Cómo prevenir la pérdida de la iniciativa en un proyecto continuado de RGPD o de compliance

La gestión continuada de proyectos tan exigentes como como los relativos al RGPD, el compliance penal o el compliance general implica un trabajo de verificación periódica del modelo de prevención y de la eficacia de los controles. Esta gestión está rodeada de amenazas que pueden provocar cambios en las prioridades, retrasos en la planificación y otros efectos que ponen en peligro la consecución de los objetivos establecidos por el órgano de control.

En este artículo se relacionan las principales circunstancias que pueden provocar la pérdina de la iniciativa, y, en consecuencia el cambio de las prioridades del responsable del proyecto, interno o externo, así como las medidas aplicables para evitar que ello ocurra.

Objetivos del proyecto continuado

El responsable interno o externo del proyecto, y preferiblemente ambos de mutuo acuerdo, establecen, al inicio del ejercicio, los objetivos del proyecto continuado de RGPD o de compliance. Entre estos objetivos cabe citar los siguientes:

  1. Mantener actualizado el mapa de riesgos.
  2. Mantener actualizada la estructura de control.
  3. Mantener actualizada la estructura normativa.
  4. Verificar el cumplimiento de las obligaciones legales.
  5. Verificar la eficacia de los controles.
  6. Obtener evidencias de la eficacia de los controles.
  7. Crear pruebas del esfuerzo realizado, la diligencia y la cultura de cumplimiento.
  8. Prevenir incumplimientos.
  9. Prevenir sanciones en caso de infracción.
  10. Mantener actualizado el repositorio de evidencias.

Estos objetivos generan una larga lista de tareas recurrentes que deben ser realizadas con la frecuencia establecida para cada una de ellas y que corresponden al concepto de la verificación periódica, común a todos los proyectos orientados al cumplimiento normativo.

El problema reside en la constancia y la regularidad de la realización de estas tareas, que puede quedar afectada por cualquiera de las circunstancias comentadas en el punto siguiente.

Circunstancias que pueden hacer perder la iniciativa

Entre las circunstancias o cambios que pueden provocar interferencias en la rutina establecida para la verificación periódica del cumplimiento, o agotar todas las horas y recursos disponibles para esta labor, cabe citar las siguientes:

  1. Cambios legislativos o jurisprudenciales.
  2. Nuevas guías o instrucciones del regulador de la autoridad de control.
  3. Cambios en los criterios del regulador o de la autoridad de control.
  4. Alta frecuencia de consultas.
  5. Alta frecuencia de incidentes y conflictos internos o externos.
  6. Conflictos de competencias. Por ejemplo, entre Asesoría Jurídica y Auditoría Interna.
  7. Redefinición permanente de los órganos de control y de la estructura de control.
  8. Apuesta de la empresa por una cultura abierta que huye de las normas y el control previo.
  9. Falta de acuerdo sobre las prioridades.
  10. Cambio constante en las prioridades.
  11. Empresa familiar no profesionalizada.
  12. Crecimiento acelerado del negocio que dificulta la aplicación del modelo de prevención.
  13. Problemas de comunicación con el negocio.
  14. Falta de recursos.
  15. Falta de apoyo de la alta dirección.
  16. Falta de autoridad o de reconocimiento frente al negocio.
  17. Exceso de confianza con el negocio.
  18. Falta de claridad en la asignación de las distintas responsabilidades y tareas a realizar.
  19. Alto nivel de ocupación de los interlocutores.

Consecuencias de la pérdida de la iniciativa y escenarios en los que ésta puede evidenciarse

La pérdida de la iniciativa en estos proyectos que exigen dedicación constante se traduce irremediablemente en el retraso de las tareas planificadas. En algunas ocasiones, el retraso puede ser muy grande y puede poner en peligro los objetivos de cumplimiento.

El responsable del proyecto intentará de forma repetida recuperar la iniciativa y volver a la planificación, pero antes de que lo consiga, pueden darse una serie de escenarios que evidenciarán el retraso, generando la apariencia de que éste es imputable al responsable del proyecto, cuando en realidad no es así. 

