Acerca de xribas

– Socio fundador de Ribas y Asociados. – Abogado dedicado al Derecho de las Tecnologías de la Información desde 1987 – Experto en Compliance. – Director del Curso de Compliance Officer de Thomson Reuters Aranzadi. – Director del Curso de DPO – RGPD de Thomson Reuters Aranzadi. – Director del Practicum de Compliance de Thomson Reuters Aranzadi. – Profesor de Compliance Tecnológico de ESADE. – Designado por Expansión como uno de los 25 abogados referentes de España (2013) – Designado por Best Lawyers como el mejor abogado de los años 2013 y 2015 en materia de protección de datos – Designado por Best Lawyers como el mejor abogado del año 2014 en materia de IT Law – Premio 2012 al mejor abogado en Derecho Digital (ICAB – Digital Law World Congress) – Seleccionado por Chambers y Best Lawyers como uno de los mejores abogados en: – Privacy & Data Protection – Information Technology – Intellectual Property – Media – Communications – Director del Máster en Derecho de las TIC, Redes Sociales y Propiedad Intelectual (IT+IP) de ESADE – Socio de PwC (1998-2012) – Responsable de la red internacional de Derecho de las TIC de PwC (2000 – 2004) – Auditor informático CISA (ISACA) – Certified in Risk and Information Systems Control CRISC (ISACA) – Vicepresidente 1º de ENATIC (2012 – 2015) – Autor del libro Aspectos juridicos del comercio electronico en internet – (Editorial Aranzadi 1999). – Asesor Jurídico de BSA (Business Software Alliance) (1988 – 2011) – Miembro de la Comisión de Regulación de la AECE (Asociación Española de Comercio Electrónico) – Miembro de la Junta Directiva de la AUI (1996 – 2003) – Presidente de ARBITEC Asociación Española de Arbitraje Tecnológico (1989 – 2015) – Miembro del Legal Working Group de UNECE – CEFACT en materia de comercio electrónico (ONU) – Autor del Manual Práctico de Contratación Informática CONTRACT-SOFT (1987-2003) 11ª Edición. – Participante en el proyecto LATHE GAMBIT del Mando Aliado de la OTAN, relativo al análisis del entorno legal y la seguridad de Internet en materia de ciberdelitos. – Autor de los paneles de control LOPD – RMS – LSSI – Contratos tecnológicos y Activos inmateriales – Miembro de ISACA – Information Services Audit and Control Association – Colegiado 12.968 del Colegio de Abogados de Barcelona

Camino de Schrems III

En la declaración conjunta de la Comisión Europea y los Estados Unidos del viernes pasado se anunció la existencia de un principio de acuerdo sobre el nuevo marco de la privacidad en las transferencias transatlánticas de datos personales. Este nuevo acuerdo será una respuesta al escenario creado por la sentencia Schrems II de TJUE de julio de 2020 y la anulación del Privacy Shield.

Tal como se apresuró a declarar Max Schrems, se trata de un acuerdo político, que no será efectivo si no contempla cambios en la aplicación de la normativa de inteligencia exterior de los EEUU, y tras la decisión del Tribunal Supremo de los EEUU de hace unos días parece difícil que ello suceda.

La viabilidad del nuevo marco de la privacidad en las transferencias transatlánticas de datos personales se debería basar en el reconocimiento de las garantías esenciales europeas para las medidas de vigilancia y la aplicación de excepciones o de medidas complementarias efectivas. De lo contrario, es evidente que iremos de camino a un Schrems III.

La adecuada gestión de la privacidad por parte de las empresas se enmarca en el ámbito relativo al entorno social, representado por la letra S en los criterios ESG y será uno de los puntos a debatir en el próximo Congreso ESG.

Nombramiento de asociado senior

Nos complace anunciar que Paula Gómez Doñate ha sido nombrada asociada senior del despacho.

Paula está dedicada a la protección de datos, compliance y Derecho de las Tecnologías de la Información desde su incorporación al despacho y tiene la doble licenciatura en Derecho y en Dirección y Administración de Empresas por la Universidad Autónoma.

Es coordinadora y coautora del Practicum de Compliance 2018 y 2020 de Thomson Reuters, y también participa como profesora en el Curso de Auditoría de Compliance y en el Curso de Auditoría de Protección de Datos Personales de Thomson Reuters. También es profesora de diversos cursos dentro del Campus de formación de Ribas, www.campus-ribas.com

Sus aportaciones como asociada senior contribuirán al crecimiento de la firma, y a hacer frente al incremento que se está produciendo en los servicios de Protección de Datos, Compliance y ESG, áreas en las que seguimos desarrollado y ampliando servicios. 

