Facebook-f X-twitter Linkedin Instagram Rss
Buscar
Cerrar este cuadro de búsqueda.
Buscar
Cerrar este cuadro de búsqueda.

Entradas de la etiqueta: #Cumplimiento Normativo

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 2- 2026

Publicado el 12-02-2026
Derecho Digital y seguridad de la información

 

Cumplimiento normativo

 

 

DERECHO DIGITAL Y SEGURIDAD DE LA INFORMACIÓN

 

 

Biometría en el trabajo: la AEPD avala un uso justificado y proporcional  

La Agencia Española de Protección de Datos (AEPD) ha archivado un expediente relativo al uso de huella dactilar en el entorno laboral en Litera Meat, tras concluir que el tratamiento de datos biométricos estaba debidamente justificado y cumplía con la normativa de protección de datos. En su análisis, la AEPD valoró especialmente la justificación aportada por la empresa, la proporcionalidad de la medida adoptada y la adecuada documentación del sistema implantado, en relación con los riesgos identificados. 

En este caso, la empresa presentó un análisis de riesgos detallado en el que expuso los motivos que, a su juicio, hacían necesaria la implantación del sistema biométrico, destacando la necesidad de acreditar de forma fiable la identidad de los trabajadores en atención a los estrictos requisitos de control sanitario aplicables a su actividad. Asimismo, aportó una evaluación de sistemas alternativos y una justificación razonada de por qué no se consideraban equivalentes, teniendo en cuenta tanto las particularidades de los equipos utilizados por los empleados como incidencias previas detectadas con tarjetas identificativas. Además, la AEPD valoró que el sistema biométrico se hubiera implantado exclusivamente en la zona respecto de la cual se acreditó dicha necesidad específica, mientras que en las áreas de oficina —donde no concurrían las mismas exigencias— se optó por un sistema alternativo de identificación mediante tarjeta. 

 

 

Volver al índice

 

 

 

El Gobierno actualiza la Ley del Derecho al Honor para adaptarla al entorno digital 

 El Consejo de Ministros ha aprobado el Anteproyecto de Ley Orgánica de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, que sustituirá a la norma vigente desde 1982 para adaptarla al entorno digital y reforzar la tutela de estos derechos fundamentales. La reforma incorpora por primera vez la consideración como intromisión ilegítima del uso de la voz o la imagen de una persona creadas o manipuladas mediante inteligencia artificial (deepfakes) sin su consentimiento, especialmente con fines publicitarios o comerciales. Asimismo, aclara que compartir imágenes personales en redes sociales no autoriza su reutilización por terceros en otros canales y actualiza la regulación del derecho de rectificación en medios digitales e influencers. 

El texto refuerza la protección de los menores, fijando en 16 años la edad para prestar consentimiento respecto al uso de la propia imagen y estableciendo que, aun existiendo dicho consentimiento, se considerará intromisión ilegítima cualquier utilización que menoscabe su dignidad o reputación. Además, regula el uso de la imagen tras el fallecimiento, permitiendo prohibirlo por testamento y establece criterios objetivos para determinar las indemnizaciones por daño moral, que no podrán ser meramente simbólicas. La norma mantiene las garantías de la libertad de expresión e información, incluyendo una excepción para usos creativos, satíricos o de ficción de la IA respecto de personas con proyección pública, siempre que se identifique expresamente el empleo de esta tecnología. 

 

Volver al índice

 

 

 

Conclusiones preliminares de la Comisión Europea sobre el diseño adictivo de TikTok 

 

La Comisión Europea ha concluido de forma preliminar que TikTok infringe el Reglamento de Servicios Digitales debido al diseño adictivo de su plataforma. Según la investigación, funcionalidades como el desplazamiento infinito, la reproducción automática, las notificaciones push y los sistemas de recomendación altamente personalizados no habrían sido evaluadas adecuadamente por la empresa en términos de riesgo para el bienestar físico y mental de los usuarios, incluidos menores y personas vulnerables. La Comisión considera que TikTok subestimó indicadores relevantes de uso compulsivo, como el tiempo de uso nocturno por parte de menores o la frecuencia de apertura de la aplicación. 

Asimismo, la Comisión estima que TikTok no ha aplicado medidas de mitigación eficaces, proporcionadas y razonables para reducir los riesgos derivados de este diseño, al considerar insuficientes herramientas como la gestión del tiempo de pantalla o los controles parentales. A juicio del Ejecutivo europeo, la plataforma debería introducir cambios estructurales en su diseño, como limitar progresivamente funciones adictivas clave, incorporar pausas efectivas de uso y adaptar sus sistemas de recomendación.  

 

Volver al índice

 

 

Aumentan las notificaciones de brechas de datos personales ante la AEPD en 2025 

 La Agencia Española de Protección de Datos (AEPD) recibió en 2025 un total de 2.765 notificaciones de brechas de datos personales, cifra que refleja el elevado número de ciberincidentes y situaciones susceptibles de generar riesgos para los derechos y libertades de las personas. El 80 % de las notificaciones procedieron del sector privado y el 20 % del sector público. Conforme al artículo 33 del Reglamento General de Protección de Datos (RGPD), la notificación a la autoridad de control forma parte del principio de responsabilidad proactiva y no implica automáticamente la apertura de un procedimiento sancionador. De hecho, solo once casos fueron trasladados a investigación adicional al apreciarse indicios de falta de diligencia en la gestión o en las medidas preventivas adoptadas. 

Las brechas que afectaron a un mayor número de personas estuvieron vinculadas principalmente a ataques de ransomware e intrusiones con exfiltración masiva de datos, especialmente en plataformas CRM gestionadas por encargados del tratamiento. La AEPD señala que el acceso mediante credenciales comprometidas en VPN o aplicaciones web continúa siendo una de las principales vías de entrada, destacando la autenticación en dos factores como medida preventiva clave. Además, los responsables emitieron más de 200 millones de comunicaciones a personas afectadas por existir alto riesgo, recordando la Agencia que informar adecuadamente a los interesados es tan relevante como la notificación a la autoridad y constituye un elemento esencial para acreditar una respuesta diligente. En este sentido, insiste en la necesidad de adoptar medidas preventivas —como minimización, anonimización o segmentación de datos— y de contar con planes adecuados de gestión de brechas. 

 

Volver al índice

 

 

El EDPB y el EDPS analizan el Reglamento “Digital Omnibus” 

 Se ha publicado el documento “On he Proposal for a Regulation as regards the simplification of the digital legislative framework (Digital Omnibus)”, que recoge la Opinión Conjunta 2/2026, adoptada el 10 de febrero de 2026 por el Comité Europeo de Protección de Datos (EDPB) y el Supervisor Europeo de Protección de Datos (EDPS). La Opinión analiza la propuesta de Reglamento “Digital Omnibus”, orientada a simplificar y armonizar el marco legislativo digital de la Unión Europea. Aunque ambas autoridades respaldan el objetivo de simplificación normativa, advierten de riesgos relevantes para la protección de datos en determinadas modificaciones, especialmente en lo relativo a la redefinición del concepto de dato personal, el tratamiento de datos pseudonimizados y ciertos ajustes en los derechos de los interesados y en el uso del interés legítimo en sistemas de inteligencia artificial. 

La Opinión valora positivamente algunas iniciativas —como la clarificación del tratamiento con fines de investigación científica, la introducción de plantillas comunes para notificaciones de brechas y evaluaciones de impacto, o una excepción limitada para verificación biométrica bajo control exclusivo del interesado—, pero expresa preocupaciones sobre propuestas que podrían reducir el nivel de protección o generar inseguridad jurídica. Asimismo, analiza cambios en la Directiva ePrivacy y en el denominado “Data Acquis”, subrayando la necesidad de mantener salvaguardas sólidas, reforzar la cooperación entre autoridades y preservar la coherencia del marco europeo de protección de datos. 

 

 

Volver al índice

 

 

Anteproyecto de Ley de Administración Digital e IA en la Comunidad de Madrid 

 La Consejería de Digitalización de la Comunidad de Madrid ha elaborado el anteproyecto de Ley de Administración Digital e Inteligencia Artificial, actualmente en revisión por el Consejo Asesor como paso previo a su tramitación parlamentaria. El texto, compuesto por 50 artículos, regula el modelo de gobierno digital, la prestación de servicios públicos electrónicos, el uso de la IA en el sector público, la seguridad de la infraestructura digital y las medidas de impulso a la inteligencia artificial, entre otros ámbitos. 

 

 

Volver al índice

 

 

 

CUMPLIMIENTO NORMATIVO

 

 

La AIPI habilita el formulario para comunicar el nombramiento del Responsable del Sistema Interno de Información 

 

La Autoridad Independiente de Protección del Informante (AIPI) ha habilitado el formulario para comunicar el nombramiento y el cese del Responsable del Sistema Interno de Información (RSII). De conformidad con lo dispuesto en la Disposición Transitoria Única del Real Decreto 1101/2024, por el que se aprueba el Estatuto de la AIPI, los nombramientos y ceses realizados desde la entrada en vigor de la Ley 2/2023 deberán notificarse a esta Autoridad en un plazo de dos meses, que comenzó a computarse el 10 de febrero de 2026 y por tanto finaliza el próximo 10 de abril. A partir de la notificación inicial, cada nuevo nombramiento o cese deberá comunicarse en el plazo de diez días hábiles, indicando expresamente, en caso de cese, las razones que lo justifican. 

Para realizar la notificación será necesario disponer del código CNAE de la entidad y de un certificado digital válido para la autenticación. Asimismo, durante el proceso deberá adjuntarse la documentación digitalizada correspondiente, que incluirá, en su caso, la acreditación de la representación cuando se actúe en nombre de un tercero y, tanto en supuestos de nombramiento como de cese del Responsable del Sistema Interno de Información, el documento que formalice dicha designación o extinción. 

Con el fin de facilitar el cumplimiento de esta obligación, la AIPI ha facilitado una GuíaManual práctico y Listado de preguntas frecuentes. 

 

 

Volver al índice

 

 

La Audiencia Nacional eleva el estándar de eficacia en los programas de Compliance 

 

La Audiencia Nacional ha dictado la Sentencia nº 34/2025, de 19 de diciembre, en el procedimiento abreviado 4/2023, en el marco del denominado caso “Cofely”. La resolución analiza graves irregularidades en la contratación pública en distintos ayuntamientos, con condenas por delitos como fraude a la Administración, cohecho, prevaricación, falsedad documental y organización criminal. Desde la perspectiva de Compliance, la sentencia resulta especialmente relevante por el detallado examen de los mecanismos utilizados para alterar adjudicaciones, canalizar pagos indebidos y manipular información, evidenciando fallos estructurales de control tanto en el ámbito público como empresarial. 

En relación con la responsabilidad penal de la persona jurídica conforme al artículo 31 bis del Código Penal, la Sala fija un estándar probatorio exigente: no basta con acreditar la existencia formal de códigos éticos, políticas anticorrupción o canales de denuncia. El tribunal exige demostrar la implantación y eficacia real del modelo de organización y gestión en el momento de los hechos. En el caso analizado, pese a la existencia documental de instrumentos de compliance, la Audiencia Nacional concluye que el sistema no fue eficaz, al haberse producido conductas corruptas de forma prolongada y transversal sin mecanismos internos de control eficaces. 

La sentencia identifica indicadores concretos de ineficacia, como la ausencia de controles financieros sustantivos (análisis de sobrecostes o verificación real de trabajos), deficiencias en la supervisión de terceros e intermediarios y falta de evidencia de detección y reacción disciplinaria. Además, otorga un papel decisivo a la prueba pericial técnica y basada en evidencias, rechazando informes meramente teóricos. El mensaje es claro: en un proceso penal, el compliance no se presume, se prueba; y solo los programas previos, operativos y capaces de demostrar trazabilidad de control podrán excluir o atenuar la responsabilidad penal corporativa. 

