ISO 37001 – 01 Datos estadísticos de la corrupción en España

Primera entrega de la presentación que realicé el 12 de enero de 2017, en el primer acto de celebración de mis 30 años de especialización.

Deseo expresar mi más sincero agradecimiento a las más de cien personas que asistieron a este acto y a todos los que me han apoyado durante estos 30 años.

La presentación versa sobre la ISO 37001 y el sistema de gestión anticorrupción que permite a una empresa integrar medidas de prevención de la corrupción en el marco de un programa de compliance. Se muestran ejemplos de cómo gestionar las medidas anticorrupción mediante el uso de la aplicación Compliance 3.0 desarrollada por Ribas y Asociados.

30 años de especialización

En abril de 2017 se cumplirán 30 años desde que decidí especializarme en Derecho Informático.

En este vídeo explico lo que pasó en 1987 y lo que va a pasar en 2017.

El primer acto de celebración de este 30 aniversario será el desayuno de trabajo que tendrá lugar el 12 de enero sobre la nueva ISO 37001 y los controles destinados a prevenir la corrupción en el seno de una empresa mediante el uso de una aplicación informática que ayude a gestionarlos dentro de un sistema anticorrupción..

Desde este blog seguiremos informando de las iniciativas y los actos previstos para 2017, entre los que destaca el lanzamiento de la nueva versión de nuestra aplicación Compliance 3.0.

 

 

Desayuno de trabajo sobre la nueva ISO 37001:2016 – Prevención de la corrupción en la empresa

El próximo 12 de enero a las 9:30 tendrá lugar un desayuno de trabajo en el que analizaremos las medidas y controles previstos en la nueva ISO 37001 sobre sistemas anticorrupción.

También valoraremos las acciones a realizar con el fin de conseguir la exención de la responsabilidad penal por delitos de corrupción cometidos en los distintos niveles de la empresa.

Dado el interés que ha suscitado esta nueva ISO como medio para acreditar el esfuerzo realizado por la empresa para evitar la corrupción, hemos reservado el salón de actos del edificio Alta Diagonal (Avenida Diagonal 640 de Barcelona), en el que tenemos el despacho.

A pesar de que tendremos una cabida superior a la que es habitual en nuestros desayunos de trabajo, rogamos que la confirmación de asistencia se envíe directamente a mi dirección de correo electrónico: xavier.ribas@ribastic.com, antes del día 11 de enero de 2017, ya que las plazas son limitadas.

Este acto es el primero de una larga serie de iniciativas que tendrán lugar durante 2017 para celebrar los 30 años de nuestra especialización en Compliance asociado a las TIC y los 7 años de Compliance penal.

Nueva guía para la figura del Data Protection Officer

El Grupo de Trabajo del Artículo 29 (WP29) publica las principales guidelines sobre la nueva figura de DPO para las empresas.

Artículo de Jesús Martinell

No nos ha dado tiempo ni a empezar con los polvorones y los barquillos que el Grupo de Trabajo del Artículo 29 (WP 29) nos acaba de alegrar las Navidades al publicar, el pasado martes 13 de diciembre, un conjunto de directrices sobre el DPO. Es un buen regalo para las empresas de cara a la planificación del ejercicio 2017 ya que, hasta el momento, se había especulado sobre el papel y las funciones que debería desarrollar este nuevo cargo en la empresa pero el nivel de concreción era insuficiente.

Tal y como ya sabíamos, ¿cuándo las empresas deberán nombrar un DPO?

Existen 3 supuestos en los que deberá designarse un DPO:

  • Cuando el tratamiento se lleve a cabo por una autoridad u organismo público independientemente de que tipología de datos se estén tratando).
  • Cuando las actividades principales del responsable y el encargado del tratamiento consisten en operaciones de procesamiento que requieran un control periódico/habitual y sistemático.
  • Cuando las actividades principales del responsable y el encargado del tratamiento consistan en procesar datos a gran escala de categorías especiales de datos o datos personales relativas a condenas y delitos penales.