Acciones a realizar tras la sentencia del Tribunal Supremo en materia de seguridad

Tras la sentencia del Tribunal Supremo en la que se define la seguridad de los datos personales como una obligación de medios, y no de resultado, quedan claras las acciones que deben realizar las empresas para cumplir los dos objetivos que contiene la obligación de medios en materia de seguridad de la información.

Conclusiones de la sentencia en relación con las obligaciones de resultado

Las conclusiones que podemos extraer de la sentencia del Tribunal Supremo en relación con las obligaciones de resultado son las siguientes:

  1. En las obligaciones de resultado existe un compromiso que consiste en el cumplimiento de un determinado objetivo, asegurando el logro o resultado propuesto. 
  2. En el caso de un tratamiento de datos personales, el resultado sería garantizar la seguridad de los datos personales y la inexistencia de filtraciones de datos o brechas de seguridad. 
  3. Este objetivo es imposible en casos como los de los ataques de día cero, en los que se explota una vulnerabilidad no conocida hasta el momento.
  4. En la obligación de resultado la empresa responde ante un resultado lesivo por el fallo del sistema de seguridad, cualquiera que sea su causa y cualquiera que sea la diligencia acreditada por la empresa. 

Conclusiones de la sentencia en relación con las obligaciones de medios

Las conclusiones que podemos extraer de la sentencia del Tribunal Supremo en relación con las obligaciones de medios son las siguientes:

  1. En las obligaciones de medios el primer compromiso que adquiere el responsable del tratamiento es el de adoptar los medios técnicos y organizativos adecuados.
  2. El segundo compromiso es desplegar una actividad diligente en su implantación y utilización que tienda a conseguir el resultado esperado con medios que razonablemente puedan calificarse de idóneos y suficientes para su consecución.
  3. En la obligación de medios la empresa no será responsable si ha establecido medidas técnicamente adecuadas, las ha implantado y las mantiene activas y actualizadas con una diligencia razonable.
  4. La suficiencia y la adecuación de las medidas de seguridad que el responsable planee establecer ha de ponerse en relación con el estado de la tecnología en cada momento y el nivel de protección requerido en relación con la tipología de los datos personales tratados, pero no se garantiza un resultado. 
  5. Es decir, no se asegura que no haya incidentes de seguridad, ya que este estado de garantía total es imposible de conseguir.

La obligación de medios en el RGPD y en la LOPDGDD

Tanto el RGPD como la LOPDGDD se refieren a obligaciones de medios:

  1. El artículo 32 del RGPD establece, respecto a la seguridad del tratamiento, que las medidas técnicas y organizativas apropiadas lo son teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.
  2. La LOPDGDD distingue dos obligaciones e infracciones autónomas. En el artículo 73, apartados d), e) y f) sanciona la falta de adopción de las medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento. En el artículo 73, apartado g) sanciona la falta de la debida diligencia en la utilización de las medidas técnicas y organizativas implantadas.

Los dos compromisos que subyacen en la obligación de medios

El Tribunal Supremo confirma que no basta con diseñar los medios técnicos y organizativos necesarios. Es necesaria su correcta implantación y su utilización de forma apropiada, de modo que el responsable del tratamiento también responderá por la falta de la diligencia en su utilización, entendida como una diligencia razonable atendiendo a las circunstancias del caso.

Esquema basado en dos niveles o fases

El esquema a tener en cuenta a partir de ahora es que las medidas de seguridad tienen dos niveles o fases:

  1. La adopción de las medidas técnicas y organizativas, que conforme al estado de la tecnología y en relación con la naturaleza del tratamiento realizado y los datos personales en cuestión, permitan razonablemente evitar su alteración, pérdida, tratamiento o acceso no autorizado.
  2. La correcta implantación y aplicación de las medidas, manteniéndolas activas y actualizadas con una diligencia razonable.

Estos dos niveles representan obligaciones de medios, pero si sólo se aplica el primer nivel y no el segundo no se completa el umbral de seguridad exigido en el RGPD y se produce un incumplimiento. La AEPD y la Audiencia Nacional confundían este segundo nivel con una obligación de resultado, pero el Tribunal Supremo ha aclarado que los dos niveles de cumplimiento forman parte de las obligaciones de medios.

Acciones a realizar a partir de ahora

De acuerdo con el esquema descrito en la normativa, y confirmado con el Tribunal Supremo, las acciones a realizar con el fin de asegurar el cumplimiento del RGPD en materia de seguridad, son las siguientes:

FASE 1 – Análisis de la adecuación de las medidas

  1. Verificar que se han adoptado las medidas técnicas adecuadas para el tratamiento según el estado de la técnica.
  2. Verificar que se han adoptado las medidas organizativas adecuadas y suficientes para el tratamiento.
  3. Verificar que estas medidas se ajustan al análisis de riesgos realizado previamente en relación con el tratamiento.
  4. Verificar que en la selección de las medidas se ha tenido en cuenta la probabilidad y el impacto de los riesgos identificados.
  5. Verificar que las medidas se han implantado de forma completa y diligente.

