia del documento de identidad de un usuario, tras la finalización del proceso de verificación de identidad, infringía los principios de minimización de datos y de limitación del plazo de conservación del Reglamento General de Protección de Datos. Por ello, se ha amonestado a la compañía, ordenándole tomar medidas para remediar las infracciones producidas, así como para prevenir infracciones futuras, incluyendo, entre estas medidas, la revisión de políticas internas relacionadas con la verificación del usuario. 

 

Volver al índice

 

“Fraude del CEO”: ¿Es el trabajador responsable de las cantidades defraudadas? Tribunal de Cuentas exige 4 millones de euros en el caso de la estafa a la EMT de Valencia.      

La sección de Enjuiciamiento del Tribunal de Cuentas ha rechazado el recurso de apelación presentado por una extrabajadora de la Empresa Municipal de Transportes de Valencia, condenándola como responsable de un fraude ocurrido en septiembre de 2019. El modus operandi de los estafadores consistió en suplantar la identidad de un abogado de un reconocido despacho, así como del presidente de la EMT, solicitando a la empleada una serie de pagos, habiéndole hecho firmar previamente una supuesta carta de confidencialidad.  

El Tribunal de Cuentas afirma en la resolución que la empleada actuó de manera gravemente negligente y que «asumió funciones que correspondían a otros cargos directivos de la sociedad sin tener atribuidas las competencias«, causando un grave perjuicio a la entidad. No obstante, los responsables de la estafa no han sido encontrados, y el procedimiento penal se mantiene detenido. 

A resaltar la existencia de un voto particular que solicita la absolución de la trabajadora, lo que ha servido para recurrir ante el Tribunal Supremo. Estando actualmente el caso en manos del Supremo, la defensa ha argumentado que la empleada fue engañada, que no actuó de forma dolosa, y que los responsables del fraude serían únicamente los estafadores, y la entidad financiera que permitió los pagos. 

 

Volver al índice

 

 

PROPIEDAD INTELECTUAL E INDUSTRIAL

 

¿Quién puede comercializar la icónica botella verde de sidra de Asturias?

El pasado 19 de julio de 2023, el Tribunal Supremo emitió una sentencia por la que se declaró la validez del registro de una marca tridimensional, constituida por la popular forma de la botella de sidra, conocida como botella “molde de hierro. La sentencia, que da la razón a la Asociación de Sidra Asturiana, afirma que la botella posee un conjunto de características que no son atribuibles a la búsqueda de un resultado técnico en la botella, sino que otorgan una apariencia particular, y que permiten que el comprador la asocie a la “Sidra Natural Asturiana, lo que implica que solo podrá utilizarse para envasar sidra natural elaborada en Asturias. 

 

Volver al índice

 

Nueva sentencia en EE.UU. sobre los derechos de autor de las obras generadas por IA. 

La Jueza Beryl Howell del Tribunal Federal de Washington ha confirmado la postura mantenida por la Oficina de Derechos de Autor de EE.UU., de que las obras generadas por IA no pueden estar protegidas por los derechos de autor. Lo novedoso de la sentencia es que pone de relieve la importancia de la autoría humana en una obra, afirmando que se trata de un “Requisito fundamental” para poder obtener la protección que le otorgan los derechos de Propiedad Intelectual, inclusive cuando el solicitante sea el titular de la solución de IA utilizada para la generación del activo que se quiere registrar como obra. 

 

Volver al índice

 

COMPLIANCE

El Tribunal Supremo desestima el recurso de la Agencia Valenciana Antifraude contra la anulación de un estatuto de denunciante protegido.

La Sala de lo Contencioso-Administrativo del Tribunal Supremo ha desestimado el recurso interpuesto por la Agencia Valenciana Antifraude, frente a una sentencia del Tribunal Superior de Justicia de Valencia. Dicha sentencia anulaba el estatuto de denunciante protegido al jefe de urbanismo del Ayuntamiento de Los Montesinos, protección que había sido otorgada por la Agencia en base a una denuncia interpuesta ante un Juzgado de Torrevieja, donde revelaba determinados hechos presuntamente delictivos, en materia urbanística.  

