Publicado el Real Decreto-ley de seguridad de las redes y sistemas de información

El BOE de hoy publica el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, que transpone al ordenamiento jurídico español la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión Europea. Se trata de la Directiva NIS, o de ciberseguridad.

El objeto de este real decreto-ley es regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales, y establecer un sistema de notificación de incidentes.

Ámbito de aplicación

a) Servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.

b) Servicios digitales que sean mercados en línea, motores de búsqueda en línea y servicios de cloud computing.

Obligaciones de seguridad

Los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar medidas técnicas y de organización, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados en la prestación de los servicios prestados.

Tendrán también deber de notificar incidentes de seguridad, y deberán tomar medidas adecuadas para prevenir y reducir al mínimo el impacto de los incidentes que les afecten.

El desarrollo reglamentario del real decreto-ley preverá las medidas necesarias para el cumplimiento de las obligaciones de seguridad.

Los proveedores de servicios digitales determinarán las medidas de seguridad que aplicarán, teniendo en cuenta, como mínimo, los avances técnicos y los siguientes aspectos:

a) La seguridad de los sistemas e instalaciones;

b) La gestión de incidentes;

c) La gestión de la continuidad de las actividades;

d) La supervisión, auditorías y pruebas;

e) El cumplimiento de las normas internacionales.

Acceso a la norma: 

https://www.boe.es/diario_boe/txt.php?id=BOE-A-2018-12257

Modificación de la ley de prevención del blanqueo de capitales

El Consejo de Ministros de ayer aprobó un Real Decreto-ley con el fin de incorporar diversas Directivas pendientes de transposición, entre las que destaca la Directiva 2015/849. Como resultado de esta trasposición se modifica la Ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo.

Principales novedades

1. Obligación de aplicar medidas de diligencia debida reforzadas respecto de aquellos países que se relacionen en la lista que al efecto elabora la Comisión Europea de conformidad con el artículo 9 de la Directiva.

2. Nueva regulación al régimen aplicable a las personas con responsabilidad pública, que se endurece en relación con las personas con responsabilidad pública domésticas, yendo más allá de lo exigido por las Recomendaciones de GAFI.

3. Reducción del umbral en el que los comerciantes de bienes que utilizan el efectivo como medio de pago, están obligados a cumplir con las obligaciones de prevención del blanqueo de capitales, que bajan de 15.000 a 10.000 euros .

4. Adaptación de los límites sancionadores a los umbrales máximos establecidos por la normativa de la UE, incorporando además nuevas normas en materia de publicidad y nuevos tipos infractores.

5. Nuevo sistema de comunicación o denuncia de infracciones que tendrá naturaleza confidencial.

6. Nueva obligación de registro de prestadores de servicios a sociedades.

Este RDL se publicará en breve en el BOE.

Aspectos destacados del nuevo RDL de medidas urgentes para la adaptación del Derecho español al RGPD

Estos son los aspectos más destacados del nuevo RDL de medidas urgentes para la adaptación del Derecho español al RGPD, publicado hoy en el BOE:

Resumen general

Inspección en materia de protección de datos

Régimen sancionador en materia de protección de datos

Régimen transitorio de los contratos de encargado del tratamiento

Texto completo del RDL

Régimen transitorio de los contratos de encargado del tratamiento

El RDL de medidas urgentes para la adaptación del Derecho español del RGPD establece que los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la LOPD mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos.

En el caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022. 

Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del RGPD. 

Ver otros temas destacados de este RDL

Régimen sancionador en materia de protección de datos

El RDL de medidas urgentes para la adaptación del Derecho español del RGPD establece el siguiente régimen sancionador en materia de protección de datos.

Sujetos responsables

Están sujetos al régimen sancionador establecido en el RGPD y la normativa española de protección de datos las siguientes personas físicas o jurídicas: 

  1. Los responsables de los tratamientos.
  2. Los encargados de los tratamientos.
  3. Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea.
  4. Las entidades de certificación.
  5. Las entidades acreditadas de supervisión de los códigos de conducta. 

