Tratamiento de datos de contacto y de empresarios individuales en la nueva LOPD

El anteproyecto de la nueva LOPD aclara una de las dudas que el texto del Reglamento (RGPD) suscitaba en relación a los datos de contacto de las personas físicas que prestan sus servicios en una persona jurídica.

El artículo 12 del anteproyecto establece que se entenderá amparado en lo dispuesto en el interés legítimo el tratamiento de los datos de contacto de las personas físicas que presten servicios en una persona jurídica siempre que se cumplan los siguientes requisitos:

  1. Que el tratamiento se refiera únicamente a los mínimos datos imprescindibles para su localización profesional.
  2. Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios. 

El mismo amparo legal tendrá el tratamiento de los datos relativos a los empresarios individuales cuando se refieran a ellos en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.

La remisión del anteproyecto al artículo 6.1.f del RGPD enmarca el tratamiento de este tipo de datos en el interés legítimo, por lo que añade los siguientes requisitos:

  1. El tratamiento debe ser necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero.
  2. Siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

En el caso de que el texto de este artículo del anteproyecto prospere, y el responsable del tratamiento cumpla los requisitos establecidos en él, esta excepción permitirá que el tratamiento de este tipo de datos sea lícito sin necesidad de obtener el consentimiento del interesado.

Otra ventaja de la aprobación de este texto sería que contaríamos con un supuesto que claramente formaría parte de la lista de supuestos en los que concurre el interés legítimo. Ello es realmente importante teniendo en cuenta el carácter indeterminado de este concepto y la inseguridad jurídica que ello supone.

También será una ventaja poder excluir estos datos de contacto de la regularización del consentimiento tácito que habrá que realizar antes del 25 de mayo de 2018, al concurrir en este caso la excepción del interés legítimo.

La necesaria compatibilidad entre el interés legítimo del RGPD y el futuro Reglamento e-Privacy permitirá valorar si cabe plantear una revisión del régimen de las comunicaciones electrónicas entre empresas, con el fin de que tengan un tratamiento diferente del regulado actualmente en el artículo 21 de la LSSI. Pero todo parece indicar que la idea del legislador europeo es exactamente la contraria.

Controles de la UNE 19601

Hemos introducido en nuestra aplicación Compliance 3.0 los controles de la UNE 19601.

Por lo tanto, la aplicación acumula en la actualidad los controles relativos a las siguientes normas:

– RGPD
– ISO 27001 – Seguridad informática
– ISO 27002 – Seguridad informática
– ISO 37001 – Corrupción
– UNE 19601 – Compliance penal
– Los controles propios de nuestra metodología Compliance 3.0

30 años
 

Informe sobre el Anteproyecto de Ley de Protección de Datos para adaptarla al RGPD

Nota publicada tras el consejo de Ministros de ayer en:

http://www.lamoncloa.gob.es/consejodeministros/referencias/Paginas/2017/refc20170623.aspx#PROTECCIONDATOS

INFORME SOBRE EL ANTEPROYECTO DE LEY DE PROTECCIÓN DE DATOS PARA ADAPTARLA AL REGLAMENTO COMUNITARIO

El Consejo de Ministros ha recibido un informe del ministro de Justicia sobre el Anteproyecto de Ley Orgánica de Protección de Datos con el fin de mejorar la regulación de este derecho fundamental en los datos de carácter personal y adaptar la legislación española a las disposiciones contenidas en el Reglamento comunitario de 2016 en esa materia antes de su definitiva entrada en vigor, fijada para el próximo 25 de mayo de 2018.

Ante la realidad de una sociedad más globalizada, el objetivo de esta reforma es conseguir en todo el espacio comunitario una regulación de carácter más uniforme de este derecho, que en el caso español está recogido en el artículo 18.4 de la Constitución. Así, la aprobación de un Reglamento Comunitario de Protección de Datos se dirige a superar ciertos obstáculos generados por normativas diferentes en todo el conjunto de la Unión Europea, que hasta el momento ha conducido a diferencias apreciables en este derecho para los ciudadanos comunitarios.

Novedades

En esta reforma se introducirán novedades como el tratamiento de los datos de personas fallecidas por parte de sus herederos, teniendo en cuenta las instrucciones aportadas por las mismas. Además, se excluye el “consentimiento tácito”, debiendo ser expreso y afirmativo y se establece la presunción de exactitud y actualización de los datos obtenidos directamente del interesado. En cuanto a la edad para el consentimiento, se reduce desde los catorce a los trece años, tal y como permite el Reglamento europeo, para adaptar el sistema español al de otros países de nuestro entorno.