 

 

Volver al índice

 

 

 

La Comisión Europea actualiza la lista de terceros países de alto riesgo en PBC&FT 

 

La Comisión Europea ha actualizado en enero de 2026 el listado de terceros países de alto riesgo en materia de prevención del blanqueo de capitales y la financiación del terrorismo, en aplicación del Reglamento (UE) 2016/1675 y sus modificaciones más recientes. En el marco de esta revisión, se incorporan Bolivia y las Islas Vírgenes Británicas a la categoría de países de alto riesgo que han asumido compromisos políticos de alto nivel y han acordado un plan de acción con el Grupo de Acción Financiera Internacional (GAFI), mientras que Burkina Faso, Mali, Mozambique, Nigeria, Sudáfrica y Tanzania son retirados de dicha lista tras los avances constatados en sus sistemas de control. 

Asimismo, como principal novedad estructural, se introduce una nueva categoría IV de terceros países de alto riesgo con deficiencias estratégicas, destinada a jurisdicciones cuya pertenencia al GAFI ha sido suspendida. En este contexto, la Federación de Rusia es incluida por primera vez en el anexo del Reglamento, ampliando el alcance del marco europeo de prevención y reforzando la obligación de aplicar medidas reforzadas de diligencia debida por parte de las entidades obligadas de la Unión.  

 

 

Volver al índice

 

 

 

CNMC multa a I.C.O.N. con 1,2 millones por fijación de precios y restricciones de venta 

 

La Comisión Nacional de los Mercados y la Competencia (CNMC) ha impuesto una multa de 1,2 millones de euros a I.C.O.N. Europe, S. L. por restringir la competencia en el mercado de productos de peluquería profesional entre los años 2010 y 2024 (expediente S/0015/23). El organismo sancionador considera acreditado que la empresa fijó precios de reventa en todo el territorio nacional, imponiendo precios obligatorios, limitando descuentos y prohibiendo la venta en marketplaces como Amazon, todo ello mediante un sistema de control, vigilancia y represalias frente a los distribuidores incumplidores. 

Según la CNMC, esta estrategia tuvo como objetivo eliminar la competencia entre distribuidores de la misma marca, dando lugar a precios uniformes y elevados en perjuicio de los consumidores y limitando el desarrollo de canales de distribución más eficientes. La resolución constata además la venta directa en Amazon a través de una sociedad interpuesta, pese a la prohibición impuesta a su red, así como la coordinación de respuestas entre distribuidores ante los requerimientos de información de la CNMC. Además de la multa, se impone a la empresa la prohibición de contratar con el sector público durante cinco meses para el suministro de productos de cuidado capilar. 

 

Volver al índice

 

 

 

ISO 37009:2025, nuevo marco internacional para la gestión de conflictos de interés 

 

La reciente publicación de la ISO 37009:2025 marca un hito en materia de buen gobierno corporativo al ofrecer un marco internacional específico para la gestión de los conflictos de interés. La norma, alineada con estándares como ISO 37001 e ISO 37301, establece cuatro principios rectores —integridad, confianza, transparencia y rendición de cuentas— y propone un enfoque estructurado basado en la identificación, evaluación, gestión y monitorización continua de los conflictos. Además, distingue entre conflictos reales, potenciales y aparentes, ampliando su alcance tanto a situaciones personales como organizacionales. 

Aunque no es certificable, la ISO 37009 se consolida como una guía técnica de referencia para reforzar la objetividad en la toma de decisiones y proteger la confianza de los grupos de interés. El estándar enfatiza la necesidad de políticas claras, registros documentados, mecanismos de abstención y recusación, formación periódica y una cultura organizativa que normalice la declaración temprana de conflictos. Más allá de prevenir conductas irregulares, la norma contribuye a fortalecer la gobernanza y la rendición de cuentas, integrándose de forma natural en los sistemas globales de cumplimiento y gestión de riesgos. 

 

 

Volver al índice

 

 

 

Índice de Percepción de la Corrupción 2025: retroceso global 

 

Se ha publicado recientemente el Índice de Percepción de la Corrupción 2025, elaborado por Transparency International, uno de los indicadores de referencia para medir la percepción de la corrupción en el sector público a escala global. El informe analiza 182 países y territorios en una escala de 0 a 100 (donde 0 indica alta percepción de corrupción y 100 muy baja), y refleja un retroceso generalizado: la media mundial desciende hasta los 42 puntos, el nivel más bajo registrado, con más de dos tercios de los países por debajo de 50, lo que evidencia niveles preocupantes de percepción de corrupción. Solo 31 países han logrado mejoras sostenidas desde 2012, mientras que la mayoría se mantiene estancada o ha empeorado, incluidos algunos Estados tradicionalmente bien valorados.  

El informe insiste en que la lucha eficaz contra la corrupción exige instituciones sólidas, liderazgo político real, mecanismos efectivos de rendición de cuentas, libertades civiles amplias y una sociedad civil activa, subrayando la necesidad de reforzar estos elementos para recuperar la integridad pública. En este contexto, España obtiene 55 puntos sobre 100, lo que supone una caída de un punto respecto al año anterior. Aunque el informe reconoce la adopción de planes nacionales anticorrupción para abordar las lagunas detectadas, advierte de que su eficacia dependerá de una implementación ambiciosa, adecuadamente financiada y sometida a una supervisión rigurosa. 

 

 

Volver al índice

 

 

 

Publicado en Blog, Circulares, Cumplimiento Normativo, Nuevas Tecnologías, Protección de Datos | Etiquetado como , , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 2- 2026

Notificación del Responsable del RSII ante la AIPI: claves prácticas

Publicado el 10-02-2026

La Autoridad Independiente de Protección al Informante (AIPI) ha publicado recientemente el formulario oficial para la notificación del nombramiento o cese del Responsable del Sistema Interno de Información (RSII), una obligación relevante en el marco de la normativa sobre protección de las personas informantes.

Plazo para realizar la notificación

El plazo establecido por la propia Autoridad es de dos meses, finalizando el 10 de abril de 2026. El cumplimiento en tiempo y forma de esta obligación resulta esencial para evitar incidencias administrativas y garantizar la correcta implantación del Sistema Interno de Información.

 
Aspectos clave para la correcta cumplimentación del formulario

Para realizar el trámite de forma adecuada, la AIPI señala una serie de requisitos y cuestiones prácticas que conviene tener en cuenta:

  • Es imprescindible disponer de certificado digital y tener instalada la aplicación Autofirma.

  • Cuando se actúe en nombre de un tercero, deberá acreditarse debidamente la representación.

  • Será necesario adjuntar el documento de nombramiento o cese del RSII, en formato PDF y con un tamaño máximo de 2 MB.

  • En el caso de grupos de empresas, la notificación deberá realizarse individualmente por cada sociedad (NIF), incluso aunque exista un único Responsable del Sistema Interno de Información para todo el grupo.

  • Deberán indicarse las URLs requeridas, incluida la correspondiente al canal interno de información. Si la entidad no dispone de página web corporativa, deberá consignarse la mención “Sin url”.

 

 
Advertencia relevante

Es importante destacar que la solicitud presentada no puede modificarse ni eliminarse. En caso de error en la cumplimentación, será necesario presentar una nueva solicitud, con las consecuencias prácticas que ello puede implicar.

 

Documentación de apoyo

Como complemento al formulario, la AIPI ha publicado un Manual de uso , una guía sobre la notificación del RSII y un documento de Preguntas Frecuentes, que resultan de gran utilidad para resolver dudas durante el proceso de notificación.

 

Asesoramiento legal especializado

Desde ARPA Abogados Consultores ponemos a disposición de nuestros clientes nuestro equipo especializado para acompañarles en el cumplimiento de esta obligación, así como en la correcta implantación, revisión y gestión del Sistema Interno de Información, garantizando su adecuación a la normativa vigente y a las particularidades de cada organización.

 

Publicado en Cumplimiento Normativo, Sede-Madrid, Sede-Pamplona, Sede-San Sebastián, Sede-Valladolid | Etiquetado como , , , , , Comentarios desactivados en Notificación del Responsable del RSII ante la AIPI: claves prácticas

La AIPI lanza recomendaciones prácticas sobre Sistemas Internos de Información

Publicado el 21-01-2026


La Autoridad Independiente de Protección del Informante (AIPI) ha publicado recientemente tres recomendaciones no vinculantes dirigidas a clarificar dudas habituales y a ofrecer criterios prácticos para el diseño y funcionamiento de los Sistemas Internos de Información, tanto en el ámbito privado como público:

 

 

Desde ARPA Abogados Consultores hemos elaborado una circular práctica en la que analizamos los aspectos clave de la Recomendación 1/2026, en el marco de la Ley 2/2023, junto con un checklist básico para verificar la correcta implantación del sistema. Puedes descargártelo pinchando aquí.

Seguiremos informando puntualmente de las principales novedades de la AIPI, incluida la futura habilitación del formulario para la notificación del nombramiento y cese del Responsable del Sistema Interno de Información (RSII).

Nuestro equipo queda a disposición para resolver cualquier duda o revisar la adecuación de su Sistema Interno de Información conforme a los criterios actuales.

 

Publicado en Cumplimiento Normativo | Etiquetado como , , , , , , , , Comentarios desactivados en La AIPI lanza recomendaciones prácticas sobre Sistemas Internos de Información

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 9- 2025

Publicado el 07-11-2025
Cumplimiento normativo

 

Protección de datos y seguridad de la información

 

 

CUMPLIMIENTO NORMATIVO

 

La AIPI actualiza su web y habilita su canal externo de información  

La Autoridad Independiente de Protección del Informante (AIPI) ha habilitado en su página web el canal externo de información, a través del cual cualquier persona física puede comunicar acciones u omisiones incluidas en el ámbito de aplicación de la Ley 2/2023, ya sea directamente o tras haber acudido previamente al canal interno correspondiente. La AIPI recuerda que el canal interno de información, gestionado por el propio organismo o empresa, es el cauce preferente para presentar informaciones, aunque el canal externo se mantiene disponible para aquellos casos en los que el informante tema represalias o considere que su comunicación no será atendida adecuadamente. 

Asimismo, la AIPI ha incorporado en su página web un apartado específico relativo al Responsable del Sistema de Información. Aunque todavía no es posible registrarse, la Autoridad ha precisado que el plazo de dos meses para comunicar el nombramiento del Responsable del Sistema interno de información, comenzará a computarse una vez se publique en su portal el formulario específico de notificación. Por otro lado, cabe destacar que la web de la AIPI adelanta la puesta en marcha de una nueva función consistente en el desarrollo de un sistema de inspección de canales de información, cuyo objetivo será verificar que cumplen con lo establecido en la Ley 2/2023. Esta función se concretará mediante la próxima aprobación de una circular específica. 

 

Volver al índice

 

El Tribunal Constitucional amplía la protección frente a las represalias laborales 

La Sentencia del Tribunal Constitucional 148/2025, de 23 de octubre, reconoce que las represalias empresariales contra un trabajador que presenta una reclamación ante el Comité de Empresa pueden vulnerar la garantía de indemnidad, como manifestación del derecho a la tutela judicial efectiva (art. 24.1 CE). En el caso analizado, un trabajador fue despedido tras trasladar al Comité de Empresa una queja por la modificación de su cuadrante de guardias. Aunque en primera instancia se declaró la nulidad del despido, el Tribunal Superior de Justicia lo calificó de improcedente, al considerar que la actuación del trabajador no estaba amparada por dicha garantía al no tratarse de una reclamación judicial o administrativa formal. 

El Tribunal Constitucional corrige este criterio y amplía la interpretación de la garantía de indemnidad, estableciendo que también quedan amparadas por el derecho a la tutela judicial efectiva las reclamaciones efectuadas ante la representación legal de los trabajadores cuando constituyen un medio legítimo de defensa de los derechos laborales o un mecanismo de resolución extrajudicial de conflictos. En consecuencia, el Tribunal considera que el despido constituyó una represalia directa contra el ejercicio legítimo del derecho de defensa del trabajador, por lo que declara la nulidad del despido y restablece la protección frente a cualquier acto empresarial que pretenda castigar o disuadir la comunicación de conflictos laborales a los órganos de representación de los trabajadores. 