No será de aplicación al delegado de protección de datos el régimen sancionador en esta materia. 

Prescripción de las infracciones

  1. Las infracciones con multas de hasta 20 millones prescribirán a los tres años.
  2. Las infracciones con multas de hasta 10 millones prescribirán a los dos años.
  3. Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador.
  4. Se reiniciará el plazo de prescripción si el expediente sancionador estuviese paralizado durante más de seis meses por causas no imputables al presunto infractor.

Los procedimientos ya iniciados a la entrada en vigor de este real decreto-ley se regirán por la normativa anterior, salvo que el régimen establecido en el mismo contenga disposiciones más favorables para el interesado. 

Los detalles del procedimiento se regulan en el el artículo 7 y siguientes del RDL.

Ver otros temas destacados de este RDL

Inspección en materia de protección de datos

El RDL de medidas urgentes para la adaptación del Derecho español del RGPD establece el siguiente régimen en materia de inspección.

Personal competente para el ejercicio de la actividad de investigación de la AEPD

  1. La actividad de investigación se llevará a cabo por los funcionarios de la AEPD.
  2. También podrán llevarla a cabo funcionarios ajenos a la AEPD habilitados expresamente por su Director.
  3. Los funcionarios que desarrollen actividades de investigación tendrán la consideración de agentes de la autoridad en el ejercicio de sus funciones.
  4. Estarán obligados a guardar secreto sobre las informaciones que conozcan con ocasión de dicho ejercicio, incluso después de haber cesado en él. 

Alcance de la actividad de investigación de la AEPD

Los funcionarios que desarrollen la actividad de investigación podrán:

  1. Recabar las informaciones precisas para el cumplimiento de sus funciones.
  2. Realizar inspecciones.
  3. Requerir la exhibición o el envío de los documentos y datos necesarios.
  4. Examinarlos en el lugar en que se encuentren depositados o en donde se lleven a cabo los tratamientos.
  5. Obtener copia de ellos.
  6. Inspeccionar los equipos físicos y lógicos
  7. Requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del tratamiento sujetos a investigación. 

Los poderes de investigación en lo que se refiere a la entrada en domicilios deben ejercerse de conformidad con las normas procesales, en particular, en los casos en los que sea precisa la autorización judicial previa. 

Ver otros temas destacados de este RDL

Real Decreto Ley que adapta al RGPD el régimen sancionador en materia de protección de datos

El Consejo de Ministros aprobó ayer un Real Decreto Ley con medidas urgentes para adaptar el Derecho español al Reglamento General de Protección de Datos (RGPD). Esta primera fase del proceso de adaptación se limita a las materias que no requieren ley orgánica, que seguirán su proceso con la tramitación del proyecto de ley de la nueva LOPD en el Congreso de los Diputados.

Entre las medidas contenidas en el Real Decreto Ley, destacan las siguientes:

  1. La inspección de las infracciones del RGPD.
  2. El régimen sancionador en materia de protección de datos.
  3. Los procedimientos aplicables en caso de vulneración del RGPD.
  4. La delimitación de los sujetos a los que les es aplicable el régimen sancionador.
  5. La determinación de los plazos de prescripción de las infracciones y sanciones previstas en el RGPD.

El Real Decreto Ley deroga el artículo 40 de la LOPD, relativo a la potestad de inspección y el Título VII de la LOPD, relativo a las infracciones y las sanciones, a excepción del artículo 46 (Infracciones de las AAPP).

La vigencia del Real Decreto Ley será temporal, ya que entrará en vigor el día siguiente de su publicación en el BOE y permanecerá vigente hasta la entrada en vigor de la nueva LOPD, que se encuentra en tramitación parlamentaria.

VER ASPECTOS DESTACADOS DE ESTE RDL Y TEXTO PUBLICADO EN EL BOE

¿Cuánto ha costado y cuánto va a costar el RGPD?

