Curso de Auditoría de Compliance

Hoy se lanza el Curso de Auditoría de Compliance, que llevamos meses desarrollando para Thomson Reuters.

Era una idea que teníamos desde hace años porque desde 2010 hemos identificado y actualizado una gran cantidad de factores de riesgo, riesgos, controles, evidencias y acciones recomendadas y esperábamos el día de poder compartir estos activos tan valiosos.

Es el resultado del esfuerzo conjunto de todo el despacho y de muchas horas de trabajo. Por ello tengo que mostrar mi agradecimiento al gran claustro de profesores que han permitido entregaros tanto valor en un curso de auditoría.

Contenido

El curso incluye más de 4.000 elementos de soporte para la auditoría, distribuidos en:

  • 45 materias o temas a auditar.
  • 270 preguntas relativas a factores de riesgo.
  • Más de 700 preguntas relativas a riesgos.
  • Más de 700 preguntas relativas a controles.
  • Más de 600 riesgos.
  • Más de 500 controles.
  • Más de 500 evidencias.
  • Más de 500 acciones recomendadas.

Esquema de un tema de auditoría

En este diagrama se puede ver el esquema de cada uno de los 45 temas de auditoría.

Contenido detallado del curso

M1 – Metodología de la auditoría

  • Planificación de la auditoría
  • Identificación de las fuentes de información
  • Identificación de interlocutores
  • Alcance de la auditoría
  • Preguntas a realizar
  • Entrevistas
  • Verificación de la existencia del control
  • Verificación de la eficacia del control
  • Valoración del riesgo de incumplimiento
  • Proceso de obtención de evidencias
  • Repositorio de evidencias
  • Informe de auditoría
  • Presentación de los resultados
  • Indicadores de cumplimiento (KCI)
  • Plan de acción

M2 – Auditoría del modelo de compliance

  • Modelo de prevención y control
  • Estructura de control
  • Compliance Officer
  • Estructura normativa
  • Código ético
  • Mapa de riesgos general
  • Mapa de riesgos sectorial
  • Protocolo de toma de decisiones
  • Modelo de gestión de los recursos financieros
  • Canal ético
  • Sistema disciplinario y sanciones
  • Formación y sensibilización 
  • Control de proveedores y clientes críticos
  • Control de socios y filiales
  • Verificación periódica y mejora continua del modelo
  • Repositorio de evidencias 

M3 – Auditoría de riesgos comunes a todos los sectores

  • Corrupción pública
  • Corrupción privada
  • Daños informáticos
  • Propiedad intelectual e industrial
  • Hacienda Pública y Seguridad Social
  • Mercado y consumidores
  • Blanqueo de capitales y financiación del terrorismo
  • Derechos de los trabajadores
  • Medio ambiente 
  • Ordenación del territorio y urbanismo
  • Falsificación de tarjetas, medios de pago y moneda
  • Intimidad
  • Estafa
  • Insolvencias punibles y frustración en la ejecución 
  • Delitos de odio
  • Seguridad Colectiva
  • Salud pública y manipulación genética
  • Delitos contra ciudadanos extranjeros

M4 – Auditoría de riesgos sectoriales

  • Sector farmacéutico
  • Sector financiero
  • Sector inmobiliario
  • Sector retail
  • Sector gran consumo
  • Sector tecnológico

M5 – Riesgos de negocio que generan riesgos de cumplimiento

  • Riesgos financieros
  • Riesgos de mercado
  • Riesgos de suministro
  • Riesgos tecnológicos y derivados de la transformación digital
  • Riesgos relacionados con la sostenibilidad
  • Riesgos relacionados con la continuidad del negocio
  • Riesgos relacionados con las burbujas económicas
  • Riesgos relacionados con la disrupción
  • Riesgos derivados de iniciativas activistas – Fondos, accionistas y grupos de interés activistas

Destinatarios de este curso

  • Compliance Officers.
  • Profesionales interesados en prepararse para ser auditores de compliance.
  • Directivos y técnicos responsables de sistemas de gestión de calidad, medio ambiente y sistemas integrados.
  • Profesionales con responsabilidades en cumplimiento y/o control interno (auditores, gestión de riesgos, control de gestión, asesoría jurídica…).
  • Gerentes y directivos sensibilizados con el cumplimiento normativo y su gestión.

Director del curso

Xavier Ribas

Cordinadora del curso

Rebeca Velasco

Profesores

Marc Rius
Paula Gómez
Sandra Tintoré
Miquel Vidal
Juan Pablo Tornos
Joan Xifra
Paula Ribas
Ramon Baradat
Xavier Julve

Razones para hacer este curso

Las crisis económicas ponen a prueba los modelos de prevención y control de delitos. Los controles ineficaces quedan al descubierto y muestran las debilidades de la cultura de cumplimiento de las organizaciones.

Existen recursos y aplicaciones para realizar una auditoría de compliance desde el punto de vista metodológico, pero el mayor reto de la función de supervisión y control reside en la identificación de los riesgos, los criterios de las autoridades de control, las medidas concretas a aplicar para mitigarlos y las evidencias específicas a obtener para acreditar el cumplimiento.

Este curso que nace en una época en la que los mapas de riesgos deben adaptarse a un nuevo escenario y la estructura de control debe redimensionarse para conocer y estar más cerca del riesgo, tiene el objetivo de ofrecer al Compliance Officer y a los responsables de verificar el cumplimiento la mayor recopilación posible de preguntas, factores de riesgo, riesgos, controles, evidencias y acciones recomendadas para acompañarlos en esta labor de supervisión y control

Esperamos que este curso sea muy útil para toda la comunidad de profesionales dedicados al compliance, tanto a los que se inician en el campo de la auditoría como a los más expertos.

