Facebook-f X-twitter Linkedin Instagram Rss
Buscar
Cerrar este cuadro de búsqueda.
Buscar
Cerrar este cuadro de búsqueda.

Entradas de la etiqueta: #compliance

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 3- 2026

Publicado el 27-03-2026
Derecho Digital y seguridad de la información

 

 

Cumplimiento normativo

 

 

 

 

 

DERECHO DIGITAL Y SEGURIDAD DE LA INFORMACIÓN

 

 

¿Es compatible ejercer simultáneamente como DPD y Responsable del Sistema Interno de Información? 

 

La compatibilidad entre los cargos de Delegado de Protección de Datos (DPD) y responsable del Sistema Interno de Información ha sido objeto de análisis por parte de la Agencia Española de Protección de Datos (AEPD) en una reciente resolución. El pronunciamiento se produce en el marco de un procedimiento contra la Diputación Provincial de Huesca, en el que la Agencia analizó, entre otras cuestiones, si la designación del DPD como responsable del Sistema Interno de Información, previsto en la normativa de protección de informantes, es compatible con sus funciones. 

La AEPD concluye que esta acumulación de funciones puede comprometer la independencia que el Reglamento General de Protección de Datos (RGPD) exige para el Delegado de Protección de Datos. En particular, el artículo 38 del RGPD establece que el responsable del tratamiento debe garantizar que el DPD no reciba instrucciones en el ejercicio de sus funciones y que las tareas adicionales que desempeñe no den lugar a conflictos de intereses. En el caso analizado, la Agencia señala que “el hecho de que una misma persona física haya de representar dos intereses diferentes (DPD de la Diputación y responsable del Sistema Interno de Información) y, en ocasiones, contrapuestos, puede dar lugar a que se produzcan conflictos de intereses, circunstancia que, de acuerdo con lo previsto tanto en el RGPD como en la LOPGDD, debe ser evitada».  

En consecuencia, la AEPD considera que, cuando la Diputación Provincial de Huesca designó a su DPD como responsable del Sistema Interno de Información, no garantizó adecuadamente que las nuevas funciones encomendadas no generaran un posible conflicto de intereses, vulnerando lo dispuesto en el artículo 38.6 del RGPD. Tras la investigación y a raíz de la consulta formulada por la propia institución, la Diputación modificó su organización interna y designó a otra persona como responsable del Sistema Interno de Información, con el fin de preservar la independencia del DPD. 

 

 

Volver al índice

 

 

 

La AEPD analiza los retos de la inteligencia artificial agéntica para la protección de datos 

 

La Agencia Española de Protección de Datos (AEPD) ha publicado un documento de orientaciones sobre el uso de sistemas de inteligencia artificial agéntica desde la perspectiva de la protección de datos personales. La guía analiza cómo estos sistemas de IA, que no solo responden a preguntas sino que también son capaces de interactuar con su entorno digital y actuar de forma autónoma para cumplir objetivos, pueden implicar nuevos riesgos en el tratamiento de datos personales y plantea la necesidad de comprender su funcionamiento antes de integrarlos en procesos organizativos.  

El documento examina aspectos clave de cumplimiento del Reglamento General de Protección de Datos (RGPD), así como las vulnerabilidades y amenazas asociadas a esta tecnología, que puede realizar tareas complejas, acceder a múltiples fuentes de información o tomar decisiones automatizadas. En este contexto, la AEPD subraya la importancia de evaluar cuidadosamente la integración de estos sistemas, aplicar medidas de seguridad y garantizar salvaguardas que protejan los derechos de las personas en los tratamientos de datos personales. 

 

Volver al índice

 

 

 

La AEPD sanciona al FC Barcelona por incumplir la obligación de realizar correctamente  evaluación de impacto 

 

La Agencia Española de Protección de Datos (AEPD) ha sancionado al Fútbol Club Barcelona con 500.000 euros por una infracción del artículo 35 del RGPD, al considerar que no llevó a cabo de forma adecuada una evaluación de impacto en protección de datos en el marco del proceso de actualización digital del censo de socios. El expediente se inició a partir de varias reclamaciones presentadas por socios del club en relación con el uso de sistemas de verificación biométrica, como la captación de imagen facial y voz, durante dicho proceso. 

Según recoge la resolución, el club impulsó la digitalización del censo con la finalidad de reforzar la identificación de las personas socias, evitar fraudes o suplantaciones y facilitar la tramitación a distancia. Para ello, utilizaba un sistema de comparación facial que contrastaba la imagen del documento oficial con la fotografía capturada en el momento del registro, incorporando además una prueba de vida para confirmar la presencia real del usuario. Sin embargo, la AEPD concluye que ese tratamiento entrañaba un alto riesgo para los derechos y libertades de las personas afectadas, por lo que exigía una evaluación de impacto previa y suficientemente fundamentada. 

No obstante, la AEPD archiva la imputación relativa al artículo 9 del RGPD sobre el tratamiento de categorías especiales de datos. De este modo, la resolución centra el reproche sancionador en la falta de una evaluación de impacto adecuada y refuerza la idea de que, cuando se implantan mecanismos biométricos de identificación o autenticación, las garantías preventivas deben extremarse desde el diseño mismo del tratamiento. 

 

 

Volver al índice

 

 

La Comisión avanza en el Código de Buenas Prácticas para el etiquetado de contenido generado por IA 

 

La Comisión Europea ha publicado el segundo borrador del Código de Buenas Prácticas sobre el marcado y etiquetado de contenido generado por inteligencia artificial, una iniciativa voluntaria destinada a ayudar a proveedores y responsables del despliegue a cumplir con los requisitos de transparencia previstos en el artículo 50 de la Ley de IA. El documento, elaborado por expertos independientes, incorpora las aportaciones de cientos de actores —entre ellos representantes de la industria, el ámbito académico, la sociedad civil y las instituciones europeas— recogidas a través de consultas públicas, talleres y reuniones con partes interesadas. 

La nueva versión del borrador simplifica el enfoque inicial y ofrece mayor flexibilidad a las organizaciones que se adhieran al código, reduciendo la carga de cumplimiento e introduciendo consideraciones técnicas adicionales para mejorar su aplicación práctica. Entre otras medidas, promueve el uso de estándares abiertos para el marcado de contenido generado por IA y propone la creación de un icono común de la UE para su etiquetado. El texto también distingue obligaciones para proveedores de sistemas de IA generativa (como mecanismos de marcado mediante metadatos seguros o marcas de agua) y para los responsables del despliegue, que deberán etiquetar contenidos como deepfakes o publicaciones sobre asuntos de interés público generadas mediante IA. La Comisión recogerá comentarios sobre esta segunda versión hasta el 30 de marzo y prevé finalizar el código a principios de junio, antes de que las normas de transparencia de la Ley de IA entren en vigor el 2 de agosto de 2026. 

 

Volver al índice

 

 

 

CUMPLIMIENTO NORMATIVO

 

Últimos días para notificar el Responsable del Sistema Interno de Información a la AIPI 

 

El próximo 10 de abril de 2026 finaliza el plazo para comunicar a la Autoridad Independiente de Protección del Informante (AIPI) el nombramiento o cese del Responsable del Sistema Interno de Información (RSII) realizados desde la entrada en vigor de la Ley 2/2023. Esta obligación debe cumplirse a través del formulario habilitado por la Autoridad en su página web. 

A partir de esta notificación inicial, los futuros nombramientos o ceses deberán comunicarse en un plazo de diez días hábiles. Para ello será necesario contar con certificado digital, indicar el CNAE de la entidad y adjuntar la documentación acreditativa correspondiente. La AIPI ha publicado además guías y materiales de apoyo para facilitar el cumplimiento de esta obligación. 

 

 

Volver al índice

 

 

BBVA despidió a 169 empleados tras denuncias recibidas en su canal ético en 2025 

 

BBVA registró 2.467 denuncias admitidas a trámite en su canal ético durante 2025, lo que supone un incremento del 8% respecto al año anterior. Como resultado de las investigaciones internas derivadas de estas comunicaciones, la entidad llevó a cabo 169 despidos disciplinarios, la misma cifra que en 2024. La mayoría de las denuncias estuvieron relacionadas con quejas laborales (55,9%), seguidas de conductas con clientes (17,6%), conflictos de interés (7,7%), casos de acoso o discriminación (6,5%) y fraude (5,5%). 

Del total de comunicaciones registradas, el 67,7% fueron presentadas por empleados, mientras que el 6% procedieron de terceros y el 26,3% restante se realizaron de forma anónima. Entre los casos analizados destacan las denuncias por acoso o discriminación: el banco activó 70 protocolos de acoso sexual en 2025, confirmándose la existencia de acoso en 26 casos, todos ellos finalizados con el despido de las personas implicadas. El protocolo de acoso laboral, por su parte, se activó en 111 ocasiones, aunque solo se constató un caso. Según la entidad, el canal de denuncias constituye un mecanismo clave para la gestión de riesgos y el cumplimiento normativo dentro del grupo, que permite a empleados y otros grupos de interés comunicar de forma confidencial o anónima posibles incumplimientos del código de conducta o de la legislación vigente. 