FASE 2 – Análisis de la efectiva aplicación de las medidas

  1. Verificar que las medidas se han implantado de forma completa y diligente.
  2. Verificar que las medidas se están aplicando de manera continuada en todos los niveles de la organización.
  3. Verificar que las medidas están activas y siguen siendo idóneas y suficientes a lo largo del tiempo y de la evolución de la tecnología.
  4. Verificar la eficacia de las medidas con las correspondientes pruebas y simulaciones.
  5. Verificar que las medidas permitan razonablemente evitar las violaciones de la confidencialidad, integridad y disponibilidad de los datos.

La CNIL indica el camino para utilizar Google Analytics de conformidad con el RGPD

La resolución de la CNIL sobre Google Analytics no se limita a decir lo que Google y el cliente de Google Analytics han hecho mal, sino que describe, directamente o a contrario sensu, la forma en que podrían haber actuado de conformidad con el RGPD.

A continuación se relacionan las conclusiones obtenidas tras la lectura de la resolución, que pueden ser la base para una utilización correcta de Google Analytics.

Estas conclusiones son aplicables tanto a los datos gestionados a través de JavaScript como a los obtenidos mediante las cookies de GA.

Imposibilidad de identificar al interesado

La CNIL se basa en el considerando 30 del RGPD, y en la posibilidad de que el uso de identificadores únicos permita elaborar perfiles e identificar a los usuarios, para afirmar que el responsable del tratamiento debe acreditar las medidas aplicadas para asegurar el anonimato de los identificadores recogidos. En ausencia de tal acreditación, la CNIL establece que estos identificadores no pueden calificarse como anónimos.

El responsable del tratamiento afirma que las direcciones IP están anonimizadas, pero no especifica el proceso que aplica para anonimizar las direcciones.

Sin entrar a valorar a quién corresponde en esta caso la carga de la prueba, teniendo en cuenta el principio de presunción de inocencia administrativa, de estos dos puntos de la resolución se extrae la conclusión de que el responsable del tratamiento puede transferir los datos a EEUU si acredita que ha aplicado medidas para que:

  1. Los identificadores únicos no permitan identificar al usuario.
  2. Las direcciones IP hayan sido anonimizadas antes de transferir los datos a EEUU.

Imposibilidad de individualizar al interesado no registrado

La CNIL mantiene que los identificadores únicos pueden combinarse con otros datos obtenidos del interesado y conseguir individualizarlo. De acuerdo con el considerando 26 del RGPD dicha individualización puede ser suficiente para hacer que los interesados sean identificables.

De esta afirmación se extrae la conclusión de que el responsable del tratamiento puede transferir los datos a EEUU si acredita que ha aplicado medidas para identificar y excluir del tratamiento los campos que, combinados con los identificadores únicos, permitan a Google identificar al interesado.

Un identificador único puede ser utilizado para seudonimizar los datos si Google no dispone de la información necesaria para revertir la seudonimización e individualizar o singularizar al usuario de manera suficiente para identificarlo.

Esta seudonimización, en el caso de ser irreversible para Google, impediría que pudiese entregar datos de personas identificables a una agencia de inteligencia de EEUU que le requiriese para ello.

Imposibilidad de individualizar al interesado registrado

La CNIL también contempla la posibilidad de que el identificador único pueda ser asociado a interesados que dispongan de una cuenta de usuario en el sitio web, que hayan realizado un pedido o cumplimentado un formulario o que estén identificados o vinculados a datos de identificación por cualquier otra razón.

Igual que en el caso anterior, la seudonimización de los datos, en el caso de ser irreversible para Google, impediría que pudiese entregar datos de personas identificables a una agencia de inteligencia de EEUU que le requiriese para ello.

Cifrado de los datos en tránsito

La CNIL alega falta de detalle en la descripción de la forma en que se aplica el cifrado a los datos transferidos. Cabe indicar que la norma que permite a una agencia de inteligencia de EEUU requerir la entrega de los datos estáticos es distinta de la que le permite interceptar los datos en tránsito.

Si el cifrado se aplica a los datos tratados en EEUU y Google conserva las claves de cifrado, esta medida no es válida.

Pero si el cifrado se aplica a los datos en tránsito, y el responsable del tratamiento explica con detalle las características y el alcance de esta medida, el cifrado es una opción viable.

Seudonimización

La CNIL menciona de nuevo el potencial de un identificador único para individualizar a un interesado, pero siempre que se realiza una seudonimización se utiliza un identificador único que permite que la disociación sea reversible. Si la disociación fuese irreversible estaríamos ante una anonimización.

Por lo tanto, y como se ha dicho en puntos anteriores, la seudonimización es válida siempre que la combinación de los datos transferidos a Google con el identificador único no le permitan identificar al interesado.