 

Volver al índice

 

Responsabilidad penal de la persona jurídica: el Supremo refuerza la exigencia de prueba del defecto organizativo 

 La reciente jurisprudencia del Tribunal Supremo reafirma una interpretación restrictiva y garantista del artículo 31 bis del Código Penal, al subrayar que la responsabilidad penal de las personas jurídicas no puede derivarse automáticamente de la comisión del delito por una persona física.  

En este sentido, la STS 768/2025, de 25 de septiembre, constituye un ejemplo paradigmático de esta línea doctrinal, al absolver a la mercantil pese a la condena de su administradora por un delito continuado de estafa. El Alto Tribunal concluye que “no basta para condenar a la persona jurídica acreditar el delito de la persona física; ningún defecto organizativo se alega ni se acredita”, reforzando así la idea de que la culpabilidad corporativa exige la existencia acreditada de un defecto estructural en los mecanismos de control, vigilancia o supervisión, rechazando cualquier tipo de responsabilidad objetiva o vicaria. En coherencia con su doctrina consolidada desde la STS 154/2016, y reiterada en las STS 668/2017 y 949/2022, el Tribunal insiste en que “la responsabilidad de la persona jurídica no es objetiva ni vicaria, sino que debe fundarse en la existencia de un incumplimiento grave de los deberes de supervisión”, enfatizando la obligación del Ministerio Fiscal de acreditar positivamente ese incumplimiento. 

En la misma línea, la STS 836/2025, de 14 de octubre, precisa que la persona jurídica solo puede ser condenada cuando el delito cometido por la persona física haya sido posible “por la ausencia de una cultura de respeto al Derecho, manifestada en formas concretas de vigilancia y control del comportamiento de sus directivos y subordinados”. En consecuencia, advierte que “la persona jurídica no es responsable penalmente de todos y cada uno de los delitos cometidos en el ejercicio de actividades sociales y en su beneficio directo o indirecto”, sino únicamente cuando se demuestre un incumplimiento efectivo de los deberes de supervisión y control. 

 

 

Volver al índice

 

PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

 

Certificación en materia de privacidad: ISO 27701 

Se ha publicado recientemente la actualización de la norma internacional ISO/IEC 27701:2025, titulada “Seguridad de la información, ciberseguridad y protección de la privacidad — Sistemas de gestión de la información sobre privacidad — Requisitos y orientaciones”.  Una de las novedades más destacables es la posibilidad de certificarse en esta norma sin depender de la ISO 27001. 

 En todo caso merece la pena indicar que esta nueva edición actualiza y amplía las directrices para la creación, implementación, mantenimiento y mejora continua de un Sistema de Gestión de la Información de Privacidad (PIMS), ofreciendo un marco sólido que permite a las organizaciones demostrar responsabilidad, gestionar riesgos y cumplir con regulaciones como el Reglamento General de Protección de Datos.  

 

Volver al índice

 

EDPB avala —con cautelas— la prórroga de la adecuación de Reino Unido para las transferencias internacionales de datos. 

Como bien es sabido, desde la salida del Reino Unido de la UE, todo flujo de datos de carácter personal entre la UE y Reino Unido constituye una transferencia internacional de datos (arts. 44 y ss. RGPD). Dicha transferencia ha estado amparada en una decisión de adecuación mediante la cual se reconoce que el nivel de protección ofrecido por el Reino Unido es esencialmente equivalente al de la UE. No obstante, esta decisión tiene carácter temporal y debe ser renovada periódicamente. 

En ese contexto, el Comité Europeo de Protección de Datos (EDPB), ha emitido la Opinión 26/2025 en el que se muestra favorable al borrador de la Comisión Europea para renovar la decisión de adecuación hasta el 27 de diciembre de 2031(con revisión a los 4 años). Sin embargo, el EDPB solicita una monitorización reforzada ante posibles divergencias normativas, exenciones por motivos de seguridad nacional y su impacto en el uso del cifrado, así como un seguimiento de la efectividad de la nueva estructura de la ICO (la autoridad de control del Reino Unido). 

 

 

Volver al índice

 

Novedades normativas 

En esta edición destacamos dos novedades: 

    • En el ámbito europeo, es aplicable desde el 10 de octubre de 2025 el Reglamento (UE) 2024/900 del Parlamento Europeo y del Consejo, de 13 de marzo de 2024, sobre transparencia y segmentación en la publicidad política.  

 

Volver al índice

 

Otros: Chester Digital Stories ATECNA 

Nuestro compañero Álvaro Abáigar, socio – director del Departamento de Nuevas Tecnologías y Cumplimiento Normativo en ARPA Abogados Consultores ha participado en el nuevo capítulo de Chester Digital Stories, organizado por ATECNA, en una charla dedicada a reflexionar sobre tecnología, datos y ciberseguridad. 

 

Volver al índice

 

Publicado en Circulares, Cumplimiento Normativo, Nuevas Tecnologías, Propiedad Intelectual e Industrial | Etiquetado como , , , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 9- 2025

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 7 – 2025

Publicado el 08-09-2025
Cumplimiento normativo

 

Protección de datos y seguridad de la información

 

 

 

 

CUMPLIMIENTO NORMATIVO

 

La Autoridad Independiente de Protección del Informante ya está operativa. 

Desde el 1 de septiembre de 2025 está en funcionamiento la Autoridad Independiente de Protección del Informante, AAI (en adelante AIPI), cuya puesta en marcha fue fijada por la Orden PJC/908/2025, de 8 de agosto (publicada en el BOE el 12 de agosto) en cumplimiento de la Ley 2/2023. Presidida por Manuel Villoria Mendieta, la AIPI nace como pilar institucional en la lucha contra la corrupción y para garantizar la protección efectiva de las personas que informen de infracciones, adaptando al ordenamiento español la Directiva (UE) 2019/1937. 

La nueva autoridad asume, entre otras, la gestión del canal externo de denuncias, la adopción de medidas de protección y apoyo a las personas informantes y la potestad sancionadora (con multas que pueden llegar hasta 300.000 € para personas físicas y 1.000.000 € para personas jurídicas, según la infracción). También emitirá circulares y recomendaciones, y supervisará el correcto funcionamiento de los sistemas internos de información de las organizaciones, en coordinación con otras autoridades nacionales y autonómicas. 

En este contexto, conviene destacar que las entidades obligadas por la Ley de Protección al Informante disponen de dos meses desde el inicio de actividad para designar y comunicar a la AIPI a la persona y/o Comité responsable de su Sistema interno de información, con fecha límite 1 de noviembre de 2025. 

 

Volver al índice

 

 

Canales de denuncia de la Autoridad Independiente de Protección del informante. 

Con motivo del inicio de su actividad, la Autoridad Independiente de Protección del Informante ha habilitado una web provisional (www.proteccioninformante.gob.es), mientras culmina el desarrollo de su Sede Electrónica y portal definitivo, que, según figura en nota informativa, estará operativo en breve y contará con las medidas de seguridad y confidencialidad legalmente exigidas. 

Mientras tanto, se puede contactar con la Autoridad Independiente de Protección del Informante a través de los siguientes correos habilitados: para asuntos generales o informativos y para comunicaciones del Responsable del Sistema de Información, aipi@proteccioninformante.es; para el Canal Externo de Información, canal.externo@proteccioninformante.es (omitiendo cualquier dato personal de terceros por razones de confidencialidad); y para el Canal Interno de Información, canal.interno@proteccioninformante.es (igualmente, sin datos personales de terceros). 

 

Volver al índice

 

 

Plan Estatal de Lucha contra la Corrupción. 

El pasado 9 de julio, el Gobierno presentó el Plan Estatal de lucha contra la corrupción, estructurado en cinco ejes y quince medidas para reforzar el marco legal existente en materia de integridad pública.  

Entre sus novedades destacan la creación de una Agencia Independiente de Integridad Pública, el uso de IA y big data en contratación para detectar irregularidades y la extensión de mapas de riesgos en la gestión de fondos. Asimismo, el Plan blinda el anonimato en los canales de denuncia, endurece las sanciones por represalias, obliga a las organizaciones que contraten con la Administración a contar con sistemas de cumplimiento anticorrupción y a someterse a auditorías externas de integridad. Además, crea una lista de inhabilitación que excluirá de la contratación pública, subvenciones y beneficios fiscales a las entidades condenadas en firme por corrupción. 

En este contexto, el 26 de agosto se aprobó el Real Decreto 711/2025, por el que se crea la Comisión Interministerial para el impulso del Plan Estatal de Lucha contra la Corrupción y se regula su composición y funcionamiento. Esta Comisión, concebida para la dirección estratégica, el fomento y la coordinación de las medidas a adoptar por la Administración General del Estado, tiene por objeto asegurar el cumplimiento efectivo de las actuaciones previstas en el Plan. 

 

Volver al índice

 

 

PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

 

Biometría ¿Cambio de criterio de la Agencia Española de Protección de Datos? 

La Agencia Española de Protección de Datos (AEPD) ha respondido a una consulta previa de las Fuerzas y Cuerpos de Seguridad del Estado sobre el uso de biometría para el control de accesos. A partir de una evaluación de impacto (EIPD), el informe distingue dos enfoques: la identificación, con mayores riesgos para la privacidad, y la autenticación, que bien diseñada y limitada al punto de acceso, puede resultar más proporcionada y menos intrusiva. La Agencia exige justificar necesidad y proporcionalidad, acreditar la mejora frente a sistemas previos y escoger, entre alternativas igual de eficaces, la menos gravosa. Entre las garantías técnicas que valora figuran el tratamiento local cuando sea posible, puntos de control aislados, la retención mínima, la ausencia de acceso externo y las opciones de respaldo. En línea con el Comité Europeo de Protección de Datos, se valoran positivamente modelos en los que la plantilla reside en el dispositivo del usuario o se almacena cifrada con una clave bajo su exclusivo control. 

En cuanto al marco jurídico, la Agencia considera que, para el supuesto analizado, existe base suficiente para la utilización del sistema biométrico: su finalidad principal es la prevención de delitos y amenazas contra la seguridad pública, y a tal efecto el informe se apoya en la Ley Orgánica 7/2021 y, como norma específica, en la Ley Orgánica 2/1986. No obstante, aun reconociendo dicha cobertura, el propio informe subraya la conveniencia de que el legislador refuerce el marco con disposiciones más detalladas y garantías adicionales, acordes al impacto real de estos tratamientos. 

 

Volver al índice

 

 

Data Act: entrada en aplicación el 12 de septiembre de 2025. 

El Reglamento (UE) 2023/2854, conocido como Data Act, establece el marco para el acceso y la utilización de los datos generados por productos conectados y servicios relacionados en la Unión Europea, abarcando tanto datos personales como no personales. Su aplicación general comienza el 12 de septiembre de 2025, aunque se han previsto plazos adicionales para determinadas obligaciones, como las de diseño y fabricación, que se aplicarán de forma escalonada en 2026 y 2027. 

Entre las disposiciones más relevantes de la norma se pueden destacar las siguientes: 

    • Derecho de los usuarios de productos conectados a solicitar el acceso a los datos generados por el uso, incluyendo información sobre consumo, funcionamiento u operaciones de mantenimiento, y a compartirlos con terceros de su elección. 
    • Prohibición de cláusulas contractuales abusivas que limiten el acceso legítimo a dichos datos, especialmente en contratos B2B, con un régimen específico para contratos celebrados antes de la fecha de aplicación general. 
    • Obligaciones de interoperabilidad y portabilidad para facilitar el cambio entre proveedores de servicios de tratamiento de datos (por ejemplo, servicios en la nube) y mejorar la interoperabilidad técnica. 

 

Volver al índice

 

 

Sentencia del Tribunal Supremo sobre mirillas digitales. 