 

 

Volver al índice

 

 

La protección frente a represalias de los denunciantes, a examen en el TSJ de Castilla y León 

 

El Tribunal Superior de Justicia de Castilla y León ha analizado en una reciente sentencia (STSJ CL 493/2026) el alcance de la protección frente a represalias prevista en la Ley 2/2023, de 20 de febrero, que regula la protección de las personas que informen sobre infracciones normativas. El caso se refiere al cese de un trabajador durante su periodo de prueba tras haber denunciado presuntas irregularidades en materia de contratación pública y solicitar medidas de protección frente a posibles represalias. El trabajador sostuvo que su cese constituía una represalia por dichas denuncias realizadas a través de distintos canales, incluido el sistema interno de información.  

Sin embargo, el tribunal concluye que, aunque existían indicios derivados de las denuncias presentadas por el empleado, la entidad acreditó que la finalización del contrato se debió a motivos objetivos relacionados con su comportamiento profesional durante el periodo de prueba, caracterizado por conflictos con la plantilla y conductas inapropiadas hacia otros trabajadores. En consecuencia, la Sala descarta que el cese constituya una represalia prohibida por la Ley 2/2023 y confirma la sentencia de instancia, recordando que la normativa protege a los informantes frente a represalias, pero no impide que la empresa adopte decisiones laborales justificadas por causas objetivas y ajenas a la comunicación realizada. 

 

 

Volver al índice

 

 

 

Aprobado el anteproyecto de Ley Orgánica de Integridad Pública para reforzar la lucha contra la corrupción 

 

El Consejo de Ministros ha aprobado el anteproyecto de Ley Orgánica de Integridad Pública, una norma incluida en el Plan Estatal de Lucha contra la Corrupción que busca reforzar los mecanismos para prevenir, detectar y sancionar prácticas corruptas en el ámbito público. El texto incorpora 84 medidas y la modificación de 18 leyes, seis de ellas orgánicas, y se articula en torno a varios ejes estratégicos como la prevención de riesgos, el refuerzo de los controles, la investigación y sanción de los delitos, la protección de los informantes y la recuperación de activos.  

Entre las principales medidas del anteproyecto figura la creación de la Agencia Independiente de Integridad Pública, que actuará como autoridad administrativa central en la lucha contra la corrupción. Este nuevo organismo integrará la Oficina de Conflictos de Intereses, la Autoridad Independiente de Protección del Informante y el Servicio Nacional de Coordinación Antifraude, con el objetivo de mejorar la coordinación y eficacia en la prevención y persecución de prácticas fraudulentas. Además, la futura ley refuerza el control sobre la financiación de los partidos políticos, endurece las sanciones por corrupción, amplía el uso de herramientas tecnológicas para detectar fraudes en la contratación pública y prevé nuevas medidas para mejorar la transparencia y la eficacia institucional. 

 

 

Volver al índice

 

 

 

España somete a consulta un Real Decreto para adaptar el sistema antiblanqueo al marco europeo 

 

El Gobierno español ha sometido a consulta pública un proyecto de Real Decreto para reforzar el sistema de prevención del blanqueo de capitales y financiación del terrorismo (PBC/FT), con el objetivo de adaptarlo al nuevo paquete legislativo europeo aprobado en 2024 y anticiparse a la evaluación del Grupo de Acción Financiera Internacional (GAFI) prevista para 2026. La iniciativa introduce una reforma amplia del marco vigente, especialmente del Reglamento de la Ley 10/2010, y busca responder a los nuevos riesgos tecnológicos, mejorar la coordinación institucional y reforzar el enfoque basado en riesgo que guía el sistema antiblanqueo a nivel internacional. 

Entre las principales novedades, el proyecto endurece los procesos de identificación de clientes —incluyendo el uso del DNI digital y mayores exigencias en operaciones no presenciales—, refuerza los controles internos de las organizaciones y establece nuevas obligaciones para sectores considerados de mayor riesgo, como asociaciones y fundaciones. Asimismo, prevé la creación de un Comité de Inteligencia Financiera para mejorar el análisis estratégico y la coordinación entre organismos públicos, así como la actualización periódica del Análisis Nacional de Riesgos. En conjunto, la reforma alinea el sistema español con los estándares europeos e internacionales, con especial atención a los riesgos derivados de la digitalización y las sanciones financieras internacionales. 

 

 

Volver al índice

 

 

La Autoridad de Protección del Informante aprueba la credencial oficial para su personal inspector 

 

La Autoridad Independiente de Protección del Informante (AIPI) ha aprobado, mediante Resolución de 11 de marzo de 2026 publicada en el BOE el 13 de marzo, el modelo de tarjeta de identidad profesional para su personal funcionario con funciones de investigación e inspección. La medida tiene por objeto reforzar la seguridad jurídica y facilitar la acreditación oficial de estos profesionales en el ejercicio de sus actuaciones, en el marco de la Ley 2/2023 de protección de las personas informantes y lucha contra la corrupción. 

La credencial reconoce a los inspectores la condición de agentes de la autoridad en el desempeño de sus funciones, lo que les otorga facultades relevantes como requerir información, acceder a instalaciones y sistemas —incluidos datos personales cuando sea necesario— y levantar actas con presunción de veracidad. La resolución regula asimismo la expedición, entrega, retirada, sustitución, control y vigencia de estas tarjetas, que tendrán una validez máxima de cinco años y servirán para acreditar oficialmente la condición de agente de la autoridad durante el ejercicio de sus funciones. 

 

 

Volver al índice

 

 

Publicado en Cumplimiento Normativo, Nuevas Tecnologías, Sede-Pamplona | Etiquetado como , , , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 3- 2026

Normativa, IA y Compliance, lo esencial para PYMES que quieren ir por delante

Publicado el 06-11-2025

La Cámara de Comercio de Pamplona acogerá el próximo 12 de noviembre la jornada “Normativa, IA y Compliance: lo esencial para PYMES que quieren ir por delante”, un encuentro dirigido a pequeñas y medianas empresas que buscan anticiparse a los principales cambios legales, fiscales y tecnológicos de 2025.

A lo largo de la mañana, expertos de distintos ámbitos —entre ellos nuestras compañeras Irene Francés (asociada-subdirectora del Dpto. Fiscal de ARPA Abogados Consultores)  y Edurne Lizarraga, (Responsable del Área fiscal y contable de ARPA Accounting) — analizarán los retos normativos y las oportunidades que la Inteligencia Artificial ofrece al tejido empresarial.

 

PROGRAMA

9:00 – 9:30 Recepción de asistentes

9:30 – 9:45 Bienvenida institucional

Javier Taberna, presidente de la Cámara de Comercio, Industria y Servicios de Navarra

 

9:45 – 10:30 Cambios laborales clave que están afectando a la Pyme

Manuel Piquer. Abogado y director de Asesoría Piquer.

    • Nuevas obligaciones en registro salarial y auditorias retributivas (igualdad de género)
    • Últimos cambios en contratos temporales y uso de contratos fijos discontinuos
    • Ley de familias. Nuevos permisos retribuidos y su impacto en la gestión laboral
    • Sanciones más duras por falsos autónomos y uso indebido de becarios
    • Actualización sobre inspección laboral digital
    • Preguntas y dudas

 

10:30 – 11:00 Obligaciones de compliance para Pymes ¿estás cumpliendo con lo básico?

Irene Macéin, consultora independiente en Compliance, seleccionada dentro de los Top 30complianceofficerinSpain

    • Qué es el compliance y por qué también afecta a las pequeñas empresas.
    • Canal de denuncias obligatorio: quién debe tenerlo y cómo implementarlo correctamente
    • Políticas internas básicas: códigos éticos, protección de datos, prevención de delitos.
    • Riesgos reales: multas por incumplimiento en protección de datos, acoso laboral o corrupción interna
    • Preguntas y dudas

 

11:00 – 11:30 Pausa café

 

11:30 – 12:15 Novedades fiscales y contables 2025 para pequeñas empresas y autónomos

Edurne Lizarraga, responsable del área fiscal y contable de Arpa Accounting
Irene Francés, subdirectora del departamento fiscal de Arpa Abogados

    • Realización de actividad: persona física o jurídica.
    • Obligaciones contables y fiscales de los autónomos.
    • Obligaciones contables, fiscales y mercantiles de las personas jurídicas.
    • Incentivos fiscales en Navarra.
    • Obligación de factura electrónica: plazos y pasos según el tamaño de empresa
    • Preguntas y dudas

 

12:15 – 12:50 Cómo puede la IA ayudar a tu pyme ya. Minicamp de Inteligencia Artificial Generativa

Jesús de Pablos, experto en Innovación, IA, Ciberseguridad y emprendimiento

    • El nuevo paradigma: de buscar a generar información
    • Edición avanzada: manipulación total de contenido
    • Personalización extrema: diseña tu propio asistente de IA
    • Notebook LM: la joya de la corona para el estudio y la gestión del conocimiento
    • Generación creativa y herramientas dispersas
    • Consideraciones legales y éticas

5 minutos para preguntas de los asistentes

 

12:50 – 13:00 Preguntas, cierre y conclusiones

 

Si deseas inscribirte, puedes hacerlo en el siguiente enlace:  Business Day Wolters Kluwer – inscripción – Camara Navarra

Publicado en Fiscal, Sede-Pamplona | Etiquetado como , , , , , , , , Comentarios desactivados en Normativa, IA y Compliance, lo esencial para PYMES que quieren ir por delante

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 8- 2025

Publicado el 03-10-2025
Protección de datos y seguridad de la información

 

Cumplimiento normativo

 

 

PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

 

Caso Bosco -Transparencia algorítmica: el Tribunal Supremo reconoce el derecho a conocer el código fuente de los algoritmos públicos 

En una importante e histórica Sentencia, el Tribunal Supremo reconoce a Fundación Civio el derecho de acceso al código fuente y la documentación del algoritmo BOSCO, encargado de decidir la concesión del bono social eléctrico.  En el caso analizado, la Sala pondera los intereses en conflicto y concluye que “el mero riesgo de eventuales perjuicios para el derecho de propiedad intelectual de las Administración pública, con motivo de su uso o explotación no autorizada, como consecuencia del acceso al código fuente, por sí solo, no puede constituir causa de exclusión del derecho de acceso”. Indica que los eventuales perjuicios para la Administración pueden mitigarse “sometiendo el acceso a determinadas cautelas, como, por ejemplo, (…) la imposición de un deber de reserva o confidencialidad respecto de la información consultada”. 

