Modificación de la ley de prevención del blanqueo de capitales

El Consejo de Ministros de ayer aprobó un Real Decreto-ley con el fin de incorporar diversas Directivas pendientes de transposición, entre las que destaca la Directiva 2015/849. Como resultado de esta trasposición se modifica la Ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo.

Principales novedades

1. Obligación de aplicar medidas de diligencia debida reforzadas respecto de aquellos países que se relacionen en la lista que al efecto elabora la Comisión Europea de conformidad con el artículo 9 de la Directiva.

2. Nueva regulación al régimen aplicable a las personas con responsabilidad pública, que se endurece en relación con las personas con responsabilidad pública domésticas, yendo más allá de lo exigido por las Recomendaciones de GAFI.

3. Reducción del umbral en el que los comerciantes de bienes que utilizan el efectivo como medio de pago, están obligados a cumplir con las obligaciones de prevención del blanqueo de capitales, que bajan de 15.000 a 10.000 euros .

4. Adaptación de los límites sancionadores a los umbrales máximos establecidos por la normativa de la UE, incorporando además nuevas normas en materia de publicidad y nuevos tipos infractores.

5. Nuevo sistema de comunicación o denuncia de infracciones que tendrá naturaleza confidencial.

6. Nueva obligación de registro de prestadores de servicios a sociedades.

Este RDL se publicará en breve en el BOE.

¿Cuánto ha costado y cuánto va a costar el RGPD?

Estoy intentando calcular el coste del RGPD para las empresas españolas. Pero no me refiero tanto a lo que ha costado el proceso de adaptación, sino a los errores de interpretación.

Por ejemplo, las empresas que han pedido una confirmación del consentimiento a sus clientes y a los suscriptores de sus newsletters, cuando estaban legitimadas para tratar los datos en base al contrato o al consentimiento expreso de la LSSI, y han perdido el 95% de sus bases de datos.

El próximo 21 de junio, a las 9.30, en la Real Academia de Jurisprudencia y Legislación. Calle Marqués de Cubas 13-28014, Madrid, comentaré las conclusiones y hablaré de estos asuntos:

  • Buenas prácticas y errores identificados en los últimos 40 días
  • Cuál será su coste para las empresas españolas
  • Proyecto de la nueva LOPD: principales novedades y retos que supondrá su aplicación

Si quieres asistir, aquí tienes tu invitación:

http://www.aranzadi.es/sites/aranzadi.es/files/creatividad/Marketing/Invitaciones2018/ES-8159_Desayuno_DPO_AENOR_agentes_0.html

Muchas gracias.

Jornada sobre ciberseguridad en ESADE

Jornada “Ciberseguridad: cómo actuar antes, durante y después de un ciberataque”
Viernes, 27 de abril de 2018, de 9:00 a 14:00 horas
Esta jornada está diseñada desde el Master IT+IP de ESADE Law School con el fin de analizar la creciente amenaza de los ciberataques y las contramedidas que las empresas y los organismos públicos pueden aplicar.
La jornada se estructura en una línea de tiempo de tres fases, que comprenden las estrategias a aplicar antes, durante y después del ciberataque.
El objetivo de la jornada es actualizar los conocimientos sobre ciberseguridad con los últimos datos y tendencias, con el fin de conocer las distintas opciones existentes para mejorar la defensa de los sistemas, en un formato orientado al intercambio de conocimientos entre los asistentes.
PROGRAMA

9:00 h Llegada de los asistentes y acreditaciones

9:15 h Bienvenida e inauguración
Xavier Ribas, co-director del Master IT+IP de ESADE Law School

9:30 h Antes del ciberataque: medidas preventivas y formación
Tim Caps, responsable del ProSOC (Lab de alerta temprana) de Proficio
Agustín Corredera, especialista de transformación digital de Microsoft
Antonio Cañada, enterprise account manager de FireEye

10:30 h Debate y turno de preguntas

Moderador: Xavier Ribas

10:45 h Durante el ciberataque: gestión, notificación y mitigación del impacto del ataque
Teniente Coronel Daniel Baena, Guardia Civil
Carlos Valderrama, responsable de respuestas ante ataques de Necsia
Xavier Serrano
, responsable de seguridad tecnológica de Banco Sabadell