A pesar de ello, cabe recordar que tanto la legislación de la Unión Europea (UE) como la ley de cada Estado Miembro podrá exigir la designación de DPO en otras situaciones que lo estime necesario. Asimismo, las empresas, aunque el nuevo texto no obligue a designar tal figura en un supuesto concreto, si lo considera útil, podrá designarlo de manera voluntaria. De hecho, el mismo WP29 anima a hacerlo.

¿Qué significa la noción de “actividades principales” (Art. 37.1 apartado b) y c)?

El WP29 entiende que son aquellas operaciones clave o necesarias del responsable y del encargado del tratamiento para lograr sus objetivos. Ello incluye, también, todas las actividades en las que el tratamiento de los datos forma parte inextricable de la actividad del responsable o del encargado del tratamiento. Por ejemplo, el procesamiento de datos de salud, tales como la salud del paciente debe considerarse como una de las actividades básicas de cualquier hospital y, por ello, los hospitales deben designar a los DPO. Por otro lado, cualquier empresa lleva a cabo ciertas actividades de apoyo o auxiliares, por ejemplo, el pago a los empleados o el soporte de IT para determinadas actividades en la empresa. tales funciones son de apoyo y son necesarias para la actividad principal de la organización. Aunque estas actividades son necesarias o esenciales, por lo general se consideran funciones auxiliares en lugar de la actividad principal.

¿Qué se entiende por el término “a gran escala” (Art. 37.1 apartado b) y c)?

El nuevo texto no define lo que constituye el término “a gran escala”. Es por ello que el WP29 recomienda que se valoren los siguientes factores a la hora de determinar si el procesamiento de los datos es a gran escala:

  • El número de sujetos afectados, ya sea como número específico o como una proporción de la población relevante.
  • El volumen de datos y/o el rango de diferentes elementos de datos que se están procesando.
  • La duración o permanencia de la actividad de procesamiento de datos.
  • La extensión geográfica de la actividad de procesamiento de datos.

¿Qué se entiende por “monitorización habitual y sistemático” (Art. 37.1 apartado b)?

La noción de supervisión habitual y sistemático de los sujetos de los datos no está definida en el texto del Reglamento. A pesar de ello, sí incluye todas las formas de seguimiento y perfiles en Internet, incluso a efectos de publicidad según el comportamiento. Por otro lado, debemos tener claro que la noción de monitorización no se limita al entorno online. Así pues, el WP29 interpreta “habitual” como:

  • En curso o ocurriendo en intervalos particulares durante un período determinado.
  • Recurrente o repetido a tiempos fijos.
  • Constantemente o periódicamente teniendo lugar.

Asimismo, el WP29 interpreta “sistemático” como:

  • Ocurren según un sistema.
  • Organización previa, organizada o metódica.
  • En el marco de un plan general de recogida de datos.
  • Realizado como parte de una estrategia.

Un ejemplo serían los seguimiento de datos sobre el bienestar, la aptitud física y la salud a través de dispositivos portátiles (wearables).

¿Pueden las organizaciones designar conjuntamente un DPO? En caso afirmativo, ¿bajo qué condiciones (Artículos 37.2 y 37.3)?

El texto dispone que un grupo de empresas puede designar un único DPO siempre que

sea “fácilmente accesible desde cada establecimiento”. La noción de accesibilidad se refiere a las tareas del DPO como punto de contacto con respecto a los interesados, la Autoridad de Control y también internamente (dentro de la organización). Así pues, el DPO deberá estar en condiciones de comunicarse eficazmente con los interesados y de cooperar con las autoridades de Control. Esto significa que esta comunicación debe tener lugar en el idioma o idiomas utilizados por las autoridades de Control y los interesados afectados. La disponibilidad personal del DPO (ya sea físicamente en las mismas instalaciones o a través de medios de comunicación seguros) es esencial.

¿Es posible nombrar un DPO externo (art. 37.6)?

Sí, el DPO puede ser un miembro del personal del responsable o encargado del tratamiento (DPO interno) o «cumplir las tareas sobre la base de un contrato de servicios con un individuo o la» (DPO externo). En el caso del DPO externo, su función puede ejercerse sobre la base de un contrato de servicios contratando con un autónomo o un despacho (empresa).