Entre estos escenarios cabe destacar aquéllos en los que se va a requerir un informe de la situación del proyecto y del modelo de prevención:

  1. Auditoría solicitada por un accionista o un consejero.
  2. Due diligence de un posible inversor.
  3. Proceso de profesionalización de la empresa familiar, en el que la familia se aparta y se renueva el equipo directivo.
  4. Relevo generacional en la empresa familiar.
  5. Compra de la empresa y cambio del equipo directivo
  6. Cambios en la dirección de la empresa.
  7. Cambio de interlocutores internos o externos en el proyecto.

Medidas para prevenir la pérdida de la iniciativa

Es evidente que la mejor forma de mantener la iniciativa es aprender a nadar y a guardar la ropa, es decir, atender todas las exigencias del proyecto y hacer frente a las amenazas que pueden poner en peligro los objetivos marcados sin desatender las tareas recurrentes y la verificación periódica.

Ello puede parecer muy fácil al planificar el ejercicio, pero entraña una gran dificultad en la práctica.

Entre las medidas que pueden contribuir a mantener la iniciativa, cabe citar las siguientes:

  1. Negociar con el Consejo de Administración la delegación de autoridad necesaria para el proyecto.
  2. Conseguir el reconocimiento del negocio a la utilidad del proyecto a través de la prevención de la responsabilidad individual de los directivos.
  3. Negociar y aprobar los objetivos y las prioridades al inicio de cada ejercicio.
  4. Bloquear un porcentaje de tiempo y recursos para las tareas recurrentes y la verificación periódica.
  5. Identificar los puntos de verificación más críticos y marcar los que son irrenunciables. En el RGPD hemos identificado más de 325 puntos de verificación. En Compliance, la lista tiende al infinito.
  6. Simplificar las tareas de verificación.
  7. Acordar con el negocio la creación de indicadores que faciliten la verificación.
  8. Asignar a una persona el control del cumplimiento de las tareas recurrentes y la verificación periódica.
  9. Establecer alertas automáticas para el momento en que se superen los plazos acordados para la aplicación de un control y para la entrega de las evidencias.
  10. Incrementar las acciones de formación y concienciación.
  11. Utilizar el canal de denuncias y el sistema disciplinario interno para corregir las malas prácticas y prevenir incumplimientos, siendo las sanciones una prueba de la eficacia del modelo de prevención.

Paco Umbral consiguió que la frase “He venido a hablar de mi libro”, se convirtiese en un ejemplo de vehemencia e insistencia en la consecución de un objetivo. Aunque en este artículo sólo hemos realizado una aproximación a las medidas que podemos aplicar para intentar evitar que las interferencias externas pongan en peligro el proyecto, la solución pasa por colaborar con todos los niveles de la empresa y asegurar el tiempo y los recursos que necesitamos para hablar de nuestro libro, y para que lo compren.

Invitación a la jornada “RGPD: ¿Qué ha pasado en las empresas desde su obligada aplicación?

El próximo 27 de septiembre tendrá lugar la jornada “RGPD: ¿Qué ha pasado en las empresas desde su obligada aplicación?, en la que participaré con la ponencia “Impacto y valoración de la aplicación del RGPD”.

En ella trataré los siguientes puntos:

  1. Buenas prácticas y errores identificados en los últimos cuatro meses.
  2. Cuál será su coste para las empresas españolas.
  3. Brechas de seguridad que se han conocido desde el 25 de mayo, cómo se han gestionado y cómo podían haberse evitado.

Acceso a la invitación

Nuevo curso RGPD básico en vídeo para empresas de más de 250 usuarios

La semana pasada finalizamos el curso RGPD básico en vídeo, que ya está plenamente disponible en nuestro campus online.

El curso va dirigido a empresas con más de 250 usuarios, ya que contempla escenarios propios de una estructura organizativa y orgánica de empresa mediana o grande. Se recomienda que el curso se imparta a los usuarios que tienen acceso o que tratan datos personales en la empresa.

El objetivo es formar y concienciar a los usuarios en materia de protección de datos, información confidencial y ciberseguridad, con escenarios cotidianos en los que se espera una actuación determinada.

El curso está formado por 18 vídeos de una media de 6 minutos cada uno y un total de 1 hora y cuarenta y cinco minutos si se seleccionan los 18 vídeos.

El cliente puede seleccionar los vídeos que quiere que los usuarios visualicen y los que quiere ocultar, de manera que el contenido y la duración total del curso se adapte al sector, a la empresa o al perfil del usuario (por grupos o categorías).

Cada vídeo tiene su propio test de evaluación, por lo que la secuencia natural es ver el vídeo y después contestar el test. Los tests de evaluación tienen una media de tres preguntas que son clave para la concienciación del usuario.