Acceso a los detalles del curso y a la página de contratación

Se cumplen 25 años de nuestra primera intranet para clientes

En septiembre de 1996 abrimos nuestra intranet a los clientes y la convertimos en una extranet.

Las carpetas se comportaban de una manera muy parecida a los actuales Equipos de Teams, pero con una diferencia de 25 años.

Esta era la primera página del contrato (en papel).

Su antecedente fue una BBS que creamos en 1987, a la que sólo accedieron dos clientes. Estaba operativa unas horas al día debido a los elevados costes de conexión.

Razones para no utilizar cuestionarios automatizados

Las acciones en las que no recomiendo el uso de herramientas informáticas, aplicaciones o plataformas para el envío automatizado de cuestionarios son las siguientes:

  1. Auditorías de compliance.
  2. Auditorías de protección de datos.
  3. Análisis de riesgos.
  4. Evaluaciones de impacto.
  5. Investigaciones internas.
  6. Otras acciones similares.

Las razones por las que no lo recomiendo son las siguientes:

  1. Reconocimiento explícito de infracciones administrativas.
  2. Reconocimiento explícito de delitos.
  3. Reconocimiento explícito de prácticas anticompetitivas.
  4. Creación involuntaria de evidencias de incumplimientos.
  5. Dificultad para explicar o entender el sentido de la pregunta.
  6. Dificultad para explicar o entender el contexto de la pregunta.
  7. Dificultad para añadir la capa formativa que se añade a las entrevistas presenciales.
  8. Alto porcentaje de respuestas erróneas debido a estas dificultades.
  9. Dificultad para conseguir un clima de confianza.
  10. Dificultad para demostrar que somos aliados del entrevistado.
  11. Respuestas evasivas.
  12. Respuestas N/A improcedentes.
  13. Imposibilidad de valorar el lenguaje no verbal al responder.
  14. Retrasos en la respuesta.
  15. Pérdida de tiempo en recordatorios y persecuciones.
  16. Necesidad de acciones disciplinarias ante la falta de respuesta.
  17. Dificultad para modificar un cuestionario ya enviado. En el caso de precisar modificarlo hay que enviar un nuevo cuestionario, con el riesgo de que ya se hayan recibido respuestas del anterior.

Esta es una lista rápida de razones, derivada de la acumulación de experiencias negativas en clientes que todavía consideran que estas acciones se pueden automatizar. Hay muchas más razones para no hacerlo.

Hasta el momento no he encontrado nada mejor que una entrevista presencial o por videoconferencia.

Otra tarea que genera riesgos cuando se automatiza es la de los configuradores de cookies. La mayoría de ellos comparan las cookies halladas con una librería de cookies identificadas. Si una cookie específica de la empresa no es identificada, el configurador la coloca en la sección de cookies pendientes de categorizar, y si la empresa no las categoriza, puede estar suministrando información incompleta del tratamiento al interesado, lo cual constituye una infracción muy grave del RGPD.

El tratamiento a gran escala como concepto jurídico indeterminado

La existencia de un tratamiento a gran escala es uno de los elementos determinantes de la necesidad de nombrar un DPO, de realizar una evaluación de impacto o de agravar una sanción. Es, por lo tanto, uno de los conceptos clave del RGPD.

Sin embargo, el concepto gran escala no está definido ni cuantificado en el RGPD ni tampoco en la LOPDGDD, con la consiguiente inseguridad jurídica que ello supone. Algún autor ha sugerido que las autoridades de control han dejado intencionadamente este concepto sin determinar con el fin de dar cabida en él al mayor número posible de tratamientos. Pero lo cierto es que el RGPD no establece claramente los parámetros cuantitativos para determinarlo, por lo que el resultado final es que la inseguridad jurídica no desaparece.

El considerando 91 del RGPD acota parcialmente el concepto al decir que las operaciones de tratamiento a gran escala persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional que podrían afectar a un gran número de interesados.

Seguimos con conceptos indeterminados como “cantidad considerable de datos” y “gran número de interesados”.

El Grupo de Trabajo del Artículo 29 (GT29) establece unos criterios orientativos basados en este considerando en las Directrices sobre los delegados de protección de datos (WP 243) adoptadas el 13 de diciembre de 2016 y revisadas por última vez y adoptadas el 5 de abril de 2017.

El GT29 reconoce que el RGPD no define qué se entiende por tratamiento a gran escala y añade que no es posible dar una cifra exacta, ya sea con relación a la cantidad de datos procesados o al número de personas afectadas, que pudiera aplicarse en todas las situaciones. 

No obstante, el GT29 considera que esto no excluye la posibilidad de que, con el tiempo, se desarrolle un método estándar para identificar en términos más específicos o cuantitativos qué constituye “a gran escala” con respecto a determinados tipos de actividades de tratamiento comunes.

Esto no se ha hecho. 

Por el contrario, los Estados miembro han ido aplicando criterios dispares en sus opiniones y resoluciones.

El GT29 recomienda que se tengan en cuenta los siguientes factores a la hora de determinar si el tratamiento se realiza a gran escala: 

  • El número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente.
  • El volumen de datos o la variedad de elementos de datos que son objeto de tratamiento. 
  • La duración, o permanencia, de la actividad de tratamiento de datos. 
  • El alcance geográfico de la actividad de tratamiento.