En lo referente al tratamiento de los datos, se adopta el principio de transparencia, se regulan los sistemas de información crediticia, la videovigilancia, los sistemas de exclusión publicitaria (“listas Robinson”), la función estadística pública y las denuncias internas en el sector privado.

Se incide también en los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición, y se introduce la obligación de bloqueo que garantiza que esos datos queden a disposición de un tribunal, el Ministerio Fiscal u otras autoridades competentes (como la Agencia Española de Protección de Datos) para la exigencia de posibles responsabilidades derivadas de su tratamiento, evitando así que se puedan borrar para encubrir el incumplimiento.

Nueva Ley Orgánica

En el caso de España, la adaptación de nuestra legislación al Reglamento General de Protección de Datos hace necesaria la elaboración de una nueva Ley Orgánica en sustitución de la actual, cuyas normas y desarrollo deberán ser revisadas y adaptadas para evitar contradicciones. Igualmente, la Agencia Española de Protección de Datos (AEPD) deberá desarrollar cuestiones concretas que el Reglamento comunitario remite a las autoridades nacionales de control y las empresas deberán revisar sus tratamientos de datos personales para adaptarlos a esas exigencias.

Este Reglamento atiende a nuevas circunstancias producidas, fundamentalmente, por el aumento de los flujos transfronterizos de los datos personales como consecuencia de la actividad del mercado interior, teniendo en cuenta que la rápida evolución tecnológica y la globalización han provocado que esos datos sean un recurso fundamental para la Sociedad de la Información.

Ante esta situación, han aumentado los riesgos inherentes a que las informaciones sobre los individuos se hayan multiplicado de forma exponencial, siendo más accesibles y más fáciles de procesar, al tiempo que se ha hecho más difícil el control de su uso y destino.

Texto íntegro del Anteproyecto

Nuevo curso: Prestación de servicios de compliance a empresas

Me complace anunciar un nuevo curso dirigido a despachos de abogados sobre la prestación de servicios de compliance a pequeñas y medianas empresa.

El curso pretende ser una guía práctica sobre el ciclo completo de prestación de servicios de compliance, desde la captación y retención de potenciales clientes hasta la contratación y desarrollo del proyecto de compliance y de sus servicios asociados.

En el curso se tratarán los siguientes temas:

  • Marketing jurídico para la:
    • Identificación de clientes target
    • Captación del interés
    • Retención de clientes target
  • Preparación de la oferta:
    • Valoración económica de los servicios
    • Presentación de la propuesta
  • Planificación del proyecto
  • Etapas del proyecto
  • Desarrollo del proyecto
  • Gestión de recursos durante el proyecto
  • Servicios asociados que pueden ofrecerse
  • Adecuación a la UNE 19601
  • Adecuación al RGPD
  • Fidelización del cliente
  • Herramientas

La primera convocatoria de este curso está prevista para el 23 de junio de 2017

El horario será de 9:00 a 14:00.

El curso está limitado a 12 asistentes por sesión, con el fin de conseguir el máximo aprovechamiento.

El precio del curso es de 250€ más IVA y tendrá lugar en nuestro despacho, en Diagonal 640 1C de Barcelona.

Si te interesa asistir, te ruego que nos lo comuniques enviando un mensaje a esta dirección: marc.casado@ribastic.com

Muchas gracias.

ARGUMENTO 14 – Estrategia de defensa basada en pruebas preconstituidas, ordenadas, centralizadas y con sello de tiempo (Defense file)

En España, y en general en los países mediterráneos, no existe una cultura de preconstitución de prueba y de preparación para el litigio. Igual que estudiamos los días antes del examen, en la mayoría de los casos nos preparamos para el litigio después de recibir el escrito de demanda o de querella.

El concepto anglosajón de “litigation readiness” sugiere una planificación dirigida a estar preparado para acreditar el cumplimiento ante la eventualidad de una reclamación en sede civil, penal o administrativa.

Este concepto, trasladado a nuestra aplicación Compliance 3.0, consiste en seleccionar, obtener, ordenar y archivar las evidencias que acreditan la existencia, la idoneidad y la eficacia de cada control, con la prueba cronológica añadida del sellado de tiempo o time stamping del documento probatorio.

Este “defense file” se crea de manera sistemática y automática al incorporar cada evidencia a la aplicación de manera asociada a cada control y tiene el objetivo de acreditar el esfuerzo realizado por la empresa para asegurar el cumplimiento en todos los niveles de la organización.

El primer efecto positivo de disponer de un repositorio de evidencias es emocional, ya que mitiga el pánico post-querella, que se ocasiona cuando el querellado ve que las pruebas exculpatorias están dispersas, en distintos departamentos, proveedores, auditores, gestores, abogados… o no existen.

La imagen de orden que ofrece la simple visualización de la aplicación y de los controles con sus evidencias asociadas es una prueba en sí misma de diligencia y de cultura de cumplimiento.

