Archivo del Autor: xribas

Acerca de xribas

– Socio fundador de Ribas y Asociados. – Abogado dedicado al Derecho de las Tecnologías de la Información desde 1987 – Experto en Compliance. – Director del Curso de Compliance Officer de Thomson Reuters Aranzadi. – Director del Curso de DPO – RGPD de Thomson Reuters Aranzadi. – Director del Practicum de Compliance de Thomson Reuters Aranzadi. – Profesor de Compliance Tecnológico de ESADE. – Designado por Expansión como uno de los 25 abogados referentes de España (2013) – Designado por Best Lawyers como el mejor abogado de los años 2013 y 2015 en materia de protección de datos – Designado por Best Lawyers como el mejor abogado del año 2014 en materia de IT Law – Premio 2012 al mejor abogado en Derecho Digital (ICAB – Digital Law World Congress) – Seleccionado por Chambers y Best Lawyers como uno de los mejores abogados en: – Privacy & Data Protection – Information Technology – Intellectual Property – Media – Communications – Director del Máster en Derecho de las TIC, Redes Sociales y Propiedad Intelectual (IT+IP) de ESADE – Socio de PwC (1998-2012) – Responsable de la red internacional de Derecho de las TIC de PwC (2000 – 2004) – Auditor informático CISA (ISACA) – Certified in Risk and Information Systems Control CRISC (ISACA) – Vicepresidente 1º de ENATIC (2012 – 2015) – Autor del libro Aspectos juridicos del comercio electronico en internet – (Editorial Aranzadi 1999). – Asesor Jurídico de BSA (Business Software Alliance) (1988 – 2011) – Miembro de la Comisión de Regulación de la AECE (Asociación Española de Comercio Electrónico) – Miembro de la Junta Directiva de la AUI (1996 – 2003) – Presidente de ARBITEC Asociación Española de Arbitraje Tecnológico (1989 – 2015) – Miembro del Legal Working Group de UNECE – CEFACT en materia de comercio electrónico (ONU) – Autor del Manual Práctico de Contratación Informática CONTRACT-SOFT (1987-2003) 11ª Edición. – Participante en el proyecto LATHE GAMBIT del Mando Aliado de la OTAN, relativo al análisis del entorno legal y la seguridad de Internet en materia de ciberdelitos. – Autor de los paneles de control LOPD – RMS – LSSI – Contratos tecnológicos y Activos inmateriales – Miembro de ISACA – Information Services Audit and Control Association – Colegiado 12.968 del Colegio de Abogados de Barcelona

Vídeo de la ponencia sobre Internet de las cosas y privacidad que di en el MWC

Posted on por

Este es el vídeo-presentación de la ponencia sobre Internet de las cosas y privacidad que ayer di en el foro de ESADE en el Mobile World Congress.

Haciendo clic en … Más se puede acceder a la transcripción del mismo.

Compliance Officer: una de las profesiones menos estresantes

Posted on por

Publica hoy Expansión las conclusiones de un estudio realizado por CareerCast sobre el nivel de estrés de cada profesión. En el ranking aparece como segundo trabajo menos estresante el de Compliance Officer, justo por detrás del de ecografista.

Es evidente que estos datos se refieren a Estados Unidos, donde el Compliance lleva más años implantado que en España y donde el trabajo inicial del Compliance Officer, ya está hecho y la cultura de cumplimiento está mucho más desarrollada en las empresas, de manera que el Compliance Officer puede dedicarse a un trabajo de «mantenimiento», y de supervisión continuada del funcionamiento de los controles asignados a sus correspondientes responsables.

Lamentablemente, en España no puede decirse que la labor del Compliance Officer sea poco estresante:

  1. Este cargo está ubicado en muchas empresas entre la incomprensión de la alta dirección y la falta de interés del negocio.
  2. La cultura de cumplimiento hay que plantearla como un objetivo a largo plazo dada la resistencia al cambio de los que tienen que practicarla.
  3. El cumplimiento sigue viéndose como un obstáculo para el negocio.
  4. La proactividad del Compliance Officer debe ser constante, porque a una etapa de formación le sigue otra de amnesia y el esfuerzo por mantener el recuerdo de lo aprendido es agotador.
  5. Si la función del Compliance Officer fuese exclusivamente reactiva, es decir, dedicándose solamente a atender las denuncias recibidas a través del canal ético, entonces sí que esa función sería la menos estresante del mundo, dada la escasez, y en muchas empresas la absoluta ausencia, de denuncias.
  6. Las revisiones internas deben ser continuadas, porque cuando acaba una vuelta hay que volver a empezar. Si no, todo sigue igual. Como en el circo, hay que conseguir que todos los platos sigan rodando al mismo tiempo.
  7. Los responsables del control no envían las evidencias. Otro clásico.
  8. Todo ello sin tener en cuenta las empresas que han diseñado su estructura de control de tal manera que toda la responsabilidad se concentra en la figura del Compliance Officer. Una espada de Damocles sobre tu cabeza no es justamente el mejor remedio contra el estrés.

Afortunadamente, hay sectores y empresas que son una excepción y que han hecho un gran esfuerzo de cambio en los últimos años. Pero en la gran mayoría, la profesión de Compliance Officer va necesitar todavía un tiempo para llegar a tener el bajo nivel de estrés de los ecografistas (norteamericanos).