Estos criterios no son suficientes para determinar lo que es un tratamiento a gran escala, y han sido objeto de aplicación incoherente en los distintos países en los que el RGPD es de aplicación, incumpliéndose el objetivo uniformador de este reglamento.

Tal como indica la International Association of Privacy Professional (IAPP) en este artículo: https://iapp.org/news/a/on-large-scale-data-processing-and-gdpr-compliance/, la interpretación del concepto gran escala en el Espacio Único Europeo ha oscilado entre los 50.000 interesados exigidos en Estonia para realizar una evaluación de impacto hasta los 5.000.000 de interesados, o el 40 por ciento de la población relevante para el tratamiento, establecido en 2018 por la autoridad de control alemana.

Como prueba de la dispar y poco uniforme interpretación del concepto gran escala en el EEE, vamos a ver a continuación los datos de los países que hemos podido analizar hasta el momento, directamente o a través de colaboradores locales. Cualquier información adicional que permita actualizar y completar este análisis será bienvenida.

España

El artículo 34 de la LOPDGDD contiene una lista de actividades o sectores que deben nombrar un DPO y de ello se deduce que todos estos sectores realizan tratamientos a gran escala y también efectúan una observación sistemática de los interesados.

Una referencia temprana, y no exenta de polémica por su falta de rigor jurídico, fue la de un alto cargo de la AEPD en una jornada de puertas abiertas, en la que indicó literalmente que un tratamiento a gran escala consistía en un tratamiento de “muchos, muchos datos de muchos, muchos interesados”.

En la resolución del procedimiento sancionador PS/00417/2019 la AEPD consideró que había un tratamiento a gran escala de clientes, pero no aportó ningún dato cuantitativo sobre el número de clientes, ni los criterios aplicados para concluir que había un tratamiento a gran escala. Tampoco indicó si se refería a clientes activos durante un determinado ejercicio o si incluía también a los clientes históricos que habían quedado excluidos del tratamiento principal.

Aplicando el criterio del alto cargo de la AEPD, en este caso no habría un tratamiento de muchos, muchos datos, ni de muchos, muchos interesados. Aplicando los criterios del considerando 91 del RGPD, tampoco habría una “cantidad considerable de datos” de un “gran número de interesados”.Y aplicando el criterio del porcentaje de población relevante para el tratamiento, cualquier cantidad de clientes que pueda tratar una startup en sus primeros años queda diluida en la inmensidad del océano de los clientes potenciales.

Por otro lado, el considerando 75 del RGPD indica claramente que los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales, en particular en los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran número de interesados. Deben darse, por lo tanto, los dos requisitos al mismo tiempo.

Alemania

El 23 de mayo de 2018 la autoridad de control alemana publicó un documento en el que estableció que se producía un tratamiento de datos a gran escala en términos cuantitativos en el caso de superar los 5.000.000 de interesados, o al menos el 40 por ciento del grupo de personas afectadas. Se entiende que se refiere al 40% de la población relevante para el tratamiento.

En el caso de Alemania, el criterio establecido en mayo de 2018 fue exclusivamente cuantitativo, pero las cifras establecidas fueron muy altas.

Italia

La autoridad de control italiana ha dado prioridad a la valoración del riesgo para los interesados. Ello ha hecho que en una resolución de 26 de marzo de 2020 haya dictaminado que el tratamiento de los datos de los estudiantes por un centro de enseñanza a distancia no constituye un tratamiento a gran escala y, en cambio, en una resolución previa del 7 de marzo de 2019 había considerado que un hospital público realizaba un tratamiento a gran escala de los datos de sus pacientes.

Portugal

No hemos encontrado ningún documento, guía o resolución en la que la autoridad portuguesa se pronuncie al respecto, limitándose a enlazar a la posición del GT29.

Polonia

La autoridad de control polaca estableció en una resolución de 2019 que una cifra de 2.200.000 clientes era suficiente para considerar que existía un tratamiento a gran escala. Es la única resolución en la que la autoridad de control parece estar 100% segura de que existe un tratamiento a gran escala. La autoridad polaca indica que: “La compañía, al tratar los datos personales de más de 2.200.000 usuarios, que deben considerarse como un tratamiento de datos personales a gran escala, y teniendo en cuenta el alcance de los datos y el contexto del tratamiento, estaba obligada a evaluar y monitorizar de manera más efectiva los riesgos para los derechos y libertades de las personas cuyos datos se trataban.”

Vemos que se tiene en cuenta la cantidad de los datos, pero también la tipología de los datos y el contexto del tratamiento.

El fracaso del RGPD en materia de coherencia entre autoridades de control.

Cabe destacar la crítica realizada por Johannes Caspar, responsable de la oficina de protección de datos de Hamburgo (Alemania) durante 12 años sobre la aplicación del RGPD, el mecanismo de ventanilla única, los sistemas de colaboración entre autoridades de control y los conflictos que han surgido entre ellas, dificultando la función uniformadora del RGPD.

Estas rotundas afirmaciones pueden leerse en las declaraciones de Johannes Caspar a Bloomberg sobre los motivos que le hacen afirmar que el RGPD está fracasando.

Conclusión: el riesgo para el interesado

El criterio que parece predominar es el del riesgo para el interesado, es decir, el riesgo potencial que un tratamiento a gran escala genera para los derechos y libertades de los interesados.

Es evidente que un tratamiento tiene un mayor impacto si afecta un gran número de interesados. Pero este único dato no es relevante si al final sólo se trata la dirección de correo electrónico del interesado. De hecho, muchas resoluciones de archivo de actuaciones se basan en la inexistencia de riesgo para los interesados cuando una brecha de seguridad sólo ha afectado a la dirección de correo electrónico, a pesar de haber un gran número de afectados.

