Medidas Covid 19

Entradas de la etiqueta: #NTIC

Una multa histórica y la importancia de tener una actitud proactiva

Hace unos días la Agencia Española de Protección de Datos (AEPD), imponía la sanción más alta a una Organización desde la entrada en vigor del Reglamento 2016/679 Europeo de Protección de Datos de Carácter Personal (RGPD), un total de 8.150.000€ por el incumplimiento por parte de Vodafone España, S.A.U. de hasta 3 normas distintas relacionadas con la protección de los datos de carácter personal. Una sentencia de 97 páginas que recoge las siguientes multas:

  • 4 millones de euros. Infracción del artículo 28 del RGPD en relación con el artículo 24, que regulan las obligaciones como Responsable del Tratamiento de los datos.
  • 2 millones de euros. Infracción del artículo 44 del RGPD, que regula las transferencias internacionales de datos de carácter personal.
  • 2 millones de euros. Infracción del artículo 48.1.b) de la Ley General Tributaria (LGT) en relación al artículo 21 del RGPD y al artículo 23 de la LOPDGDD, que regula el derecho de oposición de los particulares a que sus datos sean tratados.
  • 150.000 euros. Infracción del artículo 21 de la Ley de Servicios de la Sociedad de la Información (LSSI) y de comercio electrónico, que regula la prohibición de realizar comunicaciones comerciales a través de correo electrónico o medios electrónicos equivalentes.

Destaca entre estas multas tan elevadas la imposición de una multa de 4 millones de euros, no porque Vodafone no contara con protocolos, políticas o procedimientos para cumplir con las obligaciones establecidas en el RGPD, la AEPD no pone en duda su existencia, sino por la falta de controles por parte de Vodafone para que las medidas adoptadas sean realmente efectivas, es decir, que exista un efectivo cumplimiento de las distintas normativas.

Esta es una cuestión que hasta ahora parecía una cuestión secundaría para las empresas, el mantenimiento de una actitud proactiva del Responsable en relación al cumplimiento normativo.

Esta sentencia, aunque sea posteriormente recurrida, debe marcar un cambio en la forma de pensar y actuar de las empresas, desde la más pequeña a la más grande, que deben demostrar esa capacidad de cumplir y hacer cumplir la normativa. La actividad desarrollada por el proveedor se entenderá como una extensión de la actividad del Responsable y, como tal, éste tendrá la obligación de supervisar el tratamiento y actuar cuando sea necesario.

Lo que refleja esta sentencia es que la firma del contrato es insuficiente para la AEPD a la hora de demostrar un efectivo cumplimiento de nuestras obligaciones como Responsables del tratamiento, siendo necesario mantener esa actitud proactiva desde la correcta selección del proveedor, hasta la continua supervisión y control de la actividad. 

Esta sentencia, además, plantea una doble sanción, a las ya mencionadas multas, se suma la obligación de acreditar ante la AEPD en un plazo de 6 meses que la Organización ha ajustado sus acciones y actuaciones a la normativa de protección de datos.

Actualización del marco legal en materia de certificados y servicios electrónicos

Actualización del marco legal en materia de certificados y servicios electrónicos (Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza)

 

La nueva normativa deja definitivamente atrás la Ley de firma electrónica de 2003 y viene a complementar aquellos aspectos que Reglamento europeo eIDAS dejaba a desarrollar a los Estados miembros (dicho reglamento eIDAS es de aplicación directa en todos los países de la UE).

Uno de los aspectos más destacados es el hecho de que esta nueva Ley, ha abierto un nuevo abanico de posibilidades a la hora de realizar el proceso de validación de los certificados electrónicos. Con la antigua normativa, la comprobación de la identidad se realizaba mediante la personalización de la persona solicitante y presentando la debida información acreditativa de su identidad (DNI, pasaporte u otro medio válido).  Con la nueva Ley, al margen de la vía de la personación, se abren otras vías de acreditación de la identidad del solicitante a distancia. Por ejemplo, se considerará válida la identificación cuando la firma en la solicitud haya sido legitimada en presencia notarial o incluso la posibilidad de verificar la identidad a distancia a través de Videoconferencia o video-identificación.

Por otro lado, debemos atender a la confirmación que ofrece la nueva ley en cuanto a la validez de los documentos electrónicos públicos, administrativos y privados, a los que otorga el valor y eficacia jurídica que les corresponda de acuerdo a la normativa correspondiente. Así como, se establece que los documentos privados y su validez, dependerá de lo establecido en la Ley de Enjuiciamiento Civil.

La normativa regula otros aspectos, aunque más centrados en las obligaciones y responsabilidad de los propios prestadores de servicios electrónicos de confianza como la revocación o suspensión de los certificados (dando una lista cerrada de los supuestos que los legitiman); los documentos e información necesarias para autenticar la identidad de la persona titular del certificado o la obligatoriedad de cumplir con la normativa de protección de datos, para cualquier tratamiento de datos fruto de su actividad.

En el caso de que desee revisar como están gestionando los certificados electrónicos y servicios asociados a estos, le dejamos una serie recomendaciones derivadas del nuevo marco legal:

  1. La importancia de quién presta el servicio: se ha creado por parte del Ministerio de Industria, Comercio y Turismo, un registro de prestadores de servicios electrónicos de confianza cualificados y no cualificados. Ambos prestan servicios de expedición de certificados o firma electrónica, pero no tendrán el mismo reconocimiento o garantía probatoria. La recomendación, siempre será acudir a prestador cualificados, ya que son aquellos que nos ofrecerán mayores garantías y posibilidad de defensa. 