Cuando la función del DPO es ejercida por un prestador de servicios externo, un equipo concreto de personas que trabajan para esa entidad pueden llevar a cabo efectivamente las tareas de DPO como un equipo. Asimismo, el WP29 recomienda una asignación clara de las tareas dentro del equipo externo de DPO así como también asignar un solo individuo como contacto principal y persona al cargo del cliente.

¿Cuáles son las cualidades profesionales que debería tener el DPO (art. 37.5)?

Como ya sabemos, deberá ser designado sobre la base de cualidades profesionales y, en concreto, conocimiento de la legislación y de las prácticas en materia de protección de datos así como la capacidad de cumplir las tareas del art.  39 del nuevo texto.

El nivel necesario de conocimientos especializados deberá determinarse de acuerdo con las operaciones de procesamiento de datos realizadas y la protección requerida para los datos personales que se están procesando. Por ejemplo, donde una actividad de procesamiento de datos es particularmente compleja, o cuando se tratan una gran cantidad de datos sensibles, el DPO necesitará un mayor nivel de experiencia y apoyo.

Las habilidades y conocimientos necesarios incluyen:

  • Experiencia en las leyes y prácticas nacionales y europeas en materia de protección de datos, incluido el nuevo Reglamento.
  • Comprensión de las operaciones de tratamiento realizadas.
  • Comprensión de las tecnologías de la información y la seguridad de los datos.
  • Conocimiento del sector empresarial y de la organización.
  • Capacidad para promover una cultura de protección de datos dentro de la organización.

¿Cuáles son los recursos que se deben proporcionar al DPO para llevar a cabo sus tareas?

La empresa deberá apoyar a su DPO mediante la facilitación de los recursos necesarias para llevar a cabo sus tareas, permitirle el acceso a los datos personales así como las operaciones de tratamiento y, también, para mantener su conocimiento de experto sobre la materia.

La empresa deberá analizar sus actividades, tamaño y la naturaleza de los tratamientos que llevan a cabo y, valorándolo en conjunto, deberá proporcionar los Los siguientes recursos al DPO:

  • Apoyo activo de la función del DPO por la alta dirección de la empresa.
  • Tiempo suficiente para que el DPO pueda cumplir sus obligaciones.
  • Apoyo adecuado en términos de recursos financieros, infraestructura (locales, instalaciones, equipo) y personal, cuando corresponda.
  • Comunicación oficial de la designación del DPO a todo el personal de la empresa.
  • Acceso a otros servicios dentro de la organización (p.e. Recursos Humanos IT, etc.) para que el DPO pueda recibir apoyo esencial o información de esos otros servicios.
  • Formación continua del DPO (p.e. asistir a workshops en materia de Protección de datos así como cursos o formaciones para que su experiencia vaya en aumento).

¿Cuáles son las garantías que permiten al DPO realizar sus tareas de forma independiente (artículo 38.3)?

Existen varias garantías para permitir que el DPO actúe de manera independiente según el considerando nº 97:

  • No deben haber instrucciones por los responsables o encargados del tratamiento sobre el ejercicio de las tareas del DPO.
  • No puede darse ningún despido o sanción por parte del responsable para el desempeño de las tareas del DPO.
  • No puede haber conflicto de intereses con otras posibles tareas y deberes.

¿Cuáles son las “otras tareas y deberes” de un DPO que pueden dar lugar a un conflicto de intereses (Art. 38.6)?

El DPO no puede ocupar un cargo dentro de la organización que lo conduzca a determinar los fines y los medios del tratamiento de los datos personales. Debido a la concreta estructura organizativa de cada organización deberá considerarse caso por caso. Como regla general, las situaciones de conflicto suelen incluir posiciones de alta gerencia, pero también otros roles de inferior rango en la organización pueden estar en la misma situación si su rol en la empresa conduce a la determinación de fines y medios de tratamiento.

¿Qué incluye la noción de “monitorizar el cumplimiento” del Reglamento (Art. 39.1 apartado b)?

Como parte de estas funciones para supervisar el cumplimiento, el DPO podrá:

  • Recopilar información para identificar las actividades de tratamiento de datos.
  • Analizar y verificar el cumplimiento de las actividades de tratamiento de datos.
  • Informar, aconsejar y emitir recomendaciones al responsable y/o encargado del tratamiento.

¿El DPO es personalmente responsable por el incumplimiento del Reglamento?