En términos de riesgo para sus derechos y libertades, a un interesado tiene que preocuparle más estar en un tratamiento de 500 usuarios que en uno de varios millones, ya que en este último se convierte en una aguja en un pajar.

Lo que realmente genera el riesgo para el usuario es el nivel de sensibilidad de los datos. Tiene mucho más impacto en los derechos y libertades de los interesados una brecha de seguridad que afecte a 500 historias clínicas que una brecha que afecte a 500 millones de direcciones de correo electrónico.

Lo que nunca debería ocurrir es que un responsable del tratamiento fuese sancionado basándose únicamente en el número de interesados.

  1. Primero, porque el legislador europeo estableció un vínculo claro entre la cantidad de interesados y la cantidad o tipología de los datos.
  2. Segundo, porque la cantidad de interesados es irrelevante si el tratamiento y la tipología de los datos no generan riesgos para los derechos y libertades de los interesados.
  3. Y tercero, porque no existe un criterio uniforme en el EEE que permita determinar a partir de qué cifra o porcentaje de la población relevante para el tratamiento se debe considerar que existe un tratamiento a gran escala.

Reitero mi agradecimiento por cualquier aportación que ayude a actualizar y completar este análisis comparativo y a acreditar la inexistencia de un criterio unificado en relación al tratamiento a gran escala.

El gran error de los datos biométricos

Acabo de leer un artículo de Xavier Ferrás en La Vanguardia sobre la paradoja de Polanyi, que me ha gustado mucho. Esta paradoja muestra la dificultad de automatizar una tarea que al ser humano le resulta fácil realizar, pero difícil de explicar. El autor pone el ejemplo del reconocimiento facial. Un ser humano es capaz de reconocer a un amigo que se cruza por la calle a pesar de que hayan pasado 20 años sin verse y su rostro haya cambiado totalmente. Equipara la dificultad de trasladar ese conocimiento a un sistema informático a la dificultad de intentar explicar el color azul a una persona ciega que nunca lo ha visto.

La lectura de este artículo y de las conexiones filosóficas que desarrolla al reflexionar sobre la posibilidad de que la inteligencia artificial tenga la misma dificultad para explicarnos los conocimientos que va adquiriendo, me ha hecho volver al debate sobre el reconocimiento facial, los datos biométricos, la identificación de personas desconocidas y la verificación de personas conocidas.

Cuando identificamos a un conocido en la calle extraemos un conocimiento que se encuentra oculto detrás de un rostro. El conocimiento oculto es su identidad. Y lo hacemos comparando su cara, su mirada y la expresión de su rostro en su conjunto con los recuerdos almacenados de las personas a las que conocemos. El factor diferencial de la identificación es que extraemos a una persona del anonimato. Convertimos a una persona anónima en una persona identificada.

Cuando este proceso lo realiza un sistema informático, se produce una fase de registro de la imagen y otra de medición de los rasgos faciales. Muchas personas caen en el error de pensar que la invasión de la intimidad se produce en el acto de medir el cuerpo humano, de obtener métricas de un ser humano. Pero ello no es así.

La invasión de la intimidad se produce cuando esos datos biométricos nos permiten singularizar a una persona de entre otras muchas. Asociar un rostro que podría pertenecer a miles o millones de personas a una identidad concreta, después de haber valorado el conjunto de la muestra disponible.

La clave, por lo tanto, reside en el carácter oculto de la identidad.

Si aplicamos el habitual ejemplo de la cebolla para explicar las distintas capas de un objeto o de un conocimiento, la fotografía de una cara sería la primera capa exterior, las métricas de la cara serían la segunda capa y la identidad de la persona sería la tercera capa.

Lo que el derecho a la intimidad protege es esta tercera capa interior porque está oculta para todos aquellos que no conocen a la persona o porque no tienen los medios para identificarla. Y cuando una persona quiere que, ni las personas que la conocen, ni las personas que tienen los medios para identificarla, puedan conocer su identidad, debe recurrir a modificar la primera capa, alterando los rasgos faciales para que ni los primeros ni los segundos puedan acceder a la tercera capa de su identidad.

¿Por qué los datos sobre nuestras opiniones políticas son datos sensibles? Porque residen en esa tercera capa y el derecho a la intimidad nos ofrece la posibilidad de mantenerlos ocultos. Si los divulgamos, los trasladamos de la tercera capa a la primera con sus correspondientes consecuencias jurídicas.

¿Por qué los datos sobre nuestra salud son datos sensibles? Porque residen en esa tercera capa y el derecho a la intimidad nos ofrece la posibilidad de mantenerlos ocultos. Si los divulgamos, los trasladamos de la tercera capa a la primera con sus correspondientes consecuencias jurídicas.

¿Por qué los datos sobre nuestras convicciones religiosas son datos sensibles? Porque residen en esa tercera capa y el derecho a la intimidad nos ofrece la posibilidad de mantenerlos ocultos. Si los divulgamos, los trasladamos de la tercera capa a la primera con sus correspondientes consecuencias jurídicas.

¿Por qué los datos sobre nuestra vida sexual o nuestra orientación sexual son datos sensibles? Porque residen en esa tercera capa y el derecho a la intimidad nos ofrece la posibilidad de mantenerlos ocultos. Si los divulgamos, los trasladamos de la tercera capa a la primera con sus correspondientes consecuencias jurídicas.

En cambio, con los datos biométricos no sucede lo mismo.