11:30 h Debate y turno de preguntas

Moderador: Mario Sol, co-director del Master IT+IP de ESADE Law School

11:45 h  Coffee break

12:15 h Después del ataque – Continuidad del negocio y ciberseguros
Nelia Argaz, líder de Ciberseguridad y Business Resilience de Marsh Risk Consulting
Xavier Morrus, director de Mediacloud
Martí de Riquer, CISO de Médicos sin Fronteras

13:30 h Debate y turno de preguntas

Moderadora: Rebeca Velasco, abogada de Ribas y Asociados y colaboradora académica de ESADE Law School

14:00 h Clausura de la jornada

Viernes, 27 de abril de 2018
De 9:00 a 14:00 horas
ESADEFORUM
Av. Pedralbes, 60-62
Barcelona
Importe:300€

255€ (miembros de ESADE Alumni, de la Asamblea de la Fundación ESADE y del Consejo Profesional de ESADE Law School)

INSCRIPCIÓN

#ESADELaw
Comenta el acto vía Twitter
Para más información:
Neus Casajuana
neus.casajuana@esade.edu
Tel: 93 553 02 26
www.esade.edu

 

Jornada en Barcelona sobre el RGPD y la nueva LOPD

El próximo 8 de marzo participaré en una jornada de Thomson Reuters sobre aspectos concretos del RGPD y la nueva LOPD, de acuerdo con los detalles de la convocatoria que aparece a continuación.

TRRGPDBCN

Formulario de inscripción:

https://www.thomsonreuters.es/es/formulario/evento-dpo-barcelona-marzo.html

Programa completo:

http://app.engage.es-pt.thomsonreuters.com/e/es?s=570777387&e=324674&elqTrackId=737d279007ef425f800bd0eff6dcff07&elq=85674359140244e5be44f385d1caca39&elqaid=21854&elqat=1

Inicio del proceso de selección de DPOs

Hoy damos inicio al proceso de selección de DPOs (Data Protection Officer) o DPDs (Delegado de Protección de Datos) para nuestros clientes.

Las formas de contratación dependen de la modalidad elegida por cada cliente, habiendo identificado hasta ahora las siguientes:

  1. Contratación por parte de nuestro despacho con alta en el régimen general de la Seguridad Social con el fin de realizar la función de DPO de manera externalizada para varios clientes.
  2. Contratación por parte del cliente con alta en el régimen general de la Seguridad Social con el fin de realizar la función de DPO a jornada completa, o a tiempo parcial, en la empresa.

En ambos casos la formación, el seguimiento y el soporte continuado lo realizará nuestro despacho, con el fin de conseguir la máxima unificación de criterios.

Si te interesa participar en este proceso, puedes enviar un mensaje indicándolo a montse.otalora@ribastic.com.

Muchas gracias.

Jornada de actualización sobre el RGPD y la nueva LOPD (Presencial en Madrid + Streaming)

El próximo jueves participaré en una jornada de Thomson Reuters sobre aspectos concretos del RGPD y la nueva LOPD, de acuerdo con los detalles de la convocatoria que aparece a continuación.

TRRGPD

Más información y confirmación de asistencia en el siguiente enlace:

http://app.engage.es-pt.thomsonreuters.com/e/es?s=570777387&e=319834&elqTrackId=737d279007ef425f800bd0eff6dcff07&elq=21cf6efa513448d09045fa905cc25f68&elqaid=21616&elqat=1

Jornada RGPD y RRHH – Los tres grandes riesgos del tratamiento de los datos de los trabajadores

El próximo viernes participaré en esta jornada sobre RRHH y RGPD organizada por la Asociación Catalana de Dirección de Recursos Humanos, en la que hablaremos de los datos que una empresa trata durante el ciclo de vida de la relación laboral y los tres grandes riesgos que ello genera:

  1. Tratar datos sin informar al trabajador.
  2. Aplicar los datos a finalidades distintas de las informadas.
  3. No identificar a las más de 80 categorías de proveedores con acceso a los datos.

Todo ello desde la óptica del Reglamento General de Protección de Datos.

Más información e inscripciones:

https://www.aedipecatalunya.com/es/els-tres-grans-riscos-del-tractament-de-les-dades-dels-treballadors-per-rh-23022018/

 

“Tras 6 meses de proyecto RGPD, todavía aparecen tratamientos”

La frase que da título a este artículo fue pronunciada por un amiga que trabaja en una gran consultora. Estaba desesperada porque, después de 6 meses de proyecto, todavía descubría tratamientos.