El Tribunal Supremo, en su Sentencia 1166/2025 de 17 de julio, ha confirmado la condena por intromisión ilegítima en el derecho a la intimidad derivada de la instalación de una mirilla digital. En el caso analizado, la instalación no superó a juicio del Tribunal el juicio de proporcionalidad ya que “no respondió a problemas de seguridad (…) sino a la simple comodidad de los demandados, que estaban ausentes durante temporadas y tenían interés por saber si iba alguien a entregar algún paquete a su vivienda”. La mirilla digital se activaba “sin necesidad de que hayan llamado al timbre de la vivienda de los demandados o intentado abrir su puerta” por lo que dada “la situación enfrentada de ambas puertas, a una distancia mínima, supone que cuando se abre la puerta de la vivienda de los demandantes el dispositivo permite ver el interior de esa vivienda; no existen garantías de limitación al acceso de esas imágenes”. 

 

Volver al índice

 

 

Transferencias internacionales de datos a USA: el Tribunal General de la UE confirma el Data Privacy Framework. 

El 3 de septiembre de 2025 el Tribunal General de la Unión Europea desestimó una acción que cuestionaba el Data Privacy Framework, que recordemos constituye el principal mecanismo para las transferencias internacionales de datos de carácter personal entre la UE y USA. 

La Agencia Española de Protección de Datos (AEPD) ha emitido un nota valorativa en la que subraya que “considera que la sentencia aporta estabilidad y refuerza la seguridad jurídica y la continuidad de las transferencias internacionales de datos entre la UE y EEUU”. 

 

Volver al índice

 

 

La Comisión Europea abre consulta sobre la futura Ley de Equidad Digital. 

La Comisión Europea ha puesto en marcha una consulta pública y una convocatoria de datos sobre la futura Ley de Equidad Digital, cuyo objetivo es reforzar la protección de los consumidores frente a prácticas digitales desleales. La iniciativa, abierta a ciudadanos, autoridades y partes interesadas, busca recoger aportaciones que permitan reforzar la protección de los consumidores en el entorno digital, así como establecer condiciones de competencia claras y equilibradas para las empresas en la Unión Europea. 

La propuesta pretende hacer frente a fenómenos cada vez más extendidos en el ámbito digital, como el uso de patrones oscuros en interfaces, el marketing engañoso de influencers en redes sociales, el diseño adictivo de productos y servicios digitales o la elaboración de perfiles que explotan las vulnerabilidades de los usuarios. La consulta estará abierta hasta el 24 de octubre de 2025. 

 

Volver al índice

 

 

Publicado en Circulares, Cumplimiento Normativo, Protección de Datos | Etiquetado como , , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 7 – 2025

Inteligencia Artificial y Enfermería: una alianza para un cuidado más humano

Publicado el 14-04-2025

El próximo 8 de mayo, el Colegio Oficial de Enfermería de Navarra (COENAV) celebrará su Jornada anual bajo el lema: “Inteligencia Artificial y Enfermería: una alianza para un cuidado más humano / Adimen Artifiziala eta Erizaintza: aliantza bat zaintza gizatiarrago bat izateko”.

Una cita clave para reflexionar sobre el impacto de la inteligencia artificial en el ámbito del cuidado y su potencial para mejorar la práctica enfermera sin perder de vista la dimensión humana.

La jornada combina ponencias, mesas redondas y talleres prácticos con un objetivo claro: dotar a las y los profesionales de enfermería de conocimientos y herramientas para integrar la IA en su día a día clínico.

Nuestro compañero Álvaro Abáigar, socio-director del Dpto. de Nuevas Tecnologías y Cump0limieno Normativo, intervendrá en la mesa redonda sobre “Aplicaciones tecnológicas de apoyo para el cuidado del paciente”, donde abordará el papel del cumplimiento normativo en el despliegue de herramientas de IA aplicadas a la salud.

Su participación pretende ofrecer una visión jurídica y ética sobre los retos que plantea la integración de estas tecnologías en el entorno asistencial, subrayando la necesidad de garantizar la seguridad, la privacidad y la calidad del cuidado en un entorno regulado.

Programa de la jornada

La sesión matinal se abrirá a las 9:00 h con las intervenciones del consejero de Salud, Fernando Domínguez, y la presidenta del COENAV, Isabel Iturrioz. A continuación, se sucederán:

  • Ponencia inaugural:

    “IA y Enfermería: humanización en la era de la IA” a cargo de Ernesto Ibáñez, enfermero y CEO de AI Open Academy.

  • Mesa redonda:

    “Conversaciones en torno a la IA en la práctica enfermera: herramientas actuales y perspectivas para un mejor cuidado” con Marion Vilar, Míriam Juárez y Alina Valdivia, expertas en salud digital, IA y matronería.

  • Ponencia:

    “Bioética en la era de la Inteligencia Artificial: desafíos para la enfermería” por Rafael Amo, director de la Cátedra de Bioética de la Universidad Pontificia de Comillas.

  • Mesa redonda:

    “Aplicaciones tecnológicas de apoyo para el cuidado del paciente” con Alicia Martínez, Virginia de La Rosa y nuestro compañero Álvaro Abáigar, quien abordará el papel del cumplimiento normativo en el uso responsable y ético de la inteligencia artificial en entornos asistenciales.

La mañana se completará con una pausa con humor a cargo del grupo Tdiferencia y la entrega de premios del concurso de imágenes generadas por IA, en el que las personas asistentes podrán votar el premio del público.

 

Talleres prácticos por la tarde

La jornada continúa por la tarde con dos talleres que se repetirán en doble sesión (17:00 y 18:30 h), para facilitar la participación:

  • “Decisiones clínicas asistidas por IA: un enfoque práctico orientado al paciente”  impartido por Mariona Vilar.

  • “Seminario de iniciación a la IA en su aplicación al cuidado: asistentes, tipos y aplicaciones” dirigido por Ernesto Ibáñez.

Ambos talleres tienen un aforo limitado a 90 personas por sesión.  

 

 

Transporte desde Tudela y Estella

También se ha habilitado servicio de autobús desde Tudela y Estella, sujeto a un mínimo de 20 personas inscritas.

 

 

ℹ️ Inscripciones abiertas hasta el 30 de abril

La inscripción a la jornada matinal y a los talleres de la tarde se realiza de forma independiente y ya está disponible en la web del COENAV. Las plazas se adjudican por orden de inscripción y no será posible asistir a los talleres sin haber acudido previamente a la sesión de la mañana.

Programa completo de la jornada 

 

Más info e inscripciones: Abierta la inscripción a la jornada anual del Colegio sobre inteligencia artificial y enfermería

Publicado en Cumplimiento Normativo | Etiquetado como , , , , , , , , , , , Comentarios desactivados en Inteligencia Artificial y Enfermería: una alianza para un cuidado más humano

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 3 – 2025

Publicado el 18-03-2025
Protección de datos y seguridad de la información
 
Cumplimiento normativo

 

Charlas, eventos y novedades

 

 

PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

 

Toma de posesión de Lorenzo Cotino Hueso y Francisco Pérez Bes como presidente y adjunto, respectivamente, de la AEPD 

Lorenzo Cotino Hueso y Francisco Pérez Bes han tomado posesión del cargo de presidente y adjunto, respectivamente, de la Agencia Española de Protección de Datos (AEPD) en un acto celebrado en la sede de la Agencia y presidido por el ministro de la Presidencia, Justicia y Relaciones con las Cortes, Félix Bolaños.  

En su discurso, Lorenzo Cotino destacó los retos que enfrenta la AEPD debido al avance tecnológico y la inteligencia artificial, subrayando la necesidad de un plan estratégico para abordar estos desafíos. Por su parte, Francisco Pérez Bes enfatizó el compromiso de la Agencia con la cercanía al ciudadano, la transparencia y la innovación. Durante el acto, el ministro Félix Bolaños recordó la importancia de la privacidad en un contexto tecnológico en constante evolución y anunció la próxima aprobación de la Ley para la protección de los menores en entornos digitales. El mandato de los nuevos responsables de la AEPD tendrá una duración inicial de cinco años. 

 

 
Volver al índice
 

 

La AEPD sanciona a la Liga con 1 millón de euros por aplicar control biométrico en el acceso a los estadios 

La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de un millón de euros a la Liga Nacional de Fútbol Profesional (LNFP) por incumplimientos en el tratamiento de datos personales en los accesos a los estadios de fútbol. La investigación, derivada de denuncias presentadas en 2022 y 2023, determinó que la Liga implementó sistemas de reconocimiento biométrico, como el uso de huellas dactilares y reconocimiento facial, sin cumplir con las garantías exigidas por el Reglamento General de Protección de Datos (RGPD).  

La AEPD ha determinado que estos sistemas no tenían una base legal adecuada, ya que el consentimiento no era libre al no haber alternativa real. Además, la Liga no evaluó el impacto en los derechos de los aficionados ni tomó medidas para reducir los riesgos del uso de datos biométricos. 

Como resultado, además de la multa, la AEPD ha ordenado la suspensión temporal del uso del reconocimiento biométrico hasta que se garantice el cumplimiento del RGPD. La Liga deberá realizar una Evaluación de Impacto en Protección de Datos para justificar la necesidad y proporcionalidad del sistema, así como implementar medidas de seguridad adecuadas. En caso de que la evaluación determine que el tratamiento de datos biométricos sigue siendo necesario, la Liga deberá solicitar consulta previa a la AEPD antes de su aplicación. La resolución puede ser recurrida ante la Audiencia Nacional, lo que podría prolongar el litigio durante varios meses o años. 

 

 
Volver al índice
 

 

España y la IA: anteproyecto de ley para la gobernanza de la Inteligencia Artificial. 

El Consejo de Ministros ha aprobado el anteproyecto de ley para la gobernanza de la Inteligencia Artificial (IA), alineando la legislación española al reglamento europeo. La normativa establece restricciones estrictas para el uso de la IA, prohibiendo prácticas como técnicas subliminales, explotación de vulnerabilidades y reconocimiento biométrico en espacios públicos, salvo por seguridad nacional. Además, regula los sistemas de alto riesgo en sectores como sanidad e infraestructuras e introduce la posibilidad de retirar del mercado sistemas que causen incidentes graves. También impone sanciones de hasta 35 millones de euros o el 7% del volumen de negocio global en casos de incumplimiento. 

Para garantizar el cumplimiento de estas normativas, se designan diversas autoridades de supervisión según el sector, incluyendo la Agencia Española de Protección de Datos, el Consejo General del Poder Judicial, el Banco de España y la Agencia Española de Supervisión de la Inteligencia Artificial. El anteproyecto se tramitará por la vía de urgencia antes de su aprobación definitiva en el Consejo de Ministros y su envío a las Cortes Generales. 

 

 
Volver al índice
 

 

 

CUMPLIMIENTO NORMATIVO

 

España refuerza la integridad y la ética en la Administración Pública 

Publicada en el BOE la Resolución de 5 de febrero de 2025, de la Secretaría de Estado de Función Pública, por la que se publica el Acuerdo del Consejo de Ministros de 28 de enero de 2025, por el que se aprueba el Sistema de Integridad de la Administración General del Estado. Se trata de un conjunto unificado de medidas que tiene como propósito promover y consolidar de manera global una cultura de integridad y valores éticos en la actuación de todo el personal de la Administración General del Estado.  

El Sistema incluye un código de buena administración para empleados públicos, un código de buen gobierno para altos cargos, un mecanismo de gestión del riesgo de integridad, protocolos para canales internos de información y una guía para la gestión de buzones de ética institucional. 

El Sistema alinea a España con las recomendaciones y mejores prácticas en materia de transparencia y buen gobierno de instituciones como la OCDE o el Consejo de Europa. 

 

 
Volver al índice
 

 

Modificación del Estatuto de la Autoridad independiente de protección del informante 

El Real Decreto 102/2025, de 18 de febrero, introduce modificaciones en el Estatuto de la Autoridad Independiente de Protección del Informante (A.A.I.), aprobado mediante el Real Decreto 1101/2024, de 29 de octubre, con el objeto de reforzar su marco normativo y mejorar su operatividad.  