Artículo citado: http://www.expansion.com/emprendedores-empleo/2017/02/19/58a723d722601d19768b45e6.html

Sellado de tiempo y custodia de evidencias de cumplimiento

Posted on por

Como ya comentamos al inicio de este año, estamos aprovechando el 30 aniversario de nuestra especialización para ampliar, mejorar y relanzar nuestros servicios.

Uno de ellos es el sellado de tiempo y la custodia de evidencias de cumplimiento con el fin de acreditar de forma indubitada la fecha de obtención de una evidencia en un proyecto de compliance. Este servicio se originó a partir de la necesidad de acreditar la existencia previa del control para poder acceder a la exención de responsabilidad penal o a la atenuación de las sanciones en sede administrativa.

El sistema también sirve para acreditar el contenido de los mensajes enviados a proveedores y clientes, así como los mensajes internos enviados como recordatorio de las obligaciones de control a los diferentes responsables.

Las principales finalidades del sellado de tiempo en un proyecto de compliance son, por lo tanto, las siguientes:

  • Prueba cronológica de la existencia de los controles normativos, de prevención, de detección y de mitigación.
  • Prueba cronológica de la idoneidad de los controles.
  • Prueba cronológica de la eficacia de los controles.
  • Prueba cronológica de las pruebas de estrés de los controles.
  • Prueba cronológica de los mensajes enviados a clientes y proveedores.
  • Prueba cronológica de los recordatorios enviados a los responsables de un control.

Las características principales de este servicio son las siguientes:

  • Sellado de tiempo automatizado.
  • Depósito notarial periódico.
  • Sellado de mensajes enviados en copia oculta o en abierto.
  • Dirección de mail de sellado única para cada cliente.
  • Entrega de evidencias a través de la aplicación Compliance 3.0.
  • Asociación entre evidencias y controles y evaluación continuada en la aplicación.
  • Verificación de las evidencias.
  • Custodia de las evidencias durante el plazo de prescripción de la infracciones.
  • Tarifa plana.
  • Alojamiento del repositorio de evidencias en un servidor español.
  • Protocolización notarial selectiva en caso de reclamación o juicio.
  • Ratificación en juicio.

En el gráfico adjunto se puede ver el proceso de sellado y custodia de las evidencias.

En el caso de precisar más información sobre este servicio se puede solicitar un dossier completo a xavier.ribas@ribastic.com

sellado

30 años

Probablemente la mayor base de conocimiento sobre la aplicación práctica del Compliance en España

Posted on por

Pronto hará dos años que Aranzadi y nuestro despacho creamos el Curso Experto de Compliance Officer, del que acaba de publicarse la segunda edición:

https://www.thomsonreuters.es/es/tienda/pdp/formacion_presencial.html?pid=10008726#tab-1

En ese momento le dimos mucha importancia a crear unos foros de debate en los que los alumnos pudieran realizar sus aportaciones en relación a los contenidos del curso.

Los foros versan sobre dos tipos de contenidos:

  1. Casos
  2. Talleres

Las aportaciones de los alumnos han superado ya la cifra de las 15.000, por lo que, en mi opinión, considero que forman un gran activo intelectual, de gran ayuda para los profesionales y los Compliance Officer, que puede llegar a convertirse en la mayor base de conocimiento sobre la aplicación práctica del Compliance de España.

Como director del curso quiero agradecer a todos los alumnos el gran trabajo que han desarrollado. Muchas gracias.

Ponencia en el MWC sobre Internet de las cosas y derecho a la intimidad

Posted on por

estand

El próximo 27 de febrero a las 12:00 impartiré en el estand de ESADE en el Mobile World Congress de Barcelona una ponencia sobre Internet de las cosas y derecho a la intimidad.

El estand tiene una cabida para 60 personas, por lo que las personas que deseen asistir deben confirmarlo con antelación. Las primeras filas estarán reservadas para los 22 alumnos de nuestro Máster IT-IP de ESADE.

Los que estéis en el MWC ese día estáis invitados a asistir y a debatir sobre uno de los puntos que más se van a tratar este año en el congreso.

Por favor, confirmad vuestra asistencia a Marta Deu: marta.deu@esade.edu

NOTA: Esta invitación se refiere al estand de ESADE, no a la feria MWC.

Nuevas guías de la AEPD sobre el Reglamento General de Protección de Datos (RGPD)

Posted on por

La Agencia Española de Protección de Datos acaba de publicar las siguientes guías:

1. Guía del Reglamento General de Protección de Datos para responsables de tratamiento

El documento recoge las principales cuestiones que las empresas deben tener en cuenta para cumplir con las obligaciones recogidas en el Reglamento. La Guía incluye en su parte final una checklist con la que las empresas pueden determinar si han dado los pasos necesarios para estar en condiciones de hacer una correcta aplicación del RGPD.

https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/guia_rgpd.pdf

2. Directrices para la elaboracion de contratos entre responsables y encargados de tratamiento

El RGPD establece que las relaciones entre el responsable y el encargado deben formalizarse en un contrato o acto jurídico que les vincule, regulando de forma minuciosa su contenido mínimo. Estas directrices se han realizado con la finalidad de que los contratos reflejen todos los contenidos recogidos en el Reglamento.

https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/directricescontratos.pdf

3. Guía para el cumplimiento del deber de informar

El RGPD concede gran importancia a la información que debe proporcionarse a los ciudadanos cuyos datos van a tratarse, estableciendo una lista exhaustiva de los contenidos que deben ser expuestos de forma clara y accesible. Esta Guía ofrece recomendaciones y soluciones prácticas sobre los modos de proporcionar esta información.

https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/modeloclausulainformativa.pdf

30 años