Finalmente, la empresa dispone de un arsenal de evidencias, que, sin ánimo de saturar al tribunal desde el punto de vista cuantitativo, permite realizar una selección de las más significativas y ofrecer, en una sola acta notarial, una estrategia de defensa robusta y eficaz, con el fin de conseguir el archivo de las actuaciones en la fase de instrucción.

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Ver las principales funciones de la aplicación Compliance 3.0

ARGUMENTO 13 – Creación de cortafuegos que ayuden a aislar la responsabilidad en los verdaderos autores del incumplimiento

Cada vez que en una empresa hacemos pruebas de estrés de controles o simulacros de querella, y analizamos hasta dónde llegaría la responsabilidad penal, comprobamos que los cortafuegos que supuestamente debían proteger a la persona jurídica, al órgano de administración, al órgano de compliance y a los directivos, no son tan robustos como parecían.

El problema no está en la fase de diseño, ya que como dicen, el papel lo aguanta todo, sino en la fase de implantación y ejecución de la estructura de control.

En la práctica es muy difícil aislar la responsabilidad y hacer que “cada palo aguante su vela”. Las obligaciones de control están interconectadas a través de una línea de delegaciones que muchas veces es imperfecta. Además, algunas facultades y sus consiguientes obligaciones de control son indelegables, de acuerdo con lo establecido en la Ley de Sociedades de Capital. Finalmente, la delegación puede crear un nuevo garante pero también puede ser insuficiente para liberar de responsabilidad al que delega el control o la función.

Por ello, el diseño y la creación de cortafuegos no debe ser un fin en sí mismo sino el resultado de la construcción de una robusta estructura de control realmente destinada a la prevención y detección de infracciones.

Pensemos que la creación de cortafuegos puede constituir en sí misma una maniobra de elusión de responsabilidad que será valorada negativamente por la acusación y por el tribunal. Se podría ver como una estrategia parecida a la del que se esconde tras la figura de un testaferro para concentrar en él toda la responsabilidad.

La concentración de la responsabilidad en una persona debe estar originada por la mala fe orientada a neutralizar los efectos del control por parte del autor del delito, y no por la mala fe orientada exclusivamente a la exculpación de los directivos a través del diseño de líneas de defensa de cartón piedra, tan irreales como ineficaces.

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Ver las principales funciones de la aplicación Compliance 3.0

 

ARGUMENTO 12 – Aseguramiento de que ningún control quede sin asignar a un responsable

Es muy habitual en los proyectos de compliance encontrar controles sin asignar.

La existencia de un control sin asignar es un claro indicador de su ineficacia, ya que no es posible asegurar el cumplimiento de un objetivo de prevención de un riesgo si el control asociado no tiene un responsable que vele por su aplicación continuada.

La asignación de un control a su responsable lo convierte en propietario del control y ello significa que deberá dedicarse no solo a su implantación, sino también a la vigilancia de su aplicación, a su monitorización, a la ejecución de las acciones correctivas y de mejora y a la obtención de evidencias de la existencia, la idoneidad y la eficacia del control.

La asignación del control puede producirse asociándolo a un puesto de trabajo, a una función o a una persona concreta. En los tres casos, el control deberá figurar en una parte destacada de la descripción del puesto de trabajo (DPT o job description) del responsable del control.

La asignación del control también puede estar prevista en una norma, en la etapa de un proceso o en un procedimiento.

En nuestra aplicación  Compliance 3.0 cada control debe estar asociado a un responsable y cada responsable debe estar asociado a una DPT y a la etapa concreta de un proceso.

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Ver las principales funciones de la aplicación Compliance 3.0

Nuevo curso: Prestación de servicios de compliance a empresas

Me complace anunciar un nuevo curso dirigido a despachos de abogados sobre la prestación de servicios de compliance a pequeñas y medianas empresa.

El curso pretende ser una guía práctica sobre el ciclo completo de prestación de servicios de compliance, desde la captación y retención de potenciales clientes hasta la contratación y desarrollo del proyecto de compliance y de sus servicios asociados.

En el curso se tratarán los siguientes temas:

  • Marketing jurídico para la:
    • Identificación de clientes target
    • Captación del interés
    • Retención de clientes target
  • Preparación de la oferta:
    • Valoración económica de los servicios
    • Presentación de la propuesta
  • Planificación del proyecto
  • Etapas del proyecto
  • Desarrollo del proyecto
  • Gestión de recursos durante el proyecto
  • Servicios asociados que pueden ofrecerse
  • Adecuación a la UNE 19601
  • Adecuación al RGPD
  • Fidelización del cliente
  • Herramientas

La primera convocatoria de este curso está prevista para el 23 de junio de 2017

El horario será de 9:00 a 14:00.