Entre las modificaciones introducidas, se ha determinado que la sede de esta autoridad estará en Madrid. Asimismo, se han precisado y ampliado las funciones, reforzando su capacidad de asesoramiento jurídico interno para garantizar el adecuado ejercicio de sus competencias. Se establece, además, que podrá asumir funciones asignadas por su Estatuto u otras normativas, incluidas aquellas delegadas por la Presidencia de la Autoridad Independiente de Protección del Informante, A.A.I. 

Por otro lado, se han ajustado los procedimientos de consulta y emisión de informes, permitiendo solicitar la opinión de los departamentos de la Administración General del Estado cuando sus competencias puedan verse afectadas por la normativa en cuestión. Asimismo, se ha previsto la posibilidad de solicitar informes tanto a la Gerencia como a la Comisión Consultiva de Protección del Informante. 

 

 
Volver al índice
 

 

Escándalo en la Eurocámara: Huawei bajo investigación por presunta corrupción y sobornos 

Según una investigación belga en curso, Huawei habría sobornado a eurodiputados para influir en políticas comerciales de la Unión Europea. 

La policía belga ha llevado a cabo una serie de registros en la sede europea de Huawei en Bruselas y ha detenido a varios de sus lobistas por presunta corrupción en el Parlamento Europeo. La Fiscalía belga investiga un posible caso de soborno, falsificación de documentos y blanqueo de capitales, en el que estarían implicados hasta quince eurodiputados.  

La Fiscalía ha destacado que los presuntos sobornos se habrían materializado en forma de remuneraciones, regalos y privilegios con el objetivo de influir en la toma de decisiones del Parlamento Europeo, particularmente en relación con las restricciones impuestas a empresas chinas de telecomunicaciones. 

 

 
Volver al índice
 

 

EE. UU. suspende temporalmente la aplicación de la ley anticorrupción en el extranjero (FCPA) 

El presidente de EE.UU. ha ordenado la suspensión temporal de la aplicación de la Ley de Prácticas Corruptas en el Extranjero (FCPA) durante un periodo de 180 días, argumentando que su aplicación excesiva afecta la competitividad de las empresas estadounidenses y perjudica los intereses económicos y de seguridad nacional. Durante este periodo, el Fiscal General deberá detener la apertura de nuevas investigaciones, analizar los casos en curso y emitir nuevas directrices que limiten el alcance de la ley para alinearla con los intereses económicos y de política exterior del país. 

La decisión ha generado controversia, ya que algunos advierten que podría debilitar la lucha contra la corrupción en el extranjero, mientras que el gobierno de EE. UU. sostiene que la suspensión es necesaria para evitar regulaciones que obstaculizan la presencia de compañías estadounidenses en mercados estratégicos. Dependiendo de los resultados de la revisión, la suspensión podría extenderse otros 180 días si se considera necesario y podría llevar a cambios permanentes en la aplicación de la ley. 

 

 
Volver al índice
 

 

La Unión Europea aprueba la Ley Ómnibus 

La Comisión Europea ha aprobado el paquete Ómnibus, marcando un hito en la regulación de la sostenibilidad empresarial al introducir una serie de reformas destinadas a reducir la carga administrativa para las empresas sin comprometer sus compromisos ambientales. La propuesta de la Comisión Europea busca simplificar normativas clave, como la Directiva de Información sobre Sostenibilidad Corporativa (CSRD), la Directiva sobre Diligencia Debida en Sostenibilidad (CSDDD) y la taxonomía de la UE, con el objetivo de armonizar el marco regulador y mejorar la competitividad empresarial.  

Esta iniciativa responde a preocupaciones recientes sobre el impacto de la burocracia en el crecimiento económico y la capacidad de las empresas europeas para competir a nivel global, un aspecto destacado en el Informe Draghi de 2024. 

Entre las principales medidas del paquete se encuentra la reducción de un 25% en la carga de reporte para empresas y hasta un 35% para pymes, garantizando un marco normativo más claro y coherente. Asimismo, se introduce un enfoque flexible para las empresas de tamaño mediano y aquellas con operaciones en múltiples Estados miembros, permitiendo regímenes regulatorios adaptados a sus necesidades. Además, la iniciativa busca optimizar el acceso a programas de inversión como InvestEU y el Fondo Europeo para Inversiones Estratégicas (FEIE), facilitando la financiación sostenible para la transición ecológica. 

 

 
Volver al índice
 

 

Actualización de la norma ISO 37001:2025 

La norma ISO 37001:2025, publicada el 28 de febrero de 2025, representa la segunda edición del estándar global para sistemas de gestión antisoborno. Esta actualización incorpora modificaciones relevantes destinadas a mejorar la prevención, detección y gestión del soborno en organizaciones de distintos sectores. 

Entre las principales actualizaciones se destacan su alineación con la estructura armonizada de normas ISO e IEC, lo que facilita su integración con otros sistemas de gestión; reforzar la cultura antisoborno dentro de las organizaciones, enfatizando el liderazgo y el compromiso organizacional; y clarificación de los roles y responsabilidades en la función antisoborno para garantizar una supervisión más efectiva. 

Las organizaciones certificadas bajo la versión 2016 disponen de un período de transición de dos años para adaptarse a los nuevos requisitos de la ISO 37001:2025. 

 

Volver al índice
 

 

CHARLAS, EVENTOS Y NOVEDADES

 

ATANA celebra su Asamblea General Ordinaria 2025 y renueva su Junta Directiva 

Recientemente, ATANA, el clúster de tecnología y consultoría de Navarra, ha celebrado su Asamblea General Ordinaria correspondiente al año 2025. Durante la sesión, se trataron diversos temas entre los que destacamos la renovación de la Junta Directiva. En este contexto, se confirmó la continuidad en la Junta Directiva de Álvaro Abáigar, socio – director del Departamento de Nuevas Tecnologías y Cumplimiento Normativo en ARPA Abogados Consultores. 

 

 
Volver al índice
 

 

Publicado en Circulares, Cumplimiento Normativo, Propiedad Intelectual e Industrial, Protección de Datos | Etiquetado como , , , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 3 – 2025

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º1 – 2025

Publicado el 27-01-2025
Protección de datos y Seguridad de la Información

 

Cumplimiento normativo

 

 

PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

 

NIS2- Anteproyecto de la nueva ley de ciberseguridad 

El Consejo de Ministros ha aprobado el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, que supone la transposición europea de la Directiva de Seguridad de Red e Información 2 (NIS2). 

Esta norma busca hacer frente a las ciberamenazas, nuevos desafíos y riesgos que requieren respuestas adaptadas, coordinadas e innovadoras, reforzando la protección de las redes y sistemas de información en sectores críticos para el desempeño económico y social del país. 

El anteproyecto precisa las entidades públicas o privadas afectadas por las normas de ciberseguridad que establece, y crea el Centro Nacional de Ciberseguridad, que se encargará de la dirección, impulso y coordinación en la materia, garantizará la cooperación intersectorial y transfronteriza con otras autoridades competentes y será autoridad de gestión de crisis en caso de incidentes de entidad 

El anteproyecto va a ser tramitado por la vía de urgencia para que pueda ser aprobado cuanto antes. 

Volver al índice

 

 

Reglamento de Cibersolidaridad de la Unión Europea 

Publicado el Reglamento de Cibersolidaridad en el que se establecen medidas destinadas a reforzar la solidaridad y las capacidades en la Unión Europa a fin de detectar ciberamenazas e incidentes, prepararse y responder a ellos. 

El Reglamento incluye un Sistema Europeo de Alerta de Ciberseguridad, compuesto por centros de operaciones de seguridad interconectados en toda la UE, para mejorar la detección, el análisis y la respuesta a las ciberamenazas. 

 

Volver al índice

 

Cese de Mar España como directora de la Agencia Española de Protección de Datos y propuestas de nuevos nombramientos 

Mar España, directora de la Agencia Española de Protección de Datos (AEPD), cesó en su cargo mediante un Real Decreto aprobado en el Consejo de Ministros. El cese de la directora de la AEPD, funcionaria del Cuerpo Superior de Administradores Civiles del Estado, coincide con su solicitud de jubilación voluntaria en la Administración.  

El nombramiento de Mar España como directora de la Agencia tuvo lugar el 24 de julio de 2015 con un mandato inicial de cuatro años, continuando en funciones al término de estos. Hasta el momento en el que se produzca el nombramiento de la persona titular de la nueva presidencia, la AEPD continuará ejerciendo las competencias que le son propias de acuerdo con lo dispuesto en el Reglamento General de Protección de Datos y en la Ley Orgánica de Protección de Datos y garantía de derechos digitales.  

En este contexto, el Consejo de Ministros ha propuesto a los catedráticos de Derecho Constitucional Lorenzo Cotino Hueso y Antonio Troncoso Reigada como presidente y adjunto de la AEPD, respectivamente. Asimismo, se ha aprobado el acuerdo para trasladar esta propuesta al Congreso de los Diputados, que examinará a ambos candidatos el próximo miércoles 29 de enero. 

Una vez que el Congreso evalúe y vote a favor de los candidatos, el Consejo de Ministros procederá a formalizar su nombramiento mediante Real Decreto, otorgándoles un mandato de cinco años al frente de la Agencia. 

 

Volver al índice

 

Nuevas directrices sobre seudonimización 

Durante su reunión plenaria de enero de 2025, el Comité Europeo de Protección de Datos (CEPD) ha adoptado directrices sobre la seudonimización. 

En sus directrices, el CEPD aclara la definición y la aplicabilidad de la seudonimización y los datos seudonimizados, así como las ventajas de la seudonimización. 

Las directrices también explican cómo la seudonimización puede ayudar a las organizaciones a cumplir con sus obligaciones relacionadas con la implementación de los principios de protección de datos, la protección de datos desde el diseño y por defecto y la seguridad. 
 
Las directrices estarán sujetas a consulta pública hasta el 28 de febrero de 2025. 

Volver al índice

 

Sancionan a Osasuna con 200.000 euros por implementar el reconocimiento facial en el Sadar 

La Agencia Española de Protección de Datos (AEPD) ha propuesto una sanción de 200.000 euros al Club Atlético Osasuna por el sistema de reconocimiento facial implementado en la temporada 2022-2023 en algunos accesos del estadio de El Sadar.  

El Club ha anunciado que recurrirá ante la Audiencia Nacional porque entiende que la AEPD se refiere en su expediente sancionador a soluciones de reconocimiento facial antiguas y no en la tecnología avanzada que emplea Osasuna. El club emplea un sistema basado en Referencias Biométricas Renovables (RBRs), una tecnología basada en estándares internacionales y que presenta garantías de privacidad y seguridad que han permitido superar los riesgos que presentaban las tecnologías biométricas antiguas. 

Estas soluciones biométricas basadas en RBRs han sido refrendadas recientemente por el Centro Criptológico Nacional (CCN), máximo organismo de ciberseguridad de España, que el pasado mes de diciembre publicó un informe en el que “recomienda para el nivel alto de seguridad el uso de sistemas de control de acceso basados en el uso de plantillas biométricas RBR”. El informe resalta que, en el marco del nuevo Reglamento europeo de Inteligencia Artificial, un sistema como el implantado por Osasuna es “de bajo o nulo riesgo para los derechos fundamentales de las personas”, dado que es una solución que cuenta “con la intervención voluntaria del usuario y en proximidad”. 

 

Volver al índice

 

CUMPLIMIENTO NORMATIVO

 

Atenuante de la responsabilidad penal de la persona jurídica 

La sentencia 1831/2024 de la Audiencia Provincial de Zaragoza fundamenta las razones por las que se atenuó la responsabilidad penal de una empresa que no contaba con un programa de cumplimiento normativo en el momento en que se cometieron los hechos. 