  Para quien esté interesado, al margen de la Sentencia recomendamos la visualización de la grabación de la vista pública del recurso de casación. 

 

Volver al índice

 

Data Act. Actualización de las FAQ. 

El mismo día de la entrada en aplicación de la Ley de Datos o Data Act, la comisión publico una actualización del documento de preguntas frecuentes, importante referencia para entender el alcance, derechos y obligaciones de la nueva norma. 

 

Volver al índice

 

IA – Nueva Consulta Pública sobre incidentes graves. 

La Comisión Europea ha abierto una consulta pública hasta el 7 de noviembre de 2025 sobre el borrador de guía y plantilla de notificación para incidentes graves relativos a sistemas de inteligencia artificial de alto riesgo, con el fin de implementar el nuevo deber de reporte previsto en el artículo 73 del Proyecto de Reglamento de IA que entrará en vigor en agosto de 2026. 

 

Volver al índice

 

Otros 

Ha sido presentado en el congreso el Proyecto de Ley por la que se modifican diversas disposiciones legales para la mejora de la gobernanza democrática en servicios digitales y ordenación de los medios de comunicación.    

   

Volver al índice

 

CUMPLIMIENTO NORMATIVO

 

La AIPI aporta claves sobre la designación del responsable del sistema interno de información 

El presidente de la Autoridad Independiente de Protección del Informante (AIPI), Manuel Villoria, ha ofrecido recientemente una entrevista en la que aborda las principales cuestiones relacionadas con la entrada en funcionamiento de este organismo. Entre ellas, subrayó la obligación de las empresas de designar y comunicar a la AIPI al responsable de su sistema interno de información, cuyo plazo se ha fijado inicialmente hasta el 1 de noviembre de 2025, aunque adelantó que previsiblemente se concederá una prórroga de uno o dos meses. A este respecto, recomendó esperar a que el registro electrónico de la AIPI esté operativo en la web antes de formalizar la notificación. 

Asimismo, indicó que la principal prioridad de la Autoridad será la protección de los informantes, y recalcó la importancia de garantizar la confidencialidad y la protección de datos en los canales de denuncia. En este sentido, advirtió que el uso del correo electrónico como canal de comunicaciones no permite asegurar el anonimato de los denunciantes ni ofrece garantías suficientes de confidencialidad, de conformidad con las exigencias de la Ley 2/2023. 

 

Volver al índice

 

Prisión y multa de 300.000 euros por fraude en subvenciones públicas 

La Audiencia Provincial de Cáceres, en su Sentencia de 10 de junio de 2025 (SAP CC 663/2025), ha confirmado la condena a un empresario agrícola y a su mercantil por un delito de fraude de subvenciones, tras destinar de forma indebida parte de una ayuda pública. La subvención, de 389.229 euros y destinada a la modernización de una planta extractora de orujo, no fue justificada en su totalidad, quedando acreditado que 194.708 euros se aplicaron a finalidades distintas de las previstas. 

El tribunal ratifica la pena de un año y nueve meses de prisión y una multa de 300.000 euros para el empresario, así como la misma sanción económica para la sociedad, quedando ambos inhabilitados durante cuatro años para acceder a ayudas públicas y beneficios fiscales. 

 

Volver al índice

 

El órgano notarial contra el blanqueo resuelve 400.000 peticiones de las autoridades 

El Órgano Centralizado de Prevención (OCP) de blanqueo de capitales del Notariado español ha atendido desde su creación en 2005 más de 400.000 requerimientos de información por parte de las autoridades, consolidándose como una herramienta clave en la detección y reporte de operaciones sospechosas de blanqueo de capitales. Este sistema, que se nutre del Índice Único Informatizado Notarial, ha permitido consolidar una de las bases de datos más completas del país, facilitando a jueces, fiscales y al SEPBLAC información clave para la lucha contra el blanqueo y la financiación del terrorismo. 

Según destacó la presidenta del Consejo General del Notariado, Concepción Pilar Barrio del Olmo, el 80% de las comunicaciones que el OCP remite al SEPBLAC terminan en procesos judiciales. Además, el OCP ha desarrollado bases de datos especializadas, como la de Titularidad Real, que permiten conocer en tiempo real la propiedad de sociedades y dificultar el anonimato en transacciones con riesgo de blanqueo de capitales o financiación del terrorismo. 

 

Volver al índice

 

La OCDE actualiza sus Directrices para frenar la colusión en contrataciones públicas 

La Organización para la Cooperación y el Desarrollo Económicos (OCDE) presentó la actualización 2025 de sus Directrices para combatir la colusión en contrataciones públicas, un documento que busca reforzar la transparencia, la eficiencia y la competencia en las licitaciones de gobiernos y organismos públicos. La organización advierte que estas prácticas generan sobrecostos para el Estado, reduce la calidad de los bienes y servicios adquiridos, restringe la oferta y, en última instancia, perjudica a los contribuyentes. 

La nueva guía incluye recomendaciones para blindar las contrataciones públicas frente a la colusión: diseñar licitaciones más competitivas — con un mayor conocimiento del mercado, la atracción de varios oferentes, criterios objetivos y plataformas electrónicas — y advertir con claridad sobre sanciones. También incorpora una lista de señales de alerta para detectar posibles acuerdos ilícitos, como precios inusuales o coincidencias sospechosas entre propuestas, y promueve la cooperación entre autoridades de competencia, contratación pública y fiscalías. La OCDE insta a los países miembros a adaptar sus marcos normativos y de control para proteger un sector que representa en torno al 12% del PIB en las economías de la organización. 

 

Volver al índice

 

 

 

 

Publicado en Circulares, Cumplimiento Normativo, Protección de Datos | Etiquetado como , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 8- 2025

Subvenciones para la financiación de programas de compliance en materia de competencia (País Vasco)

Publicado el 15-07-2025

 

Las pymes y los autónomos también están sujetos al derecho de la competencia. La Autoridad Vasca de la Competencia (LEA/AVC) ha anunciado una convocatoria de subvenciones destinadas a pymes y personas autónomas con actividad económica en la Comunidad Autónoma Vasca para financiar la implantación de su primer programa de compliance en materia de competencia.

Las ayudas cubrirán hasta el 70 % del presupuesto aceptado, con un máximo de 10.000 € por beneficiario. Se concederán por orden de solicitud hasta agotar los 20.000 € disponibles. El abono se realizará en un único pago, previa justificación del diseño del programa y su implementación, antes del 16 de diciembre de 2025.

 

Plazos y requisitos clave:

Presentación de solicitudes: Ya está abierto el plazo para presentar solicitudes, que permanecerá disponible hasta el 30 de septiembre de 2025.

Formato: Pueden presentarse a través de la sede electrónica de la CAE: https://www.euskadi.eus/servicios/1258401.

Requisitos:

      • Los proyectos deberán diseñarse e implantarse durante 2025, y podrán consistir en programas nuevos o subprogramas específicos integrados en sistemas de compliance ya existentes.

      • Que los beneficiarios desarrollen alguna actividad económica en el ámbito territorial de la Comunidad Autónoma de Euskadi.

 

Nuestro equipo de derecho de la competencia está a vuestra disposición para más información y asesoramiento en relación con los programas de compliance.

 

Publicado en Ayudas y subvenciones, Circulares, Sede-San Sebastián | Etiquetado como , , , , , , , , , Comentarios desactivados en Subvenciones para la financiación de programas de compliance en materia de competencia (País Vasco)

Foro de Compliance y Buenas Prácticas en la Industria Pharma

Publicado el 11-02-2025

Desde ARPA Abogados Consultores, en colaboración con Diario de Navarra y AseBio – Asociación Española de Bioempresas, hemos organizado un encuentro clave para la industria farmacéutica.

20 de febrero
Sede de Diario de Navarra (C/ Zapatería 49, Pamplona)
⏰ 9:30 – 11:30 h

Una oportunidad única para debatir sobre compliance, regulación y resolución de controversias legales con expertos de primer nivel. Tendremos el placer de contar con la presencia de destacados expertos en compliance y regulacion en la industria farmacéutica: 

Moderador: Jorge Arellano – Responsable del Área de Cumplimiento Normativo en ARPA Abogados Consultores.