Para que un dato biométrico sea un dato sensible, para que pertenezca a una categoría especial de datos, tiene que permitirnos acceder a la identidad oculta de una persona con el fin de sacarla a la superficie, incluso en contra de su voluntad.

Por eso ha querido el legislador proteger al interesado de esa intromisión en su intimidad. 

La identificación basada en datos biométricos nos va a permitir extraer el conocimiento oculto de la identidad de una persona gracias a la existencia de patrones obtenidos previamente y almacenados en una base de datos. Un ejemplo muy claro es la identificación de un terrorista en un aeropuerto, por las consecuencias jurídicas que identificarlo va a tener para él y por las terribles consecuencias que no identificarlo va a tener para los demás.

Pero la autenticación es algo absolutamente diferente.

En la autenticación sólo se actúa en la primera y en la segunda capa.

Cuando utilizo mi rostro para autenticarme y acceder a un sistema informático, utilizo un nombre de usuario para decirle que soy un usuario registrado y que debe darme acceso. El sistema está configurado para no creer a cualquiera que diga que soy yo, y por lo tanto, realiza una verificación de mi identidad.

Esta verificación consiste en captar mis rasgos faciales, medirlos y comparar las métricas obtenidas con las que están asociadas a mi nombre de usuario. 

El sistema no compara mi patrón facial con el de otros usuarios registrados para acceder a mi identidad. Mi identidad ya la tiene, y está asociada a mi nombre de usuario gracias al trabajo previo de registro. En conclusión, el sistema tiene las tres capas de conocimiento porque el día del registro se las facilité. Pero en el momento de la autenticación sólo utiliza las dos primeras.

Cada vez que intento acceder a mi cuenta, el sistema realiza las siguientes acciones:

  1. Capta mi rostro (primera capa de información).
  2. Mide mis rasgos y obtiene los datos biométricos de mi cara (segunda capa de información).
  3. Compara estos datos con los que tiene guardados y que están asociados a mi nombre de usuario (seguimos en la segunda capa de información).
  4. Verifica que hay correspondencia entre los datos obtenidos ahora y los datos obtenidos en el momento del registro y me permite el acceso.

En ninguna parte de este proceso el sistema ha tenido que singularizar a la persona comparándola con otras porque el usuario ya se ha identificado a sí mismo con su nombre de usuario y el sistema se ha limitado a verificar que decía la verdad.

La gran diferencia de la autenticación es que el usuario ya está identificado y el sistema se limita a verificar que no hay una suplantación.

La autenticación no necesita acceder a la tercera capa para conseguir su eficacia. La identidad puede estar incluso fuera del sistema y no ser relevante para el proceso de autenticación, que sólo verifica si el usuario con esos datos biométricos tiene autorización para entrar en el sistema.

Exámenes online: reconocimiento facial versus títulos basura

Los medios que estos días afirman en sus titulares que la AEPD ha prohibido el uso del reconocimiento facial en los exámenes online están publicando una noticia falsa. Lo que ha dicho la AEPD en su resolución de advertencia es que el planteamiento propuesto por la UNIR no estaba ajustado a la normativa de protección de datos, pero no ha prohibido de forma generalizada el uso del reconocimiento facial en los exámenes online. La advertencia es únicamente para la UNIR y para el modelo de reconocimiento facial planteado.

La UNIR se cerró ella misma las puertas que la AEPD había dejado abiertas.

En sus informes y resoluciones la AEPD y otros organismos europeos se han manifestado en relación a la categoría a la que pertenecen los datos tratados con los sistemas de reconocimiento facial, la base jurídica del tratamiento, la obligación de informar y el impacto en los derechos y libertades de los interesados.

El camino estaba bien trazado, pero en este caso no se ha seguido, como veremos a continuación.

Categoría a la que pertenecen los datos tratados con los sistemas de reconocimiento facial

La primera puerta que la AEPD había dejado abierta era la de la autenticación. La AEPD y otros organismos europeos defienden la tesis de que el RGPD distingue entre la finalidad de identificar a una persona partiendo de múltiples patrones faciales y la finalidad de autenticar a una persona a partir de su propio patrón facial.

En el caso de la identificación, los datos biométricos tratados son datos sensibles (categorías especiales de datos), porque permiten sacar a una persona del anonimato, o asociar unos datos a una persona concreta.

En el caso de la autenticación, los datos biométricos son datos ordinarios que quedan fuera del ámbito del artículo 9 del RGPD.

La primera confusión es por lo tanto entender que todos los datos biométricos son datos sensibles. Sólo son datos sensibles cuando la finalidad es la identificación unívoca de una persona. 

Lo dice textualmente la AEPD en la resolución de advertencia: “los datos biométricos sólo constituirían una categoría especial de datos en el caso de que se sometan a un tratamiento específico dirigido a identificar de manera unívoca a una persona física”.

La identificación busca a una persona anónima, no identificada o desconocida en una base de datos de posibles personas identificadas, mientras que la autenticación verifica si la persona que se presenta como conocida es la que efectivamente quien dice ser, porque previamente ha proporcionado los datos necesarios para hacer esta autenticación o verificación.

En este requisito de la finalidad los datos biométricos se diferencian de los datos genéticos, que siempre son sensibles.

En el siguiente artículo y en la infografía explico gráficamente la diferencia entre la finalidad de identificar y la de autenticar.

Opinión sobre el criterio de la AEPD sobre el reconocimiento facial

Infografía sobre las dos finalidades de los datos biométricos

Casos en los que el patrón facial no es un datos sensible

La UNIR reconoció expresamente que los datos biométricos eran una categoría especial de datos. Con ello se cerró la primera puerta y no dejó otra opción a la AEPD.