Este problema ya surgió en 1992 con la aprobación de la LORTAD y se reprodujo en 1999 con la aprobación de la LOPD. Las preguntas típicas eran: “¿Cómo puedo conocer todos los datos que tratan los departamentos y cuándo tengo que dejar de buscar?”. Pensando que éramos nostros los que teníamos que encontrar el dato, y no al revés, en 1992 empezamos a utilizar programas de búsqueda de texto en el que introducíamos varios apellidos con operadores booleanos. Primero en cada ordenador, después en los servidores y finalmente, con herramientas de red.

Pero pronto nos dimos cuenta de que la solución no pasaba por monitorizar constantemente lo que hacía el negocio, ya que ello tendía a la saturación de información, al caos, a la paranoia y a la frustración. Era mucho más eficaz analizar las necesidades reales de la empresa, definir un modelo de datos, aplicarlo y exigir su cumplimiento. Es decir, pasar de una metodología “pull” a una metodología “push”.

En la actualidad, las herramientas de descubrimiento de datos se han perfeccionado hasta el punto de llegar a terminales remotos, detectar ordenadores apagados y volver a revisarlos cuando están operativos, gestionar correctamente los falsos positivos… Pero el objetivo no es tratar el dato personal como si fuese un virus, alertando sobre cada CV que llegue por correo electrónico, sino completar y actualizar el modelo de datos acordado, con una frecuencia que se estime razonable. Además, estas herramientas no detectan los tratamientos no automatizados realizados en papel y en otros soportes.

Como siempre, las mejores soluciones incorporan elementos de varias metodologías. Los proyectos de Compliance son un ejemplo de ello, al combinar el canal ético, los controles de prevención y detección y la verificación periódica. Es decir, se espera que el negocio se autorregule, cumpla la ley y comunique los riesgos y los incumplimientos a través del canal ético, pero de forma complementaria también se implantan medidas preventivas, se verifica el funcionamiento de los controles y se realizan investigaciones internas.

En el RGPD se establecen principios como el de la privacidad desde el diseño y por defecto y el de responsabilidad proactiva, que permiten exigir a los departamentos que realizan tratamientos un mayor grado de colaboración que el que podrían mostrar con la simple asistencia a una entrevista de análisis de tratamientos o a la disposición a dejarse monitorizar con herramientas de descubrimiento de datos.

La experiencia de 1992, perfectamente vigente en la actualidad, nos demuestra que la eficacia en la gestión de los tratamientos es mayor cuando los departamentos pasan de la colaboración a la implicación. Y ello se puede conseguir en un proyecto de RGPD aplicando un sencillo protocolo de 5 pasos:

  1. Análisis de tratamientos
  2. Definición del modelo de datos
  3. Confirmación y aprobación del modelo de datos
  4. Comunicación del modelo de datos a los departamentos
  5. Firma del modelo de datos

El punto 5 consiste en un compromiso de transparencia total, una declaración firmada en la que aparece la lista de datos tratados y la lista de finalidades del tratamiento. En este documento el firmante declara que se obliga a aplicar el modelo de datos y finalidades y a comunicar cualquier propuesta de modificación al Comité de Protección de Datos y Seguridad de la Información.

Mientras el incumplimiento de esta obligación supone una infracción muy grave de la política de protección de datos de la empresa, el cumplimiento permite al solicitante tener la tranquilidad de que los tratamientos que realice estarán plenamente reflejados en el registro de tratamientos y quedará acreditada su diligencia y la de la empresa.

El modelo de datos puede complemetarse y actualizarse con herramientas de discovery, pero lo que resulta evidente es que ni la empresa ni el DPO pueden estar permanentemente vigilando al negocio. Éste debe alcanzar un nivel de madurez y responsabilidad que no sólo es necesario, sino también exigible, desde el momento del diseño de cualquier nueva campaña, producto o servicio.

Pensemos que el riesgo de no informar del tratamiento de un dato o aplicarlo a una finalidad no informada es uno de los más altos de todo el RGPD, tanto en probabilidad como en impacto. Ello exige actuar en proporción a la cuantía de la sanción, que es también la más alta.

Incluso en los casos en que es imposible realizar todas las entrevistas en los tres primeros meses, debido a la complejidad de la estructura corporativa y de las agendas de los interlocutores, descubrir tratamientos a los 6 meses de un proyecto de adecuación al RGPD invita a revisar la metodología o el nivel de autoridad del responsable del proyecto.


Los documentos de base correspondientes a los puntos 1 a 5 de este artículo son cinco de los 103 entregables de nuestra metodología RGPD.