La jornada será presentada por Belén Galindo Lizaldre y contará también con la intervención de nuestro Responsable de Pharma&Healthcare, Miguel Lecumberri, que abordará el panorama y los grandes retos del sector en España.

El compliance en pharma no es solo una exigencia, es una oportunidad para construir un sector más sólido y transparente. Te esperamos el 20 de febrero en Pamplona.

Inscríbete y sé parte del debate: businessevents@diariodenavarra.es

 

 

 

Publicado en Cumplimiento Normativo, Derecho de la Competencia, Pharma & Healthcare, Sede-Madrid, Sede-Pamplona, Sede-San Sebastián, Sobre ARPA | Etiquetado como , , , , , Comentarios desactivados en Foro de Compliance y Buenas Prácticas en la Industria Pharma

Sistemas de compliance en materia de libre competencia: la norma UNE 19603 y su certificación

Publicado el 22-01-2025

Las sanciones que se están imponiendo por vulnerar las prácticas de libre competencia y la labor de las autoridades de las comunidades autónomas en la materia, están adquiriendo una mayor relevancia en el entorno económico actual.

En este marco, se ha publicado recientemente la norma UNE 19603, con la participación activa de la Autoridad Vasca de la Competencia, cuyo objetivo es proporcionar herramientas a las empresas para implementar programas de cumplimiento normativo en materia de competencia que permitan prevenir procedimientos sancionadores.

La implantación de un programa de cumplimiento en este ámbito resulta clave para proteger a las empresas de posibles daños reputacionales y económicos derivados de verse involucrados en investigaciones y sanciones.

Por todo ello, ADEGI ha organizado una jornada que contará con la intervención de nuestra compañera, María González Navarate (Responsable del Área de Derecho de la Competencia de ARPA Abogados Consultores),  Rafael Iturriaga Nieva, vocal del Consejo Vasco de la Competencia (Autoridad Vasca de la Competencia) y  Mayrata Conesa Alagarda, Mánager de ESG, Compliance y Buen Gobierno de AENOR. donde darán a conocer los sistemas de compliance competencia, los aspectos clave de la norma UNE 19603:2023 y la experiencia de la empresa certificadora AENOR.

Dicha sesión tendrá lugar el próximo 14 de febrero de 09:30 a 11:15 h en la sede de ADEGI. 

 

Programa:

  • 9:30h: Presentación.

  • 9:40h: Competencia y actividad económica. Relevancia y ventajas de tener de programas de compliance competencia en nuestras empresas.

                       María González, Directora de la oficina de ARPA Abogados Consultores en San Sebastián y, Responsable del Área de Derecho de la Competencia.

  • 10:10h: La norma UNE 19603:2023.

                  Rafael Iturriaga, vocal del Consejo Vasco de la Competencia (Autoridad Vasca de la Competencia.)

  • 10:40h: Los sistemas de gestión de la libre competencia: su certificación.

                  Mayrata Conesa, Mánager de ESG, Compliance y Buen Gobierno. AENOR.

  •  11:00h: Ruegos y preguntas.

  •  11:15h: Cierre jornada.

 

 

Si desea inscribirse, puede hacerlo a través del siguiente enlace.

Publicado en Derecho de la Competencia, Sede-San Sebastián | Etiquetado como , , , , , , , , Comentarios desactivados en Sistemas de compliance en materia de libre competencia: la norma UNE 19603 y su certificación

Estatuto de la Autoridad Independiente de Protección del Informante (AAI)

Publicado el 07-11-2024

A través de la presente comunicación le informamos que el pasado 30 de octubre, se publicó en el Boletín Oficial del Estado (BOE) el Real Decreto 1101/2024, que aprueba el Estatuto de la Autoridad Independiente de Protección del Informante (AAI). Este nuevo marco legal regula la organización, estructura y funcionamiento de la AAI, así como todos los aspectos que sean necesarios para el cumplimiento de sus funciones.

La Autoridad Independiente de Protección del Informante AAI es un ente de Derecho Público dotado de personalidad jurídica propia, que actúa con plena autonomía e independencia de los poderes públicos. A efectos únicamente organizativos y presupuestarios, está adscrita al Ministerio de la Presidencia, Justicia y Relaciones con las Cortes.

El Estatuto establece que la finalidad de la Autoridad se centra garantizar la protección de la persona informante, actuando como pilar institucional en la prevención y la lucha contra el fraude y la corrupción. Entre sus principales funciones destacan, entre otras, las siguientes:

  • La tramitación de las informaciones y comunicaciones que se reciban a través del canal externo.

  • La asunción de la condición de órgano consultivo y de asesoramiento del Gobierno en materia de protección del informante;

  • El inicio, instrucción y resolución de los procedimientos sancionadores e imposición de sanciones por las infracciones previstas en la Ley 2/2023;

  • La elaboración de circulares y recomendaciones donde se establezcan los criterios y prácticas adecuados para el correcto funcionamiento de la AAI.

La aprobación del Estatuto e inminente creación de la Autoridad con facultades sancionadoras implica o refuerza la necesidad de que las empresas con 50 o más trabajadores[1] y que todavía no se hayan adaptado a la normativa procedan de forma urgente a implementar los denominados como Sistemas internos de información.

Respecto a las entidades que ya dispongan de estos Sistemas, deberá tenerse en consideración que se deberá notificar el registro de los Responsables del Sistema (ya sea individuales o como órganos colegiados) en un plazo de dos meses a partir de la fecha de puesta en funcionamiento de dicha Autoridad.

Desde ARPA Abogados Consultores, quedamos a su disposición para cualquier duda o aclaración que pueda necesitar en esta u otras materias.

 

[1]Así como aquellas otras entidades sujetas al ámbito de aplicación de la Ley 2/2023

Publicado en Circulares, Cumplimiento Normativo | Etiquetado como , , , , , , , Comentarios desactivados en Estatuto de la Autoridad Independiente de Protección del Informante (AAI)

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º8 – 2024

Publicado el 25-10-2024
Protección de datos

 

Cumplimiento normativo

 

Normativa al día
 
Charlas, eventos y novedades

El próximo 28 de noviembre, Jorge Arellano, Asociado y Responsable del Área de Cumplimiento Normativo de ARPA Abogados Consultores, dirigirá el taller sobre Gobierno Corporativo Compliance Entendiendo y trabajando el pilar buen gobierno y compliance de la sostenibilidad a través del juego de mesa RSE Gob en el Club de Marketing y con el apoyo del Servicio Navarro de Empleo – Nafar Lansare. 

 

 

 

PROTECCIÓN DE DATOS

 

Verificación de edad en infancia. La AEPD publica una nota técnica. 

La Agencia Española de Protección de Datos (AEPD) ha publicado una nota técnica titulada “Internet seguro por defecto para la infancia y el papel de la verificación de edad”, donde se analiza la necesidad de crear un entorno digital más seguro para los niños, niñas y adolescentes. El documento subraya que es posible proteger de manera efectiva a los menores en Internet sin comprometer la privacidad de los usuarios ni exponer a los menores a nuevos riesgos.  

La AEPD propone un cambio de paradigma en la protección de la infancia en Internet, priorizando la protección preventiva. En lugar de estrategias reactivas que actúan sólo después de que los menores ya han sido expuestos a riesgos, se recomienda aplicar los principios de protección de datos por defecto. Esto implica la creación de espacios en Internet que sean seguros para los menores, respetando sus derechos y libertades.  

Uno de los elementos clave para lograr este entorno seguro es la verificación de edad, que debe ser utilizada como una herramienta que permita limitar el acceso de los menores a contenidos o servicios inapropiados. Esta verificación debe cumplir con el Reglamento General de Protección de Datos y otras normativas que refuerzan la protección de la infancia, evitando generar nuevos riesgos o pérdida de derechos. 

En la nota técnica también se analizan cuatro casos de uso y se sugieren buenas prácticas para proteger a los menores de riesgos como el acceso a contenido inapropiado, el contacto con personas peligrosas, la explotación de sus datos personales o la inducción a comportamientos adictivos. 

 

Volver al índice

 

El Comité Europeo de Protección de Datos adopta un dictamen sobre los encargados del tratamiento y unas directrices sobre el interés legítimo objeto de consulta pública. 

 

En su último pleno, el Comité Europeo de Protección de Datos (CEPD) adoptó un dictamen sobre determinadas obligaciones derivadas de la dependencia de los encargados y subencargados del tratamiento y unas directrices sobre el interés legítimo objeto de consulta pública. 

En primer lugar, el CEPD emitió la Opinión 22/2024 en respuesta a una solicitud de la Autoridad Danesa de Protección de Datos, proporcionando una guía detallada sobre cómo deben los responsables del tratamiento gestionar y supervisar a los encargados y subencargados para garantizar el cumplimiento del RGPD. 

Entre los puntos principales, la Opinión resalta el deber de los responsables de obtener información sobre los encargados y subencargados involucrados en el tratamiento de datos (nombre, dirección, persona de contacto) y mantenerla actualizada. Además, el CEPD señala que los responsables del tratamiento deben evaluar si los encargados proporcionan garantías suficientes, independientemente del nivel de riesgo de la actividad de procesamiento. 