Anonimización

Queda claro que la anonimización de los datos antes de la transferencia a Google hace que éstos dejen de ser datos personales y excluye la aplicación del RGPD a la transferencia.

Consentimiento explícito del interesado

La CNIL no excluye la opción del consentimiento explícito del interesado. únicamente indica que el responsable del tratamiento no acredita que lo haya obtenido.

Ello abre la puerta a la obtención del consentimiento explícito para la transferencia a Google en el mismo banner que se utiliza para obtener el consentimiento explícito para el uso de cookies.

Protocolo de gestión de solicitudes

La CNIL no reconoce la eficacia del protocolo que Google aplica a la gestión de las solicitudes que recibe de las agencias de inteligencia, porque Google se limita a describir el análisis que realiza de la legalidad de cada solicitud.

Sin embargo, la eficacia de este protocolo ha sido acreditada por otras empresas que tratan datos en EEUU demostrando que se han denegado previamente solicitudes de agencias de inteligencia.

Esta denegación de la solicitud puede basarse en la no aplicación de la norma al caso concreto debido, entre otras, a las siguientes razones:

  1. La disponibilidad de los datos en otras fuentes.
  2. La imposibilidad de acceder a los datos a causa de las medidas aplicadas.
  3. La tipología del servicio.
  4. La tipología de los clientes del servicio.
  5. La tipología de los interesados.
  6. La tipología de los datos.

Si se analizan las estadísticas relativas a las solicitudes realizadas por las agencias de inteligencia a empresas que únicamente prestan servicios B2B veremos que predominan dos tipos de situaciones:

  1. La ausencia de solicitudes, debido a la irrelevancia de los datos para un investigación de actividades terroristas.
  2. La denegación de la solicitud derivada de los motivos antes expresados.

En mi opinión, el reto que plantea Google Analytics y cualquier otra herramienta tecnológica en la actualidad reside en nuestra capacidad de alejarnos de los titulares y explorar las alternativas que las propias autoridades de control nos ofrecen en sus resoluciones. Todo ello sin olvidar a los proveedores europeos de servicios analíticos, como es natural.

Posibles soluciones para el sudoku de Google Analytics

En este artículo relaciono telegráficamente algunas de las posibles soluciones a explorar y analizar para verificar su viabilidad, y en caso positivo su aplicación al uso de Google Analytics en sitios web europeos. Las opciones más viables serán desarrolladas en artículos posteriores.

Tratamiento de Google en la Unión Europea

Google podría tratar los datos a través de una filial europea que no tenga ninguna obligación legal ni contractual de enviar datos a la matriz en el caso de que ésta sea requerida por una autoridad de inteligencia exterior estadounidense.

Google como responsable único del tratamiento

Google podría convertirse en responsable único del tratamiento. Ello exigiría valorar cuestiones técnicas y jurídicas, como la posibilidad de obtener la información suministrada por la cookies de Google Analytics directamente desde un servidor de Google, de acuerdo con la configuración realizada por el responsable del sitio web en la consola de Google Analytics. También habría que valorar la eficacia jurídica de informar al interesado, en el aviso de la primera capa, de la obtención de los datos analíticos y estadísticos por parte de Google en EEUU, asociando el consentimiento explícito a la transferencia directa del interesado a Google y a la política de privacidad de Google Analytics cuyo enlace debería estar disponible. Esta opción exigiría la aplicación de las medidas complementarias que después veremos.

Google como corresponsable del tratamiento

Esta opción la ofrece Google como alternativa a su papel habitual como encargado del tratamiento y ha sido analizada por alguna autoridad de control. La mecánica sería similar a la del punto anterior y exigiría un reparto de responsabilidades que implicase una transferencia directa del interesado a Google. También en este caso sería necesaria la aplicación de medidas complementarias.

Hosting en EEUU

La cuestión a valorar en este caso sería si técnicamente habría una transferencia a EEUU, ya que el interesado sería informado en el aviso de la primera capa de que está visitando un sitio web ubicado en EEUU y que sus datos se obtendrán directamente en EEUU, siendo el interesado el artífice de la transferencia.

Información de la transferencia en la primera capa

Esta opción consistiría en informar adecuadamente al interesado en el aviso de la primera capa sobre la transferencia de sus datos estadísticos a Google en EEUU, con el correspondiente consentimiento explícito del interesado y el enlace a la política de privacidad de Google Analytics. Esta alternativa exigiría el cumplimiento de los requisitos técnicos y jurídicos contemplados al hablar de las cookies gestionadas directa y únicamente por Google. El escenario coincidiría con el patrón de un encargado del tratamiento estadounidense que obtiene los datos directamente del interesado, sin pasar por el responsable europeo del tratamiento. También en este caso sería necesaria la aplicación de medidas complementarias.