Estoy intentando calcular el coste del RGPD para las empresas españolas. Pero no me refiero tanto a lo que ha costado el proceso de adaptación, sino a los errores de interpretación.

Por ejemplo, las empresas que han pedido una confirmación del consentimiento a sus clientes y a los suscriptores de sus newsletters, cuando estaban legitimadas para tratar los datos en base al contrato o al consentimiento expreso de la LSSI, y han perdido el 95% de sus bases de datos.

El próximo 21 de junio, a las 9.30, en la Real Academia de Jurisprudencia y Legislación. Calle Marqués de Cubas 13-28014, Madrid, comentaré las conclusiones y hablaré de estos asuntos:

  • Buenas prácticas y errores identificados en los últimos 40 días
  • Cuál será su coste para las empresas españolas
  • Proyecto de la nueva LOPD: principales novedades y retos que supondrá su aplicación

Si quieres asistir, aquí tienes tu invitación:

http://www.aranzadi.es/sites/aranzadi.es/files/creatividad/Marketing/Invitaciones2018/ES-8159_Desayuno_DPO_AENOR_agentes_0.html

Muchas gracias.

Jornada sobre ciberseguridad en ESADE

Jornada “Ciberseguridad: cómo actuar antes, durante y después de un ciberataque”
Viernes, 27 de abril de 2018, de 9:00 a 14:00 horas
Esta jornada está diseñada desde el Master IT+IP de ESADE Law School con el fin de analizar la creciente amenaza de los ciberataques y las contramedidas que las empresas y los organismos públicos pueden aplicar.
La jornada se estructura en una línea de tiempo de tres fases, que comprenden las estrategias a aplicar antes, durante y después del ciberataque.
El objetivo de la jornada es actualizar los conocimientos sobre ciberseguridad con los últimos datos y tendencias, con el fin de conocer las distintas opciones existentes para mejorar la defensa de los sistemas, en un formato orientado al intercambio de conocimientos entre los asistentes.
PROGRAMA

9:00 h Llegada de los asistentes y acreditaciones

9:15 h Bienvenida e inauguración
Xavier Ribas, co-director del Master IT+IP de ESADE Law School

9:30 h Antes del ciberataque: medidas preventivas y formación
Tim Caps, responsable del ProSOC (Lab de alerta temprana) de Proficio
Agustín Corredera, especialista de transformación digital de Microsoft
Antonio Cañada, enterprise account manager de FireEye

10:30 h Debate y turno de preguntas

Moderador: Xavier Ribas

10:45 h Durante el ciberataque: gestión, notificación y mitigación del impacto del ataque
Teniente Coronel Daniel Baena, Guardia Civil
Carlos Valderrama, responsable de respuestas ante ataques de Necsia
Xavier Serrano
, responsable de seguridad tecnológica de Banco Sabadell

11:30 h Debate y turno de preguntas

Moderador: Mario Sol, co-director del Master IT+IP de ESADE Law School

11:45 h  Coffee break

12:15 h Después del ataque – Continuidad del negocio y ciberseguros
Nelia Argaz, líder de Ciberseguridad y Business Resilience de Marsh Risk Consulting
Xavier Morrus, director de Mediacloud
Martí de Riquer, CISO de Médicos sin Fronteras

13:30 h Debate y turno de preguntas

Moderadora: Rebeca Velasco, abogada de Ribas y Asociados y colaboradora académica de ESADE Law School

14:00 h Clausura de la jornada

Viernes, 27 de abril de 2018
De 9:00 a 14:00 horas
ESADEFORUM
Av. Pedralbes, 60-62
Barcelona
Importe:300€

255€ (miembros de ESADE Alumni, de la Asamblea de la Fundación ESADE y del Consejo Profesional de ESADE Law School)

INSCRIPCIÓN

#ESADELaw
Comenta el acto vía Twitter
Para más información:
Neus Casajuana
neus.casajuana@esade.edu
Tel: 93 553 02 26
www.esade.edu