El curso está limitado a 12 asistentes por sesión, con el fin de conseguir el máximo aprovechamiento.

El precio del curso es de 250€ más IVA y tendrá lugar en nuestro despacho, en Diagonal 640 1C de Barcelona.

Si te interesa asistir, te ruego que nos lo comuniques enviando un mensaje a esta dirección: marc.casado@ribastic.com

Muchas gracias.

ARGUMENTO 11 – Ampliación del perímetro de control y mejora del control de proveedores y socios de negocio

Un programa de Compliance completo exige extender el perímetro de control a los proveedores, ya que éstos trabajan por cuenta de la empresa y pueden implicarla en una infracción.

Veamos un ejemplo. Una empresa encarga a un proveedor especializado la destrucción de documentos confidenciales entre los que figuran nóminas, CV, informes médicos y evaluaciones de desempeño. El proveedor certifica la destrucción, pero en realidad los tira a un vertedero o los deja en un contenedor de reciclaje de papel. Si hay una denuncia, ésta será dirigida contra la empresa, que es la que figura en los documentos y no contra el proveedor. Puede haber una posible culpa in eligendo si el proveedor ha sido seleccionado por criterios de ahorro de costes (beneficio indirecto) y no por criterios de calidad. Y también culpa in vigilando al aceptar el simple certificado de una empresa desconocida como prueba de la destrucción cuando los datos personales tratados eran de carácter reservado.

Algunas empresas siguen con la falsa creencia de que al externalizar una actividad también externalizan los riesgos asociados a ella. Piensan, por ejemplo, que al externalizar un tratamiento de datos se externalizan los riesgos de incumplimiento asociados al mismo. O que al externalizar una actividad de exportación se externalizan también los riesgos relacionados con los actos de corrupción que tengan lugar en los trámites aduaneros.

Cuando una célebre marca de lencería publicó su catálogo con papel procedente de bosques protegidos, el impacto reputacional de la infracción no fue para el proveedor que incumplió las obligaciones de trazabilidad del papel. Su nombre ni siquiera trascendió.

Los controles anticorrupción de la FCPA, de la ISO 37001 y de la UNE 19601 deben aplicarse en cascada inversa, extendiéndose hasta los niveles que sean exigibles de la cadena se suministro de una empresa. Este objetivo es prioritario en nuestra aplicación Compliance 3.0, en la que se puede obtener un mapa de riesgos de cada proveedor o socio de negocio.

Un programa de compliance que no implique a los proveedores y a los socios de negocio es un programa incompleto. En cambio, la coordinación con los proveedores en la consecución de un objetivo común de cumplimiento será algo cada vez más habitual y pondrá a las empresas sin compliance en riesgo de exclusión del mercado.

Un ejemplo de esta coordinación es el de Apple, que exige el uso de energías renovables a sus proveedores en todo el mundo y audita constantemente su proceso de producción. Aunque los objetivos no se consiguiesen al 100%, el esfuerzo realizado, el capital invertido en materia de control y las numerosas evidencias generadas a lo largo de los años facilitarían a la empresa desvincularse jurídicamente de un eventual incumplimiento del proveedor.

Si una empresa no tiene miedo al riesgo de exclusión comentado, sólo tiene que preguntarse si actualmente cumple los estándares de cumplimiento para ser proveedor de una empresa como Apple. O para ser beneficiaria de una inversión del Fondo Noruego, por citar otro clásico en materia de compliance.

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Ver las principales funciones de la aplicación Compliance 3.0

Ciclo de desayunos de trabajo sobre la nueva norma UNE 19601

Este es el calendario de desayunos de trabajo que hemos programado durante el próximo mes de junio con el fin de presentar, debatir y valorar la nueva norma UNE 19601 sobre sistemas de compliance penal que Aenor ha publicado hoy.

Está previsto que esta UNE se convierta en un marco de referencia para los programas de compliance penal que algunas empresas pueden llegar a exigir a sus proveedores o socios comerciales, por lo que es importante valorar el seguimiento de sus criterios y controles, incluso en el caso de que se decida no solicitar la certificación.

Los cuatro desayunos de trabajo tendrán el mismo contenido, y se celebrarán los siguientes días:

– 1 de junio
– 7 de junio
– 22 de junio
– 29 de junio

Los desayunos de trabajo tendrán lugar de 9 a 11 h. en nuestro despacho y son una continuación de la jornada que organizamos el día 12 de enero para celebrar el 30 aniversario de nuestra especialización.

En el caso de que tengas interés en esta materia, te ruego indiques la fecha del desayuno de trabajo al que deseas asistir a Montse Otalora: montse.otalora@ribastic.com