Medidas complementarias comunes

Esta medida transversal, aplicable a todos los escenarios a valorar, consistiría en verificar la eficacia de las medidas complementarias y las garantías esenciales contempladas en las recomendaciones del Comité Europeo de Protección de Datos. Entiendo que el cifrado sería válido para los datos en tránsito pero no para los datos a tratar por Google en EEUU, ya que debe poder acceder a ellos de modo inteligible. Tampoco sería aplicable la seudonimización ni la anonimización, ya que Google basa su tratamiento analítico en la dirección IP del interesado. Esta opción ya ha sido valorada y descartada por las autoridades de control europeas. La fragmentación entre varios encargados del tratamiento tampoco sería viable en este caso.

Protocolo de gestión de requerimientos de acceso

La obligación contractual complementaria de las Cláusulas Contractuales Tipo consistente en aplicar un protocolo de gestión de los requerimientos de acceso a datos remitidos por las autoridades de inteligencia exterior de EEUU es una recomendación histórica de nuestro despacho, que ya ha demostrado su eficacia en proveedores B2B. En el caso de Google Analytics no ha habido ocasión de aplicarlo ya que, según los datos suministrados por Google, nunca ha recibido un requerimiento de esta índole. Esta declaración de Google es verosímil, dada la escasa relevancia de los datos de Google Analytics para la investigación de las actividades terroristas, y dada la posibilidad técnica y jurídica de que las agencias de inteligencia obtengan esta información por sus propios medios.

Este protocolo incluye un apartado clave, que consiste en la posibilidad legal de discutir e incluso conseguir la exención de dar respuesta a un requerimiento de entrega de datos en determinados casos. El análisis de la viabilidad del requerimiento se basa, entre otros factores, en la tipología de los datos, la solvencia jurídica del responsable del tratamiento, la naturaleza del servicio prestado por el encargado del tratamiento, la falta de relevancia de los datos para una investigación de inteligencia exterior (por ejemplo, la consulta del diccionario de la RAE) o la posibilidad de obtener los datos directamente por parte de las agencias de inteligencia exterior.

Es evidente que la NSA puede obtener datos mucho más relevantes de la actividad de los usuarios por sus propios medios y sin tener que solicitar los de Google Analytics. Por eso Google no ha recibido requerimientos en relación a este servicio.

Es una lástima que los activistas que han promovido este sudoku no hayan explorado de forma conjunta y constructiva todas las opciones técnicas y jurídicas posibles antes de lanzar un ataque de fuerza bruta contra sitios web como el de la RAE cuyas estadísticas no son capaces de suscitar interés para las agencias de inteligencia estadounidenses, no son relevantes para la lucha antiterrorista y no tienen un potencial significativo para generar riesgos para los derechos y libertades de los interesados.

30 años de protección de datos

Como ya comenté en mi anterior post, este año celebramos en el despacho el 30 aniversario de nuestra especialización en protección de datos y hemos planificado una serie de webinars para celebrarlo durante los próximos meses.

En 1992, era habitual encontrar en las porterías una papelera para poder tirar todo el correo con publicidad no solicitada que llenaba los buzones a diario. No era buzoneo, sino cartas personalizadas con tu nombre y apellidos.

También era habitual que tu hijo recién nacido llegase por primera vez a casa y ya tuviese cartas a su nombre porque alguien en el hospital había vendido los datos a empresas relacionadas con productos para bebés.

Estas prácticas se consideraban una molestia en el caso del correo comercial y a veces incluso una sorpresa agradable en el caso de que alguien le diese la bienvenida a este mundo a tu hijo recién nacido.

No se consideraba una intromisión en la intimidad porque no existía una cultura en esta materia y no se había desarrollado ni la sensibilidad ni la necesidad de que hubiese una protección de los datos personales.

El artículo 18.4 de la Constitución establecía que la ley debía limitar el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos, pero esta limitación parecía dirigida a los abusos del Estado vigilando a los ciudadanos.

Durante estos 30 años hemos podido ver la evolución de las tecnologías y los abusos por parte de algunas empresas, especialmente las grandes compañías asociadas a Internet.

Y aunque algunas sanciones han sido justas, el resultado final es que tenemos una normativa compleja y exigente que incrementa terriblemente el gasto de empresas que, por el sector al que pertenecen, nunca van a tener interés en cruzar unas líneas rojas que no están marcadas para ellas.

Si en 1992 me hubiesen dicho que Mad Max iba a denunciar a la Real Academia Española de la Lengua por intentar saber las palabras que más consultamos en su diccionario no lo habría creído.

Pero resulta que alguien considera que esos datos sobre el uso del diccionario de la RAE, que los usuarios consentimos que se envíen a directamente a Estados Unidos para que Google elabore las estadísticas, pueden ser de interés para las agencias de inteligencia exterior en su lucha contra el terrorismo internacional.