Base jurídica del tratamiento

La UNIR aplicó el consentimiento como única base jurídica del tratamiento. El consentimiento puede dejar de ser libre en el momento en el que existe un desequilibrio entre el responsable del tratamiento y el interesado, como se produce en el caso de una universidad y un alumno.

Sin descartar totalmente la base jurídica del consentimiento, la AEPD y otros organismos europeos indican que puede haber bases más adecuadas.

Por ejemplo, la base jurídica de la autenticación puede ser la ejecución del contrato, ya que la finalidad de este tratamiento es asegurar que en el momento del examen está presente una persona que es parte en el contrato, y no otra.

La base jurídica de la prevención del fraude sería el interés legítimo, pero no sólo el de la universidad, sino también el del alumno, que tiene derecho a que el título que obtenga con ese examen no pierda valor en el mercado laboral y profesional a causa del fraude.

Es evidente que en las empresas y los despachos profesionales contrataremos primero a un graduado en una universidad con bajo nivel de fraude que a un graduado en una universidad con alto nivel de fraude.

Sólo hay que ver el puesto que ocupan en el ranking mundial o nacional las universidades implicadas en escándalos de venta de títulos.

En cualquier caso, el alumno puede escoger entre el reconocimiento facial y el título basura.

Al centrarse únicamente en la base jurídica del consentimiento la UNIR se cerró otra puerta que estaba abierta.

Necesidad del tratamiento

La UNIR alegó que el tratamiento automatizado del reconocimiento facial era necesario, pero después demostró que podía aplicar la alternativa del tratamiento manual. Con ello se cerró la puerta del juicio de necesidad, que exige que el tratamiento sea necesario en el sentido de que no haya otras opciones menos intrusivas.

Está demostrado que el tratamiento manual no consigue reducir las altas cifras de fraude y suplantación de identidad que existen en los exámenes online.

Si el reconocimiento facial y los patrones de tecleo son las únicas vías para reducir el fraude en los exámenes online y evitar los títulos basura y la salida al mercado laboral de profesionales más preparados en el arte del engaño que en los contenidos que debían aprender, parece clara la necesidad del tratamiento.

Información previa

La UNIR se cerró otra puerta al no informar a los alumnos en el momento oportuno.

El momento de informar sobre el uso de técnicas de reconocimiento facial y patrones de tecleo es antes de formalizar la matrícula.

El alumno debe conocer las técnicas de prevención del fraude que utiliza cada universidad y escoger aquélla que considere más adecuada para sus intereses.

En el caso de la universidades 100% online la elección es clara cuando los exámenes también son 100% online. El alumno tiene la ventaja de que no tendrá que realizar ningún desplazamiento, pero a cambio, asumirá el uso de unas medidas de seguridad superiores.

La capacidad de escoger las distintas alternativas que ofrece el sector de la enseñanza aparece en el momento de seleccionar el centro en el que vas a cursar los estudios. Esos centros son los caladeros en los que las empresas y los despachos profesionales van a buscar el talento. Por lo tanto, hay que encontrar el equilibrio entre el prestigio del centro y el nivel de fraude que permite, porque estos parámetros son los acabarán marcando el valor la titulación ofrecida.

Impacto en los derechos y libertades

La UNIR se cerró la última puerta al no acreditar la inexistencia de perjuicios para los alumnos y tampoco la existencia de beneficios.

Lo que realmente se ha considerado invasivo y con alto riesgo para los interesados es el uso del reconocimiento facial para la finalidad de la identificación unívoca, no para la finalidad de la autenticación.

En la identificación unívoca mediante reconocimiento facial se pueden utilizar varios niveles:

  1. El reconocimiento facial manual sin expertos.
  2. El reconocimiento facial manual con expertos.
  3. El reconocimiento facial automatizado sin datos biométricos.
  4. El reconocimiento facial automatizado con datos biométricos.
  5. El reconocimiento facial automatizado con datos biométricos y con inteligencia artificial.

Todos estamos de acuerdo en los riesgos asociados al último nivel, por ser el más invasivo y sobre el que se está promoviendo una regulación que garantice los derechos y libertades de los interesados.

Pero en los exámenes online no estamos hablando de identificación sino de autenticación, y ello supone comparar el patrón facial de la persona que acude al examen con el obtenido de su DNI o el que facilitó en el momento del registro.

Este tratamiento no utiliza datos sensibles.

Por otra parte hay que valorar los derechos de las restantes partes implicadas. 

Por ejemplo:

  • El derecho a contratar a un profesional que realmente haya superado el nivel establecido para valorar sus conocimientos.
  • El derecho a una titulación válida y no a un título basura por parte de los alumnos que no han cometido fraude.
  • El derecho del mercado laboral y profesional a poder confiar en el valor de una titulación.
  • El derecho del propio alumno a que se valoren sus conocimientos y no su habilidad para cometer fraudes. Y a iniciar su carrera profesional limpiamente y sin basar su acreditación académica en un fraude.

En estos puntos hay otros factores como la calidad de la enseñanza o vivir en un país en el que hacer chuletas tiene un elevado grado de aceptación, pero hoy tocaba hablar de protección de datos.

ACTUALIZACIÓN 20/08/2021

En el debate suscitado por este artículo en LinkedIn, Ignacio San Martín comenta la interpretación de la AEPD en su informe 2021/0047 de 19 de julio, relativo al tratamiento de datos de reconocimiento facial en el momento del alta de clientes en la oficina o a través de un canal online con el objetivo de verificar su identidad y así realizar las verificaciones oportunas previstas en la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo (PBC/FT), así como del control del fraude.