  2. Será recomendable que, en caso de que, como organización se implante un sistema de firma electrónica, certificados profesiones, etc., se lleve a cabo una revisión y actualización de la Política de Medios Digitales de la organización, incluyendo este punto y, estableciendo las limitaciones, responsabilidades y cualquier pauta, con respecto a la utilización de estos sistemas.

  1. Se recomienda que se lleve a cabo una revisión de los certificados electrónicos utilizados por la propia organización, así como, por su personal. Analizar si el personal utiliza su propio certificado personal, si la organización le ha provisto de un certificado profesional, cómo y quién ha expedido esos certificados, cómo se guardan y dónde (ordenador profesional, ordenador personal, en una tarjeta, etc.,)

  1. Será aconsejable que cada persona cuente con un certificado propio y no se produzcan intercambios, ceses, etc., de los certificados.

  1. En el caso de contar con algún sistema de firma electrónica, será necesario analizar el tipo de firma con el que contamos y cuál es su validez según las acciones, tramitaciones, etc., para las que son necesarias.

Si tiene alguna duda sobre el uso de certificados y firma electrónica, quedaremos a su disposición para atenderle desde el Departamento de Nuevas Tecnologías, Propiedad Intelectual e Industrial de ARPA Abogados Consultores.

 

 

Certificados de firma electrónica caducados. Solución a la imposibilidad de renovación.

Algunos clientes nos están contactando exponiendo que su certificado digital se ha caducado (o está próximo a hacerlo) y se ven con la imposibilidad de renovarlo, al no poder realizar la gestión presencial requerida. Estos certificados digitales vienen siendo usados para firmar documentos (como, por ejemplo, facturas), acceder a la administración electrónica, etc.

Si bien desde alguna administración (en concreto desde la AEAT) informan que van a intentar darle solución, todavía no se sabe el alcance de la misma (y que extensión va a tener).

Por todo ello desde ARPA Abogados Consultores hemos localizado un proveedor que puede emitir este tipo de certificados sin desplazamiento físico, por lo que si estás en esta situación te podemos poner en contacto. Para más información, escribe un correo a Álvaro Abáigar del departamento de derecho de NTIC de ARPA o llama al 948 210 112 para gestionar este asunto.

 

 

Protección de datos: Cuestiones de actualidad y programas de privacidad.

¿Sabes que hay que hacer ante una brecha de seguridad? ¿Puedes obligar a tus trabajadores a fichar con un sistema biométrico? ¿Puedes utilizar las imágenes de un trabajador robando en un juicio? ¿Cómo puedo mandar comunicaciones comerciales? ¿Qué tengo que hacer con las cookies?

Estas son algunas de las cuestiones sobre las que nuestro compañero Álvaro Abáigar Domínguez, asociado-director del departamento de Nuevas Tecnologías y Propiedad Intelectual de Industrial de ARPA Abogados Consultores intentará arrojar luz en una charla de 2 horas de duración (de 9.30-11.30 horas) el martes 31 de marzo que tendrá lugar en la Asociación de Industria Navarra (AIN) .

Asimismo, explicará cuáles son las pautas a seguir a la hora de desarrollar a medio y largo plazo programas de privacidad en las organizaciones para mejorar la gestión de los datos de carácter personal y de la información. 

 

El programa de la jornada es el siguiente:

  1. Introducción: qué es la normativa de protección de datos y en qué te afecta.
  2. Programas de privacidad ¿papel y cláusulas o algo más?
  3. La relación con los trabajadores: cuestiones de actualidad.
    1. Huella biométrica.
    2. Control horario.
    3. Cesiones de datos entre empresas.
    4. Políticas de desconexión digital.
  4. Cookies y comunicaciones comerciales.
  5. Brechas de seguridad.
    1. Qué son: diferencias con otro tipo de incidentes.
    2. Obligaciones de la normativa.
    3. Consecuencias: legales, operaciones y reputacionales.
  6. Algunos retos de seguridad de la información.
    1. Phishing y suplantaciones de identidad.
    2. Gestión contraseñas.
    3. Pérdida/robo de dispositivos y de información.
    4. Página web.
    5. Redes inalámbricas y alámbricas
    6. Copias de seguridad.
    7. Formación trabajadores.
  7. Conclusiones y turno de preguntas.

 

El coste de la inscripción asciende a 95 euros. Si estás interesado en asistir, puedes inscribirte a través del siguiente formulario.

 

 

Cuestiones prácticas de Derecho TIC y Laboral

El próximo día 3 de marzo de 9.30 – 11.30 horas, nuestros compañeros Álvaro Abáigar, asociado-director del departamento de Nuevas Tecnologías y Propiedad Intelectual e Industrial y Patricia Granados, sub-directora del departamento laboral de ARPA Abogados Consultores impartirán en la Asociación de la Industria Navarra (AIN) una breve charla titulada con el fin de ofrecer a los asistentes una visión práctica desde el punto de vista de derecho laboral y de nuevas tecnologías de una serie de situaciones recurrentes que se suelen dar en los departamentos de recursos humanos de las organizaciones que afectan a las dos áreas de conocimiento.

Se abordarán cuestiones tales como políticas de desconexión digital, medios digitales, intervención del correo electrónico, evidencias electrónicas en situaciones de despedido, implicaciones tiene dese el punto de vista de protección de datos la videovigilancia para control laboral, responsabilidades por no eliminar la documentación de un trabajador pasados los plazos legales.

Finalmente, también se abordarán algunas de las recientes novedades legales que van a ser de obligado cumplimiento en breve, como por ejemplo los canales de denuncia interna y externa en las organizaciones.

El coste de inscripción asciende a 95 €. Si estás interesado en preinscribirte, puedes hacerlo a través del siguiente formulario.

 

 

X