En el día de la protección de datos podemos reflexionar si era esto lo que queríamos hace 30 años, cuando desarrollamos el automatismo de abrir el buzón y tirar las cartas comerciales a la papelera.

Nombramiento de socios

Este año se cumplen 30 años de nuestra especialización en protección de datos, ya que en 1992 iniciamos nuestros servicios de adecuación a la LORTAD, y también se cumplen 35 años de especialización en derecho de las TIC.

En línea con nuestra estrategia de crecimiento del despacho en los próximos años, y con efectos 1 de enero de 2022 han sido nombrados socios del despacho Rebeca Velasco y Marc Rius.

Rebeca es especialista en Protección de Datos y Derecho de las Tecnologías de la Información desde 2004, y en Compliance desde 2010 y ha desarrollado su experiencia principalmente en clientes del sector farmacéutico en los que también colabora en el Compliance del Código de Buenas Prácticas de la Industria Farmacéutica, así como en la revisión y redacción de procedimientos. 

Marc es especialista en Protección de Datos y Derecho de las Tecnologías de la Información desde 2009 y en Compliance desde 2010. Además, por sus estudios previos a la licenciatura en derecho y por curiosidad e inquietud personales, ha desarrollado amplios conocimientos en el ámbito tecnológico, diseño y publicidad, especializándose específicamente en estas áreas para sectores tecnológico, de gran consumo y retail. 

Tanto Rebeca como Marc son colaboradores académicos de diversos másters entre los que destacan el Máster IT+IP de ESADE Law School y del Máster en Derecho Digital y Sociedad de la Información UB- IL3, así como coordinadores del Curso de Auditoría de Compliance de Thomson Reuters y del Curso de Protección de Datos Personales de Thomson Reuters. También son responsables de diversos cursos dentro del propio Campus formativo de Ribas, www.campus-ribas.com

Conjuntamente liderarán las prácticas de Protección de Datos y Compliance, focalizándose Marc en la práctica de Protección de datos y Publicidad y Rebeca en Protección de datos y Compliance.  

Sus aportaciones como socios contribuirán al crecimiento de la firma, y a hacer frente al incremento que se está produciendo en los servicios de Protección de Datos, Compliance y ESG, áreas en las que seguimos desarrollado y ampliando servicios. 

Widget jurídico sobre el PRTR en Campus Ribas

Quiero compartir mi agradecimiento y admiración por el esfuerzo que está realizando el magnífico equipo que forma el despacho en la elaboración de todos los documentos y materiales formativos que componen el widget jurídico relativo al PRTR de Campus Ribas.

La urgencia venía dada por la proximidad de la finalización del plazo del próximo 31 de diciembre de establecido en la Orden HFP(1030/2021 relativa al Plan de recuperación, transformación y resiliencia.

Es el tercer esfuerzo consecutivo, ya que previamente se ha elaborado el Curso de Auditoría de Compliance y el Curso de Auditoría de protección de datos (RGPD y LOPDGDD) para Thomson Reuters Aranzadi, y todavía queda un cuarto curso que verá la luz en enero y en el que también tenemos grandes expectativas.

Este año ha supuesto el gran reto de combinar estas cuatro iniciativas con el trabajo habitual desarrollado para nuestros clientes.

Por lo tanto, el agradecimiento debe ser proporcional al esfuerzo que ha supuesto esta superposición de proyectos.

Paquete de políticas y documentos relativos al PRTR

Obligaciones a cumplir por la Administración Central, Autonómica y Local y por los agentes implicados en la ejecución del PRTR como perceptores de fondos, antes del 31 de diciembre de 2021

Las Administraciones Públicas y los agentes implicados en la ejecución tienen hasta el 31 de diciembre de 2021 para cumplir las obligaciones establecidas en el Plan de Recuperación, Transformación y Resiliencia (PRTR), realizar las acciones descritas en él y cumplir con el estándar mínimo en cada uno de los principios establecidos y elaborar los documentos relacionados.