En la página 3 del informe la AEPD distingue entre identificación y autenticación y considera que en el caso analizado se realiza un de tratamiento de datos biométricos con la finalidad de cumplir con el deber de identificación establecido en la normativa de PBC. Por lo tanto se decanta por la identificación.

En la página 15 justifica esta interpretación en el hecho de que el artículo 3 de la Ley 10/2010 de PBC y FT establece una obligación de identificación.

Considero que la AEPD ha cometido un error al ceñirse a la literalidad del texto, ya que la acción que describe este artículo 3 no es de identificación, sino de comprobación de la identidad, tal como indica claramente en el párrafo 2: “Con carácter previo al establecimiento de la relación de negocios o a la ejecución de cualesquiera operaciones, los sujetos obligados comprobarán la identidad de los intervinientes mediante documentos fehacientes.”

Lo que debe hacer el sujeto obligado no es comparar el patrón facial del interesado con el de múltiples interesados, sino con un documento fehaciente, como un DNI, que incorpora una foto que permite obtener un patrón facial del interesado.

Esta actividad de comprobación o verificación es una autenticación, por lo que los datos biométricos tratados no serían categorías especiales de datos.

Nuevo curso de Control Interno para Compliance Officers

Hoy lanzamos en Campus Ribas el Curso de Control Interno para Compliance Officers dirigido a Compliance Officers y a profesionales relacionados con el Compliance.

El curso está impartido por Valentín Pauner, reconocido directivo que acumula una gran experiencia en materia de control interno en una empresa internacional del sector de la alimentación.

Todo el curso se imparte mediante vídeos grabados por el propio director del curso, logrando una gran proximidad al ponente y a la materia.

El curso va dirigido a adquirir conocimientos en relación a los siguientes puntos:

  1. Función del control interno en una compañía.
  2. Fases de la implementación de Control Interno.
  3. Puntos a tener en cuenta para realizar el análisis de los procesos.
  4. Tipos de riesgos y ejemplos prácticos.
  5. Definición de los controles.
  6. Evaluación de los riesgos y los controles.
  7. Relación entre control interno y el compliance.
  8. Aportaciones del control interno a la prevención de delitos.
  9. El control interno como evidencia a los efectos de responsabilidad penal corporativa.

Espero que sea interesante para vosotros. Podéis acceder a más información sobre el curso a través de este enlace:

Enlace a la página informativa del curso

Resolución AEPD – Actuación negligente del interesado en el uso de sus claves

La AEPD ha publicado una resolución en la que aparece como indicador de un uso no diligente de sus claves por parte del cliente su aparición en el sitio web haveibeenpwned.com, que ofrece un servicio gratuito que permite a cualquier usuario comprobar si su dirección de correo electrónico figura en estas listas, y por lo tanto, si sus claves han quedado comprometidas y debe cambiarlas de inmediato.

En la resolución se reproduce la alegación de que el reclamante es un exponente de escasa diligencia en la gestión y custodia de sus credenciales, ya que su historial de claves expuestas en brechas de seguridad se inicia en 2008 y llega hasta 2019, y el éxito de la suplantación de identidad confirma que durante todo este tiempo el reclamante no ha cambiado las claves de acceso reiteradamente comprometidas.

También se indica que los hechos ocurridos en relación con la cuenta del usuario reclamante coinciden plenamente con el patrón de actuación habitual de los ciberdelincuentes que utilizan los datos comercializados en el mercado negro de países de la Europa del Este como Ucrania para suplantar la identidad de sus víctimas y realizar compras fraudulentas. En este caso concreto, vemos que el ciberataque se realiza desde Ucrania y que aprovecha la actuación negligente del reclamante, al utilizar reiteradamente la misma clave en distintos servicios que fueron afectados por una brecha de seguridad que dejó expuestas sus credenciales.

¿Cómo configurar tu tiempo de descanso?

Creo firmemente que si no desconectas es porque no quieres.

Si estuvieses en una zona sin cobertura estarías realmente desconectado, ¿no? En este post explico algo que debería incluirse en la formación prevista en el artículo 88 de la LOPDGDD, ya que no todos los usuarios conocen la existencia de estas funciones.

Considero que es mucho más fácil que yo me desconecte que obligar a mis compañeros a averiguar si tengo derecho a estar desconectado cuando quieran enviarme un mensaje. Porque mi tiempo de descanso puede coincidir con su tiempo de trabajo.

Estas instrucciones van dirigidas a los usuarios de iOS, pero me consta que Android cuenta con funciones parecidas.

Función “No molestar”

En esta pantalla de los ajustes del sistema se puede configurar un periodo de tiempo en el que se silenciarán las llamadas y las notificaciones.

Se pueden establecer excepciones para determinadas personas.

También se pueden establecer excepciones para llamadas repetidas. Si se trata de un asunto urgente y alguien llama dos veces en menos de tres minutos, podemos configurar el sistema para que la llamada entre y no se silencie.

Tiempo de inactividad o de descanso

También podemos programar nuestro tiempo de descanso y personalizarlo para cada día de la semana.

Durante este periodo de tiempo sólo estarán disponibles las aplicaciones seleccionadas, pudiendo bloquear las aplicaciones corporativas.