No, el DPO no es personalmente responsable por el incumplimiento del Reglamento. El texto deja claro que serán los responsables o los encargados del tratamiento quiénes deberán garantizar y poder acreditar que los tratamientos de datos se llevan a cabo de conformidad con el Reglamento.

¿Cuál es el papel del DPO con respecto a la evaluación de impacto de la protección de datos (art. 37.1 apartado c) y el registro de las actividades de tratamiento de datos personales (art. 30)?

En lo que respecta a la evaluación del impacto de la protección de datos, el responsable o encargado del tratamiento solicitará el asesoramiento del DPO, sobre las siguientes cuestiones, entre otras:

  • Realizar o no una evaluación de impacto en materia de protección de datos.
  • Qué metodología seguir cuando se lleva a cabo una evaluación de impacto.
  • Si se debe realizar la evaluación de impacto en la empresa o externalizarlo.
  • Qué garantías (incluidas las medidas técnicas y organizativas) deben aplicarse para mitigar los riesgos para los derechos e intereses de los interesados.
  • Si la evaluación del impacto han sido correctamente realizada (es decir, valorar si se sigue o no con el tratamiento en cuestión y qué garantías deberán aplicarse) así como así como verificar que las conclusiones cumplen con el Reglamento.

En lo que respecta al registro de las actividades de tratamiento, es el responsable o encargado del tratamiento, no el DPO, quién deberá mantener un registro de los diferentes tratamientos de datos personales que se hagan en la empresa. Sin embargo, del texto del Reglamento, nada impide que el responsable o encargado del tratamiento pueda asignar al DPO la tarea de mantener el registro de actividades del tratamiento,  bajo la responsabilidad del responsable del tratamiento. Este registro deberá considerarse como una de las herramientas que permitirán al DPO llevar a cabo sus tareas de vigilancia del cumplimiento, asesorando al responsable y al encargado del tratamiento.

Las empresas deberán ponerse las pilas en encontrar, ya sea en el seno de la misma o fuera, un perfil para llevar a cabo todas las funciones que hemos comentado en el artículo. Asimismo, no debemos olvidar que el nuevo Reglamento será de aplicación a partir del 25 de mayo 2018 y, cuanto antes las empresas tengan claro el perfil, antes podrán ponerse manos a la obra a planificar la adaptación de la empresa a las exigencias del nuevo Reglamento.

Jesús Martinell

Curso presencial en Barcelona sobre el Reglamento UE de protección de datos

El próximo 24 de noviembre Thomson Reuters Aranzadi y nuestro despacho organizamos un curso presencial sobre el Reglamento UE de protección de datos.

Más detalles en esta dirección:

http://www.tienda.aranzadi.es/productos/formaciones/curso-presencial-data-protection-officer-barcelona/9924/4294967105?utm_source=Eloqua&utm_medium=email&utm_campaign=email_DPO_Barcelona.html

 

Publicada la ISO 37001:2016 sobre sistemas anti-corrupción

Ya se puede adquirir la nueva ISO 37001:2016 que pretende ser un estándar certificable en relación a sistemas de gestión de las medidas anti-corrupción de una empresa o cualquier otro tipo de organización.

https://www.iso.org/obp/ui/es/#iso:std:iso:37001:ed-1:v1:en

13ª Edición del Curso de Compliance Officer presencial intensivo (2 días)

Tengo el placer de anunciar que ya hemos llegado a la 13ª edición del Curso de Compliance Officer presencial intensivo, que tendrá lugar en nuestras oficinas en Diagonal 640 1C de Barcelona los próximos días 20 y 21 de octubre.

En esta convocatoria quedan libres cuatro plazas a fecha de hoy.

Como en la anterior edición, analizaremos a fondo la metodología a seguir en un proyecto de Compliance orientado a evidencias de cumplimiento.

Si deseas que te enviemos el programa, te ruego que nos lo comuniques enviando un mensaje a esta dirección: marc.casado@ribastic.com

Muchas gracias.

Nuevo proceso de selección

El próximo mes de noviembre vamos a iniciar un nuevo proceso de selección para nuestro despacho.