También se establece que, si bien los encargados pueden proponer subencargados, la decisión final recae sobre el responsable de tratamiento, quien debe verificar que los subencargados cumplan con las mismas obligaciones y garantías. Aunque no es necesario revisar sistemáticamente los contratos realizados entre encargados y subencargados, el responsable debe evaluar, en función del riesgo. si es necesario hacerlo para cumplir con el principio de responsabilidad. 

Por otro lado, el Comité adoptó las Directrices 1/20242 sobre el tratamiento de datos personales basado en el interés legítimo, las cuales se encuentran en consulta pública hasta el 20 de noviembre de 2024. 

Estas directrices analizan los criterios establecidos en el artículo 6.1.f) del RGPD que deben cumplir los responsables del tratamiento para que sea lícito sobre la base de un interés legítimo. En este sentido, deben cumplirse tres condiciones acumulativas:  

    • La persecución de un interés legítimo por parte del responsable del tratamiento o de un tercero. 
    • La necesidad de tratar los datos personales para los fines del interés legítimo perseguido. 
    • Los intereses o las libertades y derechos fundamentales de los interesados no prevalecen sobre el interés legítimo del responsable del tratamiento o de un tercero.  

 

La evaluación del interés legítimo y, en particular, la ponderación de intereses y derechos contrapuestos requiere la consideración de una serie de factores como la naturaleza y el origen de los intereses legítimos pertinentes, el impacto del tratamiento en el interesado y sus expectativas razonables sobre el tratamiento y la existencia de salvaguardas adicionales que puedan limitar el impacto en el interesado. 

 

Volver al índice

 

Pixel tracking y otras formas de seguimiento. Nuevas directrices sobre el ámbito de aplicación técnico de la Directiva ePrivacy. 

 

El Comité Europeo de Protección de Datos ha adoptado una nueva guía sobre el Alcance Técnico del artículo 5(3) de la Directiva ePrivacy, que aborda la aplicabilidad de dicho artículo a diversas soluciones técnicas y tecnologías emergentes de seguimiento de datos, como por ejemplo el pixel tracking, sensores IoT o identificadores únicos de dispositivos. 

La aparición de nuevos métodos de rastreo que sustituyen a las herramientas de rastreo existentes y la creación de nuevos modelos de negocio, se ha convertido en una preocupación fundamental en materia de protección de datos. De este modo, aunque el artículo 5(3) de la Directiva ePrivacy se aplica a algunas tecnologías de rastreo como las cookies, es necesario abordar las ambigüedades relacionadas con la aplicación de dicha disposición a las nuevas herramientas de rastreo.  

Las Directrices identifican tres elementos clave para la aplicabilidad del precepto, a saber, “información”, “equipo terminal de un usuario” y “acceso y almacenamiento de información”, proporcionando un análisis detallado de cada elemento. Además, se analizan nuevos casos de uso de tecnologías de seguimiento. 

 

Volver al índice

 

El Consejo de Transparencia y Protección de Datos de Andalucía publica la “Guía sobre Protección de datos personales para centros educativos

 

El Consejo de Transparencia y Protección de Datos de Andalucía ha presentado la “Guía sobre Protección de datos personales para centros educativos”. El documento aborda la importancia de la protección de datos en los centros educativos, especialmente para proteger los derechos de los menores. 

La guía tiene tres objetivos principales: garantizar el cumplimiento de la normativa vigente, en especial el Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos; responder a las dudas que puedan surgir en relación con el tratamiento de datos personales; y promover la mejora de protocolos en los centros educativos. 

La Guía se ha desarrollado teniendo muy presente las aportaciones de la comunidad educativa realizadas a través de un cuestionario específico en la materia, y está dividida en dos partes: una descriptiva sobre la normativa y otra práctica, con preguntas y respuestas sobre casos comunes en el ámbito educativo. Además, cubre temas como plataformas digitales, móviles y videovigilancia, y concluye con consejos básicos para garantizar el cumplimiento de la ley. 

 

Volver al índice

 

 

Límites protección programas de ordenador. ¿Es extensible a los datos en memoria? 

 

Después de un largo proceso judicial en el caso de que enfrentaba a Sony contra Datel, el Tribunal de Justicia de la Unión Europea (TJUE) ha dictaminado que la modificación en memoria de variables realizada por un programa de ordenador no constituye una modificación del mismo, y por lo tanto no es contrario a la Directiva del Consejo sobre protección jurídica de programas informáticos. En el caso analizado, DATEL comercializaba un programa que permitía a los usuarios modificar las variables cargadas en memoria por los juegos de Sony en la consola PSP y la cuestión se centraba en ver si el contenido de tales variables está comprendido en el ámbito de aplicación de la protección del derecho de autor o por el contrario era algo ajeno a ella, ya que no se modificaba en ningún momento el código fuente o objeto del videojuego de Sony. Como se ha indicado el Tribunal considera que la protección de la Directiva no alcanza a la protección de los datos variables almacenados por un programa de ordenador protegido en la memoria local utilizados por dicho programa durante su ejecución.

 

Volver al índice

 

CUMPLIMIENTO NORMATIVO

 

Seguros y Compliance

Como es sabido, los sistemas Corporate Compliance penal se configuran como modelos de organización y gestión diseñados para la creación y fomento de una cultura de cumplimiento normativo en la empresa. 

En cualquier caso, y conviene recordarlo, también resulta recomendable reforzar la protección de los sistemas mediante la formalización de seguros, que puedan cubrir contingencias de tipo civil y penal, tanto de la empresa como de los responsables de la gestión del sistema de Compliance.  

Lógicamente, ningún seguro va a cubrir los delitos dolosos, sin embargo, sí que pueden incluir la protección por responsabilidades civiles derivadas faltas cometidas por imprudencia, incumplimientos de empleados, gastos de defensa (también penal) e incluso la presentación y los gastos de constitución de fianzas. 

Por lo tanto, los Compliance Officers y también los Directivos de la empresa no deberían olvidar la importancia de complementar la protección de los sistemas de Compliance con la cobertura de seguros, tanto en materia civil como penal, como se dice coloquialmente, hombre que no previene accidentes tiene…

 

Volver al índice

 

Condenado un hostelero por las molestias y excesivo ruido de la actividad de su pub 

El Tribunal Superior de Justicia de Castilla y León ha ratifica la sentencia de la Audiencia de Zamora contra un hostelero condenado a tres años de prisión por un delito contra el medio ambiente. 

Desde su apertura como pub, pero sobre todo en los últimos años, han sido constantes las quejas y denuncias sucesivas por las continuas y graves molestias a los vecinos por el nivel de ruido y música más elevado de lo permitido hasta altas horas de la madrugada. Además de incumplimiento de los horarios de recogida de la terraza y cierre del establecimiento. 

Para el tribunal, la sentencia de la Audiencia Provincial realiza un “riguroso análisis del material probatorio existente en las actuaciones”, una prueba “suficientemente clara como para dejar acreditado no solo el insufrible ruido que producía el condenado desde su local, sino del conocimiento que él tenía de las importantes molestias que ocasionaba al vecindario”.  

La Sala concluye que “resulta acreditado el riesgo de afectación grave de la salud de estas personas a un nivel de ruidos más elevado de lo tolerable y la, al menos, posible lesión de los bienes jurídicamente protegidos -derecho a la integridad física y moral y a la intimidad personal o familiar- (…) la contaminación acústica fue muy prolongada en el tiempo y durante periodos nocturnos seguidos lo que imposibilitaba o, al menos, dificultaba el descanso nocturno esencial para el ser humano”. 

 

Volver al índice

 

 

Auto: Consideraciones sobre el “defecto estructural” y la complejidad empresarial 

Destacamos el Auto 343/2024 de la Audiencia provincial de Barcelona en materia de responsabilidad penal de las personas jurídicas, en el mismo (sobre el delito de estafa) se recuerda que el fundamento de imputación de la empresa (es decir el delito corporativo) se basa en la existencia del defecto estructural en los mecanismos de prevención y control de la entidad (fundamento de derecho 2º): 

De entre las consideraciones realizadas hasta el momento, nos quedamos en que, para hablar del fundamento de esa responsabilidad exigible a la persona jurídica por su propio delito, es preciso partir de la constatación de algún defecto estructural en los mecanismos de prevención y control que le fueran exigibles por razón de su organización tendentes a los fines a que se orienta su actividad. 

El Auto también destaca que las medidas de control e incluso la propia imputabilidad de la empresa dependerá de su grado de complejidad, abriendo la posibilidad de liberar de responsabilidad a las entidades sin estructura: 

…la responsabilidad penal de la persona jurídica gira en clave de complejidad organizativa, de manera que cabrá hablar de imputabilidad respecto de aquéllas que presenten un cierto grado de complejidad con la consecuencia de que no todas las personas jurídicas serán imputables, sirviendo de apoyo, de alguna manera, para esto que decimos el distinto tratamiento que en orden a las funciones de supervisión se establecen en el propio art. 31 bis CP para las personas jurídicas de pequeñas dimensiones, en comparación con los mecanismos de compliance propios de las de mayor complejidad. 

Volver al índice

 

 

NORMATIVA AL DÍA

 

NIS2: ausencia de transposición y primera normativa de ejecución. 