La sentencia establecía que Agencia Anticorrupción solo podía conceder dicho estatuto cuando la denuncia se realizaba frente a la propia agencia, en aplicación de la Ley 11/2016 de la Comunidad Valenciana, de la Agencia de Prevención y Lucha contra el Fraude y la Corrupción. Por su parte, el Tribunal Supremo señala que no puede revisar en casación la interpretación de normativa autonómica realizada por un Tribunal Superior de Justicia, salvo que se trate de una infracción de normativa Estatal o europea. Si bien existe al respecto la Directiva de la UE 2019/1937, de 23 de octubre “Whistleblowing, dicha Directiva no era directamente aplicable debido a que, en el momento de los hechos, no había sido traspuesta todavía al derecho nacional.    

 

Volver al índice

 

 

Responsabilidad penal de la empresa: criterio sobre el beneficio y el debido control. 

Debido a su relevancia en la aplicación de sistemas de Corporate Compliance, destacamos a continuación extracto de la Sentencia 10/2023 de la Audiencia Nacional de 29 de mayo de este año 2023, por la que se analiza el criterio de la audiencia del debido control y el beneficio de la persona jurídica. 

Como es sabido, para que pueda apreciarse la responsabilidad penal de la empresa se deben cumplir los siguientes requisitos:  la comisión de un delito en el seno la persona jurídica por su personal, que el delito se haya producido en beneficio (directo o indirecto) de la empresa y la falta de medidas de control.  A este respecto, la sentencia establece que las personas jurídicas no deben establecer controles sobre todos y cada uno de sus procesos, sino sobre aquellos de los que pueda obtener un beneficio o ventaja por la falta de aplicación de medidas de supervisión. Así, el pronunciamiento judicial dicta lo siguiente: “la organización no puede controlar cualquier acontecimiento que tenga lugar en el desarrollo de su actividad, entendiéndose como un razonable límite exigir únicamente que lo haga con respecto a las conductas que le son estructuralmente beneficiosas quedando excluidas las que ningún beneficio podrían reportarle. Desde otras perspectivas, se ha venido entendiendo que la empresa tenderá a relajar sus controles con relación, precisamente, a aquellos comportamientos que pudieran reportarle beneficios, siendo precisamente ahí donde dichas prevenciones resultarán más necesarias”. Por otro lado, el pronunciamiento no precisa que la persona jurídica obtenga finalmente un beneficio, sino que será suficiente que la corporación rebaje sus controles ante la expectativa de una ventaja o beneficio con independencia de que este llegue a producirse.

 

Volver al índice

 

NORMATIVA AL DÍA: Normas, guías y códigos  

 

Aprobado el estatuto de la Agencia Española de Supervisión de la Inteligencia Artificial. 

El Consejo de Ministros ha aprobado un Real Decreto por el que se aprueba el estatuto de la Agencia Española de Supervisión de la Inteligencia Artificial, que se adscribirá al Ministerio de Asuntos Económicos y Transformación Digital, convirtiendo a España en el primer país europeo en tener un órgano de estas características.  

 

Volver al índice

 

Aprobada la norma ISO/TS 37008:2023 para las investigaciones internas de las organizaciones. 

El pasado 28 de julio, se aprobó la ISO/TS 37008:2023, que ofrece orientación sobre las investigaciones internas dentro de las organizaciones, y que será aplicable a todas las entidades, independientemente de su tipo, tamaño, ubicación, estructura o propósito.

 

Volver al índice

 

Publicado en Circulares, Cumplimiento Normativo, Empresas TIC, Nuevas Tecnologías, Protección de Datos, Sede-Madrid, Sede-Pamplona, Sede-San Sebastián, Sede-Valladolid | Etiquetado como , , , , , , , , , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías, Propiedad Intelectual e Industrial y Compliance. N.º 07 – 2023
Suscríbete a nuestra newsletter

Información sobre protección de datos: ARPA tratará tus datos con el fin de remitirte periódicamente nuestro boletín, con información tanto de ARPA A&C S.L. como de Fundación ARPA y ARPA Accounting S.L. Tienes la posibilidad de ejercitar los derechos de acceso, rectificación, supresión, portabilidad, limitación u oposición del tratamiento de tus datos. Puedes consultar una versión ampliada de esta política aquí.
He leído y acepto la Política de Privacidad
X