También hay 5 casos prácticos autoevaluables.

La duración total del curso, sumando los vídeos, los tests y los casos prácticos permite cumplir los requisitos establecidos por Fundae.

El certificado de finalización del curso se suministra en formato PDF, con fima electrónica y sellado de tiempo, con el fin de que la empresa disponga de una prueba del esfuerzo formativo realizado.

Los clientes de nuestro despacho pueden solicitar un acceso temporal al campus a xavier.ribas@ribastic.com con el fin de que puedan valorar el contenido y el formato del curso.

Nuevo contenido y formato de las capas de información sobre las cookies

En 2013, tras la elaboración de la Guía sobre cookies por parte de la AEPD, Adigital, Autocontrol e IAB, publicamos una infografía que resumía los puntos más importantes de la guía.

Este año la AEPD ha modificado los criterios relativos al consentimiento y a las capas de información, con el fin de adaptarlos al RGPD. Posteriormente, Adigital ha publicado un resumen de los cambios que suponen los nuevos criterios de la AEPD.

A continuación relacionamos, a modo de checklist, los puntos a tener en cuenta en las dos capas de información sobre las cookies de un sitio web.

Primera capa

  1. Identificación del titular de la página web.
  2. Advertencia sobre el uso de cookies propias.
  3. Advertencia sobre el uso de cookies de terceros.
  4. Información sobre las finalidades de las cookies.
  5. Información sobre la elaboración de perfiles, en su caso.
  6. Información sobre la monitorización de los hábitos de navegación, en su caso.
  7. Opción del usuario de aceptar o rechazar las cookies.
  8. Opción del usuario de configurar las cookies.
  9. Ver el detalle de estas opciones en el resumen de Adigital.
  10. Acceso directo al panel de configuración de las cookies

Segunda capa

  1. Información sobre el tipo de cookies y su finalidad.
  2. Panel de configuración de las cookies.
  3. Botón para habilitar las cookies.
  4. Posibilidad de seleccionar las cookies a habilitar agrupadas por finalidad.
  5. Posibilidad de agrupar las cookies en función de la empresa que las instala.
  6. El nivel de detalle o granularidad de las cookies activables no debe ser excesivo.
  7. Botón para desactivar todas las cookies.
  8. Identificación de los terceros cuyas cookies se utilizan en la página web.

Publicado el Real Decreto-ley de seguridad de las redes y sistemas de información

El BOE de hoy publica el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, que transpone al ordenamiento jurídico español la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión Europea. Se trata de la Directiva NIS, o de ciberseguridad.

El objeto de este real decreto-ley es regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales, y establecer un sistema de notificación de incidentes.

Ámbito de aplicación

a) Servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.

b) Servicios digitales que sean mercados en línea, motores de búsqueda en línea y servicios de cloud computing.

Obligaciones de seguridad

Los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar medidas técnicas y de organización, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados en la prestación de los servicios prestados.

Tendrán también deber de notificar incidentes de seguridad, y deberán tomar medidas adecuadas para prevenir y reducir al mínimo el impacto de los incidentes que les afecten.

El desarrollo reglamentario del real decreto-ley preverá las medidas necesarias para el cumplimiento de las obligaciones de seguridad.

Los proveedores de servicios digitales determinarán las medidas de seguridad que aplicarán, teniendo en cuenta, como mínimo, los avances técnicos y los siguientes aspectos:

a) La seguridad de los sistemas e instalaciones;

b) La gestión de incidentes;

c) La gestión de la continuidad de las actividades;

d) La supervisión, auditorías y pruebas;

e) El cumplimiento de las normas internacionales.

Acceso a la norma: 

https://www.boe.es/diario_boe/txt.php?id=BOE-A-2018-12257

Modificación de la ley de prevención del blanqueo de capitales

El Consejo de Ministros de ayer aprobó un Real Decreto-ley con el fin de incorporar diversas Directivas pendientes de transposición, entre las que destaca la Directiva 2015/849. Como resultado de esta trasposición se modifica la Ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo.

Principales novedades

1. Obligación de aplicar medidas de diligencia debida reforzadas respecto de aquellos países que se relacionen en la lista que al efecto elabora la Comisión Europea de conformidad con el artículo 9 de la Directiva.