Si a nivel nacional seguimos sin transponer la directiva NIS2 pese a que el pasado 17 de octubre finalizó el plazo máximo para ello, si que desde la comisión se ha dictado un reglamento de ejecución que viene a establecer los requisitos técnicos y metodológicos de las medidas a que se refiere la Directiva NIS2 con respecto a determinados proveedores (ej.  proveedores de servicios de computación en nube, los proveedores de servicios gestionados o los proveedores de servicios de seguridad gestionados). 

Volver al índice

 

Reglamento relativo a la seguridad general de los productos. 

El próximo día 13 de diciembre de 2024 será de aplicación el  Reglamento (UE) 2023/988 relativo a la seguridad general de los productos. A destacar las obligaciones específicas de los prestadores de mercados en línea relacionadas con la información sobre seguridad de los productos que permitan a los comerciantes que ofrezcan el producto proporcionar. A este efecto, por ejemplo, será necesario informar entre otros del nombre, nombre comercial registrado o marca registrada del fabricante, información que permita identificar el producto, (incluidos una imagen del producto, su modelo y cualquier otro identificador del producto) o cualquier advertencia o información relativa a la seguridad que deba colocarse en el producto o su envase. 

 

Volver al índice
Publicado en Circulares, Nuevas Tecnologías, Propiedad Intelectual e Industrial, Protección de Datos | Etiquetado como , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º8 – 2024

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 7 – 2024

Publicado el 20-09-2024
Protección de datos – Seguridad de la Información

 

Cumplimiento normativo

 

Normativa al día

 

Charlas, eventos y novedades

 

 

 

PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN

 

AEPD: Orientaciones sobre el uso de dispositivos móviles en los centros educativos e informe patrones adictivos en el tratamiento de datos personales.

La Agencia Española de Protección de Datos (AEPD) ha dado a conocer unas orientaciones sobre las obligaciones y responsabilidades por el uso de dispositivos móviles en los centros educativos que abarca la enseñanza infantil, primaria y secundaria. Aborda el análisis de diferentes situaciones, como la prohibición del terminal en el centro o limitación de uso del mismo a requerimiento del centro así como los flujos de comunicación que se puedan dar entre el personal docente y el alumnado mediante este tipo de dispositivos, recordando la necesidad que “los tratamientos de datos personales con fines educativos que se basen en la utilización de dispositivos y medios digitales han de superar positivamente el juicio de idoneidad, necesidad y proporcionalidad” concluyendo que “desaconsejan el uso de teléfonos y demás dispositivos digitales móviles en los centros educativos, cuando se disponga de otros recursos que sean más idóneos para conseguir el fin pedagógico pretendido sin poner en riesgo la privacidad” 

También relevante es el informe que analiza cómo los tratamientos de los datos personales de los usuarios en numerosas plataformas, aplicaciones y servicios incluyen patrones adictivos para aumentar su tiempo de conexión. El Comité Europeo de Protección de Datos (CEPD) ya ha abordado estos temas en sus directrices sobre patrones de diseño engañosos en redes sociales, y la AEPD ha revisado la evidencia científica sobre el uso de estos patrones en diferentes plataformas y servicios. El Reglamento de Servicios Digitales (DSA), en su artículo 25, prohíbe el diseño y gestión de interfaces que engañen o manipulen a los usuarios. 

El informe clasifica los patrones adictivos en tres niveles: alto, medio y bajo. Los patrones de alto nivel son estrategias generales como la acción forzada y la ingeniería social; los de nivel medio explotan vulnerabilidades psicológicas específicas; y los de bajo nivel son ejecuciones específicas contextualizadas. La incorporación de estos patrones plantea importantes desafíos para la protección de datos, incluyendo la responsabilidad proactiva, la transparencia y la minimización de datos. Además, implica riesgos para los derechos y libertades de los usuarios, especialmente para la integridad física y psíquica de menores. En relación con los patrones adictivos, la Comisión Europea tiene abiertos dos procedimientos sancionadores por posible incumplimiento de la citada DSA, contra TikTok y Meta. 

 

Volver al índice

 

 

Acceso al correo electrónico de un trabajador 

El objeto de la resolución de la AEPD se centra en determinar si el acceso de la empresa al correo corporativo del reclamante es una infracción de la normativa de protección de datos personales. 

En el caso objeto de la resolución se analiza si resulta conforme que un superior directo acceda al correo electrónico de un empleado bajo su supervisión, que se encontraba de huelga, teniendo como finalidad dicho acceso el garantizar la continuidad de la actividad comercial. Dicho empleado estaba informado del carácter corporativo del correo electrónico y de la posibilidad de acceso que se reservaba el empresario.  

Atendiendo a las mencionadas circunstancias y sin entrar en la licitud, desde el punto de vista laboral, del mencionado acceso, la AEPD entiende que “la empresa reclamada tenía legitimación suficiente (base de licitud) para acceder a la cuenta corporativa del reclamante, sin que se conste una intromisión en la privacidad del reclamante, toda vez que la remisión de estos 3 correos electrónicos se realizó desde un correo corporativo y no personal del empleado, en ejercicio de un interés legítimo de la empresa para continuar su actividad comercial, sin que fuera posible acudir a otro medio menos intrusivo, en ausencia de los 4 trabajadores que podían remitir dicho correo electrónico; y habiéndose cumplido con las garantías previstas en el artículo 87 de la LOPDGDD, dado que el trabajador había sido informado de la posibilidad de utilización de su cuenta de correo corporativo por otros responsables de la empresa, puesto que tal mención consta en la política de seguridad del personal de la empresa”.

Recuerda, no obstante, la AEPD la importancia realizar previamente al acceso, una adecuada ponderación entre la intimidad del trabajador y la facultad de vigilancia y control del cumplimiento de sus obligaciones laborales por la empresa.  

 

Volver al índice

 

CUMPLIMIENTO NORMATIVO

 

Novedades sobre la Autoridad Independiente de protección al Informante 

El pasado 17 de septiembre el Consejo de Ministros ha anunciado (dentro del Plan de Acción para la Democracia), la creación de la Autoridad Independiente de Protección al Informante (AIPI), entidad con facultades de supervisión y sanción de los incumplimientos de la Ley 2/2023 de 20 de febrero. Tras más de año y medio de la entrada en vigor de la Ley, parece que la creación de la AIPI -previsiblemente a través de Real Decreto- se producirá dentro del último trimestre del año. 

 

Volver al índice

 

¿Quién debe probar la eficacia de los sistemas de compliance? 

La responsabilidad penal de las personas jurídicas ha sido objeto de intenso debate en la última década, centrado principalmente en la atribución de responsabilidad o carga probatoria en la eficacia de los sistemas de compliance. Existen dos modelos en discusión: el de autorresponsabilidad y el de hetero responsabilidad. 

El Tribunal Supremo (sirva de ejemplo STS 668/2017, de 11 de octubre) y diversas Audiencias Provinciales (AP) optaron desde un principio por un sistema de autorresponsabilidad. En base a este modelo, la acusación debe probar la ineficacia de los sistemas de compliance, ya que la falta de implementación de estos sistemas es parte esencial del tipo penal. La carga de probar que un delito se debió a fallos en los mecanismos de prevención recae en la acusación, mientras que la empresa puede demostrar que su sistema cumple con los requisitos del artículo 31 bis del Código Penal. Por tanto, si la defensa no realiza ningún esfuerzo por demostrar la existencia de los sistemas de cumplimiento, habrá que entender que dichos sistemas no existen. 

El Código Penal contempla la posible responsabilidad penal de las empresas y así como la previsión de su protección a través de los sistemas de Compliance Penal. Más aún a la luz de los nuevos pronunciamientos judiciales, parece que no bastará con desplegar dichos sistemas, sino que las defensas acreditarán en el procedimiento penal la existencia de los programas de cumplimiento penal y que estos son eficaces y cuentan con medidas de prevención (aunque puedan fallar) sobre los delitos imputados. 

Así, tanto la AN en su auto de fecha 4 de marzo 2024 (recurso 42/2017) como la sentencia del Tribunal Supremo 298/2024, 8 de abril, coinciden en que no se ha de presumir que todas las personas jurídicas cuentan con un programa de cumplimiento; sino que éstas deben de aportarlo y demostrar su eficacia. De esta manera, se les concede la posibilidad de acreditar que, pese a la comisión del delito, su programa era eficaz y cumplía los estándares exigidos legalmente. 

En conclusión, se destaca una clara tendencia hacia la no aceptación de contar solamente con un Sistema de Compliance sino que las empresas habrán de implementar las medidas necesarias de prevención, así como probar su eficacia ante el juez como haber dado publicidad al sistema, disponer de actas de aprobación e implementación, haber realizado actividades de formación a los trabajadores, etc.  

 

Volver al índice

 

Absolución de la periodista de Huelva condenada por revelación de secretos 

El Tribunal Superior de Justicia de Andalucía (TSJA) absolvió a la periodista del diario Huelva Información, condenada a dos años de prisión por la Audiencia de Huelva por un supuesto delito de revelación de secretos.  

La condena se basaba en la publicación de informaciones recopiladas del sumario del caso del brutal asesinato de Laura Luelmo en El Campillo. La Audiencia sostuvo que la periodista, dada su profesión, debía conocer que los datos sumariales son de naturaleza reservada, salvo para las partes intervinientes, por lo que necesariamente tuvo que ser consciente de su procedencia ilegítima.  