La empresa fue beneficiada con la aplicación de la circunstancia atenuante “por implantar en el seno de la organización medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurídica.  En concreto los fundamentos de atenuación fueron: 

    • La implementación de un programa de cumplimiento posterior a la comisión del acto delictivo. 
    • La adaptación del Canal de denuncias existente a la ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. 
    • El desarrollo de una auditoria correspondiente a la certificación inicial en la norma UNE 19601:2017 de sistemas de gestión compliance penal. 
    •  
Volver al índice
 

 

 

Nueva versión Norma UNE 19601 “Sistemas de gestión de compliance penal. Requisitos con orientación para su uso.” 

A finales de febrero se publicará la nueva versión de la Norme UNE 19601 “Sistemas de gestión de compliance penal. Requisitos con orientación para su uso.” 

El borrador se encuentra en fase de información pública con fecha límite 18 de febrero. Disponible para consulta y comentarios en el Servicio de Revisión de Proyectos de UNE. 

 

Volver al índice

 

Gobernanza en la ciberseguridad: Perspectiva desde el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad y el Reglamento DORA 

La ciberseguridad y la resiliencia digital se han convertido en elementos clave de la estrategia regulatoria tanto a nivel nacional como europeo. En este contexto, el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad y el Reglamento DORA (Reglamento sobre la resiliencia operativa digital del sector financiero) destacan por el papel que otorgan a los órganos de dirección en la gobernanza de los riesgos cibernéticos.  

En el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad se establece que los órganos de dirección de las entidades esenciales e importantes son responsables de implementar y supervisar las medidas de gestión de riesgos de ciberseguridad. Además, se enfatiza la formación continua de los miembros de los órganos de dirección y se subraya la importancia de extender esta formación periódica a los empleados, reforzando así una cultura organizativa orientada a la ciberseguridad. 

El Reglamento DORA también asigna a los órganos de dirección de las entidades financieras la responsabilidad última en la gestión de riesgos relacionados con las tecnologías de la información y la comunicación (TIC). Entre las principales obligaciones, se incluyen: 

    • Definir, aprobar y supervisar un marco integral de gestión de riesgos relacionados con las TIC. 
    • Establecer políticas que aseguren la confidencialidad, integridad y disponibilidad de los datos. 
    • Aprobar y supervisar estrategias de resiliencia operativa digital, así como planes de continuidad y recuperación ante incidentes TIC. 

Además, establece la obligatoriedad de que los órganos de dirección mantengan conocimientos actualizados sobre los riesgos tecnológicos y sus impactos, mediante formación periódica. 

Ambas normativas reconocen la importancia de que los órganos de dirección asuman un rol activo en la gestión de riesgos tecnológicos. 

 

Volver al índice

 

 

Publicado en Circulares, Cumplimiento Normativo, Nuevas Tecnologías, Propiedad Intelectual e Industrial, Protección de Datos | Etiquetado como , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º1 – 2025

Sistemas de compliance en materia de libre competencia: la norma UNE 19603 y su certificación

Publicado el 22-01-2025

Las sanciones que se están imponiendo por vulnerar las prácticas de libre competencia y la labor de las autoridades de las comunidades autónomas en la materia, están adquiriendo una mayor relevancia en el entorno económico actual.

En este marco, se ha publicado recientemente la norma UNE 19603, con la participación activa de la Autoridad Vasca de la Competencia, cuyo objetivo es proporcionar herramientas a las empresas para implementar programas de cumplimiento normativo en materia de competencia que permitan prevenir procedimientos sancionadores.

La implantación de un programa de cumplimiento en este ámbito resulta clave para proteger a las empresas de posibles daños reputacionales y económicos derivados de verse involucrados en investigaciones y sanciones.

Por todo ello, ADEGI ha organizado una jornada que contará con la intervención de nuestra compañera, María González Navarate (Responsable del Área de Derecho de la Competencia de ARPA Abogados Consultores),  Rafael Iturriaga Nieva, vocal del Consejo Vasco de la Competencia (Autoridad Vasca de la Competencia) y  Mayrata Conesa Alagarda, Mánager de ESG, Compliance y Buen Gobierno de AENOR. donde darán a conocer los sistemas de compliance competencia, los aspectos clave de la norma UNE 19603:2023 y la experiencia de la empresa certificadora AENOR.

Dicha sesión tendrá lugar el próximo 14 de febrero de 09:30 a 11:15 h en la sede de ADEGI. 

 

Programa:

  • 9:30h: Presentación.

  • 9:40h: Competencia y actividad económica. Relevancia y ventajas de tener de programas de compliance competencia en nuestras empresas.

                       María González, Directora de la oficina de ARPA Abogados Consultores en San Sebastián y, Responsable del Área de Derecho de la Competencia.

  • 10:10h: La norma UNE 19603:2023.

                  Rafael Iturriaga, vocal del Consejo Vasco de la Competencia (Autoridad Vasca de la Competencia.)

  • 10:40h: Los sistemas de gestión de la libre competencia: su certificación.

                  Mayrata Conesa, Mánager de ESG, Compliance y Buen Gobierno. AENOR.

  •  11:00h: Ruegos y preguntas.

  •  11:15h: Cierre jornada.

 

 

Si desea inscribirse, puede hacerlo a través del siguiente enlace.

Publicado en Derecho de la Competencia, Sede-San Sebastián | Etiquetado como , , , , , , , , Comentarios desactivados en Sistemas de compliance en materia de libre competencia: la norma UNE 19603 y su certificación

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º9 – 2024

Publicado el 08-12-2024
Protección de datos

 

Propiedad Intelectual e Industrial

 

Cumplimiento normativo

 

 

 

PROTECCIÓN DE DATOS

 

Reglamento de Ciberresiliencia | Nuevas obligaciones de ciberseguridad para los productos con elementos digitales conectados a internet 

El pasado 20 de noviembre de 2024 se publicó el Reglamento (UE) 2024/2847, de 23 de octubre de 2024, relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales. El Reglamento es aplicable a los productos con elementos digitales comercializados cuya finalidad prevista o uso razonablemente previsible incluya una conexión de datos directa o indirecta, lógica o física, a un dispositivo o red.  

A destacar que los sujetos obligados son tanto los fabricantes pero también los importadores y distribuidores y que se establecen numerosas obligaciones de un lado, en materia de gestión de vulnerabilidades, como por ejemplo la necesidad de ofrecer al menos cinco años de soporte de seguridad mediante parches y de otro lado, diseño seguro por defecto. 

Habrá que esperar 36 mesesdesde la fecha de entrada en vigor para su plena aplicación, si bien hay obligaciones de información que son exigibles a partir de los 21 meses. 

 

Volver al índice

 

Adaptación de las normas sobre responsabilidad por productos defectuosos a las nuevas tecnologías digitales 

El 23 de octubre de 2024, la Unión Europea adoptó la Directiva (UE) 2024/2853 sobre responsabilidad por productos defectuosos y por la que se deroga la Directiva 85/374/CEE. Este nuevo marco responde a los desafíos de un mercado más digital y orientado hacia la economía circular, abarcando tecnologías emergentes como la inteligencia artificial y los servicios digitales. 

La Directiva establece normas comunes sobre la responsabilidad de los operadores económicos por los daños sufridos por personas físicas causados por productos defectuosos y sobre la indemnización por esos daños. El objetivo de la presente Directiva es contribuir al correcto funcionamiento del mercado interior, garantizando al mismo tiempo un elevado nivel de protección de los consumidores. 

Entre las principales novedades de la Directiva, encontramos la ampliación del concepto de “producto”, puesto que ahora incluye los archivos de fabricación digital y los programas informáticos como elementos susceptibles de ser defectuosos, es decir, software, inteligencia artificial y servicios digitales. 

Los productos defectuosos debido a vulnerabilidades de ciberseguridad que no cumplan con los estándares de seguridad serán considerados defectuosos. Asimismo, los fabricantes son responsables de mantener actualizaciones necesarias para prevenir riesgos. 

Las modificaciones sustanciales en productos, como actualizaciones significativas de software, se consideran introducción de nuevos productos, atribuyendo responsabilidad a quienes las efectúen. 

En relación con el derecho de indemnización se amplía la protección, y se aplica respecto al daño que supone la destrucción o corrupción de datos que no se utilicen con fines profesionales. 

 

Volver al índice

 

 

La AEPD aprueba un sistema de mediación para agilizar las reclamaciones de protección de datos en materia de comunicaciones electrónicas 

La Agencia Española de Protección de Datos (AEPD) ha aprobado el Código de conducta para la resolución de controversias en protección de datos dentro del sector de las comunicaciones electrónicas. Este código ha sido impulsado por las principales operadoras de telecomunicaciones: Orange, Telefónica, Vodafone y MásMóvil. 

El objetivo del código es establecer un mecanismo de mediación que permita a los ciudadanos y a las entidades adheridas resolver sus conflictos de forma consensuada, evitando, si el usuario lo prefiere, acudir a procedimientos administrativos o judiciales. Asimismo, este marco de autorregulación busca ofrecer a los ciudadanos un proceso gratuito y más rápido para gestionar reclamaciones relacionadas con la protección de datos frente a las empresas adheridas. 

Aunque la adhesión a estos códigos de conducta es voluntaria, resulta vinculante para las entidades que decidan formar parte. 

El código entrará en vigor el próximo 17 de diciembre y permitirá a los ciudadanos presentar reclamaciones sobre tratamientos de datos realizados sin base de legitimación, ejercicios de derechos no atendidos, inserción indebida en sistemas de información crediticia o contratación fraudulenta.  

En este caso, la AEPD ha designado al Jurado de la Publicidad, perteneciente a la Asociación para la Autorregulación de la Comunicación Comercial (AUTOCONTROL), como el organismo encargado de la supervisión.  

AUTOCONTROL gestionará las reclamaciones presentadas contra las entidades adheridas al código, iniciando el proceso de mediación, que tendrá una duración máxima de 30 días. Se informará a la AEPD sobre el acuerdo alcanzado. 

 

Volver al índice

 

PROPIEDAD INTELECTUAL E INDUSTRIAL

 

IA: Entrenamiento con obras de propiedad intelectual: Nuevas licencias colectivas. 

Con fecha 19 de noviembre de 2024 tuvo lugar la apertura de un período de audiencia e información pública del Proyecto de Real Decreto por el que se regula la concesión de licencias colectivas ampliadas para la explotación masiva de obras y prestaciones protegidas por derechos de propiedad intelectual para el desarrollo de modelos de inteligencia artificial de uso general. El plazo de presentación de alegaciones finalizar el 10 de diciembre. 

El Proyecto de Real Decreto introduce un marco normativo innovador para la concesión de licencias colectivas ampliadas. Este mecanismo permitirá la explotación masiva de obras protegidas por derechos de propiedad intelectual, una medida clave para facilitar el desarrollo de modelos de inteligencia artificial (IA) de uso general. 

Entre las características más importantes de Proyecto de Real Decreto, cabe destacar: 

    • Las entidades de gestión colectiva podrán otorgar autorizaciones no exclusivas para la explotación de obras protegidas por derechos de propiedad intelectual. Las licencias colectivas ampliadas estarán destinadas a facilitar reproducciones y extracciones de obras protegidas por derechos de propiedad intelectual para el desarrollo de modelos de inteligencia artificial de uso general, incluidos los generativos, cuando sea necesario un uso masivo de dichas obras y obtener autorizaciones individuales resulte inviable. La duración máxima de estas licencias es de 3 años. 

    • Los titulares de derechos de propiedad intelectual tienen derecho a oponerse a que sus obras sean objeto de las licencias colectivas ampliadas, pudiendo comunicar su oposición a la entidad en cualquier momento. El derecho de oposición debe ejercerse de forma rápida y sencilla a través de formularios ofrecidos por las entidades de gestión para los titulares de derechos. 

    • Los usuarios que suscriban licencias colectivas ampliadas para la explotación de obras y prestaciones protegidas por derechos de propiedad intelectual deberán excluir de la explotación las obras de aquellos titulares que ejerzan su derecho de oposición, garantizando un proceso ágil y que incluya la publicación del procedimiento de oposición. 