2. Nueva regulación al régimen aplicable a las personas con responsabilidad pública, que se endurece en relación con las personas con responsabilidad pública domésticas, yendo más allá de lo exigido por las Recomendaciones de GAFI.

3. Reducción del umbral en el que los comerciantes de bienes que utilizan el efectivo como medio de pago, están obligados a cumplir con las obligaciones de prevención del blanqueo de capitales, que bajan de 15.000 a 10.000 euros .

4. Adaptación de los límites sancionadores a los umbrales máximos establecidos por la normativa de la UE, incorporando además nuevas normas en materia de publicidad y nuevos tipos infractores.

5. Nuevo sistema de comunicación o denuncia de infracciones que tendrá naturaleza confidencial.

6. Nueva obligación de registro de prestadores de servicios a sociedades.

Este RDL se publicará en breve en el BOE.

Aspectos destacados del nuevo RDL de medidas urgentes para la adaptación del Derecho español al RGPD

Estos son los aspectos más destacados del nuevo RDL de medidas urgentes para la adaptación del Derecho español al RGPD, publicado hoy en el BOE:

Resumen general

Inspección en materia de protección de datos

Régimen sancionador en materia de protección de datos

Régimen transitorio de los contratos de encargado del tratamiento

Texto completo del RDL

Régimen transitorio de los contratos de encargado del tratamiento

El RDL de medidas urgentes para la adaptación del Derecho español del RGPD establece que los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la LOPD mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos.

En el caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022. 

Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del RGPD. 

Ver otros temas destacados de este RDL

Régimen sancionador en materia de protección de datos

El RDL de medidas urgentes para la adaptación del Derecho español del RGPD establece el siguiente régimen sancionador en materia de protección de datos.

Sujetos responsables

Están sujetos al régimen sancionador establecido en el RGPD y la normativa española de protección de datos las siguientes personas físicas o jurídicas: 

  1. Los responsables de los tratamientos.
  2. Los encargados de los tratamientos.
  3. Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea.
  4. Las entidades de certificación.
  5. Las entidades acreditadas de supervisión de los códigos de conducta. 

No será de aplicación al delegado de protección de datos el régimen sancionador en esta materia. 

Prescripción de las infracciones

  1. Las infracciones con multas de hasta 20 millones prescribirán a los tres años.
  2. Las infracciones con multas de hasta 10 millones prescribirán a los dos años.
  3. Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador.
  4. Se reiniciará el plazo de prescripción si el expediente sancionador estuviese paralizado durante más de seis meses por causas no imputables al presunto infractor.

Los procedimientos ya iniciados a la entrada en vigor de este real decreto-ley se regirán por la normativa anterior, salvo que el régimen establecido en el mismo contenga disposiciones más favorables para el interesado. 

Los detalles del procedimiento se regulan en el el artículo 7 y siguientes del RDL.

Ver otros temas destacados de este RDL

Inspección en materia de protección de datos

El RDL de medidas urgentes para la adaptación del Derecho español del RGPD establece el siguiente régimen en materia de inspección.

Personal competente para el ejercicio de la actividad de investigación de la AEPD

  1. La actividad de investigación se llevará a cabo por los funcionarios de la AEPD.
  2. También podrán llevarla a cabo funcionarios ajenos a la AEPD habilitados expresamente por su Director.
  3. Los funcionarios que desarrollen actividades de investigación tendrán la consideración de agentes de la autoridad en el ejercicio de sus funciones.
  4. Estarán obligados a guardar secreto sobre las informaciones que conozcan con ocasión de dicho ejercicio, incluso después de haber cesado en él. 

Alcance de la actividad de investigación de la AEPD

Los funcionarios que desarrollen la actividad de investigación podrán:

  1. Recabar las informaciones precisas para el cumplimiento de sus funciones.
  2. Realizar inspecciones.
  3. Requerir la exhibición o el envío de los documentos y datos necesarios.
  4. Examinarlos en el lugar en que se encuentren depositados o en donde se lleven a cabo los tratamientos.
  5. Obtener copia de ellos.
  6. Inspeccionar los equipos físicos y lógicos
  7. Requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del tratamiento sujetos a investigación. 

Los poderes de investigación en lo que se refiere a la entrada en domicilios deben ejercerse de conformidad con las normas procesales, en particular, en los casos en los que sea precisa la autorización judicial previa. 

Ver otros temas destacados de este RDL