En este proceso estamos interesados en los siguientes perfiles profesionales:

  • Asociado Senior – Compliance (Experiencia de más de 6 años)
  • Asociado Senior – Protección de Datos (Experiencia de más de 6 años)
  • Asociado – Compliance (Experiencia de más de 3 años)
  • Asociado – Protección de Datos (Experiencia de más de 3 años)

Los abogados interesados en participar en este proceso pueden enviar un mensaje a anna.canadell@ribastic.com con un enlace a su perfil en Linkedin. Esta fase finaliza el 2 de noviembre de 2016. En la siguiente fase enviaremos la oferta completa a los preseleccionados.

La experiencia requerida se refiere a los años de ejercicio como abogado, valorándose los años de experiencia en la especialidad. Se valorarán también los perfiles que tengan a la vez las dos competencias de Compliance y Protección de Datos.

Muchas gracias.

La entrevista de salida como fuente de información para Compliance

Siempre hemos dicho que los canales éticos cuentan con numerosos obstáculos en los países mediterráneos. Desde el error de denominarlos canales de denuncias hasta el temor a su ineficacia, a las represalias, a las filtraciones y al estigma del delator.

Si en la entrevista de salida se consigue un clima de confianza y colaboración, la persona que va a causar baja en la empresa de forma inmediata no debería tener esos temores. El mensaje que recibe es claro: “Tu opinión puede ayudarnos a mejorar”.

Según los manuales de RRHH, los objetivos de la entrevista de salida pueden ser útiles para identificar áreas de mejora en distintos ámbitos organizativos y ello es perfectamente extensible al modelo de prevención y control de la empresa.

La gran ventaja es que este tipo de entrevistas gozan de gran credibilidad en cuanto a su nivel de confidencialidad. En las empresas que conozco, el contenido de las entrevistas de salida es un secreto inviolable, y ello permite conocer bien la opinión de la persona entrevistada si el entrevistador no se limita a leer el cuestionario, sino a mantener un diálogo distendido.

En algunos casos el entrevistado se explaya a gusto, como si esa fuese una ocasión para desahogarse por todas las veces que se ha mordido la lengua y ha reprimido sus críticas a situaciones en las que no se veía capaz de cambiar nada.

En otras ocasiones la entrevista puede llegar a convertirse en la denuncia de un incumplimiento continuado que podrá ser tratada como tal protegiendo la identidad de la fuente. En estos casos se deberá actuar con cautela para distinguir y aislar las situaciones de desagravio o venganza personal, así como las denuncias falsas. Esa ya será una labor del canal ético.

Compliance y RRHH pueden colaborar en el diseño del contenido de la entrevista de salida para que se convierta en una oportunidad para conseguir identificar:

  1. Áreas de mejora del modelo de prevención i control.
  2. Riesgos desconocidos o mal evaluados.
  3. Controles mal aplicados.
  4. Situaciones de incumplimiento.
  5. Instrucciones contradictorias.
  6. Instrucciones que comportan la anulación de ciertos controles.
  7. Situaciones de tolerancia ante incumplimientos continuados.

La información obtenida por RRHH puede ser comunicada a Compliance cuando se cuente con el consentimiento del informado o cuando se refiera a cuestiones genéricas de la empresa cuyo origen no pueda ser atribuido a la persona entrevistada.

Compliance también puede tener la opción de entrevistarse con las personas que causen baja en la empresa y obtener esta información directamente, en las mismas condiciones de confidencialidad y diálogo distendido, evitando el formato de interrogatorio y teniendo en cuenta que la persona entrevistada puede pensar que no tiene nada que perder, pero también que no tiene nada que ganar.

 

Desayuno de trabajo en Madrid sobre el Reglamento UE de protección de datos

desayunomadridEl próximo miércoles, 21 de septiembre, tendrá lugar el desayuno de trabajo organizado por Thomson Reuters Aranzadi en la Real Academia de Jurisprudencia y Legislación, en el que haré un resumen de las novedades del nuevo Reglamento UE de Protección de Datos y explicaré cómo afecta a las empresas.

Puedes acceder a la invitación haciendo clic en este enlace:

http://www.aranzadi.es/sites/aranzadi.es/files/creatividad/Marketing/Invitaciones/email_invitacion_Protecion_datos_0.html