 

Volver al índice

 

 

Reciente reforma de la normativa de la UE sobre la protección de dibujos y modelos industriales 

El Diario Oficial de la UE publicó con fecha de 18 de noviembre de 2024 dos normativas que representan una reforma en materia de diseños, para unificar su tratamiento a nivel europeo, facilitar su tramitación y adaptarlos a la realidad actual. Por una parte, el Reglamento (UE) 2024/2822, de 23 de octubre,  sobre los dibujos y modelos comunitarios y, por otra parte, la Directiva (UE) 2024/2823, de 23 de octubre, sobre la protección jurídica de los dibujos y modelos. 

Entre las novedades que introduce la reforma destacamos los cambios en la terminología empleada. Así la referencia a “dibujos y modelos comunitarios” se sustituye por “diseños de la Unión Europea”.  

Además, se actualizan algunos conceptos para adaptarlos a la realidad de las nuevas tecnologías, permitiendo de esta manera proteger dibujos y modelos virtuales: La definición de “diseño” como la apariencia que se derive de las características, en particular líneas, contornos, colores, formas, texturas y/o materiales, del producto en sí o de su decoración, incluye el movimiento, la transición o cualquier otra forma de animación.  La definición de “producto” se amplía a los artículos industriales o artesanales “independientemente de si están incorporados a un objeto físico” o si adoptan “una forma no física”, permitiéndose de este modo los diseños virtuales.  

El Reglamento entrará en vigor en mayo de 2025, mientras que los Estados miembros tienen hasta diciembre de 2027 para transponer la Directiva a sus legislaciones nacionales. Esta reforma busca beneficiar a diseñadores y empresas, especialmente a las PYMES, promoviendo una protección más efectiva y adaptada a las nuevas tecnologías. 

 

Volver al índice

 

 

CUMPLIMIENTO NORMATIVO

 

Estatuto de la Autoridad Independiente de Protección del Informante (AAI) 

El pasado 30 de octubre, se publicó en el Boletín Oficial del Estado (BOE) el Real Decreto 1101/2024, que aprueba el Estatuto de la Autoridad Independiente de Protección del Informante, AAI. Este nuevo marco legal regula la organización, estructura y funcionamiento de la Autoridad Independiente de Protección del Informante, así como todos los aspectos que sean necesarios para el cumplimiento de sus funciones. 

La Autoridad Independiente de Protección del Informante, AAI es un ente de Derecho Público dotado de personalidad jurídica propia, que actúa con plena autonomía e independencia de los poderes públicos. A efectos únicamente organizativos y presupuestarios, está adscrita al Ministerio de la Presidencia, Justicia y Relaciones con las Cortes.  

El Estatuto establece que la finalidad de la Autoridad se centra en garantizar la protección de la persona informante, actuando como pilar institucional en la prevención y la lucha contra el fraude y la corrupción. Entre sus principales funciones destacan, entre otras, las siguientes:  

    • La tramitación de las informaciones y comunicaciones que se reciban a través del canal externo. 

    • La asunción de la condición de órgano consultivo y de asesoramiento del Gobierno en materia de protección del informante;  

    • El inicio, instrucción y resolución de los procedimientos sancionadores e imposición de sanciones por las infracciones previstas en la Ley 2/2023;  

    • La elaboración de circulares y recomendaciones donde se establezcan los criterios y prácticas adecuados para el correcto funcionamiento de la Autoridad Independiente de Protección del Informante. 

 

La aprobación del Estatuto e inminente creación de la Autoridad con facultades sancionadoras implica o refuerza la necesidad de que las empresas con 50 o más trabajadores[1] y que todavía no se hayan adaptado a la normativa procedan de forma urgente a implementar los denominados como Sistemas internos de información. 

Respecto a las entidades que ya dispongan de estos Sistemas, deberá tenerse en consideración que se deberá notificar el registro de los Responsables del Sistema (ya sea individuales o como órganos colegiados) en un plazo de dos meses a partir de la fecha de puesta en funcionamiento de dicha Autoridad. 

[1]Así como aquellas otras entidades sujetas al ámbito de aplicación de la Ley 2/2023 

 

Volver al índice

 

 

¿Es suficiente con tener diseñado y aprobado programa de prevención de delitos? La Audiencia Nacional se pronuncia. 

El Auto Nº 593/2024 de la Sala de lo Penal de la Audiencia Nacional de fecha 9 de octubre de 2024, profundiza en la relevancia de los programas de cumplimiento normativo en el marco de la responsabilidad penal de las personas jurídicas. El auto señala que «Los programas de cumplimiento no implican por sí mismos una patente de corso; su mera existencia, ni exime, ni atenúa la responsabilidad penal, sino que debe expresar necesariamente un compromiso corporativo que realmente disuada de conductas criminales (certificaciones de calidad de los programas).”   

Además, el auto determina que, una vez acreditada la existencia de los programas de cumplimiento normativo, “los esfuerzos deberán ir dirigidos a acreditar su eficacia y utilidad, es decir, su aptitud para minimizar en términos razonables el riesgo de incumplimiento por la persona jurídica.” Esto subraya la necesidad de que las empresas no solo cuenten con sistemas de compliance documentados, sino que estos sean efectivos en la práctica. 

Para demostrar la eficacia del programa de cumplimiento normativo, el auto indica que deben valorarse los siguientes factores: 

    • La implantación respecto a todos los integrantes de la entidad, lo que será indicio de intolerancia hacia el delito y de cultura ética de la entidad. 

    • La existencia de mecanismos para la detección, neutralización y reacción ante la conducta infractora, así como para la sanción interna de los mismos o en su caso la denuncia ante las autoridades, lo que puede ser un indicio favorable a la apreciación de la eximente o atenuante. 

    • La gravedad de la conducta, su extensión, personas afectadas y sanciones anteriores.  

La sentencia de la Audiencia Nacional resalta la importancia de que los programas de compliance sean más que un mero cumplimiento formal. Para que un modelo de prevención de delitos sea considerado eficaz, debe demostrar una implementación real y un compromiso tangible con la ética corporativa y la prevención del delito. Las empresas deben asegurarse de que su cultura de cumplimiento sea integral y de que esté incorporada en todos los niveles organizativos. 

 

Volver al índice

 

 

Guía para la evaluación de los Sistemas de Compliance. 

El Departamento de Justicia de los Estados Unidos (DOJ) ha presentado recientemente una actualización integral de su guía para la evaluación de los Sistemas de Compliance de las organizaciones. Este documento tiene como objetivo proporcionar criterios claros para evaluar la efectividad de los programas de cumplimiento de las organizaciones en un entorno de creciente complejidad tecnológica y regulatoria. 

A través de la guía se busca garantizar que los Sistemas de Compliance no sean mero papel, sino herramientas prácticas y adaptativas que se integren de manera efectiva en la estructura de la organización.  

Con ese mismo fin, en un contexto de creciente innovación disruptiva, uno de los aspectos más relevantes de la actualización es el énfasis en los riesgos asociados a las tecnologías emergentes, en particular, a la inteligencia artificial (IA). Así, insta a las organizaciones a incluir en sus programas controles y políticas que aseguren el uso ético y conforme a la ley de estas tecnologías, enfatizando la importancia de monitorear activamente su aplicación, demostrando que los riesgos asociados han sido evaluados y gestionados adecuadamente. 

Otra área clave en la actualización de la guía es la necesidad de fortalecer los mecanismos de denuncia (Sistema Interno de Información), señalando que las organizaciones deben ofrecer canales éticos efectivos y capacitando a sus empleados sobre las vías de denuncia, tanto internas como externas. Además, destaca el compromiso de las empresas con la protección de denunciantes, resaltando la necesidad de implementar políticas contras las represalias. 

El DOJ también recalca la importancia del respaldo de la alta dirección y la asignación adecuada de recursos como pilares de un programa de cumplimiento exitoso.  

En un entorno global en constante evolución, la guía subraya la necesidad de que los programas de compliance sean dinámicos. Esto implica la actualización de manera regular de políticas y procedimientos, la implementación de auditorías internas y herramientas de análisis para identificar y mitigar riesgos emergentes, y la formación continua de los empleados. 

 

Volver al índice

 

 

Proyecto de Ley de Información empresarial sobre sostenibilidad 

El Consejo de Ministros ha dado luz verde al Proyecto de Ley de Información Empresarial sobre Sostenibilidad, que busca alinear la normativa española con la Directiva (UE) 2022/2464. Este proyecto, publicado en el Boletín Oficial de las Cortes Generales el 15 de noviembre de 2024, introduce cambios en el Código de Comercio, la Ley de Sociedades de Capital y la Ley de Auditoría de Cuentas. La iniciativa se tramitará con carácter urgente. 

Entre las principales novedades podemos señalar: 

    • Se elevan los umbrales para identificar grandes empresas, aumentando el activo total de 20 a 25 millones de euros y el volumen neto de negocios de 40 a 50 millones, mientras se mantienen los requisitos sobre número de empleados. 

    • Las empresas cotizadas deberán detallar la información relativa a la representación del género menos representado en sus consejos de administración, junto con planes y medidas para alcanzar objetivos de equidad.  

    • La ley introduce el principio de doble materialidad, evaluando tanto el impacto de la empresa en la sostenibilidad como los riesgos que estas cuestiones representan para ella. 

    • Se regula la designación de verificadores, permitiendo auditores o entidades independientes acreditadas, sujetos a estrictos requisitos de calidad y ética profesional. 

 

Volver al índice

 

 

Nueva página web de la Autoridad Europea de Lucha contra el Blanqueo de Capitales y la Financiación del Terrorismo (AMLA) 

La nueva Autoridad Europea de Lucha contra el Blanqueo de Capitales y la Financiación del Terrorismo (AMLA) creada a partir del Reglamento (UE) 2024/1620 de 31 de mayo de 2024, ha puesto en marcha su nueva página web. En ella se ofrece información actualizada sobre normativa, vacantes disponibles, novedades, preguntas frecuentas y otros recursos de interés. Sin duda, se convertirá en una referencia habitual para quienes desempeñamos labores en este sector. 

 

Volver al índice

 

 

Publicado en Circulares | Etiquetado como , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º9 – 2024

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 4 – 2024

Publicado el 02-05-2024
Protección de datos – Seguridad de la Información

 

Cumplimiento normativo

 

Propiedad Intelectual e Industrial

 

Normativa al día

 

 

 

PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN

 

Biometría y protección de datos.  Últimas novedades nacionales e internacionales

Desde la publicación de la Guía sobre tratamientos de control de presencia mediante sistemas biométricos por la Agencia Española de protección de datos (AEPD) cualquier resolución, guía o recomendación que trate sobre biometría suscita un gran interés A continuación recogemos algunas novedades sobre la cuestión:

    • En el plano internacional, destacar que CNIL, la autoridad de protección de datos de Francia, ha abierto una consulta sobre la autenticación multifactor hasta el próximo 31 de mayo que hace una referencia concreta a las soluciones de identificación basadas en tecnologías biométricas. Por lo que se indica en el citado documento, en el contexto de la consulta se puede utilizar una solución basada en biometría con el objetivo de identificar a un sujeto siempre que se ofrezca una alternativa, lo que deja como válido el consentimiento para levantar la excepción del artículo 9 que tantos quebraderos de cabeza está trayendo en nuestro país. Esto parece alinearse con la guía sobre biometría de ICO (la autoridad de protección de datos de Reino Unido).
    • En clave nacional, se han conocido varias sanciones principalmente basadas en el incumplimiento por parte de los responsables de tratamiento de las exigencias normativas en cuanto a defectos o inexistencia de evaluación de impacto previa al inicio del tratamiento, por no informar correctamente a los interesados y no establecer medidas de seguridad suficientes. A destacar al respecto la sanción impuesta al Burgos CF que, si bien había realizado una evaluación de impacto, la misma era posterior al inicio del tratamiento por lo que incumplía el Reglamento. Adicionalmente en cuanto a la base legal necesaria para levantar la prohibición del tratamiento de datos biométricos el propio club manifestó que no disponía de la misma ya que el consentimiento no se recabó siguiendo las exigencias del Reglamento ni en relación con los mayores de edad ni con los menores.
Volver al índice

 

El Modelo de “Consent or Pay” deberá ofrecer una alternativa real.