Otras restricciones

También se pueden configurar las siguientes restricciones:

  1. Límite de uso por aplicación.
  2. Límite de comunicación para los contactos corporativos.

De esta manera, si mañana fuese un día especial y decidiese tomármelo como día de vacaciones, no tengo que esperar ni exigir que mis compañeros lo sepan y dejen de enviarme mensajes. Simplemente me desconecto del trabajo con alguna de estas funciones y ya leeré al día siguiente lo que me hayan enviado.

¿Quién debe desconectar, el remitente o el destinatario?

Ayer publiqué en LinkedIn y en Twitter un ejemplo de pie de mensaje orientado a comunicar al destinatario de un mensaje que el remitente no esperaba respuesta del destinatario hasta el momento en que éste pudiese, dentro de su jornada laboral.

La idea era que el destinatario no se sintiese obligado a contestar si recibía el mensaje durante su tiempo de descanso.

En el debate que se generó tras la publicación, volvieron a plantearse las posiciones que hay sobre la materia, y que resumo a continuación:

  1. Es el remitente el que debe preocuparse de que el remitente no reciba el mensaje en su periodo de descanso.
  2. Es el destinatario el que tiene que desconectarse y no leer los mensajes que pueda recibir durante su periodo de descanso, ya que el remitente no está obligado a conocer los periodos de descanso de todos sus destinatarios.

En ningún momento se planteó la posibilidad de que sea la empresa la que desconecte al remitente y al destinatario, ya que eso es, sencillamente, una aberración.

Las conclusiones teóricas a las que llegué tras el debate, son las mismas que plasmé en el curso gratuito sobre teletrabajo que publicamos hace unos meses en Campus Ribas:

  1. El texto del artículo 88 de la LOPDGDD no determina la forma en que se puede ejercitar este derecho.
  2. Establece que las modalidades de ejercicio del derecho a la desconexión digital atenderán a la naturaleza y objeto de la relación laboral.
  3. Estas modalidades se sujetarán a lo establecido en la negociación colectiva o, en su defecto, a lo acordado entre la empresa y los representantes de los trabajadores.
  4. El empleador, previa audiencia de los representantes de los trabajadores, elaborará una política interna dirigida a trabajadores, incluidos los que ocupen puestos directivos.
  5. En esta política se definirán las modalidades de ejercicio del derecho a la desconexión.
  6. También se definirán las acciones de formación y de sensibilización del personal sobre un uso razonable de las herramientas tecnológicas que evite el riesgo de fatiga informática.
  7. La prevención de la fatiga informática, igual que el control horario, depende finalmente del momento en que cada uno encienda y apague el dispositivo que le mantiene conectado a la empresa.

Las conclusiones prácticas serían las siguientes:

  1. El remitente puede programar la entrega del mensaje de manera que el remitente lo reciba dentro de su horario laboral.
  2. El problema es que no todas las aplicaciones corporativas permiten programar la entrega del mensaje de manera fácil.
  3. Incluso en las organizaciones más pequeñas es difícil asegurar al 100% que los destinatarios de un mensaje están plenamente operativos, ya que hay turnos de trabajo y de vacaciones, tiempos de descanso, días de libre disposición, bajas por enfermedad, compañeros de viaje en países con otros husos horarios.
  4. En las grandes organizaciones es una tarea imposible asegurar que un envío a varios destinatarios no va a llegar a alguno de ellos en su tiempo de descanso.

En cambio, es mucho más fácil que la persona que entra en un tiempo de descanso se desconecte temporalmente de la empresa.

Porque si se trata de reducir mi fatiga informática, lo que voy a hacer va a ser desconectarme de los demás, y no que los demás se desconecten de mí. Porque pueden no saber que estoy descansado. Por eso existe la función “no molestar”.

Y para desconectar tengo varias opciones:

  1. Apagar el dispositivo.
  2. Bloquear las aplicaciones corporativas.
  3. Leer los mensajes corporativos y no contestarlos.

El ejemplo de pie de mensaje iba dirigido a los que optan por esta tercera alternativa.

En cualquier caso, entiendo que la tercera opción es la menos recomendable, ya que no acaba con el estrés ni con la fatiga informática. Nadie se preocupa por lo que no conoce, por lo que lo mejor es desconectar del todo y activar la auto respuesta: “Estoy en mi tiempo de descanso. Contestaré cuando vuelva a estar operativo”. También puedes tener la sangre fría del directivo inglés que supo que su fábrica se estaba quemando un domingo por la mañana en pleno partido de golf y dijo “Qué disgusto voy a tener mañana cuando me entere”.

El derecho de desconexión es justamente poder aislarme o no contestar sin que haya consecuencias negativas para mí.

Los que no podemos controlar la generación de ideas un domingo por la mañana, cuando la niebla de la batalla de los días laborables se ha disipado y tienes episodios temporales de aparente lucidez, también tenemos derecho a expresarnos en ese momento. Claro que podemos dejar el mensaje como borrador o programar el envío para el lunes, pero seguro que alguno de los destinatarios, tiene fiesta ese día o está de baja. Prefiero pensar que si realmente está descansando, habrá apagado el dispositivo.

Lo contrario es parecido a la respuesta surrealista del que se enfada porque le llamamos cuando está en plena reunión con un cliente. Si está en una reunión con un cliente, ¿por qué contesta?

El ejemplo de pie de mensaje era el siguiente: “He escrito este mensaje de acuerdo con mis horarios y criterios de organización del tiempo. Si lo recibes durante tu periodo de descanso, te confirmo que no espero que me respondas ahora, sino cuando puedas, dentro de tu horario laboral”.

Acceso al curso gratuito de teletrabajo en Campus Ribas