Sin embargo, la Sala del TSJA argumentó que una cosa es que la periodista conociera la naturaleza reservada de los datos y otra muy diferente es que supiera de la ilicitud en su obtención. Esta distinción no se logró demostrar de manera concluyente en el caso: no se indica la procedencia u origen de la información publicada, tampoco se expresa que la acusada fuera consciente del posible origen ilícito y no se declara que la persona que se apoderó de la información reservada hubiese actuado en perjuicio del titular de los datos o de un tercero. 

 

Volver al índice

 

NORMATIVA AL DÍA

 

NIS2 

El próximo día 17 de octubre finaliza el plazo de transposición de la Directiva NIS2 (DIRECTIVA (UE) 2022/2555 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión). Al efecto indicar que, de un lado, el INCIBE ha elaborado varios materiales de consulta sobre la materia mientras que el Centro Criptológico Nacional ha habilitado un servicio para ayudar a las entidades a cumplir con las medidas técnicas, operativas y de organización de la NIS2. 

 

Volver al índice

 

Entrada en vigor de la Ley de IA de la UE 

A partir del 1 de agosto entró en vigor en la Unión Europea la Ley de Inteligencia Artificial (IA), la primera del mundo para regular sistemas que permiten actuar de manera más precisa y eficiente a los humanos en muchos ámbitos e impulsar la innovación, planteando a la vez importantes riesgos que el nuevo marco común trata de evitar. Dicha Ley se resume en los siguientes puntos fundamentales: clasificación de la IA en función de su riesgo (llegando a prohibir los llamados riesgos inaceptables); obligaciones de los proveedores (y algunos usuarios o implantadores) de sistemas de IA de alto riesgo; y los modelos y sistemas de IA de propósito general (GPAI).  

Será plenamente aplicable 24 meses después de su entrada en vigor, siguiendo la siguiente cronología de plazos de aplicación: (i) 6 meses (febrero 2025) para los sistemas de IA prohibidos; (ii) 12 meses (agosto 2025) para GPAI; (iii) 24 meses (agosto 2026) aplicación del resto de la Ley con excepción del artículo 6(1) y obligaciones correspondientes (una de las categorías de IA de alto riesgo); y (iv) 36 meses (agosto 2027) aplicación del artículo 6(1) y obligaciones correspondientes. 

 

 

Volver al índice

 

Publicado en Circulares, Cumplimiento Normativo, Propiedad Intelectual e Industrial, Protección de Datos | Etiquetado como , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 7 – 2024

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 1 – 2024

Publicado el 30-01-2024
Propiedad Intelectual e Industrial

 

Protección de datos – Seguridad de la Información

 

Compliance

 

Normativa al día

 

 

PROPIEDAD INTELECTUAL E INDUSTRIAL

 

Límites al uso de marcas de terceros con motivo de una acción promocional. 

Tras conocerse la opinión del Abogado General de Justicia de la Unión Europea, el Tribunal de Justicia de la Unión Europea ha resuelto la cuestión prejudicial planteada por el Tribunal Supremo en el caso de uso de la marca Zara por Buongiorno Myalert en relación con una acción promocional en la que esta última regalaba tarjetas regalo de Zara. Acto que Inditex entendía, constituía un acto de competencia desleal. 

Tras ser desestimadas las pretensiones de Inditex por parte de un Juzgado de lo Mercantil de Madrid, así como por la Audiencia Nacional, se recurrió ante el Tribunal Supremo, que planteó cuestión prejudicial al TJUE solicitando aclaración sobre si el concepto de “límite referencial” previsto por el artículo 6.1.c) de la Directiva 2008/95 aplicable en el momento de los hechos, es más o menos amplio que el de la Directiva 2015/2436, aplicable en la actualidad. 

En este contexto, el TJUE aclara que el límite solo se refiere al uso en el tráfico económico de la marca, cuando la misma sea requerida para determinar el destino de un producto. Aclarado el alcance, corresponde al Tribunal Supremo determinar si la campaña que lanzó Buongiorno se adecua o no a derecho. 

 

Volver al índice

 

El Tribunal Supremo pone punto final a la guerra entre Kukuxumuxu y sus antiguos dibujantes. 

La Sala de lo Civil del Tribunal Supremo ha desestimado el recurso planteado por la entidad Kukuxumusu Ideas, S.L a la sentencia de segunda instancia.  La sentencia analiza si la cesión de derechos de explotación sobre los dibujos acordada entre la mercantil y los autores de los mismos alcanza cualquier nuevo dibujo en el que puedan aparecer los personajes representados en los dibujos cedidos o si, por el contrario, los personajes pueden ser reproducidos en otras escenas, situaciones o peripecias.  

El Supremo, ha determinado, que los autores podrán realizar nuevos dibujos de los personajes, siempre que sean lo suficientemente distintos para no poder considerarse plagio de los dibujos cedidos a Kukuxumusu Ideas, S.L y siempre que la transformación que se pueda hacer de los mismo esté dentro del marco contractual acordado, en su momento, entre las partes.  

 

Volver al índice

 

PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN

 

Nueva Guía sobre el Uso de cookies para herramientas de medición de audiencia. 

La Agencia Española de Protección de Datos ha publicado la “Guía sobre el uso de cookies para herramientas de medición de audiencia”.  

En dicha guía se establece la posibilidad de usar cookies estadísticas de tráfico o rendimiento sin consentimiento, siempre y cuando se limite únicamente a medir la audiencia, de manera anónima. En este sentido, dichas cookies no deberán permitir el seguimiento agregado a través de diferentes páginas web, y no se deberán compartir con terceros.  

No obstante, se permitirá recoger datos como el tipo de dispositivo, o el navegador mediante el que se accede a la página, siempre que se informe en la política de privacidad, y se limite la duración de las cookies a 13 meses, y la conservación de los datos a 25 meses.  

 

Volver al índice

 

Sanción en Francia en materia de cookies. 

Recientemente se ha conocido una sanción de 10 millones de euros impuesta por parte de la Autoridad de control francesa (CNIL) a la empresa Yahoo por distintos incumplimientos en materia de cookies. En concreto, la sanción impuesta el pasado 29 de diciembre de 2023, se basa en dos infracciones:  

    • La persistencia en la instalación de cookies publicitarias una vez el usuario desactivaba las mismas en el panel de configuración.   
    • Las consecuencias derivadas de la retirada del consentimiento a la instalación de cookies: se detecta que al retirarse el consentimiento dado en el panel de configuración de la página “Yahoo! Mail”, se informaba al interesado de que ya no podría acceder a los servicios ofrecidos por la empresa, y que se le negaría el acceso a mensajería, lo cual se opone al derecho de libertad de retirada del consentimiento.  

 

Volver al índice

 

El coche como dato identificativo 

Nos hacemos eco de una resolución de la Agencia Española de Protección de datos (AEPD), en la que se ha apercibido a la Policía Foral de Navarra por publicar en RRSS una imagen de un coche en un control rutinario de drogas, en agosto de 2023.  En la imagen aparecía: el coche de la infractora, el rostro de la infractora reflejado en el retrovisor derecho y a su perro asomado por la ventanilla, todo ello junto a las drogas y armas blancas incautadas en el control. La imagen se hizo viral e implicó que la dueña del coche perdiera su puesto de trabajo.  

La AEPD señala que la Policía Foral de Navarra no utilizó los medios corporativos, ni los mecanismos suficientes para no hacer identificable a la persona de la fotografía publicada por lo que apercibe a dicha institución.  

 

Volver al índice

 

La autoridad de protección de datos de Reino Unido analiza la legalidad de las pruebas de IA generativa. 

Ante una serie de consultas, la ICO -homólogo a la Agencia Española de Protección de Datos en Reino Unido- se ha pronunciado a cerca de las bases legales para realizar el web scraping con la finalidad de entrenar modelos de IA generativa. La consulta se centra en la base legal para extraer o procesar datos de la web para este propósito, y ha entendido que, para cumplir con el principio de licitud de protección de los datos, los desarrolladores deberán asegurarse que los tratamientos no infringen ninguna ley y que disponen de interés legítimo para realizar el tratamiento. De cara a poder concluir que efectivamente se dispone de interés legítimo recuerda la ICO la necesidad de realizar el análisis de la existencia del mismo.  

 

Volver al índice

 

La Comisión Europea permite el flujo de datos con once terceros países. 

La Comisión Europea concluyó el pasado 15 de enero de 2024, que la transferencia de datos personales desde la Unión Europea a once terceros países, sigue siendo adecuada. En concreto, dichos países son Andorra, Argentina, Canadá, Islas Feroe, Guernsey, Isla de Man, Israel, Jersey, Nueva Zelanda, Suiza y Uruguay. Por tanto, los datos podrán continuar fluyendo libremente a dichos terceros países, por cuanto han fortalecido la protección de datos en sus jurisdicciones, convergiendo dentro del marco de la Unión Europea.  

 

Volver al índice

 

COMPLIANCE

Nuevo Registro de Responsables del Sistema Interno de Información Oficina de Buenas Prácticas y Anticorrupción de la Comunidad Foral de Navarra (OANA). 