El Comité Europeo de Protección de Datos se ha pronunciado en abril de 2024 acerca del modelo “Consent or Pay” que ofrecen actualmente las grandes plataformas en línea. En este sentido, el organismo ha considerado que ofrecer únicamente una alternativa de pago al consentimiento no debería ser el camino por defecto para los responsables del tratamiento. Por ello, señala que el modelo deberá proporcionar una verdadera opción para los usuarios, evitando la coerción o la discriminación, que garantice que el consentimiento sea informado, específico, inequívoco y otorgado a través de una acción clara.

Sobre este asunto puedes consultar más información en el artículo publicado en nuestro sitio web escrito por nuestra compañera Candela Martínez Arellano.

 

Volver al índice

 

Las brechas de seguridad, errores que pueden costar muy caros.

La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción al Servicio Público de Empleo Estatal (SEPE) a consecuencia de una brecha de seguridad producida por un ransomware en 2021. Se notificó por parte del SEPE a la AEPD una brecha de seguridad que impedía el acceso a los interesados a los servicios telemáticos de la administración. En este sentido, la AEPD ha señalado que el SEPE no disponía de las medidas de seguridad adecuadas a los posibles riesgos, y que tardó más tiempo del requerido legalmente en notificar la brecha, por lo que se le ha apercibido.

No es la única sanción por este motivo, 3 millones y 3.5 millones de euros han sido los importes de las multas impuestas por la AEPD a un importante grupo empresarial nacional del sector energético, tras notificar una brecha de seguridad en sus sistemas causado por  un ataque informático. La brecha implicó el acceso de terceros a datos personales de usuarios, almacenados en una base de datos compartida por distintas sociedades del grupo. De este modo, quedó en evidencia la falta de separación de las bases de datos de las distintas sociedades, así como la falta de un análisis de riesgos sobre las actividades de tratamiento. Es por esto que se imponen las sanciones por la falta de cumplimiento de la obligación de implantar medidas adecuadas para garantizar confidencialidad e integridad, así como a la falta de medidas adecuadas de seguridad.

No obstante los ejemplos anteriores, resulta preciso señalar que la notificación de la brecha no supone necesariamente la apertura de un procedimiento sancionador debiendo cumplirse con la obligación de notificar en cualquier caso.

Volver al índice

 

La comunicación oral se considera tratamiento de datos personales.

El pasado 7 de marzo de 2024, el TJUE dictó una sentencia en la cual decretó que la divulgación oral de datos personales constituye un tratamiento de los mismos, de acuerdo con el artículo 4.2 del Reglamento General de Protección de Datos. En este sentido, establece el TJUE que, al regular el concepto de tratamiento en el artículo señalado, el legislador pretendía dar una interpretación amplia, lo que incluiría la divulgación oral. En caso contrario, existiría la posibilidad de eludir el RGPD utilizando la divulgación oral en vez de escrita, lo que sería manifiestamente incompatible con el fin perseguido por la norma.

 

Volver al índice

 

CUMPLIMIENTO NORMATIVO

 

El Comité Económico y Social Europeo emite un Dictamen sobre la corrupción en la contratación pública y el mercado interior.

El Comité Económico y Social Europeo (CESE) ha emitido un dictamen estudiando el impacto de la corrupción de la contratación pública en el mercado interior. El informe concluye que el marco normativo relativo a la corrupción en el ámbito europeo se encuentra disperso en diferentes regulaciones que no guardan relación entre sí, afectando a la contratación pública. Del mismo modo, se proponen diversas medidas, tales como mejorar los procedimientos previstos en las directivas de contratación, implantar una digitalización real que permita la transparencia y rapidez en todo el ciclo de la contratación pública, o crear instrumentos que respalden la integridad del procedimiento, entre otras.

 

Volver al índice

 

ELISA, la nueva herramienta para conocer la ejecución de las inversiones del Plan de Recuperación, Transformación y Resiliencia.

El Gobierno ha lanzado una herramienta llamada ELISA, que permite hacer un seguimiento de las convocatorias de licitaciones y subvenciones que ejecuten inversiones del PRTR, así como su resolución, poniendo dicha información a disposición de todos los interesados. En concreto, la aplicación, que será actualizada mensualmente, muestra datos como el número de empresas y hogares que han recibido financiación, el tamaño de dichas empresas, o las inversiones realizadas en determinados sectores.

 

Volver al índice

 

PROPIEDAD INTELECTUAL E INDUSTRIAL

 

El nombre Pablo Escobar no podrá ser registrado como marca.

El Tribunal General de la Unión Europea (TGUE) ha refrendado la decisión de la Oficina de Propiedad Intelectual de la Unión Europea (EUIPO) de denegar el registro del signo denominativo “Pablo Escobar” como marca. La empresa puertorriqueña Escobar Inc., solicitó en 2021 el registro, que fue denegado por la EUIPO al considerar que se trataba de una marca contraria al orden público y a las buenas costumbres. Ante esto, la sociedad puertorriqueña decidió impugnar la decisión ante el TGUE, que ha confirmado la decisión de la EUIPO, basada en la percepción que tiene el público objetivo sobre Pablo Escobar, considerando que se encuentra asociado con el tráfico de drogas y con el narcoterrorismo, así como con los crímenes y el sufrimiento derivados de ellos. De este modo, el TGUE ha establecido que la marca será percibida como contraria a los valores y a las normas morales fundamentales de la sociedad.

 

Volver al índice

 

Fin de la batalla entre Inditex y Buongiorno. El caso Zara.

El pasado 10 de abril de 2024, tras once años en los Tribunales, concluyó la batalla legal entre Inditex y la empresa italiana Buongiorno Myalert, con una sentencia del Tribunal Supremo, tras la respuesta del  TJUE a la Cuestión Prejudicial planteada. El Supremo ha condenado a Buongiorno por infracción de marca, al considerar que el uso que hacía de la marca Zara no podía ampararse en el límite alegado que se limita a permitir el mismo únicamente cuando resulta necesario “a efectos de designar productos o servicios como correspondientes al titular de esa marca o de hacer referencia a los mismos solamente cuando tal uso de la marca sea necesario para indicar el destino de un producto comercializado o de un servicio ofrecido por ese tercero».

Por ende, se ha condenado a la compañía italiana a pagar una indemnización de 2.215,60 euros a la textil española, así como a publicar un comunicado donde se reproduzca el fallo de la sentencia en las páginas blinko.es y blinkogold.es, con un enlace a la sentencia completa.

 

Volver al índice

 

NORMATIVA AL DÍA

 

La ONU aprueba la primera resolución global para regular la Inteligencia Artificial.

El pasado 21 de marzo, la Asamblea General de las Naciones Unidas aprobó la primera resolución relativa a la IA, con el objetivo de fomentar un desarrollo seguro, responsable y equitativo de dicha tecnología, a fin de evitar un uso malintencionado de la misma, e impedir desigualdades entre países.

 

Volver al índice

 

Nueva Guía STIC-892 publicada sobre el Perfil de Cumplimiento Especifico para organizaciones en el ámbito de aplicación de la Directiva NIS2.

El Centro Criptológico Nacional ha publicado su nueva guía sobre el Perfil de Cumplimiento Especifico para organizaciones en el ámbito de aplicación de la Directiva NIS2, que explica la forma de cumplir con los requisitos de la misma.

 

Volver al índice

 

Aprobada la Directiva de Debida Diligencia en las empresas.

El Parlamento Europeo ha aprobado el pasado 24 de abril la Directiva de Debida Diligencia, que tiene por objeto proteger los derechos humanos y el medioambiente en el ámbito empresarial, previendo sanciones para las empresas que incumplan la normativa.

 

Volver al índice

 

Factura electrónica.

La Comisión Nacional de los Mercados y la Competencia publica un Informe sobre el proyecto de Real Decreto por el que se desarrolla la Ley 18/2022, de 28 de septiembre, de creación y crecimiento de empresas en lo referido a la factura electrónica entre empresas y profesionales.

 

Volver al índice

 

Actualización de la regulación del Registro Central de Delincuentes Sexuales

Se publica el Real Decreto 407/2024 por el que se modifica el Real Decreto 1110/2015 que regula el Registro Central de Delincuentes Sexuales, resultando interesante la modificación del artículo 9 que regula la expedición de certificados de datos inscritos permitiéndose a las empresas, y organizaciones cuando sea necesaria para la contratación y ejercicio de la relación laboral o actividad solicitar, el certificado directamente siempre que cuenten con el consentimiento expreso del interesado.

 

Volver al índice

 

Transferencias internacionales a EEUU

Se han publicado por parte del Comité Europeo de Protección de Datos diversos materiales y guías en relación con la decisión de adecuación relativa a Estados Unidos, los cuales pueden ser consultados a través del siguiente enlace.

 

Volver al índice

 

Publicación del eIDAS2

Finalmente, se ha publicado la modificación del Reglamento (UE) n.o 910/2014 en lo que respecta al establecimiento del marco europeo de identidad digital, conocido como eIDAS2 (Reglamento – UE – 2024/1183 – EN – EUR-Lex (europa.eu).

 

Volver al índice

 

Publicado en Blog, Circulares, Cumplimiento Normativo, Nuevas Tecnologías, Propiedad Intelectual e Industrial, Protección de Datos, Sede-Madrid, Sede-Pamplona, Sede-San Sebastián | Etiquetado como , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 4 – 2024

Canal de Denuncias: Adaptación a la Ley 2/2023 de 20 de febrero

Publicado el 20-09-2023

Con la entrada en vigor de la Ley 2/2023, las organizaciones de más de 50 trabajadores deberán contar con Sistemas Internos de Información que permitan comunicar infracciones normativas de forma segura, confidencial e incluso anónima antes del próximo 1 de diciembre.

Con esta nueva obligación, se deberán establecer canales internos de comunicación seguros, documentar procedimientos adecuados y nombrar responsables del sistema. De no hacerlo de forma adecuada, las entidades obligadas y sus órganos de gobierno se exponen a posibles sanciones de hasta 1.000.000 de euros.

Con la finalidad de ofrecer información útil sobre cómo adaptarse a este nuevo marco normativo, ARPA Abogados Consultores impartirá el próximo 3 de octubre a las 10:00 h, de la mano de Whistleblower Software, un webinar sobre aspectos clave y principales cuestiones técnicas y prácticas a tomar en consideración en la adecuación a la Ley 2/2023.

  • Características de los Sistemas Internos de Información.

  • Contenido de las políticas y procedimientos asociados al Sistema.

  • Nombramiento y funciones del Responsable del Sistema Interno de Información.

  • Sanciones por incumplimiento.

  • Características y garantías de los canales internos de información.

  • Ejemplo práctico con la plataforma Whistleblower Software.

Ponentes confirmados:

 

Si quieres apuntarte, debes cumplimentar el siguiente formulario.

 

 

Publicado en Circulares, Cumplimiento Normativo, Sede-Madrid, Sede-Pamplona, Sede-San Sebastián, Sede-Valladolid | Etiquetado como , , , , , , , Comentarios desactivados en Canal de Denuncias: Adaptación a la Ley 2/2023 de 20 de febrero
Suscríbete a nuestra newsletter

Información sobre protección de datos: ARPA tratará tus datos con el fin de remitirte periódicamente nuestro boletín, con información tanto de ARPA A&C S.L. como de Fundación ARPA y ARPA Accounting S.L. Tienes la posibilidad de ejercitar los derechos de acceso, rectificación, supresión, portabilidad, limitación u oposición del tratamiento de tus datos. Puedes consultar una versión ampliada de esta política aquí.
He leído y acepto la Política de Privacidad
X