ACCIONES MÁS DESTACADAS

  1. Evaluar los procedimientos a través de los correspondientes cuestionarios de autoevaluación.
  2. Adaptar los procedimientos.
  3. Aplicar los criterios para el seguimiento y la acreditación de los hitos y objetivos alcanzados, de acuerdo con lo establecido en el PRTR.
  4. Cumplir el compromiso de etiquetado verde en relación a los objetivos de transición ecológica.
  5. Cumplir el compromiso de etiquetado digital en relación con los objetivos de transformación digital.
  6. Analizar el riesgo de impacto negativo significativo en el medioambiente, realizar un seguimiento y una verificación del resultado en relación a la evaluación inicial.
  7. Evaluar el riesgo de fraude.
  8. Reforzar de los mecanismos para la prevención, detección y corrección del fraude, la corrupción y los conflictos de intereses.
  9. Establecer un plan de medidas antifraude.
  10. Definir y aplicar un procedimiento de evaluación del riesgo de fraude.
  11. Establecer un protocolo de actuación en caso de detección de un posible fraude.
  12. Compatibilizar el régimen de ayudas del Estado y prevenir la doble financiación.
  13. Identificar al perceptor final de fondos o beneficiarios de las ayudas.
  14. Identificar a los contratistas y a los subcontratistas.
  15. Cumplimentar la Declaración de Ausencia de Conflicto de Intereses (DACI).
  16. Asegurar el cumplimiento de las normas de uso del logo del PRTR.
  17. Asegurar el cumplimiento de las normas en materia de comunicación e información.
  18. Establecer un sistema de seguimiento del cumplimiento de los principios y de actualización de las medidas aplicadas.
  19. Establecer un sistema de información para la gestión y el seguimiento de los planes y los objetivos establecidos en el PRTR.
  20. Realizar el informe de gestión y la declaración de gestión.

DOCUMENTOS MÁS DESTACADOS

  1. Política de aplicación de los principios del PRTR.
  2. Política de protección del medioambiente.
  3. Política de prevención de la corrupción, el fraude y los conflictos de intereses.
  4. Política de prevención de la doble financiación.
  5. Procedimiento de análisis de riesgos medioambientales.
  6. Protocolo de toma de decisiones basado en los principios del PRTR.
  7. Procedimiento de análisis sistemático de la gestión basado en indicadores operativos.
  8. Lista de indicadores operativos.
  9. Plan de medidas antifraude.
  10. Procedimiento de evaluación del riesgo de fraude.
  11. Mapa de relaciones.
  12. Mapa de riesgos inherentes.
  13. Mapa de riesgos residuales.
  14. Lista de medidas preventivas del fraude, la corrupción y el conflicto de intereses.
  15. Lista de medidas de detección del fraude, la corrupción y el conflicto de intereses.
  16. Lista de medidas correctivas del fraude, la corrupción y el conflicto de intereses.
  17. Protocolo de actuación en caso de detección de un posible fraude.
  18. Procedimiento de identificación del beneficiario final y de los contratistas y subcontratistas.
  19. Procedimiento de seguimiento de casos sospechosos.
  20. Procedimiento de recuperación de los fondos de la UE gastados fraudulentamente.
  21. Procedimiento relativo a la prevención y la corrección de situaciones de conflicto de intereses.
  22. Procedimiento de comunicación y de aplicación de los logos del PRTR.
  23. Informe de gestión.
  24. Restantes documentos descritos en los anexos de la Orden Ministerial.

PAQUETE URGENTE DE MEDIDAS Y DOCUMENTOS

Dada la falta de tiempo para convocar un concurso público que permita contratar los servicios jurídicos necesarios para el cumplimiento de estas obligaciones y la elaboración de estos documentos, nuestro despacho ha desarrollado un paquete que incluye los documentos más destacados relacionados en el apartado anterior.

Este paquete de documentos está disponible de forma permanente en nuestro campus con el fin de que pueda actualizarse con los cambios y mejoras que se vayan introduciendo a raíz de su aplicación en la práctica y con los criterios manifestados por las autoridades de la UE y del Ministerio de Hacienda. De esta manera, los documentos podrán incorporar también la formación y el asesoramiento necesarios para su aplicación.

Si desea más información sobre este paquete, puede enviar un mensaje a xavier.ribas@ribastic.com y le remitiremos las condiciones de contratación.

Acceso a la Orden Ministerial que configura el sistema de gestión del PRTR (BOE)

Acceso al paquete de medidas y documentos

Curso de auditoría de protección de datos (RGPD y LOPDGDD)

Ya está disponible el Curso de Auditoría de Protección de Datos (RGPD y LOPDGDD), que llevamos meses desarrollando para Thomson Reuters.

De la misma manera que en el caso del Curso de Auditoría de Compliance, se trata de una idea que teníamos desde hace años porque desde 2016 hemos identificado y actualizado una gran cantidad de factores de riesgo, riesgos, controles, evidencias y acciones recomendadas y esperábamos que llegase el día para poder compartir estos activos y conocimientos tan valiosos para los profesionales dedicados a esta materia.

El curso es el resultado del esfuerzo conjunto de todo el despacho y de muchas horas de trabajo. Por ello tengo que mostrar mi agradecimiento al gran claustro de profesores que ha permitido entregaros tanto valor en un curso de auditoría.

Contenido

El curso incluye más de 4.000 elementos de soporte para la auditoría, distribuidos en:

  • 45 materias o temas a auditar.
  • 270 preguntas relativas a factores de riesgo.
  • Más de 700 preguntas relativas a riesgos.
  • Más de 700 preguntas relativas a controles.
  • Más de 600 riesgos.
  • Más de 500 controles.
  • Más de 500 evidencias.
  • Más de 500 acciones recomendadas.