El pasado 2 de diciembre de 2023 entró en vigor la Resolución por la que se creó el Registro de Responsables del Sistema Interno de Información, de la Oficina de Buenas Prácticas y Anticorrupción de la Comunidad Foral de Navarra (OANA).  

De acuerdo con dicha resolución, se deberán inscribir en el Registro tanto los nombramientos, como los ceses de los Responsables de los Sistemas de Información de las entidades que se encuentren comprendidas dentro del ámbito de actuación de la OANA, tales como Empresas públicas, Fundaciones, o partidos políticos, entre otros. Si bien en principio las Sociedades privadas no tienen la obligación de registrar a sus responsables, se ha tenido conocimiento de sociedades que lo han hecho. 

 

Volver al índice

 

 NORMATIVA AL DÍA  

 

Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos  

El pasado día 4 de enero de 2024, entró en vigor la Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos, que reemplaza el régimen contenido en la normativa anterior, de 2004. Dicha Ley supone el cambio de la institución vasca de Agencia a Autoridad, y tiene por objeto actualizar la normativa autonómica.  

 

Volver al índice

 

Nuevo sistema de verificación de edad propuesto por la AEPD.  

El pasado 14 de diciembre de 2023 la Agencia Española de Protección de Datos presentó una propuesta de sistema de verificación de edad en internet, ante el acceso de menores de edad a contenidos para adultos.   

Dicha propuesta se compone de un Decálogo que recoge los principios que debe cumplir un sistema de verificación de edad, una nota técnica con los detalles del proyecto y tres vídeos prácticos que demuestran cómo funciona el sistema en diferentes dispositivos, todo ello complementado por un gráfico que recoge los riesgos de los sistemas utilizados en la actualidad. Con ello, todas las páginas que se encuentren obligadas o voluntariamente verifiquen la edad de sus usuarios deberán cumplir con las condiciones mínimas establecidas en el sistema, protegiendo el interés superior del menor y los derechos fundamentales de todos los ciudadanos. 

 

Volver al índice

 

Nuevo informe de Comité Europeo de Protección de Datos sobre los Delegados de Protección de Datos. 

El Comité Europeo de Protección de Datos ha emitido un informe sobre la designación y cargo de los delegados de protección de datos. Dicho informe, publicado el pasado 17 de enero de 2024, supone la conclusión de una acción coordinada de refuerzo con las autoridades nacionales, que ha analizado en profundidad los desafíos a los que se enfrentan los delegados de protección de datos y las organizaciones. En concreto, se ha evaluado si los DPD tienen, en sus organizaciones, el cargo requerido en los artículos 37 a 39 del RGPD, y los recursos para llevar a cabo sus tareas.  

Del informe se obtiene que, si bien los DPD desempeñan papeles importantes a la hora de proteger los datos de los interesados, existen riesgos relativos a la falta de recursos asignados a esta figura, a conocimientos insuficientes en la materia y a riesgos de conflictos de interés. Del mismo modo, el informe describe el trabajo realizado por las autoridades supervisoras a efectos de abordar los incumplimientos normativos. 

 

Volver al índice

 

El procedimiento de nulidad y caducidad de signos distintivos cumple un año en la vía administrativa. 

Hasta el pasado 14 de enero de 2023, los procedimientos de nulidad y caducidad de signos distintivos españoles se realizaban en la vía judicial. No obstante, tal día entró en vigor la última modificación de la Ley de Marcas, que derivó dichos procedimientos a la vía administrativa. Desde entonces, la Oficina Española de Patentes y Marcas es el órgano encargado de declarar la nulidad y caducidad de los signos distintivos españoles, cumpliéndose el pasado 14 de enero, un año desde el inicio de dicho procedimiento. 

 

Volver al índice

 

Publicado en Circulares, Cumplimiento Normativo, Nuevas Tecnologías, Propiedad Intelectual e Industrial, Protección de Datos | Etiquetado como , , , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 1 – 2024

Canal de Denuncias: Adaptación a la Ley 2/2023 de 20 de febrero

Publicado el 20-09-2023

Con la entrada en vigor de la Ley 2/2023, las organizaciones de más de 50 trabajadores deberán contar con Sistemas Internos de Información que permitan comunicar infracciones normativas de forma segura, confidencial e incluso anónima antes del próximo 1 de diciembre.

Con esta nueva obligación, se deberán establecer canales internos de comunicación seguros, documentar procedimientos adecuados y nombrar responsables del sistema. De no hacerlo de forma adecuada, las entidades obligadas y sus órganos de gobierno se exponen a posibles sanciones de hasta 1.000.000 de euros.

Con la finalidad de ofrecer información útil sobre cómo adaptarse a este nuevo marco normativo, ARPA Abogados Consultores impartirá el próximo 3 de octubre a las 10:00 h, de la mano de Whistleblower Software, un webinar sobre aspectos clave y principales cuestiones técnicas y prácticas a tomar en consideración en la adecuación a la Ley 2/2023.

  • Características de los Sistemas Internos de Información.

  • Contenido de las políticas y procedimientos asociados al Sistema.

  • Nombramiento y funciones del Responsable del Sistema Interno de Información.

  • Sanciones por incumplimiento.

  • Características y garantías de los canales internos de información.

  • Ejemplo práctico con la plataforma Whistleblower Software.

Ponentes confirmados:

 

Si quieres apuntarte, debes cumplimentar el siguiente formulario.

 

 

Publicado en Circulares, Cumplimiento Normativo, Sede-Madrid, Sede-Pamplona, Sede-San Sebastián, Sede-Valladolid | Etiquetado como , , , , , , , Comentarios desactivados en Canal de Denuncias: Adaptación a la Ley 2/2023 de 20 de febrero

ARPA incorpora a Miguel Lecumberri para impulsar el área de Pharma & Healthcare

Publicado el 06-09-2023

La nueva incorporación cuenta con amplia experiencia corporativa, comercial y transaccional en el sector Farmacéutico y de Atención Sanitaria, así como en operaciones de comercio internacional y Compliance.

ARPA Abogados Consultores da un impulso importante a su plan de crecimiento y especialización sectorial, y lo hace reforzando su equipo de Pharma & Healthcare con la incorporación de Miguel Lecumberri Blanco.

Miguel Lecumberri, que cuenta con una amplia experiencia corporativa, comercial y transaccional en el sector Farmacéutico y de Atención Sanitaria, así como en operaciones de comercio internacional y Compliance, tiene formación de abogado y desarrollador de negocios internacionales en diversas universidades, tanto en Europa como en EE.UU. y México.

Cuenta con más de 15 años de experiencia prestando servicios de asesoría jurídica y de estructuración negocios internacionales para grandes empresas farmacéuticas tales como Astellas, Astra-Zeneca y Novartis, a través de importantes firmas internacionales como las estadounidenses Foley (anteriormente Gardere) o ArentFox, o la mexicana Olivares.

Del mismo modo, ha prestado servicios a empresas e iniciativas en etapas de desarrollo e investigación en los sectores de Biotech y Medtech, asesorándoles en las mejores estrategias, tanto corporativas como transaccionales, para conducir ensayos clínicos y hasta obtener la autorización de comercialización de sus productos.

Desde su práctica legal, se ha dedicado a diseñar operaciones de financiamiento de empresas en sus fases de I+D a través de diversos fondos de capital privado, y a estructurar esquemas de licenciamiento de PI, tanto para empresas farmacéuticas como para fabricantes de dispositivos médicos.

En la etapa más reciente de su carrera profesional, Miguel Lecumberri ejerció como responsable legal y de cumplimiento para Pila Pharma AB, un grupo de empresas biotech de Dinamarca y Suecia dedicadas a la investigación y desarrollo de medicamentos para tratar diabetes tipo 2, entre otras indicaciones terapéuticas.

Su incorporación a ARPA se enmarca en la apuesta del despacho por prestar servicios legales de alto nivel y calidad al sector pharma y healthcare.

ARPA Abogados Consultores es un despacho con más de 30 años de trayectoria y con sedes en Pamplona, Madrid, San Sebastián y Valladolid. Asimismo, forma parte de las redes Latiam y Eurojuris International que permiten ofrecer cobertura jurídica en más de 60 países. En la actualidad, el Despacho navarro cuenta con una plantilla de más de 80 profesionales para acompañar a las empresas en sus proyectos, ofreciendo un asesoramiento integral, jurídico, económico y fiscal, aportando valor, confianza, compromiso y seguridad a sus clientes.

 

Asimismo, le dejamos el enlace en los distintos medios de comunicación:

 

Publicado en Circulares | Etiquetado como , , , , , , , , Comentarios desactivados en ARPA incorpora a Miguel Lecumberri para impulsar el área de Pharma & Healthcare
Suscríbete a nuestra newsletter

Información sobre protección de datos: ARPA tratará tus datos con el fin de remitirte periódicamente nuestro boletín, con información tanto de ARPA A&C S.L. como de Fundación ARPA y ARPA Accounting S.L. Tienes la posibilidad de ejercitar los derechos de acceso, rectificación, supresión, portabilidad, limitación u oposición del tratamiento de tus datos. Puedes consultar una versión ampliada de esta política aquí.
He leído y acepto la Política de Privacidad
X