Esquema de un tema de auditoría

En este diagrama se puede ver el esquema de cada uno de los 45 temas de auditoría.

Contenido detallado del curso

MÓDULO 1 – Metodología de la auditoría

  • Planificación de la auditoría
  • Identificación de las fuentes de información
  • Identificación de interlocutores
  • Alcance de la auditoría
  • Preguntas a realizar
  • Entrevistas
  • Verificación de la existencia del control
  • Verificación de la eficacia del control
  • Valoración del riesgo de incumplimiento
  • Proceso de obtención de evidencias
  • Repositorio de evidencias
  • Informe de auditoría
  • Presentación de los resultados
  • Indicadores de cumplimiento (KCI)
  • Plan de acción

MÓDULO 2. Auditoría de RGPD

TEMA 1. Modelo de prevención y control
TEMA 2. Estructura de control
TEMA 3. Delegado de Protección de Datos
TEMA 4. Estructura normativa
TEMA 5. Registro de actividades del tratamiento
TEMA 6. Categorías especiales de datos
TEMA 7. Auditoría de evaluaciones de impacto
TEMA 8. Auditoría de los principios del tratamiento
TEMA 9. Auditoria bases de legitimación
TEMA 9A. Auditoria bases de legitimación- Consentimiento
TEMA 10. Auditoría de cookies
TEMA 11. Perfilado y Decisiones Automatizadas
TEMA 12. Ejercicio de derechos
TEMA 13. Limitación del plazo de conservación
TEMA 14. Transferencias a terceros países
TEMA 15. Comunicaciones de datos y destinatarios
TEMA 16. Encargados y sub-encargados del tratamiento
TEMA 17. La empresa como encargado del tratamiento
TEMA 18. Corresponsables del tratamiento
TEMA 19. Formación y concienciación
TEMA 20. Repositorio de Evidencias

MÓDULO 3. Auditoría de LOPDGDD

TEMA 1. Datos de menores de edad
TEMA 2. Datos de personas fallecidas
TEMA 3. Tratamiento en operaciones mercantiles
TEMA 4. Sistemas de videovigilancia
TEMA 5. Sistemas de información de denuncias internas
TEMA 6. Sistemas de exclusión publicitarías
TEMA 7. Bloqueo de datos
TEMA 8. Uso de dispositivos digitales en el ámbito laboral
TEMA 9. Derecho a la desconexión digital
TEMA 10. Control laboral
TEMA 11. Sistemas de geolocalización en el ámbito laboral

MÓDULO 4. Auditoría de medidas técnicas y organizativas

TEMA 1. Política de seguridad
TEMA 2. Medidas destinadas a garantizar la confidencialidad
TEMA 3. Medidas destinadas a garantizar la integridad
TEMA 4. Medidas destinadas a garantizar la disponibilidad
TEMA 5. Registro de aplicaciones
TEMA 6. Controles ISO
TEMA 7. Cifrado de datos
TEMA 8. Seudonimización
TEMA 9. Anonimización
TEMA 10. Procedimiento de gestión de incidentes de seguridad
TEMA 11. Auditoría de criterios de la AEPD en relación a las medidas implantadas antes del incidente
TEMA 12. Auditoría de criterios de la AEPD en relación a las medidas implantadas para el momento del incidente
TEMA 13. Auditoría de criterios de la AEPD en relación a las medidas implantadas para después del incidente

Director del curso

Xavier Ribas

Profesores

Rebeca Velasco
Marc Rius
Paula Gómez
Sandra Tintoré
Miquel Vidal
Juan Pablo Tornos
Joan Xifra
Paula Ribas
Ramon Baradat
Xavier Julve

Razones para hacer este curso

Desde la entrada en vigor del RGPD y de la LOPD se han producido muchos cambios en las empresas y se han publicado numerosas guías, recomendaciones y resoluciones de la AEPD.

Existen recursos y aplicaciones para realizar una auditoría de protección de datos (RGPD y LOPDGDD) desde el punto de vista metodológico, pero el mayor reto de la función de supervisión y control reside en la identificación de los riesgos, los criterios de las autoridades de control, las medidas concretas a aplicar para mitigarlos y las evidencias específicas a obtener para acreditar el cumplimiento.

Este curso tiene el objetivo de ofrecer al Delegado de Protección de Datos, a los auditores y a los responsables de verificar el cumplimiento la mayor recopilación posible de preguntas, factores de riesgo, riesgos, controles, evidencias y acciones recomendadas para acompañarlos en esta labor de supervisión y control

Esperamos que este curso sea muy útil para toda la comunidad de profesionales dedicados a la protección de datos, tanto a los que se inician en el campo de la auditoría como a los más expertos.

Acceso a los detalles del curso y a la página de contratación